Archivo de etiquetas de 'debian'

fuente: http://usuariodebian.blogspot.com

Aprovechando que los ordenadores actuales no están totalmente apagados sino en reposo, es decir con alimentación constante mientras lo tenemos apagado, podemos encenderlos remotamente.

Wake On LAN (WOL) es un estándar de redes que permite encender un equipo de forma remota, mediante el envío de un paquete mágico (Magic Packet). Magic Packet es, como indica la propia palabra, un paquete especial que recibe la tarjeta de red.

Las utilidades que se le pueden dar son muy variadas, desde encender un servidor web/ftp, acceder a los archivos que guardas en tu ordenador, o en el ordenador del trabajo y hasta por pura vagancia para no tener que levantarse e ir a la habitación de al lado.

Requisitos necesarios:

1.-Disponer de una fuente de alimentación ATX, actualmente todos los equipos incorporan fuentes ATX, pero todavía nos podemos encontrar con algunos equipos antiguos que usan fuentes AT, las cuales son incompatibles con Wake On LAN (WOL). Las antiguas fuentes AT se activan mediante un interruptor que proviene de la misma fuente a través de un cable, mientras que las ATX la enciende y la apaga la placa base. Esto hace imposible un encendido por software con fuente AT ya que cuando apagamos el ordenador no existe corriente alguna en la placa base.

Como distinguir entre un conector AT y otro ATX

2.- Disponer de una placa base con soporte wake on lan (wol), y activarla la opción correspondiente en la BIOS.

3.- Tener una tarjeta de red con soporte wake on lan (wol), la tarjeta de red debe tener un cable de tres pines que es necesario conectar a la placa base

A si es como quedaría la tarjeta de red en la placa base vista desde arriba.

Activar en la BIOS el soporte para Wake On LAN. Dependiendo de la BIOS que utilice tu ordenador se habilitara con una opción u otra diferente.

Si la tarjeta de red viene integrada en la placa base no hará falta conectar ningún tipo de cable adicional, lo único necesario en este caso en configurar la BIOS.

Para finalizar la explicación, conviene saber que hay dos estándares de administración de energía, APM y ACPI. El segundo es mas reciente y se diseñó para sustituir al estándar APM incluyendo nuevas características. Algunos equipos soportan ambos, pero no se pueden tener activados simultáneamente.

Si no se tiene activado ninguno será imposible encender por software nuestro equipo, ya que al apagarlo lo hacemos del todo. Lo más conveniente es activar el estándar ACPI si es posible, ya que incluye más opciones de configuración, tal y como muestro aquí:

• S0 Encendido y completamente operativo.

• S1 El sistema esta en modo baja energía (sleep mode). El reloj de la CPU parado, pero la RAM esta encendida y operativa

• S2 Similar al anterior, solo que la CPU está totalmente apagada.

• S3 La RAM se encuentra en standby, con la mayoría de los otros componentes apagados.

• S4 Modo hibernación.

• S5 Completamente apagado.

La elección que debemos hacer es la S3, o en su defecto la S1 (Muchas placas solo permiten estos dos modos

Instalación en el ordenador que estará apagado, o sea el servidor

Instalamos los paquetes necesarios. Para ello nos logeamos como root:

#apt-get install ethtool etherwake wakeonlan

En primer lugar usaremos el comando ethtool, con este programa podremos ver y modificar las características y configuración de la tarjeta de red. Lo usamos en el ordenador que queremos “encender remotamente”, este comando nos informa si nuestra tarjeta de red tiene soporte Wake On LAN (WOL)

#ethtool eth0

Se nos mostrará algo así:

Settings for eth0:

Supported ports: [ TP MII ]

Supported link modes: 10baseT/Half 10baseT/Full

100baseT/Half 100baseT/Full

Supports auto-negotiation: Yes

Advertised link modes: 10baseT/Half 10baseT/Full

100baseT/Half 100baseT/Full

Advertised auto-negotiation: Yes

Speed: 100Mb/s

Duplex: Full

Port: MII

PHYAD: 32

Transceiver: internal

Auto-negotiation: on

Supports Wake-on: pumbg

Wake-on: d

Current message level: 0×00000007 (7)

