ESCUELA POLITECNICA NACIONAL CARRERA DE INGENIERIA DE SISTEMAS TECNOLOGIAS DE VIRTUALIZACION Y CLOUD COMPUTING

PRCTICA DE LABORATORIO 1: Realizado por: Alex Llumiquinga

TEMA: COMANDOS DE CONECTIVIDAD Y AUDITORA DE SISTEMAS OPERATIVOS LINUX

Se us para la prctica de laboratorio un computador portatil marca DELL con sistema operativo Debian, y sobre el Virtualbox como software de virtualizacin. En virtualbox se instalaron dos sistemas operativos ubuntu 10.04 LTS, configurndo la red en los tres sistemas operativos usando un bridge virtual de tal forma que podamos usar los comandos descritos en la prctica, el esquema armado se muestra a continuacin:

Con este esquema armado realizamos la prctica y mostramos los resultados 1.

Pruebe los siguientes comandos:

Ifconfig: -configure a network interface- este comando sirve para configurar las interfaces de red
temporalmente mientras la sesin est activa una vez apagado el sistema operativo estas configuraciones se perdern, el comando ifconfig sin parmetros nos muestra el estado de las interfeces de red. El resultado del comando en el host anfitrin nos muestra 6 interfaces presentes en el sistema: 1. eth0: la interfaz ethernet 2. lo: Local Loopback 3. ppp0: Point to Point 4. vboxnet0: Interfaz ethernet para la conexin con las mquinas virtuales 5. wlan0: la interfaz inalmbrica En cada una de las interfaces que se muestran se resaltan los parmetros: direccin mac, en los casos en que este configurado tambin se muestra mscara de red. Para el caso de las interfaces que tienen enlaces fsicos o lgicos activos se muestra un resumen de los paquetes enviados, recibidos, perdidos.

Profesor: Walter Fuertes Daz.

Pgina de

hostname: Este comando nos muestra el nombre del computador, adems es posible cambiarlo
temporalmente, para cambiarlo de forma definitiva se tiene que editar el archivo /etc/hosts

ping: Envia y recive peticiones de echo mediante el envio de paquetes IP, es un comando de capa tres en
el modelo TCP, muy usado para medir conectividad entre dos puntos y evaluarla, nos muestra el mximo, mnimo, promedio y la distribucin de los peticiones enviadas y recibidas

Profesor: Walter Fuertes Daz.

Pgina de

top: Muestra las tareas/procesos que se ejecutan actualmente en el sistema, tambin muestra la carga del
procesador, de la memoria RAM, memoria swap en tiempo real. Muy til cuando queremos descubrir que proceso est consumiendo recursos inesperados. Dentro de la ejecucin del comando es posible matar las tareas que consideremos que no necesitan ser ejecutadas y estn consumiendo recursos innecesarios.

ps -aux: El comando ps sirve para ver los procesos activos, a diferencia del comando top este los muestra
y enseguida nos devuelve a la lnea de comandos y top nos muestra en tiempo real lo que sucede. Existen direrentes opciones de uso mediante argumentos, -a para todos los procesos, u para los procesos del usuario que ejecuta el comando y x para los procesos ejecutados para otros usuarios este comando muestra su resultado en columnas, la primera columna muestra el usuario, la segunda el id del proceso PID, con consumo de memoria y cpu de ese proceso, a que hora inici el proceso, que tiempo lleva ejecutndose y cual fue la ordn que hizo que el proceso iniciara.

Profesor: Walter Fuertes Daz.

Pgina de

free: muestra la cantidad de memoria usada, libre, usando el parmetro -t nos muestra el total de memoria,
tanto RAM como swap

df -h: muestra un reporte del disco, espacio total, ocupado y espacio disponible, el parmetro -h es usado
para que se pueda ver de forma ms fcil usando mega, giga, etc, tambin suele usarse para ver que tipo de sistemas de ficheros que tienen las particiones o discos duros usando el parmetro -T Su resultado como la mayora de comandos se muestra en columnas, la primera columna hace referencia al path del dispositivo, la segunda al tipo de sistema de ficheros usado, la tercera el tamao de la particin o disco duro, la cuarta cuando espacio est usado, la quinta que espacio queda disponible, la sexta el porcentaje de uso y la sptima en que directorio est montado el dispositivo/particin.

Profesor: Walter Fuertes Daz.

