Administración de sitios web

Práctica 15

Instalación y Configuración de Herramientas de Servidor para la

Transferencia Segura de Información

Instalar y configurar SSH

Puedes obtener el software de OpenSSH de http://www.openssh.com/, allí encontrarás el

fuente y versiones compiladas para diferentes sistemas operativos.

Lo más probable es que tu distribución ya incluya este paquete. En el caso de RedHat los

paquetes básicos son:

openssh: contiene los ficheros básicos necesarios para el servidor y clientes ssh.

· openssh-server: contiene el demonio sshd, permite a los clientes ssh establecer

conexiones seguras con el sistema.

· openssh-clients: contiene los clientes que permiten establecer conexiones con el servidor.

El demonio sshd

Es el programa que espera conexiones de red de los clientes ssh, controla la autenticación y

ejecuta el comando requerido. El puerto por defecto en el que escucha es el 22 y su fichero de

configuración es /etc/ssh/sshd_config.

Otras opciones a destacar son:

X11Forwarding yes|no : habilitar o deshabilitar la redirección X

PasswordAuthentication yes|no: especifica si deseamos utilizar la autenticación básica

En esta configuración se indica también la ruta en la que encontrar las claves que identifican

nuestro servidor. Estas son la base de la autenticación mediante clave pública y los valores por

defecto son:

*HostKey /etc/ssh/ssh_host_key

*HostKey /etc/ssh/ssh_host_rsa_key

*HostKey /etc/ssh/ssh_host_dsa_key

Estas claves generales al sistema, junto con su correspondiente clave pública, se crean al instalar

el servidor mediante el comando ssh-keygen.

Los clientes ssh

Los programas que permiten al usuario utilizar el protocolo SSH son scp,sftp y ssh.

Se pueden configurar opciones generales al sistema en el fichero /etc/ssh/ssh_config como por

ejemplo:

ForwardX11 yes|no : habilitar o deshabilitar la redirección X

PasswordAuthentication yes|no : especifica si deseamos utilizar la autenticación básica en

nuestros clientes.

En el se indican las rutas para obtener las claves públicas y privadas de cada usuario:

*IdentityFile ~/.ssh/identity

*IdentityFile ~/.ssh/id_rsa

*IdentityFile ~/.ssh/id_dsa

Estas entradas indican que las claves privada y publica de cada usuario se encontrarán en el

directorio .ssh del HOME del usuario. En este directorio se encuentra también el fichero

authorized_keys2 que controla la autenticación mediante claves, como veremos más adelante.

PRACTICA 16

Instalación y configuración de la herramienta cliente para transferencia segura

de información.

Con el objeto de iniciar sesión por SSH desde una máquina remota podemos utilizar un terminal

o un cliente muy completo como Putty. Personalmente prefiero administrar mis conexiones

seguras desde este último. Los siguientes pasos se han realizado desde un cliente Windows, pero

son exactamente los mismos para Linux.

Putty es una aplicación cliente SSH que no necesita instalación. Podemos descargarla de

http://www.chiark.greenend.org/uk/, Putty, Download. En el caso de Debían esta aplicación

gráfica se encuentra en sus repositorios, así que bastará ejecutar en un terminal:

# apt-get install putty

3.2. Configuración de Putty para permitir conexiones con túneles

Después de ejecutar Putty, En Session > Host Name (or IP address), especificamos la Ip o el

nombre de la máquina remota donde corre el servidor SSH.

Una vez configurado por completo la podremos salvar dándole el nombre que queramos en

Saved Sessions, pero eso será después de pasar por SSH > Tunnels y Auth.

Ahora nos vamos a SSH > Tunnels, para configurar el túnel:

En Source port escribimos 5900 y en Destination; 127.0.0.1:5900. Pulsamos sobre Add y

se nos pasará a Forwarded ports: Debemos marcar Local ports accept connections from other

hosts.

Pasamos a Auth, donde le indicaremos la ubicación de la clave privada a utilizar para la

autenticación de la conexión. Dicha clave será la que habíamos generado con anterioridad y que

previamente habremos importado en la máquina cliente y convertida a formato .ppk. En nuestro

caso la he llamado quillo.