Link detected: yes

Como vemos, esta tarjeta soporta Wake On LAN (WOL), eso nos dice la linea siguiente:

Supports Wake-on: pumbg

También nos dice que esta desactivado, en la siguiente linea:

Wake-on:d

d= disable (desactivado)

Para activarlo no tenemos nada más que hacer:

#ethtool -s eth0 wol g

Si volvemos a teclear en consola ethtool eth0 tendremos que ver:

Settings for eth0:

Supported ports: [ TP MII ]

Supported link modes: 10baseT/Half 10baseT/Full

100baseT/Half 100baseT/Full

Supports auto-negotiation: Yes

Advertised link modes: 10baseT/Half 10baseT/Full

100baseT/Half 100baseT/Full

Advertised auto-negotiation: Yes

Speed: 100Mb/s

Duplex: Full

Port: MII

PHYAD: 32

Transceiver: internal

Auto-negotiation: on

Supports Wake-on: pumbg

Wake-on: g

Current message level: 0×00000007 (7)

Link detected: yes

Ahora, para que la tarjeta de red active siempre que se encienda el servidor esta opción por defecto, configuraremos el archivo interfaces colocando la siguiente línea up ethtool -s eth0 wol g justo debajo de la configuración de la tarjeta.

#nano /etc/network/interfaces

Se nos quedará algo así:

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface

auto lo

iface lo inet loopback

# The primary network interface

auto eth0

iface eth0 inet static

up ethtool -s eth0 wol g

address 192.168.0.XXX # IP del Servidor

netmask 255.255.255.0 # Máscara de Subred

network 192.168.0.0 # Grupo de Trabajo

broadcast 192.168.0.255 # Bcast

gateway 192.168.0.1 # IP del Router

Instalación en el ordenador que estará encendido

En este ordenador, el que tiene que enviar el paquete mágico (Magic Packet), instalamos uno de estos dos paquetes:

#apt-get install etherwake

o
#apt-get install wakeonlan

pero hemos de diferenciar entre uno y otro, etherwake necesitas de privilegios de root, y wakeonlan cualquier usuario puede hacer uso de el.

el método es bien sencillo

# etherwake -i “interfaz para el envio” “MAC address del ordenador remoto” mac=”" del=”" equipo=”" remoto=”"

Ejemplo ficticio:
# etherwake -i eth1 11:22:33:44:55:66

Si no especificamos “la interfaz para el envío” con la opción -i, el paquete mágico (Magic Packet) sera enviado a través de la interfaz por defecto establecida por el programa eth0.

Ejemplos ficticio:

# etherwake 11:22:33:44:55:66

o bien usando este otro programa:

$ wakeonlan “MAC address del ordenador remoto”

Ejemplos ficticio:

$ wakeonlan 11:22:33:44:55:66

Para conocer la dirección MAC de nuestra tarjeta no tenemos más que teclear:

#ifconfig

Obtendremos

eth0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx

inet addr:192.168.0.XXX Bcast:192.168.0.255 Mask:255.255.255.0

inet6 addr: fe80::280:5aff:fe68:fe96/64 Scope:Link

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:231 errors:0 dropped:0 overruns:0 frame:0

TX packets:182 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:1000

RX bytes:24947 (24.3 KiB) TX bytes:19077 (18.6 KiB)

Interrupt:17 Base address:0xa800

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

inet6 addr: ::1/128 Scope:Host

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:8 errors:0 dropped:0 overruns:0 frame:0

TX packets:8 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:560 (560.0 B) TX bytes:560 (560.0 B)

donde xx:xx:xx:xx:xx:xx es la MAC.

Con esto nos conectaremos desde nuestra red privada. Conectarnos desde internet es harina de otro costal…

A la hora de proteger un dierctorio en Apache2 el protocolo HTTP dispone de dos mecanismos de autentificación para restringir el acceso a un directorio mediante nombre de usuario y contraseña: Basic (el usuario y el password viajan por la red sin cifrar) y Digest (el usuario y el password viajan por la red cifrados con MD5).

