Primeros Pasos:
Preparacion de los directorios.

[ircadmin@jmr conf]$ pwd
/home/ircadmin/conf
[ircadmin@jmr conf]$ mkdir cert
[ircadmin@jmr conf]$

Importante que tengan permiso 700 para su correcta proteccion..

Comandos a Utilizar:
Vamos a generar la llave privada del servidor, en este caso para apache no necesita que se introduzca el password para su inicio. Tener en cuenta que nos pedira protegerlo con una password lo suficientemente poderosa para evitar problemas.

[ircadmin@jmr cert]$ openssl genrsa -des3 -out server.key 4096
Generating RSA private key, 4096 bit long modulus
......................................................................++
..................................................................................................................................................................++
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:
[ircadmin@jmr cert]$


Creacion de la solicitud de firma de certificado
En este paso vamos a crear la solicitud de firma de certificado con la clave que hemos creado antes, utilizando el archivo creado anteriormente.
Vamos a tener que poner algunos datos para demostrar que somos los que decimos, esto no valida nada dado que no estamos aprobados por ningun centro de autorizacion internacional o avalado.


[ircadmin@jmr cert]$ openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:AR
State or Province Name (full name) [Berkshire]:BSAS
Locality Name (eg, city) [Newbury]:CAMPANA
Organization Name (eg, company) [My Company Ltd]:ITRESTAURACION
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:irc.restauradordeleyes.com.ar
Email Address []:villadalmine@fedoraproject.org

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[ircadmin@jmr cert]$


Firmar mi certificado:
Vamos ahora a firmar nuestro certificado. Podemos elegir la cantidad de dias que va a durar.

[ircadmin@jmr cert]$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
Signature ok
subject=/C=AR/ST=BSAS/L=CAMPANA/O=ITRESTAURACION/CN=irc.restauradordeleyes.com.ar/emailAddress=villadalmine@fedoraproject.org
Getting Private key
Enter pass phrase for server.key:
[ircadmin@jmr cert]$


Para obtener la huella y mas info.


[ircadmin@jmr cert]$ openssl x509 -noout -fingerprint -text < server.crt
SHA1 Fingerprint=63:B9:D0:DA:50:B6:2A:89:94:6B:6F:1F:9B:15:59:F9:B0:6E:39:25
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
d0:48:16:14:75:12:5b:60
Signature Algorithm: sha1WithRSAEncryption
Issuer: C=AR, ST=BSAS, L=CAMPANA, O=ITRESTAURACION, CN=irc.restauradordeleyes.com.ar/emailAddress=villadalmine@fedoraproject.org
Validity
Not Before: Feb 26 22:09:54 2012 GMT
Not After : Feb 25 22:09:54 2013 GMT
Subject: C=AR, ST=BSAS, L=CAMPANA, O=ITRESTAURACION, CN=irc.restauradordeleyes.com.ar/emailAddress=villadalmine@fedoraproject.org
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (4096 bit)
Modulus (4096 bit):
00:9d:0b:dd:6e:58:a9:bc:03:98:db:db:9c:bf:81:
b8:f7:0f:9d:0c:11:25:3c:70:d3:35:ff:65:f3:99:
9a:f5:44:95:4c:25:7c:0e:65:a8:22:38:14:3e:1d:
08:01:76:18:0a:9f:b7:28:5c:b9:1a:96:d3:3a:44:
87:90:40:f2:f0:b4:7f:46:ea:68:62:b0:13:ae:c2:
7f:94:92:6f:01:ce:ac:b2:4a:33:0a:58:fc:6d:c4:
86:33:d5:c4:1d:ff:c8:bb:68:0f:b6:0d:85:ab:08:
53:ca:3f:f0:fa:28:c0:5e:7c:87:a6:7d:7c:46:0d:
c2:e4:b9:83:4e:37:52:d6:b7:5d:7a:c5:51:f9:dc:
2e:88:11:55:6b:34:30:de:27:16:6d:f5:9e:e7:76:
40:24:ef:8e:67:59:78:e9:c8:21:ae:c9:a4:b8:85:
8e:f0:18:10:79:13:0e:ee:4f:c7:a0:72:0b:84:39:
5e:d1:8a:a1:d3:4c:19:42:35:1a:17:3e:a7:8d:80:
30:1a:29:ab:0e:40:e2:b4:4b:8b:4a:85:ab:8f:41:
1b:fe:a6:be:b4:90:31:f2:3d:9f:e7:72:88:32:9e:
bd:43:47:38:59:e3:06:2a:3f:7f:3a:a2:ed:68:2b:
db:6e:20:95:34:e3:2b:74:6e:a2:d4:12:7a:5e:00:
26:4b:5c:9f:85:96:3c:bc:19:fe:43:2c:85:b4:c4:
82:69:04:9c:63:6d:ff:6a:40:9a:c3:7c:8e:a7:44:
f8:0e:45:a9:44:cf:d6:d1:ad:e9:ee:4f:9e:72:ba:
22:2b:91:c7:0f:68:04:f2:08:f9:77:e9:cf:af:56:
43:a6:ee:17:15:e5:98:e4:44:42:8d:b9:13:ce:0c:
6f:1e:17:bd:20:47:a5:b1:54:39:6e:d7:18:c2:21:
e2:7d:d6:73:71:dc:45:e6:9b:68:15:a7:82:e7:03:
95:d1:6e:5f:2c:00:0e:60:de:3d:13:d2:66:7d:f3:
88:c2:25:96:a0:31:56:75:1b:70:af:03:31:8e:ec:
b3:c0:fb:8d:05:9c:1c:b1:b8:92:d7:5b:36:4a:1c:
99:1e:54:67:f9:7c:a6:d3:35:c8:ed:42:3a:bc:8c:
88:d3:5f:ef:21:01:98:e8:9b:66:32:62:e7:1f:79:
e6:ae:0c:76:85:23:b4:f2:11:61:31:9e:a0:88:d1:
65:9d:74:ba:8e:21:6e:f3:b6:b5:42:f9:2c:8d:cb:
2c:23:47:f8:bd:74:01:fd:e3:39:2d:b3:51:b9:6a:
6c:53:27:d0:26:33:fd:93:57:18:79:f5:12:1a:5b:
b2:fc:c9:6f:c0:17:96:e4:3e:cd:59:1e:60:1a:5e:
76:60:bb
Exponent: 65537 (0x10001)
Signature Algorithm: sha1WithRSAEncryption
0b:98:75:da:67:f0:7d:84:67:d9:e2:3d:a1:a0:57:3e:5e:32:
c1:c1:f2:92:b5:dc:52:c6:19:71:6e:be:fa:a3:fb:39:b7:33:
24:30:47:95:5f:ae:51:f9:7d:92:48:f1:3e:4c:93:87:15:45:
f2:db:1a:04:13:4e:ea:9c:cd:d0:af:6f:97:84:fb:e5:14:1e:
2d:eb:1c:09:86:a9:7b:75:fa:d4:90:95:a7:e1:62:88:c6:7b:
18:c7:29:0d:73:e1:a6:cd:eb:17:ff:0b:3e:3e:02:85:69:4a:
33:ad:59:3d:48:6a:73:1e:bd:a2:2c:fb:70:e6:22:47:43:03:
23:8b:de:d5:8b:e7:69:60:76:46:47:aa:a8:0b:af:0d:74:54:
da:45:1c:7b:5e:45:4d:0c:40:68:5b:7d:7e:10:d6:4b:a5:42:
22:b5:ef:9f:2b:18:f5:7b:99:2a:36:d2:e5:6b:5e:4e:3f:4d:
99:19:99:a3:19:b8:1c:27:a4:60:0d:60:18:7d:4e:71:f4:cd:
2c:19:31:df:2f:50:93:92:8b:75:b3:18:8b:b6:84:d3:4b:ef:
3b:63:32:fa:9a:47:3a:0e:2e:ea:10:29:8e:d9:a2:e9:11:e3:
2e:77:9f:93:da:b3:7c:90:fd:67:f7:a4:c8:8e:75:6c:2b:83:
da:d3:89:8a:f7:43:07:da:1a:01:8d:7d:40:c2:30:3f:48:a4:
0e:36:2d:78:43:8c:17:7e:2d:e9:47:98:f0:77:33:53:bf:88:
d3:71:88:5a:1e:65:2f:88:25:01:84:fa:d1:ad:4a:24:63:70:
ee:31:1a:5b:25:52:39:a4:b8:5c:cc:df:cd:7c:1c:39:80:f6:
65:b1:85:01:5e:a4:4e:6b:59:9c:db:34:9b:d7:b7:56:64:70:
23:8a:93:6e:06:5a:01:54:26:95:9d:26:45:f8:96:56:c3:e2:
9f:6d:a0:a6:42:4b:41:94:19:75:d8:d7:e5:fc:64:43:0e:8c:
1c:f0:28:85:f6:2a:f7:f1:23:14:64:1b:28:ad:9c:ae:29:e4:
ee:3a:79:6e:83:df:e1:b6:8c:e9:d5:5b:1b:14:22:b0:cf:5b:
ee:39:26:f9:03:30:5b:e6:8e:47:59:de:79:af:a8:1e:fc:6b:
75:e1:43:fc:5f:1e:50:32:8b:e6:e3:8d:dd:82:0a:5c:99:56:
72:bd:d5:1d:27:00:bb:54:b9:1e:62:9c:66:cc:8a:c3:cc:ae:
bb:19:e7:43:fa:cd:3c:62:58:c8:db:ba:8f:76:92:a4:fb:38:
c3:4e:48:c9:b2:2d:1b:e2:cd:9e:59:3d:12:04:20:6d:cf:57:
f7:0d:b6:59:0a:02:ac:a4
[ircadmin@jmr cert]$


Configurnado nuestro unrealirc:
En el archivo de configuracion del irc agregamos la siguiente linea para que busque los certificados.

set {
ssl {
certificate server.crt;
key server.key;
trusted-ca-file server.crt;
};
};


Ahora vamos a parar e iniciar nuevamente nuestro servicio irc y vamos a tener que poner la clave de nuestro certificado.

[ircadmin@jmr conf]$ ./unreal stop
Stopping UnrealIRCd
[ircadmin@jmr conf]$ ./unreal start
Starting UnrealIRCd
_ _ _ ___________ _____ _
| | | | | |_ _| ___ \/ __ \ | |
| | | |_ __ _ __ ___ __ _| | | | | |_/ /| / \/ __| |
| | | | '_ \| '__/ _ \/ _` | | | | | / | | / _` |
| |_| | | | | | | __/ (_| | |_| |_| |\ \ | \__/\ (_| |
\___/|_| |_|_| \___|\__,_|_|\___/\_| \_| \____/\__,_|
v3.2.8.1
using TRE 0.7.5 (LGPL)
using OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
using zlib 1.2.3

* Loading IRCd configuration ..
* Configuration loaded without any problems ..
* Loading tunefile..
* Initializing SSL.
Password for SSL private key:
* Dynamic configuration initialized .. booting IRCd.
---------------------------------------------------------------------
[ircadmin@jmr conf]$


Una vez que esta todo completado vamos a configurar nuestro cliente pidgin para que se conecte al servidor irc en el puerto 6697.
Veamos las siguientes fotos.

Vamos a ver que pasa cuando nos conectamos, dado que nos va a pedir que aceptemos el certificado como si se tratara de una pagina web con https.

Si quisieramos ver el certficado.

A continuacion vamos a ver como se genera la conexion una vez que aceptamos el certificado.

Bibliografia:

http://www.madboa.com/geek/openssl/

http://webdesign.about.com/od/ssl/ht/new_selfsigned.htm

http://forums.gentoo.org/viewtopic-p-3376064.html

http://forums.unrealircd.com/viewtopic.php?f=3&t=7352

http://www.unrealircd.com/files/docs/unreal32docs.es.html

Introduccion

Aca vamos a poder ver algunos ejemplos de este topico.
En las expresiones regulares vamos a utilizar string de texto o patrones por lo cuales estos ultimos vamos a usar dos tipos de carateres ( texto plano o metacaracteres).

Vamos a ver como manejar todo esto con ejemplos.

\ es un caracter de escape lo que venga despues de el no se intepreta.

Regular expression position anchor

Regular expression position anchors
^ , $ , \<\>

Ahi tenemos esos tres casos.

Antes vamos a crear un archivo:

[root@localhost ~]# cat test
Villa Dalmine
Restaurador de Leyes

JMR
Argentina
[root@localhost ~]#

Anchors are used to describe position information. Table 6-8, shown earlier, lists anchor
characters.

Ejemplo:

[root@localhost ~]# grep '^Villa' test
Villa Dalmine
[root@localhost ~]#

Como vemos este ^ signo me sirve para poder filtrar aquellos renglones que comienzan con una letra o palabra en especial o patro…

Ahora vamos a ver un ejemplo con $

[root@localhost ~]# grep 'Dalmine$' test
Villa Dalmine
[root@localhost ~]#

Aca vimos que con el signo $ vamos a poder un patro que indique un final de un renglon.

Ejemplo:

Ahora vamos a usar en conjuncion ^$:

[root@localhost ~]# grep '^$' test 

[root@localhost ~]#
[root@localhost ~]# grep -c '^$' test
1
[root@localhost ~]#

En este ejemplo lo que paso fue que le dijimos que busque aquellos renglos que son nulos que en el texto tengo un enter.

Ejemplo:

[root@localhost ~]# grep '^Argentina$' test
Argentina
[root@localhost ~]#

Aca en este ejemplo lo que hicimos fue buscar si algun renglon contiene unicamente esa palabra.

Ahora el ultimo ejemplo para este grupo.

[root@localhost ~]# grep '\<[aA]rgentina\>' test
Argentina
argentina
[root@localhost ~]#
[root@localhost ~]# grep '\<[:alpha:]rgentina\>' test
argentina
[root@localhost ~]#

Aca como vemos esta opcion < > en conjunto con [] voy a buscar alguna palabra que sea Argentina o Argentina.

Regular expression POSIX character classes
Character class Description
[:alnum:] Alphanumeric [a-zA-Z0-9]
[:alpha:] Alphabetic [a-zA-Z]
[:blank:] Spaces or Tabs
[:cntrl:] Control characters
[:digit:] Numeric digits [0-9]
[:graph:] Any visible characters
[:lower:] Lowercase [a-z]
[:print:] Noncontrol characters
[:punct:] Punctuation characters
[:space:] Whitespace
[:upper:] Uppercase [A-Z]
[:xdigit:] Hex digits [0-9a-fA-F]

Otro Grupo:

Regular expression character sets

Regular expression character sets
[abc][a-z]
[^abc][^a-z]
.

Ejemplos:
Los caracteres pueden ser situados en grupos y rangos para realizar expresiones regulares mas efecientes.

Ver este archivo:
[root@localhost ~]# cat test
Villa Dalmine
Restaurador de Leyes de Argentina

JMR
Argentina
argentina
124Argentina
12JMR
12345JMR
[root@localhost ~]#

Ejemplo:

[root@localhost ~]# grep '[Aa]rgentina' test
Restaurador de Leyes de Argentina
Argentina
argentina
124Argentina
[root@localhost ~]#

Aca como vimos nos devolvio todas las palabras que son contenidas cumpliendo con Argentina o Argentina o 123Argentina y asi..

Otro:

[root@localhost ~]# grep ‘[0-9][0-9][0-9]‘ test
124Argentina
12345JMR
[root@localhost

Aca estamos buscando aquellos parametros que empiezan por lo menos con tres numeros.
Otro:

[root@localhost ~]# grep ‘^[^0-9]‘ test
Villa Dalmine
Restaurador de Leyes de Argentina
JMR
Argentina
argentina
[root@localhost ~]#
Aca nos va a devolver aquellos parametros que que empiezan con cualquiera cosa que no sea un numero.

Regular expression Quantity modifiers

BRE:
*,\?,\+,\{n,m},\|,\(regex\)
ERE
*,?,+,{n,m},|,\regex)

Vamos  a ver algunos ejemplos en donde mezclaremos el uso de character set con la cantidad de veces que necesitemos utilizar esa busqueda.

[rino@oc7287280510 ~]$ cat file1
ab
abc
abcc
abccc
asaabsde
ffda4
[rino@oc7287280510 ~]$

[rino@oc7287280510 ~]$ grep abc* file1
ab
abc
abcc
abccc
asaabsde
[rino@oc7287280510 ~]$

Como ven nos trajo todo lo que contiene ab,abc,abcc y asi..

[rino@oc7287280510 ~]$ grep abcc* file1
abc
abcc
abccc
[rino@oc7287280510 ~]$

Aca nos trajo todo lo que contiene abc,abcc,abccc y asi ..

Otro ejemplo:

[rino@oc7287280510 ~]$ cat file1
123456
abc12asf1245
a1gb1sd2
12456
[rino@oc7287280510 ~]$

[rino@oc7287280510 ~]$ grep ‘[0-9][0-9][0-9]*’ file1
123456
abc12asf1245
12456
[rino@oc7287280510 ~]$

Todo lo que contenga al menos dos numeros.

Tambien asi es lo mismo.

[rino@oc7287280510 ~]$ grep '[0-9]\{2,\}' file1
123456
abc12asf1245
12456
[rino@oc7287280510 ~]$

el \{2,\} lo que hace es repetir dos veces lo que dice antes.

Otro Ejemplo:

[rino@oc7287280510 ~]$ cat file1
file1
file2
fil1
[rino@oc7287280510 ~]$

[rino@oc7287280510 ~]$ grep 'file[12]\?' file1
file1
file2
[rino@oc7287280510 ~]$

Aca como ven me devuelve file1 y file2 porque con ? puede encontrar cero ocurriencias.

Otro Ejemplo:

[rino@oc7287280510 ~]$ cat file1
Hola1
Como estas
es $1
[rino@oc7287280510 ~]$

[rino@oc7287280510 ~]$ grep '[0-9]\+' file1
Hola1
es $1
[rino@oc7287280510 ~]$

Todas aquellas lineas que contienen el numero 1.

Otro Ejemplo:

[rino@oc7287280510 ~]$ cat file1
1
11
111
1111
11111
1010110
[rino@oc7287280510 ~]$

[rino@oc7287280510 ~]$ grep '^1\{3,5\}$' file1
111
1111
11111
[rino@oc7287280510 ~]$

Todas aquellas lineas que empiezan con 1 y el rango es de 111 a 11111.

Otro Ejemplo:

[rino@oc7287280510 ~]$ cat file1
12
1
1234
12345
124
[rino@oc7287280510 ~]$

[rino@oc7287280510 ~]$ grep '\<[0-9]\{2,5\}\>' file1
12
1234
12345
124
[rino@oc7287280510 ~]$

Al menos contienen desde dos digitos hasta cinco.

