miércoles, 26 de septiembre de 2012

Primeros Pasos con Samba File Server; Configuración básica smb.conf

Siguiendo con este uHowTo, ahora pasamos a instalar samba en nuestro server.
Samba es servicio que permite interactuar con redes UNIX - Windows. Se pueden configurar con diversas formas de autenticación, ya sea por user/passwd; domain, server, o share.
Cada uno tiene su ventajas, de los cuales el menos aconsejable es el método share que como lo dice el mismo manual de Red Hat "Los desarrolladores de Samba no recomiendan el uso de la seguridad a este nivel."

 
Empecemos:

root@pruebas:~#aptitude install samba

Instalará las dependencias correspondientes y al final creará entre otras cosas el archivo de configuración de samba en /etc/samba/smb.conf

Luego agregamos los usuarios creados en el tutorial anterior a la base de datos de samba.
root@pruebas:~# smbpasswd -a user1
root@pruebas:~# smbpasswd -a user2
root@pruebas:~# smbpasswd -a user3
En cada uno nos va a pedir que ingresemos su contraseña respectiva que no necesariamente es la misma con la que se hace login en el sistema y es la que usaremos al momento de autenticarnos en los clientes en este caso en los clientes windows.
 
Creamos una copia de seguridad;
root@pruebas:~# cp -p /etc/samba/smb.conf /etc/samba/smb.conf.backup

Ahora para mayor comodidad vamos a eliminar las líneas comentadas. Ésto lo podemos hacer a mano pero la flexibilidad de la terminal y los scripts nos pueden hacer la tarea más facil. Para ello usaremos el comando sed como bien lo tiene documentado nuestros amigos de gentoo en español ( gracias www.gentoo.org por los manuales que son espectaculares). 
root@pruebas:/etc/samba# sed '/#/d' smb.conf.original > smb1.conf && rm smb.conf
root@pruebas:/etc/samba# sed '/^$/d' smb1.conf > smb.conf && rm smb1.conf
Con el primer comando elimino todas las líneas que empiezan con # y lo guardo en un archivo temporal smb1.conf y elimino el archivo smb.conf y con el segundo comando lo que hago es eliminar las líneas en blanco del archivo temporal smb1.conf y guardardo en smb.conf y elimino el archivo temporal smb1.conf.

Listo ahora nos queda un bonito smb.conf para empezar a personalizarlo deacuerdo a nuestras necesidades.

root@pruebas:/etc/samba# cat smb.conf
[global]
   workgroup = mipc
   server string = %h server
   dns proxy = no
   interfaces = 127.0.0.0/8 eth0 172.16.1.0/24
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   security = user
[homes]
   comment = Home Directories
   browseable = no
   read only = no
   create mask = 0755
   directory mask = 0755
   valid users = %S
[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   guest ok = no
   read only = yes
   create mask = 0700
[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browsable = yes
   read only = yes
   guest ok = no
 

Ahora empezaremos por modificar la línea:
         "workgroup = mipc"

En mi caso le puse = mipc; Ojo esto es el nombre de Grupo, no confundir samba es un servidor NetBios y el formato es solo el nombre, no se puede colocar por ejemplo mipc.com
Luego modificamos la línea:
 interfaces = 127.0.0.0/8 eth0 172.16.1.0/24
y ahí asignamos a samba en que interfaz debe escuchar y en que segmento de red. Yo por facilidad le he puesto que escuche en toda la red 172.16.1.0/24

Luego agregamos el parámetro:
security = user
Esto indica que para acceder a los recursos compartidos se tendrán que autenticar con un usuario/passwd válido en samba. Ojo no es lo mismo usuario de sistema que usuario de recursos compartidos en samba.

El resto de líneas las podemos dejar como está.   

Ahora, pasamos a configurar lo que deseamos compartir:
Yo voy a compartir la carpeta sistemas de propietario sistemas y grupo sistemas y una carpeta shared de propietario nobody y grupo nogroup.

