SISTEME DE OPERARE N REEA

Material de predare I
Familia UNIX/ Linux

Tema 1. Caracteristicile unui sistem de operare de reea

Fia 1. Caracteristicile unui sistem de operare de reea
Definiie: sistemul de operare este o colecie de programe cu un nucleu
care se ncarc de pe harddisk n memoria intern la pornirea sistemului de calcul i
realizeaz interfaa dintre utilizator i dispozitivele de intrare/ ieire, definind structura
sistemului de fiiere i gestionnd resursele sistemului de calcul n scopul executrii
programelor utilizatorilor.
Caracteristici:
1. Portabilitatea posibilitatea instalrii / executrii sistemului de operare pe
diverse configuraii hardware ale sistemelor de calcul
2. Multiutilizator - Numrul de utilizatori care pot lucra simultan cu acel sistem de
operare
3. Multiproces numrul de procese care pot fi rulate simultan
Un sistem de operare de reea permite comunicarea ntre diferite dispozitive i
resurse de reea, fapt care necesita existenta altor facilitai cum ar fi
4. Multiprocesor numr de procesoare care pot lucra n paralel
5. Aplicaii pentru servere
6. Stocare de date centralizata
7. Servicii pentru directoare: LDAP i Active Directory
8. Imprimare prin reea
9. Asigurarea securitii
10. Sistem de stocare redundant, precum RAID i backup-uri

Un sistem de operare de reea este, n general, un sistem care ruleaz pe un server de

reea. Exemple de astfel de sisteme sunt: Linux, Unix, Microsoft Windows Server, Mac OS
X server
Hardware. Deoarece sistemele de operare de reea concentreaz o cantitate
mare de resurse vitale, pentru buna funcionare a sistemelor de calcul client, ele trebuie s
fie att eficiente ct i robuste. n general sistemele de calcul dotate cu sisteme de operare
de reea trebuie s poat face fa unor ncrcri mari fr ca o eventual defeciune
hardware sau software s pericliteze funcionarea n ansamblu a sistemului de calcul /
sistemului de operare. Aceasta nseamn c, n general, sistemele de calcul sunt construite
redundant, adic au componente suplimentare care pot prelua sarcinile componentelor
defecte. n esen sistemele de calcul construite pentru sistemele de operare de reea sunt
dotate cu mai multe procesoare, o cantitate mare de memorie RAM, mai multe harddiskuri
configurate n RAID, mai multe interfee de reea.

Servicii de mail
Servicii de
aplicaii
Servicii de W EB

server

Servicii de
terminal server

clien
i

Principalele caracteristici care trebuie s v intereseze atunci cnd alegei un

sistem de operare de reea sunt:

Performana un sistem de opeare de reea trebuie s aib viteze mari de citire

/ scriere a fiierelor clienilor din reea, chiar i n condiiile n care sunt sute de cereri. De
asemenea trebuie s poat prelucra rapid bazele de date
Instrumente pentru managementul i supravegherea sistemului de operare i a
aplicaiilor
Securitate un sistem de operare de reea trebuie s ofere sigurana datelor pe
care le deine prin autentificarea utilizatorilor, drepturi de acces, criptarea informaiilor
Scalabilitate sistemele de operare trebuie s fie capabile s aib performane
ridicate n condiiile n care apar noi utilizatori i noi servicii de reea
Rezisten la defecte sistemul de operare trebuie s rmn funcional chiar
i n situaia n care anumite componente fizice i / sau procese nu mai funcioneaz sau
funcioneaz necorespunztor.
Tipuri de sisteme de operare de reea
Exist mai multe tipuri de sisteme de operare de reea cele mai importante fiind:
1. Microsoft W indows Server
2. Linux (Red Hat, Suse, Ubuntu, Debian, Slackware,)
3. Unix (HP-UX, Solaris, BSD)
4. Mac Os Server
Fiecare din sistemele de operare prezentate mai sus au avantaje i dezavantaje. n alegerea
unui sistem de operare de reea trebuie bine cunoscute avantajele i dezavantajele
fiecruia din ele.
Pentru c este complicat s punem fa n fa toate sistemele de operare de reea i
pentru c ntotdeauna vor exista polemici legate de care sistem de operare este cel mai bun,
ne vom rezuma la a prezenta caracteristicile de baz ale fiecrui sistem de operare lsnd
apoi n seama utilizatorilor s-l aleag pe cel care l consider cel mai potrivit.

Totui sfatul nostru ar fi: cel mai bun sistem de operare este acela pe care l tii
cel mai bine!
Caracteristicile familiei Microsoft W indows Server:
a. Costa! i nu puin!
b. Este intens utilizat, avnd 60% din cota de pia
c. Interfaa grafic este inclus n kernel (se ncearc o variant fr
interfa grafic) lucru nu foarte pe placul administratorilor de sistem
cu state vechi de plat n lucrul n linie de comand / care sunt obisnuiti
cu lucrul n linie de comanda
d. Linia de comand ofer o mulime de faciliti dup ce v obinuii
cu ea
e. Uor de configurat, totui o configurare n amnunt necesit timp
f. Uor de instalat
g. Kitul de instalare conine drivere pentru majoritatea absolut a
sistemelor de calcul existente pe pia
h. Uurin la partiionare, redimensionare partiii. Recunoate nativ
NTFS i FAT. Poate recunoate cu drivere suplimentare i partiii
ext2, ext3, reiser, HFS i altele
i.

Bootloader uor de configurat n interfa grafic.

j.

Prietenos cu utilizatorul

k. Stabil cu condiia s foloseasc software liceniat

l.

Update-urile pot necesita repornirea sistemului de operare

m. n condiia n care sistemul de operare este instalat corect performana

este bun
n. Suport foarte bun n cazul apariiei unor probleme
Caracteristicile familiei Linux:
a. Este open source. O putei lua liber de pe net.
b. Este utilizat, avnd 25% din cota de pia

c. Interfaa grafic este nu este inclus n kernel ceea ce ofer avantaje

(consum mai mic de resurse, blocarea interfeei grafice nu duce la
blocarea sistemului de operare i dezavantaje (lucrul mai greoi cu
sistemul de operare n cazul utilizatorilor mai neavizai)
d. Linia de comand ofer o mulime de faciliti dup ce v obinuii
cu ea
e. Configurare mai greoaie, dar care permite setri de finee
f. Instalarea corect necesit cunotine solide
g. Kitul de instalare conine drivere pentru majoritatea sistemelor de calcul
existente pe pia
h. Uurin la partiionare, redimensionare partiii. Recunoate nativ
ext2, ext3, reiser, HFS. Poate recunoate cu drivere suplimentare i
partiii NTFS i FAT i altele.
i.

n funcie de distribuie poate fi sau nu prieteoas cu utilizatorul

j.

Stabil cu condiia s foloseasc software liceniat

k. Update-urile pot necesita repornirea sistemului de operare

l.

n condiia n care sistemul de operare este instalat corect performana

este foarte bun

m. Suportul n cazul apariiei unor probleme este posibil sa il gsii pe net

sau cu bani la productorii distribuiilor
Caracteristicile familiei Unix:
a. Costa! i nu puin!
b. Este utilizat, avnd 25% din cota de pia
c. Interfaa grafic este nu este inclus n kernel ceea ce ofer
avantaje (consum mai mic de resurse, blocarea interfeei grafice nu
duce la blocarea sistemului de operare i dezavantaje (lucrul mai
greoi cu sistemul de operare n cazul utilizatorilor mai neavizai)
d. Linia de comand ofer o mulime de faciliti dup ce v
obinuii cu ea
e. Configurare mai greoaie, dar care permite setri de finee

f. Instalarea corect necesit cunotine solide

g. Kitul de instalare conine drivere pentru majoritatea sistemelor de
calcul existente pe pia
h. Uurin la partiionare, redimensionare partiii. Recunoate
nativ ext2, ext3, reiser, HFS. Poate recunoate cu drivere
suplimentare i partiii NTFS i FAT i altele.
i.

n funcie de distribuie poate fi sau nu prieteoas cu utilizatorul

j.

