Руководство администратора сети в ос linux
|
Скачать 3.85 Mb.
|
2.5. Поддержка Вашей системы Повсюду в этой книге, мы в основном будем иметь дело с проблемами конфигурации и установки. Администрирование, однако, гораздо труднее--после установки сервеса, Вы должны сохранить его работоспосбность Для большенства из них, будет необходимо достаточно мало внимания, в то время как некоторые, типа почты и новостей, требуют постоянного внимания. Мы будем обсуждать все это в более поздних главах. Абсолютный минимум в обслуживании -- регулярная проверка системы и просмотр log файлов на ошибки и необычные случаи. Вы конечно захотите сделать это с помощью написания административных скриптов и периодически запуская их. Исходная дистрибуция некоторых основных приложений, типа smail или C news, содержат такие скрипты. Вы должны только попросить их удовлетворить ваши потребности. Результат работы любого такого скрипта должен быть отправлена по почте администратору. По умолчанию, большенство приложений будут посылать сообщения об ошибках, обычную статистику, или резюме logfile к root. Этот имеет смысл только если Вы часто входите в систему под root; еще лучше, если почту root перенаправлять на ваше имя, как описано в главе 15. Однако как бы тщательно Вы не конфигурировали ваш участок, по закону Мерфи проблемы обязательно появятся. Поэтому, при обслуживании системы от жалоб не отвертеться. Обычно, люди ожидают что администратор системы может по крайней мере быть найден через email как root, но имеются также другие адреса, которые обычно используются чтобы найти лицо ответственное за определенный аспект управления. Например, жалобы относительно сбоев в конфигурации почты будут обычно адресованы postmaster, а проблемы с системой новостей могут быть сообщены newsmaster или usenet. Обращения к hostmaster должны быть перенаправлены лицу отвечающему за основные услуги сети и службу имен DNS. 2.5.1. Безопасность системы Другой очень важный аспект администрирования системы в сети --защита системы и пользователей от злоумышленников, которые могут вредить вам не только фальшивыми сообщениями, но и стиранием данных или нарушения секретности ваших пользователей. Мы будем yпоминать некоторые специфические проблемы при обсуждении случаев, когда они могут происходить, и предложим несколько общих способов защиты. Здесь мы будет обсуждать несколько примеров и основных методов обеспечения безопасности системы. Конечно, охваченные темы не могут решить всех проблем безопасности, с которыми вы столкнетесь; они просто служат иллюстрацией проблем, которые могут возникнуть. Поэтому, необходимо прочитать хорошую книгу по безопасности, особенно администратору сетевой системы. Simon Garfinkel "Практическая UNIX Безопасность" -- очень рекомендую. Безопасность системы начинается с хорошего администрирования системы. Это включает в себя проверку собственности и разрешений всех жизненено важных файлов и каталогов, контроль использования привилигерованных прав, и т.д.. COPS программа, например, будет проверять вашу файловую систему и общие файлы конфигурации на необычных разрешения и другие аномалии. Также следует ввести определенные правила по созданию пользовательских паролей, которые позволяли бы уменьшить вероятность их подбора. Например, потребовать чтобы пароль имел по крайней мере пять букв, и содержал как верхние так и низкие регистры и цифры. При создании сервиса доступного по сети, постарайтесь дать ему "наименьшие привилегии," удастовертесь что Вы не разрешаете ему делать вещи, которые не требуются для его работы. Например, Вы должны делать программы с привилегии root только, когда они действительно нуждаются в этом. Например, если Вы хотите разрешить бездисковым хостам загружаться от вашей машины, Вы должны обеспечить TFTP (тривиальный сервис передачи файла) так, чтобы они загружали основные файлы конфигурации из дириктории /boot. Однако, когда используется неограниченный TFTP, это позволяет любому прочитать общедоступные файлы с вашей