Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Red de computadoras

Configuracion Equipos LINUX – Servidores Areas Operativas

Anuncio 
Configuración Equipos LINUX – Servidores Áreas Operativas
Capacitación recibida por los siguientes funcionarios del IDEAM: Carlos Eduardo
PEDRAZA T, Luis Fernando RODRIGUEZ R, Cesar Augusto BOBADILLA M, Pablo
Nelson GONZALEZ P, Ricardo UMBARILA T y Julio Cesar FRANCO brindada por el
ingeniero de PULXAR: Gustavo Andrés PRADA, la tarde del lunes 5 y martes 6 de
febrero de 2007.
Versión de Linux: SUSE Linux Enterprise 10 para AMD64* e INTEL EM64T
Se puede instalar desde el DVD o con los 4 CD’s de distribución, si se compraron las
licencias se deben registrar.
Los equipos traen una versión preinstalada, por decisión del curso se opto por no utilizar
esa instalación. Se trabajo sobre ella para dar una inducción inicial y posteriormente se
generó el sistema operacional desde cero.
Debido a que el equipo DELL POWER EDGE SC440 posee muy buen espacio en
disco (2 discos SATA de 250GB) y buena cantidad de RAM (2 GB), se decidió también
tener un ARREGLO (RAID) con disco espejo (MIRRORING).
El procedimiento de Instalación del sistema operacional LINUX SUSE se limita a tres
grandes pasos, cada uno de ellos con sus tareas, como se muestra a continuación:
1. Preparación:
o
o
o
o
Idioma
Acuerdo de Licencia
Análisis del Sistema.
Zona horaria
2. Instalación:
o Resumen de la Instalación
o Realizar la Instalación
3. Configuración:
o
o
o
o
o
o
o
o
o
o
Nombre del Host
Contraseña de root
Red
Centro de Atención al Cliente
Actualización en Línea
Servicio
Usuarios
Limpiar
Notas de La Versión
Configuración de Hardware
A continuación se dan algunas pautas acerca del proceso de instalación, después del
encendido de la maquina y de colocar el DVD1 en la unidad respectiva, el sistema
empieza con el procedimiento, que se ilustra a continuación:






Seleccionar INSTALACION ( INSTALLATION).
Definición del Lenguaje de Instalación: Español.
Aceptar el acuerdo de Licencia.
NUEVA INSTALACION.
En la ventana: Reloj y Zona Horaria, seleccionar: América Central y del Sur,
Bogota, Hora Local y cambiarla si es necesario.
Hacer clic en PARTICIONAMIENTO.
o En la ventana “Propuesta de Particionamiento” activar Particionamiento de
forma Personalizada y nuevamente clic en Particionamiento Personalizado
(Para Expertos).
o Debido a que ya existe en el computador unas tablas de particiones, en esta
ventana se deben borrar las tablas de particiones de los dos discos (sda y
sdb), así: Experto, Suprimir tabla de particiones y Etiqueta de disco
indicando el disco y aceptando en la ventana de advertencia.
o Posteriormente se deben eliminar las .../dev/md0, para ello se hace clic en
borrar y responder “SI” a la ventana de advertencia.
o Ahora que ya se tiene la tabla de particiones vacía se debe empezar a crear
las nuevas tablas, estas deben ser idénticas para los dos discos, procediendo
así:
 Clic en crear, disco 1, Partición Primaria, clic en No formatear, En
identificación del sistema de archivos seleccionar: “0 x FD Linux
RAID, tamaño definido en megas (m) o Gigas (g).
 Hacer lo mismo, descrito en el punto anterior para el disco 2.
 Clic en RAID, crear RAID, seleccionar RAID1 (MIRRORING) y
finalmente dar clic en AÑADIR para ambos discos, formatear , tipo
de File Sytem: Reiser y especificar el punto de montaje.
 Así se debe proceder para cada una de las particiones. En la primaria
se crean: /boot de 100m, swap de 2g y / de 15g, las siguientes (/tmp
de 2g, /var de 10gb y /datos con lo restante) van en la secundaria o
extendida, finalmente, deben quedar las tablas como se muestra en la
figura 1.
Figura 1. Tabla de particiones del sistema Linux SUSE Server 10.

