Serveis de xarxa - UPC Universitat Politècnica de Catalunya...Facultat d'Informàtica de Barcelona...
Transcript of Serveis de xarxa - UPC Universitat Politècnica de Catalunya...Facultat d'Informàtica de Barcelona...
Facultat d'Informàtica de BarcelonaUniv. Politècnica de Catalunya
Administració de Sistemes Operatius
Serveis de xarxa
2007 Alex Ramírez, Xavier Martorell, Alex Duran (UPC)
Temari● 1. Introducció a l'Administració de Sistemes● 2. Instal∙lació del Sistema Operatiu● 3. Gestió d'usuaris● 4. Gestió d'aplicacions● 5. Monitorització del sistema● 6. Manteniment del sistema de fitxers● 7. Serveis locals● 8. Serveis de xarxa● 9. Protecció i seguretat
Objectius● Coneixements
– Principals elements d'una xarxa– Principals serveis i protocols de xarxa
● Superservidor, portmapper, DNS, FTP, WWW, email● Habilitats
– Configuració dels serveis● Superservidor● DNS● FTP● WWW● Correu electrònic
Medis de transport● Xarxes locals
– RS232– Ethernet – Token ring – FDDI (fibra òptica)
● Xarxes de gran abast– Gigabit ethernet i 10GbE– Frame relay– X25– ATM
Protocols● Cada xarxa té el seu propi protocol d'enllaç● Habitualment implementem TCP/IP a sobre...
– Modem– Ethernet – Token ring– Gigabit ethernet– ATM– Frame relay– X25
Xarxes i hosts IP● Tipus de xarxes
– Classe A (0)● 1.0.0.0 127.0.0.0● 7 bits xarxa, 24 bits de host (16 milions de hosts 2)
– Classe B (10)● 128.0.0.0 191.255.0.0● 16 bits xarxa (16K2 xarxes), 16 bits host (64K2 hosts)
– Classe C (110)● 192.0.0.0 223.255.255.0● 24 bits xarxa (2M2 xarxes), 8 bits host (254 hosts per
xarxa)
Xarxes i hosts IP● Tipus de xarxes
– Classe D: adreces multicast (1110)● 224.0.0.0 240.0.0.0
– Classe E: reservat per usos futurs (11110)● 240.0.0.0 248.0.0.0
– Classe F● 248.0.0.0 252.0.0.0
– Classe G● 252.0.0.0 254.0.0.0
Xarxes i hosts IP● Adreces IP amb significat especial
– 0.0.0.0 : aquest host– 0.host : màquina en aquesta xarxa– 127.anything : loopback (no s'ha de veure a la xarxa)– 255.255.255.255 : broadcast a la xarxa local– network.255 : broadcast a la xarxa especificada– Adreces internes (o privades):
● 10.0.0.0 10.255.255.255: 1 xarxa de classe A● 172.16.0.0 172.31.255.255: 16 xarxes de classe B● 192.168.0.0 192.168.255.255: 255 xarxes de classe C
Subxarxes● És infreqüent tenir més de 100 màquines en una mateixa
xarxa– Les adreces de classes A i B estan desaprofitades– Usem una part de l'adreça del host per estendre l'adreça de
xarxa● Usem un nombre de bits arbitrari, no alineat a byte
149 76 12 4
149 76 12 4
256*256 màquines
10 bitssubxarxa
2^10 = 1024 subxarxesde 2^6 = 64 màquines
6 bitshost
Gestió de les adreces IP● IANA: Internet Assigned Numbers Authority
– www.iana.org● Regional Internet Registries (RIRs)
– ARIN: American Registry for Internet Numbers● www.arin.net
– RIPE NCC: Europe, Middle East and Central Asia● www.ripe.net
● Internet Service Providers (ISPs)● ESNIC: www.nic.es
– Dominis a “.es”
Gateways● Les subxarxes acostumen a correspondre a l'estructura
física de la xarxa– Una habitació, despatx...– Un host ethernet només pot veure els hosts en el seu
mateix cable● Gateway: host connectat a més d'una xarxa física, amb
capacitat per creuar paquets d'una a l'altra
149.76.12.4
149.76.12.5
149.76.13.40
149.76.13.43
149.76.12.1149.76.13.1
Routing● Procés de dirigir un paquet a través del laberint de xarxes
que hi ha entre el host origen i el destí– El router selecciona el camí de sortida d'un paquet en base
a les taules de routing● Associen una IP destinació amb una interfície de xarxa
149.76.12.4
149.76.12.5
149.76.13.40
149.76.13.43
192.45.2.87
192.45.2.93... ...
...
eth2 eth1
eth0
Classificació dels ports● Ports privilegiats: 0 1023
– Controlats i assignats per IANA– Només l'usuari privilegiat (root) pot posar serveis en
aquests ports● Ports enregistrats: 1024 49151
– No controlats, però enregistrats per IANA– Registre dels serveis típics que usen cada port
● /etc/services● Ports dinàmics: 49152 65535
– Usats per a connexions temporals
/etc/services● Relaciona els serveis amb el corresponent número de
port– ho consulten diversos programes (netstat, ... )– nomservei port/protocol llista d'alias
echo 7/tcpecho 7/udpsystat 11/tcp userssystat 11/udp usersftpdata 20/tcpftpdata 20/udp# 21 is registered to ftp, but also used by fspftp 21/tcpftp 21/udp fsp fspdssh 22/tcp ssh 22/udp telnet 23/tcptelnet 23/udp
# 24 private mail systemsmtp 25/tcp mailsmtp 25/udp maildomain 53/tcp domain 53/udphttp 80/tcp www wwwhttp http 80/udp www wwwhttp
Network Address Translation (NAT)● El router tradueix adreces internes per la seva pròpia
– Permet usar una IP reservada i mantenir la connectivitat amb l'exterior
● El router recorda les connexions de sortida per reconèixer les connexions de tornada– Connexió de sortida:
● 192.168.1.25 (port 1085) > 212.106.192.142 (1085)– Connexió de tornada:
● 212.106.192.142 (1085) > 192.168.1.25 (1085)
NAT, efectes laterals● Les adreces internes no són visibles des de l'exterior
– Només el router pot ser víctima d'atacs● La seguretat de la xarxa depèn de la seguretat del router
– Les màquines internes no poden oferir serveis a l'exterior● Excepte si usem Port Address Translation (PAT)
● Impacte important sobre el rendiment de la xarxa– Totes les connexions exteriors passen per un sol router– Cada paquet requereix un cert càlcul de CPU
● Alguns serveis no es poden usar amb NAT– Aquells que fan connexions cap a dins
● FTP, IRC, Netmeeting...
Port Address Translation (PAT)● Indicar al router NAT que deixi passar algunes
connexions– Mapejar ports del router a ports d'una màquina interna
212.16.13.84192.168.12.1
Internet
192.168.12.4
192.168.12.5 ...
Ports 22,25,80
Ports 25,80 Port 22
Firewalls● Servidor que determina quines comunicacions poden ser
establertes entre dues xarxes– Treballa típicament a nivell enllaç
● No coneix l'aplicació– Pot mantenir estat
● Permetre connexions relacionades i connexions “de tornada”
Firewall
(Firewall == seguretat) ?● Un firewall és un suplement a la seguretat del sistema● El seu ús pot oferir una falsa idea de seguretat
– No es poden relaxar altres aspectes de la seguretat● Altres eines de seguretat a la xarxa interna i als servidors
continuen sent necessàries
Tipus de servidors (segons servei)● Orientats a connexió
– El servidor manté l'estat de la sessió– Incrementa el rendiment– Redueix la tolerància a fallades
● No orientats a connexió– No es guarda cap estat sobre els clients
● No hi ha sessions– Les peticions han de ser autocontingudes
● La petició del client ha de contenir tota la informació – Incrementa la tolerància a fallades
Tipus de servidors (segons autoritat)● Primaris
– Mantenen la còpia principal de la informació● En cas de divergència es confia en el servidor primari
– N'hi ha un per servei● Secundaris
– Mantenen còpies de la informació● Actualitzacions periòdiques des del servidor primari
– Pot havern'hi més d'un per servei● Balanceig de la càrrega● Backup en cas de caiguda del servidor principal
Tipus de servidors ● de cache (i/o proxies)
– Mantenen còpies de la informació més usada– Pot havern'hi més d'un per servei
● Augment del rendiment – S'hi poden afegir funcions de seguretat, filtratge, log...
Superservidor (inetd)● Un servei consumeix recursos encara que no es faci
servir– Molts serveis es demanen de forma esporàdica
● telnet, ftp, ssh...● El superservidor escolta tots els ports i activa el servei
només quan és necessari– Detecta la petició– Inicia el servidor– Passa el missatge
● Limitacions– No es pot guardar a memòria informació entre connexions– Overhead de creació de processos
/etc/inetd.conf● Especifica els serveis atesos pel superservidor
– Servei (port) a escoltar (de /etc/services)– Protocol– Usuari/grup– Servidor que s'haurà d'executar– Arguments ( arg0 = nom del procés, ... )
# If you make changes to this file, either reboot your machine or send the# inetd a HUP signal: Do a "ps x" as root and look up the pid of inetd. # Then do a "kill HUP <pid of inetd>".# The inetd will reread this file whenever it gets that signal.# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>## The first 4 services are really only used for debugging purposes, so# we comment them out since they can otherwise be used for some nasty# denialofservice attacks. If you need them, uncomment them.# echo stream tcp nowait root internal# discard stream tcp nowait root internal...
/etc/inetd.conf● Serveis típicament engegats per inetd
# File Transfer Protocol (FTP) server:#ftp stream tcp nowait root /usr/sbin/tcpd proftpd
# Telnet server:#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd# The comsat daemon notifies the user of new mail when biff is set to y:comsat dgram udp wait root /usr/sbin/tcpd in.comsat# Shell, login, exec and talk are BSD protocols#shell stream tcp nowait root /usr/sbin/tcpd in.rshd L#login stream tcp nowait root /usr/sbin/tcpd in.rlogind# POP and IMAP mail servers## Post Office Protocol version 3 (POP3) server:#pop3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/popa3d# Internet Message Access Protocol (IMAP) server:#imap2 stream tcp nowait root /usr/sbin/tcpd imapd
# Tftp service is provided primarily for booting. Most sites# run this only on machines acting as "boot servers."# tftp dgram udp wait root /usr/sbin/in.tftpd in.tftpd s /tftpboot r blksize
Remote Procedure Calls (RPC)● Execució remota de subrutines
– Identificades amb un número de servei● Servidors de RPC
– Implementen un conjunt de subrutines remotes– Escolten en un port no fixat
● Portmapper– Registra els servidors d'RPC
● Associa el port amb les subrutines– Necessari per altres serveis
● NFS, ...
Portmapper● Tot l'estat es guarda en memòria
– Si falla el procés, no n'hi ha prou amb reiniciarlo● S'han de reiniciar tots els servidors d'RPC
● Cal enregistrar tots els servidors quan iniciem el portmapper
Client
Portmapper
Servidor
Enregistrarservei
(num, port)
Demanar servei (num)
Port
RPC
Resultat
Domain Name System (DNS)● Servei de traducció de noms
– Hostname > adreça IP– Adreça IP > hostname
● Dificultats– Gran quantitat de màquines– Gran número de canvis
● Solució– Distribució jeràrquica de la informació (dominis)– Delegació de l'autoritat
Funcionament del DNS● Delegació de l'autoritat
– Cada domini administra el seu propi servidor– Tothom coneix els servidors principals (root)– Tothom coneix al servidor del seu domini– Resolució de noms iterativa
PCDNSserver
/etc/resolv.conf
www.google.com
a.rootservers
b.rootservers ...
“www.google.com?”“.com”
.com
“www.google?”
“.google”
“www?”
“www”
internic.net
iana.orgalldomains.com
NS3.GOOGLE.COM 216.239.36.10...DNS: RFCs 1034/1035
Eficiència del servei● És convenient l'ús de “caches”
– Alta localitat temporal● Evitar repetir la mateixa cerca
– Alta localitat espacial● Evitar visitar continuament el servidor arrel● Evitar passos d'una cerca iterativa
Eficiència del servei● DNS es pot usar per fer balanceig de càrrega
– Afegir vàries adreces IP per un mateix nom● Cada resposta ofereix una IP different
– Round Robin, Criteris “geogràfics”
– Exemple● www.google.com, des de llocs diferents
;; ANSWER SECTION:www.google.com. 693 IN CNAME www.l.google.com.www.l.google.com. 93 IN A 66.249.85.104www.l.google.com. 93 IN A 66.249.85.99
;; ANSWER SECTION:www.google.com. 900 IN CNAME www.l.google.com.www.l.google.com. 300 IN A 64.233.161.99www.l.google.com. 300 IN A 64.233.161.104www.l.google.com. 300 IN A 64.233.161.147
Configuració del client del DNS● /etc/host.conf
– On es busca un nom i l'ordre de cerca● /etc/hosts
– Màquines traduides localment● /etc/resolv.conf
– Dominis on buscar automàticament i – Adreces IP dels servidors de noms
Configuració del servidor del DNS● /etc/named.conf
– Què administrem?● Dominis de DNS● Rangs d'adreces IP
– Indica si som primari, secundari o de cache● Fitxers de traducció directa
– Nom.domini > adreça IP– 1 fitxer per cada domini que administrem
● Fitxers de traducció inversa– Adreça IP > nom.domini– 1 fitxer per rang d'adreces que administrem
Tipus de registres de DNS● SOA (Start of Authority)
– Nombre de sèrie– Temps de refresc i retry– Temps d'expiració– TTL mínim
Tipus de registres de DNS● A traducció directa
– Nom > adreça IP● romeu IN A 147.83.32.4
● CNAME sinònims– Nom > nom
● romeu IN CNAME lp_romeu● PTR traducció inversa
– Adreça IP > nom DNS● 4 IN PTR romeu.ac.upc.edu.
Tipus de registres de DNS● NS delegació de dominis
– Domini DNS > servidor● ac IN NS 147.83.32.3
● MX mail exchanger– Domini DNS > servidor
● ac IN MX 147.83.33.10● I altres...
– HINFO, WKS,...
Exemple de configuració de DNS● Zona “ac.upc.edu”, com a primari
/etc/named.confoptions {
directory “/var/named”;// querysource address * port 53;
};zone “ac.upc.edu” IN {
type master;file “ac.zone”;allowupdate { none; };
};zone “3.168.192.inaddr.arpa” IN {
type master;file “3.168.192.zone”;allowupdate { none; };
};
Exemple de configuració de DNS● Zona “ac.upc.edu”
/var/named/ac.zone$TTL 86400@ 1D IN SOA pcxavim.ac.upc.edu. root.pcxavim.ac.upc.edu. (
42 ; serial3H ; refresh15M ; retry1W ; expiry1D ) ; minimum
1D IN NS @pcxavim 1D IN A 192.168.3.1pcxavim2 1D IN A 192.168.3.250;laptop1 1D IN CNAME pcxavimlaptop2 1D IN CNAME pcxavim2
/var/named/3.168.192.zone......
1D IN NS @1 1D IN PTR pcxavim.ac.upc.edu.250 1D IN PTR pcxavim2.ac.upc.edu.
Activitat● En grup, discutir
– Tenim 3 servidors (server1, server2 i server3) amb aquests registres
● server1 IN A 123.123.123.1● server2 IN A 123.123.123.2● server3 IN A 123.123.123.3
– Volem afegir resolució de noms per als serveis:● www a server1 (server2 es el de backup)● ftp a server1 i server2● correu entrant/sortint a server3
– Quins registres afegireu?
Eines relacionades amb DNS● whois domini
– Proporciona informació de contacte per un domini● dig [@server] petició
– Fa una petició de DNS– Possibilitat de controlar diversos paràmetres
● Servidor, tipus de registre, resolució iterativa/recursiva, ...– Retorna els registres associats a la nostra petició
● Se li pot demanar debugging
Dynamic Host Configuration (DHCP)● S'usa perquè les màquines puguin demanar
– quina adreça IP se'ls assigna– la informació sobre la xarxa en la que estan
● La màquina no té perquè ser coneguda!– Se suposa que si s'ha pogut connectar, és que té accés a la
instal∙lació● El control d'accés es fa a nivell MAC
– Les adreces IP s'obtenen de conjunts definits per l'administrador
Dynamic Host Configuration (DHCP)● Habitualment el servidor també suporta BOOTP
– Internet Bootstrap Protocol– Proporciona la informació perquè una màquina pugui
“bootar”● Fitxer (amb mida) de boot● Nom del domini de DNS i llista de servidors de noms● Nom de la màquina, adreça IP, màscara de la xarxa● Llista de gateways● Directori que s'haurà de muntar com arrel● ...
Dynamic Host Configuration (DHCP)● Exemple /etc/dhcpd.conf
ddnsupdatestyle none;
subnet 192.168.3.0 netmask 255.255.255.0 { range 192.168.3.9 192.168.3.250; defaultleasetime 28800 ; maxleasetime 57600; option subnetmask 255.255.255.0; option broadcastaddress 192.168.3.255; option routers 192.168.3.1; option domainnameservers 192.168.3.1; option domainname "ac.upc.edu";}
host pcxavim2 { hardware ethernet 00:03:47:B8:69:62;# fixedaddress 192.168.3.2;}
Per ifconfig
Per route
Pel/etc/resolv.conf
DHCP: RFC 2131
Dynamic Host Configuration (DHCP)● És possible actualitzar el DNS quan DHCP assigna una
nova adreça IP
dhcpdDNSserver(named)
update zone “ac.upc.edu”
update zone “3.168.192...”
/etc/dhcpd.confddnsupdatestyle interim;key DHCP_UPDATER { algorithm HMACMD5.SIGALG.REG.INT; secret pRP5FapFoJ95JEL06sv4PQ==;};zone ac.upc.edu. { primary 192.168.3.1; key DHCP_UPDATER;}
/etc/named.confkey DHCP_UPDATER { ... /* Mateix algorisme i clau secreta */};zone ac.upc.edu. { type master; file “ac.zone”; allowupdate { key DHCP_UPDATER; };};...
Activitat● En grup, discutir
– Com es pot implementar correctament el DHCP quan hi pot haver caigudes de la màquina servidora?
● Quins problemes caldria resoldre?
Hypertext Transfer Protocol (HTTP)● Servei de transferència de dades● No orientat a connexió
– No es recorda l'estat d'un client– Cada petició és autocontinguda
● No obstant això, usa TCP!
Client
httpd
connect/accept
GET /path/to/file
<file contents>
HTTP/1: RFC 2616
Apache Web Server (httpd 2.x)● Protocol http 2.x● /etc/httpd/httpd.conf
– Execució com a usuari no privilegiat– Atenció de peticions per processos/fluxos independents
● Número de processos configurable– Opcions de configuració per cada directori– Configuració per dominis virtuals
● Separació per adreça IP● Separació per nom en DNS (http v1.1)
File Transfer Protocol (FTP)● Servei de transferència de dades● Orientat a connexió
– Connexió de control● Es recorda l'estat d'una petició a una altra
– cwd● Connexió de dades
– activa / pasiva– Nova connexió per cada transferència
Client
ftpd
Comanda
<ok / error>
Data connection
FTP: RFC 959
Configuració del FTP● Diferent per cada servidor
– wuftpd, proftd,vsftpd...● /etc/ftpusers
– Llistat d'usuaris que NO poden accedir per FTP● root
● Opció chroot <directori> pel ftp anònim – Canvia l'arrel del sistema de fitxers del servidor al
directori donat● Cal disposar de les comandes bàsiques
– /etc, /bin– ls, ...
– També pot ser útil per usuaris normals
Simple Mail Transfer Protocol (SMTP)● Elements que composen el sistema de correu
– MUA Mail User Agent● Aplicació d'usuari per llegir i escriure correu mail
– MSA Mail Submission Agent● Aplicació que transmet el correu del client a l'MTA● Fa totes les comprovacions d'error prèvies
– MTA Mail Transport Agent● Aplicació que dirigeix el correu entre màquines
– Delivery Agent● Aplicació que guarda el correu al mailbox de l'usuari
– De vegades una base de dades en lloc d'un fitxer
– Access Agent● Aplicació que permet a l'usuari accedir al seu mailbox mail
Components del sistema de correu
outlook
mutt
sendmail
sendmail/ssmtp
Internet
postfix
procmail
mail.local
mbox
MUA
MUA
MUA
MSA
MTA
MTA
DA
DA
MUA
mutt
AA/MUA
Inet POP
SMTP
IMAP
SMTP
SSMTP
SMTP: RFC 821
Anatomia d'un correu electrònic● El sobre (envelop)
– A qui va dirigit el missatge– Qui l'envia– Normalment invisible als usuaris
● Les capceleres– Col.lecció de propietats del missatge
● Data d'enviament● Remitent, destinatari
– Poden no coincidir amb els que hi ha al sobre
● Llistat de hosts pels quals ha passat el missatge
– El cos del missatge● Text ASCII (7 bits)
Configuració del client de correu● Recepció de correu
– Accés a un mailbox local– Accés a un mailbox remot (Access Agent)
● POP– Transmissió del correu del servidor a un mailbox local
● IMAP– Accés al mailbox remot
● Enviament de correu– SMTP server
Configuració del servidor de correu● Enviament de correu sendmail
– Enviament directe al receptor● Cerca del MX record de DNS destinatari local
– [email protected]● Enviament a través d'un Relay
– No tenim accés directe al destinatari
– Recepció de correu● Guardem els missatges localment
– POP, IMAP al mateix servidor● Relay de correu a un servidor extern
– POP, IMAP a un altre servidor
Configuració del servidor de correu● Alias de correu
– Redirecció del correu a un altre destinatari– En una màquina diferent
– Usuaris amb múltiples noms– root, www, postmaster, webmaster > usuari@màquina
– Enviar correu a un fitxer enlloc d'un usuari– spam: /dev/null
– Enviar correu a un programa– autoftp: “| /usr/bin/ftpserver”
– Definició de llistes de correu● Tot i que hi ha maneres millors de ferho
– Majordomo, Mailman, ListProc, SmartList, ...
Configuració del servidor de correu● Alias de correu
– Definits a /etc/aliases o /etc/mail/aliases– Compilats amb
● $ newaliases● Execució de comandes en alias
– Actualment es fa servir l'entorn de smrsh● Restricted shell for sendmail● Només es podran executar les comandes del directori
/etc/smrsh o /usr/adm/sm.bin
Consideracions de seguretat● Autenticació d'usuaris
– El servidor de correu no demana usuari i password● Es pot afegir SASL
– Es pot falsificar el sobre de correu● SPAM...
– Relay de correu electrònic● El servidor sempre intenta entregar el correu al destinatari
– Fins i tot si el sobre no té res a veure amb ell● “Open Relays” > SPAM
Consideracions de seguretat● Privacitat del correu
– El correu s'envia sense encriptar● Us de TLS (SSL) només entre MUA i MTA● El transport entre MTA's es fa sense encriptar
– L'usuari és responsable de la seva encriptació– PGP Pretty Good Privacy
● Encriptació de missatges ● Signatura de missatges● Basat en clau pública
Consideracions de seguretat● Instal∙lació de filtres
– Antispam● Spamassasin, gray lists, black lists, ...
– Antivirus● Clam AV, Amavis, fprot, ...
En grup● Hem posat un filtre per detectar el spam. Quan es detecta
un correu d'aquestes característiques, quina acció programaríeu?
● I amb el filtre antivirus?
Post Office Protocol (POP)● Permet els usuaris accedir al seu mailbox● Porta els missatges cap a la màquina local● Autenticació d'usuari sense encriptació
– pop3s funciona sobre SSL
POP3: RFC 1939
Internet Message Access (IMAP)● Permet els usuaris manipular al seu mailbox● Realitza les manipulacions remotament● Autenticació d'usuari
– Permet encriptació● imaps treballa sobre SSL
IMAP: RFC 3501
Secure Shell● Substitueix els serveis de rsh/rlogin i telnet● Afegeix seguretat
– Realitza autenticació basada en RSA o DSA● El client signa l'identificador de sessió amb la clau privada● El servidor usa la clau pública (.ssh/authorized_keys) per
comprovar si la signatura és correcta● També es pot usar autenticació basada en password
– Encripta la informació que s'envia per la connexió● Confidencialitat: 3DES, Blowfish...● Integritat: hmacmd5...