Otro ejemplo:

[rino@oc7287280510 ~]$ cat file1
El Mundo Linux y sus consecuencias.
El mundo linux y Sus Consecuencias.
EL MUNDO LINUX Y SUS CONSECUENCIAS.
[rino@oc7287280510 ~]$

[rino@oc7287280510 ~]$ grep -E '[Ll]inux|[sS]us' file1
El Mundo Linux y sus consecuencias.
El mundo linux y Sus Consecuencias.
[rino@oc7287280510 ~]$

Aca estamos usando la version extendida del grep.

Usando Sed

Tenemos este archivo.

Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.

Patron para el sed.

s/pattern/replacement/flags

Usando Sed - Substitution flags

Cuatro flags para sustitucion:
A --> un numero que me indica en donde va a buscar la ocurrencia y cambiarla.
g --> Indica que todas las ocurrencias deben ser cambiadas del texto
p --> Indica que el contenido original de la linea debe ser mostrada.
w file --> Escribe el resultado de la substitucion en un archivo.

Aca le vamos a decir que solo lo cambie en la segunda linea.

[rino@oc7287280510 scripts]$ sed '2 s/Dalmine/River/' sed
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Toda la gente de Argentina es de River y Deportivo Merlo.
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
[rino@oc7287280510 scripts]$

Aca vamos a mostrar como cambiarlo de forma global

[rino@oc7287280510 scripts]$ sed 's/Dalmine/River/g' sed
Toda la gente de Argentina es de River y Deportivo Merlo.
Toda la gente de Argentina es de River y Deportivo Merlo.
Toda la gente de Argentina es de River y Deportivo Merlo.
Toda la gente de Argentina es de River y Deportivo Merlo.
[rino@oc7287280510 scripts]$

Le agregamos hola al final del archivo.
[rino@oc7287280510 scripts]$ echo "hola" >> sed

[rino@oc7287280510 scripts]$ sed -n 's/Hola/Chau/p' sed
Chau
[rino@oc7287280510 scripts]$

Ahora vamos a guardar la salida de lo que cambia en un archivo nuevo.

[rino@oc7287280510 scripts]$ sed  's/Hola/Chau/w sed2' sed
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Toda la gente de Argentina es de Dalmine y Deportivo Merlo.
Chau
[rino@oc7287280510 scripts]$ cat sed2
Chau
[rino@oc7287280510 scripts]$

Para ver mas en profunidad --> Usando Sed

Usando Grep

Ver el siguinte Link --> Usando Grep

Referencia --> LInks:
[1] http://www.gentoo.org/doc/es/articles/l-sed2.xml
[2] http://enavas.blogspot.com/2008/03/el-shell-de-linux-comando-sed.html

1- Introduccion
2- Utilizando Secure Shell (SSH)
2-1 Comandos
2-2 Instalacion
2-3 Archivos de Configuracion
2-4 Primeras Conexiones
2-5 Teoria Llaves asimetricas
2-6 Creando Llaves asimetricas
2-7 Creando Tuneles
3-0 Teoria GPG
3-1 Uso GPG
3-2 Uso de GPG con Gmail

Introduccion

Vamos a ver un poco como funciona el servicio OpenSSh que viene de los desarroladores de OpenBSD.
Este servicio utiliza lo que se llama cifrado asimetrico (llave publica y privada) con diferentes algoritmos(RSA, DSA,etc) que van a realizar la encriptacion.[2]

Utilizando Secure Shell (SSH)

SSH, tambien conocido como Shell segura es un reemplazo de telnet y otros comandos (rsh,rlogin,rcp ).
Principalmente se usa ssh para poder establecer conexiones remotas encriptadas. Sin embargo se utiliza tambien para copiar archivos,
crear tuneles con diferentes procotolos y puertos.
SSH es un modelo cliente/servidor en donde el demonio sshd es el servidor y ssh y scp son los comandos clientes.
Los clientes se conectan al servidor (sshd) , se establece una sesion encriptada que para eso necesitamos una autentificacion entre ambas partes (intercambio de llaves) y luego nos da el prompt de login.

Comandos

El comando ssh puede ser usado para conectarme remotamente a otros equipos o para conectarme localmente a mi equipo.Podriamos decir que es un uso similar al de rlogin,rsh,telnet.
El comando scp nos va a servir para poder copiar archivos y directorios desde o hacia un servidor remoto, funcionando este como el rcp.
Tambien se puede hacer forwarding con ssh (autentificacion con X y forwarding). Tambien se puede arrancar una X cliente desde una maquina remota y el protocolo X Window System sera encriptado para que sus paquetes viajen por la red.[3]

Instalacion

Aca vamos a consultar si ya lo tenemos instalado.

root@debian:~# dpkg -l |grep -i openssh
ii  openssh-blacklist                  0.4.1                       list of default blacklisted OpenSSH RSA and DSA keys
ii  openssh-client                     1:5.5p1-6                   secure shell (SSH) client, for secure access to remote machines
ii  openssh-server                     1:5.5p1-6                   secure shell (SSH) server, for secure access from remote machines
root@debian:~#

Como ven tenemos instalado todo ya, si lo quisieramos instalar basta con hacer aptitude install NombrePaquete.
No se olviden que para poder hacer que se conecten al equipo necesitan el openssh-server.
Luego de instalar el openssh-server les va a generar las claves.

Archivos de Configuracion

Vamos a ver donde se situan los archivos de configuracion del cliente y del servidor.

Aca tenemos el directorio en gral.
root@debian:~# ls -ld /etc/ssh/
drwxr-xr-x 2 root root 4096 Feb  8 23:59 /etc/ssh/
root@debian:~#

Aca tenemos todos los archivos que contiene:

root@debian:~# ls -l /etc/ssh/
total 152
-rw-r--r-- 1 root root 125749 Dec 26 13:12 moduli
-rw-r--r-- 1 root root   1669 Dec 26 13:12 ssh_config
-rw-r--r-- 1 root root   2453 Feb  8 23:59 sshd_config
-rw------- 1 root root    668 Feb  8 23:59 ssh_host_dsa_key
-rw-r--r-- 1 root root    601 Feb  8 23:59 ssh_host_dsa_key.pub
-rw------- 1 root root   1675 Feb  8 23:59 ssh_host_rsa_key
-rw-r--r-- 1 root root    393 Feb  8 23:59 ssh_host_rsa_key.pub
root@debian:~#

Como ven tienen las llaves que genero con el algoritmo dsa y rsa tanto publicas ocmo privadas.

root@debian:/etc/ssh# file ssh_host_rsa_key
ssh_host_rsa_key: PEM RSA private key
root@debian:/etc/ssh# file ssh_host_rsa_key.pub
ssh_host_rsa_key.pub: ASCII text, with very long lines
root@debian:/etc/ssh#

Luego el archivo de configuracion del cliente es el siguiente :

root@debian:/etc/ssh# ls -l ssh_config
-rw-r--r-- 1 root root 1669 Dec 26 13:12 ssh_config
root@debian:/etc/ssh#

Un archivo tipico ..

root@debian:~# cat /etc/ssh/ssh_config  |grep -v "#"

Host *
    SendEnv LANG LC_*
    HashKnownHosts yes
    GSSAPIAuthentication yes
    GSSAPIDelegateCredentials no
root@debian:~#

El archivo de configuracion del servidor es el siguiente:

root@debian:/etc/ssh# ls -l sshd_config
-rw-r--r-- 1 root root 2453 Feb  8 23:59 sshd_config
root@debian:/etc/ssh#

Un archivo tipico :

root@debian:~# cat /etc/ssh/sshd_config  |grep -v "#"

Port 22
Protocol 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
UsePrivilegeSeparation yes

KeyRegenerationInterval 3600
ServerKeyBits 768

SyslogFacility AUTH
LogLevel INFO

LoginGraceTime 120
PermitRootLogin yes
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes

IgnoreRhosts yes
RhostsRSAAuthentication no
HostbasedAuthentication no

PermitEmptyPasswords no

ChallengeResponseAuthentication no

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes

AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes
root@debian:~#

Aca en este archivo vamos a mencionar alguna de las cosas mas importantes como por ejemplo.
Port para especificar el puerto
Protocol la version del ssh
PermitRootLogin para permitir que se loguen como root.
PubkeyAuthentication Permite autentificacion de llaves publicas.
# For this to work you will also need host keys in /etc/ssh_known_hosts
# (for protocol version 2)
HostbasedAuthentication para que los usuarios puedan utilizar las llaves guardas bien conocidas o no.
# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication Creo que el comentario de arriba lo dice todo.
X11Forwarding Para poder realizar forwardeo de grafica.

Primeras Conexiones

Cuando nos conectemos por primera vez a un equipo remoto va a pasar lo siguiente.

Equipo Remoto : 192.168.100.136

[rino@oc7287280510 ~]$ uname -a
Linux oc7287280510.ibm.com 2.6.35.10-74.fc14.x86_64 #1 SMP Thu Dec 23 16:04:50 UTC 2010 x86_64 x86_64 x86_64 GNU/Linux
[rino@oc7287280510 ~]$
[rino@oc7287280510 ~]$ ssh -l root 192.168.100.136
The authenticity of host '192.168.100.136 (192.168.100.136)' can't be established.
RSA key fingerprint is 7f:91:5b:59:fb:3e:2d:9a:74:5f:41:7d:4a:36:98:9b.
Are you sure you want to continue connecting (yes/no)? 

Como ven ahi se va a realizar el intercambio de llaves.. Ponemos yes.

Warning: Permanently added '192.168.100.136' (RSA) to the list of known hosts.
root@192.168.100.136's password:
Y como vemos ya tenemos para poner la password
Linux debian 2.6.32-5-686 #1 SMP Wed Jan 12 04:01:41 UTC 2011 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Feb 14 15:54:53 2011 from 192.168.100.1
root@debian:~#
root@debian:~# uname -a
Linux debian 2.6.32-5-686 #1 SMP Wed Jan 12 04:01:41 UTC 2011 i686 GNU/Linux
root@debian:~#
Ahora como ven estamos logueado en el equipo remoto.

Ahora volvamos al equipo local.

[rino@oc7287280510 ~]$ pwd && ls -ld .ssh
/home/rino
drwx------. 2 rino rino 4096 Feb 14 18:51 .ssh
[rino@oc7287280510 ~]$

Como ven se creo un directorio que se llama .ssh en el home directory del usuario el cual contiene estos archivos.

[rino@oc7287280510 ~]$ pwd && ls -l .ssh
/home/rino
total 104
-rw-------. 1 rino rino  1002 Aug 25 21:58 authorized_keys
-rw-rw-r--. 1 rino rino    62 Jul 22  2010 config.ssh
-rw-------. 1 rino rino   672 May  2  2010 id_dsa
-rw-r--r--. 1 rino rino   607 May  2  2010 id_dsa.pub
-rw-r--r--  1 rino rino 77941 Feb 14 18:52 known_hosts
-rw-------. 1 rino rino  1743 Jul 22  2010 rino
-rw-r--r--. 1 rino rino   399 Jul 22  2010 rino.pub
[rino@oc7287280510 ~]$

El archivo que nos creo fue el known_hosts que es el que contiene todas las llaves publicas de los servidores remotos que me quiero conectar.
Los demas archivos que figuran son porque en mi caso tengo mis llaves (publicas y privadas) que genere yo para poder conectarme a los equipos remotos sin necesidad de poner ninguna clave.. Eso lo vamos a ver mas adelante.

Si se fijan pueden buscar en el archivo mencionado anteriormente si esta la llave.

[rino@oc7287280510 .ssh]$ cat known_hosts |grep -i "192.168.100.136"
192.168.100.136 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCvwJeIutxTZiydnLX+mOGenaYj5g2AKTpztQGFV4pSZxJLe9G0gsnrqZb2Amfe7ibaKqRMCy8OAPJfXJGmOyRVOHvqHnxeDifdXI9u81+qkBQRmuqV+6niqx1BxjWov7LnsiVmEnQDj3rlVe8t3WW5tOujdBTster29ECH0XfaiJdbzEF4xq0wdm0CknGwGha5DkkdWmoXlQh4fXrxsjHyIYSe5MpsIiaFsxp29M7ecxIaGcXct6twS0rABBD/pKrvrg6GMx2CUHaJC3AuoHajlxo7PoaHCv/c1pWZMlKNP4uSon+RH7ficNZ1MXiHsudm6O5gOEZFtTTdLzytxcPj
[rino@oc7287280510 .ssh]$

Si la borran (eso de arriba es toda una linea) , la proxima vez que se conectan a ese equipo le va a pedir devuelta que confirmen el intercambio de llaves.
Para conectarnos a un servidor remoto la sintaxis basica es asi.

ssh -l usuario ip/fqdn
ssh usuario@fqdn
Ejemplo:
ssh -l pepe 192.168.1.1
ssh -l pepe@mipc.com

Teoria llaves asimetricas

Una breve introduccion:

Breve introducción a la criptografía
En general, se pueden utilizar dos métodos de cifrado: simétrica y asimétrica.
El cifrado Simétrico es más rápido pero menos seguro, y el cifrado asimétrico es más lento pero más seguro.
En un medio ambiente con clave simétrica, ambas partes utilizan la misma clave para cifrar y descifrar mensajes.
Con las claves asimétricas, una clave pública y una clave privada se utilizan, y esta es la técnica importante que es utilizada para SSH.
Si las claves asimétricas son utilizadas, cada usuario tiene su propia clave pública / clave privada, y cada equipo necesita un par de ellas. De estas claves, la clave privada debe ser protegida en todo momento: si la clave privada se ve comprometida, la identidad del propietario de la clave privada se pone en peligro.
En resumen, el robo de usuarios de la clave privada es como el robo de identidad de un usuarios. Por lo tanto, una clave privada se almacena normalmente en un lugar muy seguro donde nadie más que su propietario puede acceder a él, por regla general se graba ~./ssh. La clave pública, por el contrario, está disponible a todo el mundo.
La clave Pública / Privada se utiliza generalmente para tres propósitos: encriptación, autenticación y no rechazo.
Para enviar un mensaje cifrado, el remitente cifra el mensaje con la clave pública del receptor que puede descifrar con la clave privada correspondiente. Este escenario requiere que, antes de el envío de un mensaje cifrado, usted tenga la clave pública de la persona que desea enviar el mensaje.
Las otras opciones son para utilizar las claves públicas y privadas para la autenticación o para probar que un mensaje no ha cambiado desde su creación. Este método se conoce como el no repudio. En el ejemplo de la autenticación, la clave privada se utiliza para generar una señal de token codificada. Si este token se puede descifrar con la clave pública de la persona que quiere autentificarse, esto demuestra que realmente está tratando con la persona adecuada, y el acceso puede ser concedido.
Sin embargo, esta técnica requiere que la clave pública sea copiada al host antes de que la autentificacion ocurra.

Utilizando modelo llave Publica/Privada en un ambiente con SSH.

Cuando la autenticación basada en claves se utiliza SSH , debe asegurarse de que, para todos los usuarios que necesitan utilizar esta tecnología, la clave pública está disponible en los equipos que se quieran acceder . Al entrar, el usuario crea una solicitud de autenticación en donde se utiliza la firma de la clave privada del usuario . Esta solicitud de autenticación se corresponde con la clave pública del mismo usuario en el equipo en el que el usuario desea ser autenticado. Si coincide, el usuario tiene permiso de acceso; Si no es así, el acceso de usuario se le niega.
La clave Pública / privada de autenticación está habilitada por defecto en todas las principales distribuciones de Linux.
Los pasos siguientes proporcionan un resumen de lo que sucede cuando un usuario intenta establecer una sesión SSH con un host:

1. Si la autenticación de clave pública está habilitada (por defecto), SSH comprueba el directorio en el directorio home del usuario para comprobar si una clave privada está presente.
2. Si una clave privada se encuentra, SSH crea un paquete con algunos datos en ella (token), cifra el paquete con la clave privada, y lo envía al host. La clave pública se envía también con este paquete.
3. El anfitrión ahora comprueba si un archivo con el nombre authorized_key en el home directory del usuario. Si no es así, el usuario no puede ser autenticado con sus llaves.
Si el archivo no existe y la clave pública es una clave permitida (y también es idéntica a la clave que ha sido seleccionada en el host), el host utiliza esta clave para comprobar la firma.
4. Si la firma se verifica, el usuario tiene acceso. Si la firma no puede ser verificada, el anfitrión le pide al usuario una contraseña en su lugar.

Todo esto suena bastante complicado, pero no lo es realmente. Todo sucede de forma transparente, si ha sido correctamente configurado. Además, lesto representa apenas un retraso significativo al establecer una conexión. Normalmente se requieren no más de un segundo.

Creacion llaves asimetricas

Vamos a realizar los pasos para crear nuestro juego de llaves y lograr que no tengamos que poner ninguna clave al conectarnos en un equipo remoto.[6]

Tenemos nuestro equipo ServidorA que va a ser nuestro equipo de trabajo

[rino@servidorA .ssh]$ hostname
servidorA
[rino@servidorA .ssh]$

Tenemos nuestro equipo ServidorB que va a ser el equipo donde nos vamos a conectar remotamente.

root@servidorB:~# hostname
servidorB
root@servidorB:~#

Paso 1 –> Crear llave publica y privada usando el comando ssh-key-gen en el servidor local

[test@servidorA ~]$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/test/.ssh/id_rsa):
Created directory '/home/test/.ssh'.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/test/.ssh/id_rsa.
Your public key has been saved in /home/test/.ssh/id_rsa.pub.
The key fingerprint is:
9d:45:29:e0:78:47:c3:85:0b:9e:ef:b2:59:26:aa:82 test@servidorA
The key's randomart image is:
+--[ RSA 2048]----+
|        .oooo.   |
|       o..+o.    |
|      ..oo.o.    |
|       .oo.o     |
|        S.o      |
|          .      |
| .      ..o      |
|E .    ..=.      |
|   .... oo       |
+-----------------+
[test@servidorA ~]$

Paso 2 –> Copiar la llave publica en el servidor remoto utilizando ssh-copy-id

[test@servidorA ~]$ ssh-copy-id -i .ssh/id_rsa.pub rino@192.168.100.136
The authenticity of host '192.168.100.136 (192.168.100.136)' can't be established.
RSA key fingerprint is 7f:91:5b:59:fb:3e:2d:9a:74:5f:41:7d:4a:36:98:9b.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.100.136' (RSA) to the list of known hosts.
rino@192.168.100.136's password:
[test@servidorA ~]$

Acuerdense que tienen que tener un usuario en el equipo remoto.
Esto va hacer un append de nuestra llave publica en el archivo remoto .ssh/authorized_key del servidor destino.

Paso 3 —> Autentificarse en el equipo remoto sin poner ningun password.

