Zadania administracyjne w systemie UnixLinux, 2431, Prace, Informatyka


Temat: Zadania administracyjne w systemie Unix/Linux

System GNU/Linux robi coraz większą karierę na rynku serwerów internetowych. Dzięki Linuksowi możliwe stało się zbudowanie wydajnego, bezpiecznego serwera bez ponoszenia wielkich kosztów na profesjonalne oprogramowanie. Z GNU/Linuksem, każdy właściciel stałego łącza do Internetu ze stałym adresem IP może stać się właścicielem serwera internetowego. Systemy z rodziny Unix/Linux stanowią także doskonałe narzędzie konfiguracji sieci i systemu. Mnogość rozwiązań i zastosowań sieciowych, a także ogromna konfigurowalność wdrożonych rozwiązań czyni z tych systemów idealny produkt dla Administratorów Systemów i Sieci komputerowych.

Podstawą działania każdego komputera działającego w sieci, a więc również i serwera, jest konfiguracja na poziomie jądra systemu. Składa się na nią skonfigurowanie interfejsu sieciowego, ścieżek routowania oraz filtru pakietowego. Ponadto każdy administrator serwera powinien umieć obserwować pracę sieci na najniższym poziomie - warstwie TCP/IP.

Interfejsy sieciowe

Połączenia sieciowe w systemie Linux są dostępne administratorowi pod postacią interfejsów. Każdy interfejs posiada nazwę oraz jeden lub więcej adresów przypisanych do tego interfejsu. Najczęściej spotykane interfejsy sieciowe to:

* lo - loopback

* ethX - połączenia z siecią LAN w standardzie Ethernet

* pppX - połączenia ppp, takie jak połączenia modemowe

Interfejs loopback pozwala na połączenie się z samym sobą za pośrednictwem protokołów IP. Zgodnie ze standardem, przypisany jest mu adres 127.0.0.1. Adres ten wskazuje zawsze na lokalną maszynę oraz nie jest dostępny z innych zsieciowanych maszyn.

Interfejsy ethX są połączeniami z siecią w standardzie Ethernet, obecnie najpopularniejszym standardem budowy sieci LAN - tak popularnym, że mniej obeznani z tematem uważają pojęcia Ethernet i LAN za synonimy. Interfejsów ethernetowych może być w systemie dowolna ilość; numerowane są one w kolejności wykrycia. Do obsługi ethernetu potrzebny jest sterownik do zainstalowanej karty sieciowej obecny w jądrze. W dystrybucyjnych kernelach wystarczy załadować moduł sterownika.

Interfejsy ppp działają przez współdziałanie sterownika ppp w jądrze systemu oraz demona ppp w przestrzeni użytkownika. Urządzenia ppp zazwyczaj wykorzystują do komunikacji złącza szeregowe RS232, choć możliwe jest uruchomienie połączenia PPP przez Ethernet (PPPoE, wykorzystywane przez Neostradę) lub nawet przez połączenie TCP/IP, co pozwala na stworzenie prostej wirtualnej sieci prywatnej.

Ifconfig

Najpopularniejszym narzędziem do zarządzania interfejsami sieciowymi jest z pewnością ifconfig. Pozwala on na sprawdzenie stanu, podnoszenie, wyłączanie oraz ustawianie adresu interfejsu. Wywołany bez parametrów listuje wszystkie zarejestrowane w systemie interfejsy sieciowe

Aby użyć ifconfig do konfiguracji interfejsu, należy wywołać ifconfig z nazwą interfejsu jako pierwszy parametr i poleceniem jako drugi. Najważniejsze polecenia to:

* up - uaktywnienie interfejsu.

* down - wyłączenie interfejsu.

* netmask adres - ustawienie maski podsieci.

* address adres - ustawienie adresu sieciowego interfejsu.

Zazwyczaj nie używa się ifconfig bezpośrednio, częściej wykorzystuje się zależne od dystrybucji programy zarządzające. W większości dystrybucji występują programy ifup i ifdown, które odpowiednio uaktywniają lub wyłączają interfejs sieciowy zgodnie z konfiguracją. W systemie Debian konfiguracja ta zawarta jest w katalogu /etc/network.

Routing

Routing w ogólności to kierowanie ruchem pakietów. Mechanizmy routingu decydują na podstawie rozmaitych czynników, które pakiety powędrują do których interfejsów sieciowych. Najpopularniejszą metodą routingu jest routowanie statyczne, polegające na kierowaniu pakietów do interfejsów sieciowych na podstawie adresu przeznaczenia pakietu. Do zarządzania routingiem statycznym służy polecenie route.

Kiedy pierwszym parametrem route jest add bądź del, zmienia on działanie na dodawanie bądź usuwanie ścieżek routowania. Drugim parametrem powinien być -net, jeśli punktem docelowym jest sieć, bądź -host, jeśli punktem docelowym jest pojedynczy komputer. Trzecim parametrem powinien być adres komputera bądź sieci, do którego ścieżka jest dodawana bądź usuwana.