[shared]
    comment = Compartido de users
    path = /home/compartido
    browsable = yes
    writable = yes
    force directory mode = 0777
    guest ok = yes
[sistemas]
    comment = Compartido de users
    path = /home/sistemas
    browseable = no
    writeable = yes
    force directory mode = 0750
    force create mode = 0750
    directory mask = 0750
    create mask = 0750
    force group = sistemas
    valid users = @sistemas
    read list = user3


Con esto he creado un recurso compartido llamado shared que tiene permisos 777 para todo lo que sea creado y que fuerce en cualquier caso contrario, además que se salte la autenticación por usuario con la línea guest ok = yes
Cosa que cualquiera pudiera modificar, leer, ejecutar todo lo que se encuentre aquí. Esto es un recurso útil cuando se quiere un directorio donde todos los usuarios de la red puedan compartir de manera fácil y sin restricciones.
Por el contrario, he creado un recurso sistemas donde sólo los usuarios que son parte del grupo sistemas pueden ingresar y eso lo hago con la línea valid users = @sistemas. Aquí he forzado a que cada carpeta creada por cada usuario tenga los permisos 750, osea que sólo el propietario tiene acceso total a lo que él crea y solo lectura y ejecución a los usuarios que forman parte del grupo sistemas. Esto con la finalizad de garantizar la autoria y autonomía de archivos al usuario creador.

Aqui podemos ver el poder de la jerarquía de permisos en UNIX-LINUX; y es que la línea read list = user3 la he colocado a propósito para verificar que a pesar de haberla colocado y que autoriza al user3 a por lo menos leer los archivos y directorios creados por los usuarios del grupo sistemas, el sistema samba no lo deja ni siquiera entrar, ya que el permiso para "otros" está deshabilitado con la máscara 770.

Con esto podemos seguir creando los recursos que quisieramos, por ejemplo para las diferentes áreas de la empresa que administramos, podemos separar por áreas como contabilidad, finanzas, gerencias, RRHH y que ellos no sepan que existen más recursos compartidos más que la que ha sido asignado.

Más adelante veremos como podemos obtener seguridad a través de usuarios autenticados contra LDAP y así poder configurar un controlador de dominio primario. Todo ésto es posible con el samba actual, que en debian squeeze es 3.5.6.

También veremos como la jerarquía de permisos tradicionales tienen algunas deficiencias frente a las ACL complejas que tienen los sistemas actuales de windows y su sistema de archivos NTFS. Pero en linux también tenemos ACL para manejar escenarios en que los permisos tradicionales simplemente no funcionan. Eso lo veremos en una próxima entrada.


Primeros pasos con Samba File Server. Entendiendo la Jerarquía de permisos.

He decidido adelantar este pequeña entrada ya que un seguidor me ha pedido apoyo en ésta a veces "complicada" tarea de configurar Samba con los parámetros mínimos de autenticación y que funcione como uno quiere.
Como ya expliqué en una de mis primeras entradas sobre tema de permisos en Linux, linux y en general UNIX siguen jerarquías al momento de tomar decisiones que involucran la seguridad de un directorio ya sea que esté compartido o de acceso local en nuestro servidor.
Para explicarlo mejor pondré un ejemplo:
Creo un usuario sistemas y por default me crea su home:
root@pruebas:~# adduser sistemas
root@pruebas:~# ls -l /home
drwxr-xr-x 3 sistemas sistemas 3096 sep 26 11:30 sistemas

Como vemos se ha creado el home de sistemas con propietario y grupo sistemas y con permisos 755. Esto y muchos parámetros más se pueden cambiar modificando el archivo de configuración /etc/adduser.conf
Nota: En centos al crear un usuario el home por defecto tiene permisos 700 (Centos 5.8). Yo lo que hago es que cambiarle permisos y ponerle 770 para que solo el propietario y los miembros del grupo puedan realizar todas las tareas en esa carpeta en sus carpetas creadas.