Importante: Las claves privadas generadas con ssh-keygen pueden ser usadas desde una consola,

sin embargo para utilizarla con el cliente Putty será necesario convertirla en un formato

soportado por éste. Para ello emplearemos una herramienta llamada PuttyGen:

El proceso es tan sencillo que obviamos este paso. Una vez efectuado comprobaremos que se

nos habrá generado una clave privada soportada por putty con extensión .ppk a partir de la

clave privada creada con ssh-keygen.

La conversión de la clave privada de origen openssh a formato soportado por putty en un cliente

Linux la efectuamos con el siguiente comando desde una consola:

$ puttygen nombre_clave_openssh -o nombre_clave.ppk

El resto de secciones del cliente Putty las dejamos como se hallan por defecto, entre otras cosas,

por seguridad.

Ya tenemos configurado el cliente SSH, así que podemos iniciar sesión cuando queramos.

Una vez hayamos establecido conexión por SSH, podemos iniciar sesión por un túnel seguro a

través de TightVNC, para emular un escritorio desde la máquina remota en nuestra propia

máquina.

Instalación y configuración del cliente TightVNC Viewer

Se da por hecho que tenemos instalado el cliente TigthtVNC viewer, aunque podemos usar

cualquier otro (en Linux uso VNC Viewer), así que sólo queda, de forma muy sencilla, establecer

conexión con el servidor.

Procederemos a ello escribiendo la Ip de localhost, 127.0.0.1 o la palabra localhost, para iniciar

sesión.

Importante: Debemos previamente tener abierta sesión sobre SSH para poder acceder, además

como haber iniciado el servicio x11vnc desde la consola de Putty, de lo contrario sería rechazada

la solicitud.

Cómo iniciar el servicio desde Putty

Escribimos x11vnc -passwd contraseña en la consola de sesión de Putty.

Iniciar sesión desde consola

Si en lugar de utilizar el cliente Putty para iniciar sesión por ssh, preferimos un terminal,

entonces ejecutamos el siguiente comando:

$ ssh -L 5900:127.0.0.1:5900 usuario@dirección_ip_servidor

Una vez conectados lanzamos el servidor x11vnc:

usuario@servidor:~$ x11vnc -passwd contraseña

Establecer conexión

Después de haberse iniciado el servicio x11vnc ya podremos establecer conexión con TightVNC

viewer. Para ello escribimos localhost o la dirección Ip 127.0.0.1 y pulsamos sobre Connect.

Posteriormente nos pedirá la password que será aquella establecida al iniciar el servidor x11vnc.

Con estos sencillos pasos ya podremos haber iniciado conexión segura con máquinas remotas.

Comprobaciones de seguridad

¿Cómo sabemos que hemos realizado correctamente los pasos indicados?

Podemos intentar establecer conexión con TightVNC viewer hacia la dirección Ip del equipo

remoto y comprobaremos que la solicitud será rechazada.

Realizaremos una verficación de las conexiones activas establecidas a través del comando netstat

y sus modificadores –n y -b desde una consola del Símbolo del Sistema.

Se observa cómo se establece conexión de localhost, sobre la propia máquina, hacia el puerto

por defecto de x11vnc, el 5900 y la respuesta de Putty, y hacia la máquina remota por el

puerto seguro de SSH, el 22. Por lo tanto, el túnel se ha creado correctamente y de forma

segura.

Aún podemos ir más lejos y ejecutar un analizador de protocolos potente como Wireshark,

veremos cómo nos devuelve sólo capturas de tráfico encriptad

Practica 17

Respaldo de tipo completo

Clasificación de respaldos

copias de información, comúnmente llamados (backups).

duplicados de información en linea (implementación raid)

Copias de información (backups)

Estos respaldos son sólo duplicados de archivos que se guardan en "tape drives" de alta

capacidad (30-40 gb aprox). Los archivos que son respaldados pueden variar desde archivos

del sistema operativo, bases de datos , hasta archivos de un usuario común. Existen varios tipos

de software que automatizan la ejecución de estos respaldos, pero el funcionamiento básico de

estos paquetes depende del denominado archive bit .

Este archive bit indica un punto de respaldo y puede existir por archivo o al nivel de "bloque de

información" (típicamente 4096 bytes), esto dependerá tanto del software que sea utilizado

para los respaldos así como el archivo que sea respaldado.

