Product SiteDocumentation Site

8.9. Otras configuraciones: sincronización de tiempo, registros, acceso compartido…

Es recomendable que cualquiera que quiera dominar todos los aspectos de configuración de un sistema GNU/Linux conozca los muchos elementos incluidos en esta sección. Se los trata, sin embargo, brevemente y generalmente lo dirigirán a la documentación.

8.9.1. Zona horaria

VOLVER A LOS CIMIENTOS Enlaces simbólicos

Un enlace simbólico es un puntero a otro archivo. Cuando accede al mismo, abre el archivo al que apunta. Eliminar el enlace no causará la eliminación del archivo al que apunta. Así mismo, no tiene su propio conjunto de permisos sino que retiene los permisos del archivo al que apunta. Finalmente, puede apuntar a cualquier tipo de archivo: directorios, archivos especiales (zócalos, tuberías con nombres, archivos de dispositivo, etc.), inclusive otros enlaces simbólicos.
La orden ln -s objetivo nombre_del_enlace crea un enlace simbólico llamado nombre_del_enlace y que apunta a objetivo.
Si el objetivo no existe entonces el enlace está «roto» y accederlo resultará en un error indicando que el archivo objetivo no existe. Si el enlace apunta a otro enlace, tendrá una «cadena» de enlaces que se convertirá en un «ciclo» si alguno de ellos apunta a uno de sus predecesores. En este caso, acceder a uno de los enlaces en el ciclo resultará en un error específico (demasiados niveles de enlaces simbólicos: «too many levels of symbolic links»); esto significa que el núcleo se rindió luego de varias vueltas en el ciclo.
La zona horaria, configurada durante la instalación inicial, es un elemento de configuración del paquete tzdata. Para modificarla ejecute dpkg-reconfigure tzdata, lo que le permitirá seleccionar de forma interactiva la zona horaria a utiliza. Se almacena su configuración en el archivo /etc/timezone. Además, se copiará el archivo correspondiente en el directorio /usr/share/zoneinfo a /etc/localtime; este archivo contiene las reglas sobre las fechas a las que corresponde el horario de verano en los países que lo utilizan.
Cuando necesite cambiar la zona horaria temporalmente utilice la variable de entorno TZ que tiene más prioridad que la configurada en el sistema: 
$ date
Thu Feb 19 11:25:18 CET 2015
$ TZ="Pacific/Honolulu" date
Thu Feb 19 00:25:21 HST 2015

NOTA Reloj de sistema, reloj de hardware

Existen dos fuentes de tiempo en un equipo. La placa madre tiene un reloj de hardware llamado «reloj CMOS». Este reloj no es muy preciso y provee tiempos de acceso bastante lentos. El núcleo del sistema operativo tiene el suyo propio, el reloj de software, que mantiene actualizado a su manera (posiblemente con ayuda de servidores de tiempo, revise la sección Sección 8.9.2, “Sincronización de tiempo”). El reloj del sistema generalmente es más preciso, especialmente debido a que no necesita acceso a variables de hardware. Sin embargo, como sólo existe en memoria, es eliminado cada vez que inicia la máquina a diferencia del reloj CMOS que tiene una batería y, por lo tanto, «sobrevive» reinicios de la máquina o cuando está apagada. Por lo tanto, el reloj de sistema es configurado desde el reloj CMOS durante el inicio y el reloj CMOS es actualizado al apagar (para tener en cuenta posibles cambios o correcciones si no se ajustó correctamente).
En la práctica hay un problema, ya que el reloj CMOS no es nada más que un contador no contiene información sobre la zona horaria. Hay una elección a realizar sobre su interpretación: o bien el sistema considera que está en tiempo universal (UTC, anteriormente GMT) o en horario local. Esta elección podría ser un cambio simple pero las cosas son en realidad un poco más complicadas: como resultado del horario de verano, el desfasaje puede no ser constante. El resultado es que el sistema no tiene forma de saber si éste es correcto, especialmente alrededor de períodos de cambios de hora. Debido a que siempre es posible reconstruir la hora local desde tiempo universal y la información de zona horaria recomendamos fuertemente utilizar el reloj CMOS en tiempo universal.
Desafortunadamente, los sistemas Windows en su configuración predeterminada ignoran esta recomendación; mantienen el reloj CMOS en tiempo local aplicando cambios al iniciar el equipo intentando adivinar durante los tiempos de cambio si el cambio ya fue aplicado o no. Esto funciona relativamente bien siempre y cuando el sistema sólo ejecute Windows. Pero cuando un equipo tiene varios sistemas (ya sea una configuración de «inicio dual» o la ejecución de los mismos en máquinas virtuales), se desata el caos siendo imposible determinar la hora correcta. Si debe mantener obligatoriamente Windows en un equipo o bien debería configurarlo para mantener el reloj CMOS en UTC (definiendo la clave de registro DWORD HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\RealTimeIsUniversal como «1») o ejecutar hwclock --localtime --set para modificar la hora del reloj en hardware e indicarle que se encuentra en hora local (deberá asegurarse de revisar manualmente su reloj en primavera y otoño).

