Professional Documents
Culture Documents
ndice
Introduccin Directorios del sistema Gestin de usuarios Arranque del sistema Variantes de shells Discos y sistemas de ficheros Servicios de red
Servicios internos Instalacin de nuevo software Terminales grficos Interoperabilidad con otros SSOO Auditora del sistema Seguridad en sistemas Unix
2
Introduccin
Herramientas de Administracin
Casi todos los sistemas operativos UNIX tienen su propio conjunto de herramientas de administracin:
admintool (Sun Solaris) control-panel (Linux-RedHat) Yast (Linux-SuSe). smit (IBM AIX). sysadmsh (XENIX).
4
Tipos de Instalaciones
Se pueden dividir las instalaciones en tres diferentes categoras:
Estaciones de trabajo monousuario.
Servidores multiusuario.
Clusters de maquinas.
Seguridad y comunicaciones.
Programacin (scripts, perl, awk, ...). Instalacin de componentes hardware. Otros sistemas operativos.
/ /bin
/dev /etc /home /lib /mnt /opt /proc /sbin /tmp /usr /var /bin /etc /include /lib /man /local
8
/ /bin
/dev /etc /home /lib /mnt /opt /proc /sbin /tmp /usr /var /bin /etc /include /lib /man /local
9
/ /bin
/dev /etc /home /lib /mnt /opt /proc /sbin /tmp /usr /var /bin /etc /include /lib /man /local
10
Directorio /dev
Agrupa entradas de tres diferentes tipos:
Dispositivos de tipo carcter. Dispositivos de tipo bloque.
11
Directorio /proc
Se corresponde con un sistema de ficheros virtual (no tiene soporte en disco). Las entradas del directorio son:
Procesos en ejecucin.
Informacin del sistema. Mapping de recursos del sistema.
12
Directorios Dependientes de la Versin de Sistema Operativo /boot: Directorio de la imagen del kernel (Linux).
/kernel: Idem (Solaris/SunOS). /osf_boot: Idem (OSF/1). /u: Cuentas de usuarios (AIX y otros). /usr/ucb: Aplicaciones de University of California, Berkeley (Solaris, OSF/1 y otros). /devices: Dispositivos asignados por controladoras (Solaris/SunOS). /usr/openwin: Sistema de Ventanas Openwin (SunOS).
13
La mayora de directorios y ficheros pertenecen al usuario root o a otros usuarios privilegiados del sistema. Las excepciones son:
Cuentas de usuario: /home Ficheros temporales: /tmp Entradas de las colas de trabajos: /var Las imgenes de los procesos: /proc
14
Si ciertos usuarios requieren accesos especiales a ciertos ficheros, esto se resuelve haciendoles pertenecer a grupos privilegiados.
Grupos: disk, printer, adm, ...
Gestin de Usuarios
Creacin de un usuario:
Insertarlo en el fichero de usuarios. Asignarle un passwd. Definir parmetros (limites). Crear el directorio home. Copiar ficheros iniciales (/etc/skel). Cambiar el propietario del home. Dar de alta en mail, quota, ...
16
Gestin de Usuarios
Login de un Usuario
Al conectarse un usuario al sistema:
Se evala si el modo de conexin (local o
Deshabilitar Usuarios
Cambio de Usuario
Para cambiar de usuario al iniciar una sesin se usa el comando su:
su - usuario: Cambia de usuario y carga
su configuracin. su usuario: Slo cambia de usuario. Si no se indica el usuario se cambia al usuario root.
20
Usuarios de Sistema
root: Administrador (UID 0). daemon: Ejecutas procesos de servicio del sistema (UID 1). bin: Propietario de ejecutables (UID 2). sys: Ficheros de sistema (UID 3). adm: Ciertos log (UID 4). nobody: Usuario sin privilegios.
...
21
Arranque del kernel. Montar el sistema de ficheros raz. Arranque del proceso init (PID 1).
Montaje del resto de sistemas de ficheros. Inicializacin de los terminales. Activacin del runlevel (demonios).
22
Runlevels Estndar
Runlevel 0: Parada del sistema. Runlevel 1: Modo mantenimiento. Runlevel 2: Multiusuario sin red (NFS). Runlevel 3: Multiusuario. Runlevel 4: <Reservado> Runlevel 5: Terminal grfico. Runlevel 6: Rearranque del sistema.
23
Fichero /etc/inittab
Cada entrada tiene el formato:
id:runlevels:action:process args id: Identificador nico. runlevels: Niveles en los que se ejecuta. action: Modo de ejecucin. process args: Proceso a ejecutar.
24
Arranca el proceso y espera a su finalizacin antes de seguir. respawn: Arranca el proceso automticamente en el caso de que muera. once: Si no esta arrancado arrancalo (sin esperar). boot: Ejecuta slo en el arranque (sin esperar). off: Si el proceso est en ejecucin mtalo.
