domingo, 27 de febrero de 2011

Instalacion de Linux

INSTALACION DE LINUX

1. Aunque la instalación de la mayoría de las versiones de Linux no es muy difícil (cuanta más nueva la versión en general es más fácil), es aconsejable hacer un Backup de sus archivos importantes, sobre todo si no tienen experiencia en particiones y sistema de archivos.

2. No pretendamos instalar la última versión de ubuntu en un Pentium III o instalar Linux en un disco que esta hasta casi lleno.

3. Lo primero que vamos a hacer es crear las particiones necesarias para Linux y para ello debemos tener espacio libre en el disco. Dependiendo de la versión que instalemos esto puede ser de 3Gb hasta 20Gb o más. Yo aconsejo liberar el 70% del disco y particionar el disco en cuatro:

A) Partición para windows: 30% del disco.

B) Partición de Datos FAT32 o NTFS según el caso (No es obligatoria):30 %.

C) Petición para Linux tipo EXT3, de 16Gb o mas si pueden.

D) Partición de intercambio o "Swap", del doble de capacidad de la RAM instalada.

Nota: En distribuciones como Ubuntu hay que agregar una partición EXT3 adicional para poder después instalar los directorios "Raíz" y "/home"
Obviamente si tenemos la mitad del disco ocupado con Windows y datos no podremos reducir esa partición al 30% del disco, lo que tendríamos que hacer es crear primero una partición NTFS o FAT32 para los datos como música, etc., pasar todas esas cosas a esa partición y redimensionar la partición de Windows al 30%, o sea que nos quedaría en principio el disco así:

I) Partición para windows:30% de disco.

II) Partición de Datos FAT32 o NTFS según el caso (No es obligatoria):70 %.



El particionado lo podemos hacer desde Windows con patition Mágica o usando el Hiren´s boot CD que tiene el partition magic y que se puede bajar de aquí.
4) Una vez que tenemos la partición de Windows y la NTFS o FAT32 hecha, hacemos la partición EXT3, que tiene que ser PRIMARIA y la partición SWAP, para ello elegimos EXT3 y SWAP respectivamente en el sistema de archivo al crear las particiones con el partición magic.
Luego de hacer esto reiniciamos la PC y comprobamos que Windows todavía vive.

5) Bueno ya tenemos la mitad del trabajo hecho. Ahora colocamos el CD de Linux e iniciamos la instalacion. En general al instalar Linux nos pedirá que le digamos en donde queremos instalar Linux o nos preguntara si queremos instalarlo en la partición EXT3 que nosotros creamos, o en el caso de ubuntu accediendo a la instalación avanzada podremos seleccionar las particiones para los distintos directorios. Una vez que seleccionemos las particiones en donde instalar Linux podremos continuar la instalación. En algunas distros menos populares habrá que saber un poco de ingles para entender lo que nos está preguntando el sistema pero no es difícil.

6) En una parte de la instalación nos avisara según el caso que se va a instalar el gestor de arranque de Linux o nos pedirá que lo configuremos, en ese caso elijamos la opción automática o la más simple e instalemos el gestor en el MBR. Quizás las versiones más nuevas instalen el gestor en forma automática sin preguntarnos nada pero no es para preocuparse ya que seguro que detectan que tenemos Windows instalado y lo agregaran a l menú de arranque.

7) Una vez hecho todo esto ya tendremos Linux instalado en el sistema. Les aconsejo que antes de iniciar la instalación de Linux averigüen algo sobre la versión de Linux que quieren instalar o busquen en glogló algún tuto además de copiarse la guía en un papel por si tienen dudas.
Además les aconsejo que al momento de instalar Linux conecten cualquier impresora o dispositivo para que Linux lo instale si lo detecta y no tengan que instalarlo después en forma manual. En las versiones más nuevas y que no son Live la detección e instalación de impresoras puede ser automática pero esa no es una regla general.

Una de las cosas más importantes durante la instalación es que seleccione bien la partición en donde quieren instalar Linux para no sobrescribir Windows o perder datos. Otro consejo práctico es darles a las particiones tamaños con números redondos (16 GB, 18Gb) y no 16.5G o algo así para poder identificarlas mejor por su tamaño y el sistema de archivos.

ARRANQUE DE LINUX

Todas las estaciones de trabajo actuales disponen de algún sitema básico de arranque grabado en una memoria de sólo lectura (generalmente una EPROM, que permite actualizarla) denominado firmware.

