Conceptos básicos Linux

1. Introducción a Linux
1.1. Sistema de archivos
1.1.1. Tipos

a) ext2: no soporta journaling

b) ext3 y ext4: soporta journalingy sistemas de archivos grandes (teras)
c) xattr y XFS: journaling para cuotas de discos y el segundo para sistemas grandes
d) Btrfs: Aplica mejoras y usa SSD optimizado

1.1.2. Modelo UNIX: Sistema jerárquico de inodos FHS, de contenido físico por punteros
1.1.3. Dispositivo de almacenamiento: Acc. a los sys devices, o virtuales del kernel → /dev

a) Character: Flujo serial E/S (ratones, teclados, …)

b) Block: Acceso aleatorio (dispositivos de almacenamiento)
c) Con las particiones se crean archivos especiales sda1, sda2.. sdb1… sdc1… en /dev

1.1.4. Montaje: Se incluyen ramificaciones completas a una partición en concreto

a) # mount [‐o opciones] <fichero de partición> <puto de montaje>

1.1.5. Diseño de particiones: Depende de las consideraciones particulares

a) Swap: Espacio de disco de almacenamiento temp. de memor. princip. Tamaño RAMx2.

b) /home: Tamaño depende del num. User. Separado en RAID. Robusto
c) /: Contener lo mínimo necesario. Ficheros necesarios de funcionamiento del sistema.
d) /boot: Imágenes del kernel
e) /usr: Gran por contener cmandos, programas, etc. Solo lectura.
f) /var: Se llena fácil por colas, logs, etc, se separa para que no afecte a otras particiones
g) /tmp: Archivos temporales que pueden llegar a saturar, por eso se separa.

1.1.6. LVM (Administrador de Volúmenes Lógicos → /dev/mapper)

a) Volumen físico: Desde un dispositivo de almacenamiento, hasta una partición

b) Grupo de volúmenes: Conjunto de volúmenes físicos como un único disco virtual
c) Volumen lógico: Como particiones del GV. Capaz de repartirse entre distintos VF

1.2. Gestor de arranque

1.2.1. BIOS: Determina el dispositivo de arrq. Y carga el MBR en memoria. Opciones;

a) Buscar el gestor de arrq. en la tabla de particiones para encontrar el kernel

b) Carga directamente el kernel

1.2.2. UEFI: Proceso de arranque más sofisticado. Partición especial ESP. Distintos gestores arrq.
1.2.3. GRUB2: Se almacena la configuración en un archivo /boot/grub2/grub.cfg
2. Usuarios y recursos
2.1. Gestión de usuarios
2.1.1. Superusuario: Como cuenta, como su y como sudo (consuta sudoers – se edita con visudo)
2.1.2. Creación: Los datos de usuarios se almacenan en /etc/passwd (username, UID, GID, pass.. )
2.1.3. Ocultación de claves: “x” en fichero /etc/shadow (pass cifrada, caducidad, …) Inactivar con *!
2.1.4. Grupos de usuarios: En /etc/group (groupname, GID, users…). Pass en gshadow (pass, admin)

a) Grupos privados: groupname=username, y solo pertenece dicho user

b) Grupo primerio: Se determina mirando el passwd
c) Grupo suplementario: resto de grupos a los que el user pertenece

2.2. La propiedad
2.2.1. Procesos: Poseen atributos de control como el PID, nicenumber, etc

a) RUID/RGID: UID que inicia el proceso

b) EUID/EGID: Comprueba si un proceso tiene acceso a recurso. Con priv EUID=0

2.2.2. Propiedad: UGO

2.2.3. Tipo de archivos: directorio, links, sockets, block, char y “-“

2.3. Permisos
2.3.1. Permisos básicos: rwx
2.3.2. Permisos especiales: mayúscula (no permite ejecutar), minúsucla (permite ejecutar)

a) setUID: Se usa el UID del propietario en vez de quien lo ejecuta.

b) setGID: Se suma que, los fich de un directorio tendrán el gprop del directorio
c) sticky bit: Solo el propietario puede borrar el fichero

2.4. Control de acceso

2.4.1. ACL (Listas de control de acceso): u/g/o/default/mask:<username>:<permisos>
2.4.2. MAC (Control de acceso obligatorio): Por mayor seguridad, limita procesos fraudulentos.