[test@servidorA ~]$ ssh rino@192.168.100.136
Linux debian 2.6.32-5-686 #1 SMP Wed Jan 12 04:01:41 UTC 2011 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Feb 14 19:43:11 2011 from 192.168.100.1
rino@servidorB:~$

Como ven no utilizamos ninguna password.

Ahora vamos a ver como utilizar ssh-add y ssh-agent.
Estos comandos nos van a servir para poder administrar nuestras llaves que se cargan cuando se inicia nuestra sesion. Imaginense que alguien se adueña de nuestras llaves como no la protegimos con una clave cualquiera se puede pasar por nosotros es por eso que necesitamos configurarle una clave.

[test@servidorA ~]$ ssh-keygen -p -t rsa
Enter file in which the key is (/home/test/.ssh/id_rsa):
Enter new passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved with the new passphrase.
[test@servidorA ~]$

Ahora ya tenemos una clave para nuestras llaves.

[test@servidorA ~]$ ssh rino@192.168.100.136
Enter passphrase for key '/home/test/.ssh/id_rsa':
Linux debian 2.6.32-5-686 #1 SMP Wed Jan 12 04:01:41 UTC 2011 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Feb 14 19:57:21 2011 from 192.168.100.1
rino@servidorB:~$

Ahora como ven antes de hacer algo me pide que autentifique con la clave de las llaves.. Ya si alguien quiere usar mis llaves no puede..

La idea es que no tenga que poner siempre esa clave y eso lo vamos a lograr con ssh-add y ssh-agent.

[test@oc7287280510 ~]$ ssh-agent
SSH_AUTH_SOCK=/tmp/ssh-JtWDS10101/agent.10101; export SSH_AUTH_SOCK;
SSH_AGENT_PID=10102; export SSH_AGENT_PID;
echo Agent pid 10102;
[test@oc7287280510 ~]$

*. Esos comandos que tiro por lineas lo tendriamos que copiar y pegar para que los ejecute la shell, pero seria muy engorroso asi que vamos a realizarlo de la siguiente manera.*
*. Tengan en cuenta que les va a pedir su passphrase.*

Entonces vamos a realizar otros pasos:

[test@oc7287280510 ~]$ eval `ssh-agent`
Agent pid 10194
[test@oc7287280510 ~]$

Aca entra en juego el ssh-ad para que agreguemos nuestra llave en memoria. Nos va a pedir nuestra clave de la llave.

[test@oc7287280510 ~]$ ssh-add
Enter passphrase for /home/test/.ssh/id_rsa:
Identity added: /home/test/.ssh/id_rsa (/home/test/.ssh/id_rsa)
[test@oc7287280510 ~]$

Ahora intentamos loguearnos al servidor remoto.

[test@oc7287280510 ~]$ ssh rino@192.168.100.136
Linux debian 2.6.32-5-686 #1 SMP Wed Jan 12 04:01:41 UTC 2011 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Feb 14 20:02:54 2011 from 192.168.100.1
rino@servidorB:~$

Como ven ya nos logueamos sin necesidad de poner ninguna clave. (ni la del usuario ni la de nuestra llave).
Lo unico malo de esto es que no es una buena idea ponerlo en .bashrc o .bash_profile , menos en /etc/profile.. Lo ideal seria en alguno de los scripts de inicio de nuestra sesion grafica para que cuando iniciemos la grafica nos pida que pongamos la password y ya queda nuestra llave cargada [7][8][9] porque sino solo quedaria la llave con la clave cargada unicamente en la shell donde lo ejecutamos en cambio si lo hacemos no bien entramos en nuestra sesion grafica ya queda definida de forma global.

Creando Tuneles

Sintaxis

ssh -R|L port:host:host_port [user@]hostname [command]

Cuando la opción principal es-L, ssh redirige el tráfico desde el puerto local (port) al puerto de la máquina remota(host:host_port)
Cuando un programa se conecta al puerto host local, la conexión se transmite al lado remoto.
Una aplicación muy útil para esto es que transmita los puertos locales al servidor de correo de su empresa para que pueda enviar correo electrónico como si estuviera en la oficina. Todo lo que tienes que hacer es configurar el cliente de correo electrónico para conectar con el puerto correcto en el servidor local. Mas adelante veremos un ejemplo.
Cuando se utiliza-R, ocurre lo contrario. El puerto (port) de la interfaz de host local de la máquina remota se une al equipo local, y las conexiones que le serán enviadas a la máquina local dada por el host: host_port.

Ejemplo
Acceda a login.example.com. Entonces, redireccione las conexiones hacia localhost puerto 2525 al puerto 25 en mail.example.com, que seguramente va a rechazar la retransmisión para usted. La razón es porque la unión con el puerto 2525 tiene que ser creada por root en el puerto 25:
$ ssh-L 2525: mail.example.com: 25 login.example.com
En el sentido de que podemos forwardear estos puertos y otros para crear un tunel cifrado de datos en ambas partes.
Otros ejemplos y teoria [14][15]
La idea es que generemos un tunel (comunicacion) entre dos puntos ya sea de un lado o del otro para poder tener nuestros datos cifrados.
Igualmente recomiendo ver las paginas mencionadas para estar mas a fin con el concepto aca solamente se meniciona la sintaxis.

Veamos un ejemplo mas.

Supongamos que querramos enviar un mail con telnet utilizando un servidor de correo externo en este caso mail.restauradordeleyes.com.ar

[rino@oc7287280510 ~]$ telnet mail.restauradordeleyes.com.ar 25
Trying 38.108.125.71...
Connected to mail.restauradordeleyes.com.ar.
Escape character is '^]'.
220 wiki.itrestauracion.com.ar ESMTP Sendmail 8.13.8/8.13.8; Tue, 15 Feb 2011 21:37:57 +0300
helo mail.restauradordeleyes.com.ar
250 wiki.itrestauracion.com.ar Hello cpe-200-115-224-64.telecentro-reversos.com.ar [200.115.224.64] (may be forged), pleased to meet you
mail from: rino@restauradordeleyes.com.ar
250 2.1.0 rino@restauradordeleyes.com.ar... Sender ok
rcpt to: villadalmine@gmail.com
550 5.7.1 villadalmine@gmail.com... Relaying denied. IP name possibly forged [200.115.224.64]

Como ven nos rechaza porque esta bien configurado no nos permite hacer relay por lo cual necesitamos si o si crear un tunel hacia el mail server.

Entonces antes que nada creamos el tunel.

[rino@oc7287280510 ~]$ ssh -L 2525:localhost:25 root@mail.restauradordeleyes.com.ar
bienvenido a mi sistema %a. Tu IP esta siendo guardada para mayor seguridad
root@mail.restauradordeleyes.com.ar's password:
Last login: Tue Feb 15 21:33:40 2011 from 200.115.224.64
[root@villadalmine ~]#

Como ven lo redireccionamos al puerto 2525 pero si queriamos hacerlo sobre el puerto 25 de nuestra maquina tenemos que tener cuidado que no este corriendo un smtp en ese puerto y lo vamos a tener que abrir como root.

Ahora vamos a ver como si nos deja enviar un mail.

[root@oc7287280510 ~]# telnet localhost 2525
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 wiki.itrestauracion.com.ar ESMTP VersionZZ XXXX; Tue, 15 Feb 2011 21:42:33 +0300
helo mail.restauradordeleyes.com.ar
250 wiki.itrestauracion.com.ar Hello localhost.localdomain [127.0.0.1], pleased to meet you
mail from:rino@restauradordeleyes.com.ar
250 2.1.0 rino@restauradordeleyes.com.ar... Sender ok
rcpt to: villadalmine@gmail.com
250 2.1.5 villadalmine@gmail.com... Recipient ok
data
354 Enter mail, end with "." on a line by itself
HOla este es un mail de prueba
.
250 2.0.0 p1FIgXUA015400 Message accepted for delivery
quit
221 2.0.0 wiki.itrestauracion.com.ar closing connection
Connection closed by foreign host.
[root@oc7287280510 ~]#

Y como ven ahora si nos dejo enviar un mail .

Ejemplo con tunel reverso.

En el equipo B tenemos corriendo apache con una pagina pero este host esta nateado detras de una red privada como hariamos para mostrarle la pagina a nuestro cliente remoto que tiene linux ??
Facil primero le tenemos que pedir que nos habilite el puerto 22 y que deje corriendo ssh con un usuario que el nos provee asi luego vamos conectarnos a la pc de el para que despues se abra el tunel y el pueda poner en su navegador locahost:8080 y vea la pagina que tenemos en nuestro servidor privado.

Abrimos el tunel del lado del equipo que esta corriendo apache para conectarnos al equipo del cliente.
root@servidorB:~# ssh -R 8080:localhost:80 rino@192.168.1.102
The authenticity of host ’192.168.1.102 (192.168.1.102)’ can’t be established.
RSA key fingerprint is 3a:c4:01:ea:36:0c:26:91:dc:78:5b:7b:b0:e7:6b:72.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ’192.168.1.102′ (RSA) to the list of known hosts.
rino@192.168.1.102′s password:
Last login: Thu Jan 27 17:29:41 2011
[rino@oc7287280510 ~]$

Ahora telefoneamos al cliente y le decimos que pruebe poner en le navegador localhost:8080

El cliente va a tipear en una terminal o en un navegador lo siguiente.

Si es una terminal –> lynx localhost:8080 y esto le va a devolver..

            It works! Usted esta viendo la pagina de mi web privada

   This is the default web page for this server.

   The web server software is running but no content has been added, yet.
Commands: Use arrow keys to move, '?' for help, 'q' to quit, '<-' to go back.
  Arrow keys: Up and Down to move.  Right to follow a link; Left to go back.
 H)elp O)ptions P)rint G)o M)ain screen Q)uit /=search [delete]=history list 

Asi entonces abrimos un tunel reverso.. y escapamos al firewal interno porque viaja todo por otro puerto..

Teoria GPG[17]

Historia

GPG inicialmente fue desarrollado por Werner Koch. La versión 1.0.0 fue lanzada el 7 de septiembre de 1999. El ministerio de Economía y Tecnología del Gobierno Alemán financió la documentación y la versión a Microsoft Windows en el año 2000.

Usos de GPG

GPG es estable, calificado como un software para el uso en producción y es comúnmente incluido en los sistemas operativos como FreeBSD, OpenBSD, NetBSD y últimamente con todas las distribuciones GNU/Linux.

Aunque básicamente el programa tiene una interfaz textual, actualmente hay varias aplicaciones gráficas que utilizan recursos de GPG. Por ejemplo, ha sido integrado dentro de Kmail y Evolution, también hay un plugin llamado Enigmail que se integra con Mozilla y Thunderbird que trabajan en Windows, GNU/Linux y otros sistemas operativos. Debido a que los plugins no forman parte del mecanismo de GPG y no están especificados en los estándares OpenPGP, ni sus respectivos desarrolladores están vinculados con los proyectos de plugins, se podría pensar que las ventajas de seguridad de GPG puedan estar comprometidas o incluso perdiendo su efectividad como resultado de esta falta de coordinación y apoyo, pero al ser las herramientas de código abierto o scripts interpretados (como en el caso de los plugins en Thunderbird), se garantiza un funcionamiento fiable con la herramienta GPG.

GPG también puede ser compilado en otras plataformas como Mac OS X y Windows. En Mac OS X hay portada una aplicación libre llamada MacGPG, que ha sido adaptada para usar el ambiente del usuario y sus definiciones de clases nativas. La compilación cruzada no es un ejercicio trivial, por lo menos en parte debido a que las provisiones de seguridad cambian con el sistema operativo y su adaptación a menudo se vuelve difícil, pero los compiladores de alta calidad deben producir ejecutables que interactúen correctamente con otras implementaciones GPG.

Como trabaja GPG

GPG cifra los mensajes usando pares de claves individuales asimétricas generadas por los usuarios. Las claves públicas pueden ser compartidas con otros usuarios de muchas maneras, un ejemplo de ello es depositándolas en los servidores de claves. Siempre deben ser compartidas cuidadosamente para prevenir falsas identidades por la corrupción de las claves públicas. También es posible añadir una firma digital criptográfica a un mensaje, de esta manera la totalidad del mensaje y el remitente pueden ser verificados en caso de que se desconfíe de una correspondencia en particular.

GPG no usa algoritmos de software que están restringidos por patentes, entre estos se encuentra el algoritmo de cifrado IDEA que está presente en PGP casi desde sus inicios. En su lugar usa una serie de algoritmos no patentados como ElGamal, CAST5, Triple DES (3DES), AES y Blowfish. También es posible usar IDEA en GPG descargando un plugin extra, sin embargo este puede requerir una licencia para usuarios de algunos países en donde esté patentada IDEA.

GPG es un software de cifrado híbrido que usa una combinación convencional de criptografía de claves simétricas para la rapidez y criptografía de claves públicas para el fácil compartimiento de claves seguras, típicamente usando recipientes de claves públicas para cifrar una clave de sesión que es usada una vez. Este modo de operación es parte del estándar OpenPGP y ha sido parte del PGP desde su primera versión.

Problemas

El estándar OpenPGP especifica varios métodos de mensajes con firmas digitales. Debido a un error al intentar mejorar la eficiencia de uno de los métodos, se introdujo una vulnerabilidad de seguridad (Nguyen 2004) que afectó a un único método de mensajes firmado digitalmente utilizado en algunas versiones de GPG (desde la 1.0.2 hasta la 1.2.3, con menos de 1.000 claves listadas en los servidores de claves). Dicha vulnerabilidad ha sido corregida a partir de la versión 1.2.4 de GPG. El episodio ilustra la dificultad de realizar implementaciones correctas de algoritmos criptográficos, protocolos e incluso criptosistemas.

GPG es un sistema en línea de comandos. Diferentes implementaciones gráficas están disponibles pero sólo algunas tienen implementadas todas sus características (por ejemplo: borrado de ID, usuarios o firmas). Debido a que todas las instrucciones deben ser pasadas a la línea de comandos, rápidamente llegan a dificultar el uso correcto de aspectos no triviales del programa. El trabajo sobre una versión de librería está en progreso.

Uso GPG

Vamos a ver como usariamos gpg para tener un conocimiento basico sobre el y poder estar listo para rendirlo en LPIC-1.

Generar nuestra llave gpg.

rino@servidorB:~$ gpg --gen-key
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
Your selection?
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
         0 = key does not expire
        = key expires in n days
      w = key expires in n weeks
      m = key expires in n months
      y = key expires in n years
Key is valid for? (0) 4
Key expires at Sat 19 Feb 2011 03:05:33 PM EST
Is this correct? (y/N) y

You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
    "Heinrich Heine (Der Dichter) "

Real name: RinoRondan
Email address: rino@restauradordeleyes.com.ar
Comment: This is a Test
You selected this USER-ID:
    "RinoRondan (This is a Test) "

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
.....+++++
.............+++++
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
..+++++
..+++++
gpg: /home/rino/.gnupg/trustdb.gpg: trustdb created
gpg: key B32E99FF marked as ultimately trusted
public and secret key created and signed.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: next trustdb check due at 2011-02-19
pub   2048R/B32E99FF 2011-02-15 [expires: 2011-02-19]
      Key fingerprint = DEDF F9DE D3EF F481 5DC6  4829 A2D2 DE78 B32E 99FF
uid                  RinoRondan (This is a Test) 
sub   2048R/56E6C627 2011-02-15 [expires: 2011-02-19]

rino@servidorB:~$

Si llegamos a tener este error -->

Not enough random bytes available.  Please do some other work to give
the OS a chance to collect more entropy! (Need 285 more bytes)

Tenemos que instalarnos la tool rng-tools y editar el archivo /etc/default/rng-tools agregandole el device -->HRNGDEVICE=/dev/urandom.
Para luego restartear el servicio --> /etc/init.d/rng-tools start.

Bueno si todo salio bien van a tener una pantalla similar a la de arriba.

Ahora vamos a ver como listamos nuestra llave creada.

rino@servidorB:~$ gpg --list-keys
/home/rino/.gnupg/pubring.gpg
-----------------------------
pub   2048R/B32E99FF 2011-02-15 [expires: 2011-02-19]
uid                  RinoRondan (This is a Test) 
sub   2048R/56E6C627 2011-02-15 [expires: 2011-02-19]

rino@servidorB:~$

Importar una llave publica al gpg keyring.

rino@servidorB:~$ gpg --export --armor rino@restauradordeleyes.com.ar > rinorondan.asc
rino@servidorB:~$ gpg --import rinorondan.asc
gpg: key B32E99FF: "RinoRondan (This is a Test) " not changed
gpg: Total number processed: 1
gpg:              unchanged: 1
rino@servidorB:~$

En este caso la llave publica ya la tengo... pero si tuviera una que me pasaran por mail con el gpg --import file bastaria.

Si quisiera editar una llave ..

rino@servidorB:~$ gpg --edit-key RinoRondan
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  2048R/B32E99FF  created: 2011-02-15  expires: 2011-02-19  usage: SC
                     trust: ultimate      validity: ultimate
sub  2048R/56E6C627  created: 2011-02-15  expires: 2011-02-19  usage: E
[ultimate] (1). RinoRondan (This is a Test) 

gpg> help
quit        quit this menu
save        save and quit
help        show this help
fpr         show key fingerprint
list        list key and user IDs
uid         select user ID N
key         select subkey N
check       check signatures
sign        sign selected user IDs [* see below for related commands]
lsign       sign selected user IDs locally
tsign       sign selected user IDs with a trust signature
nrsign      sign selected user IDs with a non-revocable signature
adduid      add a user ID
addphoto    add a photo ID
deluid      delete selected user IDs
addkey      add a subkey
addcardkey  add a key to a smartcard
keytocard   move a key to a smartcard
bkuptocard  move a backup key to a smartcard
delkey      delete selected subkeys
addrevoker  add a revocation key
delsig      delete signatures from the selected user IDs
expire      change the expiration date for the key or selected subkeys
primary     flag the selected user ID as primary
toggle      toggle between the secret and public key listings
pref        list preferences (expert)
showpref    list preferences (verbose)
setpref     set preference list for the selected user IDs
keyserver   set the preferred keyserver URL for the selected user IDs
notation    set a notation for the selected user IDs
passwd      change the passphrase
trust       change the ownertrust
revsig      revoke signatures on the selected user IDs
revuid      revoke selected user IDs
revkey      revoke key or selected subkeys
enable      enable key
disable     disable key
showphoto   show selected photo IDs
clean       compact unusable user IDs and remove unusable signatures from key
minimize    compact unusable user IDs and remove all signatures from key

* The `sign' command may be prefixed with an `l' for local signatures (lsign),
  a `t' for trust signatures (tsign), an `nr' for non-revocable signatures
  (nrsign), or any combination thereof (ltsign, tnrsign, etc.).

gpg>

Cualquier cambio que hagan les va a pedir la clave para esa llave.