25
Inicializacin de Terminales
init
fork
init
exec
getty
exec
login
exec
sh
fork
/dev/tty0
sh
# ls
exec
ls
26
28
/network /S10network
Symbolic link
S K start/stop
S10network
orden
script
29
Notificacin a los usuarios. Enva una seal a los procesos para su terminacin. Entrada en modo monousuario (saca los usuarios y mata al resto de procesos). Sincronizacin de los sistemas de ficheros (sync).
30
Otros Servicios
Ciertos servicios se filtran basndose en el shell del usuario que lo invoca.
El fichero /etc/shells indica qu ejecutables son shells vlidos para el resto de servicios.
33
Shells de Programacin
Perl:
Tratamiento de expresiones regulares. Interfaz con C y Libreras de utilidades.
AWK:
Precesador de campos.
Tcl / Tk:
Componentes grficos (ventanas).
34
35
Tipos de Dispositivos
UNIX define dos tipos de dispositivos:
Dispositivos de tipo bloque (discos). Dispositivos de tipo carcter (cintas).
En ciertos UNIX el mismo dispositivo fsico puede ser gestionado en modo bloque y modo carcter.
36
Particionamiento de Discos
El formato de las particiones y caractersticas, depende del SO:
Linux: fdisk, diskdruid.
Solaris/SunOS: format.
AIX: smit.
37
Linux: mkfs
38
Estrategias
Es recomendable la creacin de los siguientes SF independientes:
/ (Sistema tamao justo). /usr (Aplicaciones tamao justo). /home (Cuentas mucho tamao). /usr/local - /opt (Mucho tamao). /var (Logs bastante tamao). swap - /tmp (Depende de la carga).
40
Estrategias
Se recomienda:
Mantener las cuentas en un disco diferente del
sistema. Separar los SF de mayor acceso en diferentes discos (swap y sistema). Ubicar las particiones de forma que sea posible redistribuir los discos. Vigilar el porcentaje de disco libre.
41
Solaris: /etc/ufstab
AIX: /etc/filesystems ...
42
Sistemas de Backup
Esquemas de backup:
Backups completos: Se copia toda la
44
Decisiones de Backup
Una estrategia de backup debe incluir:
Estimacin del volumen de datos. Seleccin de los ciclos de backup.
Automatizacin (cliente/servidor).
Verificacin del sistema.
45
Dispositivos Redundantes
Dispositivos RAID:
/ /bin /etc /usr /var / /bin /etc /usr /var
md1
46
Tecnologa RAID
Hay varios modelos de RAID:
Modo lineal: Concatena volmenes. RAID 0: Modo alternado de bloques. RAID 1: Redundancia (Mirroring). RAID 4: Disco de paridad. RAID 5: Bloques de paridad.
Cuotas de Disco
Asocia a cada usuario/grupo un limite de espacio en disco. Dos lmites:
Soft limit: Lmite informativo. Hard limit: Espacio mximo disponible.
Lmites aplicables a cada sistema de ficheros. Se verifican en el arranque de la mquina y en cada login.
48
Configuracin de TCP/IP
Configuracin del interfaz:
Dispositivo de red (e.g. /dev/le0). Asignar direccin IP.
Mscara de red.
Direccin Broadcast. Subred.
Ejemplo:
ifconfig eth0 138.100.9.101 netmask 255.255.248.0 up
49
Configuracin de TCP/IP
Encaminamiento IP:
Encaminamiento local. Encaminamiento dentro de la subred.
Ejemplos:
route route route route add add add add -host 127.0.0.1 lo -net 138.100.8.0 netmask 255.255.248.0 eth0 default gw 192.168.1.1 eth0 default ppp0
50
Configuracin de TCP/IP
Configuracin dinmica:
Protocolo BOOTP Protocolo DHCP.
MAC=0A:12:A1:00:B2:24:AE
servidor dhcpd
IP=138.100.9.201
cliente
51
Configuracin de un Router
Servicio de encaminamiento:
Mquina con dos interfaces de red. Intercambio de tablas de encaminamiento entre
Resolucin de Nombres
Orden de resolucin:
/etc/host.conf
DNS autnomo:
Mantiene una BD propia. Incluye el anterior.
Demonio: named
54
Demonios de Red
Dos modalidades de servicios:
Dependiente del
21
in.ftpd
inetd
in.telnetd
23
80
httpd
55
Demonio inetd
Puertos estndar de servicio: /etc/services
#nombre telnet time #servicio telnet time puerto/protocolo 23/tcp 37/udp socket stream dgram proto tcp udp alias
timeserver
flags usr serv nowait root .... wait root internal
56
portmapper
3 1
nfsd
function(...)
