Hoja de comandos servicios Linux online PDF

Preview

Summary

fdafa...

Description

Hoja de comandos/servicios Linux SCRIPT ENRUTADOR (permitir acceso de la red2): echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 0/0 -j MASQUERADE iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT iptables-save > /etc/iptables.rules necesitará permisos de ejecución: chmod +x enruta2.sh ejecutar el script ./enruta2.sh añadir en /etc/network/interfaces en la tarjeta de red que corresponda, escribir: pre-up iptables-restore < /etc/iptables.rules

VER TABLA DE RUTAS: route -n

DHCP isc-dhcp-server→ /etc/dhcp/dhcpd.conf subnet 192.168.2.0 netmask 255.255.255.0{ range 192.168.2.33 192.168.2.43; option routers 192.168.2.254; option domain-name-servers 192.168.2.254, 8.8.8.8;} //ip fija para la tarjeta de red específica(fantasia): host ubuntu-cliente { hardware ethernet 00:11:22:33:44:55; fixed-address 192.168.199.3; option routers 192.168.199.254;} (reiniciar isc-dhcp-server y interfaces del cliente)

errores: tail /var/log/syslog Concesiones: /var/lib/dhcp/dhclient.leases solicitar config dhcp para una interfaz: dhclient ens33 dejar release config dhcp: dhclient -r ens33

Autenticación HTTP básica // crear contraseñas para los usuarios // la primera vez usar -c crea el fichero

DNS

DDNS

Apache2

en /etc/bind/named.conf.options añadir: forwarders {8.8.8.8; 8.8.4.4;};

En el DNS PRIMARIO activar la actualización de DNS por dhcp → editar /etc/dhcp/dhcpd.conf y añadir: ddns-updates on; ddns-update-style interim; ddns-domainname “asir2.local”; ignore client-updates; update-static-leases on; //y debajo las zonas: zone asir2.local. { primary 127.0.0.1; } zone 2.168.192.in-addr.arpa. { primary 127.0.0.1; } zone 199.168.192.in-addr.arpa. { primary 127.0.0.1; }

apt-get install apache2 control de errores → apache2ctl -t crear nuevo host virtual basado en NOMBRE: //en /etc/apache2/sites-available crear archivo // sitio.conf:

ServerName sitio.org DocumentRoot /var/www/sitio DirectoryIndex inicio.html ErrorDocument 404 “...” ErrorLog /var/log/apache2/sitio.red/error.log CustomLog /var/log/apache2/sitio.red/access.log com Alias /wiki/ “/home/user/wiki/” Redirect permanent “/noticias” “https://larioja.com”

Options Indexes FollowSymLinks Require all granted

ejemplo fichero de zona directa -> db.asir2.local: $ORIGIN asir2.local. @ IN SOA dns1.asir2.local. admin.asir2.local. ( 2016110901 ; Serial etc… ; @ IN NS dns1.asir2.local. @ IN NS dns2.asir2.local. dns1 IN A 192.168.2.254 www IN CNAME dns1.asir2.local. dns2 IN A 192.168.2.10 $GENERATE 1-200/1 PC$ IN A 192.168.199.$ ejemplo fichero de zona inversa -> db.asir2.rev2 $ORIGIN 2.168.192.in-addr.arpa. @ IN SOA dns1.asir2.local. admin.asir2.local. ( 2016110901 ; Serial etc… ; @ IN NS dns1.asir2.local. 254 IN PTR dns1.asir2.local. 254 IN PTR www.asir2.local. 10 IN PTR dns2.asir2.local. $GENERATE 1-200 $ IN PTR pc$.asir2.local. named.conf.local: //en MAESTRO indicar las zonas directas e inversas: zone “asir2.local” { type master; file “/etc/bind/db.asir2.local”; //transferir a esclavo: allow-transfer { 192.168.2.10; }; }; //en ESCLAVO indicar zonas que se transferirán: zone “asir2.local”{ type slave; file “/var/cache/bind/db.asir2.local”; masters {192.168.2.254; }; };F

//en /etc/bind editar las zona definidas en named.conf.local añadiendoles a cada una de ellas dentro: journal “asir2.local.jnl”; allow-update { 127.0.0.1; }; journal “2.local.jnl”; allow-update { 127.0.0.1; }; journal “199.local.jnl”; allow-update { 127.0.0.1; }; //reiniciar dhcp y bind9 //reiniciar interfaces de sus clientes dhcp //si está bien aparecerán los archivos .jnl en /var/cache/bind

//añadirlo en dns o /etc/hosts(del cliente) //activarlo → a2ensite sitio //recargar apache → service apache2 reload host virtuales basados en IP //cambia solo la primera línea por:

... hosts virtuales basados en PUERTOS // añadir en /etc/apache2/ports.conf los puertos Listen 8080 //cambia solo la primera línea por:

… Consultar los puertos que están escuchando

ss -plant Copia de seguridad de Apache tar -czvf copia.tar.gz /etc/apache2 mensajes de códigos de error en: /etc/apache2/sitesavailable/(la pagina que quieras servir) ErrorDocument 404 “ lo que quieras que aparezca” ErrorDocument 404 /no_encontrada.html

htpasswd -c /etc/apache2/passwd usuario1

MÓDULOS

//en el directorio que queremos controlar el acceso AuthName “CONTROL DE ACCESO” AuthType Basic AuthUserFile /etc/apache2/.htpasswd Require user usuario1 usuario2

userdir→ permite a los usuarios servir lo que se encuentre en su carpeta /home/usuario/public_html // crear la carpeta public_html y activar módulo a2enmod userdir // para acceder usar la url: www.dominio.org/~usuario

Permitir uso de .htaccess solo poner en directory este permiso:

AllowOverride All

//crear fichero /home/usuario/.htaccess con las directivas en la carpeta del usuario poner las directivas que queramos. si queremos http básica hay que guardar aquí los usuarios.

PHP → servir php en carpetas public_html //instalarlo apt-get install php libapache2-mod-php //activarlo a2enmod php7.0 // editar /etc/apache2/mods-available/php7.0.conf //comentar el último bloque

Archivos a servir por defecto (dentro de directory) DirectoryIndex archivo.html archivo.php

//archivo de prueba para php

Servir carpetas fuera de /var/www Require all granted Alias Alias /home /home/usuario

Require all granted ...

// ahora dominio.org/home servira /home/usuario .htaccess para no listar ficheros peligrosos

Require all denied

Modulos de seguridad libapache2-mod-security2 (En apache2.conf)

SecRuleEngine on ServerTokens Full SecServerSignature “Servidor Privado”

libapache2-mod-evasive (bloquea DDoS)

Rewrite //No mostrar www Options +FollowSymlinks RewriteEngine on RewriteCond %{http_host} ^www\.iesrioja\.red[nc] RewriteRule ^(.*)$ http://iesrioja.red/$1 [r=301,nc]

SSL - HTTPS //activar modulo instalar openssl //generar clave y certificado en /etc/apache2/ssl openssl req -x509 -nodes -days 365 -newkey rsa:4096 -keyout clave.pem -out certi.pem //habilitar modulo ssl a2enmod ssl //crear sitio

//completo por sia caso

ServerName sitio1.delarioja.red DocumentRoot /home/delarioja/sitio1 SSLEngine On SSLCertificateFile /etc/apache2/ssl/delariojaXX.crt (o también certi.pem) SSLCertificateKeyFile /etc/apache2/ssl/delariojaXX.key (o también clave.pem)

Options Indexes FollowSymlinks MultiViews AllowOverride None

Require all granted Require not ip 192.168.1.1

// Añadir en /etc/apache2/ports.conf Listen 443 // Habilitar el sitio que hemos modificado o creado $ sudo a2ensite

// a partir de que reiniciamos apache este sitio usará el protocolo https https://dominio

DIRECTIVAS apache2: sobre carpetas o directorios→ sección Directory

…

sobre archivos→ sección Files // ejemplo para que no se sirvan archivos .jpg

require all denied

listado de contenido // permite // deniega Options Indexes // Options -Indexes acceso activar sitio → a2ensite sitio desactivar sitio → a2dissite sitio activar módulo→ a2enmod módulo desactivar módulo→ a2dismod módulo ---------------------COMPROBAR DNS --------------------directa→ dig dns1.asir2.local @192.168.2.254 inversa→ dig -x 192.168.2.254 @192.168.2.254

Otras comprobaciones de DNS: named-checkzone -> ficheros de zona //ejemplo named-checkzone asir2.local db.asir2.local named-checkzone 0.10.in-addr.arpa db.10.0 named-checkconf -> comprobación global ls -la /var/cache/bind -> comprobar que aparecen o se han transferido al esclavo los ficheros de zona tail -f /var/log/syslog //DNS /etc/resolv.conf resolvectl statistics resolvectl query larioja.org //Consultas con dig dig delarioja.org dig delarioja.org @127.0.0.1 //sniffer DNS sudo tcpdump -ni any udp port 53 StubListener > Editar /etc/systemd/resolved.con Reiniciar servicio > sudo systemctl restart systemd-resolved sudo ln -s /run/systemd/resolve/resolv.conf /etc/...