Pgina de

du -h: muestra el tamao del directorio de trabajo actual mostrando archivos ocultos y no ocultos, el
parmetro -h muestra de forma ms entendible el tamao, otra forma comn de usarlo es du -sch *, el parmetro -s muestra el tamao parcial de cada subdirectorio, el parmetro -c muestra el tamao total del directorio y * para que tome en cuenta todo el contenido del directorio.

route: muestra y modifica las tablas de ruta, nos muestra las redes y porque interface deben salir as como
la ruta por default

En el resultado de este comando, en la ltima fila nos dice que todas las peticiones que se hagan para la red 192.168.56.0 salgan por la interface vboxnet, la primera fila nos dice que las peticiones que no estn roteadas en ninguna fila salgan por la interface ppp0

netstat: Estado de la red, nos muestra las conexiones establecidas, los puertos abiertos, el comando que
Profesor: Walter Fuertes Daz. Pgina de

caus el proceso, muy til al momento de asegurar el computador contra ataques.

man [commando]: sirve para ver documentacin sobre un comando es especfico, es posile buscar dentro del documento oprimiendo la tecla / y luego teclear lo que se desea buscar, avanzar con el teclado o retroceder

Profesor: Walter Fuertes Daz.

Pgina de

nslookup: sirve para hacer consultas a servidores de nombres de dominios DNS, cuando se ingresa el
comando y se da enter nos envia a un prompt en el que se puede consultar entradas NS, MX, A, etc de sitios en internet, por defecto consulta en el DNS por default del computador, tambin es posible consultar en servidores DNS externos.

vmstat: All igual que el comando free hace un reporte de la memoria virtual -swap- mucho ms detallado,
pudiendo obtener datos como, estadsticas de particiones swap, nmero de particiones swap, bloques de particiones swap, sectores de lectura, sectores de escritura, entre otros

Profesor: Walter Fuertes Daz.

Pgina de

uname -a: muestra informacin del kernel del sistema operativo y del sistema como tal, usando varios parmetros se puede obtener solamente la informacin necesaria, -a para mostrar toda la informacin, -r para mostrar la versin del kernel, uname sin parmetros para mostrarnos que kernel usamos.

kill -9 [PROCCES ID]: mata un proceso, con los comandos ps, top podemos identificar los IDs de los
procesos y matarlos

arp -a: Address Resolution Protocol, conocido tambin como tabla de vecinos en donde estn las
direcciones MAC de los dispositivos que el equipo ha mantenido algn tipo de enlace, adems muestra la interfaz por la que obtuvo el enlace, muestra tambin la direccin IP cuando se pasa el parmetro -n.

ifstat: muestra en tiempo real el uso de la interfaces del sistema, para mostrar las estadsticas de una interfaz
especfica, la forma de comando es: ifstat -i eth0

Profesor: Walter Fuertes Daz.

Pgina de

Para ver la actividad en tiempo real de todas las interfases se usa el comando ifstat sin parmetros

2.

Escaneo de puertos:
nmap [opcin] DIR IP
El comando nmap escanea puertos, nos dice los servicio asociados a esos puertos abierto o cerrados. Descubrimiento de direcciones IP activas nmap sP DIR IP, este comando determina si el host est online usando paquetes ping, algunos resultados pueden ser engaosos, como en el caso del dominio www.epn.edu.ec el servidor est arriba sin embargo el servidor bloquea las peticiones ping, sin embargo para saber si el servidor est arriba se puede usar el comando con los parmetros -NP que se salta el firewall que pueda existir

Profesor: Walter Fuertes Daz.

Pgina de

El resultado siguiente es de un host en donde no est bloqueado las peticiones ping

TCP: Exploracin de puertos TCP activos

nmap sT DIR IP Este comando nos muestra el puerto, el estado del puerto el servicio asociado al puerto

UDP: Exploracin de puertos UDP activos

nmap sU DIR IP

Exploracin del tipo de SO de un equipo en red namp O DIR IP Profesor: Walter Fuertes Daz.

Pgina de

El resultado nos dice que el sistema operativo puede ser o tener algunos de los kernel listados, pero con exactitud, adems de los saltos que pas hasta llegar a la direccin IP obejetivo.

Conexin remota, encriptada

apt-get install ssh (Para Ubunto o Debian). SSH es un protocolo que sirve para la conexin de entornos
remotos de forma segura, tanto por lnea de comando como para entornos X, manejo llaves de seguridad pblicas y privadas RSA. APT=Advanced Packet Tool

ssh-keygen -t rsa1: genera una cadena conexin pblica, esta cadena de conexin sirve para poder iniciar sesiones ssh sin tipear la clave, para esto debemos enviar nuestra clave pblica a los sitios de conexin remota frecuente, estos sitios deben aadir nuestra llave en su lista de sitios autorizados y aadir la clave privada en nuestra mquina.
Generamos la clave pblica

Profesor: Walter Fuertes Daz.

Pgina de

Copiamos nuestra clave pblica en el sitio remoto al que queremos ingresar:

scp [nombre de archivo] root@DIR IP:/home/ : copia remota de archivos

Profesor: Walter Fuertes Daz.