Stabil cu condiia s foloseasc software liceniat

k. Update-urile pot necesita repornirea sistemului de operare

l.

n condiia n care sistemul de operare este instalat corect

performana este foarte bun

m. Suportul n cazul apariiei unor probleme este posibil sa l gsii pe

net sau cu bani la productorii distribuiilor

Tema 2. Familia Linux/ Unix/ MACOS

Sistemul de operare UNIX este un sistem proprietar (pentru a crui utilizare trebuie pltit o
sum de bani) dezvoltat iniial de laboratoarele AT&T Bell Labs. Astzi dezvoltarea lui
continu de ctre firme (IBM, HP, Sun) sau de ctre indivizi i organizaii non profit.
Este un sistem multiproces i multiutilizator, construit dup o serie de concepte care
dinuiesc i pn n ziua de azi folosirea fiierelor text att pentru configurare ct i pentru
ieire, kernelul sa fie separat de programele aplicaie, programele s ndeplinesc o singur
funcie etc.
Sistemele de operare actuale deriv din una din cele 3 ramuri de Unix care s-au dezvoltat
de-a lungul timpului: System V, BSD, GNU/Linux

Fisa 2.1. Unix

Sistemele

UNIX

sunt

construite n jurul a mai multe

niveluri concentrice, coninnd
fiecare

serie

de

componente, puse mpreun

pentru a forma sistemul. Un
sistem UNIX conine, pe lng
nucleu (kernel), un interpretor
de comenzi care servete i
drept limbaj de scripting (numit
shell), un set de biblioteci
tipice, o serie de aplicaii canonice i cod surs pentru portabilitate. Nu este necesar ca
distribuiile s conin aceleai programe sau comenzi - ci doar s respecte anumite
standarde i s aib un comportamen previzibil i similar - astfel, kernelul Solaris nu este
acelai cu kernelul HP-UX, iar shellul standard de pe un sistem poate fi complet diferit de cel
de pe alt sistem (populare sunt shellurile bash - Bourne Again SHell, ksh - Korn SHell, tcsh C Shell, Bourne Shell).
Kernelul - n general monolitic cu posibilitatea de ncrcare de module (ca n cazul kernelului
original AT&T, prezent n System 5, Linux sau BSD).
Mediul de dezvoltare - un mediu suficient pentru a reconstrui sistemul direct din codul surs.
Pe lng aceste aplicaii, o distribuie modern UNIX vine cu un server grafic (n general X),
pentru afiare n mod grafic, cu un sistem de ferestre (iniial standardizat prin SUS la Motif i
CDE, astzi omniprezente sunt Gnome i KDE), cu o serie extins de programe, servere i
aplicaii pentru diverse scopuri (de la IDE-uri pentru programare, servere web i calcul
tiinific pn la browsere, procesoare de text i jocuri - spre exemplu, o parte din distribuii
vin cu browserul Firefox).
Termenul Linux se refer la nucleul Linux, dar este folosit n mod uzual pentru a descrie un
ntreg sistem de operare compus din nucleul Linux, biblioteci software i diverse unelte. O

distribuie Linux adaug acestor componente de baz o mare cantitate de programe

organizat n "pachete".
Nucleul Linux a fost dezvoltat iniial pentru microprocesorul Intel 386, dar n prezent ruleaz
pe o mare gam de microprocesoare i arhitecturi. Este folosit att pe calculatoare PC i
supercomputere ct i pe sisteme ncapsulate cum ar fi telefoane mobile sau video
recordere.

Fia 2.2. Linux

Sistemele Linux includ nucleul, bibliotecile
de sistem, bibliotecile de dezvoltare i un
numr (de obicei destul de ridicat) de
programe utilitare i aplicaii, servere
grafice

(X),

sisteme

de

ferestre

si

managere de desktop-uri (KDE, Gnome,

Blackbox, Fluxbox, Xfce etc.), browsere
web (Firefox, Lynx, Konqueror), aplicaii i
suite

de

aplicaii

"de

birou"

(OpenOffice.org) software de prelucrare

grafic (Gimp), software de configurare, servere de web etc. Instalarea programelor noi se
poate face fie prin compilare direct, fie prin intermediul pachetelor, care verific existena i
disponibilitatea altor programe necesare pe sistem nainte de a instala noul program.
Managerele de pachete moderne asigur descrcarea pachetelor lips necesare (dac este
cazul) i instalarea lor automat "dintr-un clic". Sistemele moderne linux au att capaciti
multimedia avansate (grafic 3D accelerat hardware, sunet surround, suport pentru
tehnologie bluetooth etc.), ct i suport pentru hardware mai vechi, fiind adaptabile i
scalabile n funcie de necesiti.
Sistemele de operare bazate pe Linux sunt disponibile n general sub form de distribuii
(denumite mai rar i arome). Unele dintre acestea sunt orientate spre utilizatorul casnic,

altele ctre servere sau ctre utilizatorii cu calculatoare mai vechi. Cteva din cele mai
folosite distribuii de Linux sunt:
Ubuntu, un proiect orientat spre utilizatorul obinuit bazat pe Debian GNU/Linux, care a
ctigat o mare popularitate prin faptul c este uor de utilizat i configurat, fiind n acelai
timp puternic i stabil. Distribuii nrudite: Kubuntu (folosete KDE), Xubuntu (folosete
Xfce), Edubuntu (orientat spre educaie).
SuSE Linux - o distribuie orientat att spre servere ct i spre staii de lucru i desktopuri,
care pune accentul pe uurina n utilizare i configurare. Produs de compania german
Suse, parte a grupului Novell.
Fedora Core - nscut din proiectul RedHat, dar coninnd exclusiv software liber i disponibil
gratuit de pe Internet.
Debian GNU/Linux, una din distribuiile cele mai vaste de pe Internet, coninnd un numr
uria de pachete. Creatorii proiectului au dezvoltat managerul de pachete APT i al
pachetele DEB.
PCLinuxOS - o distribuie derivat din Mandriva Linux, destinat mediului desktop i care se
remarc prin usurina instalrii, fiind adecvat pentru utilizatorii nceptori.
Mandriva Linux (denumit anterior Mandrake Linux) - o distribuie uor de utilizat, orientat
spre utilizatorii desktop, creat de compania francez Mandriva.
Slackware Linux, este una din cele mai vechi distribuii, avnd ca moto "Pstreaz
(lucrurile) simplu". Distribuiei i lipsesc unelte de configurare uoar, dar beneficiaz de
vitez mare de rulare, posibilitate a de a fi instalat pe hardware mai vechi i o organizare
simpl a sistemului.
Gentoo Linux, o distribuie orientat spre performane maxime i destinat utilizatorilor
avansai. Distribuia se remarc prin timpul foarte lung necesar instalrii, care necesit de
regul compilarea i optimizarea pachetelor pe sistemul pe care se face instalarea (spre
deosebire de majoritatea distribuiilor, care instaleaz software precompilat). Acest lucru are

ca rezultat un spor de performan, dar i o configurare mai dificil. Gentoo beneficiaz de

un manager de pachete i de sistem foarte avansat denumit portage.
Knoppix, o distribuie "live" care ruleaz direct de pe CD sau DVD, fr a instala nimic pe
hard disk, ce poate fi utilizat, printre altele, n cltorii, demonstraii sau pentru diagnosticri
de sistem, reparri, recuperri de date etc.
RedHat Linux - una din cele mai cunoscute distribuii, n prezent o distribuie comercial
orientat exclusiv spre piaa serverelor i spre mediul de afaceri. Este distribuia care a dat
natere proiectului Fedora Core.
Slax, o distribuie "live" bazat pe Slackware, care poate rula de pe suport optic sau de pe
un flash drive de 256 MB.

Fia 3.3 MACOS

Mac OS (Mac Operating System)

este un sistem de operare (SO)
produs de firma Apple Inc. (Apple)
pentru computerele sale.
Lansat n 1984 mpreun cu primele
calculatoare de tip Macintosh, Mac
OS a fost primul sistem de operare
cu succes comercial i bazat pe o
interfa

grafic

cu

utilizatorul

(Graphic User Interface, GUI). Mac

OS, sau Macintosh Operating System, reprezint o serie de sisteme de operare cu interfa
grafic, proiectat de firma Apple (nume anterior: Apple Computer) pentru gama sa de
computere de tip Macintosh. A fost introdus pentru prima dat la modelul Macintosh 128K n
anul 1984. Prin intoducerea sistemului de operare Mac OS, computerele Apple au devenit
mai prietenoase pentru utilizatori dect cele cu sisteme de operare MS-DOS. Termenul Mac
OS nu a existat cu adevrat pn cnd a nceput s fie oficial utilizat la mijlocul anilor 1990.
De atunci, acest termen a fost folosit pentru a distinge toate aplicaiile sistemul Mac de
celelalte sisteme de operare.
Primele versiuni erau compatibile doar cu Macintosh-urile bazate pe microprocesorul
Motorola 68000, iar versiunile mai noi erau compatibile i cu arhitectura PowerPC. Recent,
Mac OS X a devenit compatibil i cu arhitectura Intel x86, care st la baza tuturor PC-urilor.
Primele SO Machintosh constau din dou elemente software numite System i Finder,
fiecare avnd versiunea sa. System 7.5.1 a fost primul care includea logoul Mac OS (o
variaie a iconiei de startup a lui Finder - Happy Mac smiley face), iar Mac OS 7.6 a fost
primul numit Mac OS.

Pn la apariia sistemelor bazate pe microprocesorul PowerPC G3, pri importante ale

sistemului de operare erau pstrate n memoria fizic ROM pe placa de baz, scopul fiind
evitarea utilizrii cu limitri a spaiului oferit de floppy disk, lund n considerare c primele
Mac-uri nu aveau hard disk.
Mac OS poate fi divizat n dou categorii de sisteme de operare:
1.

Mac OS Classic - sistemul care era livrat mpreun cu primul Macintosh n 1984,

inclusiv urmaii si, culminnd cu Mac OS 9.

2.

Noul Mac OS X (X este un 10 roman). Mac OS X include elemente de OpenStep i

Mac OS 9.
Pentru Mac OS Classic este caracteristic lipsa liniei de comand; el este un SO n ntregime
bazat pe interfaa grafic. Cu toate c era uor de utilizat, era criticat pentru single tasking (la
primele versiuni) i pentru multitasking cooperativ (n versiunile mai noi, pentru administrarea
limitat a memoriei, lipsa memoriei protejate). Iniial Mac OS utiliza sistemul de fiiere
Machintosh, un sistem plat - cu un singur nivel de mape. Acesta a fost nlocuit cu un sistem
de fiiere ierarhic, care avea un adevrat arbore de mape.
Mac OS X este o familie de sisteme de operare cu interfa grafic, proiectate, promovate i
vndute de firma Apple, ultima versiune fiind instalat la toate computerele Macintosh livrate
n prezent (2007). Spre deosebire de versiunile anterioare, Mac OS X este un sistem de
operare multi-user, multitasking, de tip Unix.

Tema 4. Instalarea sistemului de operare Linux

Fia 4.1. Instalarea sistemului de operare Fedora
Cnd un sistem devine server, stabilitatea, disponibilitatea i performana devin
probleme importante. Aceti trei factori sunt de obicei mbuntii prin achiziionarea de
hardware, ceea ce poate fi sau nu oportun. Este pcat, totui, s pltii mai multe milioane de
lei pentru a deine un sistem capabil de a atinge un nivel dorit n ceea ce privete cei trei
indicatori de mai sus, n timp ce, probabil, ai fi putut obine aceleai rezultate cu un pic de
efort, folosind hardware-ul existent. Cu Linux acest lucru nu este deloc greu, ba chiar se
poate spune c performanele sunt uluitoare.
Cea mai important decizie pe care trebuie s o luai atunci cnd v ocupai de
configurarea unui server nu este una de nivel tehnic, ci administrativ. Trebuie s proiectai
serverul s fie neprietenos pentru utilizatorii ocazionali, ceea ce presupune absena
utilitarelor multimedia, suportului pentru sunet, browserelor frumoase de web (atunci cnd
este posibil). De fapt, ar trebui chiar s fie o regul care s interzic att utilizatorilor ct i
administratorilor utilizarea ocazional a unui server.
Iat cteva lucruri pe care le putei face pentru a mbunti starea serverelor
dumneavoastr:
-

Folosii avantajul de a avea o interfa grafic decuplat de sistemul de

operare i evitai pornirea X W indow System, ct timp nimeni nu are efectiv
nevoie s ruleze o aplicaie. n definitiv, X, ca orice alt aplicaie, solicit
memoria i procesorul, ceea ce are un impact i asupra performanelor
serverului

Determinai ce funcii va asigura serverul i dezactivai-le pe toate celelalte.

Ele sunt nu numai o risip de memorie i putere de calcul, dar mai i complic
procesul de securizare a serverului.

Nucleul (kernelul) implicit cu care vine Linux este foarte bine configurat. Dac
totui dorii s adugai faciliti suplimentare, fii foarte selectivi

Instalarea unui sistem de operare de reea presupune cunotine un pic

mai avansate dect instalarea unui sistem desktop. Chiar dac sistemul de
operare Linux din zilele noastre st mult mai bine la capitolul compatibilitate
hardware i drivere dect n trecut, se prea poate ca ultimile apariii n domeniul hardware
s nu fie acoperite de drivere. Aadar, este preferabil s intrai pe site-ul productorului i
s v asigurai c toate componentele dumneavoastr sunt susinute de driverele
corespunztoare.
Dac n trecut singura metod de instalare cunoscut era discheta i mai trziu CD-ul,
astzi datorit evoluiei mijloacelor de stocare i a evoluiei internetului metodele de
instalare au mai evoluat: putem de asemenea instala direct din reea sau cu ajutorul unui
stick de memorie.
Instalarea ncepe prin introducerea DVD-ul
de instalare Fedora 10 in unitatea DVD ROM.
Configurai BIOS-ul sistemului de calcul
pentru a ncrca sistemul de operare iniial
de pe unitatea de DVD.
Va apare o interfa grafic cu mai multe
opiuni: install or upgrade an existing system
(opiune implicit) opiune care permite
instalarea sau actualizarea sistemului de
operare Fedora 10, Rescue installed system opiune ce permite repararea unui system de
operare defect, Boot from local drive pornirea sistemului de operare de pe hard disk,
Memory test test de memorie.

