Servidor Debian Squeeze tercera parte
Servidor Internet
Servidor HTTP
Apache2
Instalación
root@server:~# aptitude install apache2 apache2-doc
Verificación
En un navegador web, debemos escribir la dirección del servidor ( http://192.168.1.100/ ):
Apache2 + Ssl
Objetivo
La adición del soporte ssl al servidor web permite establecer conexiones seguras y encriptadas entre el servidor y el cliente. De este modo, es posible cambiar contraseñas, con la certeza de que éstas no podrán ser interceptadas por terceros.
De esta forma, es posible usar conexiones seguras como base para la implementación de otros servicios como, por ejemplo, un servidor webmail.
Configuración
Durante la instalación de apache2 se crea una configuración para acceso seguro (https). Por tanto, esta configuración debe ser modificada para incluir los certificados auto-firmados generados previamente().
Esta configuración se almacena en el archivo /etc/apache2/sites-available/default-ssl:
# [...]
# SSL Engine Switch:
# Enable/Disable SSL for this virtual host.
SSLEngine on
# A self-signed (snakeoil) certificate can be created by installing
# the ssl-cert package. See
# /usr/share/doc/apache2.2-common/README.Debian.gz for more info.
# If both key and certificate are stored in the same file, only the
# SSLCertificateFile directive is needed.
SSLCertificateFile /etc/ssl/certs/server.crt
SSLCertificateKeyFile /etc/ssl/private/server.key.insecure
# [...]
Después, debe activarse el módulo ssl:
root@server:~# a2enmod ssl
Enabling module ssl.
See /usr/share/doc/apache2.2-common/README.Debian.gz on how to configure SSL and create self-signed certificates.
Run '/etc/init.d/apache2 restart' to activate new configuration!
Y el nuevo site también debe activarse:
root@server:~# a2ensite default-ssl
Enabling site default-ssl.
Run '/etc/init.d/apache2 reload' to activate new configuration!
Finalmente, debe reiniciar el servicio:
root@server:~# /etc/init.d/apache2 restart
Verificación
En un navegador de internet, inserte la dirección del servidor ( https://192.168.1.100/ ). Después aparecerá el aviso del certificado auto-firmado:
Firefox alertará sobre la existencia de un certificado auto-firmado que, obviamente, no podrá garantizar. Para evitar esta alerta en el futuro, es necesario añadir el certificado a la lista de excepciones de Firefox.
Apache2 + Php5
Objetivo
Expandir la funcionalidad del servidor de internet, activando el soporte php.
Instalación
root@server:~# aptitude install php5 libapache2-mod-php5
Reiniciar el servidor apache2:
root@server:~# /etc/init.d/apache2 restart
Verificación
Para verificar la instalación del soporte php, basta con crear una página de Internet que muestre las características de la instalación php. En este caso, se creará una página en /var/www/phpinfo.php:
<?php
phpinfo();
?>
Con el navegador de Internet y escribiendo la dirección http://192.168.1.100/phpinfo.php , se podrá acceder a la página:
De la misma manera, también puede ser verificado el acceso seguro a través del protocolo https utilizando la dirección https://192.168.1.100/phpinfo.php .
Una vez verificado el funcionamiento, deberá apagarse la página de pruebas, dado que las informaciones que ésta contiene pueden comprometer la seguridad del servidor:
root@server:~# rm /var/www/phpinfo.php
Apache2 + Php5 + Mysql
Objetivo
Expandir la funcionalidad del servidor de Internet, activando el soportemySQL del php.
Instalación
root@server:~# aptitude install php5-mysql
Reiniciar el servidor apache:
root@server:~# /etc/init.d/apache2 restart
Verificación
Para verificar la instalación del soportemySQL del php, basta con crear una página de Internet que muestre las características de la instalación php. En este caso, se creará una página en /var/www/phpinfo.php:
<?php
phpinfo();
?>
En seguida puede buscarse la página en un navegador de internet, escribiendo la dirección http://192.168.1.100/phpinfo.php. La información sobre el controlador mysql debe aparecer:
El controlador mysqli también debe aparecer disponible:
Una vez realizada la prueba de funcionamiento, se debe apagar esta página de prueba, porque la información que contiene puede comprometer la seguridad del servidor:
root@server:~# rm /var/www/phpinfo.php
Apache2: páginas personales
Objetivo
Ofrecerle a cada usuario la posibilidad de crear páginas de Internet personales.
Configuración
Una vez que la instalación del servidor http concluye, la configuración del soporte para crear páginas personales se consigue con la activación del módulo userdir del servidor apache2:
root@server:~# a2enmod userdir
Enabling module userdir.
Run '/etc/init.d/apache2 restart' to activate new configuration
Activar soporte PHP
La ejecución de scripts php está desactivada en las páginas personales. Para activarla, se necesita comentar la línea php_admin_value engine Off en el archivo /etc/apache2/mods-available/php5.conf:
# [...]
# To re-enable php in user directories comment the following lines
# (from <IfModule ...> to </IfModule>.) Do NOT set it to On as it
# prevents .htaccess files from disabling it.
<IfModule mod_userdir.c>
<Directory /home/*/public_html>
# php_admin_value engine Off
</Directory>
</IfModule>
# [...]
Luego, reiniciar el servidor apache2:
root@server:~# /etc/init.d/apache2 restart
De esta manera, queda activado el soporte para páginas personales en el servidor http.
Utilización
Las páginas personales son accesibles a través de una dirección del género " ". Cuando el servidor recibe un pedido de este género, intenta encontrar el contenido en un directorio específico llamado public_html en la carpeta home del usuario. Por tanto, para que cada usuario pueda crear sus propias páginas, debe primero, crear un directorio llamado "public_html" en su carpeta home, donde ubicará sus contenidos.
fribeiro@server:~$ mkdir ~/public_html
Una vez creado el directorio, el usuario puede comenzar a crear contenidos.
Verificación
Utilizando un navegador, escriba una url que apunte hacia las páginas personales de un usuario:
NOTA:Los espacios personales "heredan" todas las potencialidades del sitio principal. En otras palabras, el usuario tiene activado el soporte para php, las conexiones seguras, el acceso a bases de datos de mySQL, etc.
*******************************************************************************************************************************
Servidor FTP
Un servidor FTP permite compartir archivos de un manera simple. Es el sistema ideal para almacenar archivos que requieran acceso en modo lectura como, por ejemplo, archivos de música, videos, drivers de hardware, etc.
Además, cuando se configura con soporte TLS/SSL, puede accederse desde el exterior de una forma segura.
ProFTPD
Objetivo
Configurar un servidor ftp para uso de la red interna.
NOTA:El protocolo ftp se considera inseguro, porque los nombres de los usuarios y sus contraseñas se transmiten como simple texto, es decir, sin protección. Por esto, son fáciles de interceptar por terceros. Por esta razón, el servidor ftp sólo debe ser utilizado dentro del ambiente relativamente seguro de la red interna. En caso de que se pretenda utilizar un servidor ftp de modo seguro, debe añadirse el soporte para TLS (Ver: Proftpd + TLS/SSL)
Instalación
root@server:~# aptitude install proftpd-basic proftpd-doc
Durante la instalación, debe seleccionarse el modo de funcionamiento "standalone":
Configuración
Toda la configuración de ProFTPD queda almacenada en el archivo /etc/proftpd/proftpd.conf.
La instalación está predeterminada para activar el soporte IPV6 de ProFTPD. Como nuestro servidor apenas soporta IPV4, la opción IPV6 debe desactivarse, con el fin de evitar mensajes de error durante el arranque del servicio.
#[...]
# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6 off
#[...]
Verificar que el servidor esté configurado como standalone:
#[...]
ServerName "Debian"
ServerType standalone
DeferWelcome off
#[...]
Finalmente, reiniciar el servidor ftp:
root@server:~# /etc/init.d/proftpd restart
Opciones de seguridad: restricción de accesos
De forma predeterminada, el servidor ProFTPD permite que el usuario navegue por todo el sistema de archivos al que normalmente tiene acceso. Sin embargo ProFTPD permite restringir el acceso a tan sólo una sección de las ramas del árbol de directorios. De esta forma, el cliente queda confinado a estas ramas, y por ende, no puede acceder a ningún recurso por fuera de este ámbito, lo que constituye una opción muy segura.
En el archivo de configuración de ProFTPD, el parámetro DefaultRoot debe indicar el directorio que permitirá el acceso del cliente vía ftp.
Acceso restringido al home del usuario
Para esto, basta con indicar ~ como DefaultRoot en el fichero /etc/proftpd/proftpd.conf:
#[...]