2.5. Cuotas de discos: /etc/fstab

2.5.1. Limitar el espacio usado por cada user/grupo
2.5.2. Se aplican sobre sistemas de ficheros completos
2.5.3. Se puede limitar a: Tamaño total (bloques=1kB normalmente) o a número de ficheros

a) Límite blando (soft): 10.000 bloques que puede ser sobrepasado

b) Límite duro (hard): 12.000 bloques
3. LDAP: Repositorio de datos objeto
3.1. Elementos
3.1.1. Clase de objetos: Tipo de objeto almacenado en una entrada.

a) Estructural: La más común

b) Abstracto: Para clases padres
c) Auxiliar: Clases complementarias de una entrada

3.1.2. Atributos: Tipo de dato contenido en la clase (Nombre, Id. de objeto, sintaxis, dato)

a) Requeridos: Unión de los atributos de cada clase

b) Permitidos

3.1.3. DIT: objetos en estructura de árbol invetido

3.1.4. Schema del directorio: Defs. y reglas. Define atributos y objectclass compartidos/requeridos
3.1.5. Nombre distintivo (dn): Identificación de las entradas por uno de sus atributos obligatorios
3.1.6. Formato ldif: Texto representativo de contenido LDAP con el fin de actualizarlo

3.2. Modelos
3.2.1. Modelo de información: Estructura de la información almacenada
3.2.2. Modelo de nombres: Modo de organización de la info e identificación.
3.2.3. Modelo funcional: Operaciones que pueden realizarse.

a) Interrogación: Busquedas.

 Base: Punto nodo

 Ámbito: Profundidad
 Filtro: Criterio de búsqueda

b) Actualización: Agregar, Quitar, Modificar entradas

c) Autenticación: Bind (iniciar sesión), consulta, y unbind (cerrar sesión)

 Anónimo
 Simple: login normal
 TLS: Los datos se empaquetan mediante una capa de transporte, se cifran.
 SASL: Mecanismos de autenticación adicionales

3.2.4. Modelo de seguridad: Autenticación, cifrado, Auditoría, pass, ctrl acc, logs

3.3. Delegación: Mediante objectclass tipo referrals, agiliza el acceso por desentralización
3.4. Replicación:
3.4.1. Las delegaciones de hacen mediante objectclass de tipo referrals
3.4.2. Facilita: Tolerancia a fallos, balanceo de cargas y aumento de eficiencia. Tipos;

a) Master-slave: Se modifica en el maestry y se replica en el slave en solo lectura

b) Multimaster: Modificacion en cualquier server

3.5. Diseño LDAP

3.5.1. Mediante un fichero de texto simple /etc/openldap/slapd.conf
3.5.2. Mediante una configuracióm en tiempo de ejecución (proceso online) slapd-config
3.5.3. ¿Directorio necesario? Fuente de datos, schema, namespace, topología, replicación, seguridad
4. NFS: Compartir partes del un árbol de un server con PCs clientes
4.1. Ventajas
4.1.1. Reduce necesidades de almacenamiento
4.1.2. Simplifica la administración
4.1.3. Se mejora la consistencia de la información

4.2. Configuración del servidor NFS

4.2.1. Servidor: /etc/export → <ruta-a-exportar> <IP/name-cli1(popt-ist)> <IP/name-cli2(opt-list)>

a) ro(rw): read only o lectura/esxritura

b) secure/insecure: privilegio (root) o sin privilegio
c) sec=mode: Tipo de seguridad para el acceso de los archivos exportados
d) ¿no? root_squash: mapea peticiones root como anon
e) ¿no? all_squash: mapea peticiones user como anon
f) anonuid/gid=xxxx: Especifica una uid/gid al anon

4.2.2. Cliente

a) /import/ → mount ‐t nfs <name/IP-server>:<ruta-server> <ruta-cli>

b) etc/fstab → <name/IP-serv>:<ruta-serv> <ruta-directorio> nfs defaults 0 0

4.3. Autofs (automount): Suplir los inconvenientes de fstab

4.3.1. Monta automáticamente y desmonta cuando no se usa
4.3.2. Mapa maestro: /etc/auto.master

a) Auto-master: <punto‐de‐escucha> <nombre‐mapa‐automount> [opciones]