Cu ajutorul sgeilor, daca este cazul, alegei prima opiune i apsai Enter.
Pentru a evita pierderea de timp urmtorul ecran care apare ne va da posibilitatea s
verificm corectitudinea datelor scrise pe DVD ROM. Selectnd OK, DVD ROM-ul va fi
verificat. Dac nu va fi identificat nici o eroare, instalarea sistemului de operare va continua,
altfel trebuie scris un alt DVD ROM.

Fedora 10 poate fi instalat att n mod text, ct i mod grafic. Pentru a avea acces la
interfaa grafic trebuie ndeplinite mai multe condiii:
o sistemul de calcul trebuie s aib mai mult de 192MB RAM.
o Placa video trebuie s fie recunoscut de ctre programul de instalare.

Apoi trebuie s facem primele alegeri:

-

trebuie aleas limba n care va continua instalarea sistemului de operare.

Deoarece suportul pentru limba romn nu este foarte bine pus la punct, autorul
recomand folosirea limbii engleze.
-

trebuie aleas tastatura (US English n mod normal),

numele calculatorului (preferabil de forma nume_calculator.domeniu),

stabilirea orei i a fusului orar n cazul calculatoarelor aflate ntr-un

domeniu (este foarte important ca aceste informaii s fie corecte, altfel
existnd riscul ca sistemele de calcul s nu poat comunica ntre ele)

Introducerea parolei pentru contul de superutilizator (root)

Deoarece contul de root este cel mai atacat cont pe un sistem Linux, trebuie ca
parola acestui cont s fie una puternic (minim 8 caractere; s conin litere mari,
mici, cifre, caractere speciale; s nu fie bazat pe cuvinte de dicionar)
Pentru instalarea sistemului de operare trebuie s partiionai hard diskul. Vei observa c
partiionarea harddiskului n Linux difer sensibil de partiionarea haddiskului n windows.
Sistemul de operare Fedora necesit cel puin 3 partiii: /boot partiia de boot, / partiia rdcin i swap partiia de memorie virtual.
n continuare vom prezenta cele mai importante partiii care ar trebui s se gseasc pe un
server linux:
a.

/ directorul rdcin se afl pe cel mai nalt nivel ierarhic. ntr-o configuraie simpl
(de exemplu, cea care se creeaz atunci cnd selectai opiunea Automatically
Partition ntr-o instalare Custom) ntreaga structur de directoare a sistemului va fi
creat pe o singur partiie.

b.

/usr - n Linux, cea mai semnificativ grupare a fiierelor se face n directorul /usr,
unde se afl marea majoritate a programelor, (n termenii W indows, acest director
este similar cu C:\Program Files.)

c. /swap partiie utilizat de sistemul de operare linux/unix pentru a crea memorie

virtual utilizat atunci cnd nu exist memorie fizic disponibil. (este echivalent cu
memoria virtual (fiierul pagefile.sys) din windows. Partiia de swap este
recomandat a fi de 2ori mai mare dect memoria RAM existent n sistem. Este de

asemenea de preferat ca aceast partiie s fie montat pe alt harddisk dect

partiia pe care se gsete sistemul de operare.
d.

/tmp - director unde sunt plasate fiierele temporare. Pentru c acest director
este proiectat s permit accesul la scriere tuturor utilizatorilor (similar directorului
Temp din windows) trebuie s v asigurai c utilizatorii nu abuzeaz de el i nu
ocup tot spaiul disponibil pe disc. Din acest motiv ar trebui de asemenea montat pe
o partiie separat.

e.

/home, unde se afl directorul de pornire al tuturor utilizatorilor. Acest director este
important pentru a putea mpiedica utilizatorii s foloseasc tot coninutul discului, n
defavoarea unor componente critice (precum fiierele jurnal).

f. /var, destinaia final pentru fiierele jurnal. Datorit faptului c fiierele jurnal pot fi
afectate de modificri generate de utilizatori externi (spre exemplu persoane care
acceseaz un site web) este important ca ele s se afle pe o partiie separat, pentru
ca nimeni s nu poat efectua un atac de tip Denial of Service (DoS) prin generarea
unui numr foarte mare de intrri n fiierele jurnal, astfel umplnd discul pn la
refuz.
Ca sistem de fiiere sistemul de operare folosete implicit ext3.

Implicit procesul de instalare al sistemului de operare Fedora ncarc o lista predefinit,

suficient n majoritatea cazurilor. Putei alege din 3 mari categorii de programe:
1.

Birou i productivitate (Office and Productivity) conine suita OpenOffice

aplicaii de management a proiectului, instrumente grafice i aplicaii multimedia

2.

Dezvoltare de programe (Software Development) conine instrumente pentru

compilarea programelor

3.

Web server conine serverul web Apache

De asemenea putei specifica i alte depozite cu programe n afar de cele implicite oferite
de DVD-ul de instalare.
Procesul de instalare va verifica pachetele alese i va instala pachetele necesare pentru
buna funcionare a sistemului de operare i a aplicaiilor alese de dumneavoastr. Dup
aceasta, va ncepe procesul de instalare propriu-zis a pachetelor.
n momentul n care procesul de instalare s-a ncheiat, apare ecranul final care ne va
anuna c instalarea s-a ncheiat i sistemul de calcul trebuie repornit.

Dup repornirea sistemului de calcul, va intra un agent de configurare (setup agent) care ne
va ghida prin procesul de configurare iniial a sistemului de operare. Dup ce setrile de

baz au fost realizate, vom avea acces la sistemul de operare.

Interfaa grafic KDE nu v permite, din motive de securitate, conectarea cu
utilizatorul root. Dup introducerea contului i a parolei corecte vei fi invitai s
ncepei lucrul cu sistemul de operare proaspt instalat.

Fia 4.2. Accesul la distan: serviciul SSH

Serviciul SSH reprezint o modalitate sigur de conectare de pe alte maini, de a cripta
informaiile, nainte de a fi trimise n reea, prin intermediul unui sistem de chei publice i
private, asigurnd confidenialitatea informaiilor. Poate fi utilizat n locul serviciilor nesigure
(care transmit informaii necriptate prin reea, acestea putnd fi urmrite cu ajutorul unor
programe de capturare a pachetelor, sniffere) precum telnet, FTP sau rlogin. Poate fi folosit,
de asemenea, pentru a tunela alte servicii de reea.
Pentru

conectarea

la

un

sistem

prin

intermediul

protocolului SSH, se utilizeaz programul ssh sau un

utilitar gen putty. Serviciul SSH ofer i posibilitatea
transferrii de fiiere ntre calculatorul de la care se face
conectarea i cel local.
SSH poate fi utilizat pentru a tunela orice serviciu de
reea. n vederea realizrii acestui deziderat, vom furniza
programului ssh unul din argumentele:

-L port local: main \port_remote - specific faptul c portul de pe maina local (port

local) va fi redirecionat (forwarded) ctre portul aflat pe maina situat la distana

menionat. Aceast redirecionare a portului se va realiza prin intermediul conexiunii SSH.

-R port local: main: port remote - portul specificat de pe maina aflat la distan va fi

.redirecionat (forwarded) ctre portul de pe maina local.

. Redirecionarea portului va fi valabil pe toat durata meninerii sesiunii SSH deschise.
Pentru ca maina s accepte conexiuni SSH trebuie ca serviciul s fie pornit, aceasta
putndu-se realiza prin specificarea n /etc/rc.conf a urmtoarei linii:
sshd_enable=YES

Fiierele de configurare ale sistemului OpenSSH se gsesc n directorul /etc/ssh. Fiierul

/etc/ssh/ssh_config stabilete opiunile implicite, utilizate att de serverul, ct i de ctre
clienii SSH, astfel:
Host - determin ca declaraiile care urmeaz s fac referire doar la mainile care
corespund descrierii specificate.
ForwardX11- redirecioneaz automat sesiunile X11 pe cealalt main. Permite
autentificarea prin .rhosts Implicit: NO
RSAAuthentication - utilizeaz autentificarea de tip RSA; care folosete chei publice i
private pentru autentificare. Implicit: Yes.
PasswordAuthentication - stabilete ca autentificarea s fie realizat pe baza parolelor de
acces. Implicit: Yes.
CheckHostlP - verific adresa IP a mainii de pe care se face conectarea pentru a detecta
atacurile de falsificare a numelui. Implicit: Yes.,

Port - stabilete portul la care se conecteaz clienii SSH. Implicit: 22

Fiierul /etc/ssh/sshd_config stabilete opiunile utilizate de daemonul SSH. Principalele

opiuni recunoscute sunt urmtoarele:
Port - specific portul la care demonul SSH ateapt conexiuni. Implicit 22

ListenAddress ~ specific adresa IP a interfeei de reea pe care vor fi acceptate cereri.

Implicit: 0.0.0.0 (toate interfeele).

ServerKeyBits - stabilete numrul de bii pe care va fi reprezentat cheia de criptare a

serverului. Aceast valoare, este folosit la pornirea daemonului pentru a-i genera propria
cheie RSA.

LoginGraceTime - stabilete timpul de ateptare, exprimat n secunde, pn cnd

utilizatorul nu va fi deconectat dac nu a intrat cu succes pe main. Implicit 600.

 KeyRegenerationlnterval - specific intervalul de timp, exprimat n secunde n care SSh i

regenereaz cheia de criptare. Implicit: 3600.
PermitRootLogin - permite utilizatorului root s se conecteze direct prin SSH Implicit: No.

Fia 4.3 Serverul DNS (BIND Berkeley Internet Name Domain)

Fiecare sistem din cadrul reelei Internet are un nume de main, care, mpreun cu numele
domeniului, definete numele unic al acestuia. Numele de main permite referirea mai
uoar a unui calculator, n locul adresei IP a acestuia. Rezolvarea (translatarea) n ambele
sensuri a numelui, respectiv adresei se realizeaz prin intermediul sistemului numelor de
domenii - DNS (Domain Names System). Translatarea adresei IP n nume se numete
rezolvarea invers (reverse DNS).
Sistemul DNS nu este altceva dect o uria baz de date distribuit, rspndit pe tot
globul. Aceasta este implementat de ctre aa-numitele servere DNS, care furnizeaz
informaii despre unul sau mai multe domenii, numite i zone. Pentru fiecare zon exista cel
puin un server de nume care conine informaiile despre mainile din cadrul domeniului.
Primul server este denumit server DNS primar, care descrie zona master, i este acela care
ncarc configurrile zonelor DNS din fiierele de configurare, iar celelalte - servere DNS
secundare, care deservesc zonele slave, transfernd informaiile despre zone de la serverul
primar.
Pentru a micora timpul de rezolvare a adreselor i a reduce traficul prin legturile Internet,
serverul de nume stocheaz informaiile obinute n urma cererilor ntr-o zon-tampon
(cache) local.
Serverele DNS care gestioneaz toate informaiile despre mainile din cadrul unei zone se
numesc autoritare pentru respectiva zon i reprezint serverele DNS primare. De
asemenea, un server DNS poate s nu fie autoritar dect pentru maina local, atunci cnd
este utilizat doar pentru a memora nregistrri DNS n zona-tampon, fiind denumit n acest
caz caching-only name server.
O informaie din baza de date DNS este denumit nregistrare de resurs, RR (Resource
Record).
Serverele DNS pot rspunde la cereri n dou moduri:

 cererile recursive sunt utilizate atunci cnd un client efectueaz o cerere, iar rspunsul nu
se gsete n zona deservit de acesta, serverul fiind nevoit s parcurg ierarhia DNS pentru
a gsi rspunsul;

cererile nerecursive sunt utilizate atunci cnd un client efectueaz o cerere al crei

rspuns nu se afl n zona deservit

Daemonul ce ofer servicii DNS pe mainile UNIX este named. Acesta face parte din
pachetul BIND (Berkeley Internet Name Domain).
Sistemul BIND se configureaz prin intermediul fiierului de configurare named.conf i al
aa-numitelor fiiere de definire a zonelor, localizat directorul /etc/namedb.
16.1. Fiierul de configurare named
Fiierul named.conf este alctuit din mai multe declaraii. Acestea au o sintax
asemntoare cu cea din limbajul C:
// comentarii
cuvnt_cheie
{
(cmpuri)
};
|

Declaraiile pot conine subdeclaraii i trebuie ncheiate cu ; ". Comentariile pot fi n stil

C (/* ... */), C + + (//...) sau bash (#...). Directivele care pot fi utilizate sunt urmtoarele:
logging - specific coninutul jurnalelor i destinaia mesajelor de jurnalizare
options - stabilete configurrile globale ale daemonului named i opiuni implicite ale
parametrilor.
zone - definete o zon.

 acl - definete modul de control al accesului,

include - include un alt fiier.
Fiecare fiier de definire a unei zone are asociat un domeniu, numit origine. Informaiile
coninute de un fiier de definire a unei zone sunt structurate n nregistrri de resurs.
Acestea sunt reprezentate n urmtorul format:
[domeniu] [ttl] [clasa] [tip data], unde:
domeniu - numele domeniului la care se aplic intrarea.
ttl - informaiile sunt memorate pe o perioad limitat de timp, dup care terse din cache.
Acest timp de expirare este denumit TTL - Time To Live este exprimat n secunde. Este un
numr zecimal, format din maximum 8 cifre.
clas - clasa de adrese; trebuie s fie IN.
tip - tipul nregistrrii. Poate fi: A, SOA, PTR sau MS,
data - conine informaiile asociate nregistrrii. Formatul acestui cmp depinde de tipul
nregistrrii.
Tipul nregistrrii poate fi:
SOA - descrie o zon de autoritate (Start Of Authority). Semnaleaz faptul c nregistrrile
ce urmeaz conin informaii autoritare pentru domeniu. Cmpul data conine urmtoarele
cmpuri:
- origine - numele absolut al mainii care servete ca server DNS pentru acest domeniu.
-

contact - adresa de e-mail a persoanei care administreaz domeniul; semnul @" este

nlocuit cu .".
- serial - un numr reprezentnd versiunea fiierului de descriere a zonei n zecimal. Acest
numr trebuie incrementat de fiecare dat cnd sunt modificate informaii n zona respectiv.
O convenie des utilizat este folosirea datei modificrii, plus un numr format din dou cifre.