8.9.2. Sincronización de tiempo

La sincronización de tiempo, que puede parecer superfluo en un equipo, es muy importante en una red. Debido a que los usuarios no tienen permisos para modificar la fecha y hora es importante que esta información sea precisa para evitar confusión. Lo que es más, tener sincronizados todos los equipos de una red permite cruzar referencias de información en registros de diferentes máquinas. Por lo tanto, en caso de un ataque, es más sencillo reconstruir la secuencia cronológica de acciones en todos los equipos involucrados en el mismo. Los datos recolectados en varios equipos por motivos estadísticos no tendrán demasiado sentido si no están sincronizados.

VOLVER A LOS CIMIENTOS NTP

NTP (protocolo de tiempo de red: «Network Time Protocol») le permite a una máquina sincronizarse con otras muy precisamente teniendo en cuenta las demoras inducidas por la transferencia de información sobre la red y otras desviaciones posibles.
Si bien hay numerosos servidores NTP en Internet, los más populares tienden a estar sobrecargados. Es por eso que recomendamos utilizar el servidor NTP pool.ntp.org que es, en realidad, un grupo de máquinas que acordaron servir como servidores NTP públicos. Inclusive puede limitar el uso a un subgrupo específico de un país con, por ejemplo, us.pool.ntp.org para Estados Unidos o ca.pool.ntp.org para Canadá, etc.
Sin embargo, si administra una red grande, se recomienda que instale su propio servidor NTP que sincroniza con servidores públicos. En este caso, todos los otros equipos en su red pueden utilizar su servidor NTP interno en lugar de aumentar la carga en los servidores públicos. También aumentará la homogeneidad de sus relojes ya que todos los equipos estarán sincronizados desde la misma fuente y esta fuente se encuentra muy cerca en cuestiones de tiempos de tranferencia en la red.

8.9.2.1. Para estaciones de trabajo

Debido a que las estaciones de trabajo son reiniciadas frecuentemente (aunque sólo sea para ahorrar energía), sincronizarlas por NTP al inicio es suficiente. Para hacerlo, simplemente instale el paquete ntpdate. Puede cambiar el servidor NTP utilizado modificando el archivo /etc/default/ntpdate.

8.9.2.2. Para servidores

Los servidores rara vez son reiniciados y es muy importante que la hora de estos sistemas sea correcta. Para mantener la hora correcta debe instalar un servidor NTP local, un servicio ofrecido en el paquete ntp. En su configuración predeterminada el servidor se sincronizará con pool.ntp.org y proveerá la hora como respuesta a pedidos que provengan de la red local. Puede configurarlo editando el archivo /etc/ntp.conf, siendo la alteración más importante el servidor NTP al que se refiere. Si la red tiene muchos servidores podría ser interesante tener un servidor de tiempo local que sincroniza con los servidores públicos y es utilizado como fuente de tiempo por los demás servidores de la red.

YENDO MÁS ALLÁ Módulos GPS y otras fuentes de tiempo

Si la sincronización de tiempo es particularmente crucial en su red es posible equipar un servidor con un módulo GPS (que utilizará la hora de satélites GPS) o un módulo DCF-77 (que sincronizará la hora con el reloj atómico cerca de Frankfurt, Alemania). en este caso, la configuración del servidor NTP es un poco más complicada y necesitará consultar la documentación.

8.9.3. Rotación de archivos de registro

Los archivos de registro pueden crecer, rápido, y es necesario archivarlos. El esquema más común es un archivado rotativo: el archivo de registro es almacenado regularmente y sólo se mantienen los últimos X archivos. logrotate, el programa responsable de estas rotaciones, responde a las directivas presentes en el archivo /etc/logrotate y todos los archivos en el directorio /etc/logrotate.d/. El administrador puede modificar estos archivos si desean adaptar la política de rotación de registros definida por Debian. La página de manual logrotate(1) describe todas las opciones disponibles en estos archivos de configuración. Podría desear aumentar la cantidad de archivos mantenidos en la rotación o mover los archivos de registros a un directorio específico dedicado a su archivado en lugar de eliminarlos. También puede enviarlo por email para archivarlos en otro lado.
El programa logrotate es ejecutado diariamente por la aplicación cron (descripta en la Sección 9.7, “Programación de tareas con cron y atd).