Ahora si tenemos más usuarios en el sistema y queremos que alguno de ellos pertenezcan al grupo sistemas. Por ejemplo tenemos user1 user2 user3 creados y queremos que user1 user2 pertencezcan al grupo sistemas:
root@pruebas:~# adduser user1 sistemas && adduser user2 sistemas


Entonces user1 y user2 podrán crear carpetas dentro del home sistemas y cada carpeta tendrá los permisos respectivos de cada usuario (755)
root@pruebas:/home/sistemas# ls -l
drwxr-xr-x 2 user1 user1 4096 sep 26 11:30 dir_creado_por_user1
drwxr-xr-x 2 user2 user2 5096 sep 26 11:31 dir_creado_por_user2

Hasta aquí todo normal y entendible.
Pero que pasa si user3 quisiera leer el contenido del directorio creado por user1 dentro del directorio sistemas?
Deacuerdo a la tabla de permisos asignados a dicho directorio, cualquier usuario tiene al menos permisos de lectura sobre él. En teoría, el user3 podría leer el contenido; pero si lo intentamos nos saldrá permiso denegado.
Pero que pasó?  Recuerden que yo cambié los permisos a la carpeta sistemas de 755 a 770, osea que, a menos que el user3 sea el propietario o pertenezca al grupo sistemas, no podrá ni siquiera leer el contenido del interior de sistemas.
Y esto es explicable por la jerarquía de permisos. La teoría dice que UNIX realiza un bucle recursivo sobre los permisos de los directorios y aplica el permiso más restrictivo. Esto porque linux y en general UNIX realiza la operación booleana OR (multiplicación) sobre el equivalente en bits de los permisos.
Para nuestro caso, esto sería:
SISTEMA OCTAL      SISTEMA BINARIO
        770                          111 111 000   ------------------> permisos de sistemas
        755                          111 101 101   ------------------> permisos dentro de sistemas   ------------------------------------------------------------------
        750                          111 101 000 (aplicamos OR = multiplicación)

Entonces nos resultaría que cualquier usuario que no sea el propietario ni pertezca al grupo no podrá ejecutar alguna acción sobre los directorios creados dentro de la carpeta sistemas.

#!/bin/bash
echo "Fin primera parte. Pulse enter para continuar"
if [enter=!0]
echo "presionó tecla equivocada"
fi
echo "end"

domingo, 23 de septiembre de 2012

Simple y Fácil; Server DHCP

Por temas laborales no he tenido tiempo para seguir llenando mi blog con entradas que nos ayuden en el día día de un administrador de red, por lo que hoy me he propuesto combinar la instalación de un server DHCP y DNS en un sólo repaso ya que esto lo emplearé para realizar una solución que resulta un poco confusa cuando se empieza a indagar por la web; es que realizar un servidor DHCP "dinámico" es una tarea un poco fina de majear.
Hoy instalaremos y dejaremos a punto de producción un servidor DHCP usando isc-dhcp-server y un servidor DNS usando bind9 de manera independiente pero funcional. Más adelante entraré en el "trabajo" de unir ambos servicios y generar un named.conf dinámico con las ip's asignadas a cada máquina con su nombre respectivo. Ésto para que cuando uno quiera probar conectividad con alguna máquina de nuestra red, no lo tengamos que realizar con su IP sino con su nombre designando, esto es: en lugar de realizar ping 172.16.1.x deberíamos poder realizar ping nombre_host ( por ejemplos: ping sistemas01) y así evitaríamos aprendernos cada IP asignada a cada máquina de cada usuario de cada departamento de la empresa donde administramos la red.
Siempre recalco que los pasos a seguir durante la instalación son para debian y derivados (con algunas pequeñas modificaciones) y para otras distribuciones si es un poco diferente pero las modificaciones de los archivos de configuración prácticamente es la misma.