La autentificación mediante Basic ya se vió en MONTAJE DE UN SERVIDOR CIEGO CON DEBIAN LENNY (4.-APACHE WEB SERVER), sin embargo no se comentó nada sobre la autentificación Digest, que bueno, para los que dispongan de datos algo “sensibles” y quieran un poco más de seguridad (relativa como el tiempo) no está mal.

Lo primero que debemos hacer es habilitar el módulo de Digest:

# a2enmod auth_digest

En el directorio cuyo acceso queremos restringir, creamos un archivo .htaccess.

# nano /ruta directorio a proteger/.htaccess

Una posible configuración sería:

AuthName “Privado”
AuthType Digest
AuthDigestFile ruta_absoluta_del_fichero_con_passwords
Require valid-user

Para crear el archivo de usuarios y passwords se utiliza la herramienta “htdigest“. La primera vez utilizad la opción -c para crear el fichero, y las sucesivas omitidlo, ya que sino se sobreescribe y se pierden los datos anteriores.

# htdigest [-c] ruta_absoluta_del_fichero_con_passwords Privado nombre_usuario

Tras esto habrá que introducir el password de dicho usuario. Es necesario que el tercer parámetro de htdigest (Privado en este caso) coincida con AuthName, para especificar un dominio de autenticación concreto.

Montaremos MySQL y PhpMyAdmin para poder administrar las bases de datos que mas adelante nos podrían hacer falta para algunos usos como crear un Blog con Wordpress o para descargar mediante Torrentflux . Por si no lo sabíais todos los Blogs que podemos ver en la red están vinculados a una base de datos que pueden estar en otros lenguajes pero nosotros vamos a instalar las MySQL. Vamos a instalar unos cuantos paquetes para que nuestro servidor pueda ofrecernos bases de datos MySQL del siguiente modo:

#apt-get install mysql-server mysql-server-5.0 mysql-client-5.0 php5-mysql

Para facilitarnos manejo y la administración de nuestras bases de datos vamos a usar el entorno web PhpMyAdmin, con este software podremos crear, borrar, modificar, dar permisos, bueno podemos hacer todo a lo que se refiere a la administración de bases de datos MySQL. Comenzamos la instalación con:

#apt-get install phpmyadmin

Durante la instalación no pedirá la contraseña de root para acceder a phpmyadmin, que no tiene porqué ser la misma que la contraseña de root de nuestro servidor. La introducimos dos veces para la validación.

Resulta que el programa phpmyadmin se instala en la ruta /usr/share/ de nuestro apache2 por defecto pero nosotros la vamos a enlazar a /home/usuarioweb/ para poder acceder a ella desde un navegador, así que ahora tendremos que hacer otro enlace simbólico para poder ver el entorno web de phpmyadmin de la siguiente manera:

Nos logeamos como usuarioweb:

$ln -s /usr/share/phpmyadmin /home/usuarioweb/www/restringido/phpmyadmin

Ahora reiniciamos Apache2 como root:

#apache2ctl restart

Y ya podemos acceder desde un navegador.

Para subir y bajar archivos remotamente vamos a usar el software Proftpd y configuraremos algo de él. Empezaremos la instalación de Proftpd arrancando nuestro servidor. Nos logeamos como root y pasamos a instalar:

#apt-get install proftpd

Durante la instalación nos preguntará algunas cosas:

los archivos del servidor son:

/usr/bin/proftpd
El propio servidor de FTP.

/usr/bin/ftpwho
Una utilidad que muestra información sobre los procesos de cada usuario actualmente conectado al servidor.

/usr/bin/ftpcount
Utilidad que muestra el número de conexiones actuales.

/usr/bin/ftpshut
Orden para apagar el servidor, sólo funciona en modo “standalone”.

/var/log/proftpd/proftpd.log
Fichero con la información sobre los “logs” en el servidor, habría que decidir qué política de rotación se desea seguir.

/etc/proftpd/proftpd.conf
El fichero donde configuraremos las diversas opciones que nos ofrece el servidor, en él nos centraremos a continuación, es realmente el único que manipularemos.