Todas las claves tienen un ID -->

pub 2048R/B32E99FF created: 2011-02-15 expires: 2011-02-19 usage: SC

Lo que esta resaltado en negrita es el ID de su clave gpg.

Exportar las llaves :
Ambas:
rino@servidorB:~$ gpg --export -o gpg_backup_file

Solo la privada:
rino@servidorB:~$ gpg --export-secret-key -a "RinoRondan" -o private.key
Les va a mostrar todo el string con la data de la clave privada.

Importar una clave por el ID

rino@servidorB:~/.gnupg$ gpg --recv-keys EF9AAD20
gpg: requesting key EF9AAD20 from hkp server keys.gnupg.net
gpg: key EF9AAD20: public key "G. Matthew Rice " imported
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: next trustdb check due at 2011-02-19
gpg: Total number processed: 1
gpg:               imported: 1
rino@servidorB:~/.gnupg$

Ahora firmamos el id que bajamos con la nuestra llave.

rino@servidorB:~/.gnupg$  gpg --edit-key G. Matthew Rice
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

pub  1024D/EF9AAD20  created: 2004-05-14  expires: never       usage: SC
                     trust: unknown       validity: unknown
sub  2048g/EC0B7A34  created: 2004-05-14  expires: never       usage: E
[ unknown] (1). G. Matthew Rice 
[ unknown] (2)  G. Matthew Rice 
[ unknown] (3)  G. Matthew Rice 
[ unknown] (4)  G. Matthew Rice 
[ unknown] (5)  G. Matthew Rice 
[ unknown] (6)  G. Matthew Rice 

Invalid command  (try "help")

Invalid command  (try "help")

gpg> lsign
Really sign all user IDs? (y/N) y

pub  1024D/EF9AAD20  created: 2004-05-14  expires: never       usage: SC
                     trust: unknown       validity: unknown
 Primary key fingerprint: BD41 69EA 33A4 B657 3A28  2A80 E006 CBF0 EF9A AD20

     G. Matthew Rice 
     G. Matthew Rice 
     G. Matthew Rice 
     G. Matthew Rice 
     G. Matthew Rice 
     G. Matthew Rice 

Are you sure that you want to sign this key with your
key "RinoRondan (This is a Test) " (B32E99FF)

The signature will be marked as non-exportable.

Really sign? (y/N) y

You need a passphrase to unlock the secret key for
user: "RinoRondan (This is a Test) "
2048-bit RSA key, ID B32E99FF, created 2011-02-15

gpg> tsign
Really sign all user IDs? (y/N) y
Your current signature on "G. Matthew Rice "
is a local signature.
Do you want to promote it to a full exportable signature? (y/N) y
Your current signature on "G. Matthew Rice "
is a local signature.
Do you want to promote it to a full exportable signature? (y/N) y
Your current signature on "G. Matthew Rice "
is a local signature.
Do you want to promote it to a full exportable signature? (y/N) y
Your current signature on "G. Matthew Rice "
is a local signature.
Do you want to promote it to a full exportable signature? (y/N) y
Your current signature on "G. Matthew Rice "
is a local signature.
Do you want to promote it to a full exportable signature? (y/N) y
Your current signature on "G. Matthew Rice "
is a local signature.
Do you want to promote it to a full exportable signature? (y/N) y

pub  1024D/EF9AAD20  created: 2004-05-14  expires: never       usage: SC
                     trust: unknown       validity: unknown
 Primary key fingerprint: BD41 69EA 33A4 B657 3A28  2A80 E006 CBF0 EF9A AD20

     G. Matthew Rice 
     G. Matthew Rice 
     G. Matthew Rice 
     G. Matthew Rice 
     G. Matthew Rice 
     G. Matthew Rice 

Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I trust marginally
  2 = I trust fully

Your selection? 2

Please enter the depth of this trust signature.
A depth greater than 1 allows the key you are signing to make
trust signatures on your behalf.

Your selection? 1

Please enter a domain to restrict this signature, or enter for none.

Your selection? 1

Are you sure that you want to sign this key with your
key "RinoRondan (This is a Test) " (B32E99FF)

Really sign? (y/N) y

You need a passphrase to unlock the secret key for
user: "RinoRondan (This is a Test) "
2048-bit RSA key, ID B32E99FF, created 2011-02-15

gpg> quit
Save changes? (y/N) y

Ahora listamos:

rino@servidorB:~/.gnupg$ gpg --list-keys
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   1  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: depth: 1  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 1f, 0u
gpg: next trustdb check due at 2011-02-19
/home/rino/.gnupg/pubring.gpg
-----------------------------
pub   2048R/B32E99FF 2011-02-15 [expires: 2011-02-19]
uid                  RinoRondan (This is a Test) 
sub   2048R/56E6C627 2011-02-15 [expires: 2011-02-19]

pub   1024D/EF9AAD20 2004-05-14
uid                  G. Matthew Rice 
uid                  G. Matthew Rice 
uid                  G. Matthew Rice 
uid                  G. Matthew Rice 
uid                  G. Matthew Rice 
uid                  G. Matthew Rice 
sub   2048g/EC0B7A34 2004-05-14

rino@servidorB:~/.gnupg$

Ahora encriptamos con un archivo nuestro para que solo lo pueda abrir una persona.

rino@servidorB:~/.gnupg$ gpg -e -u "RinoRondan" -r "G. Matthew Rice" rino
rino@servidorB:~/.gnupg$

Despues cuando Matthew reciba el archivo el lo va a poder desencriptar asi..
gpg -d rino.gpg

Como subir mi ID a un servidor de llaves publicas

gpg --keyserver keys.gnupg.net --recv-key ID

Si quisieramos buscar mas sobre como funciona tendriamos que entender sobre estos archivos:

En el examen de LPI solo nos van a pedir que identifiquemos los archivos que estan en ~/gpg/.

gpg.conf
Nos permite crear los seteos por defectos para GPG, incluyendo nuestro servidor de llaves preferido. En donde este servidor contiene las llaves publicas de los que deseen subirla.

pubring.gpg
Contiene las llaves publicas que importamos.

random_seed
Un archivo de texto que contiene caracteristicas que permitiran a GPG crear numeros aleatorios mas facil y rapidamente.

secring.gpg
Contiene la llave privada que determina nuestra identidad.

trustdb.gpg
La base de datos de confianza, que contiene la información relativa a los valores de la confianza que ha asignado a varias claves públicas. Un usuario puede establecer diferentes niveles de confianza para las claves públicas en su anillo dominante.

Uso de GPG con Gmail

Para poder usar nuestras llaves con gmail vamos a tener que usar el thunderbird y activar el plugin Enigmail o bajarselo con aptitude.
Luego pueden utilizar el wizzar de thunderbird para habilitar la cuenta de gmail y despues configurar su llaves. Acuerdense de antes generar sus llaves con gpg.
Tambien pueden utilizar FreeGPG para firefox en donde van a poder utilizar gpg con gmail.
Aca les dejo un link donde explica --> https://security.ngoinabox.org/es/thunderbird_usarenigmail

Fuente:

http://es.wikipedia.org/wiki/OpenSSH

[2]http://es.wikipedia.org/wiki/Clave_pública
[3]http://ubuntulife.wordpress.com/2007/03/30/exportar-el-display-ejecutar-aplicaciones-x-remotas-en-local/
[4]http://www.gnupg.org/gph/es/manual.html#AEN210
[5]http://codesorcery.net/old/mutt/mutt-gnupg-howto
[6]http://www.thegeekstuff.com/2008/11/3-steps-to-perform-ssh-login-without-password-using-ssh-keygen-ssh-copy-id/
[7]http://docs.fedoraproject.org/en-US/Fedora/13/html/Deployment_Guide/s2-ssh-configuration-keypairs.html
[8]http://www.ucolick.org/~sla/ssh/agenttips.html
[9]https://wiki.archlinux.org/index.php/Using_SSH_Keys
[10]http://fedoraproject.org/wiki/DocsProject/UsingGpg/CreatingKeys
[11]https://security.ngoinabox.org/es/thunderbird_usarenigmail
[12]http://www.dotdeb.org/2010/07/11/dotdeb-packages-are-now-signed/
[13]http://www.itrestauracion.com.ar/?p=26
[14]http://www.e-ghost.deusto.es/docs/articulo.ssh.html
[15]http://crysol.org/es/node/1317
[16]http://www.rossde.com/PGP/index.html
[17]http://es.wikipedia.org/wiki/GNU_Privacy_Guard
[18]http://www.howtoforge.com/helping-the-random-number-generator-to-gain-enough-entropy-with-rng-tools-debian-lenny
[19]http://technologist.pro/systems/encrypt-data-using-gpggnu-privacy-guard

Preparando LPIC-1 Topico 110.1 Realizar tareas de administración de seguridad (EN CONSTRUCCION)
Preparando LPIC-1 Topico 110.2 Configurar la seguridad del host
Preparando LPIC-1 Topico 110.3 Asegurando datos mediante cifrado

Introduccion

Aqui veremos algunas de las cosas mas importates para darle mayor seguridad a nuestro host.
Empezaremos con el demonio Inetd, pero antes vamos a introducirnos con una breve descripcion acerca de lo que es asegurar nuestro host.
Tenemos que dejar en claro que no hay nada que cumpla con una seguridad del 100% en nuestro equipo. Se pueden realizar diversas tecnicas y mejoras para que nuestro equipo no quede expuesto a fallas o ataques pero siempre se va a encontrar problemas. Aca es donde uno tiene que decidir que politicas seguir dependiendo de las necesidades que tengamos.
Para poder empezar a hablar de seguridad en nuestro host debemos saber que hay multiples herramientas y servicios que nos brindaran diversas soluciones dependiendo de nuestras necesidades. Los servicios de redes que corren en nuestros host son inicializados mediante un script donde cada uno de ellos administran sus recursos disponiendo de lo que necesiten. En contraposicion a esto tenemos una forma de centralizar los servicios en un unico demonio que en sus inicios fue llamado inetd y luego Red Hat lanzo la version extendida denominada Xinetd. Estos demonios son llamados “Super Servers” porque engloban una cantidad enorme de servicios que utilizan nuestra red para brindar distintos servicios en donde tenemos un unico demonio en memoria que va ir cargando los demas bajo demanda segun sea la peticion que reciba este servicio. Esto se debe a que años atras cuando la memoria ram era algo tan preciado el tener tantos procesos corriendo para cada servicio hacia que el uso sea demasiado alto y por eso se optaba por agregar los servicios al demonio inetd/xinetd.
El servicio Inetd tiene dos importantes caracteristicas:
* Es un simple proceso que puede escuchar en multiples puertos para sus conexiones entrantes, iniciando el servicio correspondiente de acuerdo al puerto que se le solicite.
* Tambien soporta un sistema de seguridad que nos permite poder aceptar o denegar el acceso a los servicios que esten configurados en donde muchos de ellos por su cuenta no poseen de estas caracteristicas.
Tambien luego salio una mejora que es Xinetd. Este seria el reemplazo de inetd en donde se mejoro notablemente la forma de darle mas control a todo lo referente a la seguridad proporcionando una mejora importante en el logging de nuestros servicios.

Inetd

Aqui desarrollaremos cada parte del demonio inetd.

Instalacion

Antes de empezar a explicar cada parte y como se configura vamos a ver como se instala.

Primero hagamos una consulta para ver si se encuentra instalado.

debian:/etc# dpkg -l |grep -i inetd
ii  openbsd-inetd                     0.20080125-2               The OpenBSD Internet Superserver
ii  update-inetd                      4.31                       inetd configuration file updater
debian:/etc#

El archivo de configuracion se encuentra aqui>

debian:/etc# ls -la inetd.conf
-rw-r--r-- 1 root root 1056 2011-02-06 17:33 inetd.conf
debian:/etc#

Aqui un ejemplo:

debian:/etc# cat /etc/inetd.conf
# /etc/inetd.conf:  see inetd(8) for further informations.
#
# Internet superserver configuration database
#
#
# Lines starting with "#:LABEL:" or "##" should not
# be changed unless you know what you are doing!
#
# If you want to disable an entry so it isn't touched during
# package updates just comment it out with a single '#' character.
#
# Packages should modify this file by using update-inetd(8)
#
#  

#
#:INTERNAL: Internal services
#discard		stream	tcp	nowait	root	internal
#discard		dgram	udp	wait	root	internal
#daytime		stream	tcp	nowait	root	internal
#time		stream	tcp	nowait	root	internal

#:STANDARD: These are standard services.

#:BSD: Shell, login, exec and talk are BSD protocols.

#:MAIL: Mail, news and uucp services.

#:INFO: Info services

#:BOOT: TFTP service is provided primarily for booting.  Most sites
#       run this only on machines acting as "boot servers."

#:RPC: RPC based services

#:HAM-RADIO: amateur-radio services

#:OTHER: Other services

debian:/etc#

Vamos a instalar el servicio telnet para hacer que inetd lo maneje.
Para eso acuerdense de tener bien actualizada su sources.list (http://debgen.simplylinux.ch)

debian:/etc/apt# aptitude search telnetd
p   inetutils-telnetd                               - telnet server
p   krb5-telnetd                                    - Secure telnet server supporting MIT Kerberos
p   telnetd                                         - The telnet server
p   telnetd-ssl                                     - The telnet server with SSL encryption support
debian:/etc/apt#

vamos a elegir el paquete telnetd.

debian:/etc/apt# aptitude install telnetd
Reading package lists... Done
..
..
Reading task descriptions... Done         

debian:/etc/apt#
debian:/etc/apt# whereis in.telnetd
in: /usr/sbin/in.telnetd
debian:/etc/apt#

Ahora le agregamos la linea al archivo de configuracion
debian:/etc/apt# echo "telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd" >> /etc/inetd.conf
Corroboramos que se halla agregado bien.
debian:/etc/apt# cat /etc/inetd.conf  |grep -i telnet
telnet stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.telnetd
debian:/etc/apt#

Ahora restarteamos el servicio:
debian:/etc/apt# invoke-rc.d openbsd-inetd restart
Restarting internet superserver: inetd.
Corroboramos que este levantado el puerto 23 correspondiente a telnet
debian:/etc/apt# netstat -atnp |grep -i inetd
tcp        0      0 0.0.0.0:23              0.0.0.0:*               LISTEN      2999/inetd
debian:/etc/apt#

Ahora lo que vamos a hacer es conectarnos des una terminal remota a nuestro equipo por medio de telnet que acabamos de levantar. Ojo que telnet ya para conexiones remotas no es lo mas seguro porque va sin cifrar.

[rino@oc7287280510 ~]$ telnet 192.168.1.100
Trying 192.168.1.100...
Connected to 192.168.1.100.
Escape character is '^]'.
Debian GNU/Linux 5.0
debian login: debian
Password:
Last login: Sun Feb  6 20:19:36 ART 2011 from 192.168.1.102 on pts/1
Linux debian 2.6.26-2-686 #1 SMP Thu Jan 27 00:28:05 UTC 2011 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
debian@debian:~$
Como ven estamos en una terminal remota.
debian:/etc/apt# tty
/dev/pts/0
Ahora si prestan atencion desde esta terminal remota vamos a ver las conexiones establecidas y vean como esta listada nuestra conexion. Tambien van a ver una por ssh.
debian:/etc/apt# netstat -atnp |grep -i established
Active Internet connections (servers and established)
tcp        0     48 192.168.1.100:22        192.168.1.102:36645     ESTABLISHED 2598/0
tcp        0      0 192.168.1.100:23        192.168.1.102:57320     ESTABLISHED 3028/in.telnetd: 19
debian:/etc/apt#
debian:/etc/apt# lsof -i  |grep -i telnet
inetd     2999        root    4u  IPv4   8040       TCP *:telnet (LISTEN)
in.telnet 3028        root    0u  IPv4   8136       TCP 192.168.1.100:telnet->192.168.1.102:57320 (ESTABLISHED)
in.telnet 3028        root    1u  IPv4   8136       TCP 192.168.1.100:telnet->192.168.1.102:57320 (ESTABLISHED)
in.telnet 3028        root    2u  IPv4   8136       TCP 192.168.1.100:telnet->192.168.1.102:57320 (ESTABLISHED)
debian:/etc/apt#

Antes de seguir explicando que es cada cosa, vamos a configurar tambien el servicio ftp para que funcione con inetd.

debian:/etc# aptitude install ftpd
Reading package lists... Done
..
..
Reading task descriptions... Done
debian:/etc#
debian:/etc# whereis in.ftpd
in: /usr/sbin/in.ftpd /usr/sbin/in.telnetd
debian:/etc#
debian:/etc# cat /etc/inetd.conf |grep -i ftp
ftp		stream	tcp	nowait	root	/usr/sbin/tcpd	/usr/sbin/in.ftpd

Ahora vemos quedo todo:
debian:/etc# invoke-rc.d openbsd-inetd restart
Restarting internet superserver: inetd.
debian:/etc# netstat -atnp |grep -i 21
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      3144/inetd
debian:/etc#

Fijense lo siguiente ambos puertos 21 y 23 estan escuchando atraves de inetd y por ende en el mismo proceso.
debian:/etc# netstat -atnp |egrep -i “21|23″ |grep -vi established
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 3144/inetd
tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 3144/inetd
debian:/etc#
3144 es el numero del proceso.

Ahora una muestra de como me conecto al fpt.
[rino@oc7287280510 ~]$ ftp 192.168.1.100
Connected to 192.168.1.100 (192.168.1.100).
220 debian.private FTP server (Version 6.4/OpenBSD/Linux-ftpd-0.17) ready.
Name (192.168.1.100:rino): debian
331 Password required for debian.
Password:
230- Linux debian 2.6.26-2-686 #1 SMP Thu Jan 27 00:28:05 UTC 2011 i686
230-
230- The programs included with the Debian GNU/Linux system are free software;
230- the exact distribution terms for each program are described in the
230- individual files in /usr/share/doc/*/copyright.
230-
230- Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
230- permitted by applicable law.
230 User debian logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.
[rino@oc7287280510 ~]$

Otra forma de probar si anda.

debian:~# /usr/sbin/tcpdmatch -d -i /etc/inetd.conf in.telnetd@192.168.1.100 debian@192.168.1.100
warning: host address 192.168.1.100->name lookup failed
client:   address  192.168.1.100
client:   username debian
server:   address  192.168.1.100
server:   process  in.telnetd
access:   granted
debian:~# /usr/sbin/tcpdmatch -d -i /etc/inetd.conf in.ftpd@192.168.1.100 debian@192.168.1.100
warning: host address 192.168.1.100->name lookup failed
client:   address  192.168.1.100
client:   username debian
server:   address  192.168.1.100
server:   process  in.ftpd
access:   granted
debian:~#
debian:~# tcpdchk  -i /etc/inetd.conf  -v
Using network configuration file: /etc/inetd.conf

>>> Rule /etc/hosts.allow line 13:
daemons:  ALL
clients:  ALL
access:   granted
debian:~#

Configuracion

Ahora ya que vimos como instalarlo y probarlo nos queda ver como se configura bien cada entrada en el archivo inetd.conf y luego introducirlos a lo que se llama TCP_WRAPPER.