Empecemos:

Instalacion de DHCP:
root@router:~# aptitude install isc-dhcp-server

luego modificar el fichero:
root@router:~# nano /etc/default/isc-dhcp-server

identificar la sgte línea:
INTERFACES="eth1"

y colocar la interfaz que recibirá las peticiones de IP's. Es muy común que nuestro DHCP también se comporte como gateway de nuestra red corporativa por lo que tendrá dos interfaces de red; normalmente la interfaz primaria eth0 es la que va conectada a la salida a internet y la eth1 es la que sirve a nuestra red interna, por eso en la línea INTERFACES coloco "eth1". Después de esto guardamos y cerramos y nos dirigimos a configurar nuestro server DHCP, ésto se consigue modificando el archivo:

root@router:~# nano /etc/dhcp/dhcpd.conf

En este archivo se coloca las configuraciones que definirán nuesto servidor DHCP como por ejemplo la puerta de enlace predeterminada, los DNS, el broadcast, la asignación estática de IP's etc.
Veamos un ejemplo de como en mi caso lo tengo instalado:


Es importante que se fijen que cada línea termina con ";" sino las colocan el servidor les va a mandar un error cuando se levante el servicio.
Con esas líneas básicas el servidor DHCP quedaría configurado; el rango de IP's a asignar van desde la IP 172.16.1.10 - 172.16.1.254 que es lo máximo que nos permite la máscara de red usada en este caso 255.255.255.0 ( o en hexadecimal /24)

Si iniciamos algún cliente (que puede ser una estación con windows) que se encuentre en la misma red de servicio de nuestro DHCP y verificamos el log del servidor veremos que el cliente le pide una IP al DHCP y éste le responde con una IP que se encuentra en el rango definido.



En este log podemos identificar lo sgte:
DHCPDISCOVER (para ubicar servidores DHCP disponibles) usuario.
DHCPOFFER (respuesta del servidor a un paquete DHCPDISCOVER, que contiene los parámetros iníciales)
DHCPACK (respuesta del servidor que contiene los parámetros y la dirección IP del cliente)


Como vemos, el servidor a identificado la MAC que solicita IP, le asigna la IP 172.16.1.210 y luego la guarda en su cache por el tiempo definido en archivo de configuración.

Para ver la tabla ARP del servidor podemos consultar al archivo:

root@router:~# cat /var/lib/dhcp/dhcpd.leases
# The format of this file is documented in the dhcpd.leases(5) manual page.
# This lease file was written by isc-dhcp-4.1.1-P1
server-duid "\000\001\000\001\027\306\303\032\010\000'\303w\247";

lease 172.16.1.210 {
  starts 1 2012/09/24 00:51:50;
  ends 1 2012/09/24 01:51:50;
  cltt 1 2012/09/24 00:51:50;
  binding state active;
  next binding state free;
  hardware ethernet 08:00:27:6c:73:4e;
  uid "\001\010\000'lsN";
  client-hostname "geren02";
}
Ahí se guarda la caché de las asignaciones de IP's que el servidor ha ido realizando. También le sirve como consulta ya que si un host es reiniciado antes del tiempo máximo de permanecer con una IP, éste le vuelve a reasignar la misma IP que tenía.

Ésta es la configuración base de todo servidor DHCP, al cual le iré agregando más cosas conforme las vaya requiriendo como por ejemplo, asignación de IP's estáticas a determinados host por medio de su MAC, o si deseamos un servidor PXE para arranque por red unido a un servidor TFTP y hasta asignación de IP's a VLANS que podamos crear en nuestra red interna como por ejemplo si tenemos 2 VLAN en nuestra red que podría ser la VLAN 10 = VLAN de host donde se encuentran las PC's de nuestra red que podría estar en el segmento 172.16.1.X /24 y la VLAN 20 = VLAN SIP donde se encontrarían nuestros teléfonos que usan el protocolo SIP y que se encuentren en el segmento de red 10.10.10.X /24 y así enlazaríamos nuestro servidor Asterisk (claro si tuvieramos uno en la red, particularmente tengo 2 asterisk locales y un asterisk remoto unido con el protocolo IAX administrándolos).