Pgina de

4.

Asignacin manual de DIR IP

ifstatus [ethO]

Profesor: Walter Fuertes Daz.

Pgina de

ifconfig [ethO] [DIR IP][ MASK]up : Asignamos un ip virtual temporal a la interfaz eth0, que
se perder cuando reiniciemos el sistema

route add default gw [Dir IP del GW]: Asignamos un gatewal por default temportal
que se perder cuando reiniciemos el sistema, el la primera parte de este documento explicamos su comando y su interpretacin

5.

Revisn de ficheros importantes:

cat /proc/cpuinfo: Este archivo nos
muestra las caractersticas de nuestro procesador

Profesor: Walter Fuertes Daz.

Pgina de

/proc/meminfo: Este archivo nos muestra la informacin de la memoria Ram, swap y es usado por varios
comandos para mostrar resultados

Profesor: Walter Fuertes Daz.

Pgina de

/etc/fstab (ver el uso de los recursos): En este archivo se puede ver y modificar las particiones y
discos duros montados al inicio del sistema, es importante que estos datos sean los adecuados de tal forma de evitar dramas al inicio del sistema, los comandos que ayudan mucho en la edicin de este archivo son df, fdisk, se recomienda siempre editarlo con precaucin sobre todo para evitar que nuestro sistema no arranque

Profesor: Walter Fuertes Daz.

Pgina de

/etc/resolv.conf (ver la configuracin del DNS): En este archivo se almacena los servidores de
nombres a los que consulta nuestro sistema, el dominio al que pertenece.

/etc/bind/named.conf: Este archivo se crea cuando los servicios DNS estn levantados, es decir,
cuando el sistema brinda el servicio DNS

/etc/network/interfaces (ver el Direccionamiento IP): Este archivo muestra las direcciones IP,
mscara, red, broadcast, gateway, de las interfaces configuradas como estticas o se muestra como la figura siguiente en el caso de que las interfaces se configuren va DHCP

/etc/partitions: no logramos encontrar este archivo, sin embargo vimos el comando df que ns permite
saber el estados de las particiones en la primera parte del documento

6.

Manejo de archivos y cmo asignar permisos

mkdir, cd, rm, Is, pwd, chmod, chown, chgrp

En la grafica anterior mostramos la creacin de directorios, con el comando mkdir, el uso del comando pwd para saber en que directorio nos entontramos, el comando cd para cambiarnos de directorio, el comando touch para crear un archivo, el comando echo para aadir texto al archivo creado. Usamos el comando ls -l para listar el contenido de un directorio con detalles como permisos, propietario del archivo, su tamao, fecha de creacin. Profesor: Walter Fuertes Daz. Pgina de

Para cambiar de permisos usamos la siguiente sintaxis: chmod u+x archivo.txt significa que al usuario (propietario del archivo) le vamos a dar (+) permisos de ejecucin al archivo.txt Se puede usar las siguiente maneras:

chmod g+r archivo.txt, al grupo le damos permisos de lectura sobre el archivo.txt

chmod o-w archivo.txt otros usuarios que no sean el propietario ni estn en el grupo le quitamos permisos de escritura sobre archivo.txt

Para cambiar de usuario y grupo a un archivo se usa la siguiente sintaxis: chown usuario.grupo archivo.txt donde usuario representa el propietario del archivo y grupo representa al grupo al que pertenece el prpietario En nuestro ejemplo cambiamos de propietario de root al usuario guaramo con el grupo guaramo. Nota: Por cada usuario que se crea tambin se crea un grupo del mismo nombre, el usuario es el nico miembro del grupo en un inicio.

7.

Como detener, iniciar y re iniciar servicios

/etc/init.d/[Servicio] stop, star, restart. Por ejemplo el servidor APACHE (Web server) /etc/init.d/apache2 start
En el directorio /etc/init.d estn los scripts o enlaces a scripts que sirven para deneter, iniciar, reiniciar, ver el estado de los servicios del sistema, en la figura mostramos con un ejemplo usando el servicio virtualhost en debian

Profesor: Walter Fuertes Daz.

Pgina de

Comandos para SINCRONIZACIN

date: Sirve par ver la hora del sistema, se puede cambiar tambin la fecha y la hora usando el formato: date mmddhhmm (mm=mes, dd=da, hh=hora, mm= minutos)

time: este comando nos muestra entre otras cosas el tiempo que tarda un comando en ejecutarse, en el ejemplo mostramos con el comando ping con 4 peticines a google.com tarde 3.128 segundos

w: El comando nos muestra en la primera fila, la hora del sistema, el tiempo que el sistema est operativo
Profesor: Walter Fuertes Daz. Pgina de

en nuestro caso 2 horas 45 minutos, el nmero de sesiones abiertas ya sean locales, de consola locales o remotas, la carga del procesador cada 15 min, 10, y 5 min.