El archivo de configuracion /etc/inetd.conf centraliza todos los servicios en el pero tambien podriamos encontrar que existe el directorio /etc/inet.d/ y adentro de el estaran los servicios especificos que queremos levantar , teniendo obviamente un archivo global que seria /etc/inetd.conf

En la siguiente tabla vamos a explicar el orden y significado de cada campo del archivo inetd.conf.

2-3 Configuracion con TCP_WRAPPER

A esta altura se preguntaran porque estamos usando /usr/bin/tcpd para iniciar el servicio telnet y ftp. Bueno esto se debe a que tcpd inicializa por parametro el servicio que querramos en este caso telnet y ftp y lo hace utlizando tcp_wrapper que a continuacion vamos a ver para que nos sirve.
Utilizamos todos los servicios que queremos que levante inetd con tcpd porque asi podemos aprovechar la ventaja de TCP_WRAPPER.
El demonio tcpd, también conocido como el paquete TCP wrappers, se puede utilizar para limitar las conexiones se pueden hacer a algunos servicios de red. De esta manera usted puede limitar el acceso a los servicios unicamente a los usuarios autorizados. Es fácil de configurar e integrar en un sistema de trabajo. No hay cambios que deban hacerse a los demonios de red, sólo pequeños cambios en el archivo inetd.conf.

Ventajas:
Cuando un usuario intenta obtener acceso cliente para un servicio de red que esta utilizando envoltorios TCP, un pequeño programa envoltorio reporta el nombre del servicio solicitado y la informacion del host cliente. EL programa envoltorio no envia directamente informacion al cliente, una vez satisfechas las directivas de control de acceso, el envoltorio se descarga y libera los recursos que esta utilizando. Los envoltorios TCP proporcionan principalmente dos ventajas frente a otras tecnicas de control de servicios de red:
* El cliente que establece la conexion no advierte que envoltorios TCP esta en uso. Los usuarios legitimos no notan ninguna diferencia y los usuarios que intenten atacar al sistema no reciben informacion que indique por que ha fallado su intento de conexion.
* Los envoltorios TCP operan separados de las aplicaciones a las que protege el programa envoltorio. Esto permite que muchas aplicaciones de servidor compartan un grupo comun de ficheros de configuracion para simplificar su administracion.

Aca podemos listar las librerias que utiliza tcpd.
debian:~# ldd /usr/sbin/tcpd
linux-gate.so.1 => (0xb7748000)
libwrap.so.0 => /lib/libwrap.so.0 (0xb773a000)
libc.so.6 => /lib/i686/cmov/libc.so.6 (0xb75df000)
libnsl.so.1 => /lib/i686/cmov/libnsl.so.1 (0xb75c5000)
/lib/ld-linux.so.2 (0xb7749000)
debian:~#

La libreria de tcp_wrapper es libwrap.so.0

debian:~# dpkg -l |grep wrapper
ii  libwrap0                          7.6.q-16                   Wietse Venema's TCP wrappers library
ii  tcpd                              7.6.q-16                   Wietse Venema's TCP wrapper utilities
debian:~#

Para poder utilizar todo esto TCP_WRAPPER utiliza dos archivos.

/etc/host.allow
/etc/host.deny

Ambos archivos de configuración utilizan el mismo formato. Si ninguno de los archivos no existne, es considerado como vacío. Si hay entradas en hosts.allow, pero no hosts.deny,
todo lo que no se autorice de forma expresa se niega. Por el contrario, si hay entradas en
hosts.deny, pero no en hosts.allow, se permiten aquellas conexiones que explícitamente no se han negado. Si existen ambas entradas , el hosts.allow se comprueba en primer lugar, y luego hosts.deny. Así que incluso si una conexión es negada en hosts.deny, puede ser anulada con hosts.allow. La sintaxis de estos archivos es el siguiente

Servicio : lista de host [: commando ]

Los servicios son los que estan listados en /etc/services.

Para listar las aplicaciones que soportan libwrap

debian:/usr/bin# cd /usr/sbin
debian:/usr/sbin# for file in *
> {
> if [ -f $file ]; then
> result=`ldd $file | grep -c libwrap`
> if [ "$result" -gt "0" ]; then
> echo "/usr/sbin/$file is linked to libwrap.so"
> fi
> fi
> }
/usr/sbin/inetd is linked to libwrap.so
/usr/sbin/sshd is linked to libwrap.so
/usr/sbin/tcpd is linked to libwrap.so
/usr/sbin/tcpdchk is linked to libwrap.so
/usr/sbin/tcpdmatch is linked to libwrap.so
/usr/sbin/try-from is linked to libwrap.so
debian:/usr/sbin#

2-4 Ejemplo de Configuracion con TCP_WRAPPER

Vamos a mostrar algunos ejemplos de como configurar nuestros envoltorios TCP.

Aca lo primero que hacemos es denegar todo.
debian:/var/log# cat /etc/hosts.deny |grep -v \#

ALL: ALL
debian:/var/log# 

Luego aceptamos las conexiones que nos interesan y las demas que utilizen la libreria tcp_wrapper quedaran negadas.
debian:/var/log# cat /etc/hosts.allow |grep -v \#
in.telnetd : 192.168.1.0/255.255.255.0 : spawn (/bin/echo  `date` %c %u>> /var/log/user.log) &
in.ftpd : 192.168.1.10
sshd: ALL
debian:/var/log#

Aca vemos que cuando intentan acceder al telnet este va a generar una entrada en el archivo user.log en donde nos dira quien fue el que intento conectarse.

debian:/var/log# tail -n 1 /var/log/user.log
Sun Feb 6 23:39:19 ART 2011 192.168.1.102 unknown
debian:/var/log#

Para mas informacion todo lo demas queda logueado en /var/log/syslog

FTP:
debian:/var/log# cat syslog |grep -i ftp
Feb 6 20:34:30 debian in.ftpd[3158]: connect from 192.168.1.102 (192.168.1.102)
Feb 6 23:16:42 debian in.ftpd[7918]: refused connect from 192.168.1.102 (192.168.1.102)
debian:/var/log#

debian:/var/log# cat syslog |grep -i telnet| tail -n 5
Feb 6 23:37:51 debian in.telnetd[8078]: error: /etc/hosts.allow, line 13: bad option name: “%u>>”
Feb 6 23:37:51 debian in.telnetd[8078]: refused connect from 192.168.1.102 (192.168.1.102)
Feb 6 23:38:22 debian in.telnetd[8110]: error: /etc/hosts.allow, line 13: bad option name: “%u>>”
Feb 6 23:38:22 debian in.telnetd[8110]: refused connect from 192.168.1.102 (192.168.1.102)
Feb 6 23:39:19 debian in.telnetd[8152]: connect from 192.168.1.102 (192.168.1.102)
debian:/var/log#

debian:/var/log# cat auth.log |grep -i ssh| tail -n 5
Feb 6 23:16:12 debian sshd[7908]: pam_unix(sshd:session): session closed for user root
Feb 6 23:16:16 debian sshd[7915]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.102 user=root
Feb 6 23:16:17 debian sshd[7915]: Failed password for root from 192.168.1.102 port 35700 ssh2
Feb 6 23:16:23 debian sshd[7915]: Failed password for root from 192.168.1.102 port 35700 ssh2
Feb 6 23:16:36 debian sshd[7915]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.102 user=root
debian:/var/log#

Ahora que pasa si quisieramos enviarle un aviso al cliente cuando no pueda conectarse.
Contenido de hosts.allow
ALL : ALL \
: severity auth.info \
: twist /bin/echo “No se permite utilizar %d desde %h.”

debian:/var/log#

Mensaje que recibe el clente:
[rino@oc7287280510 ~]$ ftp 192.168.1.100
Connected to 192.168.1.100 (192.168.1.100).
No se permite utilizar in.ftpd desde 192.168.1.102.
ftp>
A diferencia de spawn twist le envia un mensaje al cliente diciendole porque no se pudo conectar.

Como veran el tema de los logs es muy importante asi que vale la pena dedicarle un tiempo para armar los logs de la manera mas eficiente para que luego podamos sacar estadisticas.

2-5 Tabla de valores de TCP_WRAPPER

Tenemos la siguiente sintaxis:

Lista_demonios : lista_clientes [:spawn comando_shell]

Lista_demonios: Una colecion con uno o mas nombres de procesos o comodines especiales, separada con espacios en blanco.

Lista_clientes: Uno o mas nombres de host, direcciones de host, patrones o comodines, separados por espacios en blanco, para utilizarlos cuando el nombre de un proceso determinado coincide con un servicio solicitado.

Comando_Shell: Un componente opcional que especifica la accion a tomar en caso de que se utilice una regla.

Los patrones son especialmente utiles para especificar grupos de clientes que pueden o no tener acceso a determinado servicio. Si se coloca un caracter (.) al principio de una cadena, se aplica esa regla a todos los hosts que comparten el final de esa cadena. Es decir que .dominio.com afectara a sistema1.dominio.com y sistema2.dominio.com
El carater (.) al final de la cadena tiene el mismo efecto, excepto que va en la direccion contraria. Esto se utiliza principalmente en direcciones IP, pues una regla que se aplique a 192.168.1. afectara a todo el bloque de clase C de direcciones IP. Tambien pueden utilizarse expresiones de mascara de red como patrones para controlar e lacceso de un grupo determinado de direcciones ip. Incluso es posible utlilizar (*) o signos de interrogacion (?) para seleccionar grupos completos de nombrde hosts o direccioens IP,siempre que no los utilice la misma cadena que los otros tipos de patrones.

Pueden Utilizarse los siguientes valores en vez de ip o nombres de equipos.

Una buena practica es denegar todo en host.allow y luego ahi empezar a darle permiso o denegar algunos en particular.
Para eso podriamos usar la palabra reservada EXCEPT

in.telnetd: 10.0.1.23
in.ftpd: 10.0.1. EXCEPT 10.0.1.11

Ademas de permitir o denegar el acceso a servicios a determinados hosts, tambien presta soporte al usode comandos de shell. Estos comandos shell se utilizan mas comunmente con reglas de denegacion para configurar trampas que suelen activar acciones que registran informacion acerca de intentos de conexion fallidos en un fichero especial o envian un mensaje de correo electronico a un administrador. Tenemos que mencionar otra caracteristica que es el soporte de expansiones. Las expansiones proporcionan al comando informacion acerca de cliente, servidor y proceso involucrados. A continuacion mostramo una lista de expansiones que tienen soporte para esto:

Mas Ejemplos de TCP_WRAPPER

Aca voy a citar algunos ejemplos de uso..
# Bloquear peticiones posiblemente falsificadas a sendmail:
sendmail : PARANOID : deny

# No permitimos conexiones desde ejemplo.com:
ALL : .ejemplo.com \
: spawn (/bin/echo %a desde %h intento acceder a %d >> \
/var/log/connections.log) \
: deny

# The rest of the daemons are protected.
ALL : ALL \
: severity auth.info \
: twist /bin/echo “No se permite utilizar %d desde %h.”

# This line is required for POP3 connections:
qpopper : ALL : allow

ALL : .crackers.com \
: spawn (/bin/echo %a from %h attempted to access %d >> \
/var/log/connections.log) \
: deny

ALL: LOCAL @devels
ALL: .nixcraft.net.in EXCEPT boobytrap.nixcraft.net.in

popd : 192.168.1.200 192.168.1.104
imapd : 192.168.1.0/255.255.255.0
sendmail : 192.168.1.0/255.255.255.0
sshd : 192.168.1.2 172.16.23.12

sshd ,ftpd : ALL
ALL: localhost

in.fingerd: ALL: spawn (/usr/sbin/safe_finger -l @%h | \
/usr/bin/mail -s finger-%d-%h root) &
in.telnetd: ALL: spawn (/usr/sbin/safe_finger -l @%h | \
/usr/bin/mail -s telnet-%d-%h root) &

in.tftpd: .mynet.com EXCEPT .seas.mynet.com
in.fingerd: .mynet.com EXCEPT .seas.mynet.com
in.telnetd: .mynet.com EXCEPT .seas.mynet.com

ALL : 206.182.68.0 : spawn /bin/ ‘date’ %c %d >> /var/log/intruder_alert
vsftpd : ALL : banners /etc/banners/
in.telnetd : ALL : severity emerg
* Completamente cerrado:

#/etc/hosts.allow
* ALL: ALL: deny Cerrado para todos excepto para las conexiones locales:

#/etc/hosts.allow
ALL: 127.0.0.1
* ALL: ALL: deny Conexión local total, red local acceso por telnet y ftp, resto cerrado:

#/etc/hosts.allow
ALL: 127.0.0.1
in.telnetd in.ftpd: LOCAL
* ALL: ALL: deny Sistema cerrado con informe de accesos:

#/etc/hosts.allow
* ALL: ALL: twist ( /usr/bin/echo -e “Intruso %a en puerto %d” ) Sistema abierto a la red local y cerrado al exterior con acciones diferentes en función del tipo de acceso:

#/etc/hosts.allow
ALL: LOCAL: spawn ( echo -e “Acceso autorizado de %a por %d” ) &
ALL: PARANOID: twist ( echo -e “ATACANTE %a por puerto %d, lanzando nukes” ; /usr/local/bin/nukes.sh %a ) &
ALL: UNKNOWN: twist ( echo -e “Posible nuke o scan de %a en %d” ) &
ALL: ALL: twist ( /bin/echo -e “INTRUSO! %a, usando puerto %d” ) &

Usos avanzados de tcp_wrappers, que mas puedo hacer con esto?

* Detectando spoofing: los intentos de spoofing son detectados por tcp_warppers y los clasifica dentro de la categoría de PARANOID, por lo que esta linea en hosts.allow puede ayudarnos bastante a detectarlo:

* ALL: PARANOID: twist ( echo -e “Spoofing en puerto %d \nLa IP %a es falsa” ) Mantener informes de red: redirigir toda la información de salida a un archivo o una consola, nos ayudara a tener informes exhaustivos de los accesos que recibimos, los ataques, los accesos … para hacer esto basta con poner lineas así:

* ALL: ALL: spawn ( echo -e “IP %a en %d” > /var/log/archivo ) Realizar múltiples comandos: a veces es necesario hacer mas de una cosa frente un acceso, la sintaxis es igual que si lo hiciéramos desde bash:

* ALL: ALL: spawn ( echo -e “IP %a en %d” ; wavplay alarma.wav ; nestea %a ) Enviando mensajes al sistema remoto: se puede enviar un mensaje predefinido (banner) al sistema remoto, en este mensaje podemos explicar porque no le damos acceso, que tipo de máquina tnemos, que puede hacer o no …

Para que el sistema remoto vea el banner utilizaremos la linea:
ALL: ALL: banners /directorio_de_banners

Nota: el banner debe llamarse como el demonio que se lanza, es decir si queremos que se vea un mensaje al entrar por telnet, el banner deberá llamarse in.telnetd

Ejemplo: este banner (al que llamaremos in.telnetd) se ve al hacer acceso por telnet
Hola %a, bienvenido a mi sistema. Tu IP esta siendo guardada para mayor seguridad.

Xinetd

Aqui veremos un poco de que se trata Xinetd.
Como mencionamos anteriormente Xinetd es una mejora de inetd dado que nos da la posibilidad de exponenciar la seguirdad que da tcp_wrapper junto con las nuevas directivas que xinetd que funciona al igual que inetd como un super servicio que engloba a otros mas manejando todo en un demonio.
Las ventajas que ofrece aumenta cuando se utiliza la biblioteca libwrap.a junto con xinetd, un superdemonio que proporciona control adicional de acceso,registro,redireccion y uso de recursos. Cuando se accede a cualquiera de los servicios a traves de los numeros de puertos correspondientes en /etc/services, el demonio xinetd gestiona la peticion. Antes de abrir el servicio de red solicitado, xinetd garantiza que la informacion del host cliente cumple las reglas de control de acceso, que el numero de instancias del servicio esta por debajo de un umbral determinado y que cualquier otra regla especificada para ese servicio o para todos los servicios xinetd se cumple. Una vez que se abre el servicio para el cliente que establece la conexion , xinetd vuelve a dormir, esperando peticiones adicionales sobre los servicios que gestiona.

3-1 Configuracion Xinetd

Vamos a instalar xinetd. Seguramente nos va a decir que va a desinstalar inetd.

debian:/var/log# aptitude install xinetd
Reading package lists… Done
Building dependency tree
Reading state information… Done
Reading extended state information
Initializing package states… Done
Reading task descriptions… Done
The following NEW packages will be installed:
xinetd
The following packages will be REMOVED:
openbsd-inetd{a}
0 packages upgraded, 1 newly installed, 1 to remove and 5 not upgraded.
Need to get 136kB of archives. After unpacking 180kB will be used.
Do you want to continue? [Y/n/?]

Le decimos que si y que continue con la instalacion.

Los archivos de configuracion se encuentran :

debian:/var/log# ls -l /etc/xinetd.conf
-rw-r--r-- 1 root root 289 2008-03-26 14:39 /etc/xinetd.conf
debian:/var/log# ls -l /etc/xinetd.d/
total 20
-rw-r--r-- 1 root root 798 2008-03-26 14:39 chargen
-rw-r--r-- 1 root root 660 2008-03-26 14:39 daytime
-rw-r--r-- 1 root root 549 2008-03-26 14:39 discard
-rw-r--r-- 1 root root 580 2008-03-26 14:39 echo
-rw-r--r-- 1 root root 727 2008-03-26 14:39 time
debian:/var/log#

Como ven estan separados, tiene un archivo general que es xinetd.conf y luego un directorio xinetd.d en donde ahi adentro va a tener un archivo para cada servicio.