Luego por razones de seguridad vamos a crear un shell falso para el acceso de ftp para esto vamos a agregar una linea en el archivo /etc/shell:

#nano /etc/shells

Y agregamos la siguiente línea al final del archivo:

/bin/false

Esto evitará que cualquier usuario que utilice el ftp pueda accesar a nuestra consola de comandos. Ahora visualizaremos el archivo /etc/passwd:

#cat /etc/passwd

Con ello veremos que se ha agregado un usuario llamado “FTP” que es el que nos crea ProFTPD al instalarlo. Este será el usuario para el login al servicio de FTP. Si deseamos que además tenga un password (como es lógico) haremos como root:

#passwd ftp

y le agregaremos la contraseña. En lo listado antes por el terminal, chequeamos que su shell sea /bin/false/ puesto que si es /bin/bash podrá acceder y ejecutar comando bash no solo por el puerto 21 sino por el 22 de ssh por ejemplo y hacer estragos.

Ahora añadimos el usuario ftp al grupo ftp

#adduser ftp ftp

si no esta creado el usuario ftp haremos

#adduser ftp -s /bin/false

si no esta creado el grupo haremos:

#addgroup ftp

Con esto ya tenemos configurada la cuenta de login. Para ser un poco mas ordenado en el directorio /home/ftp/ crearemos dos directorios llamados upload y download donde se realizarán las subidas y las descargas respectivamente.-

#mkdir upload
#mkdir download

le damos los permisos correspondientes

#chmod 755 /home/ftp

#chmod 755 /home/ftp/download

#chmod 777 /home/ftp/upload

cambiamos de dueño:

#chown ftp:ftp upload
#chown ftp:ftp download

Ahora si, a editar el proftpd.conf. Primero haremos una copia por si las moscas..

#cp /etc/proftpd/proftpd.conf /etc/proftpd/proftpd.confOK

Y ahora si editamos:

#nano /etc/proftpd/proftpd.conf

Y modificamos el archivo dejándolo así:

# Para aplicar los cambios tienes que reiniciar el servidor FTP

AllowOverwrite on

AuthAliasOnly on

# Escoge aqui un alias para tu usuario de FTP

UserAlias usuarioftp ftp

ServerName “nombredelservidor”

ServerType standalone

DeferWelcome on

MultilineRFC2228 on

DefaultServer on

ShowSymlinks off

TimeoutNoTransfer 600

TimeoutStalled 100

TimeoutIdle 2200

DisplayFirstChdir .message

ListOptions “-l”

RequireValidShell off

TimeoutLogin 20

RootLogin off

# Aqui creamos los archivos de logs que son de mucha utilidad en caso de fallos

ExtendedLog /var/log/ftp.log

TransferLog /var/log/xferlog

SystemLog /var/log/syslog.log

#DenyFilter *.*/

#No vamos a utilizar el archivo /etc/ftpusers file

#(sirve para colocar adentro los usuarios que no queremos que se conecten)

UseFtpUsers off

# Permitir reiniciar una descarga (muy util en caso de que se caiga la conexion)

AllowStoreRestart on

#El puerto 21 es el estandar para FTP,

#es bueno cambiarlo por razones de seguridad

#aqui escogi el XXX puedes escoger el que quieras

Port XXX

#Configuracion detras de un servidor NAT

MasqueradeAddress ippublicadelservidor

# Para evitar ataques de DoS (negacion de servicio), se recomienda

# colocar un maximo de 30 procesos hijos. Si necesitas mas conexiones

# que esta simplemente aumenta este valor. Esto solo funciona con el

# servidor en modo standalone

MaxInstances 8

# Coloca el usuario y el grupo al que el servidor normalmente funciona

User nobody

Group nogroup

# Umask 022 es un buen valor por defecto para evitar que nuevos archivos y directorios

# sean escribibles por todo el mundo o por el grupo.

Umask 022 022

PersistentPasswd off

MaxClients 8

MaxClientsPerHost 8

MaxClientsPerUser 8

MaxHostsPerUser 8

# Despliega un mensaje despues de que ingresa un usuario

AccessGrantMsg “Bienvenido a ……”

# Este mensaje es mostrado por cada intento de ingreso sea bueno o no

ServerIdent on “Estas en ……”