En general este sistema se encarga de inicializar el hardware, cargar el operativo o un sistema de arranque más complejo y ejecutarlo.

Dado que este curso se centra principalmente en Solaris y Linux, y que las principales plataformas para ambos sistemas son SPARC e Intel respectivamente, sólo discutiremos los sistemas de arranque de estas dos arquitecturas, aunque probablemente lo dicho aquí será aplicable a otros sistemas.

En los PCs basados en tecnología Intel el firmware se suele denominar BIOS (Basic Input Output System) y suele tener una funcionalidad bastante limitada.

En las estaciones SPARC actuales el firmware se denomina OpenBoot. Se trata de una implementación del IEEE Standard 1275-1994, que define un estándar para los firmware de arranque. En la actualidad, además de los equipos SPARC de Sun, tambien los PowerPC de Apple emplean un firmware basado en este estándar.

En los apartados siguientes explicaremos brevemente como funcionan ambos tipos de sistemas de arranque y las implicaciones que tienen para la seguridad. Hay que indicar que en general las modificaciones que se hagan en las configuraciones de estos sistemas pueden ser evitadas desmontando los equipos, pero para un entorno de trabajo normal pueden ser suficientes (no es normal que alguien no autorizado que acceda a un equipo se ponga a desmontarlo sin que nadie le diga nada).

La BIOS del PC (Intel)

En general las BIOS de los equipos basados en Intel son muy similares, aunque exiten varios fabricantes que se reparten el mercado, los más famosos son Phoenix y AMI.

Generalmente el acceso a la BIOS se hace pulsando una o varias teclas cuando arranca el equipo; una vez pulsado se entra en un entorno de configuración sencillo, habitualmente en modo texto, que nos permite definir parámetros del sistema como la fecha y la hora, la geometría y tamaño de los discos, si debemos habilitar o no determinadas controladoras, etc.

Uno de los parámetros que más nos interesa desde el punto de vista de la seguridad es la elección de los dispositivos de arranque, ya que generalmente es la BIOS la que decide el orden en el que se intenta arrancar empleando distintos soportes (disco duro, CD-ROM, floppy, ...). Si permitimos el arranque de disquete o CD-ROM es extremadamente fácil para cualquiera que se siente ante el equipo el arrancarlo con cualquier cosa y modificar nuestros sistemas de ficheros.

Aunque configuremos correctamente los dispositivos de arranque es necesario limitar el acceso a la BIOS para que nadie pueda entrar en ella de nuevo y cambiar los ajustes. Para ello la mayor parte de las BIOS ofrecen la posibilidad de establecer dos contraseñas independientes; una para impedir el acceso a la configuración de la BIOS (hay que introducirla despues de pulsar la secuencia de teclas que carga el programa de configuración de la BIOS) y otra de arranque (si no se introduce la clave no se inicia el procedimiento de arranque y por tanto no se puede ejecutar nada). El problema de esta última contraseña es que es necesario estar delante del PC para arrancar un equipo, algo poco práctico si reiniciamos remotamente el ordenador o simplemente si se va la luz ...

Por último mencionar que la BIOS tiene un sistema de carga de S. O. extremadamente simple: en el caso de los discos duros se carga el programa que hay en unos sectores concretos del disco (el MBR o Master Boot Record) o, en caso de no haber nada en ese sector, lo que hay en el sector de arranque de la partición marcada como activa.

Por todo esto, es imposible usar la BIOS para pasarle parámetros a un sistema operativo o simplemente decidir cual vamos a arrancar si tenemos más de uno. Si instalamos linux en el equipo es habitual instalar en el disco algún bootloader que nos permita arrancar varios sistemas operativos distintos (o incluso el mismo con parámetros diferentes) como LILO o GRUB. Hablaremos de estos programas en el apartado que trata la instalación de Linux.

La OpenBootProm de Sun (SPARC)

El firmware de las estaciones SPARC de SUN es una memoria NVRAM denominada OpenBoot PROM o simplemente OBP.

El acceso a la misma se consigue pulsando la combinación de teclas Stop-A en teclados Sun o Ctrl-Break en terminales serie. Sin importar el estado en que se encuentre el sistema, cuando se pulse esta combinación se se detendrán automáticamente todos los procesos en ejecución y se mostrará en consola el prompt ok, que indica que podemos comenzar a teclear órdenes de la OBP.

