Facultat d'Informàtica de BarcelonaUniv. Politècnica de Catalunya
Administració de Sistemes Operatius
Serveis de xarxa
2007 Alex Ramírez, Xavier Martorell, Alex Duran (UPC)
Temari● 1. Introducció a l'Administració de Sistemes● 2. Instal∙lació del Sistema Operatiu● 3. Gestió d'usuaris● 4. Gestió d'aplicacions● 5. Monitorització del sistema● 6. Manteniment del sistema de fitxers● 7. Serveis locals● 8. Serveis de xarxa● 9. Protecció i seguretat
Objectius● Coneixements
– Principals elements d'una xarxa– Principals serveis i protocols de xarxa
● Superservidor, portmapper, DNS, FTP, WWW, email● Habilitats
– Configuració dels serveis● Superservidor● DNS● FTP● WWW● Correu electrònic
Medis de transport● Xarxes locals
– RS232– Ethernet – Token ring – FDDI (fibra òptica)
● Xarxes de gran abast– Gigabit ethernet i 10GbE– Frame relay– X25– ATM
Protocols● Cada xarxa té el seu propi protocol d'enllaç● Habitualment implementem TCP/IP a sobre...
– Modem– Ethernet – Token ring– Gigabit ethernet– ATM– Frame relay– X25
Xarxes i hosts IP● Tipus de xarxes
– Classe A (0)● 1.0.0.0 127.0.0.0● 7 bits xarxa, 24 bits de host (16 milions de hosts 2)
– Classe B (10)● 128.0.0.0 191.255.0.0● 16 bits xarxa (16K2 xarxes), 16 bits host (64K2 hosts)
– Classe C (110)● 192.0.0.0 223.255.255.0● 24 bits xarxa (2M2 xarxes), 8 bits host (254 hosts per
xarxa)
Xarxes i hosts IP● Tipus de xarxes
– Classe D: adreces multicast (1110)● 224.0.0.0 240.0.0.0
– Classe E: reservat per usos futurs (11110)● 240.0.0.0 248.0.0.0
– Classe F● 248.0.0.0 252.0.0.0
– Classe G● 252.0.0.0 254.0.0.0
Xarxes i hosts IP● Adreces IP amb significat especial
– 0.0.0.0 : aquest host– 0.host : màquina en aquesta xarxa– 127.anything : loopback (no s'ha de veure a la xarxa)– 255.255.255.255 : broadcast a la xarxa local– network.255 : broadcast a la xarxa especificada– Adreces internes (o privades):
● 10.0.0.0 10.255.255.255: 1 xarxa de classe A● 172.16.0.0 172.31.255.255: 16 xarxes de classe B● 192.168.0.0 192.168.255.255: 255 xarxes de classe C
Subxarxes● És infreqüent tenir més de 100 màquines en una mateixa
xarxa– Les adreces de classes A i B estan desaprofitades– Usem una part de l'adreça del host per estendre l'adreça de
xarxa● Usem un nombre de bits arbitrari, no alineat a byte
149 76 12 4
149 76 12 4
256*256 màquines
10 bitssubxarxa
2^10 = 1024 subxarxesde 2^6 = 64 màquines
6 bitshost
Gestió de les adreces IP● IANA: Internet Assigned Numbers Authority
– www.iana.org● Regional Internet Registries (RIRs)
– ARIN: American Registry for Internet Numbers● www.arin.net
– RIPE NCC: Europe, Middle East and Central Asia● www.ripe.net
● Internet Service Providers (ISPs)● ESNIC: www.nic.es
– Dominis a “.es”
Gateways● Les subxarxes acostumen a correspondre a l'estructura
física de la xarxa– Una habitació, despatx...– Un host ethernet només pot veure els hosts en el seu
mateix cable● Gateway: host connectat a més d'una xarxa física, amb
capacitat per creuar paquets d'una a l'altra
149.76.12.4
149.76.12.5
149.76.13.40
149.76.13.43
149.76.12.1149.76.13.1
Routing● Procés de dirigir un paquet a través del laberint de xarxes
que hi ha entre el host origen i el destí– El router selecciona el camí de sortida d'un paquet en base
a les taules de routing● Associen una IP destinació amb una interfície de xarxa
149.76.12.4
149.76.12.5
149.76.13.40
149.76.13.43
192.45.2.87
192.45.2.93... ...
...
eth2 eth1
eth0
Classificació dels ports● Ports privilegiats: 0 1023
– Controlats i assignats per IANA– Només l'usuari privilegiat (root) pot posar serveis en
aquests ports● Ports enregistrats: 1024 49151
– No controlats, però enregistrats per IANA– Registre dels serveis típics que usen cada port
● /etc/services● Ports dinàmics: 49152 65535
– Usats per a connexions temporals
/etc/services● Relaciona els serveis amb el corresponent número de
port– ho consulten diversos programes (netstat, ... )– nomservei port/protocol llista d'alias
echo 7/tcpecho 7/udpsystat 11/tcp userssystat 11/udp usersftpdata 20/tcpftpdata 20/udp# 21 is registered to ftp, but also used by fspftp 21/tcpftp 21/udp fsp fspdssh 22/tcp ssh 22/udp telnet 23/tcptelnet 23/udp
# 24 private mail systemsmtp 25/tcp mailsmtp 25/udp maildomain 53/tcp domain 53/udphttp 80/tcp www wwwhttp http 80/udp www wwwhttp
Network Address Translation (NAT)● El router tradueix adreces internes per la seva pròpia
– Permet usar una IP reservada i mantenir la connectivitat amb l'exterior
● El router recorda les connexions de sortida per reconèixer les connexions de tornada– Connexió de sortida:
● 192.168.1.25 (port 1085) > 212.106.192.142 (1085)– Connexió de tornada:
● 212.106.192.142 (1085) > 192.168.1.25 (1085)
NAT, efectes laterals● Les adreces internes no són visibles des de l'exterior
– Només el router pot ser víctima d'atacs● La seguretat de la xarxa depèn de la seguretat del router
– Les màquines internes no poden oferir serveis a l'exterior● Excepte si usem Port Address Translation (PAT)
● Impacte important sobre el rendiment de la xarxa– Totes les connexions exteriors passen per un sol router– Cada paquet requereix un cert càlcul de CPU
● Alguns serveis no es poden usar amb NAT– Aquells que fan connexions cap a dins
● FTP, IRC, Netmeeting...
Port Address Translation (PAT)● Indicar al router NAT que deixi passar algunes
connexions– Mapejar ports del router a ports d'una màquina interna
212.16.13.84192.168.12.1
Internet
192.168.12.4
192.168.12.5 ...
Ports 22,25,80
Ports 25,80 Port 22
Firewalls● Servidor que determina quines comunicacions poden ser
establertes entre dues xarxes– Treballa típicament a nivell enllaç
● No coneix l'aplicació– Pot mantenir estat
● Permetre connexions relacionades i connexions “de tornada”
Firewall
(Firewall == seguretat) ?● Un firewall és un suplement a la seguretat del sistema● El seu ús pot oferir una falsa idea de seguretat
– No es poden relaxar altres aspectes de la seguretat● Altres eines de seguretat a la xarxa interna i als servidors
continuen sent necessàries
Tipus de servidors (segons servei)● Orientats a connexió
– El servidor manté l'estat de la sessió– Incrementa el rendiment– Redueix la tolerància a fallades
● No orientats a connexió– No es guarda cap estat sobre els clients
● No hi ha sessions– Les peticions han de ser autocontingudes
● La petició del client ha de contenir tota la informació – Incrementa la tolerància a fallades
Tipus de servidors (segons autoritat)● Primaris
– Mantenen la còpia principal de la informació● En cas de divergència es confia en el servidor primari
– N'hi ha un per servei● Secundaris
– Mantenen còpies de la informació● Actualitzacions periòdiques des del servidor primari
– Pot havern'hi més d'un per servei● Balanceig de la càrrega● Backup en cas de caiguda del servidor principal
Tipus de servidors ● de cache (i/o proxies)
– Mantenen còpies de la informació més usada– Pot havern'hi més d'un per servei
● Augment del rendiment – S'hi poden afegir funcions de seguretat, filtratge, log...
Superservidor (inetd)● Un servei consumeix recursos encara que no es faci
servir– Molts serveis es demanen de forma esporàdica
● telnet, ftp, ssh...● El superservidor escolta tots els ports i activa el servei
només quan és necessari– Detecta la petició– Inicia el servidor– Passa el missatge
● Limitacions– No es pot guardar a memòria informació entre connexions– Overhead de creació de processos
/etc/inetd.conf● Especifica els serveis atesos pel superservidor
– Servei (port) a escoltar (de /etc/services)– Protocol– Usuari/grup– Servidor que s'haurà d'executar– Arguments ( arg0 = nom del procés, ... )
# If you make changes to this file, either reboot your machine or send the# inetd a HUP signal: Do a "ps x" as root and look up the pid of inetd. # Then do a "kill HUP <pid of inetd>".# The inetd will reread this file whenever it gets that signal.# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>## The first 4 services are really only used for debugging purposes, so# we comment them out since they can otherwise be used for some nasty# denialofservice attacks. If you need them, uncomment them.# echo stream tcp nowait root internal# discard stream tcp nowait root internal...
/etc/inetd.conf● Serveis típicament engegats per inetd
# File Transfer Protocol (FTP) server:#ftp stream tcp nowait root /usr/sbin/tcpd proftpd
# Telnet server:#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd# The comsat daemon notifies the user of new mail when biff is set to y:comsat dgram udp wait root /usr/sbin/tcpd in.comsat# Shell, login, exec and talk are BSD protocols#shell stream tcp nowait root /usr/sbin/tcpd in.rshd L#login stream tcp nowait root /usr/sbin/tcpd in.rlogind# POP and IMAP mail servers## Post Office Protocol version 3 (POP3) server:#pop3 stream tcp nowait root /usr/sbin/tcpd /usr/sbin/popa3d# Internet Message Access Protocol (IMAP) server:#imap2 stream tcp nowait root /usr/sbin/tcpd imapd
# Tftp service is provided primarily for booting. Most sites# run this only on machines acting as "boot servers."# tftp dgram udp wait root /usr/sbin/in.tftpd in.tftpd s /tftpboot r blksize
Remote Procedure Calls (RPC)● Execució remota de subrutines
– Identificades amb un número de servei● Servidors de RPC
– Implementen un conjunt de subrutines remotes– Escolten en un port no fixat
● Portmapper– Registra els servidors d'RPC
● Associa el port amb les subrutines– Necessari per altres serveis
● NFS, ...
Portmapper● Tot l'estat es guarda en memòria
– Si falla el procés, no n'hi ha prou amb reiniciarlo● S'han de reiniciar tots els servidors d'RPC
● Cal enregistrar tots els servidors quan iniciem el portmapper
Client
Portmapper
Servidor
Enregistrarservei
(num, port)
Demanar servei (num)
Port
RPC
Resultat
Domain Name System (DNS)● Servei de traducció de noms
– Hostname > adreça IP– Adreça IP > hostname
● Dificultats– Gran quantitat de màquines– Gran número de canvis
● Solució– Distribució jeràrquica de la informació (dominis)– Delegació de l'autoritat
Funcionament del DNS● Delegació de l'autoritat
– Cada domini administra el seu propi servidor– Tothom coneix els servidors principals (root)– Tothom coneix al servidor del seu domini– Resolució de noms iterativa
PCDNSserver
/etc/resolv.conf
www.google.com
a.rootservers
b.rootservers ...
“www.google.com?”“.com”
.com
“www.google?”
“.google”
“www?”