Luego nos muestra ordenado por columnas el usuario, el modo en que est en el sistema, desde donde est en el sistema, la hora que se hizo login, que aplcacin usa.

ntpd: network Time Protocol es un protocolo que se usa para la sincronizacin de horario en redes IP, usa el UDP para su transmicin, por lo general se usa en sistemas como centrales telefnicas para uso de reportes, medicin de horario en diferentes pases con diferentes horarios. Ntpd sirve para que la mquina local sea en so un servidor NTP ntpdate: sirve para setear la hora y fecha desde algn servidor NTP, tambin para consultar la hora de algn servidor ntp como se muestra.

sleep: mantiene la lnea de comando en estado dormido por la cantidad de segundos que se indique: sleep 5 (5 segundos)

Verificacin de seguridades en Linux

Consulte en el Web la estructura de un script-IPtable, disee uno, ejectelo y muestre sus resultados ipchains, iptables El esquema armado es el siguiente:

El obejtivo es dar internet a las mquinas virtuales (ubuntu instalado) a travs del host anfitrion (debian) usando scripts que configuren NAT. En la mquina virtual 1 levantaremos el servicio apache y ssh, bloquearemos el servicio para la maquina anfitrion y daremos el servicio para la mquina virtual 2 para los Profesor: Walter Fuertes Daz. Pgina de

dos servicios. Proceso: Por default el sistema anfitriion no permite el re-envio de paquetes de una interfaz a otra en nuestro caso queremos que las peticiones que se hagan a la interfaz vboxnet0 se redirijan a la interfaz eth0 para lograr nuestro hacer NAT. Para esto activamos el bit de re-envio que ser temporal mientras el computador est prendido:

En el equipo anfitrin que cuenta con dos interfaces eth0 y vboxnet0 se configura NAT, de tal forma que cuando las mquina virtuales que hagan peticiones hacia internet el host anfitrin redirija estas perticiones hacia la interfaz eth0 y justo antes de salir estas peticiones hacia internet, el host anfitrin deber cambiar la direccin ip de la peticin para que sea la direccin ip de la interfaz eth0 este proceso de cambio de direccin de origen se llama source NAT. Para hacer tal tarea usaremos IPTABLES.

iptables -t nat -A POSTROUTING -s 192.168.56.0/24 -o eth0 -j SNAT --to 192.168.1.121 Las opciones son las siguientes: -t nat, sirve para saber que las opciones posteriores al comando se refieren a la tabla nat -A POSTROUTING, aadir la regla a la cadena postrouting justo despus del enrutamiento, en nuestro caso cambiar la direccin ip de origen -s 192.168.56.0/24, -s=source, la regla se aplicar a los paquetes salgan desde la red 192.168.56.0 -o eth0, los paquetes que vengan del la red 192.168.56.0 saldrn por la interface eth0 que es la que tiene acceso a internet -j SNAT --to 192.168.1.121, cambia la direccin IP de origen a 192.168.1.121

Finalmente para guardar las reglas ejecutamos los comandos: iptables-save

Ahora dentro de la red 192.168.56.0 existe conexin a internet. Para la segunda parte instalaremos apache en nuestra mquina virtual 1 con direccin IP 192.168.51.121.

sudo aptitude install apache2

Tanto desde el host anfitrin como de la maquina virtual 2 se puede acceder al servidor apache y acceso ssh

Profesor: Walter Fuertes Daz.

Pgina de

Profesor: Walter Fuertes Daz.

Pgina de

Vamos a bloquear el acceso usando iptables a la mquina anfitrin, esto lo hacemos en la maquina virtual 1 con ip 192.168.56.101

Luedo probamos los accesos desde la mquina anfitrion con fracasos:

Y desde la mquina virtual 2 con xito

10

Consulte el contenido del archivo sudoers

En sistemas como ubuntu vienen por default habilitado el comando sudo, por seguridad para evitar que usuarios no permitidos usen instrucciones/comandos y causen daos, este archivo muestra los usuarios que pueden hacer uso de sudo, indica que los usuarios miembros del grupo admin tendrn todos los Profesor: Walter Fuertes Daz. Pgina de

privilegios del usuario root siempre que usen esudo por delante de cada comando ejecutar

11.

Fuentes Pginas de documentacin man de los sistemas operativos Debian y Ubuntu http://www.brennan.id.au/index.html, Miles Brennan http://albertomolina.wordpress.com, Alberto Molina Coballes http://wiki.kartbuilding.net, Details, Installation, & Set-up of Debian based Linux Servers

Profesor: Walter Fuertes Daz.

Pgina de