57
Cliente:
mount -t nfs laurel:/usr/local /opt
58
59
Cliente NIS:
Definir el mismo dominio. Modificar el mecanismo de bsqueda de datos
en las BD locales/remotas.
60
Terminales Remotos
Configuracin:
/etc/hosts.equiv ~/.rhosts
61
Otros Servicios
Servidor Web:
Apache, NCSA.
Servidor FTP:
WU-ftp.
Agente de correo:
Sendmail, Postfix
Servicios de correo:
IMAP, POP.
62
para varias mquinas. IP Accounting: Estadsticas y anlisis de paquetes. IP Aliasing: Varias direcciones IP a las misma tarjeta. IP Forwarding: Redireccin de paquetes.
63
Servicios Internos
Otros servicios adicionales UNIX:
Servicio de Impresin (lp).
64
Servicio de Impresin
Demonio de Impresin (lpd):
Asociado al dispositivo de impresora. Gestiona la cola de trabajos.
lpd
filtro
/dev/lp0
65
Filtros de Impresin
Pequeos scripts que procesan la entrada (documento) y transmiten su salida a la impresora:
Filtros texto: retornos de carro y otras opciones
66
67
Programacin de Tareas
Demonio atd:
Ejecuta un comando en un instante
Demonio crond:
Mantiene una serie de tablas de tareas
habituales: /etc/crontab
Tareas de administracin.
68
69
Paquetes de Instalacin
El formato de paquete depende del SSOO:
RedHat y otros linux: RPM. Solaris: PKG.
AIX: SMIT.
...
70
Cdigo Binario
Posibles problemas:
Sistemtico en la instalacin. Problemas de versiones de libreras y otros
Formatos (comprimidos):
.tar.gz, .tgz, .tar.Z, .shar o .bz
71
Cdigo Fuente
Posibles problemas:
Configuracin de las fuentes: IMake o
Terminales Grficos
X Window:
Entorno grfico de los sistemas UNIX. Arquitectura Cliente/Servidor
73
X Window
Servidor:
Asociado al terminal
xterm
window manager
Cliente:
Aplicacin con salida
xterm
X Window
Servidor:
Interacta con el hardware grfico. Acepta mensajes X11.
Clientes:
Usan primitivas para dibujar en el servidor. Pueden ser aplicaciones remotas. Gestor de ventanas: window manager
75
Desarrollo en X Window
Aplicaciones X
Motif
...
XDM
El servicio XDM (X desktop manager):
Proporciona un login grfico. Asociado al runlevel 5 (grfico).
77
78
Cliente/Servidor Samba
Gestin de usuarios (cuentas) Impresoras compartidas. Directorios compartidos. <cuentas> Impresoras compartidas. Directorios compartidos.
SMB printer
/home
printer C:
unix
windows
79
Servidor Samba
La configuracin de un servidor Samba arranca dos demonios:
smbd: Demonio de SMB.
Configuracin: /etc/smb.conf
80
Cliente Samba
Existen las siguientes herramientas:
smbclient: Conexin a recursos (modo
FTP). smbsun: Ejecucin de programas. smbprint: Impresin remota. smbmnt: Permite montar discos compartidos.
81
82
Conexiones al Sistema
Ficheros de acceso:
Registra las conexiones. En algunos casos, tiene formato binario.
83
Gestin de Logs
La gestin de los ficheros log comprende:
Seleccin de eventos a registrar. Los ciclos de rotacin.
84
85
86
Lmites de Recursos
A un usuario se le restringen los lmites de recursos a utilizar por medio de la llamada ulimit.
Por lo general los lmites generales se definen
87
Seguridad
Puntos de inters:
Seguridad Interior: Programas con permisos. Seguridad Exterior: Servicios de red.
superado la seguridad.
Seguridad Interior
Programas con permisos de ejecucin privilegiada: Bit s.
Si el programa no se usa: eliminarlo.
(restricted shells).
89
Seguridad Exterior
Servicios de red del sistema:
Si no se usa: eliminarlo. Si se usa: tenerlo actualizado.
dnde se usa).
90
Filtrado de Conexiones
Los TCP wrappers son un paquete de seguridad basado en filtrar conexiones al inetd. Configuracin:
/etc/hosts.allow /etc/hosts.deny
91
TCP Wrappers
# /etc/hosts.deny ALL: PARANOID # Direciones sospechosas ALL: ALL # Todos los servicios
# /etc/hosts.allow telnetd, ftpd: LOCAL, .fi.upm.es fingerd: ALL: (finger @%h | mail -s "finger @%h" root)
92
93
94
95
IP Spuffing
Otro posible ataque es por medio de suplantar la identidad de otro host:
Rutas de mensaje extraas.
Kerberos, ...
96
97