Podriamos tener en nuestro archivo gral unas directivas globales que afectaran a todo los demas servicios o tenerlo vacio donde cada servicio tenga sus directivas.

debian:/var/log# cat /etc/xinetd.conf
# Simple configuration file for xinetd
#
# Some defaults, and include /etc/xinetd.d/

defaults
{

# Please note that you need a log_type line to be able to use log_on_success
# and log_on_failure. The default is the following :
# log_type = SYSLOG daemon info

}

includedir /etc/xinetd.d
debian:/var/log#

Un ejemplo si quisiera habilitar telnet con xinetd:
debian:/etc/xinetd.d# cat /etc/xinetd.d/telnet
service telnet
{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_type = SYSLOG daemon info
log_on_failure += USERID
no_access = 10.0.1.0/24
log_on_success += PID HOST EXIT
access_times = 00:45-16:15
}
debian:/etc/xinetd.d#
Aca vemos como guarda el log:
syslog:Feb 7 01:42:04 debian xinetd[8889]: START: telnet pid=8895 from=192.168.1.102

Aca otro ejemplo si quisieramos con ftp:
debian:/var/log# cat /etc/xinetd.d/ftp
service ftp
{
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.ftpd
server_args = -l
log_on_success += DURATION USERID
log_on_failure += USERID
nice = 10
disable = no
}
debian:/var/log#

Aca vemos como me guardo el log.

syslog:Feb 7 01:23:02 debian ftpd[8776]: connection from 192.168.1.102
syslog:Feb 7 01:23:16 debian ftpd[8776]: FTP LOGIN FROM 192.168.1.102 as debian

3-2 Tabla valores Xinetd

Vamos a detallar la tabla de valores mas usados que tenemos para poder configurar nuestros servicios:

Tambien tenemos ciertas palabras reservadas a usar:

* ATTEMPT : Registra que se ha hecho un intento de conexion fallido. (log_on_failure)
* DURATION: Registra el periodo de tiempo durante el que un sistema remoto ha utilizado un servicio (log_on_success)
* EXIT: Registra el estado salir o la señal de terminacion del servicio. (log_on_success)
* HOST: Registra la direccion ip del hosto remoto . (log_on_failre y log_on_success)
* PID: Registra el ID de proceso del servidor que recibe la peticion. (log_on_success)
* RECORD: Registra informacion acerca del sistema remoto en caso de que el servicio no pueda ser iniciado. SOlo determinados servicios, como login y finger, pueden utilizar esta opcion (log_on_failure)
USERID: Registra el usuario remoto utilizando un metodo definido en la RFC 1413 para todos los servicios flulidos (stream) multiproceso. (log_on_failure y log_on_success).

Se puede utilizar wrapper con xinetd asi que tambien podriamos usar los archivos hosts.deny y hosts.allow ademas de todas las directivas vistas anteriormente.

Tambien algo util que se puede hacer es utilizar la redireccion de puertos:
debian:/var/log# cat /etc/xinetd.d/telnet
service telnet
{
disable = no
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_type = SYSLOG daemon info
log_on_failure += USERID
no_access = 10.0.1.0/24
log_on_success += PID HOST EXIT
access_times = 00:45-16:15
bind = 192.168.1.100
redirect = 192.168.1.121 21
}
debian:/var/log#

Fijense que ahi mandamos todo lo que venga a 192.168.1.100 desde telnet hacia el puerto 21 de otra ip que tiene nuestro equipo y automaticamente nos va a responder el ftp porque ya esta utilizando ese puerto.

rino@oc7287280510 ~]$ telnet 192.168.1.100
Trying 192.168.1.100...
Connected to 192.168.1.100.
Escape character is '^]'.
220 debian.private FTP server (Version 6.4/OpenBSD/Linux-ftpd-0.17) ready.

El log lo dice todo:

Feb 7 02:28:56 debian xinetd[9463]: START: telnet pid=9472 from=192.168.1.102
Feb 7 02:28:56 debian ftpd[9473]: connection from 192.168.1.121

Creo que no vale la pena dar mas ejemplos pero mirando la tabla se pueden imaginar todo el uso que le pueden dar.

3-3 Usando ssh con Xinetd

FUENTE: http://ubuntuforums.org/printthread.php?t=661061
HOWTO: Run openssh-server sshd from xinetd

Ever wanted to run sshd from xinetd under Ubuntu? Sometimes worked, sometimes not? Here’s the fix!

First the xinetd config file:
Code:
service ssh
{
socket_type = stream
protocol = tcp
wait = no
user = root
# server = /usr/sbin/sshd
server = /usr/local/sbin/sshd_start
server_args = -i
}
Save it as /etc/xinetd.d/ssh

If you directly use sshd you might get the following problem shown in /var/log/auth.log:
Code:
sshd[8771]: fatal: Missing privilege separation directory: /var/run/sshd
So you save the following file as /usr/local/sbin/sshd_start
Code:
#!/bin/sh

if [ ! -d /var/run/sshd ]; then
mkdir /var/run/sshd
chmod 0755 /var/run/sshd
fi

/usr/sbin/sshd $*
and make it executable:

Code:
#sudo chmod u+x /usr/local/sbin/sshd_start
Now simply reload xinetd with

Code:
#sudo /etc/init.d/xinetd restart

4-0 FUENTES

http://www.cyberciti.biz/faq/how-do-i-turn-on-telnet-service-on-for-a-linuxfreebsd-system/

http://www.freebsd.org/doc/es/books/handbook/tcpwrappers.html

http://www.cyberciti.biz/faq/tcp-wrappers-hosts-allow-deny-tutorial/#comments

http://book.opensourceproject.org.cn/distrib/ubuntu/hacking/opensource/final/bbl0040.html

http://uw714doc.sco.com/en/NET_tcpip/filterN.tcp_wrappers.html

http://docs.fedoraproject.org/en-US/Fedora/13/html/Security_Guide/sect-Security_Guide-Server_Security.html

http://www.linux-party.com/TutorialLinux/linux_files/linuxzone/web/linuxzone/tcp_wrappers.htm

http://www.cyberciti.biz/tips/top-linux-monitoring-tools.html

http://linuxhelp.blogspot.com/2005/10/using-tcp-wrappers-to-secure-linux.html

http://jamesthornton.com/redhat/linux/7.2/Reference-Guide/s1-tcpwrappers-xinetd.html

http://www.xinetd.org/

http://ubuntuforums.org/printthread.php?t=661061

Comenzaremos con ver dos comandos para obtener info de nuestra X:

*xdpyinfo
*xwininfo

Xdpyinfo
A veces es útil saber acerca de las capacidades de la pantalla, porque este es manejado por el server X. La herramienta para este trabajo es xdpyinfo. Cuando escribe xdpyinfo, el resultado es lanzado en la salida estandard dandonos información de las unidades organizativas de la pantalla actual, como el número de versión X, la resolución
y profundidad de color de todas las pantallas actuales, y así sucesivamente. Mucha de esta información es muy de carácter técnico, por lo que no se puede entender todo. Eso está bien. Recomiendo ejecutar este programa y examinar la salida para ver qué puede aprender de ella. Si más adelante se desea para obtener información similar en la pantalla de otro ordenador, usted sabrá cómo obtenerlo.
Para obtener información aún más técnica, puede utilizar la opción -ext all con xpdyinfo.
La extensión es el nombre de una extensión X, que es un módulo de software que proporciona capacidades extendidas a X. (El comando xpdyinfo básico, sin opciones, muestra todos las extensiones disponibles.)

Ejemplos:
xdpyinfo
xdpyinfo con ext

Xwininfo

Puede obtener información técnica detallada acerca de una ventana específica con la xwininfo . En uso básico, el xwininfo , le pide que mueva el cursor del ratón sobre una ventana, y haga clic.
El resultado es una lista de datos variados sobre la ventana que ha hecho clic, tales como su tamaño, ubicación, y número de identificación. Alternativamente, puede utilizar -id id o -name name para especificar el id de ventana o por el número de identificación o nombre, o con -root se puede utilizar para especificar la raíz ventana, es decir,
toda la pantalla.

Ejemplos:
Xwininfo seleccionando una xterm
Xwininfo con -root

XDMCP

X es una red habilitada para Interfaz gráfica de usuario. Este hecho tiene muchas consecuencias importantes, y uno de ellos se refiere a la interfaz gráfica de usuario de sistema de acceso para Linux . Este sistema emplea un protocolo de inicio de sesión de red, el X Display Manager Control Protocol (XDMCP). Para controlar el acceso remoto, un servidor XDMCP se ejecuta en un ordenador y escucha las conexiones desde los servidores de equipos remotos . Para hacer frente a los inicios de sesión local, un XDMCP servidor se ejecuta en un equipo y empieza como un servidor del equipo local X. El servidor XDMCP a continuación gestiona el servidor X local de pantalla, es decir, pone un inicio de sesión clasico donde nos pide usuario y contraseña.

Introduciendonos:

Tres servidores de XDMCP son comunes en Linux: el gestor de pantalla X (XDM), el
KDE Display Manager (KDM), y el de GNOME Display Manager (GDM). Un poco más de
opciones de servidores XDMCP también están disponibles, pero estos tres son los más importantes. Como se puede adivinar por su nombre, KDM y GDM están asociados con el KDE y GNOME, respectivamente, pero no limita su elección de entorno de escritorio. La mayoría de las distribuciones de Linux puede funcionar tanto con GDM o KDM como el servidor por defecto XDMCP, pero se puede cambiar la que utiliza el sistema si no te gusta el valor por defecto.

Corriendo un servidor XDMCP:
Muchos metodos existen para poder arrancar un servidor XDMCP. Los dos mas conocidos son lazando este servicio tras el /etc/inittab o tras un demonio en con SysV script.
Independientemente de estos metodos muchas distrubuciones configuran este arranque de XDMCP cuando arranca en determino runlevel (5 o 3, dependiendo de la distribucion).
Como se vio anteriormente en el inittab tenemos algo como esto:
id:5:initdefault:
Pero en algunas distribuciones este se lanza atraves de script (gdm,xdm,kdm).
Tambien podemos configurar un poco esto con ciertos archivos:

Selección de archivo de configuración: algunas distribuciones ocultan la opción de servidor XDMCP en un archivo de configuración, a menudo en el directorio /etc/sysconfig . En Fedora, el archivo /etc/sysconfig/desktop establece la variable DISPLAYMANAGER a XDM, KDM o GDM. En SUSE Linux, /etc/sysconfig/displaymanager establece la variable DISPLAYMANAGER de una manera similar, pero usando los nombres de pantalla en minuscula.

Selección a través de script SysV: En distribuciones Debian y derivados, como Ubuntu, el displaymanager se establece a través de la elección del script SysV de inicio con una secuencia de comandos para usar gdm con gdm, kdm con KDM, y así sucesivamente. De forma predeterminada, sólo un servidor XDMCP está instalado, así que si quieres cambiar el servidor XDMCP, es posible que necesite instalar
el servidor deseado.

Configurando un Display Manager:
El gestor de ventanas es la herramienta para administrar las sesiones de X en las pantallas tanto físicas como a nivel local como a través de la red. Parte de su trabajo es manejar la autenticación de usuarios a través de una pantalla gráfica de login, que sustituye a la entrada familiar en modo texto.Hay tres gestores de visualización principal implementados con Linux: xdm, kdm y gdm.

Configurando XDM:

El gestor de pantalla X (XDM) es un programa que permite a una sesión gráfica
empezar en un servidor de X.
xdm se distribuye como parte de X. Org y está configurado por una serie de archivos que se encuentran en / etc/X11/xdm. Estos archivos incluyen:

Xaccess
Este archivo controla las solicitudes entrantes de sistemas remotos.
Xresources
Mantiene la configuración en formación de algunos recursos xdm, incluyendo la pantalla de login gráfica. Este archivo puede ser editado para modificar la apariencia de la pantalla de inicio xdm.
Xservers
Esto asocia los nombres X para mostrar (: 0, 1, …) ya sea con el servidor X local o una pantalla externa, como un terminal de X.
Xsession
Este archivo contiene unos script xdm que se inicia después de un inicio de sesión con éxito. Por lo general, busca. Xsession en el directorio home del usuario y ejecuta los comandos que se encuentran allí. Si dicho archivo no existe, Xsession arranca los valores por defectos de nuestro windows manager y sus aplicaciones.
Xsetup_0
Este archivo es un script iniciado antes de la pantalla gráfica de login. A menudo incluye
comandos para configurar los colores, gráficos de pantalla, o ejecutar otros programas. Este script es ejecutado como root.
xdm-config
Este asocia el archivo de configuración de recursos de xdm con los otros archivos en esta lista. Por lo general, no es necesario hacer cambios en este archivo a menos que un experto en administraciónr planea personalizar la configuración de xdm.

Si quisieramos instalar xdm tendriamos que buscar este paquete:
xorg-x11-xdm.i386 : X.Org X11 xdm – X Display Manager

Los archivos de xdm:

[root@localhost ~]# ls -la /etc/X11/xdm/
total 128
drwxr-xr-x 3 root root  4096 Nov 26 20:55 .
drwxr-xr-x 9 root root  4096 Nov 26 19:05 ..
drwx------ 3 root root  4096 Nov 26 19:08 authdir
-rwxr-xr-x 1 root root   510 Jan 26  2010 GiveConsole
-rwxr-xr-x 1 root root   244 Jan 26  2010 TakeConsole
-rw-r--r-- 1 root root  3608 Nov 26 19:41 Xaccess
-rw-r--r-- 1 root root  1422 Nov 26 19:36 xdm-config
-rwxr-xr-x 1 root root   191 Jan 26  2010 Xreset
-rw-r--r-- 1 root root  2642 Nov 26 20:55 Xresources
-rw-r--r-- 1 root root 12288 Nov 26 20:43 .Xresources.swp
-rw-r--r-- 1 root root   496 Nov 26 19:40 Xservers
-rwxr-xr-x 1 root root  1073 Jan 26  2010 Xsession
-rwxr-xr-x 1 root root  1017 Nov 26 20:39 Xsetup_0
-rwxr-xr-x 1 root root   189 Jan 26  2010 Xstartup
-rwxr-xr-x 1 root root   303 Jan 26  2010 Xwilling
[root@localhost ~]#

XDM es el mas simple de todos los XDMCP. Este acepta usuarios y password pero no habilita a los usuarios a hacer otro tipo de accion, como elegir tipo de ambiente de escritorio queremos correr.(esto se hace atraves de archivos de configuracion de usuarios).
Uno de los archivos de configuracion el /etc/X11/xdm/xdm-config que ya viene por defecto para que funcione de manera local, se puede habilitar para que puede recibir conexiones remotas y para eso tendremos que mirar esta linea:

DisplayManager.requestPort: 0

Esta linea permite que nadie se puede conectar al puerto convencional que escucha xdm.
Para activar este como un XDM que permita conexiones remotas tendriamos que ponerlo en 177, el puerto tradicional de xdmcp y luego restartear xdm.

El archivo /etc/X11/xdm/Xaccess es otro importante punto a tocar.
Si XDM esta configurado para permitir accesos remotos, este otro archivo es el que me va a indicar quien es capaz de acceder a nuestro servidor XDMCP.
El * indica que todos puende acceder.
* CHOOSER BROADCAST
y luego podriamos poner
*.educacionit.com
director.itrestauracion.com.ar
*.redhat.com

Tambien podriamos cambiar muchas mas cosas en /etc/X11/xdm/Xresources , en donde van a cambiar aquellos recursos que estan basados en programas X-based. Por ejemplos podriamos cambiar el texto de logueo tocando algunos de estos ejemplos:
Prestar atencion que los comentarios empiezan con !
! Xresources file
xlogin*borderWidth: 10
xlogin*greeting: Welcome to Linux on CLIENTHOST
xlogin*namePrompt: Login:\040
xlogin*fail: Login incorrect – try again!
xlogin*failColor: red
xlogin*Foreground: Yellow
xlogin*Background: MidnightBlue

Tambien podriamos configurar nuestro /etc/X11/xdm/Xservers para poder incluir lineas de comando que encontramos en /etc/X11/xorg.conf. Por ejemplo si quisieramos cambiar la profundidad de color, lo harias como -bpp (bit por pixel) para nuestra configuracion local.
# Xservers file
:0 local /usr/X11R6/bin/X -bpp 24

Para incluir programas adicionales o seteos en la pantalla de login podriamos ponerlo en /etc/X11/xmd/Xsetup_0. En el siguiente ejempño cambiariamos el color de fondo del X Display a un color color solido y agregariamos un reloj.

# Xsetup
/usr/bin/xsetroot -solid “#356390″
/usr/bin/xclock -digital -update 1 -geometry -5-5 &

Para lograr que nuesto XDM inicie automaticamente en un sistema redhat.
Tendriamos que tocar el archivo:
/etc/inittab y cambiar lo siguiente:
id:3:initdefault:
a
id:5:initdefault:

Y podriamos chequear esta otra linea.
x:5:respawn:/etc/X11/prefdm -nodaemon
como ven no hace referencia a prefdm pero si analizamos ese script.