машины. Если это не то, что Вы хотите, почему бы не ограничить TFTP сервис дирикторией /boot? По той же самой причине, Вы могли бы захотеть ограничить доступ к определенным услугам пользователям с определенных хостов. В главе 10., мы представляем tcpd, который делает это для разнообразных сетевых приложений. Другой важный пункт -- избегайте "опасного" программного обеспечения. Конечно, любое программное обеспечение, которое Вы используете может быть опасно, потому что программное обеспечение может иметь ошибки, так что умные люди могли бы использовать их чтобы получить доступ к вашей системе. Подобные вещи случаются и нет никакой полной защиты против этого. Эта проблема касается как бесплатного, так и коммерческого программного обеспечения. Однако, программы, которые требуют специальных привилегий несоизмеримо опаснее чем другие, потому что любая лазейка может иметь непоправимые последствия. Если Вы устанавливаете сетевую программу будте вдвойне осторожны и ничего не пропускаете в документации, чтобы случайно не нарушить безопасность системы. Вы не можете исключить того, что ваши предосторожности могут потерпеть неудачу, независимо от того насколько осторожный Вы были. Поэтому Вы должны удостовериться, что Вы обнаружите злоумышленников сразу же после их появления. Хорошее начало -- проверка log файлов системы, но злоумышленник вероятно умный человек, и будет удалять любые очевидные следы перед уходом. Однако, имеются инструменты подобно tripwire, которые позволяют Вам проверять жизненно важные системные файлы и регистрировать были ли их содержание или разрешения изменены. Tripwire вычисляет различные сильные контрольные суммы по этим файлам и хранит их в базе данных. Потом контрольные суммы повторно вычисляются и сравниваются с сохраненными для обнаружения любых модификации. 3. Проблемы TCP/IP сети Теперь обратимся к деталям того как вы будете присоединять вашу Linux машину к сети TCP/IP, включая работу с IP адресами, именами хостов, и чуть-чуть проблемы маршрутизации. Эта глава дает Вам основу, которая поможет Вам понять, что требуется для установки системы, в то время как следующие главы будут охватывать инструменты, с помощью которых это достигается. 3.1. Сетевой интерфейс Чтобы скрыть разнообразное оборудование, которое может использоваться в сетевой среде, TCP/IP определяет абстрактный интерфейс, через который можно обращаться к аппаратным средствам ЭВМ. Этот интерфейс предлагает набор действий который является одинаковым для всех типов аппаратных средств и в основном имеет дело с посылкой и получением пакетов. Для каждого переферийного устройства, которое Вы хотите использовать, в ядре должен быть представлен соответствующий интерфейс Например, Ethernet интерфейсы в Linux названы eth0 и eth1, а интерфейсы SLIP -- sl0, sl1, и т.д.. Эти названия интерфейса используются при конфигурировании, когда Вы хотите определить ядру специфическое физическое устройство. Они не имеют никакого назначения кроме этого. Чтобы работать в TCP/IP сети, данному интерфейсу должен быть назначен IP адрес, который служит как идентификатор при общении с остальным миром. Этот адрес различен в зависимости от названия интерфейса упоминаемого выше; если Вы сравниваете интерфейс с дверью, тогда адрес подобен пластине с именем, прикрепленной на ней. Конечно, имеются другие параметры устройства которые необходимо отрегулировать; один из них - максимальный размер дэйтаграм который может быть обработан данной частью аппаратуры, также называемый Maximum Transfer Unit, или MTU. Другие параметры будут представлены позже. 