# Use this to jail all users in their homes
DefaultRoot ~
#[...]
Acceso restringido a un directorio específico
En este caso, se restringe el acceso a un solo directorio específico dentro del directorio home. Para esto, debe crearse primero el respectivo directorio, y después modificar la configuración del servidor en el archivo /etc/proftpd/proftpd.conf:
#[...]
DefaultRoot ~/ftp
#[...]
En seguida, cada usuario que pretenda acceder vía ftp, debe crear un directorio llamado ftp, en su home:
fribeiro@server:~$ mkdir ~/ftp
Por último, debe reiniciar el servicio ftp para activar las alteraciones:
root@server:~# /etc/init.d/proftpd restart
Utlización
Al servidor ftp se puede acceder a través de un simple navegador, o utilizando un cliente ftp, como Filezilla:
En ambos casos, el acceso sólo será permitido, mediante la validación del nombre del usuario y su contraseña.
Acceso ftp anónimo
Objetivo
El paquete ProFTPD puede configurarse de modo que permita el acceso a usuarios anónimos en nuestra área restringida. Para evitar usos abusivos, el acceso anónimo sólo debe permitir el acceso en modo lectura, prohibiendo cualquier escritura en el área anónima.
Por seguridad, el acceso también debe restringirse al directorio home de ProFTPD, situado en /home/ftp.
Configuración
Debe activarse la sección Anonymous del archivo /etc/proftpd/proftpd.conf:
#[...]
# A basic anonymous configuration, no upload directories.
<Anonymous ~ftp>
User ftp
Group nogroup
# We want clients to be able to login with "anonymous" as well as "ftp"
UserAlias anonymous ftp
# Cosmetic changes, all files belongs to ftp user
DirFakeUser on ftp
DirFakeGroup on ftp
RequireValidShell off
# Limit the maximum number of anonymous logins
MaxClients 10
# We want 'welcome.msg' displayed at login, and '.message' displayed
# in each newly chdired directory.
DisplayLogin welcome.msg
DisplayChdir .message
# Limit WRITE everywhere in the anonymous chroot
<Directory *>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
# Uncomment this if you're brave.
# <Directory incoming>
# # Umask 022 is a good standard umask to prevent new files and dirs
# # (second parm) from being group and world writable.
# Umask 022 022
# <Limit READ WRITE>
# DenyAll
# </Limit>
# <Limit STOR>
# AllowAll
# </Limit>
# </Directory>
</Anonymous>
Luego, reiniciar el servicio ftp para activar las alteraciones:
root@server:~# /etc/init.d/proftpd restart
Utilización
Al servidor ftp se puede acceder a través de un simple navegador, o utilizando un cliente ftp, como Filezilla:
Acceso seguro FTPS (TLS/SSL)
Objetivo
El protocolo ftp se considera inseguro, porque los nombres de los usuarios y sus contraseñas se transmiten como simple texto, es decir, sin protección. Por esto, son fáciles de interceptar por terceros.
Sin embargo, el servidor ProFTPD puede ser configurado de modo que pueda exigir la autenticación a los usuarios, así como la transmisión de datos encriptados con la activación del soporte TLS (Transport Layer Security).
Configuración
De manera predeterminada, la configuración de ProFTPD (ver ProFTPD), el soporte TLS (mod_tls.c) está desactivado. Su activación tiene dos etapas. Primero se debe configurar el módulo TLS en el archivo de configuración /etc/proftpd/tls.conf Segundo, esta configuración debe incluirse en el archivo principal /etc/proftpd/proftpd.conf.
La configuración del módulo TLS se hace en el fichero /etc/proftpd/tls.conf:
# [...]
<IfModule mod_tls.c>
TLSEngine on
TLSLog /var/log/proftpd/tls.log
TLSProtocol SSLv23
# [...]
# Server SSL certificate. # [...]
# [...]
TLSRSACertificateFile /etc/ssl/certs/server.crt
TLSRSACertificateKeyFile /etc/ssl/private/server.key.insecure
# [...]
# Are clients required to use FTP over TLS when talking to this server?
#
TLSRequired on
# [...]
Los certificados usados TLSRSACertificateFile y TLSRSACertificateKeyFile ya fueron generados previamente, en Certificados Ssl. La opción TLSRequired on obliga a que los clientes ftp utilicen el protocolo TLS, en caso contrario, la conexión será rechazada. Si esta opción fuera desactivada (TLSRequired off), el servidor aceptará conexiones seguras e inseguras.