Este mismo archive bit es activado en los archivos (o bloques) cada vez que estos sean

modificados y es mediante este bit que se llevan acabo los tres tipos de respaldos comúnmente

utilizados :

respaldo completo ("full"): guarda todos los archivos que sean especificados al tiempo de

ejecutarse el respaldo. El archive bit es eliminado de todos los archivos (o bloques), indicando

que todos los archivos ya han sido respaldados.

respaldo de incremento ("incremental"): cuando se lleva acabo un respaldo de

incremento, sólo aquellos archivos que tengan el archive bit serán respaldados; estos archivos (o

bloques) son los que han sido modificados después de un respaldo completo. Además cada

respaldo de incremento que se lleve acabo también eliminará el archive bit de estos archivos (o

bloques) respaldados.

respaldo diferencial ("differential"): este respaldo es muy similar al "respaldo de

incremento" , la diferencia estriba en que el archive bit permanece intacto.

PRACTICA 18

Respaldo de tipo diferencial

Proteger los datos contra la pérdida, el deterioro, las catástrofes (naturales u obra del hombre) y

demás problemas es una de las máximas prioridades de las empresas de informática.

Conceptualmente, las ideas son sencillas, aunque puede resultar difícil implantar un conjunto de

operaciones de backup eficiente y efectivo.

Durante las últimas décadas, el término backup se ha convertido en sinónimo de protección de

datos, y se puede llevar a cabo mediante diversos métodos. Se han desarrollado aplicaciones de

software de backup para reducir la complejidad de la ejecución de operaciones de backup y

restauración. Hacer copias de seguridad de los datos sólo es una parte de un plan de protección

contra los desastres, y si el proceso no se diseña y somete a prueba concienzudamente, es

posible que no proporcione el nivel de capacidades de recuperación de desastres y de protección

de datos deseado.

El objeto de la mayor parte de los backups consiste en crear una copia de los datos, de forma

que se pueda restaurar un archivo o aplicación concretos tras la pérdida o supresión de los datos

o debido a un desastre. Por lo tanto, el backup no es el objetivo, sino un medio de cumplir el

objetivo de proteger los datos. La comprobación de los backups es tan importante como copiar y

restaurar los datos. Una vez más, la utilidad de hacer copias de seguridad de los datos consiste en

permitir su restauración más adelante. Si no se comprueban periódicamente, es imposible

garantizar que se está cumpliendo el objetivo de proteger los datos.

Aunque se trata de operaciones distintas, en ocasiones se confunde la realización de copias de

seguridad de los datos con el archivo de los datos. Un backup o copia de seguridad es una copia

secundaria de los datos, utilizada a efectos de protección de los datos. En cambio, el archivo

contiene los datos primarios, y se traslada a un tipo de soporte menos caro (como la cinta) para

guardarlo a largo plazo a menor coste.

Hace mucho que las aplicaciones de backup ofrecen varios tipos de operaciones de backup. Los

tipos de backup más corrientes son el backup completo, el backup incremental y el backup

diferencial. Existen otros tipos de backup, como el backup completo sintético, la copia en espejo,

el backup incremental inverso y la protección de datos continua (CDP)

Backups diferenciales

Una operación de backup diferencial es similar a un backup incremental la primera vez que se

lleva a cabo, pues copiará todos los datos que hayan cambiado desde el backup anterior. Sin

embargo, cada vez que se vuelva a ejecutar, seguirá copiando todos los datos que hayan

cambiado desde el anterior completo. Por lo tanto, en las operaciones subsiguientes almacenará

más datos que un backup incremental, aunque normalmente muchos menos que un backup

completo. Además, la ejecución de los backups diferenciales requiere más espacio y tiempo que

la de los backups incrementales, pero menos que la de los backup completos.

Tabla 1: Comparación de diversas operaciones de backup

Tipo/número de backup

Completo

Incremental

Diferencial

Como indica la “Tabla 1: Comparativa de diversas operaciones de backup,” cada tipo de backup

funciona de forma diferente. Hay que realizar un backup completo al menos una vez. Después, se

puede realizar otro backup completo, incremental o diferencial. El primer backup parcial

realizado, ya sea diferencial o incremental, guardará los mismos datos. En la tercera operación de

backup, los datos copiados con un backup incremental se limitan a los cambios desde el último

incremental. En cambio, el tercer backup con backup diferencial copia todos los cambios desde el

primer backup completo, que es el backup 1.