3.2. IP адреса Kак упоминается в предыдущей главе, адреса понятные в соответствии c IP -- это 32-битовые числа. Каждая машине в данной сети должен быть назначена уникальный адрес. В локальной сети, которая не использует TCP/IP для связи с другими сетями, Вы может назначить эти номера согласно вашим персональным предпочтениям. Однако, для участков Inetrnet, номера назначаются NIC. Для более легкого чтения, IP адреса разбивают на четыре 8 битовых числа, названных octets. Например, quark.physics.groucho.edu имеет IP адрес 0x954C0C04, который записывается как 149.76.12.4. Этот формат часто называют dotted quad notation. Другая причина для такой записи то, что IP адреса разбиваются на номер сети, который написан в первых octets, и номер хоста, который является остатком. При обращении к NIC за адресами, Вы не получаете адрес для каждого отдельного хоста, которые Вы планируете поставить. Вместо этого, Вам дают сетевой номер, и позволяющий назначать машинам любые IP адреса из заданного таким образом диапазона. В зависимости от размера сети, хост часть можем быть меньшей или большей. В зависимости от различные потребностей имеются несколько классов сетей, определяющих различное разбиение IP адресов. Класс A включает сети от 1.0.0.0 до 127.0.0.0. Сетевой номер содержится в первом octet, что предусматривает 24 разрядную хост часть, сеть приблизительно из 1.6 миллион хостов. Класс B содержит сети от 128.0.0.0 до 191.255.0.0; сетевой номер находится в первых двух octets. Это предполагает 16320 сетей с 65024 хостами каждый. Класс C диапазон сетей от 192.0.0.0 до 223.255.255.0, с сетевой номер содержится в первых трех octets. Это предполагает почти 2 миллиона сетей по 254 хоста. Классы D, E, и F Адреса попадающие в диапазон от 224.0.0.0 до 254.0.0.0 являются или экспериментальным, или сохранены для будущего использования и не определяют какую-либо сеть. Если мы вернемся к примеру в предыдущей главе, мы увидим что 149.76.12.4, адрес quark, относится к хосту 12.4 в сети 149.76.0.0 класса B. Вы можете заметить, что в вышеупомянутом списке для каждого octet в части хоста возможны не все значения. Это потому что номера хоста со всеми octets равными 0 или 255 сохранены для специальных целей. Адрес в котором все биты хост части -- ноль относится ко всей сети, а где все биты хост части 1 назван broadcast (широковещательным) адресом. Он относится ко всем хостам из указанной сети. Таким образом, 149.76.255.255 не существующий адрес хоста, он относится ко всем хостам сети 149.76.0.0. Имеются еще два зарезервированных адреса, 0.0.0.0 и 127.0.0.0. Первый назван default route(путь по умолчанию), последний loopback (кольцевым) адресом. default route используется при маршрутизации IP дэйтаграм, с которыми мы будет иметь дело ниже. Сеть 127.0.0.0 сохранена для IP работы внутри хоста. Обычно, адрес 127.0.0.1 будет назначен специальному интерфейсу на вашем хосте, так называемому интерфейсу loopback, который действует подобно закрытому кругообороту. Любой IP пакет переданный ему от TCP или UDP будет возвращен к ним как будто он только что прибыл из некоторой сети. Это позволяет тестировать сетевое программное обеспечение без использования "реальной" сети. Также он полезен, когда Вы хотите использовать сетевое программное обеспечение на автономном хосте. Например, большое количество UUCP участков не имеют IP связи вообще, но все же хотят управлять INN системой новостей. Однако для правильной работы под Linux, INN требует интерфейса loopback. 3.3. Address Resolution(поиск по адресу). Теперь, когда вы видели как создаются IP адреса, Вы можете спросить как же они используются в Ethernet при адресации различных хостов? В конце концов Ethernet протокол опознает хосты по шести байтовому адресу, который не имеет абсолютно ничто общего с IP адресом. Именно поэтому необходим механизм, переводящий IP адреса в адреса Ethernet. Это так называемый Address Resolution Protocol (Протокол Решения Адреса), или ARP. Фактически, ARP не ограничен Ethernet, он используется и на сетях других типов. Идея, лежащая в основе ARP аналогична способу применяемому большинством людей, когда они хотят найти господина X. Они ходят по толпе и выкрикивают его имя. И если он там, он откликнется. Когда ARP хочет выяснять Ethernet адрес соответствующий данному IP адрес, он использует особенность Ethernet известную как "broadcast"(широковещательное), когда дэйтаграмы адресовываются одновременно всем