# server - o casi server

## pelelademadera

bueno, lo que pienso hacer es lo siguiente.

tengo mi pc de escritorio en este momento, la unica pc de la casa. lo que quiero hacer es poner otra pc (un P3 450 con 192 mb de ram) como "server".

en realidad quiero que este prendida, sin monitor ni nada, solo energia y red, y quiero manejarla remotamente de mi pc.

el P3 se usaria en principio para bajar y subir cosas, que le digo yo desde mi pc. y en un futuro, voy a ver si se banca capturar tv, la voy a poner como si fuera una grabadora de tv con internet.

ahora, que necesito para hacer lo que quiero, y como deberia hacerlo?

me gustaria no poner gentoo en el server xq va a ser medio larga la compilacion creo. aunque podria ponerle gentoo igual. en este momento pienso ponerle arch y ver como va.

alguien me da una mano.

gracias

----------

## i92guboj

 *pelelademadera wrote:*   

> bueno, lo que pienso hacer es lo siguiente.
> 
> tengo mi pc de escritorio en este momento, la unica pc de la casa. lo que quiero hacer es poner otra pc (un P3 450 con 192 mb de ram) como "server".
> 
> en realidad quiero que este prendida, sin monitor ni nada, solo energia y red, y quiero manejarla remotamente de mi pc.
> ...

 

Yo tengo un pequeño servidor doméstico, se trata de un athlon-xp 1800+, aunque lo tengo funcionando a solo 1000mhz, no necesita más potencia y así ahorro energía y produce menos calor. Es un servidor sin monitor ni X, y se ocupa de las siguientes tareas: web, ssh, irc, ftp, mldonkey y servidor imap de correo. 

 *Quote:*   

> ahora, que necesito para hacer lo que quiero, y como deberia hacerlo?
> 
> me gustaria no poner gentoo en el server xq va a ser medio larga la compilacion creo. aunque podria ponerle gentoo igual. en este momento pienso ponerle arch y ver como va.

 

Como servidor de descargas aconsejo mldonkey porque puede manejar tanto p2p como torrents y también descargas normales.

Sobre el tema de la captura de video, no tengo ni idea de si tu máquina es la adecuada. Supongo que depende de cosas como la resolución, y si tu tarjeta es capaz de comprimir por hardware o no.

----------

## Inodoro_Pereyra

A lo dicho agregar que tranquilamente podés ponerle un Gentoo a esa pc que vas a usar para server. No necesitás compilar en la misma pc (al menos es lo que yo hago en mi router *P III 700 / 128Mb).

Podés usar tu pc mas potente para que compile para la otra con distcc o podés  compilar haciendo chroot desde tu pc mas potente sobre NFS. Este último es el método mas eficiente que encontré hasta ahora.

Salud!

----------

## pelelademadera

gracias por las respuestas.

ahora, yo la verdad es que no tengo mucha idea del tema redes y demas. podria manejarme con vnc para lo que quiero hacer? o por web ui?

gracias

----------

## i92guboj

 *pelelademadera wrote:*   

> gracias por las respuestas.
> 
> ahora, yo la verdad es que no tengo mucha idea del tema redes y demas. podria manejarme con vnc para lo que quiero hacer? o por web ui?
> 
> gracias

 

vnc va a requerir X en el servidor.

Yo uso ssh para casi todo, y web para algunas cosas. Mldonkey por ejemplo se puede usar remotamente via web y no necesita un servidor web separado (aunque también tiene una interfaz telnet). También puedes usar webmin para administración remota. Para el correo uso squirrelmail.

----------

## sebasmagri

Yo tengo pensado usar un celeron coppermine para servidor/firewall casero. Tiene 256MiBs de RAM y el proc está overclockeado a 900Mhz, así que no tengo muchos problemas en instalarle Gentoo.

Sería recomendable usar Hardened? dado que también espero usar la máquina como webserver de pruebas para mostrarles las cosas a mis clientes de vez en cuando... Cuál sería el setup más recomendado para la máquina? lo que espero instalar es básicamente un stack LAMP, ssh por supuesto, algún FTP y configurarle iptables.