 Pto. escucha: Directorio padre donde se colgarán los montajes

 Mapname automount: Ruta del “fichero mapa” con rutas para el pto. escucha

b) Fichero mapa: <punto‐de‐montaje> [opciones] <localización>

 Pto montaje: Nombre del directorio dentro del pto-escucha padre

 Localización: <IP/nameserver>:<ruta-arbol>

4.4. Seguridad NFS

4.4.1. Se lleva a cabo una centralización de los datos passwd y group
4.4.2. nosuid: No se hacen válidos los permisos de SetUID en archivos de carpetas exportadas
4.4.3. noexec: Impide la ejecución de ejecutables en carpetas exportadas
4.4.4. root_squash: Evita que los root de otras máquinas tengan privilegios sobre las exportadas
Conceptos básicos Windows
1. Active Directory
1.1. Estructura lógica: Organizar los recursos de la red de forma jerárquica
1.1.1. Dominios: Agrupación lógica de ordenadores/recursos que comparten directory database

c) Lo gestiona 1 admin
d) Engloba 1+ CD (pc que ejecuta Windows server y almacena una copia del DA)
e) No existe relación maestro-esclavo entre los CD, excepto el Maestro de Operaciones

1.1.2. Unidades Organizativas: Agrupa objetos según las necesidades

a) Agrupa objetos de un dominio en grupos administrativos lógicos

b) Puede contener: Cuentas user, grupos, pcs, impresoras…
c) Permite delegar control administrativo (ct o parcial) sobre ou

1.1.3. Árboles: Agrupación jerárquica de dominios con un mismo namespace contiguo

a) Los dominios hijos se concatenan con los padres

b) Existe una relación bidireccional transitiva entre padres e hijos

1.1.4. Bosques: Agrupación jerárquica de 1+ árboles de namespce independiente

a) Comparten un schema común y un catálogo global

b) El primer dominio creado es el dominio raíz del bosque
c) Cada dominio raíz de un árbol tiene una relación bi. transitiva con el del bosque

1.1.5. Catálogo Global: Almacena información sobre subconjuntos de atributos del DA

a) Almacena lo más frecuente y los permisos de acceso al sys. desde este/otro domin.
b) Funciones: Búsqueda de info en bosque y el uso de grupos universales
c) Gestión (servidor CG): Contiene database, gestiona peticiones
d) Primer CD es CG default. Poner más implica balanceo de cargas
e) Maneja el testigo de acc en el logon: Info. de grupos a los que el user pertenece

1.2. Estructura física: Configurar y gestionar el tráfico de la red

1.2.1. CD: Más de 1 en un dominio (tolerancia a fallo, balanceo de cargas y proximidad)
1.2.2. Sites: Conexión entre lo físico y lógico. Intra-zona: conexión rápida. Optimiza el tráfico.

a) La replicación se hará por el camino de menor coste durante horario planificado.

b) Replicación Intra-sitio. Sincronización de CD en el menor tiempo posible
c) Replicación Inter-sitio: Reducir ancho de banda con líneas de baja velocidad
d) Replicación urgente: Cuando mucho intentos de acc. fallidos y modificaciones RID y pass.

1.2.3. Replicación: Modelo multimaster (una base). Sincronización. Se realiza por particiones.

a) Maestro schema: Único en el bosque, CD de escritura y modificaciones. Replica al resto

b) Maestername del dominio: Único en el bosque, CD para añadir/eliminar domin. al bosque
c) Maestro RID: 1/dominio, gestión de RIDS, bloque para administración de SIDs
d) Maestro PDC: Para coexistencia de pre-win2k (antiguos), actualiz. pass modif. en otros CD
e) Maestro de infraestruct: Relación user-grp > límite domin. Actualiza cambios de username

1.2.4. Topología: Considera los sitios, protocolos y los ctes de conex. inter-site. N max de salto es 3
a) <=7 DCs: Topología en anillo
b) >7 DCs: Deben crearse atajos

1.2.5. Particiones
 a) De configuración (1/Bosque): Info sites, particiones, permisos extend…
b) De schema (1/Bosque): Def. clases, objetos y atributos
c) De CG (1/Bosque): Atributos de objetos del bosque
d) De aplicaciones (cualquiera): Datos app que creó la partición
e) De directorio de domin (1/domin): Objetos de dominio, usuarios, pcs

1.2.6. Resolución de conflictos:

a) Conflictos: actualización concurrente, situar objeto en contenedor eliminado, duplicname.

b) Minimización de fallos: Se hacen cambios a nivel de atributos.
c) Sellos únicos globales: Viaja con los objetos, contiene info para evitar conflictos.