Acest numr serial este utilizat de serverele DNS secundare pentru a sesiza modificrile de
informaii.
-

interval_actualizare - intervalul de timp la care se face verificarea zonei ctre serverele

secundare, exprimat n secunde. Este un numr zecimal cu maximum 8 cifre. Pentru reele,
unde aceste informaii se modific rar, poate fi de ordinul zilelor.
-

interval_rencercare - intervalul de timp la care se rencearc verificarea zonei de ctre

serverele secundare dac aceasta eueaz, exprimat n secunde. Valoarea sa este n mod
normal n jur de o or.
minim - valoarea TTL implicit pentru nregistrrile care nu o specific. Aceasta desemneaz
durata maxim de timp ct alte servere DNS pot memora nregistrarea n cache. Dac nu se
produc frecvent modificri, valoarea sa poate fi de o sptmn.
A asociaz o adres IP cu un nume de main (Address). Pentru fiecare nume de main
trebuie s existe doar o singur nregistrare de tip A. Numele de main specificat este cel
oficial sau autorizat (canonical). Toate celelalte nume de main sunt considerate
pseudonime i pot fi specificate cu ajutorul nregistrrii de tip CNAME
NS - specific serverul primar i toate serverele secundare ale zonei (Name Server): Cmpul
data conine numele serverului DNS.
CNAME - asociaz un pseudonim cu numele autorizat al unei maini (Canonical Name),
PTR - asociaz nume din domeniul in-addr.arpa cu nume de main (Pointer). Este utilizat
pentru asocierea invers (reverse mapping) a adreselor IP cu nume de main. Numele de
main trebuie s fie cel autorizat.
MX - stabilete un agent de transport al potei electronice (Mail eXchanger) pentru zon.

Fia 4.4 serverul HTTP Apache

Un server HTTP este un daemon care accept conexiuni conforme protocolului HTTP,
rspunznd cererilor recepionate de la clieni. Protocolul HTTP este un protocol de tip

cerere-rspuns, bazat pe TCP/IP, destinat transferurilor de informaii multimedia. Serverul cel

mai utilizat pe sistemele de operare UNIX este Apache.
Fiierul de configurare principal este httpd.conf .
Fiierul de configurare conine cte o directiv pe fiecare linie, acestea putnd fi continuate
pe linia urmtoare adugnd la sfritul acesteia caracterul \". Comentariile ncep cu #".
Directivele din fiierul de configurare principal se refer la configurrile globale ale serverului.
Pentru a aplica anumite aspecte ale serverului doar unei zone din acesta (e.g., unui director),
directivele trebuie incluse n cadrul uneia dintre seciunile : <Directory>, <DirectoryMatch>,
<Files>, <FilesMatch>, <Location> sau <LocationMatch>. Acest lucru poate fi realizat i prin
plasarea unui fiier numit .htaccess.
De asemenea, Apache are posibilitatea de a deservi mai multe situri simultan; altfel spus,
gzduire virtual (virtual hosting). Directivele pot fi specificate n cadrul seciunii
<virtualHost>, caz n care se vor referi doar la un anumit sit.
Principalele directive care pot fi utilizate n fiierele de configurare sunt descrise n
continuare.
Identificarea serverului
ServerName - stabilete numele serverului, utilizat pentru a crea URL-i. Dac nu este
specificat, se stabilete n mod automat din numele oficial al mainii (care nu este
ntotdeauna

numele

dorit;

de

exemplu,

numele

oficial

al

mainii

poate

fi

sysadmin.ctcnvk.local, dar se dorete a fi www.ctcnvk.ro).

UseCanonicalName - dac este setat pe Yes, Apache va utiliza valorile ServerName i Port
pentru a alctui un nume autorizat pentru server. Dac este setat pe No, va fi utilizat numele
i portul furnizate de ctre client (dac serverul se afl ntr-un Intranet, spre exemplu, i
utilizatorul solicit adresa www/dir acesta va fi direcionat ctre www.ctcnvk.ro/dir/ dac acest
parametru este Yes. n caz contrar, utilizatorul va fi direcionat ctre www/dir/).
ServerAdmin - stabilete adresa de e-mail a administratorului serviciului pe care serverul o
va introduce n mesajele de eroare trimise clientului.

ServerSignature - adaug la sfritul documentelor generate de server un mesaj de

identificare.
Locaiile fiierelor
ServerRoot - specific directorul n care se gsesc fiierele de configurare jurnalizate ale
serverului.
DocumentRoot - specific directorul n care se gsesc documentele HTML.
UserDir - stabilete numele directorului n care se afl paginile HTML ale utilizatorilor.
Procesele Apache
User specific utilizatorul sub care ruleaz serverul. De asemenea, acest utilizator special
nu trebuie s aib interpretor de comenzi asociat. Poate fi un nume de utilizator sau un
identificator de utilizator. n general este Apache.
Group - specific grupul sub care ruleaz serverul. Similar cu User,
ServerType - stabilete modul de execuie a serverului. Are n general valoarea standalone,
semnificnd c serverul ruleaz ca daemon.
MaxClients - stabilete numrul maxim de cereri simultane acceptate. Implicit: 256.
MaxSpareServers - specific numrul maxim de servere libere (procese care nu
gestioneaz momentan nici o cerere). Implicit: 10.
MinSpareServers - specific numrul minim de servere libere. Implicit:, 5.
StartServers - specific numrul, de servere ce vor fi lansate la pornirea daemonului
Implicit: 5.
Parametri TCP/IP
BindAddress - stabilete de pe ce adres vor fi acceptate cereri. Poate fi o adres IP, un
domeniu sau caracterul *", specificnd toate adresele IP ale mainii. Implicit: *".

Port - specific portul pe care vor fi acceptate conexiuni. Implicit: 80.

Listen - permite acceptarea cererilor: pe mai multe adrese IP i porturi. Valoarea este de
forma [ adres_ip : ] port.

Fia 4.5 serverul FTP vsftp

FTP a fost creat prin 1971 i de atunci nu a suferit modificri majore.
Serverul vsftpd, este folosit de multe firme importante, inclusiv Red Hat. Poriunea vs" din
titlu este prescurtarea Ia very secure", dar trebuie tiut c aceasta este un scop i nu o
garanie. Vsftp a demonstrat c este un server stabil i capabil chiar i n condiii de utilizare
intens, caliti pe care le datoreaz, n parte, structurii sale simple.
Atunci cnd un client FTP dorete conectarea la un server FTP, i alege dou porturi n mod
aleator (porturi cu numrul mai mare de 1024) - unul pentru o conexiune de control" i unul
pentru o conexiune de date". Dup aceasta, iniiaz conexiunea de Ia portul de control" la
portul cu numrul 21 de pe server. (Portul 21 este definit n standardul FTP ca fiind cel pe
care daemonul serverului ateapt iniierea de noi conexiuni). n procesul de negociere
iniial, clientul comunic serverului numrul celuilalt port pe care l-a selectat pentru
transferul de date. Dup ce conexiunea s-a realizat, clientul se poate loga i poate iniia
comenzi de explorare a directoarelor existente pe serverul FTP.
n momentul n care clientul trimite o cerere de transfer a unui fiier, serverul iniiaz o
legtur de Ia portul su cu numrul 20 la portul pe care l-a specificat clientul mai devreme.
Legtura original rmne deschis n continuare, astfel nct serverul i clientul s poat
schimba mesaje de control (out of bind" - mesaje pentru oprirea transferului, de exemplu).
Acest design, care a fost conceput la nceputul anilor 1970, a inclus o presupunere
(rezonabil pe termen lung) cum c utilizatorii reelei Internet nu au intenii rele. Aceasta a
fost indirect protejat de faptul c infrastructura backbone (infrastructura principal) a
Internetului a fost finanat de ctre National Science Foundation (NSF) i, de aceea, nici o
organizaie comercial nu avea acces la ea dect n cazul n care lucra mpreun cu o
instituie de cercetare. Laboratoarele de cercetare academice sau guvernamentale
reprezentau majoritatea utilizatorilor Internetului.
n anii 1990-1991, NSF nu a mai pltit cheltuielile de ntreinere a infrastructurii backbone i
Internetul a devenit comercial. La nceput, nu a fost ceva foarte important, dar dup o mic