----------

## Inodoro_Pereyra

 *pelelademadera wrote:*   

> gracias por las respuestas.
> 
> ahora, yo la verdad es que no tengo mucha idea del tema redes y demas. podria manejarme con vnc para lo que quiero hacer? o por web ui?
> 
> gracias

 

Realmente ponerle X a un servidor no tiene ningún sentido como te comenta i92 mas arriba, para todo basta y sobra con ssh pero si te gusta administración via WEB siempre podés instalar webmin

 *eix webmin wrote:*   

> * app-admin/webmin
> 
>      Available versions:  (~)1.400-r1 (~)1.441 {apache2 minimal mysql pam postgres ssl}
> 
>      Homepage:            http://www.webmin.com/
> ...

 

 *sebasmagri wrote:*   

> Yo tengo pensado usar un celeron coppermine para servidor/firewall casero. Tiene 256MiBs de RAM y el proc está overclockeado a 900Mhz, así que no tengo muchos problemas en instalarle Gentoo. 
> 
> Sería recomendable usar Hardened? dado que también espero usar la máquina como webserver de pruebas para mostrarles las cosas a mis clientes de vez en cuando... Cuál sería el setup más recomendado para la máquina? lo que espero instalar es básicamente un stack LAMP, ssh por supuesto, algún FTP y configurarle iptables.

 

Nuevamente mi pobre experiencia personal: Mi router corre apache y sirve algunas páginas hechas con php que se conectan contra una base de datos mysql, estoy considerando seriamente hardened por que ya me lo han hackeado en dos oportunidades y siempre de la misma manera, scripts php vulnerables... Una vez hackeado me usaban para relay de spam y ataques DoS.

Como no se programar php ni me interesa, veo hardened como una buena posibilidad. Alguien que sepa lo que hace (si este fuera tu caso) puede segurizar por otro lado todo el asunto y prescindir de tantas restricciones.  Sabiendo que apache está seguro usualmente no hace falta exponer ningún otro servicio de cara a internet, que para eso está iptables.

Salud!

----------

## sebasmagri

Tanto como I_KNOW_WHAT_I_AM_DOING no, pero si tengo cierta experiencia securizando servidores linux, a pesar de que han sido tipo redhat en la mayor parte de las ocasiones y en ninguna gentoo-hardened... A pesar de eso el conocimiento que se pueda aplicar en este caso es referente a las aplicaciones y por lo tanto inherente a la distribución.

Le he metido el ojo bastante ultimamente a hardened, y me parece que como perfil está muy bien pensado para ambientes de _alto riesgo_. Aunque me imagino que usar un perfil hardened sin los conocimientos (o ganas de documentarse) necesarios puede llevar a tener un sistema más vulnerable de lo normal...

Tal vez tome en consideración ejecutar apache y mysql en chroots al momento de hacerlo... piensan que sería una buena idea?

Por otro lado, cuál sería el setup más adecuado si quisiera que esa máquina/firewall actuase a la vez como router para mi red casera?

----------

## Inodoro_Pereyra

El asunto a la hora de pensar en seguridad hoy en día es que no hace falta ser un nombre de dominio conocido en internet con toda una batería de servicios corriendo para ser atacado.

Basta con mirar los logs de mi pobre routercito para ver desde diferentes partes del mundo (aun que los chinos y los rusos se llevan la mitad de los laureles) unos cuantos intentos de login por ssh fallidos al día, intentos de inyección MySQL, pruebas a puertos, etc... Con tanto bot suelto para automatizar este tipo de tareas y tanto ancho de banda disponible internet hoy en día es una cloaca.

Lo de la jaula chroot es una idea buenísima siempre y cuando mantengas un respaldo al día por si te hackean algo. Me sigue tentando hardened solo para aprender un poco mas pero lo vengo postergando por falta de tiempo.

Respecto al setup la verdad no entiendo la pregunta pero si te referís a las especificaciones, entonces no hace falta la gran cosa. Mi router hoy en día es ese Pentium III de 700 pero antes era un AMD k6 II de 500, tiene 128Mb de ram y un disco rígido viejiiiiisimo de 20Gb. Tres interfaces de red, una para la entrada y dos para la salida, (una cableada y una inalámbrica unidas ambas en modo bridge, con la idea de hacer las veces de access point también). Hago NAT entre el bridge y la WAN.