“www”
internic.net
iana.orgalldomains.com
NS3.GOOGLE.COM 216.239.36.10...DNS: RFCs 1034/1035
Eficiència del servei● És convenient l'ús de “caches”
– Alta localitat temporal● Evitar repetir la mateixa cerca
– Alta localitat espacial● Evitar visitar continuament el servidor arrel● Evitar passos d'una cerca iterativa
Eficiència del servei● DNS es pot usar per fer balanceig de càrrega
– Afegir vàries adreces IP per un mateix nom● Cada resposta ofereix una IP different
– Round Robin, Criteris “geogràfics”
– Exemple● www.google.com, des de llocs diferents
;; ANSWER SECTION:www.google.com. 693 IN CNAME www.l.google.com.www.l.google.com. 93 IN A 66.249.85.104www.l.google.com. 93 IN A 66.249.85.99
;; ANSWER SECTION:www.google.com. 900 IN CNAME www.l.google.com.www.l.google.com. 300 IN A 64.233.161.99www.l.google.com. 300 IN A 64.233.161.104www.l.google.com. 300 IN A 64.233.161.147
Configuració del client del DNS● /etc/host.conf
– On es busca un nom i l'ordre de cerca● /etc/hosts
– Màquines traduides localment● /etc/resolv.conf
– Dominis on buscar automàticament i – Adreces IP dels servidors de noms
Configuració del servidor del DNS● /etc/named.conf
– Què administrem?● Dominis de DNS● Rangs d'adreces IP
– Indica si som primari, secundari o de cache● Fitxers de traducció directa
– Nom.domini > adreça IP– 1 fitxer per cada domini que administrem
● Fitxers de traducció inversa– Adreça IP > nom.domini– 1 fitxer per rang d'adreces que administrem
Tipus de registres de DNS● SOA (Start of Authority)
– Nombre de sèrie– Temps de refresc i retry– Temps d'expiració– TTL mínim
Tipus de registres de DNS● A traducció directa
– Nom > adreça IP● romeu IN A 147.83.32.4
● CNAME sinònims– Nom > nom
● romeu IN CNAME lp_romeu● PTR traducció inversa
– Adreça IP > nom DNS● 4 IN PTR romeu.ac.upc.edu.
Tipus de registres de DNS● NS delegació de dominis
– Domini DNS > servidor● ac IN NS 147.83.32.3
● MX mail exchanger– Domini DNS > servidor
● ac IN MX 147.83.33.10● I altres...
– HINFO, WKS,...
Exemple de configuració de DNS● Zona “ac.upc.edu”, com a primari
/etc/named.confoptions {
directory “/var/named”;// querysource address * port 53;
};zone “ac.upc.edu” IN {
type master;file “ac.zone”;allowupdate { none; };
};zone “3.168.192.inaddr.arpa” IN {
type master;file “3.168.192.zone”;allowupdate { none; };
};
Exemple de configuració de DNS● Zona “ac.upc.edu”
/var/named/ac.zone$TTL 86400@ 1D IN SOA pcxavim.ac.upc.edu. root.pcxavim.ac.upc.edu. (
42 ; serial3H ; refresh15M ; retry1W ; expiry1D ) ; minimum
1D IN NS @pcxavim 1D IN A 192.168.3.1pcxavim2 1D IN A 192.168.3.250;laptop1 1D IN CNAME pcxavimlaptop2 1D IN CNAME pcxavim2
/var/named/3.168.192.zone......
1D IN NS @1 1D IN PTR pcxavim.ac.upc.edu.250 1D IN PTR pcxavim2.ac.upc.edu.
Activitat● En grup, discutir
– Tenim 3 servidors (server1, server2 i server3) amb aquests registres
● server1 IN A 123.123.123.1● server2 IN A 123.123.123.2● server3 IN A 123.123.123.3
– Volem afegir resolució de noms per als serveis:● www a server1 (server2 es el de backup)● ftp a server1 i server2● correu entrant/sortint a server3
– Quins registres afegireu?
Eines relacionades amb DNS● whois domini
– Proporciona informació de contacte per un domini● dig [@server] petició
– Fa una petició de DNS– Possibilitat de controlar diversos paràmetres
● Servidor, tipus de registre, resolució iterativa/recursiva, ...– Retorna els registres associats a la nostra petició
● Se li pot demanar debugging
Dynamic Host Configuration (DHCP)● S'usa perquè les màquines puguin demanar
– quina adreça IP se'ls assigna– la informació sobre la xarxa en la que estan
● La màquina no té perquè ser coneguda!– Se suposa que si s'ha pogut connectar, és que té accés a la
instal∙lació● El control d'accés es fa a nivell MAC
– Les adreces IP s'obtenen de conjunts definits per l'administrador
Dynamic Host Configuration (DHCP)● Habitualment el servidor també suporta BOOTP
– Internet Bootstrap Protocol– Proporciona la informació perquè una màquina pugui
“bootar”● Fitxer (amb mida) de boot● Nom del domini de DNS i llista de servidors de noms● Nom de la màquina, adreça IP, màscara de la xarxa● Llista de gateways● Directori que s'haurà de muntar com arrel● ...
Dynamic Host Configuration (DHCP)● Exemple /etc/dhcpd.conf
ddnsupdatestyle none;
subnet 192.168.3.0 netmask 255.255.255.0 { range 192.168.3.9 192.168.3.250; defaultleasetime 28800 ; maxleasetime 57600; option subnetmask 255.255.255.0; option broadcastaddress 192.168.3.255; option routers 192.168.3.1; option domainnameservers 192.168.3.1; option domainname "ac.upc.edu";}
host pcxavim2 { hardware ethernet 00:03:47:B8:69:62;# fixedaddress 192.168.3.2;}
Per ifconfig
Per route
Pel/etc/resolv.conf
DHCP: RFC 2131
Dynamic Host Configuration (DHCP)● És possible actualitzar el DNS quan DHCP assigna una
nova adreça IP
dhcpdDNSserver(named)
update zone “ac.upc.edu”
update zone “3.168.192...”
/etc/dhcpd.confddnsupdatestyle interim;key DHCP_UPDATER { algorithm HMACMD5.SIGALG.REG.INT; secret pRP5FapFoJ95JEL06sv4PQ==;};zone ac.upc.edu. { primary 192.168.3.1; key DHCP_UPDATER;}
/etc/named.confkey DHCP_UPDATER { ... /* Mateix algorisme i clau secreta */};zone ac.upc.edu. { type master; file “ac.zone”; allowupdate { key DHCP_UPDATER; };};...
Activitat● En grup, discutir
– Com es pot implementar correctament el DHCP quan hi pot haver caigudes de la màquina servidora?
● Quins problemes caldria resoldre?
Hypertext Transfer Protocol (HTTP)● Servei de transferència de dades● No orientat a connexió
– No es recorda l'estat d'un client– Cada petició és autocontinguda
● No obstant això, usa TCP!
Client
httpd
connect/accept
GET /path/to/file
<file contents>
HTTP/1: RFC 2616
Apache Web Server (httpd 2.x)● Protocol http 2.x● /etc/httpd/httpd.conf
– Execució com a usuari no privilegiat– Atenció de peticions per processos/fluxos independents
● Número de processos configurable– Opcions de configuració per cada directori– Configuració per dominis virtuals
● Separació per adreça IP● Separació per nom en DNS (http v1.1)
File Transfer Protocol (FTP)● Servei de transferència de dades● Orientat a connexió
– Connexió de control● Es recorda l'estat d'una petició a una altra
– cwd● Connexió de dades
– activa / pasiva– Nova connexió per cada transferència
Client
ftpd
Comanda
<ok / error>
Data connection
FTP: RFC 959
Configuració del FTP● Diferent per cada servidor
– wuftpd, proftd,vsftpd...● /etc/ftpusers
– Llistat d'usuaris que NO poden accedir per FTP● root
● Opció chroot <directori> pel ftp anònim – Canvia l'arrel del sistema de fitxers del servidor al
directori donat● Cal disposar de les comandes bàsiques
– /etc, /bin– ls, ...
– També pot ser útil per usuaris normals
Simple Mail Transfer Protocol (SMTP)● Elements que composen el sistema de correu
– MUA Mail User Agent● Aplicació d'usuari per llegir i escriure correu mail
– MSA Mail Submission Agent● Aplicació que transmet el correu del client a l'MTA● Fa totes les comprovacions d'error prèvies
– MTA Mail Transport Agent● Aplicació que dirigeix el correu entre màquines
– Delivery Agent● Aplicació que guarda el correu al mailbox de l'usuari
– De vegades una base de dades en lloc d'un fitxer
– Access Agent● Aplicació que permet a l'usuari accedir al seu mailbox mail
Components del sistema de correu
outlook
mutt
sendmail
sendmail/ssmtp
Internet
postfix
procmail
mail.local
mbox
MUA
MUA
MUA
MSA
MTA
MTA
DA
DA
MUA
mutt
AA/MUA
Inet POP
SMTP
IMAP
SMTP
SSMTP
SMTP: RFC 821
Anatomia d'un correu electrònic● El sobre (envelop)
– A qui va dirigit el missatge– Qui l'envia– Normalment invisible als usuaris
● Les capceleres– Col.lecció de propietats del missatge
● Data d'enviament● Remitent, destinatari
– Poden no coincidir amb els que hi ha al sobre
● Llistat de hosts pels quals ha passat el missatge
– El cos del missatge● Text ASCII (7 bits)
Configuració del client de correu● Recepció de correu
– Accés a un mailbox local– Accés a un mailbox remot (Access Agent)
● POP– Transmissió del correu del servidor a un mailbox local
● IMAP– Accés al mailbox remot
● Enviament de correu– SMTP server
Configuració del servidor de correu● Enviament de correu sendmail
– Enviament directe al receptor● Cerca del MX record de DNS destinatari local
– [email protected]● Enviament a través d'un Relay
– No tenim accés directe al destinatari
– Recepció de correu● Guardem els missatges localment
– POP, IMAP al mateix servidor● Relay de correu a un servidor extern
– POP, IMAP a un altre servidor
Configuració del servidor de correu● Alias de correu
– Redirecció del correu a un altre destinatari– En una màquina diferent
– Usuaris amb múltiples noms– root, www, postmaster, webmaster > usuari@màquina
– Enviar correu a un fitxer enlloc d'un usuari– spam: /dev/null
– Enviar correu a un programa– autoftp: “| /usr/bin/ftpserver”
– Definició de llistes de correu● Tot i que hi ha maneres millors de ferho
– Majordomo, Mailman, ListProc, SmartList, ...
Configuració del servidor de correu● Alias de correu
– Definits a /etc/aliases o /etc/mail/aliases– Compilats amb
● $ newaliases● Execució de comandes en alias
– Actualment es fa servir l'entorn de smrsh● Restricted shell for sendmail● Només es podran executar les comandes del directori
/etc/smrsh o /usr/adm/sm.bin
Consideracions de seguretat● Autenticació d'usuaris
– El servidor de correu no demana usuari i password● Es pot afegir SASL
– Es pot falsificar el sobre de correu● SPAM...
– Relay de correu electrònic● El servidor sempre intenta entregar el correu al destinatari
– Fins i tot si el sobre no té res a veure amb ell● “Open Relays” > SPAM
Consideracions de seguretat● Privacitat del correu
– El correu s'envia sense encriptar● Us de TLS (SSL) només entre MUA i MTA● El transport entre MTA's es fa sense encriptar
– L'usuari és responsable de la seva encriptació– PGP Pretty Good Privacy
● Encriptació de missatges ● Signatura de missatges● Basat en clau pública
Consideracions de seguretat● Instal∙lació de filtres
– Antispam● Spamassasin, gray lists, black lists, ...
– Antivirus● Clam AV, Amavis, fprot, ...
En grup● Hem posat un filtre per detectar el spam. Quan es detecta
un correu d'aquestes característiques, quina acció programaríeu?
● I amb el filtre antivirus?
Post Office Protocol (POP)● Permet els usuaris accedir al seu mailbox● Porta els missatges cap a la màquina local● Autenticació d'usuari sense encriptació
– pop3s funciona sobre SSL
POP3: RFC 1939
Internet Message Access (IMAP)● Permet els usuaris manipular al seu mailbox● Realitza les manipulacions remotament● Autenticació d'usuari
– Permet encriptació● imaps treballa sobre SSL
IMAP: RFC 3501
Secure Shell● Substitueix els serveis de rsh/rlogin i telnet● Afegeix seguretat
– Realitza autenticació basada en RSA o DSA● El client signa l'identificador de sessió amb la clau privada● El servidor usa la clau pública (.ssh/authorized_keys) per
comprovar si la signatura és correcta● També es pot usar autenticació basada en password
– Encripta la informació que s'envia per la connexió● Confidencialitat: 3DES, Blowfish...● Integritat: hmacmd5...
Secure Shell● El servidor executa la comanda donada o l'intèrpret de
comandes de l'usuari● Sessió transparent
– Quan no es demana usar un pseudoterminal– Es pot fer servir per transferir dades en format binari
● Sessió de login– També pot fer forwarding de TCP i X11
● DISPLAY=hostname:10.0
SSH: RFC 2434(?)