En la ventana de Configuración de Instalación, hacer clic sobre SOFTWARE para
realizar la selección del Software que se va a instalar, se aceptan los marcados por
DEFAULT, que son los siguientes:
o
o
o
o
o
1.
3.
5.
6.
8.
Sistema de Servidor Base.
Novell AppArmor.
Entorno de Tiempo de Ejecución de 32 bits.
Entorno de Escritorio GNOME para servidor.
Sistema X Window.
o 10. Print Server.
Se debe seleccionar el siguiente software adicional: squid, vsftp, apache2, k3b,
webalizer, kdm, kdenetwork3-instant-messenger (haciendo clic en detalles –
filtro - buscar se marcan para que se adicionen en la instalación).
Aparece después la ventana “Cambios Automáticos” con lo que se debe instalar
para no tener problemas de dependencias, clic en continuar, aceptar, confirmar la
instalación e instalar.
Ahora viene la parte de configuración:










Nombre de host: servidorXX (XX corresponde al numero del área operativa).
Nombre de dominio: ideam.gov.co
Desactivar la opción: Modificar nombre de host mediante DHCP
Contraseña de root:
la misma que se tiene para el FTP a bart.ideam.gov.co.
Cortafuegos:
habilitado
El puerto ssh debe quedar abierto.
Interfaces de Red: Configuración de las tarjetas de Red, ya que solo reconoce la
tarjeta de red adicional (REALTEK ...) se utilizara para la configuración de la
conexión a INTERNET (Red Externa), la otra (DELL...) debe instalarse
posteriormente y es la que se utiliza para la conexión a la red interna. La
configuración de la tarjeta de INTERNET varia de área operativa en área operativa
ya que aquí se definen las direcciones de la conexión a Internet, estos datos son
suministrados por el Proveedor de Servicios de INTERNET del área operativa (Ver
figuras 5, 6 y 7).
Administración Remota VNC, Activar la Opción de Permitir.
En Probar conexión a Internet, especificar: No, saltarse esta prueba.
En configuración de la instalación (Gestión de autoridades de certificación (CAs)),
especificar:
o No crear una unidad Certificadora.
o Desactivar servidor OpenLDAP.
o En Método de Autenticación, utilizar Autenticación local (/etc/passwd).



En Nuevo Usuario Local, crear el usuario admin con clave admin123 activar la
opción recibir correo del sistema y dar “SI” en la advertencia.
En la ventana : Notas de la Versión, clic en siguiente.
En configuración del hardware, aceptar la tarjeta grafica y el monitor, probar la
configuración y guardar, debe quedar como se aprecia en la figura 3.
En el mensaje de instalación finalizada, desactivar la opción de clonar este sistema para
Autoyast.

Ahora se debe intentar configurar la otra tarjeta de red, la de la red local o interna
(Dell Ethernet Controller), para ello se debe montar el dispositivo donde se tienen
los controladores, abrir y ejecutar (haciendo doble clic sobre el icono de archivo rpm
especificando que se quiere instalar), se debe proceder en el siguiente orden:
1. dkms-2.0.13-1.noarch.rpm
2. tg3-3.53d-9dkms.noarch.rpm
Figura 3. Configuración del Monitor

Posteriormente con YAST, dispositivos de red, tarjeta de red (Método tradicional
con ifup) editar y configurar la(s) tarjeta(s), clic en configuración de dirección
estática y asignar la IP 192.168.X0.254). Finalmente las tarjetas de red deben quedar
como se muestran en las figuras 5 y 6.
Figura 5. Configuración de la tarjeta de red interna DELL.
Figura 6. Configuración de la tarjeta de red externa (INTERNET) REALTEK.

En este mismo punto de edición de la tarjeta se debe configurar el gateway o puerta
de enlace o de encadenamiento del servidor, tal como se muestra en la figura 7.
Figura 7. Configuración de la puerta de enlace o gateway del servidor.

El teclado también se debe configurar, en la casilla de distribución debe
aparecer: Latin American, como se muestra en la figura 8.
Figura 8. Configuración del Teclado

Igualmente se debe especificar que se inicien algunos servicios en los niveles 3 y
5 del sistema, para realizar esto se debe desde YAST abrir sistema, editor
niveles de ejecución clic en modo experto buscar los servicios y marca los
niveles 3 y 5 aceptar y también aceptar la sugerencia que muestra a
continuación. Ver figuras 9 y 10.
Los servicios que se deben especificar son:
o Squid, SuSEfirewall2-setup y SuSEfirewall2-init
o samba (smb y nmb)
o vsftpd, apache2 y webalizer
Figura 9. Después de ejecutar YAST - sistema, activar Editor de Niveles de ejecución.
Figura 10. Modo Experto, servicio squid en los niveles 3 y 5.