Muy util también, squid en modo transparente, el directorio / exportado con NFS y no_root_squash para poder hacerle chroot y compilar con alguna otra pc de la red un poco mas potente cuando me da la gana actualizarlo y hamachi corriendo como servicio para no perderlo nunca de vista.

Salud!

----------

## sebasmagri

Bueno justo ahora solo tengo para dos interfaces, inicialmente digamos que solo habría una máquina detrás del firewall así que no necesitaría más nada. Posteriormente podría usar un switch al momento de extender la red... 

Sobre los respaldos, me parece buena idea hacer un dump de las bases de datos importantes periódicamente con cron. También hay muchos tips en la web sobre prácticas para securizar servidores LAMP, la cosa es ver qué de eso de verdad vale la pena...

Otra cosa es eliminar TODO lo que no sea necesario. Con todo, a veces se llega a extremos como eliminar el toolchain de compilación, dado que puede llegar a ser útil para los atancantes, aunque particularmente me parece que la defensa debería estar antes de que el atacante pueda llegar a utilizar el compilador de la máquina. Hace un poco tiempo hubo una discusión al respecto en las listas de correo. De configurar como dices un NFS para compilar e instalar desde otra máquina no sería necesario tener esas herramientas en la máquina e incluso se podrían eliminar muchás dependencias que son solo de compilación y dejar solo las de tiempo de ejecución...

Sería bueno sacar de esta discusión una serie de tips para seguridad extrema en Gentoo... Ya han habido varios proyectos de este tipo en el pasado en torno al proyecto gentoo-hardened...

----------

## Inodoro_Pereyra

Puff, si que se puede eliminar mucho. Mi anterior router también con gentoo(no me preguntes como) lo metí en un disco de 1Gb y me sobraron como 200Mb  :Very Happy: , claro que no corria un webserver ni nada de nada.

Sobre los respaldos, yo haría un tar de toda la jaula directamente, gzipeándola, puede ocupar casi nada de espacio.

Seguridad extrema? El viejo net-analyzer/fail2ban para proteger ssh, uno de los servicios mas golpeados por lo general seguido por ftp. Se puede configurar para otros servicios además pero con esos dos basta...

Para extremistas: ip over closed ports, port knocking

Salud!

----------

## sebasmagri

Se ve interesante eso...

Algo que me ha funcionado como medida simple para reducir los hits al ssh es usar un puerto no standard... comúnmente se usa por ahí el 2222... pero podría usarse algo un poco más imaginativo...

----------

## pelelademadera

me estoy dando cuenta que necesito aprender bochas de cosas....

----------

## sebasmagri

 *pelelademadera wrote:*   

> me estoy dando cuenta que necesito aprender bochas de cosas....

 

Aprender es una necesidad eterna...

----------

## Inodoro_Pereyra

 *sebasmagri wrote:*   

>  *pelelademadera wrote:*   me estoy dando cuenta que necesito aprender bochas de cosas.... 
> 
> Aprender es una necesidad eterna...

 

Yo cada vez entiendo menos...

Perdón por usurpar el hilo  :Very Happy: 

Salud!

----------

## Annagul

 *sebasmagri wrote:*   

> 
> 
> Por otro lado, cuál sería el setup más adecuado si quisiera que esa máquina/firewall actuase a la vez como router para mi red casera?

 

No sé si lo conoces, pero este artículo de la Documentación de Gentoo creo que está muy bien:

Home Router Guide

Espero que te sirva.

----------

## sebasmagri

 *Annagul wrote:*   

>  *sebasmagri wrote:*   
> 
> Por otro lado, cuál sería el setup más adecuado si quisiera que esa máquina/firewall actuase a la vez como router para mi red casera? 
> 
> No sé si lo conoces, pero este artículo de la Documentación de Gentoo creo que está muy bien:
> ...

 

No lo había visto....

Gracias!

----------

## chaim

 *Annagul wrote:*   

>  *sebasmagri wrote:*   
> 
> Por otro lado, cuál sería el setup más adecuado si quisiera que esa máquina/firewall actuase a la vez como router para mi red casera? 
> 
> No sé si lo conoces, pero este artículo de la Documentación de Gentoo creo que está muy bien:
> ...