8.9.4. Compartición de permisos de administración

Frecuentemente, muchos administradores trabajan en la misma red. Compartir contraseñas de root no es muy elegante y abre la puerta al abuso debido al anonimato generado. La solución a este problema es el programa sudo que permite a ciertos usuarios ejecutar ciertas órdenes con permisos especiales. En el caso de uso más común, sudo permite a un usuario confiable ejecutar cualquier orden como root. Para hacerlo, el usuario simplemente ejecuta sudo programa y provee su contraseña personal como autenticación.
Al instarlarlo, el paquete sudo le provee permisos de root completos a los miembros del grupo Unix sudo. Para delegar otros permisos el administrador debe utilizar el programa visudo que le permitirá modificar el archivo de configuración /etc/sudoers (aquí nuevamente se invocará el editor vi o cualquier editor indicado en la variable de entorno EDITOR). Agregar una línea con usuario ALL=(ALL) ALL permite al usuario en cuestión ejecutar cualquier programa como root.
Configuraciones más sofisticadas permiten autorizar sólo órdenes específicas a usuarios específicos. La página de manual sudoers(5) provee todos los detalles de las varias posibilidades.

8.9.5. Lista de puntos de montaje

VOLVER A LOS CIMIENTOS Montado y desmontado

En un sistema similar a Unix como Debian, los archivos están organizados en sólo una jerarquía de directorios similar a un árbol. El directorio / se llama «directorio raíz»; todos los directorios adicionales son subdirectorios en esta raíz. «Montar» es la acción de incluir el contenido de un dispositivo periférico (generalmente un disco duro) en el árbol de archivos general del sistema. Como consecuencia, si utiliza discos duros diferentes para almacenar los datos personales de los usuarios estos discos tendrán que «montarse» en el directorio /home/. El sistema de archivos raíz siempre es montado durante el arranque por el núcleo; los demás dispositivos generalmente son montados durante la secuencia de inicio o manualmente con el programa mount.
Algunos dispositivos removibles son montados automáticamente al conectarse, especialmente cuando utiliza GNOME, KDE u otro entorno gráfico de escritorio. El usuario tendrá que montar manualmente otros dispositivos. De la misma forma, deberá desmontarlos (quitarlos del árbol de archivos). Usuarios normales generalmente no tienen los permisos para ejecutar mount y umount. El administrador puede, sin embargo, autorizar estas operaciones (independientemente para cada punto de montaje) incluyendo la opción user en el archivo /etc/fstab.
Puede utilizar el programa mount sin parámetros (enumerará todos los sistemas de archivos montados). Si desea montar o desmontar un dispositivo necesitará añadirle algunos parámetros. Para la lista completa, revise las siguientes páginas de manual: mount(8) y umount(8). Para casos simples, la sintaxis también es simple: por ejemplo, para montar la partición /dev/sdc1, que tiene un sistema de archivos ext3, en el directorio /mnt/tmp/ ejecute mount -t ext3 /dev/sdc1 /mnt/tmp/.
El archivo /etc/fstab tiene una lista de todos los montajes posibles que pueden ocurrir automáticamente durante el inicio o manualmente para dispositivos de almacenamiento removibles. Se describe cada punto de montaje en una línea con varios campos separados por espacios:
  • dispositivo a montar: puede ser una partición local (disco duro, CD-ROM) o sistema de archivos remoto (como NFS).
    Generalmente se reemplaza este campo con el ID único del sistema de archivos (que puede encontrar con blkid dispositivo) con el prefijo UUID=. Esto previene problemas con cambios en el nombre del dispositivo en caso de agregar o eliminar discos o si se detectan los discos en un orden diferente.
  • punto de montaje: esta es la ubicación del sistema de archivos local donde se montará el dispositivo, sistema remoto o partición.
  • tipo: este campo define el sistema de archivos utilizado en el dispositivo montado. Algunos ejemplos son ext4, ext3, vfat, ntfs, btrfs y xfs.