Como parte final del proceso de instalación, viene el afinamiento, o sea la parte
de adecuación del servidor a las exigencias del IDEAM, esto incluye: la
configuración de las seguridades de los equipos de la red, el acceso remoto
desde la oficina de Informática en Bogota, el control de sitios de Internet
prohibidos, estadísticas de uso de la conexión, etc, para ello se ha creado el
script afine.sh que trata de realizar este afinamiento, este se encuentra en el
dispositivo utilizado para la configuración de las tarjetas de red y debe ejecutarse
en una terminal de la siguiente manera:
sh afine.sh
Lo que hace este script es copiar algunos archivos desde el dispositivo o medio
de configuración a los diferentes directorios del servidor, para que después se
realicen sobre estos archivos las correcciones pertinentes del área operativa, en
todos los casos se crea antes una copia del archivo original en su ubicación con
la extensión “.ori”.
Los archivos que necesitan modificación, son:




/etc/sysyconfig/SuSEfirewall2: Editar líneas: 99, 114 y 213.
/etc/squid/squid.conf; Editar líneas 54 y 1823. Cambiar el link de errors a
spanish.
/etc/squidguard.conf: Editar línea 11
/etc/samba/smb.conf: Editar líneas 6 y 7.
Estos simplemente se copian:








/etc/cups/cupsd.conf: Edita linea 696 (SystemGroup lp)
/etc/group: Edita incluyendo el usuario admin en lp
/etc/ssh/sshd_config: Edita puerto y nologin como root
/etc/inittab: Edita poniendo comentario a la línea 48 (ca:ctraltdel …)
/etc/sysconfig/displaymanager: Edita líneas 22 y 31.
/etc/vsftpd.conf y /etc/vsftpd.chroot.list: edita incluyendo lista de
usuarios autorizados.
/etc/weblizer/webalizer.conf: Edita ubicación de archivos y tipo de
archivos a utilizar, la ubicación del website, titulo del reporte, nombre
del servidor, etc.
Reiniciar el sistema y verificar que el servidor funcione correctamente.

Ahora se debe configurar la red y los estaciones Windows.
área Operativa 0X:
Nombre del servidor:
Mascara de red:
Las Ip’s de los DNS:
IP Servidor:
IP Estacion1:
Nombre Estacion1:
IP Estacion2:
Nombre Estacion2:
IP Estacion3:
Nombre Estacion3:
IP Estacion4:
Nombre Estacion4:
192.168.X0.0
servidor0X
255.255.255.0
Las da el Proveedor de la conexión INTERNET
192.168.X0.254
192.168.X0.101
estacion1
192.168.X0.102
estacion2
192.168.X0.103
estacion3
192.168.X0.104
estacion4
Grupo de Trabajo área Operativa: AREAOPEX
El gateway de la red será:
192.168.X0.254
El navegador Internet Explorer se configurara como (Herramientas,
Opciones de Internet, Conexiones), como se muestra en las figuras 11 y 12.
Figura 11. Configuración de INTERNET Explorer
Figura 12. Configuración de INTERNET Explorer,(Config. de LAN).
Todos los equipos Windows de la red local debe configurarse de la forma
mostrada en las Figuras 10 y 11, adicionalmente se debe instalar: WS_FTP95 u
otro FTP, Servidor de VNC preferiblemente Ultra VNC, Mensajería Instantánea
Jabber, Conexión al banco de datos (exceed, dtelnet o putty), Norton Antivirus.
Otras Notas Adicionales


herramienta para configurar el video: sax2.
en el firewall susefirewall2, debe activarse:
o fw_masq_nets=”IP origen/mascara, IP destino, TCP puerto, …, “
o fw_trusted_nets=”200.31.71.34, TCP, 22222” (desde donde se puede
hacer ssh por el puerto 22222 a este equipo.




chkconfig –e:
muestra las tareas que se arrancan automáticamente.
free –m:
muestra la cantidad de memoria del equipo.
which:
muestra la ubicación de un comando.
samba:
demonios (smb y nmb), testparam: chequea el archivo de
configuración de samba.
cups:
configuración de impresoras en el servidor. editar el
archivo: /etc/cups/cupsd.conf, quitar el comentario a la línea 696
(systemgroup lp), agregar usuario admin. al grupo lp (/etc/group) para que
sea este quien administre las impresoras a través de la Web.
(hhtp://localhost:631).
squid –ndc1:
ejecuta debug de squid.