1.3. Dominios múltiples: Cuando se quiere;

1.3.1. Reducir tráfico de replicación
1.3.2. Crear diferentes políticas de seguridad
1.3.3. Conservar la estructura de dominios de un diseño previo
1.3.4. Dividir las responsabilidades de administración

1.4. Relaciones de confianza: Entre CD’s para autenticación mutua

1.4.1. Transitivas Bidireccionales: En dos sentidos, propio entre dominios de un árbol (padre-hijo)
1.4.2. Unidireccionales: Manuales. Para accesos directos o rutas utilizadas frecuentemente.
1.4.3. De bosques: No trans. Solo para autentic. Acceso a recursos exportados por otro domin.
1.4.4. Realm: Relación entre AD y otra implementación de kerberos
2. DNS: Base de datos que utiliza TCP/IP para traducción de nombres en IP
2.1. Características
2.1.1. Amigables: Se recuerda más fácil un nombre que una IP
2.1.2. Flexibilidad: Permite cambiar el nombre manteniendo la IP
2.1.3. Esquema de nombres: Jerárquico. Cada nodo/dominio representa una partición
2.1.4. Concatenación: Cada nodo se indexa con los nombres superiores

2.2. Integración con AD

2.2.1. W2K: Facilitado para W2000
2.2.2. Seguridad: La info de zonas es almacenada en el Directorio Activo
2.2.3. Replicación: Sustituye a el proceso de transferencia de zona
2.2.4. Multimaster: Permite su configuración para servers
2.2.5. Secure y dynamic updates: Actualizaciones seguras y de mayor control

2.3. Gestión DNS: La base de datos se almacena de forma distribuída.

2.3.1. Registros: Cada servidor es responsables de una parte del namespace DNS

a) Delegación
b) De raíz
c) De redirección
d) SRV: Permite indicar los servicios a ofrecer bajo el dominio objetivo

2.3.2. DNS Dinámico:

a) Peor seguridad (falta de distinción para equipos de una red)

b) Se arregla con Secure Upsdates (autorizados)

2.4. Procesos de resolución de nombres (Peticiones)

2.4.1. Recursivas (CLI-SER)
2.4.2. Iterativas (SER-SER)

2.5. Dominios: Parte del namespace DNS

2.6. Zonas: Estructura que almacena la información de gestión
2.6.1. Ficheros de zona

a) Resolución directa
b) Resolución inversa

2.6.2. Zonas de autoridad: Responsabilidad de resolución de cada servidor (prima y secund)

2.6.3. Zonas delegadas: Mantiene la estructura jerárquica a través de reg. de delegación
2.6.4. Zonas integradas/secundarias: Se guarda encriptada, replicada, autm. en el AD
2.6.5. Zonas stub: Pseudo zonas secundarias de otras zonas

2.7. Servidores: Almacenan registros de delgación, raíz y redirección.

2.7.1. Primarios: Copia original + modificación de zona
2.7.2. Secundarios: Copia del fichero de zona + balanceo de carga
2.7.3. Caché: Sin copia de ficheros + almacenaje temporal de resoluciones previas

2.8. Mecanismos: Conectar con niveles superiores de la jerarquía

2.8.1. Forwarders: Para DNS Servers ajenos a resoluciones externas
2.8.2. Root hints: Contiene IPs de los servers encargados del dominio “.”
3. Usuarios y recursos
3.1. Cuentas de usuarios: Credencial, almacena la info user. Se le asigna un SID
3.1.1. Tipos:

c) Usuario local: De acceso a un pc específico. Reside en el SAM del pc

d) Usuario de dominio: De acceso a un dominio y sus recursos. Reside en el DA.
e) Usuario predefinido: De tareas admin. y recursos temporales. Automático.

3.1.2. Planificación: Adoptar una convención de nombres y polít. de pass. Horarios de acc.
3.1.3. Administración: Resulta necesario tener control administrativo sobre las cuentas.