perioad de timp i-a fcut apariia W orld W ide W eb-ul i, o dat cu el, a explodat numrul
de utilizatori i numrul problemelor de securitate legate de exploatarea acestuia. Majoritatea
site-urilor folosesc, acum, programe de tip firewall pentru a-i proteja reelele interne de
partea malefic a Internetului. Programele de tip firewall consider legturile ntre porturi cu
numr mare (peste 1024) de pe Internet i porturi similare de pe reeaua intern ca fiind un
lucru ru (i au i dreptate). Prin urmare, majoritatea programelor de tip firewall
implementeaz proxy-uri la nivel de aplicaie pentru FTP care urmresc cererile de tip FTP i
deschid porturile adecvate atunci cnd este necesar primirea informaiilor.
Opiuni generale de configurare
nainte de a trece peste diferitele opiuni de acces disponibile, ar trebui s v familiarizai cu
cteva dintre opiunile de configurare de baz. Aceast seciune reprezint doar o referin
sumar, dar putei s explorai subiectele relevante pentru configurarea dumneavoastr pe
parcurs.
connect_from_port_20 Aceast opiune determin dac se folosete portul 20 pentru
conexiunea de date (atunci cnd se opereaz n mod normal). S-ar putea s v surprind,
dar setarea implicit este no". Motivul este c aa se specific n modelul de securitate
vsftpd. Prin folosirea de porturi care nu au numr mic, daemonul poate opera ntr-un mod
mai puin privilegiat. Dezavantajul este c unii clieni insist ca aceast conexiune de date s
vin de pe portul 20, i deci, n fiierul exemplu, pentru cazul folosirii unui astfel de client,
aceast setare trebuie s fie pus pe yes".
pasv_enable Aceast opiune permite folosirea modului pasiv i setarea implicit este yes".
Dezactivai-o dac, pentru vreun motiv, dorii s mpiedicai folosirea modului pasiv.
pasv_promiscuous Una dintre precauiile modelului de securitate vsftpd implic asigurarea
c, n modul pasiv, conexiunea de date vine de la acelai IP ca i conexiunea de control. Prin
activarea acestei opiuni se va trece peste acest control. Ar putea avea sens folosirea acestei
opiuni dac plnuii s facei un transfer FTP indirect, ca i cel menionat la nceputul acestui
modul sau dac folosii o schem de tunneling (n. trad. tunelare") securizat care interfereaz
cu aceast precauie de securitate vsftpd.

port_enable Aceast opiune permite conexiuni n modul normal (non-passive). n acest caz,
portul se refer la practica n care clientul trimite numrul portului pe care l-ai ales pentru
conexiunea de date. Dezactivai-o dac dorii s permitei conexiuni n modul pasiv. Setarea
implicit este yes".
ftp_banner Aceasta v d posibilitatea s schimbai mesajul de ntmpinare atunci cnd v
conectai pentru prima dat la server. Contrar practicilor altor ftpd, vsftpd v permite setarea
acestui mesaj chiar aici, n fiierul config. Introducerea n acest mesaj a numelui softwareului pe care-l utilizai i a versiunii acestuia constituie un risc de securitate i nu este indicat.
dirmessage_enable Setarea este folosit pentru transmiterea ctre utilizator a unor informaii
referitoare la coninutul unui director. n momentul n care un director este accesat i aceast
setare este activ, utilizatorului i se afieaz coninutul fiier text (.message implicit).
write_enable Dup cum poate v ateptai, aceast opiune permite scrierea n directoarele
ftp. Este necesar pentru cazul n care dorii s permitei upload-uri de orice fel. Desigur,
exist i implicaii de securitate n activarea acestei opiuni i este recomandat s o
dezactivai atunci cnd nu avei neaprat nevoie de ea.
xferlog_enable Aceast opiune va nregistra toate transferurile fcute de dumneavoastr n
fiierul jurnal. Trebuie precizat c vsftpd nu folosete syslog.
Controlul accesului la FTP
Un aspect foarte important al administrrii unui server este controlul accesului la acesta.
Folosind setrile disponibile, putei permite doar utilizatorilor care au un cont pe maina
respectiv accesul la aceasta, sau putei permite acces fr parol de tip anonim, sau
amndou, putei permite operaiuni de upload sau doar de download, putei chiar s limitai
aciunile disponibile pentru utilizatorii prezeni pe anumite liste.

Tema 5: Securitatea NOS

Fia 5.1. Sistemul de autentificare PAM
Sistemul de autentificare PAM (Pluggable Authentication Modules) permite administratorului de sistem s stabileasc politicile de autentificare fr a interveni asupra
programelor de autentificare. Acest sistem const dintr-un set de biblioteci care furnizeaz o
interfa comun pentru programele care necesit proceduri de autentificare. De cele mai
multe ori nu sunt necesare configurri speciale pentru PAM, ntruct la instalare acestea sunt
realizate automat.
Fiierul de configurare PAM este /etc/pam.conf. Dac este folosit pentru configurare
directorul /etc/pam.d (n stilul Linux), trebuie utilizat cte un fiier separat pentru fiecare
serviciu, iar /etc/pam. conf i pierde sensul.
Fiecare linie a fiierului de configurare conine cinci cmpuri:
-

numele serviciului;

tipul modulului;

cmpul de control

locaia modulului

argumentele

PAM definete patru tipuri de module pentru a controla accesul la un an serviciu:

1. auth (autentificarea) - furnizeaz autentificarea propriu-zis (n general, se
tarea i apoi verificarea parolei)
2. account (gestiunea conturilor) - verific dac utilizatorului i este pe
accesul (dac contul nu a expirat etc)
3. password (gestiunea parolelor) - modific parola unui cont, oferind func
4. session (gestiunea sesiunii de lucru) - este folosit dup ce utilizatorul a
autentificat, pentru a efectua anumite operaiuni necesare

Aceste module pot fi suprapuse (stacked), astfel nct s fie utilizate simultan multe
module. Ordinea unei stive de module este important n cadrul procesului autentificare,
pentru c nlesnete administratorului impunerea mai multor condiii pentru a permite
autentificarea utilizatorilor. Practic, o politic de autentificare const din patru lanuri, cte
unul pentru fiecare tip de modul. Un lan este aici dintr-o secven de declaraii n fiierul de
configurare, fiecare dintre ace specificnd un modul care va fi apelat, parametrii care vor fi
trimii modulului valoare de control care descrie modul de interpretare a codului care va fi
returna ctre modul.
Vom descrie n continuare modulele cele mai importante:

1.

pam_deny (8) - Refuz accesul necondiionat.

2.

pam_echo (8) Determin afiarea unui mesaj pe terminalul utilizatorului.

3.

pam_exec (8) Permite executarea unui program.

4.

pam_ftpusers(8) Modulul este de tip account i returneaz succes numai dac

utilizatorul apar fiierul /etc/ftpusers.