Esta configuración debe incluirse en el archivo de configuración principall /etc/proftpd/proftpd.conf:
# [...]
#
# This is used for FTPS connections
#
Include /etc/proftpd/tls.conf
# [...]
Por último, debe reiniciarse el servicio ftp para activar las alteraciones:
root@server:~# /etc/init.d/proftpd restart
Utilización
Al servidor ftp puede accederse a través de un cliente ftp que soporte el protocolo TLS, como Filezilla. Para esto, deberá indicarse explícitamente que pretendemos una conexión al servidor ftp explícitamente con TLS:
Luego de que se establezca la conexión, aparecerá una ventana donde se muestra el certificado utilizado y se pide que se confirme:
Cuando se acepte el certificado, todas las comunicaciones entre el cliente y el servidor estarán encriptadas y seguras.
NOTA:En caso de que el servidor ftp permita el acceso anónimo, éste continuará activo. Es decir, seguirán permitiéndose las sesiones anónimas, pero el intercambio de datos se realizará de modo encriptado. Para garantizar que sólo los usuarios autorizados puedan acceder al servidor ftp el acceso anónimo debe ser desactivado.
*******************************************************************************************************************************
WebDAV
El protocolo WebDAV (Web-based Distributed Authoring and Versioning, o Creación y Distribución de Contenido vía Web,) es una extensión del protocolo HTTP que soporta escritura y permite modificar archivos en un servidor web. Esto hace posible no sólo la creación y actualización de contenidos de sitios web de una forma fácil, sino el uso de otras aplicaciones, como la creación de calendarios compartidos, la centralización de los marcadores de Firefox o incluso el acceso a los documentos alojados en el servidor desde el Explorador de MS Windows, con la función de "carpetas compartidas".
Servidor WebDAV
Instalación
Todos los módulos de apache2 ya fueron instalados cuando se configuró el Servidor Apache2.
Configuración
En primer lugar, se debe crear el directorio donde se almacenarán los contenidos. El directorio debe estar en el sistema de archivos del servidor, con sus derechos de acceso definidos de forma correcta:
root@server:~# mkdir /var/www/webdav
root@server:~# chgrp www-data /var/www/webdav
root@server:~# chmod g+w /var/www/webdav
Luego, la localización webdav debe ser añadida a la configuración apache2. El acceso al área webdav debe estar limitado a los usuarios autorizados. Para esto, será definida en el servidor web una localización /webdav protegida, tal fin se logra al crear o editar el archivo /etc/apache2/conf.d/webdav:
Alias /webdav /var/www/webdav
<Location /webdav>
DAV On
AuthType Digest
AuthName "webdav"
AuthUserFile /etc/apache2/webdav.passwd
Require valid-user
</Location>
El módulo dav_fs debe estar activo:
root@server:~# a2enmod dav_fs
El módulo de autenticación auth_digest también debe estar activo:
root@server:~# a2enmod auth_digest
También debe crearse el archivo de autorizaciones para el recurso webdav, con los usuarios y sus respectivas contraseñas:
root@server:~# htdigest -c /etc/apache2/webdav.passwd webdav fribeiro
Adding password for fribeiro in realm webdav.
New password:
Re-type new password:
La opción -c crea el archivo de nuevo. Para añadir otro usuario, esta opción debe omitirse.
Finalmente, la nueva configuración del servidor apache2 debe ser cargada::
root@server:~# /etc/init.d/apache2 reload
Verificación
Para probar la configuración, sólo necesita acceder al servidor webdav desde un cliente como cadaver. El cliente debe instalarse primero:
root@server:~# aptitude install cadaver
Luego acceder a la zona webdav del servidor:
root@server:~# cadaver http://server.home.lan/webdav
Authentication required for webdav on server `server.home.lan':
Username: fribeiro
Password:
dav:/webdav/> quit
Connection to `server.home.lan' closed.
El servidor está listo para contener un archivo de calendario ( ) o sincronizar los favoritos de Firefox ( ) incluso puede accederse al servidor webdav directamente desde el explorador de Windows ( ).
Espero que les sea de utilidad...
Primera Parte:
Segunda Parte:
http://www.servidordebian.org/es/start