[root@localhost ~]# cat /etc/X11/prefdm
#!/bin/sh

PATH=/sbin:/usr/sbin:/bin:/usr/bin

# shut down any graphical boot that might exist
if [ -x /usr/bin/rhgb-client ]; then
    /usr/bin/rhgb-client --quit
fi

# We need to source this so that the login screens get translated
[ -f /etc/sysconfig/i18n ] && . /etc/sysconfig/i18n

# Run preferred X display manager
preferred=
if [ -f /etc/sysconfig/desktop ]; then
	. /etc/sysconfig/desktop
	if [ "$DISPLAYMANAGER" = GNOME ]; then
		preferred=/usr/sbin/gdm
	elif [ "$DISPLAYMANAGER" = KDE ]; then
		preferred=/usr/bin/kdm
	elif [ "$DISPLAYMANAGER" = XDM ]; then
	        preferred=/usr/bin/xdm
        elif [ -n "$DISPLAYMANAGER" ]; then
		preferred=$DISPLAYMANAGER
	fi
fi

shopt -s execfail

[ -n "$preferred" ] && exec $preferred "$@" >/dev/null 2>&1 /dev/null 2>&1 /dev/null 2>&1 /dev/null 2>&1 

Como ven en el script primero busca en el archivo que se define en /etc/sysconfig/desktop y si ahi no le encuentra prueba arrancar los clasicos gdm,kdm y por ultimo xdm.
Iniciando Sesion:
Para eso tendremos que crear este archivo en nuestro home directory.
[root@localhost ~]# cat .xsession
exec xterm &
exec xclock &
exec xeyes &
startkde
[root@localhost ~]#

Con este archivo lo que hacemos es una vez que inicie xdm y nos de login vamos a ingresar nuestro usuario y clave para que luego lea este archivo y arranque nuestra sesion
Con esto ya vimos un resumen de XDM pero ahora la mala noticia es que ya no se usa mas por default xdm por diversos temas de seguridad y porque kdm y gdm son mas chulos jeje.
Configurando GDM:

Para instalarlo en una version red hat:

yum groupinstall "GNOME Desktop Environment"
Archivos de configuracion:

[root@localhost gdm]# ls -l

total 80

-rw-r--r-- 1 root root 2633 Dec 26 23:47 custom.conf

drwxr-xr-x 2 root root 4096 Nov 25 23:58 Init

-rw-r--r-- 1 root root 4048 Sep  5  2009 locale.alias

drwxr-xr-x 2 root root 4096 Nov 25 23:58 modules

drwxr-xr-x 2 root root 4096 Nov 25 23:58 PostLogin

drwxr-xr-x 2 root root 4096 Nov 25 23:58 PostSession

drwxr-xr-x 2 root root 4096 Nov 25 23:58 PreSession

-rw-r--r-- 1 root root   71 Sep  5  2009 securitytokens.conf

-rwxr-xr-x 1 root root 5536 Sep  5  2009 XKeepsCrashing

lrwxrwxrwx 1 root root   21 Nov 25 23:58 Xsession -> ../X11/xinit/Xsession

[root@localhost gdm]# 
El mas conocido y que podemos tocar mas cosas es el gdm.conf
Un ejemplo de su contenido con configuracion extra:
#
#
#
#
#
#
#
#
For full reference documentation see the GNOME help browser under
GNOME|System category. You can also find the docs in HTML form on

http://www.gnome.org/projects/gdm/

NOTE: Some values are commented out, but show their default values.
that begin with "#" are considered comments.
Lines
Have fun!
[daemon]
# Automatic login, if true the first local screen will automatically logged
# in as user as set with AutomaticLogin key.
AutomaticLoginEnable=false
AutomaticLogin=
# Timed login, useful for kiosks.
# amount of time.
TimedLoginEnable=false
TimedLogin=
TimedLoginDelay=30
Log in a certain user after a certain
# The GDM configuration program that is run from the login screen, you
# should probably leave this alone.
#Configurator=/usr/sbin/gdmsetup --disable-sound --disable-crash-dialog
# The chooser program. Must output the chosen host on stdout, probably you
# should leave this alone.
#Chooser=/usr/lib/gdm/gdmchooser
Change gdmlogin to gdmgreeter
# The greeter for xdmcp logins, usually you want a less graphically
# intensive greeter here so it's better to leave this with gdmlogin
#RemoteGreeter=/usr/lib/gdm/gdmlogin

En las versiones Ubuntu tenemos toda esta info en /etc/gdm/gdm.schemas
Para poder activar conexiones xdmp tan solo agregar en el modulo

 [xdmcp]

Enable=1
Luego en el cliente cambiar /etc/hosts

comentar

#127.0.0.1

y agregar

ipremota localhost
Si se pueden conectar sin retocar esas lineas mejor, sino comentenlas y prueben.
Instalando KDM
 yum install kdm
[root@localhost gdm]# ls -l /etc/kde
total 16
drwxr-xr-x 2 root root 4096 Nov 26 19:57 env
drwxr-xr-x 3 root root 4096 Nov 26 19:56 xdg
[root@localhost gdm]#

Cambiando entre desktops

En sistemas red hat:

[root@localhost menus]# yum install switchdesk-gui.noarch switchdesk.noarch 
[root@localhost ~]# cat /etc/sysconfig/desktop
DESKTOP= "GNOME"
DISPLAYMANAGER= "gdm"
[root@localhost ~]#

Bueno ahora supongamos que queremos ejecutar remotamente sesiones o aplicaciones de nuestro servidor en otra maquina.
Para hacer poder aprovechar los recursos de nuestra maquina servidor y usar las demas como cliente de ella vamos a hacer lo siguiente:
En una maquina cliente ejecutamos:

1)

xinit, si ya estamos en una grafica tan solo abrimos una terminal

2)Luego  hacemos xhost +ipremota

3)Luego nos logueamos al equipo remoto con ssh.

4) Luego exportamos la variable DISPLAY, export DISPLAY=iplocal:0.0

5)Ahora podemos ejecutar una aplicacion.

Como ven estamos en la maquina remota ejecutando la aplicacion pero desde nuestra estacion fisica de trabajo.

6)Ahora podriamos probar levantar toda una grafica.

7) Por ultimo podemos hacer con ssh un forwardeo...

  La yapa algo mas descabellado e inutil, levantar la grafica remota dentro de mi grafica..

Bueno esto es todo...
Fuentes:

[1]http://tldp.org/HOWTO/XDMCP-HOWTO/procedure.html

[2]http://codeghar.wordpress.com/2009/06/11/remote-login-with-gdm-and-vnc-on-fedora-11/

[3]http://www.linuxparatodos.net/portal/staticpages/index.php?page=11-como-x-remoto

[4]http://www.estrellateyarde.org/so/x-remoto-display-manager

[5]http://es.w3support.net/index.php?db=so&id=754707

[6]http://tldp.org/HOWTO/XDM-Xterm/config.html

[7]http://sicutdeux.wordpress.com/2009/08/12/acceso-remoto-bajo-gnulinux-xdmcp/

[8]http://www.mail-archive.com/debian-user-spanish@lists.debian.org/msg33394.html

[9]http://www.itrestauracion.com.ar/?p=1149

[10]http://tldp.org/HOWTO/XWindow-User-HOWTO/index.html

[11]http://www.faqs.org/docs/Linux-HOWTO/XDMCP-HOWTO.html

[12]http://linux.derkeiler.com/Mailing-Lists/RedHat/2005-11/0384.html

[13]http://www.faqs.org/docs/lnag/lnag_xwindows.html#GUI_login
]]>
			http://www.itrestauracion.com.ar/?feed=rss2&p=1238
		0
	http://creativecommons.org/licenses/by-nc-sa/3.0/
	
		
		
		http://www.itrestauracion.com.ar/?p=1224
		http://www.itrestauracion.com.ar/?p=1224#comments
		Sun, 19 Dec 2010 20:33:51 +0000
		restauracion
				
		
		

		http://www.itrestauracion.com.ar/?p=1224
		Continue reading →]]>
			Vamos  a ver brevemente un poco de estos temas:

Antes empezaremos con una breve explicacion de que es una X:



Historia:[4-5]

X Window System (en español sistema de ventanas X) es un software que fue desarrollado a mediados de los años 1980 en el MIT para dotar de una interfaz gráfica a los sistemas Unix. Este protocolo permite la interacción gráfica en red entre un usuario y una o más computadoras haciendo transparente la red para éste. Generalmente se refiere a la versión 11 de este protocolo, X11, el que está en uso actualmente. X es el encargado de mostrar la información gráfica de forma totalmente independiente del sistema operativo.
* X es un modelo de cliente/servidor.

* X fue diseñado primariamente para implementar clientes ligeros, donde mucha gente usaba simultáneamente la capacidad de procesamiento de un mismo computador trabajando en tiempo compartido. Cada persona usaba un terminal en red que tenía capacidades limitadas para dibujar la pantalla y aceptar la entrada del usuario. Debido a la ubicuidad del soporte para el software X en Unix, es usado en los computadores personales incluso cuando no hay necesidad del tiempo compartido.

* Mientras que los servidores de X manejan hardware estos no definen la forma en que se va a ver la pantalla y no ofrecen herramientas para manipular los clientes.

* El servidor X es el responsable de realizar el rendering the las formas y colares en la pantalla.
Ejemplos de lo que incluye:
Programas de X.org que controlan nuestra placa de video,

Programas de X.org que funcionan en redes diferentes mostrandonos la salida de los programas en nuestro equipo.

Otros sistemas de red Unix corren sus propios X server software (cuando corremos nuestra maquina local)

Clientes X son programas de usuarios como : firefox,opera,Evolution,OpenOffice,xterm
Cliente/Servidor

El sistema de ventanas X distribuye el procesamiento de aplicaciones especificando enlaces cliente-servidor. El servidor provee servicios para acceder a la pantalla, teclado y ratón, mientras que los clientes son las aplicaciones que utilizan estos recursos para interacción con el usuario. De este modo mientras el servidor se ejecuta de manera local, las aplicaciones pueden ejecutarse remotamente desde otras máquinas, proporcionando así el concepto de transparencia de red.

Debido a este esquema cliente-servidor, se puede decir que X se comporta como un terminal gráfico virtual.

El hecho que exista un estándar definido para X permite que se desarrollen servidores X para distintos sistemas operativos y plataformas, lo que hace que el código sea muy portable. Por ejemplo. permite tener clientes X ejecutándose en un potente servidor UNIX mientras los resultados son visualizados en una PC de escritorio con cualquier otro sistema operativo funcionando.

La comunicación entre el cliente X y el servidor se realiza por medio de un protocolo conocido como Xprotocol, que consiste en una serie de bytes interpretados como comandos básicos para generar ventanas, posicionarlas, o controlar eventos. Los clientes X acceden al Xprotocol mediante el uso de una biblioteca llamada Xlib, que evita al programador de clientes X tener que lidiar con el código binario del Xprotocol. Sin embargo, los aspectos de decoración de ventana y manejos de ventanas no están definidos en esta biblioteca.
Un programa de cliente especial llamado window manager es el responsable de las funciones mencionadas anteriormente que nos provee ademas de ventanas, cambio de tamaño, botones de cerrar y maximizar y muchas mas.

Este controla los demas clientes que corren bajo un Servidor X. Multiples window manager podemos encontrar para nuestro X Window System pudiendo asi poder elegir un estilo de interface que mas necesitemos para cada uso.

X no es un gestor de ventanas, necesita de uno para controlar el manejo de ventanas. Esto trae la ventaja de que permite al usuario instalar uno o más administradores de ventanas de su preferencia. También trae la ventaja de que hace de X estrictamente un sistema gráfico, de tal modo que un cliente X podría estar enviando un gráfico a una pantalla, a una impresora o a cualquier otro hardware sin darse cuenta, flexibilizando la salida gráfica.
Por otro lado, la desventaja que trae el hecho de no tener un único entorno gráfico es que los programadores de clientes X que desean hacer uso de los recursos de los entornos gráficos (botones, barras de deslizamientos, etc) deben elegir un entorno gráfico específico para programar y contar que el usuario tenga por los menos las bibliotecas de dicho entorno gráfico instalado. Las bibliotecas de los entornos gráficos se conocen como “Toolkits”, el estándar X provee sólo de un conjunto de herramientas básicas llamadas Xintrisics que permiten a los programadores de los entornos gráficos armar sus Toolkits sobre éstas.
Un completo set de escritorio graficos se encuentran disponible y contiene entre sus paquetes un window manager y una gran cantidad de aplicaciones que trabajan en conjunto para poder crear un ambiente de trabajo completo. Un ejemplo son los mas conocidos KDE y GNOME, por supuesto que hay muchos mas y mucha variedad pero estos son los mas conocidos.
Interfaces de Usuario:

X es primariamente una definición de primitivas de protocolo y gráficas, y deliberadamente no contiene especificaciones de diseño de interfaz de usuario, como estilos de botón, menú, barra de título para las ventanas. En vez de eso, un software de aplicación (tal como los manejadores de ventana, Widget toolkits de GUI y ambientes de escritorio, o las interfaces gráficas de usuario específicas de una aplicación) definen y proporcionan tales detalles. Como resultado, no hay interfaz X típica y varios ambientes de escritorio han sido populares entre los usuarios.

Un manejador de ventana controla la colocación y la apariencia de las ventanas de aplicación. Esto puede resultar en interfaces semejantes a las de Microsoft Windows o Macintosh (los ejemplos incluyen Metacity en GNOME, KWin en KDE, Xfwm en Xfce, o Compiz) o tener controles radicalmente diferentes (tales como tiling window manager, como wmii o Ratpoison). Los manejadores de ventana abarcan en sofisticación y complejidad desde los más simples (ej., twm, el manejador de ventana básico suministrado con X, o evilwm, un manejador de ventana extremadamente liviano) hasta los ambientes de escritorio más completos tales como Enlightenment.

Muchos usuarios usan X con un ambiente de escritorio, que, independientemente del manejador de ventana, incluyen varias aplicaciones usando una interfaz de usuario consistente. GNOME, KDE y Xfce son los ambientes de escritorio más populares. El ambiente estándar de Unix es Common Desktop Environment (CDE). La iniciativa freedesktop.org se dirige a la interoperabilidad entre el escritorio y los componentes necesarios para un escritorio X competitivo.
Puesto que el X es responsable de la interacción entre el teclado y el ratón con el escritorio gráfico, ciertos atajos de teclado han llegado a estar asociados con X. Control-Alt-Backspace típicamente termina la sesión actualmente corriendo en X, mientras que el Control-Alt conjuntamente con una tecla de función cambia a la consola virtual asociada. Sin embargo, esto es un detalle dejado al diseño de una implementación de servidor X y no es universal; por ejemplo, las implementaciones de servidor X para Windows y Macintosh típicamente no proporcionan estos atajos de teclado.
Terminales X

Un terminal X es un cliente ligero que solamente corre un servidor X. Esta arquitectura llegó a ser popular para construir paquetes de terminales baratos para que muchos usuarios usaran simultáneamente el mismo gran servidor de computadora para ejecutar programas de aplicación como clientes de cada terminal X. Este uso está muy cerca con la intención original del proyecto MIT.
Los terminales X exploran la red (el dominio de difusión local) usando el protocolo de control del X Display Manager para generar una lista de anfitriones disponibles que son permitidos como clientes. Uno de los anfitriones de clientes debe correr un X display manager.
El hardware dedicado para terminales X ha llegado a ser menos común; un PC o un moderno cliente ligero con un servidor X proporciona típicamente la misma funcionalidad a igual o más bajo costo.
X Display Manager[5]

En el X Window System, un X Display Manager (XDM), gestor de pantalla X, o gestor de pantalla X, es una parte opcional del sistema X Window que permite comenzar una sesión sobre un servidor X desde la misma u otra computadora. Un gestor de pantalla presenta al usuario con una pantalla de autenticación (login) que solicita el nombre de usuario y su contraseña. Una sesión comienza cuando el usuario entra con éxito una combinación válida de nombre de usuario y contraseña.
Cuando el gestor de pantalla corre en la computadora del usuario, inicia el servidor X antes de presentar al usuario la pantalla de login (autentificación), opcionalmente repitiendo esto cuando el usuario cierra la sesión (logs out). En esta condición, el gestor de pantalla realiza en el X Window System la funcionalidad del init, getty y autentifica al usuario en el terminal en modo de caracteres. Cuando el gestor de pantalla corre en una computadora remota, actúa como un servidor de telnet, solicitando el nombre de usuario y la contraseña y comenzando una sesión remota.
Piense en XDM como proveedor de la misma funcionalidad que la utilidad getty(8). Esto quiere decir que se encarga de los ingresos del sistema en la pantalla a la que está conectado y arranca el gestor de sesiones para el usuario (normalmente un gestor de ventanas X). XDM entonces espera a que este programa termine, señalando que el usuario ha terminado y que se debería desconectar de la pantalla. En este punto XDM puede mostrar las pantallas de entrada al sistema y de selección de pantalla para que el siguiente usuario intente acceder al sistema.
Esto es útil para diferentes situaciones tales como “Terminales X” con escritorios mínimos y grandes servidores de red (LTSP, cliente liviano). Como X Window System es independiente del protocolo y de la red hay muchas posibles configuraciones para ejecutar clientes y servidores X en diferentes equipos conectados a una red. XDM da una interfaz gráfica para elegir a qué pantalla se quiere conectar y solicitar la información de autenticación, como el nombre de usuario y le contraseña.
También es útil para múltiples usuarios trabajando con un mismo computador (configuración multiseat), en donde cada usuario tiene su propio pantalla, teclado y ratón, y comparten los recursos del computador, como el CPU, la tarjeta madre, la memoria RAM, el disco duro, etc., abaratando significativamente los costos.
Seleccionando e instalando un  X-Server:

X.Org es el standard X Window System de la mayoria de las distribuciones de Linux.

X.Org es mantenida por X.Org Fundation que es una comunidad sin fines de lucro donde se colabora con el desarrollo y documentacion

El codigo de X11 de X.Org esta basado en XFree86 que fue usado como X Windows en muchas distribuciones de Linux. Freedesktop.org es un proyecto colaborativo donde se desarrolla software para los sistemas X Windows.

El proyecto  X.Org tiene soporte para una gran cantidad de hardware. Esto se debe a la cooperacion de muchos fabricantes que liberan el codigo de sus drivers y  sus documentaciones.A traves del tiempo se vio que muchos fabricantes fueron interesandose en dejar cierta informacion a la comunidad X.Org para que puedan darle soporte a su hardware y es por eso que X.Org ya posee una inmesa compativilidad con el hardware de hoy en dia.
Configurando el entorno X Window System

Lo primero que tenemos que hacer es recopilar la información necesaria, para la correcta configuración del servidor gráfico Xorg
La información mínima necesaria es la siguiente:
* Especificaciones del monitor

* Chip y cantidad de memoria de la tarjeta gráfica (vídeo)

* Especificaciones del ratón

* Especificaciones del teclado



Ver la version de nuestro X:
Red Hat:
[rino@oc4037774485 ~]$ X -version

X.Org X Server 1.9.1
Release Date: 2010-10-22
X Protocol Version 11, Revision 0
Build Operating System: x86-02 2.6.32-72.el6.bz634452.x86_64
Current Operating System: Linux oc4037774485.ibm.com 2.6.35.9-64.fc14.x86_64 #1 SMP Fri Dec 3 12:19:41 UTC 2010 x86_64
Kernel command line: ro root=UUID=1f15bf0f-79bd-4dae-a644-f4ad768504ef rd_NO_LUKS rd_NO_LVM rd_NO_MD rd_NO_DM LANG=en_US.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=la-latin1 rhgb quiet selinux=0
Build Date: 09 November 2010  08:15:25PM
Build ID: xorg-x11-server 1.9.1-3.fc14
Current version of pixman: 0.18.4
	Before reporting problems, check http://wiki.x.org
	to make sure that you have the latest version.
[rino@oc4037774485 ~]$



Chipset de Video:

Los driver de video X.Org son escrito para los chipset graficos no para las placas de video en donde estan installadas. Muchas placas de video de varios fabricantes tienen el mismo chipset de video  haciendo a estas que tengan la misma funcionalidad.

Por eso hay que mirar si el chipset que tenemos es soportado por X.org para poder usar las opciones de graficos mas avanzadas. Ver la lista de chipset soportados en la wiki de X.Org

El chip de la tarjeta gráfica también llamada tarjeta de vídeo, define que controlador utilizaremos para que funcione correctamente.

La memoria de la tarjeta gráfica determina la resolución máxima y la profundidad de color máxima con la que el sistema puede trabajar.
Especificaciones del monitor

Usaremos las especificaciones del monitor para determinar la resolución y frecuencia de refresco a la que funcionara. Dichas especificaciones vienen en la documentación del monitor, o bien la obtenemos desde la web del fabricante.
Necesitamos tres rangos muy importantes:
* Frecuencia de refresco horizontal

* Frecuencia de refresco vertical

* Resolución máxima.
Con esta información sabemos como hemos de configurar nuestro monitor para no dañarlo o quemarlo.
Especificaciones del mouse
Las especificaciones del ratón son muy fáciles, basta con observar dicho ratón para saber:
* El tipo de conector: USB, PS2, Serial, etc…

* El numero de botones: 1, 2, 3, 4, etc…

* Si tiene rueda y cuantas tiene: 1, 2
Especificaciones del teclado
Las especificaciones del teclado al igual que las del ratón, con observar dicho teclado conocemos la información:
* El tipo de conector: USB o PS2

* Que mapa de caracteres que usa: QWERTY, AZERTY, etc..