 

http://www.gentoo.org/doc/es/home-router-howto.xml y en español  :Smile: 

----------

## pcmaster

Yo he hecho lo mimso que tu quieres, pero con un Pentium-S a 120 Mhz y 128 Mb de RAM. Sí, justito, pero rula.

Un consejo (yo lo hice así): en la BIOS desactiva la opción de no arrancar en caso de errores (la opción es HALT ON y suele tener las opciones ddesahabilitado, keyboard error  o video error, ponlo en deshabilitado, y cuando ya esté funcionando lo apagas, le quitas el teclado y la tarjeta gráfica y lo enciendes. La BIOS se quejará con unos pitidos de que no tiene tarjeta gráfica, pero arrancará igual.

Entonces lo manejas por la red, via SSH.

----------

## Annagul

 *pcmaster wrote:*   

> Yo he hecho lo mimso que tu quieres, pero con un Pentium-S a 120 Mhz y 128 Mb de RAM. Sí, justito, pero rula.
> 
> Un consejo (yo lo hice así): en la BIOS desactiva la opción de no arrancar en caso de errores (la opción es HALT ON y suele tener las opciones ddesahabilitado, keyboard error  o video error, ponlo en deshabilitado, y cuando ya esté funcionando lo apagas, le quitas el teclado y la tarjeta gráfica y lo enciendes. La BIOS se quejará con unos pitidos de que no tiene tarjeta gráfica, pero arrancará igual.
> 
> Entonces lo manejas por la red, via SSH.

 

Supongo que dependerá de la BIOS. Una vez me tropecé con un ordenador con el que iba a montar un servidor LTSP que *necesitaba* tarjeta gráfica, o se negaba a arrancar.

Pero, sin duda, si es posible dejar lo imprescindible para que sea útil (placa base, memoria, disco duro y tarjeta de red), es mejor aprovecharlo para así minimizar el gasto de energía.

----------

## pelelademadera

el mobo tiene vga onboard. eso no seria problema.

me tengo que conseguir una placa de red isa, o un router..... y empiezo con el armado

----------

## Inodoro_Pereyra

Placas de red ISA? Dificl conseguir de esas hoy en día...

Si conseguiste algo, usa la ISA para la WAN, por que todas trabajan a 10 mbps. (Que malos recuerdos me trae todo el asunto  :Very Happy: ).

Y si me permitís el consejo, a menos que tengas la buena suerte de dar con una isa-pnp, antes de hacer nada, descargate la utilidad del fabricante (venían en diskette para correr desde DOS) y toma nota del IRQ que usa y el rango de acceso a memoria, que lo vas a necesitar para ponerla a funcionar.

Salud!

----------

## Eleazar Anzola

 *sebasmagri wrote:*   

>  *Annagul wrote:*    *sebasmagri wrote:*   
> 
> Por otro lado, cuál sería el setup más adecuado si quisiera que esa máquina/firewall actuase a la vez como router para mi red casera? 
> 
> No sé si lo conoces, pero este artículo de la Documentación de Gentoo creo que está muy bien:
> ...

 

Increible lo que leo ja ja ja si te he visto en los FLISOL en Caracas y eres un verdugo ja ja ja ja, ¿como ho haber leido la documentación existente?.

Yo he echo ya varios servidores con esto y estan 24x364 (Dejo un dia al año para limpiar fisico ja ja ja ja) sin ningun problema. el más viejo tiene 4 años y lo único que he cambiado es una fuente de poder y un HD de 20 por uno 80 (No se conseguia nada nuevo y de menor capacidad en el mercado).

----------

## pelelademadera

bueno, ya tengo mi "server" andando.

logre hacerlo andar con solo 1 placa de red y un switch. voy a ver si funciona bien o no asi, sino comprare un router o una placa de red mas, con aliases y demas. tengo 2 ip en la misma placa de red. sera mas lento supongo, pero para la coneccion que tengo me re sobra.