5.

pam_group(8) Acest modul are rolul de a verifica apartenena utilizatorului la un

anumit grup :
6.

pam_guest(8)Permite intrarea utilizatorilor vizitatori" (guests) care nu au un

cont pe main. Modulul este util n cazul conexiunilor FTP anonime.

7.

pam_laslog(8) Acest modul are tipul session i are rolul de a introduce o

nregistrare nou n bazele de date utmp (5), wtmp (5) i lastiog (5) n momentul
autentificrii.
8.

pam_login_access(8) Furnizeaz posibilitatea de control al accesului. Se

configureaz prin intermediul fiierului /etc/login.access.

9.

pam_nologin (8) Dac fiierul /var/run/nologin exist, accesul va fi refuzat,

exceptnd utilizatorul root. De asemenea, coninutul fiierului mai sus menionat va fi trimis
utilizatorului i afiat pe terminal.
10.

pam_passwdqc(8) Acest modul verific sigurana parolelor. Este de tipul

password i se utilizeaz la modificarea parolelor.

11.

pam_permti(8) Permite accesul necondiionat.

12.

pam_rhosts(8) Acest modul este de tip auth i servete la autentificarea

accesului privilegiat maina rhosts. Astfel, modulul returneaz succes dac identificatorul
utilizatoru este diferit de 0 i dac maina de pe care se face conectarea i numele utilizatoru
apar n fiierul /ete/hosts. equiv sau n fiierul -/ . rhosts, aparinnd utili; torului cu care se
dorete autentificarea.
13.

pam_rootok (8) Modulul pam_rootok are tipul auth i returneaz succes dac

utilizatorul solicit autentificarea este root.

14.

pam_securetty (8) Acest modul (de tip account) verific dac se ncearc

autentificarea ca root dac terminalul pe care se ncearc conectarea apare n /etc/ttys i are
tipul secure.
15.

pam_self (8) Modulul pam_self, avnd tipul auth, returneaz succes dac UID-

ul utilizatorui pentru care se face autentificarea este egal cu UID-ul real al utilizatorului apela
16.

pam_ssh (8) Acest modul este utilizat de sistemul SSH, putnd fi de tip auth

sau session. Solicit parola utilizatorului i verific corectitudinea acesteia.

17.

pam_unix(8) Modulul de autentificare clasic UNIX, putnd fi de tip auth sau

account, verific corectitudinea parolei.

Fia 5.2. Monitorizarea sistemului

Unul dintre punctele forte ale sistemelor de operare

n reea trebuie s fie

posibilitatea de jurnalizare a evenimentelor care au loc n sistem. Mesajele sunt nregistrate

n aa-numitele fiiere-jurnal (logs sau log files) de ctre serviciile care ruleaz pe sistem.
Toate aceste servicii au fost proiectate pentru a genera aceste mesaje de jurnalizare.
Monitorizarea fiierelor-jurnal este una dintre sarcinile de baz ale administratorului de
sistem si servete: la identificarea ncercrilor de accesare neautorizat a sistemului sau a
proastei funcionri a serviciilor ori chiar a componentelor hardware.
Deoarece fiierele-jurnal conin informaii importante despre evenimentele petrecute,
ele sunt extrem de vulnerabile, putnd fi inta modificrilor sau tergerilor intenionate. Ultima
aciune a unui cracker dup ptrunderea n sistem va fi de obicei tergerea urmelor din
fiierele-jurnal. De asemenea, unele jurnale pot oferi informaii despre configurarea
necorespunztoare a unor servicii sau pot dezvlui anumite vulnerabiliti ale acestuia, fiind
nedorit posibilitatea accesrii lor de ctre utilizatorii sistemului. Din aceste motive, este
foarte important stabilirea unor drepturi de acces corespunztoare pentru fiierele-jurnal.

Fia 5.3 Utilitare pentru monitorizarea sistemului.

Utilitarul netstat
Programul netstat afieaz informaii privind starea curent a conexiunilor de reea
active, tabelele de rutare, statistici despre intefeele de reea etc. Aceste informaii pot fi utile
pentru determinarea unor conexiuni dubioase sau care efectueaz trafic nejustificat. Spre
exemplu, dac este apelat fr argumente, netstat va afia conexiunile active:

Sunt utile urmtoarele argumente pe care le poate primi programul netstat:

-i - afieaz starea interfeelor de reea. . .
-s - afieaz o serie de statistici pentru toate protocoalele TCP/IP.
-r - afieaz coninutul tabelelor de rutare.
Utilitarul tcpdump
Principalul utilitar de interceptare a reelei este tcpdump, avnd urmtoarea sintax:
tcpdump [ opiuni ] [ -i interfa ] [ expresie ]
Cmpul expresie specific ce pachete vor fi afiate. El const din mai multe
primitive. Primitivele reprezint unul sau mai muli calificatori urmai de un identificator. Exist
trei tipuri de calificatori :
1. Tip - poate lua una dintre valorile: host (primitiva se va referi la un nume de
main), net (reea) i port.
2. Direcie - poate lua una dintre valorile: src,dst,src or dst sau src and dst.
3. Protocol - poate lua una dintre valorile: ip, arp, tcp sau udp.

Principalele primitive care pot fi utilizate sunt urmtoarele :

dst host main - adevrat dac maina destinaie este cea specificat.
src host main - adevrat dac maina surs este cea specificat.
dst net mask masc - adevrat dac adresa destinaie are masca de reea specificat.
src net mask masc - adevrat dac adresa surs are masca de reea spe ficat.
dst port port - adevrat dac portul destinaie este cel specificat.
src port port - adevrat dac portul surs este cel specificat.
ip proto protocol - adevrat dac pachetul are protocolul specificat. Poate icmp, udp sau
tcp.
Spre exemplu:
comanda tcpdump dst port 22 va afia, pachetele care sunt ndreptate ctre portul 22
Utilitarul NMAP
Un scaner (scanner) este un program care acceseaz porturile i serviciile TCP/IP i
nregistreaz rspunsul, venit de la int. Utilizarea unui asemenea program este folositoare
pentru a evidenia serviciile expuse exteriorului de ctre o anumit main; precum i pentru
a testa configuraia firewalurilor. Recomandm folosirea periodic a unui program de
scanare, pentru a depista eventualele puncte vulnerabile ale sistemului, cum ar fi serviciile
expuse conectivitii din exteriorul reelei, sau pentru a testa funcionarea firewalului

Programul NMAP este

unul dintre cele mai rspndite
scanere.
nmap [ mod_scanare
] [ opiuni ] main
Utilitarul systat
Utilitarul systat afieaz n timp real o serie de statistici privind utilizarea sistemului.
Este alctuit din dou ferestre: prima, n partea de sus a ecranului, afieaz ncrcarea
curent a sistemului. Cea aflat n partea de jos a ecranului afieaz informaii n funcie de
tipul statisticilor. Pe ultima linie de ecran sunt afiate mesaje de eroare.
Programul systat poate primi ca argument tipul statisticilor, astfel:
1. - pids afieaz procesele care consum procesor cel mai mult timp.
2. - icmp - afieaz statistici privind pachetele ICMP care tranziteaz interfeele de
reea.
3. - ip - afieaz traficul cu pachete IP i UDP
4. - tcp - afieaz statistici privind traficul de pachete TCP.
5. - iostat - afieaz statistici privind utilizarea timpului procesor i a discurilor
instalate n sistem.
6. - swap - informaii privind utilizarea swap-ului.