станциям в сети. Широковещательная дэйтаграма посланная ARP содержит запрос с IP адресом. Каждый хост сравнивает его с собственным адресом, и если они совпадают, возвращает ARP-ответ на спрашивающий хост. Спрашивающий хост может теперь извлечь Ethernet адрес отправителя из этого ответа. Конечно Вы могли бы удивиться как хост может знать на котором из миллионов Ethernet во всем мире должен находить желаемый хост, и почему это вообще должен быть Ethernet. Все это называется Routing(маршрутизация), а именно выяснение физического местоположения хоста в сети. Это и будет темой следующей секции. Давайте пока еще поговорим об ARP. Если хост обнаружил Ethernet адрес, он сохранит его в ARP кэше, чтобы, когда в следующий раз потребуется послать дэйтаграму рассматриваемому хосту, не требовалось тратить время на его поиск. Однако, он не знает сохранить ли эту информацию навсегда; например, на удаленном хосте могут поменять Ethernet карту, так что хранимая информация окажется не верной. Что потребует через некоторое время еще раз полностью повторить описанную процедуру. Иногда, также необходимо выяснять IP адрес связанный с данным Ethernet адресом. Это случается, когда бездисковая машина хочет загрузится с сервера по сети, что является весьма общей ситуацией для локальных сетей. Бездисковый клиент, однако, не имеет никакой информацию относительно себя кроме Ethernet адреса! Он посылает широковещательное сообщение содержащее просьбу к серверу сообщить ему его IP адрес. Для этого существует другой протокол, называемый Reverse Address Resolution Protocol (Реверсивный ARP), или RARP. А также BOOTP протокол, который служит для определения процедуры загрузки бездисковых клиентов по сети. 3.4. IP маршрутизация 3.4.1. IP Сети Когда Вы пишете письмо, Вы обычно помещаете на конверте полный адрес: страну, штат, почтовый индекс, и т.д.. После того, как Вы опускаете его в почтовый ящик, почта доставит его по месту назначения: оно будет послано обозначенной стране, чья национальное почта пошлет его в требуемый штат, и т.д.. Преимущество этой иерархической схемы довольно очевидно: Везде, где Вы отправляете по почте письмо, местный начальник почтового отделения будет точно знать, куда передать это письмо, и не должен заботиться, которым путем письмо будет путешествовать. IP сети построины подобным образом. Весь Inetrnet состоит из набора сетей, названных автономными системы. Каждая такая система производит всю маршрутизацию между своими членами так, что задача посылки дэйтаграм сведена к обнаружению пути к сети с требуемым хостом. Это означает, что как только дэйтаграма вручена любому хосту который находится в той же сети, обработка выполняется исключительно данной сетью. 3.4.2. Подсети Эта структура отражена в разбиении IP адреса на хост и сетевую части, как объяснено выше. ПО умолчанию, сеть мест назначения получается из сетевой части IP адреса. Таким образом, хосты с идентичными IP адресами сети должны располагаться в пределах одной сети, и наоборот. (2) Имеет смысл предложить подобную схему также и внутри сети, так как она может состоять из набора сотен меньших сетей, где самыми маленькими единицами являются физические сети типа Ethernets. Поэтому, IP позволяет Вам поделить IP сеть на несколько подсетей. Подсеть принимает ответственность за доставку дэйтаграм для определенного диапазона IP адресов. Как с классами A, B, или C, она идентифицируется сетевой частью IP адресов. Однако, сетевая часть теперь расширена, чтобы включить некоторые биты от хост части. Число битов которые интерпритируются как номер в подсети задается так называемой subnet(подсетевой) маской, или netmask. Это - 32 разрядное число, которое определяет разрядную маску для сетевой части IP адреса. Сеть Groucho Marx Университета - пример такой сети. Она имеет класс B с сетевым номером 149.76.0.0, и netmask поэтому равен 255.255.0.0. Внутри, сеть GMU состоит из нескольких меньших сетей, типа локальных сетей различных отделов. Так что диапазон IP адресов разбит на 254 подсети, от 149.76.1.0 до 149.76.254.0. Например, отдел теоретической физики имеет номер 149.76.12.0. Университетский оптиковолоконный кабель тоже сеть с собственным номером 149.76.1.0. Эти подсети имеют одинаковый сетевой IP адрес, в то время как третья octet используется, чтобы различать их между собой. Таким образом они будут использовать подсетевую маску 255.255.255.0. Картинка 3.4.2 показывает как 149.76.12.4, адрес quark, интерпритируется по-разному когда адрес принят как обычный адрес сети класса B, и когда используется с подсетью. Стоит заметить что subnetting (так названа техника создания подсетей) -- чисто внутреннее дело сети. Подсети создаются сетевым владельцем ( или администратором). Часто, подсети создаются чтобы отразить существующие границы, будь они физические (два Ethernets), административные (между двумя отделами) или географические. Однако, эта структура воздействует только на внутреннее поведение сети, и полностью невидима для внешнего мира. |
Похожие:
 |
Установка и настройка iTalc в Linux EduMandriva Это позволяет просматривать и управлять другими компьютерами в вашей сети в нескольких направлениях. Он поддерживает Linux и Windows... |
|
Кудиц-пресс Подробная информация по конфигурации и администрирова нию компонентов сети позволит администратору организовать работу в сети Linux... |
|
Руководство для пользователей linux кластера лит оияи В нашем «Руководстве для пользователей Linux кластера лит оияи» обобщен опыт работы на данном кластере и содержатся основные сведения,... |
 |
Руководство администратора Страниц 58 Версия 2 04. 08. 2017 Назначение... Настоящий документ содержит руководство администратора по программному продукту «q framework». Цель документа – предоставить администратору... |
|
Руководство администратора/оператора тц Разработка информационно-телекоммуникационной сети росгидромета для сбора геофизических данных с наземных наблюдательных платформ... |
|
Руководство администратора На листах Аннотация Документ «Руководство Администратора» По основным образовательным программам и дополнительным общеобразовательным программам амурской области |
|
Руководство Администратора/оператора компонентА “Мониторинг ресурсов и сервисов” Разработка информационно-телекоммуникационной сети росгидромета для сбора геофизических данных с наземных наблюдательных платформ... |
|
Наименование программы Руководство администратора Документ Настоящий документ содержит описание действий администратора по настройке по «Фрагмент» |
|
Руководство пользователя Видеорегистраторы Tigris 200-й серии В данной серии регистраторов установлена операционная система Linux и используется прогрессивный формат сжатия видео H. 264, для... |
|
О назначении администратора безопасности информации на автономную... Для осуществления постоянного контроля, соблюдения требований режима обработки конфиденциальной информации на автономной вычислительной... |
|
Linux многозадачная и многопользовательская операционная система... Это гибкая реализация ос unix, свободно распространяемая под генеральной лицензией gnu |
|
Eth0 внешний интерфейс шлюза. Именно ему присвоен сетевой адрес $ext ip eth1 Допустим, мы находимся в локальной сети и от внешнего мира отделены шлюзом под управлением Linux |
|
Баланса главного распорядителя, распорядителя, получателя бюджетных... Методических указаний по инвентаризации имущества и финансовых обязательств, утвержденных приказом Минфина России от 13. 06. 1995... |
|
Данный модуль включает в себя По (pcbe для Windows 9x/NT/2k/XP/2k3/2k3 64bit, Novell NetWare, Solaris, hp-ux, Linux, ibm-aix, RedHat Linux, sco unixware, and sco... |
|
Руководство по эксплуатации содержание Источник бесперебойного питания (ибп) предназначен для надежной защиты электрооборудования пользователя от любых неполадок в сети,... |
|
Руководство администратора удаленного клиента Документ является дополнением к ранее выпущенному документу Руководств администратора удаленного клиента. Документ предназначен для... |