Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

--- info:cursos:pue:lpic2-2021:s9 [02/03/2021 09:16] – mate
+++ info:cursos:pue:lpic2-2021:s9 [02/03/2021 12:50] (actual) – [Web Services] mate
@@ Línia 8: / Línia 8: @@
 == Clase
 === DNS
-==== DNS: Laboratorio (continuación [[info:cursos:pue:lpic2-2021:s8#dnslaboratorio]])
+==== DNS: Laboratorio
+continuación de [[info:cursos:pue:lpic2-2021:s8#dnslaboratorio]]
+  * ficheros de configuración para el master del servidor DNS
 <code; named.conf>
 options {
- directory "/var/named"; # aunque esté enjaulado, no lo sabe...
+ directory "/var/named"; %%//%% aunque esté enjaulado, no lo sabe...
  forwarders{
-.58.0.33;
+.8.8.8;
+.8.4.4;
  };
  allow-transfer{
@@ Línia 170: / Línia 172: @@
 ; End of File
 </code>
+<code; /etc/resolv.conf>
+nameserver 192.168.2.5
+nameserver 192.168.2.152
+search curso.esp
+domain curso.esp
+</code>
+  * **/etc/sysconfig/network-scripts/icfg-enp0s3**:<code>
+PEERDNS=No
+DNS1=<IP_DNS>
+DNS2=<IP_DNS></code>
+    * para que no sobreescriba el **resolv.conf** (el DHCP o Vagrant) y mantenga los DNS que yo le diga
+  * ''dig''
+==== DNS: Laboratorio
+  * DOC: Material Practicas LPIC-2/LPIC-202/1-Domain Name Server/2-Laboratorio DNS RedHat7.pdf
+  * <code named.conf>options {
+ directory "/var/named";
+ forwarders{
+.8.8.8;
+.168.2.1;
+ };
+// allow-transfer{
+//  192.168.2.5;
+//  192.168.2.3;
+//  };
+//
+};
+zone "." {
+ type hint;
+ file "named.ca";
+};
+zone "curso.esp"{
+ type slave;
+ file "slaves/db.curso";
+ masters { 192.168.2.5; };
+};
+zone "2.168.192.IN-ADDR.ARPA"{
+ type slave;
+ file "slaves/db.192.168.2";
+ masters { 192.168.2.5; };
+};
+</code>
+  * <code; /etc/resolv.conf>
+nameserver 192.168.2.5
+search curso.esp
+domain curso.esp
+</code>
+  * ''cp named.ca /var/named/chroot/var/named/''
+  * ''cp named.conf /var/named/chroot/etc/''
+  * ''mkdir /var/named/chroot/var/named/slaves''
+  * ''chmod -R 770 /var/named/chroot/var/named/slaves''
+  * ''chown -R named:named /var/named/chroot/var/named/slaves''
+  * ''service named restart'' <- centos6 sin systemctl
+=== DNS (continuación)
+  * masterfile-format:
+    * indica en que formato se transfieren las zonas desde el master: text,raw,map
+    * [[https://fpgenred.es/DNS/estamento_masterfileformat.html]]
+  * ''dig'' (pag.262),''nslookup'',''host''
+    * ''host -t NS curso.esp''
+  * DOC: Manual Certificacion LPIC-2.pdf, pag. 254
+  * añadir nueva zona esclava en el master:<code>
+zone "nombrezona" {
+  type slave;
+  masters { 192.168.x.x; };
+  file "db.miempresa.com";
+  masterfile-format text;
+};</code>
+  * añadir a **named.conf** para que escuche en un puerto/ip determinados:<code>
+options {
+ directory "/var/named";
+ listen-on port 53 { IP_escucha; };
+ forwarders{
+.8.8.8;
+.8.4.4;
+ };
+</code>
+==== DNSSEC
+  * DOC: (pag. 267), (pag. 17 - laboratorio dns)
+  * **allow-transfer { acl };**
+  * **allow-query { acl };**
+  * **listen-on { acl };**
+  * **blackhole { acl };**
+  * **allow-notify { acl };**
+  * acl:<code>
+acl redlocal {
+.168.0.150;
+.0.0.1;
+.168.2.0/24;
+};
+</code>
+    * valores predefinidos en la sección acl:
+      * any
+      * localhost
+      * localnets
+      * none
+    * ejemplo parcial **named.conf**:<code>
+acl redlocal {
+  localnets;
+};
+acl yomismo {
+  localhost;
+};
+acl parias {
+.168.2.152;
+};
+options {
+ directory "/var/named";
+ forwarders{
+.8.8.8;
+.8.4.4;
+ };
+ allow-transfer{
+.168.2.152;
+  };
+allow-notify {192.168.2.152;};
+//allow-query { redlocal; };
+allow-query { yomismo; };
+//blackhole { parias; };
+};
+</code>
+      * yomismo: no permite a un cliente resolver, con un mensage de **REFUSED**