Iptables

Użytkownik podłączony do sieci rzadko kiedy musi się martwić o przychodzące do niego pakiety. W zupełnie innej sytuacji jest administrator. Z nie zaufanych sieci, takich jak Internet, mogą przybywać pakiety tworzone przez sieciowych włamywaczy, zwanych popularnie (lecz błędnie) hackerami, których celem jest zbadanie struktury sieci bądź przeprowadzenie ataku. Ponadto potrzebne mogą być mechanizmy translacji adresów - NAT, aby zezwolić użytkownikom sieci wewnętrznej na dostęp do Internetu lub umieścić kilka serwerów pod jednym internetowym adresem IP. Potrzebny jest więc mechanizm, który będzie w stanie analizować zawartość pakietów sieciowych i na jej podstawie decydować o losie pakietów. Mechanizm taki nazywa się filtrem pakietowym. System Linux wyposażony jest w filtr netfilter, dostępny dla administratora przez iptables.

Kluczem do poprawnego skonfigurowania filtru pakietowego jest dokładne zrozumienie zasad jego funkcjonowania. Zostaną więc one tutaj dokładnie omówione.

Najmniejszą jednostką konfiguracji filtra pakietowego jest reguła. Zawiera ona zbiór warunków, jakie musi spełniać pakiet, oraz akcję, jaka zostanie wykonana, gdy warunki zostaną spełnione. Pojedyncze reguły grupowane są w łańcuchy. Zbiór łańcuchów natomiast tworzy tabelę. Istnieją trzy tabele, mianowicie:

Każda z tabel zawiera kilka predefiniowanych łańcuchów oraz łańcuchy zdefiniowane przez administratora. Istnieją następujące predefiniowane łańcuchy:

Różne tabele dysponują różnymi wbudowanymi łańcuchami. Tabela filter zawiera łańcuchy INPUT, FORWARD i OUTPUT. Warte zauważenia jest, że (w przeciwieństwie do występującego w kernelach 2.2 ipchains) pakiet może znaleźć się w tylko jednym z tych trzech łańcuchów. Tabela nat zawiera łańcuchy PREROUTING, OUTPUT i POSTROUTING. Natomiast tabela mangle zawiera wszystkie rodzaje wbudowanych łańcuchów.

Każdy pakiet rozpoczyna swoją podróż przez filtr pakietowy w jednym z predefiniowanych łańcuchów. Łańcuch skanowany jest od góry do dołu w poszukiwaniu reguł, które będą odpowiadać sprawdzanemu pakietowi. Po napotkaniu takiej reguły, wykonywana jest jej akcja. Pozostała część łańcucha nie jest już skanowana. Wyjątkiem jest przypadek, gdy wywołany zostanie łańcuch zdefiniowany przez administratora zakończony akcją RETURN. Skanowanie rozpocznie się wtedy od kolejnej reguły od tej, która wywołała przeskok do łańcucha administratora. Jeśli pakiet opuszcza łańcuch bez wykonania żadnej akcji, wykonywana jest akcja domyślna (chain policy).

Nmap

Czasami występuje potrzeba przeskanowania dostępności pewnej usługi na jednej maszynie lub grupie maszyn, na przykład w celu sprawdzenia działania reguł firewalla czy przetestowania maszyn klientów na obecność popularnych trojanów. Do wykonania tego idealny jest nmap - profesjonalny skaner sieciowy.

Nmap posiada kilka metod skanowania o różnym poziomie skuteczności i wykrywalności. Jako parametry do wywołania nmapa należy podać adresy maszyn przeznaczonych do skanowania. Można podawać adresy domenowe, adresy IP bądź zakresy adresów IP, takie jak 192.168.0.1-254. Za pomocą dodatkowych opcji można zmienić domyślne zachowanie skanera.

Tcpdump

W diagnozowaniu problemów z połączeniami bardzo przydatna jest możliwość wglądu w dokładną zawartość przesyłanych pakietów sieciowych. Zdecydowanie najlepszym narzędziem ogólnego przeznaczenia do przechwytywania pakietów jest tcpdump.

Najważniejsze opcje przyjmowane przez tcpdumpa to:

Iptraf

Często potrzebne jest administratorowi narzędzie, które pozwala ocenić statystycznie ilość i rodzaj transmitowanych pakietów. Prostym programem, który zapewnia taką funkcjonalność, jest iptraf.

Po uruchomieniu iptraf ukazuje się menu, które pozwala wybrać jedną z funkcji programu. Funkcje te to:

Jeśli nie chcesz poddawać analizie całego ruchu, możesz zdefiniować filtry, które mogą odrzucać pakiety na podstawie protokołu, adresu bądź portu. Filtry są wykorzystywane w sekcjach IP traffic monitor, statystykach interfejsów oraz statystykach portów TCP/UDP.

Bibliografia:

  1. Linux w sieci - Autor: Adam Podstawczyński

  2. Linux. Serwery. Bezpieczeństwo Autor: Michael D. Bauer

  3. Zasoby internetowe: www.linux.pl

5



Wyszukiwarka