# Coloca a /home/ftp como el directorio principal (home)

DefaultRoot /home/ftp

# Bloquea a todos los usuarios al directorio home que definimos

DefaultRoot ~

MaxLoginAttempts 5

#Ingresos validos solo permitimos a ftp

<Limit LOGIN>

AllowUser ftp

DenyALL

</Limit>

#Definimos los permisos de los directorios que creamos para el FTP

<Directory /home/ftp>

Umask 022 022

AllowOverwrite off

<Limit MKD STOR DELE XMKD RNRF RNTO RMD XRMD>

DenyAll

</Limit>

</Directory>

<Directory /home/ftp/download/*>

Umask 022 022

AllowOverwrite off

<Limit MKD STOR DELE XMKD RNEF RNTO RMD XRMD>

DenyAll

</Limit>

</Directory>

<Directory> /home/ftp/upload/>

Umask 022 022

AllowOverwrite on

<Limit READ RMD DELE>

DenyAll

</Limit>

<Limit STOR CWD MKD>

AllowAll

</Limit>

</Directory>

Configurarlo así nos permite evitar algunos problemas de seguridad. En primer lugar evitamos que el usuario root se pueda logear. En segundo estamos impidiendo que una vez conectados por ftp se pueda navegar por directorios superiores al estipulado /home/ftp/. En tercer lugar, unicamente se permite el acceso a un usuario, en nuestro caso ftp, al que modificamos el alias en el archivo de configuración. Ningún otro usuario se podrá conectar. Por último, modificamos el puerto 21 por defecto para FTP por otro diferente (recordad que al modificarlo aquí deberemos abrirlo también en el Router, de lo contrario no podrá haber acceso). Ahora reiniciamos proftpd:

#/etc/init.d/proftpd restart

Y ya lo tendríamos preparado.

Si no hubiésemos añadido la opción de MasqueradeAddress con la ip pública de nuestro servidor (la podemos obtener en la pagina de no-ip.com) al conectarnos desde cualquier cliente FTP habríamos observado que el servidor responde con su ip privada, pudiendo llegar a impedirnos enroutar con él y perder la conexión. A pesar de que este problema se puede solventar desde el mismo cliente FTP, diciéndole en opciones que ignore la ip privada, es mejor configurar el archivo proftp.conf para evitar otros problemas.

Cada servicio que ofrecemos hacia Internet tiene asignado un puerto con el que se comunicará. Seguro que a mas de uno le suena aquello de … ¿Cómo abro los puertos del Router para el emule? Cuando al acceder a nuestro Router desde Internet con un navegador, el Router debe de tener el puerto 80 abierto y redireccionado hacia la IP de nuestro servidor y con el Ftp el 21.

Cada Router tiene una interfaz gráfica diferente pero básicamente todos tienen las mismas características de configuración.

Para empezar tenemos que acceder a nuestro Router desde un navegador introduciendo su IP local que es lo mismo que nuestra puerta de enlace hacia Internet o gateway.

Automáticamente se nos pedirá el nombre de usuario y el password para acceder a él. Estos datos seguramente los encontrareis junto a la documentación del Router. Si no tenéis estos datos deberéis llamar a vuestro proveedor de Internet y pedírselos.

Por experiencia, una vez dentro tendréis que modificar la contraseña del administrador porque lo normal es que la que lleve por defecto sea común a todos los Routers. Podéis imaginar el peligro que esto supone. De todos modos cualquiera que haya manejado wirless sabrá de lo que hablo.

Os dejo aquí un enlace sobre los passwords por defecto en diferentes Routers.

En mi caso es un D-Link y el panel de configuración al que accedemos es tal que así:

Para configurar los puertos debemos hacer click en la pestaña Advanced. Una vez allí podremos gestionar los puertos que deseemos. Para poder tener los servicios de Servidor Web y Ftp (que veremos en el siguiente capítulo) debemos abrir los puertos 80 y 21, y redireccionarlos a la IP estática que le asignamos al servidor, (en mi caso 192.168.0.XXX). Es aquí también donde se debe configurar el puerto para el acceso remoto SSH visto en capítulos anteriores. Si deseamos modificar el puerto 22 para SSH que viene por defecto este es el lugar para hacerlo.

En este caso el Router también trae algunas otras opciones para configurar interesantes, como son el servicio DDNS. Aquí podemos configurar nuestra cuenta de NO-IP.com u otras…