    VOLVER A LOS CIMIENTOS NFS, un sistema de archivos de red

    NFS es un sistema de archivos de red; en Linux permite acceso transparente a sistemas de archivos remotos incluyéndolos en el sistema de archivos local.
    Puede encontrar una lista de todos los sistemas de archivos conocidos en la página de manual mount(8). El valor especial swap es para particiones swap; el valor especial auto le dice al programa mount que detecte automáticamente el sistema de archivos (que es especialmente útil para lectores de discos y llaves USB ya que cada una puede tener diferentes sistemas de archivos);
  • opciones: hay muchas, dependiendo del sistema de archivos, y están documentadas en la página de manual de mount. Las más comunes son
    • rw o ro que significan que se montará el dispositivo con permisos de lectura y escritura o sólo lectura, respectivamente.
    • noauto desactiva el montaje automático durante el arranque.
    • nofail permite continuar al proceso de arranque incluso aunque un dispositivo no esté presente. Aseguresé de poner esta opción para los discos externos que puedan estar desconectados durante el arranque, porque systemd se asegura de que todos los puntos de montaje que deban montarse automáticamente están realmente montados antes de permitir que continúe el proceso. Puede combinar esto con x-systemd.device-timeout=5s para instruir a systemd para que no espere más de 5 segundos para que aparezca el dispositivo (vease systemd.mount(5)).
    • user autoriza a todos los usuarios a montar este sistema de archivos (una operación que de otra forma estaría restringida sólo al usuario root).
    • defaults es un sinónimo de la lista de opciones predeterminada: rw, suid, dev, exec, auto, nouser y async, cada una de las cuales puede ser desactivada luego de defaults agregando nosuid, nodev, etc. para bloquear suid, dev, etc. respectivamente. Agregar la opción user lo reactiva ya que defaults incluye nouser.
  • respaldo: este campo casi siempre está definido como 0. Cuando es 1 le dice a la herramienta dump que la partición contiene datos que deben ser respaldados.
  • orden de revisión: este último campo indica si se debe revisar la integridad del sistema de archivos durante el inicio y en qué orden debe ejecutarse esta revisión. Si es 0 no se realizarán revisiones. El sistema de archivos raíz debería tener el valor 1 mientras que otros sistemas de archivos permanentes deberían tener el valor 2.

Ejemplo 8.5. Ejemplo del archivo /etc/fstab

# /etc/fstab: información de sistemas de archivos estáticos
#
# <sistema de archivos> <punto de montaje>   <tipo>  <opciones>       <respaldo>  <revisión>
proc            /proc           proc    defaults        0       0
# / era /dev/sda1 durante la instalación
UUID=c964222e-6af1-4985-be04-19d7c764d0a7 / ext3 errors=remount-ro 0 1
# swap se encontraba en /dev/sda5 durante la instalación
UUID=ee880013-0f63-4251-b5c6-b771f53bd90e none swap sw  0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto 0       0
/dev/fd0        /media/floppy   auto    rw,user,noauto  0       0
arrakis:/shared /shared         nfs     defaults        0       0
El último elemento en este ejemplo corresponde a un sistema de archivos de red (NFS): se montará el directorio /shared/ en el servidor arrakis en /shared/ en la máquina local. El formato del archivo /etc/fstab está documentado en la página de manual fstab(5).

YENDO MÁS ALLÁ Automontaje

El paquete am-utils provee la herramienta de automontaje amd, capaz de montar medios removibles a pedido cuando un usuario intenta acceder su punto de montaje usual. Desmontará estos dispositivos cuando ningún proceso los esté accediendo.
Existen otras herramientas de automontaje como automount en el paquete autofs.
Sepa que GNOME, KDE y otros entornos gráficos de escritorio trabajan junto con udisk y pueden montar automáticamente medios removibles cuando son conectados.

8.9.6. locate y updatedb

El programa locate puede encontrar la ubicación de un archivo cuando sólo conozca parte del nombre. Devuelve un resultado casi instantáneamente ya que consulta una base de datos que almacena la ubicación de todos los archivos del sistema; se actualiza esta base de datos diariamente con updatedb. Existen varias implementaciones de locate y Debian eligió mlocate para su sistema estándar.
mlocate es suficientemente inteligente y sólo devolverá archivos a los que el usuario que lo ejecutó puede acceder a pesar de que utiliza una base de datos que conoce sobre todos los archivos en el sistema (ya que su implementación de updatedb ejecuta con permisos de root). El administrador puede utilizar PRUNEDPATHS en /etc/updatedb.conf para excluir la indexación de algunos directorios y lograr seguridad adicional.