3.2. Política de cuentas: Nivel de seguridad establecido en el sistema

3.2.1. Sobre pass: caducidad, longitud, no-nulos. Considerar bloqueo de cuentas.

3.3. Perfiles
3.3.1. Por defecto: La base, de donde se extrae la copia inicialmente.
3.3.2. Local: Se crea la primera vez que se accede, y se modifica según los cambios.
3.3.3. Flotante: Se guarda el perfil de cada usuario en un servidor
3.3.4. Obligatorio: Es impuesto por el administrador y no se puede cambiar

3.4. Grupos de usuarios

3.4.1. Tipos

a) De seguridad: Grupos para asuntos de seguridad

b) De distribución: Listas de accesos para usuarios no relacionados con seguridad

3.4.2. Ámbito: Determina la ubicación que permite el uso de cierto grupo

a) Globales: U. del mismo dominio. Visibles en el bosque

b) Locales: U. y GG del bosque. Visibles en el dominio
c) Universales: U. y GG del bosque. Visibles en el bosque.

3.4.3. Estrategia: AG>DL<P (“gg” puede estar anidado, AGG>DL<P)

3.5. Carpetas compartidas

3.5.1. Permisos

a) Permisos compartidos: Sobre carpetas, único para restricciones de acc. en FAT

b) Permisos especiales: Cuando los estándar no son suficientes. Individuales.

3.5.2. Contienen un nombre compartido y la ruta completa.

3.5.3. Acceso mediante UNC: “\\Server\*”
3.5.4. Se debe considerar el uso de permisos restrictivos y eliminar los por defecto.
4. NTFS: Seguridad local.
4.1. Permisos: Solo para unidades formateadas en NTFS
4.1.1. Sobre directorios y (a la derecha de “/”) ficheros
4.1.2. Regla de asignación: Son acumulativos, excepto denegar que prevalece sobre el resto.
4.1.3. Herencia: Los permisos se propagan. Se puede prevenir deshabilitando herencia

4.2. ACL: Para cada fichero/directorio de NTFS

4.2.1. Deniega el acceso de usuarios/grupos que no está incluido en la ACL del recurso

4.3. Combinación de permisos NTFS y compartidos

4.3.1. Se aplican en accesos remotos
4.3.2. El permiso efectivo es el más restrictivo

5. Directivas de grupo: Colección de parám. de config. para distintos ámbitos

5.1. Ámbitos de aplicación: Sobre ordenadores y usuarios. Configuraciones:
5.1.1. Plantillas administrativas
5.1.2. Seguridad
5.1.3. Instalación de software
5.1.4. Scripts
5.1.5. Servicio de instalación remota
5.1.6. Redirección de carpetas

5.2. Valores de los parámetros de configuración: Habilitar, Deshabilitar, No config.

5.3. GPO: Objetos de directivas de grupos.
5.3.1. Almacenamiento de las GPO

a) GPC: Contenedores de directivas de grupo

b) GPT: Plantillas de directivas de grupo

5.3.2. GPO’s y directorio activo: Asociados a Sites, dominios y OU’s.

5.3.3. Aplicación y Orden de procesamiento de las GPO’s

a) Nos se procesan las directivas en CD’s lentos.

b) Prevalece la directiva sobre pc.
c) Orden: 1º Site, 2º Dominio, 3º OU.
d) En configuraciones no compatibles: Se aplican las del hijo.

5.4. Gestión de herencias

5.4.1. Bloquear la herencia: El contenedor hijo no hereda las GPOs del padre
5.4.2. Forzar la herencia: Prevalece sobre los bloqueos. Forzadas en conflicto, se aplica +alta.
5.4.3. Filtrar la herencia: Para especificar que la directiva afecte solo a usuarios en concreto
5.4.4. Cambio del orden de procesamiento: Cambia el ord. en que prevalece las GPOs conflitvas

5.5. Delegación de control: Modificar, Crear, Asignar y borrar GPO’s

6. DFS: Facilita el acceso a datos
6.1. Espacio de nombres: Organización de ficheros compartidos (SMB)
6.1.1. Basados en un dominio: Config. en AD, indep del server, admite links redundantes
6.1.2. Autónomo: Config. en DFS, el nameserver aparece en el namescpace

6.2. Referrals: Lista ordenada de servidores

6.2.1. Se recibe de un CD o un server namespace alacceder al DFS
6.2.2. Se accede por orden de arriba abajo, descartando si no responden

6.3. Replicación DFS: Replicar carpetas en múltiples servidores

6.3.1. Proporciona redundancia y minimiza el tráfico WAN
6.3.2. Usa la red de forma eficiente: Se propagan los cambios, utiliza compresion, replica sysvol
6.3.3. Limitaciones:

a) 256 miembros/carpetas y grupo de replic. de la que un server puede ser miembro

b) Capacidad server: 1TB de replicados, y un número de 8 millones de ficheros