* El numero de teclas: 101, 102, 104, 105 o microsoft
Instalando X.Org

Es raro que tengamos que instalar X.Org nosotros a mano porque este ya fue instalado generalmente cuando instalamos nuestro sistema si tenemos planeado usar la grafica (X).

Casi todas las distribuciones de linux contienen los paquetes de X.ORg en sus instaladores.
La forma de instalar el sistema de ventanas x window en su equipo sera de la siguiente manera:
Para sistemas operativos de la familia Red Hat teclee lo siguiente:
[BASH] # yum install xorg-x11
Para sistemas operativos de la familia Debian teclee lo siguiente:
[BASH] # apt-get install x-window-system


Configurando un Servidor X y su archivo de configuracion xorg.conf

El archivo de configuracion de X.Org difiere a lo largo de las distintas distribuciones de linux y de las versiones de X.Org. Este archivo es creado durante la instalacion y segun los dispositivos que fueron detectados ira armando la configuracion.

Generalmente no hace falta cambiar nada de este archivo porque es manejado por el sistema. El servidor X usa este archivo de configuracion cuando se inicia para setear  la configuracion del teclado, mouse, fuentes (fonts) y resolucion del monitor.
Fichero xorg.conf
La configuración del servidor gráfico xorg se encuentra en el fichero xorg.conf, en la siguiente ruta:
/etc/X11
Y se  encuentra dividido en las siguientes secciones:



Section “Files”
Ruta o path de los archivos


Section “Modules”
Carga módulos dinámicos


Section “InputDevice”
Descripción de los dispositivos periféricos


Section “Device”
Descripción de los dispositivos gráficos


Section “Monitor”
Descripción del monitor


Section “Screen”
Configuración de la pantalla


Section “ServerLayout”
Esquema global



Cada sección comienza con la instrucción Section seguido del  nombre de la “sección entre comillas” las opciones, driver, etc.. y  terminada con EndSection.
Seccion “Files”
Esta sección define la ruta de archivos necesarios para levantar el servidor X.

Define la ruta de los tipos de letras en las entradas ” FontPath”
Especifica la ubicación de la base de dartos de colores RGB “RgbPath”

Ejemplo:
Section “Files”
         RgbPath     “/usr/lib/X11/rgb”
EndSection
Seccion “Modules”
La sección Module especifica que módulos cargará el servidor gráfico  X, dichos módulos añaden funcionalidad adicional al servidor X.
Section “Module”
         Load     “dbe”
         Load     “extmod”
         Load     “type1”
         Load     “freetype”
         Load     “glx”
EndSection
Seccion “InputDevice”
Cada sección InputDevice configura un dispositivo de entrada para el  servidor X. Los sistemas Xorg tienen mínimo dos secciones InputDevice:

Un Mouse
Un Teclado

Configuracion tipica de un mouse
Ejemplo:
Section “InputDevice”
         Identifier   “Mouse0”
         Driver       “mouse”
         Option       “Protocol” “Auto”
         Option       “Device”   “/dev/psaux”
         Option       “Emulate3Buttons” “no”
         Option       “ZaxisMapping” “4 5”
EndSection
Identifier: Especifica un nombre para esta sección
Driver: Especifica el controlador que debe cargar para el correcto funcionamiento del ratón. “mouse”: soporta cuatro tipos de mouse:

Serial
Bus
PS/2
USB

Option: Especifica las opciones necesarias pertinentes al dispositivo
Para un mouse, las opciones son las siguientes:
Protocol: Indica el protocolo define el tipo de mouse que tenemos

“ImPS/2″
“ExplorerPS/2″
“MouseMan”
“Microsoft”
“Mousesystems”
“IntelliMouse”
“ThinkingMouse”
“ThinkingMousePS/2″
“NetScrollPS/2″
“NetMousePS/2″
“GlidePoint”
“GlidePointPS/2″
“MouseManPlusPS/2″

NOTA:

Los mouse seriales antiguos de dos o tres botones estan normalmente soportados por el protocolo 	“Microsoft” o “MouseMan”
Los mouse seriales con rueda los soporta el protocolo “IntelliMouse”
Los mouse PS/2 los soporta el protocolo “ImPS/2″
El protocolo “auto” se usa siempre que este es capaz de detectar el mouse.

CorePointer: Indica que el ratón definido es el mouse principal
Device: Indica la ubicación del dispositivo físico (donde se encuentra conectado), las opciones son las siguientes:

/dev/input/mice (conectado al puerto USB)
/dev/psaux (conectado al puerto PS/2)
/dev/ttyS0 (conectado al puerto Serial 0)
/dev/ttyS1 (conectado al puerto Serial 1)

Emulate3Buttoms: Especifica si un mouse de dos botones se comporte como uno de tres botones, cuando se presionen ambos botones simultáneamente.
ZAxisMapping: Especifica que funcione la rueda que incorpora el mouse.
Configuracion tipica de un teclado
Ejemplo:
Section “InputDevice”
         Identifier   “Generic Keyboard”
         Driver       “kbd”
         Option       “CoreKeyboard”
         Option       “XkbRules”   “xorg”
         Option       “XkbModel” “pc105”
         Option       “XkbLayout” “es”
EndSection
Identifier: Especifica un nombre para esta sección.
Driver: Especifica el controlador que debe cargar para el correcto funcionamiento del teclado.
Option: Especifica las opciones necesarias pertinentes al dispositivo
Para un teclado las opciones son las siguientes:
CoreKeyboard: Especifica que es el teclado principal
XkbModel: Especifica el tipo de teclado. Los valores mas comunes son:

“pc101″
“pc102″
“pc104″
“pc105″
“microsoft”

XkbLayout: Especifica el lenguaje que usaremos, “es” (español), “us” (ingles)
Seccion “Device”
Esta sección es la que define y configura la tarjeta gráfica (vídeo)
Ejemplo:
Section “Device”
         Identifier   “Device0”
         Driver       “nvidia”
         VendorName   “NVIDIA Corporation”
         Option       “RenderAccel”  “true”
         Option       “AllowGLXWithCompisite”   “true”
         Option       “dpms”
EndSection
Identifier: Especifica un nombre para esta sección.
Driver: Especifica el controlador que debe cargar para el correcto funcionamiento del vídeo.
VendorName: Este parámetro es opcional, especifica el fabricante de la tarjeta de vídeo.
BusID: Este parámetro es opcional, especifica el bus en el que  se encuentra conectada la tarjeta gráfica, Esta 	opción únicamente es  necesaria para sistema con múltiples tarjetas gráficas.
Screen: Este parámetro es opcional, especifica que conector  del monitor en la tarjeta gráfica configura la 	sección Device. Esta  opción en muy útil solamente para tarjetas con múltiples conectores.
Si dos monitores o mas son conectados en diferentes conectores en la  misma tarjeta gráfica, deben existir en xorg.conf secciones Device  separadas y cada una de estas secciones debe tener un valor Screen  diferente.
Los valores para la entrada Screen debe ser enteros. El primer  conector de la tarjeta de vídeo tiene el valor 0. El valor para cada  conector adicional incrementa este valor en uno.
Option “nombre_opción”: Este parámetro es opcional. Reemplace  “nombre_opción” con una de las opciones 	listadas para esta sección en  la pagina man de xorg.conf
Una de las opciones mas habituales es “dpms” (Display Power  Management Signalling), se usa para activar el estado de ahorro de  energía del monitor.
Seccion “Monitor”
Esta sección es la que define y configura los parámetro del monitor
Ejemplo:
Section “Monitor”
         Identifier   “Acer X203W”
         Option       “DPMS”
         HorizSync    30-83
         VertRefresh  “55-75”
EndSection
Identifier: Especifica un nombre para esta sección. Puede  existir varias secciones “Monitor” en el archivo 	xorg.conf, cada una  con diferente identificación (Identifier), esto es causado porque  disponemos de dos o mas 	monitores conectados al ordenador.
HorizSync: Especifica la frecuencia de barrido horizontal del  monitor, expresado en kHz. Puede ser una 	frecuencia fija (30.5),  multiples frecuencias fijas (30.5, 35.8), un rango (30-110), o varios  rangos (15-25, 30-64)
VertRefresh: Especifica la frecuencia de barrido vertical del monitor, expresado en Hz, los valores son iguales 	a la opción HorizSync.
Seccion “Screen”
Esta sección es la que va a definir la pantalla, vinculando una tarjeta gráfica (Device) con la sección “Monitor” Ejemplo:
Section “Screen”
         Identifier     “Default Screen”
         Device         “nvidia geforce mx400”
         Monitor        “AcerX203W”
         DefaultDepth   24
         Options        “AddARGBGLXvVisuals”   “True”
         Subseccion “Display”
            Depth    1
            Modes    “1600x1050” ”1200x1024” ”1024x768” ”800x600” “640X400”
         Subseccion “Display”
            Depth    4
            Modes    “1600x1050” ”1200x1024” ”1024x768” ”800x600” “640X400”
         Subseccion “Display”
            Depth    8
            Modes    “1600x1050” ”1200x1024” ”1024x768” ”800x600” “640X400”
         Subseccion “Display”
            Depth    15
            Modes    “1600x1050” ”1200x1024” ”1024x768” ”800x600” “640X400”
         Subseccion “Display”
            Depth    16
            Modes    “1600x1050” ”1200x1024” ”1024x768” ”800x600” “640X400”
         Subseccion “Display”
            Depth    24
            Modes    “1600x1050” ”1200x1024” ”1024x768” ”800x600” “640X400”
EndSection
Identifier: Especifica un nombre unico para esta sección
Device: Especifica el nombre de una sección “Device” existente en el fichero xorg.conf
Monitor: Especifica el nombre único de una sección “Monitor” existente en fichero xorg.conf
Observación: las entradas “Device y Monitor” tienen que tener  el mismo valor que la entrada “Identifier” de las 	secciones “Device” y  “Monitor”. De  esta manera se entrelazan las configuraciones de las diferentes  secciones.
DefaultDepth: Especifica la profundidad de color por defecto en bits.
SubSection “Display”: Especifica los modos disponibles de la pantalla para una profundidad de color en 	particular.
Observación: Una sección “Screen” puede tener múltiples  subsecciones “Display”, pero debe existir al menos 	una para la  profundidad de color especificada en la entrada “DefaultDepth”
Depth: Especifica la profundidad de color de la subsección, los valores posibles son: 1, 4, 8, 15, 16 y 24 bits
Modes: Especifica las resoluciones que podremos visualizar  según nuestro monitor. Puede especificarse una 	sola resolución  “1680×1050″ (si sabemos que nuestro monitor la soporta), o un listado de  estas: “1680×1050″ 	“1280×1024″ “1024×768″ “800×600″ “640×480″. Por  defecto se usa la primera en la lista, siempre que este 	soportada por  nuestro monitor, si no se usa la siguiente, y asi hasta la ultima  resolución que tengamos listada.
Nota: Dependiendo de nuestro monitor y tarjeta grafica (si son de  gama “media baja” o inferior), puede darse 	los siguientes casos:
* A mayor profundidad de color “24 bits” obtenemos menor resolución  “800×600″ 	* A menor profundidad de color “8 bits” obtenemos mayor  resolución “1680×1050″
Option “nombre de opción”: Especifica parámetros extras para  la sección. Reemplace “nombre de opción” 	con una opción valida listada  para esta sección en la pagina man de xorg.conf
Seccion “ServerLayaout”
Esta sección es la que vincula los dispositivos de entrada y salida que controla el servidor xorg.
Como mínimo, esta sección debe especificar un dispositivo de salida (monitor) y al menos dos de entrada ( un teclado y un ratón)
En Particular esta sección junta todos los identificadores “Identifier” de cada sección.
Section “ServerLayout”
         Identifier     “Default Layout”
         Screen         “Default Screen”
         InputDevice    “Generic Layout”
         InputDevice    “Configured Mouse”
EndSection
Identifier: Especifica un nombre para esta sección.
Screen: Especifica el nombre de la sección “Screen” a ser usado por el servidor xorg. Pueden estar presente 	más de una opción “Screen”

Crear una nueva configuracion de xorg[6-7]
X Fonts
X.Org viene con una coleccion de fuentes para usos mas comunes incluyendo estas para los textos a mostrar en las ventanas de terminales y navegadores. Para muchos usuarios

las fuentes por defectos son las adecuadas pero para otros les esencial agregar mas fuentes al sistema.

Una gran variedad de fuentes hay disponibles y estan son libres y otras pagas.

Muchas de ellas son desarrolladas por personas que las distribuyen por internet y siempre hay que buscar que sean para X.Org.

X.Org hace que las fuentes esten disponibles para los programas clientes. Una  ruta para una fuente basica es compilada para que este adentro de nuestro X-Server pero nosotros podemos indicar tambien otra ruta de fuentes para que pueda ser utilizada en la directiva de FontPath asi tendremos mas fuentes en nuestro xorg.conf.
La sintaxis es la siguiente:

FontPath “path”

Por Ejemplo:

Section “Files”

FontPath “/usr/share/X11/fonts/misc”

FontPath “/usr/share/X11/fonts/cyrillic”

FontPath “/usr/share/X11/fonts/100dpi/:unscaled”

FontPath “/usr/share/X11/fonts/75dpi/:unscaled”

FontPath “/usr/share/X11/fonts/Type1″

FontPath “/usr/share/X11/fonts/100dpi”

FontPath “/usr/share/X11/fonts/75dpi”

FontPath “/usr/share/fonts/X11/misc”

# path to defoma fonts

FontPath “/var/lib/defoma/x-ttcidfont-conf.d/dirs/TrueType”

EndSection

Este grupo de FontPath crea una ruta de fuentes que consiste de ocho directorios todos debajo de /usr/share/X11/fonts. Cuando arranca nuestra X  este va a incluir todas las fuentes que fueron definidas en xorg.conf durante nuestra sesion grafica.
Instalando Fuentes:

Añadir nuevas fuentes es sencillo.

En primer lugar, un directorio adecuado debe ser creado para las nuevas fuentes, como por ejemplo / usr/share/X11/fonts/local o /usr/local/ fonts. Si lo desea, para separar sus propias fuentes de los directorios por default de X. Org  para protegerlos durante las actualizaciones. Despues que las fuentes son instaladas en el nuevo directorio, la utilidad mkfontdir se ejecuta para agregar al  catálogo  las nuevas fuentes en el nuevo directorio.

Las nuevas entradas se agregan al archivo xorg.conf para incluir la ruta de acceso de las nuevas fuentes.

Por ejemplo:
FontPath

“/usr/local/fonts”

En este punto, el servidor de X puede ser reiniciado para reconocer las nuevas fuentes, o las fuentes pueden ser agregadas de forma dinamica con le comando xset.

# xset fp+ /usr/local/fonts
El servidor de fuentes X

En una red con múltiples estaciones de trabajo, la gestión de las fuentes de forma manual para cada sistema puede llevar mucho tiempo. Para simplificar este problema, el administrador puede instalar todas las  fuentes que desee en un solo sistema y ejecutar xfs, el servidor de fuentex x, en ese sistema. En un sistema local, xfs deja fuera las cargas de trabajo de la reproduccion de fuentes  en el servidor X,lo que significa que el servidor X puede realizar otras tareas mientras que las fuentes están siendo renderizadas. Esto es

especialmente notable en los sistemas más lentos o sistemas sin una unidad de punto flotante  (FPU).

Section “Files”

RgbPath

FontPath

EndSection

“/usr/share/X11/fonts/rgb”

“unix/:-1″

Si instala xfs de un paquete de su distribución, es probable que sea de forma automática

configurado para iniciarse en el momento del arranque y correr continuamente ,sirviendo a las fuentes locales y programas clients remotos.

Para iniciar xfs manualmente, simplemente escriba el comando xfs. Para mayor seguridad

, es posible que desee ejecutar xfs como usuario root pero no lo haga. xfs se configura con su archivo de configuración, /etc/X11/fs/config

Controlando Aplicaciones X con .Xresources.
El sistema de ventanas X también tiene muchas características integradas de personalización. Muchas  aplicaciones X se programan con una variedad de recursos, que son de configuraciónes ajustes que se pueden manipular externamente. En lugar de tener una utilidad de configuración integrada en cada aplicación, las aplicaciones pueden ser escritas para examinar el contenido de un archivo en el directorio home del usuario. El archivo. Xresources contiene una línea para cada configuracion de recursos que  figura en el siguiente Ejemplo:
program*resource: value

Esta linea debe ser traducida asi:
• El programa es el nombre de un programa configurable, como emacs o xterm.

• los recursos son una de las opciones configurables permitidas por el programa, tales como colores.

• El valor es la opcion que se va  aplicar a los recursos.

Por Ejemplo, el sisguiente es un ejemplo de como configuramos los colores para un xterm con el archivo .Xresources.

xterm*background: Black

xterm*foreground: Wheat

xterm*cursorColor: Orchid

xterm*reverseVideo: false
Fuentes:

[1]http://www2.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base%20de%20Conocimiento/Certificaci%C3%B3n%20LPI%20102#section-Certificaci_C3_B3n+LPI+102-InstalarYConfigurarXWindowSystem

[2]http://en.wikibooks.org/wiki/LPI_Linux_Certification/Install_%26_Configure_X11

[3]http://www.itrestauracion.com.ar/?p=1149

[4]http://es.wikipedia.org/wiki/X_Window_System

[5]http://es.wikipedia.org/wiki/X_Display_Manager

[6]http://fedoraproject.org/wiki/How_to_create_xorg.conf

[7]http://www.my-guides.net/en/content/view/161/26/2/13/

[8]http://www.rru.com/~meo/pubsntalks/xrj/xdm.html

[9]http://www.tldp.org/HOWTO/XDMCP-HOWTO/index.html

[10]http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/x-xdm.html
]]>
			http://www.itrestauracion.com.ar/?feed=rss2&p=1224
		0
	http://creativecommons.org/licenses/by-nc-sa/3.0/
	
		
		
		http://www.itrestauracion.com.ar/?p=1221
		http://www.itrestauracion.com.ar/?p=1221#comments
		Sun, 19 Dec 2010 17:59:20 +0000
		restauracion
				

		http://www.itrestauracion.com.ar/?p=1221
		
			Temas:

Preparando LPIC-1  106.1 Instalar y configurar X11

Preparando LPIC-1  106.2 Configurar un administrador de pantalla

Preparando LPIC-1  106.3 Accesibilidad (EN CONSTRUCCION)
]]>
			http://www.itrestauracion.com.ar/?feed=rss2&p=1221
		0
	http://creativecommons.org/licenses/by-nc-sa/3.0/