La máquina no pierde en ningún momento su estado a no ser que explícitamente la detengamos: al salir de la OBP podemos continuar la ejecución de todos los procesos que teníamos al entrar, desde el mismo punto en que los detuvimos y con el mismo entorno que poseían, pero mientras estemos interactuando con la EEPROM ningún proceso avanzará en su ejecución.

Un problema con este modo de funcionamiento es que al interactuar con la EEPROM, cualquier persona puede interrumpir al operativo y rearrancarlo desde un disco, un CD-ROM, o un sistema remoto, lo que evidentemente le proporciona un control total sobre el sistema.

Para evitarlo podemos deshabilitar la función de las teclas Stop-A mediante la directiva del kernel abort_enable en el fichero /etc/system, o proteger mediante contraseña el reinicio de una máquina desde su memoria NVRAM.

La OBP ofrece tres niveles de seguridad: none-secure, command-secure, y full-secure.

El primero de ellos, none-secure es el que está habilitado por defecto y no ofrece ningún tipo de seguridad.

Si activamos command-secure será necesaria una clave para reiniciar el sistema de cualquier dispositivo que no sea el utilizado por defecto (que generalmente será el disco, disk), y si elegimos full-secure la contraseña es obligatoria independientemente del dispositivo elegido para arrancar (con lo que no deberemos usar este modo si queremos permitir reinicios automáticos).

Hay que indicar que esta contraseña no tiene nada que ver con la del usuario root del sistema, aunque este usario puede usar desde línea de órdenes el comando eeprom para modificar (o consultar) cualquier parámetro de la NVRAM, passwords incluidos.

Si perdemos la contraseña de la EEPROM y no podemos arrancar la máquina será necesario sustituir nuestra memoria NVRAM por una nueva, por lo que hemos de tener cuidado con las claves que utilicemos para proteger la OBP.

Como hemos adelantado, para consultar o modificar el modo en el que se encuentra nuestra memoria NVRAM podemos ejecutar la orden eeprom.

Para conocer el estado de una variable (security-mode) haríamos lo siguiente:

    lem:/# eeprom security-mode
    security-mode=none
en este caso nuestra máquina no tiene habilitado ningún tipo de seguridad; si quisiéramos habilitar el modo command-secure, ejecutaríamos:

    lem:/# eeprom security-mode=command
    Changing PROM password:
    New password:
    Retype new password:
    lem:/# eeprom security-mode
    security-mode=command
También es posible realizar estos cambios desde el propio prompt de la memoria NVRAM, mediante la orden setenv:

    ok setenv security-mode command
    security-mode =       command
A partir de este momento, cuando el sistema inicie desde un dispositivo que no sea el utilizado por defecto, se solicitará la clave que acabamos de teclear; de forma similar podríamos habilitar el modo full-secure.

Para eliminar cualquier clave de nuestra memoria no tenemos más que restaurar el modo none-secure, de la forma habitual:

    lem:/# eeprom security-mode=none
    lem:/# eeprom security-mode
    security-mode=none
Si en los modos command-secure o full-secure queremos cambiar la contraseña de la NVRAM podemos utilizar de nuevo la orden eeprom y el parámetro security-password:

    lem:/# eeprom security-password=
    Changing PROM password:
    New password:
    Retype new password:
    lem:/# eeprom security-password
    security-password= data not available.
Como podemos ver, al consultar el valor de la variable, este nunca se muestra en pantalla.

El tercer y último parámetro relacionado con la seguridad de la memoria EEPROM es security-#badlogins, que no es más que un contador que indica el número de contraseñas incorrectas que el sistema ha recibido; podemos resetear su valor sencillamente asignándole 0:

    lem:/# eeprom security-#badlogins
    security-#badlogins=4
    lem:/# eeprom security-#badlogins=0
    lem:/# eeprom security-#badlogins
    security-#badlogins=0
Por último indicar que los parámetros de seguridad de la memoria EEPROM que acabamos de ver sólo existen en máquinas SPARC; aunque en la versión de Solaris para arquitecturas Intel también existe una orden denominada `eeprom' que nos mostrará los valores de ciertos parámetros si la ejecutamos, únicamente se trata de una simulación llevada a cabo en un fichero de texto denominado `bootenv.rc'. Es posible dar valor a las variables que hemos visto, pero no tienen ningún efecto en máquinas Intel ya que estas suelen proteger el arranque mediante contraseñas en la BIOS, como hemos visto.

No hay comentarios:

Publicar un comentario