no permitir sshd como root: editar /etc/ssh/ssd_config y quitar el comentario
a la línea 37 (permitrootlogin no). ssh –x medellín –l admin –p 22222
(ambiente grafico con ssh, al equipo medellín por el puerto 22222.
vnc /etc/xinet.d/vnc es el archivo de configuración.
o vncpasswd: asigna password para conectarse vía vnc.
o cd /.vnc/startup: script de arranque del vnc.
o se deben abrir los puertos 5901, 5902 y 5903
o no
permitir
vnc
como
root:
editar
el
archivo
/etc/sysconfig/displaymanager, y colocar “no” en las líneas 22 y 31
(displaymanager_remote_acess=”no”
y
displaymanager_root_login_remote=”no”).
webalizer:
muestra las estadísticas de uso de la conexiona Internet,
/etc/webalizer/webalizer.conf, necesita apache2 instalado y se ven los
resultados en http://localhost/webalizer/, debe ejecutarse en el cron el
webalizer todos los días.
para eliminar el control_alt_suprimir. editar el archivo /etc/inittab y colocar
comentario a la línea 48 (ca:ctraldel…..).


PRUEBAS QUE SE DEBEN REALIZAR.
Las siguientes son algunas de las pruebas que se deben realizar desde el
servidor:
o Ping a las 2 tarjetas del servidor: ping 192.168.10.254 (red interna) y
ping 200.74.158.2 (red externa).
o Ping a todos los computadores de la red interna.
o Ping a www.google.com
o Desde el Firefox a: http://www.ideam.gov.co y otros sitios de Internet.
o FTP a bart.ideam.gov.co
o Probar VNCVIEWER desde una terminal grafica del servidor, así:
vncviewer 192.168.10.101 (estación 1 de la red local).
o Probar ssh, así: ssh bart.ideam.gov.co –l jcfranco
o Probar las teclas: Control-Alt-Suprimir, para ver si apaga el computador,
la idea es que no se apague.
o Ojo probar los sitios web del ideam que utilizan puertos diferentes del
80.

Las siguientes son algunas de las pruebas que se deben realizar desde una de las
estaciones o computadores Windows de la Red Interna:
o
o
o
o
o
o
o
o
o
o
Ping al servidor: inicio, ejecutar ping 192.168.10.254 -t.
Ping al equipo del banco de datos y a otros computadores de la red.
Ping a www.google.com
Desde el Internet Explorer: http://www.ideam.gov.co y otros sitios de
Internet.
Desde el Internet Explorer probar el acceso a una pagina prohibida:
http://www.playboy.com
WS_FTP95 u otro FTP a bart.ideam.gov.co y al servidor del área
operativa (192.168.10.254).
Probar VNCVIEWER al servidor. (clic en ultraVNCViewer a
192.168.10.254:1
Utilizar la mensajeria instantánea Jabber
Mirar el entorno de red para ver si aparece el servidor samba y los demás
equipos de la red, si se configuro una impresora en el servidor, verificar
su funcionamiento.
Probar el acceso al banco de datos.
OJO: Revisar las paginas prohibidas en el servidor, no esta funcionando, los
clientes no pueden hacer ping a maquinas externas.

Las siguientes son algunas de las pruebas que se deben realizar desde Bogota.
o Ping al servidor del area operativa..
o WS_FTP95 u otro FTP al servidor del area operativa.
o
Probar VNCVIEWER al servidor del area operativa y desde alli a una de
las estaciones windows de la red local remota, asi como se muestra en la
siguiente figura.
Se pueden intentar otras cosas:





Hacer el Proxy transparente.
Activar /etc/hosts con los equipos locales y conocidos de otras áreas operativas.
Crear una pagina Web de inicio para el área operativa.
Tratar de que el banco de datos tenga conexión directa a Internet
o route add ….. gateway 192.168.X0.254
Script de backup del banco de datos en el servidor (un cron o mejor nfs).
o Exportar /h3 (exportfs /h3), potmap, exportfs, /etc/exports
o Montar en el servidor:
mount 192.168.X0.2:/h3 en /h3
o Ejecutar tar –cvfz ….
o Quemarlos en un cd
o Cron que elimine los viejos
Bogota Septiembre de 2007.
Descargar
Anuncio
Anuncio