Instalacion limpia de ubuntu server 14

https://www.youtube.com/watch?v=Rf7Hk8qWt1Q

 

Resolver problemas con ACL y error agregar:

apt-get install acl

vim /etc/fstab

agregar /dev/mapper/ubuntuii–vg.root    /        ext4     user_xattr,acl,errors=remount-ro    0   1

configurar directorio activo
/usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive --use-ntvfs

levantar servicio samba

/usr/local/samba/sbin/samba -i -M single &

para agregar samba4 al arranque:

editar archivo nuevo

vim /etc/init.d/samba4

agregar el siguiente codigo

#! /bin/sh

### BEGIN INIT INFO

# Provides: samba

# Required-Start: $network $local_fs $remote_fs

# Required-Stop: $network $local_fs $remote_fs

# Default-Start: 2 3 4 5

# Default-Stop: 0 1 6

# Short-Description: start Samba daemons

### END INIT INFO

#

# Start/stops the Samba daemon (samba).

# Adapted from the Samba 3 packages.

#

SAMBAPID=/var/run/samba/samba.pid

# clear conflicting settings from the environment

unset TMPDIR

# See if the daemon and the config file are there

test -x /usr/local/samba/sbin -a -r /usr/local/samba/etc/ || exit 0

. /lib/lsb/init-functions

case “$1” in

start)

log_daemon_msg “Starting Samba 4 daemon” “samba”

if ! start-stop-daemon –start –quiet –oknodo –exec /usr/local/samba/sbin/samba — -M single — -D; then

log_end_msg 1

exit 1

fi

log_end_msg 0

;;

stop)

log_daemon_msg “Stopping Samba 4 daemon” “samba”

start-stop-daemon –stop –quiet –name samba $SAMBAPID

# Wait a little and remove stale PID file

sleep 1

if [ -f $SAMBAPID ] && ! ps h `cat $SAMBAPID` > /dev/null

then

# Stale PID file (samba was succesfully stopped),

# remove it (should be removed by samba itself IMHO.)

rm -f $SAMBAPID

fi

log_end_msg 0

;;

restart|force-reload)

$0 stop

sleep 1

$0 start

;;

*)

echo “Usage: /etc/init.d/samba {start|stop|restart|force-reload}”

exit 1

;;

esac

exit 0

 una vez creado el archivo, hay que darle los permisos de ejecucion y agregarlo al arranque

chmod 755 /etc/init.d/samba4

sudo update-rc.d samba4 defaults

 

Politicas de seguridad
Restringir el uso de internet

-Crear listas negras “acl” (archivos) para bloquear los siguientes contenidos: porno, chat, correos, deportes, descargas, juegos. Para cada categoria se debe crear una lista negra en las cuales agregamos los registros que deseamos.
Ejemplo de lo que contiene el archivo Porno.
En la consola de comandos como root creamos el archivo porno en /etc/squid/
touch porno
ahora lo editamos
pico porno

Escribimos las palabras “claves” con las que negaremos esta clase de paginas ejemplo: en cada linea una debajo de la otra.
xxx
XXX
SEXO
sexo
porno
(asi las que deseamos)

-Creadas las listas negras bloquearemos a todos los usuarios de la red la navegacion a estos sitios web.
En acl se especifica lo que haremos con esta opcion
acl Porno url_regex “/etc/squid/porno”
Y con la siguiente linea le indicamos que hara si aceptarla (allow) o denegarla (deny).
http_access deny porno

-Bloquear a todos los usuarios descargas (.exe, .iso, .zip, .rar) reproduccion de archivos (.mp3, .mpg, .wav)
Politica para archivos multimedia.
acl multimedia urlpath_regex \mp3.$ \.mpg$ \.wav$
http_access deny multimedia
Politica para archivos de descargas.
acl instaladores urlpath_regex \.exe$ \.rar$ \.zip$ \.iso$
http_access deny instaladores

-La navegacion debe restringirse a horarios locales de lunes a viernes de 8:00 am a 12:00 am y de 13:00 pm a 16:30 pm.
acl horario time MTWHF 08:00-12:00
acl Horario time MTWHF 13:00-16:30
http_access allow horario red
http_access allow Horario red

-Existe un usuario sin ninguna restriccion con la ip 10.3.6.248 (Profesor)
acl profe src 10.3.6.248
http_access allow profe
-Los usuarios de la red pueden acceder a paginas de correo gratuito y chat solamente en horas de almuerzo (12:00 am — 13:00 pm)
acl HorarioAlmuerzo time MTWHF 12:00-13:00 (basta con una linea de estas)
como tenemos dos listas de control de acceso Correos y Chat nos taca especificar claramente loq ue deseamos. Aunque podriamos crear otra contenga todos los parametros.
http_access allow Chat HorarioAlmuerzo red
http_access allow Correos HorarioAlmuerzo red

-Configurar el proxy para que trabaje como transparente (que el usuario no tenga conciencia de su existencia) solo le agregamos tranparent en la siguiente linea.
http_port 10.3.6.205:3128 transparent
Para que esto se cumpla debemos darle en consola una regla de iptables que nos dice. Todo lo que venga por eth0 con destino el puerto 80 lo redireccione al puerto 3128. Todo en una sola linea.
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128

Aclaro que las lineas que estan en negrita son las mas importantes van en el archivo de configuracion squid.conf otras, es muy importante el ordenen que acomodamos las reglas (http_access …) porque de eso depende que todas se cumplan. A continuacion muestro todas las lineas del archivo de configuracion del squid montado de acuerdo mis necesidades.

http_port 10.3.6.205:3128 transparent

icp_port 0

cache_mem 32 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_peer proxy2.sena.edu.co parent 80 0 default

acl profe src 10.3.6.248
acl horario time MTWHF 08:00-12:00
acl Horario time MTWHF 1:00-4:30
acl HorarioAlmuerzo time MTWHF 12:00-13:00
acl Chat url_regex “/etc/squid/chat”
acl Correos url_regex “/etc/squid/correos”
acl Deportes url_regex “/etc/squid/deportes”
acl Descargas url_regex “/etc/squid/descargas”
acl Juegos url_regex “/etc/squid/juegos”
acl Porno url_regex “/etc/squid/porno”
acl multimedia urlpath_regex \mp3.$ \.mpg$ \.wav$
acl instaladores urlpath_regex \.exe$ \.rar$ \.zip$ \.iso$
acl imagenes urlpath_regex \.jpg$ \.png$ \.jif$
acl correo dst http://www.hotmail.com
acl noquiero dst http://www.yahoo.com
acl all src 0.0.0.0/0.0.0.0
acl red src 10.3.6.128/255.255.255.128

visible_hostname localhost

http_access allow profe
http_access allow Chat HorarioAlmuerzo red
http_access deny Chat
http_access allow Correos HorarioAlmuerzo red
http_access deny Correos
http_access deny Deportes
http_access deny Descargas
http_access deny Juegos
http_access deny porno
http_access deny multimedia
http_access deny instaladores
http_access deny imagenes
http_access deny correo
http_access deny noquiero
http_access allow horario red
http_access allow Horario red
http_access deny all

request_header_max_size 10 KB
request_body_max_size 512 KB
reply_body_max_size 512 KB

Recargamos el servicio /etc/init.d/squid restart desde la consola y con esto concluimos la configuracion.

Nota: para dejarlo funcionando en modo proxy only sin cache, agregar la linea

cache deny all

Para salvar la regla iptables y se cargue al rebootear el servidor ejecutar

service iptables save

Página siguiente »



Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

A %d blogueros les gusta esto: