Documente Academic
Documente Profesional
Documente Cultură
Linux - Manual de Predare I
Linux - Manual de Predare I
Material de predare I
Familia UNIX/ Linux
Servicii de mail
Servicii de
aplicaii
Servicii de W EB
server
Servicii de
terminal server
clien
i
Totui sfatul nostru ar fi: cel mai bun sistem de operare este acela pe care l tii
cel mai bine!
Caracteristicile familiei Microsoft W indows Server:
a. Costa! i nu puin!
b. Este intens utilizat, avnd 60% din cota de pia
c. Interfaa grafic este inclus n kernel (se ncearc o variant fr
interfa grafic) lucru nu foarte pe placul administratorilor de sistem
cu state vechi de plat n lucrul n linie de comand / care sunt obisnuiti
cu lucrul n linie de comanda
d. Linia de comand ofer o mulime de faciliti dup ce v obinuii
cu ea
e. Uor de configurat, totui o configurare n amnunt necesit timp
f. Uor de instalat
g. Kitul de instalare conine drivere pentru majoritatea absolut a
sistemelor de calcul existente pe pia
h. Uurin la partiionare, redimensionare partiii. Recunoate nativ
NTFS i FAT. Poate recunoate cu drivere suplimentare i partiii
ext2, ext3, reiser, HFS i altele
i.
j.
Prietenos cu utilizatorul
j.
j.
UNIX
sunt
serie
de
(X),
sisteme
de
ferestre
si
de
aplicaii
"de
birou"
altele ctre servere sau ctre utilizatorii cu calculatoare mai vechi. Cteva din cele mai
folosite distribuii de Linux sunt:
Ubuntu, un proiect orientat spre utilizatorul obinuit bazat pe Debian GNU/Linux, care a
ctigat o mare popularitate prin faptul c este uor de utilizat i configurat, fiind n acelai
timp puternic i stabil. Distribuii nrudite: Kubuntu (folosete KDE), Xubuntu (folosete
Xfce), Edubuntu (orientat spre educaie).
SuSE Linux - o distribuie orientat att spre servere ct i spre staii de lucru i desktopuri,
care pune accentul pe uurina n utilizare i configurare. Produs de compania german
Suse, parte a grupului Novell.
Fedora Core - nscut din proiectul RedHat, dar coninnd exclusiv software liber i disponibil
gratuit de pe Internet.
Debian GNU/Linux, una din distribuiile cele mai vaste de pe Internet, coninnd un numr
uria de pachete. Creatorii proiectului au dezvoltat managerul de pachete APT i al
pachetele DEB.
PCLinuxOS - o distribuie derivat din Mandriva Linux, destinat mediului desktop i care se
remarc prin usurina instalrii, fiind adecvat pentru utilizatorii nceptori.
Mandriva Linux (denumit anterior Mandrake Linux) - o distribuie uor de utilizat, orientat
spre utilizatorii desktop, creat de compania francez Mandriva.
Slackware Linux, este una din cele mai vechi distribuii, avnd ca moto "Pstreaz
(lucrurile) simplu". Distribuiei i lipsesc unelte de configurare uoar, dar beneficiaz de
vitez mare de rulare, posibilitate a de a fi instalat pe hardware mai vechi i o organizare
simpl a sistemului.
Gentoo Linux, o distribuie orientat spre performane maxime i destinat utilizatorilor
avansai. Distribuia se remarc prin timpul foarte lung necesar instalrii, care necesit de
regul compilarea i optimizarea pachetelor pe sistemul pe care se face instalarea (spre
deosebire de majoritatea distribuiilor, care instaleaz software precompilat). Acest lucru are
grafic
cu
utilizatorul
Mac OS Classic - sistemul care era livrat mpreun cu primul Macintosh n 1984,
Mac OS 9.
Pentru Mac OS Classic este caracteristic lipsa liniei de comand; el este un SO n ntregime
bazat pe interfaa grafic. Cu toate c era uor de utilizat, era criticat pentru single tasking (la
primele versiuni) i pentru multitasking cooperativ (n versiunile mai noi, pentru administrarea
limitat a memoriei, lipsa memoriei protejate). Iniial Mac OS utiliza sistemul de fiiere
Machintosh, un sistem plat - cu un singur nivel de mape. Acesta a fost nlocuit cu un sistem
de fiiere ierarhic, care avea un adevrat arbore de mape.
Mac OS X este o familie de sisteme de operare cu interfa grafic, proiectate, promovate i
vndute de firma Apple, ultima versiune fiind instalat la toate computerele Macintosh livrate
n prezent (2007). Spre deosebire de versiunile anterioare, Mac OS X este un sistem de
operare multi-user, multitasking, de tip Unix.
Nucleul (kernelul) implicit cu care vine Linux este foarte bine configurat. Dac
totui dorii s adugai faciliti suplimentare, fii foarte selectivi
Cu ajutorul sgeilor, daca este cazul, alegei prima opiune i apsai Enter.
Pentru a evita pierderea de timp urmtorul ecran care apare ne va da posibilitatea s
verificm corectitudinea datelor scrise pe DVD ROM. Selectnd OK, DVD ROM-ul va fi
verificat. Dac nu va fi identificat nici o eroare, instalarea sistemului de operare va continua,
altfel trebuie scris un alt DVD ROM.
Fedora 10 poate fi instalat att n mod text, ct i mod grafic. Pentru a avea acces la
interfaa grafic trebuie ndeplinite mai multe condiii:
o sistemul de calcul trebuie s aib mai mult de 192MB RAM.
o Placa video trebuie s fie recunoscut de ctre programul de instalare.
Deoarece suportul pentru limba romn nu este foarte bine pus la punct, autorul
recomand folosirea limbii engleze.
-
Deoarece contul de root este cel mai atacat cont pe un sistem Linux, trebuie ca
parola acestui cont s fie una puternic (minim 8 caractere; s conin litere mari,
mici, cifre, caractere speciale; s nu fie bazat pe cuvinte de dicionar)
Pentru instalarea sistemului de operare trebuie s partiionai hard diskul. Vei observa c
partiionarea harddiskului n Linux difer sensibil de partiionarea haddiskului n windows.
Sistemul de operare Fedora necesit cel puin 3 partiii: /boot partiia de boot, / partiia rdcin i swap partiia de memorie virtual.
n continuare vom prezenta cele mai importante partiii care ar trebui s se gseasc pe un
server linux:
a.
/ directorul rdcin se afl pe cel mai nalt nivel ierarhic. ntr-o configuraie simpl
(de exemplu, cea care se creeaz atunci cnd selectai opiunea Automatically
Partition ntr-o instalare Custom) ntreaga structur de directoare a sistemului va fi
creat pe o singur partiie.
b.
/usr - n Linux, cea mai semnificativ grupare a fiierelor se face n directorul /usr,
unde se afl marea majoritate a programelor, (n termenii W indows, acest director
este similar cu C:\Program Files.)
/tmp - director unde sunt plasate fiierele temporare. Pentru c acest director
este proiectat s permit accesul la scriere tuturor utilizatorilor (similar directorului
Temp din windows) trebuie s v asigurai c utilizatorii nu abuzeaz de el i nu
ocup tot spaiul disponibil pe disc. Din acest motiv ar trebui de asemenea montat pe
o partiie separat.
e.
/home, unde se afl directorul de pornire al tuturor utilizatorilor. Acest director este
important pentru a putea mpiedica utilizatorii s foloseasc tot coninutul discului, n
defavoarea unor componente critice (precum fiierele jurnal).
f. /var, destinaia final pentru fiierele jurnal. Datorit faptului c fiierele jurnal pot fi
afectate de modificri generate de utilizatori externi (spre exemplu persoane care
acceseaz un site web) este important ca ele s se afle pe o partiie separat, pentru
ca nimeni s nu poat efectua un atac de tip Denial of Service (DoS) prin generarea
unui numr foarte mare de intrri n fiierele jurnal, astfel umplnd discul pn la
refuz.
Ca sistem de fiiere sistemul de operare folosete implicit ext3.
2.
3.
De asemenea putei specifica i alte depozite cu programe n afar de cele implicite oferite
de DVD-ul de instalare.
Procesul de instalare va verifica pachetele alese i va instala pachetele necesare pentru
buna funcionare a sistemului de operare i a aplicaiilor alese de dumneavoastr. Dup
aceasta, va ncepe procesul de instalare propriu-zis a pachetelor.
n momentul n care procesul de instalare s-a ncheiat, apare ecranul final care ne va
anuna c instalarea s-a ncheiat i sistemul de calcul trebuie repornit.
Dup repornirea sistemului de calcul, va intra un agent de configurare (setup agent) care ne
va ghida prin procesul de configurare iniial a sistemului de operare. Dup ce setrile de
conectarea
la
un
sistem
prin
intermediul
-L port local: main \port_remote - specific faptul c portul de pe maina local (port
-R port local: main: port remote - portul specificat de pe maina aflat la distan va fi
serverului. Aceast valoare, este folosit la pornirea daemonului pentru a-i genera propria
cheie RSA.
cererile recursive sunt utilizate atunci cnd un client efectueaz o cerere, iar rspunsul nu
se gsete n zona deservit de acesta, serverul fiind nevoit s parcurg ierarhia DNS pentru
a gsi rspunsul;
cererile nerecursive sunt utilizate atunci cnd un client efectueaz o cerere al crei
Declaraiile pot conine subdeclaraii i trebuie ncheiate cu ; ". Comentariile pot fi n stil
C (/* ... */), C + + (//...) sau bash (#...). Directivele care pot fi utilizate sunt urmtoarele:
logging - specific coninutul jurnalelor i destinaia mesajelor de jurnalizare
options - stabilete configurrile globale ale daemonului named i opiuni implicite ale
parametrilor.
zone - definete o zon.
contact - adresa de e-mail a persoanei care administreaz domeniul; semnul @" este
nlocuit cu .".
- serial - un numr reprezentnd versiunea fiierului de descriere a zonei n zecimal. Acest
numr trebuie incrementat de fiecare dat cnd sunt modificate informaii n zona respectiv.
O convenie des utilizat este folosirea datei modificrii, plus un numr format din dou cifre.
Acest numr serial este utilizat de serverele DNS secundare pentru a sesiza modificrile de
informaii.
-
secundare, exprimat n secunde. Este un numr zecimal cu maximum 8 cifre. Pentru reele,
unde aceste informaii se modific rar, poate fi de ordinul zilelor.
-
serverele secundare dac aceasta eueaz, exprimat n secunde. Valoarea sa este n mod
normal n jur de o or.
minim - valoarea TTL implicit pentru nregistrrile care nu o specific. Aceasta desemneaz
durata maxim de timp ct alte servere DNS pot memora nregistrarea n cache. Dac nu se
produc frecvent modificri, valoarea sa poate fi de o sptmn.
A asociaz o adres IP cu un nume de main (Address). Pentru fiecare nume de main
trebuie s existe doar o singur nregistrare de tip A. Numele de main specificat este cel
oficial sau autorizat (canonical). Toate celelalte nume de main sunt considerate
pseudonime i pot fi specificate cu ajutorul nregistrrii de tip CNAME
NS - specific serverul primar i toate serverele secundare ale zonei (Name Server): Cmpul
data conine numele serverului DNS.
CNAME - asociaz un pseudonim cu numele autorizat al unei maini (Canonical Name),
PTR - asociaz nume din domeniul in-addr.arpa cu nume de main (Pointer). Este utilizat
pentru asocierea invers (reverse mapping) a adreselor IP cu nume de main. Numele de
main trebuie s fie cel autorizat.
MX - stabilete un agent de transport al potei electronice (Mail eXchanger) pentru zon.
numele
dorit;
de
exemplu,
numele
oficial
al
mainii
poate
fi
perioad de timp i-a fcut apariia W orld W ide W eb-ul i, o dat cu el, a explodat numrul
de utilizatori i numrul problemelor de securitate legate de exploatarea acestuia. Majoritatea
site-urilor folosesc, acum, programe de tip firewall pentru a-i proteja reelele interne de
partea malefic a Internetului. Programele de tip firewall consider legturile ntre porturi cu
numr mare (peste 1024) de pe Internet i porturi similare de pe reeaua intern ca fiind un
lucru ru (i au i dreptate). Prin urmare, majoritatea programelor de tip firewall
implementeaz proxy-uri la nivel de aplicaie pentru FTP care urmresc cererile de tip FTP i
deschid porturile adecvate atunci cnd este necesar primirea informaiilor.
Opiuni generale de configurare
nainte de a trece peste diferitele opiuni de acces disponibile, ar trebui s v familiarizai cu
cteva dintre opiunile de configurare de baz. Aceast seciune reprezint doar o referin
sumar, dar putei s explorai subiectele relevante pentru configurarea dumneavoastr pe
parcurs.
connect_from_port_20 Aceast opiune determin dac se folosete portul 20 pentru
conexiunea de date (atunci cnd se opereaz n mod normal). S-ar putea s v surprind,
dar setarea implicit este no". Motivul este c aa se specific n modelul de securitate
vsftpd. Prin folosirea de porturi care nu au numr mic, daemonul poate opera ntr-un mod
mai puin privilegiat. Dezavantajul este c unii clieni insist ca aceast conexiune de date s
vin de pe portul 20, i deci, n fiierul exemplu, pentru cazul folosirii unui astfel de client,
aceast setare trebuie s fie pus pe yes".
pasv_enable Aceast opiune permite folosirea modului pasiv i setarea implicit este yes".
Dezactivai-o dac, pentru vreun motiv, dorii s mpiedicai folosirea modului pasiv.
pasv_promiscuous Una dintre precauiile modelului de securitate vsftpd implic asigurarea
c, n modul pasiv, conexiunea de date vine de la acelai IP ca i conexiunea de control. Prin
activarea acestei opiuni se va trece peste acest control. Ar putea avea sens folosirea acestei
opiuni dac plnuii s facei un transfer FTP indirect, ca i cel menionat la nceputul acestui
modul sau dac folosii o schem de tunneling (n. trad. tunelare") securizat care interfereaz
cu aceast precauie de securitate vsftpd.
port_enable Aceast opiune permite conexiuni n modul normal (non-passive). n acest caz,
portul se refer la practica n care clientul trimite numrul portului pe care l-ai ales pentru
conexiunea de date. Dezactivai-o dac dorii s permitei conexiuni n modul pasiv. Setarea
implicit este yes".
ftp_banner Aceasta v d posibilitatea s schimbai mesajul de ntmpinare atunci cnd v
conectai pentru prima dat la server. Contrar practicilor altor ftpd, vsftpd v permite setarea
acestui mesaj chiar aici, n fiierul config. Introducerea n acest mesaj a numelui softwareului pe care-l utilizai i a versiunii acestuia constituie un risc de securitate i nu este indicat.
dirmessage_enable Setarea este folosit pentru transmiterea ctre utilizator a unor informaii
referitoare la coninutul unui director. n momentul n care un director este accesat i aceast
setare este activ, utilizatorului i se afieaz coninutul fiier text (.message implicit).
write_enable Dup cum poate v ateptai, aceast opiune permite scrierea n directoarele
ftp. Este necesar pentru cazul n care dorii s permitei upload-uri de orice fel. Desigur,
exist i implicaii de securitate n activarea acestei opiuni i este recomandat s o
dezactivai atunci cnd nu avei neaprat nevoie de ea.
xferlog_enable Aceast opiune va nregistra toate transferurile fcute de dumneavoastr n
fiierul jurnal. Trebuie precizat c vsftpd nu folosete syslog.
Controlul accesului la FTP
Un aspect foarte important al administrrii unui server este controlul accesului la acesta.
Folosind setrile disponibile, putei permite doar utilizatorilor care au un cont pe maina
respectiv accesul la aceasta, sau putei permite acces fr parol de tip anonim, sau
amndou, putei permite operaiuni de upload sau doar de download, putei chiar s limitai
aciunile disponibile pentru utilizatorii prezeni pe anumite liste.
numele serviciului;
tipul modulului;
cmpul de control
locaia modulului
argumentele
Aceste module pot fi suprapuse (stacked), astfel nct s fie utilizate simultan multe
module. Ordinea unei stive de module este important n cadrul procesului autentificare,
pentru c nlesnete administratorului impunerea mai multor condiii pentru a permite
autentificarea utilizatorilor. Practic, o politic de autentificare const din patru lanuri, cte
unul pentru fiecare tip de modul. Un lan este aici dintr-o secven de declaraii n fiierul de
configurare, fiecare dintre ace specificnd un modul care va fi apelat, parametrii care vor fi
trimii modulului valoare de control care descrie modul de interpretare a codului care va fi
returna ctre modul.
Vom descrie n continuare modulele cele mai importante:
1.
2.
3.
4.
anumit grup :
6.
nregistrare nou n bazele de date utmp (5), wtmp (5) i lastiog (5) n momentul
autentificrii.
8.
9.
exceptnd utilizatorul root. De asemenea, coninutul fiierului mai sus menionat va fi trimis
utilizatorului i afiat pe terminal.
10.
11.
12.
accesului privilegiat maina rhosts. Astfel, modulul returneaz succes dac identificatorul
utilizatoru este diferit de 0 i dac maina de pe care se face conectarea i numele utilizatoru
apar n fiierul /ete/hosts. equiv sau n fiierul -/ . rhosts, aparinnd utili; torului cu care se
dorete autentificarea.
13.
pam_rootok (8) Modulul pam_rootok are tipul auth i returneaz succes dac
pam_securetty (8) Acest modul (de tip account) verific dac se ncearc
autentificarea ca root dac terminalul pe care se ncearc conectarea apare n /etc/ttys i are
tipul secure.
15.
pam_self (8) Modulul pam_self, avnd tipul auth, returneaz succes dac UID-
ul utilizatorui pentru care se face autentificarea este egal cu UID-ul real al utilizatorului apela
16.
pam_ssh (8) Acest modul este utilizat de sistemul SSH, putnd fi de tip auth
n aa-numitele fiiere-jurnal (logs sau log files) de ctre serviciile care ruleaz pe sistem.
Toate aceste servicii au fost proiectate pentru a genera aceste mesaje de jurnalizare.
Monitorizarea fiierelor-jurnal este una dintre sarcinile de baz ale administratorului de
sistem si servete: la identificarea ncercrilor de accesare neautorizat a sistemului sau a
proastei funcionri a serviciilor ori chiar a componentelor hardware.
Deoarece fiierele-jurnal conin informaii importante despre evenimentele petrecute,
ele sunt extrem de vulnerabile, putnd fi inta modificrilor sau tergerilor intenionate. Ultima
aciune a unui cracker dup ptrunderea n sistem va fi de obicei tergerea urmelor din
fiierele-jurnal. De asemenea, unele jurnale pot oferi informaii despre configurarea
necorespunztoare a unor servicii sau pot dezvlui anumite vulnerabiliti ale acestuia, fiind
nedorit posibilitatea accesrii lor de ctre utilizatorii sistemului. Din aceste motive, este
foarte important stabilirea unor drepturi de acces corespunztoare pentru fiierele-jurnal.