En grup● Secure shell permet implementar transferència segura
d'informació– Com implementaríeu secure copy i secure file transfer
sobre ssh?
Radius● Servidor d'autenticació remota d'usuaris
– Permet configurar una BBDD de usuaris● Nom● Contrasenya● Diferents propietats
– Fa accounting del temps d'us dels usuaris– Altres servidors/dispositius l'utilitzen per autenticar als
usuaris● routers● dialups
Network File System (NFS)● Accés a fitxers guardats en un disc remot
– Mantenint la semàntica del sistema de fitxers local● Actua de forma transparent a l'usuari
– Implementat usant RPC's
Shared disk
NFS serverNFS client
OSOS
open/closeread/write...
NFS protocol
Local disk
Mount remot per NFS● El directori muntat es veu com si fos local
NFS clientOS
Local disk Shared disk
NFS serverOS
/home
/
usr
home
Permisos d'accés● Els UIDs a la màquina remota i a la màquina local han
de ser els mateixos– El sistema de fitxers guarda UIDs, no usernames
● Traducció automàtica de UID's– Usuaris especials
● Root, nobody– Opcions
● no_root_squash, root pot fer su a qualsevol usuari!● all_squash, es pot fer que tots els usuaris siguin nobody● Es pot definir qui serà nobody
– anonuid=UID,anongid=GID
Configuració d'NFS● /etc/exports
– Directori a exportar– Màquines a les quals s'exporta + flags
● rw, ro● root_squash, no_root_squash
# sample /etc/exports file/ master(rw) trusty(rw,no_root_squash)/projects proj*.local.domain(rw)/usr *.local.domain(ro) @trustedgroup(rw)/home/joe pc001(rw,all_squash,anonuid=150,anongid=100)/pub (ro,insecure,all_squash)
SMB Samba● Permet exportar
– Fitxers– Impressores
● Control d'accés a nivell d'usuari– Autenticació amb usuari i password
● Basat en username, no en UID● Transmissió de passwords de forma encriptada o no
– Restricció d'accés també a nivell de màquina● No permet distingir flags segons la màquina que estigui
accedint– Usar noms de recurs diferents
LDAP● Lightweight Directory Access Protocol
– Permet accedir a bases de dades amb informació sobre els usuaris
● En format de directori (X.500)– Ofereix un mecanisme d'autenticació d'usuaris
● /etc/passwd, /etc/shadow, /etc/group...● ... poden ser volcats a la base de dades d'LDAP
– Es pot integrar de forma que les comandes consultin la base de dades d'usuaris, a més dels fitxers tradicionals
– Base de dades típica● Berkeley Database (BDB)
Configuració del servei● Configurar, compilar i instal.lar
● Comandes LDAP per fer proves: altes / baixes / modificacions– ldappasswd ldapadd– ldapsearch ldapdelete– ldapwhoami
http://www.openldap.org/
$ ./configure prefix=/home/xavim/Downloads/openldap –enablelmpasswd \ enablespasswd enablepasswd enableldap –enablesyslog$ make depend$ make$ make test$ make install
Autenticació amb LDAP● Fitxer /etc/nsswitch.conf
– passwd: ldap compat – group: ldap compat
● Els elements es busquen en l'ordre especificat● libc té una sèrie de mòduls que es carreguen segons
l'autenticació que es demana– libnss_compat.so.2 (/etc/passwd NIS)– libnss_dns.so.2– libnss_files.so.2 (/etc/passwd)– libnss_ldap.so.2– libnss_wins.so.s (Servei de noms de Windows)– libnss_nisplus.so.2 (NIS+)
Virtual Private Networks (VPN)● Servidor i client negocien una connexió segura● Es disposa d'una @IP interna, amb la qual cosa es té
accés a tots els serveis de la Intranet, com si fos a dins
VPN serverOpenVPN port: 1194
192.168.1.30
192.168.1.31
192.168.1.32
192.168.1.33
192.168.1.34
Internet 88.40.135.97VPN 192.168.1.200 (tun module)
Internettunnel
Top Related