En la elección de la estrategia de backup óptima hay que sopesar numerosas consideraciones.

Normalmente, cada alternativa y opción estratégica tiene sus ventajas e inconvenientes en

términos de rendimiento, niveles de protección de los datos, cantidad total de datos conservados,

y coste. En la “Tabla 2: impacto de las estrategias de backup en las necesidades de espacio”

incluida más abajo, se indican las necesidades típicas de capacidad y soportes de recuperación de

las tres estrategias de backup. Esos cálculos se basan en un volumen total de datos de 20 TB,

con una variación diaria del 5% de los datos, y sin incremento del almacenamiento total durante

el periodo considerado. Los cálculos se basan en un supuesto de 22 días hábiles al mes y de un

periodo de conservación de los datos de un mes.

Tabla 2: Impacto de las estrategias de backup en las necesidades de espacio

Como se puede observar en la tabla, lo que más cantidad de espacio y más tiempo requiere es

realizar un backup completo diario. Sin embargo, se dispone de más copias totales de los datos,

y para realizar una operación de restauración hay que recurrir a menos soportes. Por ello, la

implantación de esta política de backup presenta una mayor tolerancia a las catástrofes, y ofrece

la restauración más rápida, puesto que cualquier conjunto de datos necesarios se encontrará en

un máximo de un juego de backup.

Alternativamente, la realización de un backup completo semanal combinado con la ejecución de

backups incrementales diarios ofrece la mayor rapidez de realización de los backups en días

laborables y utiliza la menor cantidad de espacio de almacenamiento.

Sin embargo, se dispone de menos copias de los datos y la restauración lleva más tiempo, pues

es posible que haya que utilizar hasta seis juegos de soportes para recuperar la información

necesaria. Si se necesitan datos de la copia de seguridad de un miércoles, hay que recurrir a los

juegos de soportes que contienen el backup completo del domingo, más los juegos de soportes

que contienen los backups incrementales del lunes, el martes y el miércoles. Esto puede

prolongar espectacularmente los tiempos de recuperación, y exige que cada juego de soportes

funcione correctamente; un fallo en un juego de backup puede comprometer toda la

restauración.

La ejecución de un backup completo semanal más backups diferenciales diarios ofrece resultados

intermedios entre las otras alternativas. Concretamente, para restaurar los datos hacen falta más

juegos de soportes de backup que con una política de backup diario completo, pero menos que

con una política de backup diario incremental. Además, el tiempo de restauración es menor que

cuando se utilizan backups diarios incrementales, y mayor que con backups diarios completos.

Para restaurar los datos de un día concreto, hay que recurrir a un máximo de dos juegos de

soportes, lo cual reduce el tiempo necesario para la recuperación y los problemas potenciales

planteados por un juego de backup ilegible.

En las entidades que tienen volúmenes de datos reducidos, la ejecución de un backup diario

completo depara un alto nivel de protección sin gran coste adicional de espacio de

almacenamiento. Para las entidades más grandes o con más datos, la mejor opción es la

ejecución de un backup completo semanal combinado con backups diarios incrementales o

diferenciales. La utilización de copias diferenciales brinda un mayor nivel de protección de datos

con tiempos de restauración más cortos en la mayor parte de los casos, con un pequeño

incremento del volumen de almacenamiento. Por ese motivo, la utilización de una estrategia de

backups completos semanales junto con backups diarios diferenciales es una buena opción para

numerosas entidades.

La mayor parte de las opciones de backup avanzadas, como el completo sintético, la copia en

espejo, el backup incremental inverso y el CDP requieren que el destino del backup sea un

almacenamiento en disco. Un backup completo sintético simplemente reconstruye la imagen del

backup completo utilizando todos los backups incrementales o el backup diferencial guardado en

disco. A continuación, ese backup completo sintético se puede restaurar en cinta para su

almacenamiento fuera de la sede, y la ventaja es que se reduce el tiempo de restauración. La

copia en espejo consiste en copiar los datos almacenados en el disco de backup a otro juego de

discos, y los backups incrementales inversos se utilizan para añadir soporte de backup de tipo

incremental. Por último, el CDP permite un mayor número de puntos de restauración que las

opciones de backup tradicionales.

