Configuració

Aquí exposo pas per pas com he configurat el meu servidor, per si algú en vol treure idees, o per mi mateix, que tinc molt mala memòria :P. Aniré completant aquesta pàgina a mesura que tingui temps; podeu seguir quan hi ha novetats visitant el blog.

Sistema Operatiu

Per descomptat, té instal·lada una distribució de GNU/Linux. Concretament, una Arch Linux. Em vaig decidir per aquesta distribució perqué vaig llegir que era molt lleugera, i distribuïa els binaris optimitzats per i686 (l'arquitectura del meu servidor). A la seva web hi ha explicat amb detall els seus punts forts i la comparen amb altres distribucions.

Vull aclarir que no la vaig instal·lar "a lo loco", si no que primer la vaig estar provant al portàtil per no jugar-me-la a una carta. Tornar a una distribució amb una manera de fer les coses senzilla m'ha ajudat a tornar-me a apropar a la part més bàsica del sistema, treballant amb simples fitxers de text de configuració, i fugint de eines automàtiques i assistents que no saps que fan realment.

No detallaré la instal·lació, perquè és una instal·lació de GNU/Linux normal. Tampoc el fet d'afegir usuaris i tal, perquè és com sempre. Per més detalls, recomano visitar la wiki de la distribució, concretament la guía d'instal·lació.

Compartició d'arxius

Un dels usos del servidor era tenir-hi fitxers que hauria de transferir a través de la xarxa local, normalment cap al meu portàtil o al PC del meu germà. Després de buscar una mica, vaig arribar a la conclusió que la maner més senzilla i efectiva era amb un FTP. I no recordo exactament per quins motius (segurament per la facilitat de configuració), em vaig quedar amb el Proftpd. Primer, la instal·lació:

pacman -S proftpd

Com podeu veure, la Arch Linux disposa d'un sistema de paquets tipus apt-get, que es diu pacman. Més info aquí pels xafarders :).  Després, editem el /etc/proftpd amb les opcions de Servername, Servertype standalone, i diria que poca cosa més. Amb la configuració per defecte, els usuaris del sistema poden accedir al seu home directament, utilitzant el mateix nom d'usuari i contrasenya del sistema.

En principi, això es podria considerar un forat de seguretat, ja que la connexió FTP no és encriptada. I clar, un pot esnifar la connexió FTP, obtenir el nom d'usuari i contrasenya, i després connectar-se per ssh amb les mateixes dades i començar a fer mal. Però com que el FTP és només per utilitzar-lo internament, l'intrús ja hauria d'haver aconseguit accés a la LAN per poder esnifar les connexions. Així que si se m'ha infiltrat algú segurament tindria problemes majors de que preocupar-me. A més a més, els usuaris del sistema no tenen informació important als seus homes, com a molt pelis i música (veure apartat sobre Xarxes P2P més endavant). I si només voleu accés FTP, podeu directament desactivar l'accés per ssh als usuaris.

Ah, sí, m'en descuidava. Perquè le servei arranqui automàticament al arrancar el sistema, cal afegir-lo a la llista de serveis (daemons) del /etc/rc.conf. Més info sobre el rc.conf aquí.

Accés remot

Com a la majoria de servidors (de correu, web, etc.), l'administració es sol fer de manera remota. Si estic a la meva habitació amb el portàtil, fa mandra haver d'anar fins a l'habitació on hi ha el servidor per fer-hi modificacions. O pot ser que tingui la necessitat de treballar-hi mentres estic lluny de casa (precisament, mentres escric aquestes línies estic a Glasgow, i aquests dies hi he instal·lat nous programes). La millor manera de fer-ho és mitjançant SSH.

La instal·lació, un cop més, és fàcil seguint la wiki i utilitzant el pacman. Per augmentar la seguretat, he habilitat les opcions de:

Protocol 2

Perqué el 2 és millor que el 1 XD

AllowUsers unsolusuari

Perqué sempre em loguejaré amb el mateix usuari, i de moment no he subministrar accés a ningú més

PermitRootLogin no

Perqué és més segur loguejar-se amb un usuari "normal", i un cop dins realitzar les tasques d'administració

Un problema molt comú, un cop instal·leu un servidor SSH i l'obriu a la resta del món, és que comenceu a rebre atacs indiscriminats de gent, que intenta trobar una posible combinació de nom d'usuari i contrasenya per entrar a la màquina per força bruta. Una manera simple de bloquejar aquests atacs, és que un cop s'han rebut X intents d'accés fallits, es baneji la IP i ja no se n'acceptin més peticions. Aixó es pot implementar amb les iptables, i les instruccions les podeu trobar, també, a la fenomenal wiki :).