Secure Shell● El servidor executa la comanda donada o l'intèrpret de
comandes de l'usuari● Sessió transparent
– Quan no es demana usar un pseudoterminal– Es pot fer servir per transferir dades en format binari
● Sessió de login– També pot fer forwarding de TCP i X11
● DISPLAY=hostname:10.0
SSH: RFC 2434(?)
En grup● Secure shell permet implementar transferència segura
d'informació– Com implementaríeu secure copy i secure file transfer
sobre ssh?
Radius● Servidor d'autenticació remota d'usuaris
– Permet configurar una BBDD de usuaris● Nom● Contrasenya● Diferents propietats
– Fa accounting del temps d'us dels usuaris– Altres servidors/dispositius l'utilitzen per autenticar als
usuaris● routers● dialups
Network File System (NFS)● Accés a fitxers guardats en un disc remot
– Mantenint la semàntica del sistema de fitxers local● Actua de forma transparent a l'usuari
– Implementat usant RPC's
Shared disk
NFS serverNFS client
OSOS
open/closeread/write...
NFS protocol
Local disk
Mount remot per NFS● El directori muntat es veu com si fos local
NFS clientOS
Local disk Shared disk
NFS serverOS
/home
/
usr
home
Permisos d'accés● Els UIDs a la màquina remota i a la màquina local han
de ser els mateixos– El sistema de fitxers guarda UIDs, no usernames
● Traducció automàtica de UID's– Usuaris especials
● Root, nobody– Opcions
● no_root_squash, root pot fer su a qualsevol usuari!● all_squash, es pot fer que tots els usuaris siguin nobody● Es pot definir qui serà nobody
– anonuid=UID,anongid=GID
Configuració d'NFS● /etc/exports
– Directori a exportar– Màquines a les quals s'exporta + flags
● rw, ro● root_squash, no_root_squash
# sample /etc/exports file/ master(rw) trusty(rw,no_root_squash)/projects proj*.local.domain(rw)/usr *.local.domain(ro) @trustedgroup(rw)/home/joe pc001(rw,all_squash,anonuid=150,anongid=100)/pub (ro,insecure,all_squash)
SMB Samba● Permet exportar
– Fitxers– Impressores
● Control d'accés a nivell d'usuari– Autenticació amb usuari i password
● Basat en username, no en UID● Transmissió de passwords de forma encriptada o no
– Restricció d'accés també a nivell de màquina● No permet distingir flags segons la màquina que estigui
accedint– Usar noms de recurs diferents
LDAP● Lightweight Directory Access Protocol
– Permet accedir a bases de dades amb informació sobre els usuaris
● En format de directori (X.500)– Ofereix un mecanisme d'autenticació d'usuaris
● /etc/passwd, /etc/shadow, /etc/group...● ... poden ser volcats a la base de dades d'LDAP
– Es pot integrar de forma que les comandes consultin la base de dades d'usuaris, a més dels fitxers tradicionals
– Base de dades típica● Berkeley Database (BDB)
Configuració del servei● Configurar, compilar i instal.lar
● Comandes LDAP per fer proves: altes / baixes / modificacions– ldappasswd ldapadd– ldapsearch ldapdelete– ldapwhoami
http://www.openldap.org/
$ ./configure prefix=/home/xavim/Downloads/openldap –enablelmpasswd \ enablespasswd enablepasswd enableldap –enablesyslog$ make depend$ make$ make test$ make install
Autenticació amb LDAP● Fitxer /etc/nsswitch.conf
– passwd: ldap compat – group: ldap compat
● Els elements es busquen en l'ordre especificat● libc té una sèrie de mòduls que es carreguen segons
l'autenticació que es demana– libnss_compat.so.2 (/etc/passwd NIS)– libnss_dns.so.2– libnss_files.so.2 (/etc/passwd)– libnss_ldap.so.2– libnss_wins.so.s (Servei de noms de Windows)– libnss_nisplus.so.2 (NIS+)
Virtual Private Networks (VPN)● Servidor i client negocien una connexió segura● Es disposa d'una @IP interna, amb la qual cosa es té
accés a tots els serveis de la Intranet, com si fos a dins
VPN serverOpenVPN port: 1194
192.168.1.30
192.168.1.31
192.168.1.32
192.168.1.33
192.168.1.34
Internet 88.40.135.97VPN 192.168.1.200 (tun module)
Internettunnel