+      * parias: no responde (ni se logea) a una petición de un cliente
+      * redlocal: funciona correctamente
+  * cuenta de servicio:
+    * usuario propio
+    * sin shell -> /sbin/nologin
+    * enjaular el proceso
+    * intercambio seguro entre servidores
+  * TSIG (Transaction SIGnature)
+    * DOC: (pag. 270) (pag.9)
+    * ''dnssec-keygen''
+      * **-a HMAC-MD5**: único algoritmo de cifrado soportado
+      * **-b <tamaño>**: (1-512), 128 suficiente
+      * **-n <propiedad>**: **HOST** para indicar que la seguridad va máquina a máquina
+      * <nombreclave>
+==== laboratorio TSIG
+  * en el master:<code bash>
+dnssec-keygen -r /dev/random -a HMAC-MD5 -b 128 -n HOST curso.esp # genera .key y .private
+chmod 400 Kcurso.esp*
+chown named.named Kcurso.esp*
+cat Kcurso*.key # llave pública
+</code>
+  * editar **named.conf** y añadir:<code>
+key curso.esp {
+algorithm HMAC-MD5;
+secret "8WaWHvdoCSNH/ZhBFWbP9w==";
+};
+</code>
+  * y modificar:<code>
+allow-transfer { key curso.esp; };
+</code>
+  * ''systemctl restart named-chroot''
+  * en el esclavo, **named.conf**:<code>
+key curso.esp {
+  algorithm HMAC-MD5;
+  secret "8WaWHvdoCSNH/ZhBFWbP9w==";
+};
+server 192.168.1.150 {
+  keys { curso.esp; };
+};
+</code>
+  * eliminamos las zonas transferidas (para ver que funciona) en el esclavo
+  * ''service named restart''
+  * {{:info:cursos:pue:lpic2-2021:pasted:20210302-112809.png}}
+<callout type="primary" icon="true">MIRAR</callout>
+  * laboratorio DDNS
+  * DDoS (pag. 20)
+    * consultas recursivas: [[https://fpgenred.es/DNS/consulta_recursiva.html]]
+    * **allow-recursions**
+=== Web Services
+  * DOC: Material Practicas LPIC-2/LPIC-202/2-Web Services/Apache/Resumen Apache.txt
+  * Manual Certificacion LPIC-2.pdf, pag. 289
+==== apache
+  * ''yum install httpd* -y''
+  * ''yum install mod_ssl''
+  * ''systemctl start httpd''
+  * ''systemctl enable httpd''
+  * ''rpm -qa httpd*''
+  * levanta :80 :443 <- ''nestat -putan''
+  * ''httpd -v''
+  * ''rpm -qa php*''
+  * archivos de configuración
+    * **/etc/httpd**
+    * **/etc/httpd/conf/httpd.conf**
+    * **/etc/httpd/conf.d/<archivos.conf>**
+    * página bienvenida por defecto: **/etc/httpd/conf.d/welcome.conf** <- desactivar
+  * document root:
+    * **/var/www/html**
+  * documentos soportados por defecto:
+    * index.html
+    * index.htm
+    * index.php
+  * ficheros de logs
+    * **/etc/httpd/logs**
+    * **/var/log/httpd/access_log**
+    * **/var/log/httpd/error_log**
+==== directivas básicas
+  * DOC: Material Practicas LPIC-2/LPIC-202/2-Web Services/Apache/1-Servidor Web Apache Basico.pdf
+  * **ServerRoot**: configuración
+  * **Listen 80**: donde queremos que escuche (varios si queremos)
+    * **Listen <IP>:<puerto>**
+  * **Include conf.modules.d/*.conf**: módulos
+  * **User apache**
+    * sin shell!
+  * **Group apache**
+  * **ServerAdmin <mail>**
+  * **ServerName <URL>:<puerto>**
+  * contenedores:
+    * **Directory**: afecta a un directorio
+    * **Files**: afecta a ficheros
+    * **Location**: URIs
+  * **AddDefaultCharset UTF-8**
+==== Laboratorio: VirtualHost
+  * DOC: Material Practicas LPIC-2/LPIC-202/2-Web Services/Apache/4-Laboratorio Servidor Web Apache RHE7.pdf
+  * ''mkdir /var/www/html/intranet''
+  * <code; /etc/httpd/conf.d/intranet.conf>
+NameVirtualHost 192.168.2.5:80
+NameVirtualHost 192.168.2.5:443
+<VirtualHost 192.168.2.5:80>
+  ServerAdmin admin@server1.curso.esp
+  DocumentRoot /var/www/html/intranet
+  ServerName intranet.curso.esp
+  ServerAlias intranet
+  DirectoryIndex index.html index.php
+  ErrorLog logs/intranet-error_log
+  CustomLog logs/intranet-access_log common
+</VirtualHost>
+</code>