Pero me faltan configurar dos cosas.

ssh, no puedo conectarme remotamente al server x ssh. no se que pasa. con ping anda todo bien, pero con ssh no puedo.

alguien me puede dar una mano con la configuracion de sshd_config y como me logueo y demas. La verdad que de redes entiendo muy poco.

y si alguien me da una mano con iptables, para poder filtrar puertos. porque esto va a ser un colador sino....

saludos y gracias a todos

----------

## Inodoro_Pereyra

Si estamos hablando de Gentoo, sshd viene instalado y preconfigurado de serie. No tenés mas que ejecutar el servicio en la pc servidor:

```
/etc/init.d/sshd start

rc-update add sshd default #<-- y agregarlo como servicio de arranque
```

Para poder conectarte desde la pc cliente:

```
ssh <número_de_ip>

o bien:

ssh usuario@<número_de_ip>
```

Iptables es un mundo aparte y nadie mas que vos sabe que pretendés hacer en definitiva con tu red. Si tenés ganas de aprender realmente iptables, te aconsejo usar denegar como política por defecto e ir habilitando únicamente lo que necesites... Te vas a volver loco, pero te va a grabar iptables a fuego  :Very Happy: 

si pudieras ir leyendo esto y esto otro y explicar bien que necesitas abrir o cerrar en el servidor alguno seguro que te da una mano.

Salud!

----------

## Annagul

Y no le cojas mucho cariño a iptables, que tiene los días contados. Por la puerta está asomando nftables.

----------

## pelelademadera

gracias pereyra. siempre tan rapido, pero cual seria el loguin para ssh.

el usuario mismo de la pc a la  que quiero acceder?. hay que crear un usuario.... no no puedo loguearme

----------

## esteban_conde

 *Quote:*   

> gracias pereyra. siempre tan rapido, pero cual seria el loguin para ssh.
> 
> el usuario mismo de la pc a la que quiero acceder?. hay que crear un usuario.... no no puedo loguearme

 

Le ganaremos esta vez por diferencia horaria (creo).

Sólo decirte que tienes que tener corriendo el demonio /etc/init.d/sshd en ambas computadoras, y si yo al menos me conecto al usuario con el mismo nombre lo cual te puede servir para iniciar, despues investiga por si se puede entrar con otro nombre y dar la contraseña apropiada, ssh crea unos archivos  con los parametros pass ... etc en unos archivos que luego tienen que ser testeados entre un computador y otro.

No me extiendo más pues a partir de ahí con mucha facilidad pegue un resbalón.

----------

## gringo

 *Quote:*   

> Sólo decirte que tienes que tener corriendo el demonio /etc/init.d/sshd en ambas computadoras

 

eso no debe ser cierto, sshd sólo tiene que estar en ejecución en la máquina que recibe las conexiones, por decirlo de alguna manera.

@pelelademadera : que te dice cuando tratas de conectarte ? Si corta de inmediato diciendo algo como que la conexión no se pudo establecer seguramente sea un problema de conectividad o un fallo de configuración en el servidor. 

Comprueba logs en el servidor de cualquier manera ( auth.log p.ej.).

saluetes

----------

## esteban_conde

 *Quote:*   

> eso no debe ser cierto, sshd sólo tiene que estar en ejecución en la máquina que recibe las conexiones, por decirlo de alguna manera. 

 

efectivamente, la costumbre de hacer las cosas como cuando lograste el objetivo la primera vez y no investigar un poco más alla.

Lo siento.

----------

## i92guboj

El nombre de login y la contraseña, en principio, son los de cualquier cuenta de la máquina a la que te conectas. Ten en cuenta que hay una opción de configuración que puede impedirte el acceso como root, vigila la opción PermitRootLogin en /etc/ssh/sshd_config de la máquina servidora.

----------

## pelelademadera

bueno, ya hice andar ssh.

ya lo tengo casi a punto caramelo.

graciela a todos.

----------

## sebasmagri

 *Eleazar Anzola wrote:*   

>  *sebasmagri wrote:*    *Annagul wrote:*    *sebasmagri wrote:*   
> 
> Por otro lado, cuál sería el setup más adecuado si quisiera que esa máquina/firewall actuase a la vez como router para mi red casera? 
> 
> No sé si lo conoces, pero este artículo de la Documentación de Gentoo creo que está muy bien:
> ...

 

Jejeje... pues leer, y recordar, toda la documentación de Gentoo podría ser una hazaña digna de Record Guinness... Un placer encontrar por acá a gente que haya participado en FLISoL. Este año lamentablemente por cuestiones de trabajo no podré ir...  :Sad: 

Y si, digamos que el mercado por acá es un poquito limitado...

----------