PRACTICA 19

Respaldo de tipo incremental

Proteger los datos contra la pérdida, el deterioro, las catástrofes (naturales u obra del hombre) y

demás problemas es una de las máximas prioridades de las empresas de informática.

Conceptualmente, las ideas son sencillas, aunque puede resultar difícil implantar un conjunto de

operaciones de backup eficiente y efectivo. Durante las últimas décadas, el término backup se ha

convertido en sinónimo de protección de datos, y se puede llevar a cabo mediante diversos

métodos. se han desarrollado aplicaciones de software de backup para reducir la complejidad de

la ejecución de operaciones de backup y restauración. hacer copias de seguridad de los datos

sólo es una parte de un plan de protección contra los desastres, y si el proceso no se diseña y

somete a prueba concienzudamente, es posible que no proporcione el nivel de capacidades de

recuperación de desastres y de protección de datos deseado. el objeto de la mayor parte de los

backups consiste en crear una copia de los datos, de forma que se pueda restaurar un archivo o

aplicación concretos tras la pérdida o supresión de los datos o debido a un desastre. por lo tanto,

el backup no es el objetivo, sino un medio de cumplir el objetivo de proteger los datos. la

comprobación de los backups es tan importante como copiar y restaurar los datos. una vez más,

la utilidad de hacer copias de seguridad de los datos consiste en permitir su restauración más

adelante. si no se comprueban periódicamente, es imposible garantizar que se está cumpliendo el

objetivo de proteger los datos. aunque se trata de operaciones distintas, en ocasiones se confunde

la realización de copias de seguridad de los datos con el archivo de los datos. un backup o copia

de seguridad es una copia secundaria de los datos, utilizada a efectos de protección de los datos.

en cambio, el archivo contiene los datos primarios, y se traslada a un tipo de soporte menos caro

(como la cinta) para guardarlo a largo plazo a menor coste. hace mucho que las aplicaciones de

backup ofrecen varios tipos de operaciones de backup. los tipos de backup más corrientes son el

backup completo, el backup incremental y el backup diferencial. existen otros tipos de backup,

como el backup completo sintético, la copia en espejo, el backup incremental inverso y la

protección de datos continua (cdp) backups incrementales una operación de backup incremental

sólo copia los datos que han variado desde la última operación de backup de cualquier tipo. se

suele utilizar la hora y fecha de modificación estampada en los archivos, comparándola con la

hora y fecha del último backup. las aplicaciones de backup identifican y registran la fecha y hora

de realización de las operaciones de backup para identificar los archivos modificados desde esas

operaciones. como un backup incremental sólo copia los datos a partir del último backup de

cualquier tipo, se puede ejecutar tantas veces como se desee, pues sólo guarda los cambios más

recientes. la ventaja de un backup incremental es que copia una menor cantidad de datos que un

backup completo. por ello, esas operaciones se realizan más deprisa y exigen menos espacio

para almacenar el backup.

el respaldo diferencial cuenta a partir del ultimo respaldo completo. el respaldo incremental

cuenta a partir del ultimo respaldo completo, diferencial o incremental. es decir, su tu base crece

10mb por día y mide 100mb con respaldos incrementales respaldarás 10mb cada vez,

mientras que con respaldos diferenciales irán incrementando a 10mb, 20, 30, ... hasta que

hagas el siguiente respaldo completo y se repite el proceso. para el incremental requieres el

respaldo completo mas todos los respaldos incrementales. para el diferencial requieres el respaldo

completo y únicamente el ultimo respaldo diferencial.

Practica 20

Proteger los datos contra la perdida, el deterioro, las catástrofes (naturales u obra del hombre) y

demás problemas es una de las máximas prioridades de las empresas de informática,

conceptualmente las ideas, son sencillas, aunque puede resultar difícil implantar un conjunto de

operaciones de backup eficiente y efectivo. Durante las ultimas decadas, el termino backup se ha

convertido en sinónimo de protección de datos y se puede llevar a cabo mediante diversos

métodos se han desarrollado aplicaciones de software de backup para reducir la complejidad de

la ejecución de operaciones de backup y restauración. Hacer copias de seguridad de los datos

solo es una parte de protección contra los desastres, y si el proceso no se diseña y somete a

concienzudamente, es posible que no proporcione el nivel de capacidad de recuperación de

desastres y de protección de datos deseados.