Facultat d'Informàtica de BarcelonaUniv. Politècnica de Catalunya

Administració de Sistemes Operatius

Serveis de xarxa

2007 Alex Ramírez, Xavier Martorell, Alex Duran (UPC)

Temari● 1. Introducció a l'Administració de Sistemes● 2. Instal∙lació del Sistema Operatiu● 3. Gestió d'usuaris● 4. Gestió d'aplicacions● 5. Monitorització del sistema● 6. Manteniment del sistema de fitxers● 7. Serveis locals● 8. Serveis de xarxa● 9. Protecció i seguretat

Objectius● Coneixements

– Principals elements d'una xarxa– Principals serveis i protocols de xarxa

● Superservidor, portmapper, DNS, FTP, WWW, e­mail● Habilitats

– Configuració dels serveis● Superservidor● DNS● FTP● WWW● Correu electrònic

Medis de transport● Xarxes locals

– RS­232– Ethernet – Token ring – FDDI (fibra òptica) 

● Xarxes de gran abast– Gigabit ethernet i 10GbE– Frame relay– X­25– ATM

Protocols● Cada xarxa té el seu propi protocol d'enllaç● Habitualment implementem TCP/IP a sobre... 

– Modem– Ethernet – Token ring– Gigabit ethernet– ATM– Frame relay– X­25

Xarxes i hosts IP● Tipus de xarxes

– Classe A (0)● 1.0.0.0 ­ 127.0.0.0● 7 bits xarxa, 24 bits de host (16 milions de hosts ­ 2)

– Classe B (10)● 128.0.0.0 ­ 191.255.0.0● 16 bits xarxa (16K­2 xarxes), 16 bits host (64K­2 hosts)

– Classe C (110)● 192.0.0.0 ­ 223.255.255.0● 24 bits xarxa (2M­2 xarxes), 8 bits host (254 hosts per 

xarxa)

Xarxes i hosts IP● Tipus de xarxes

– Classe D: adreces multicast  (1110)● 224.0.0.0 ­ 240.0.0.0

– Classe E: reservat per usos futurs (11110)● 240.0.0.0 ­ 248.0.0.0

– Classe F● 248.0.0.0 ­ 252.0.0.0

– Classe G● 252.0.0.0 ­ 254.0.0.0

Xarxes i hosts IP● Adreces IP amb significat especial

– 0.0.0.0 : aquest host– 0.host : màquina en aquesta xarxa– 127.anything : loopback (no s'ha de veure a la xarxa)– 255.255.255.255 : broadcast a la xarxa local– network.255 : broadcast a la xarxa especificada– Adreces internes (o privades):

● 10.0.0.0 ­ 10.255.255.255: 1 xarxa de classe A● 172.16.0.0 ­ 172.31.255.255: 16 xarxes de classe B● 192.168.0.0 ­ 192.168.255.255: 255 xarxes de classe C

Subxarxes● És infreqüent tenir més de 100 màquines en una mateixa 

xarxa– Les adreces de classes A i B estan desaprofitades– Usem una part de l'adreça del host per estendre l'adreça de 

xarxa● Usem un nombre de bits arbitrari, no alineat a byte

149 76 12 4

149 76 12 4

256*256 màquines

10 bitssubxarxa

2^10 = 1024 subxarxesde 2^6 = 64 màquines

6 bitshost

Gestió de les adreces IP● IANA: Internet Assigned Numbers Authority

– www.iana.org● Regional Internet Registries (RIRs)

– ARIN: American Registry for Internet Numbers● www.arin.net

– RIPE NCC: Europe, Middle East and Central Asia● www.ripe.net

● Internet Service Providers (ISPs)● ESNIC: www.nic.es

– Dominis a “.es”

Gateways● Les sub­xarxes acostumen a correspondre a l'estructura 

física de la xarxa– Una habitació, despatx...– Un host ethernet només pot veure els hosts en el seu 

mateix cable● Gateway: host connectat a més d'una xarxa física, amb 

capacitat per creuar paquets d'una a l'altra

149.76.12.4

149.76.12.5

149.76.13.40

149.76.13.43

149.76.12.1149.76.13.1

Routing● Procés de dirigir un paquet a través del laberint de xarxes 

que hi ha entre el host origen i el destí– El router selecciona el camí de sortida d'un paquet en base 

a les taules de routing● Associen una IP destinació amb una interfície de xarxa

149.76.12.4

149.76.12.5

149.76.13.40

149.76.13.43

192.45.2.87

192.45.2.93... ...

...

eth2 eth1

eth0

Classificació dels ports● Ports privilegiats: 0 ­ 1023

– Controlats i assignats per IANA– Només l'usuari privilegiat (root) pot posar serveis en 

aquests ports● Ports enregistrats: 1024 ­ 49151

– No controlats, però enregistrats per IANA– Registre dels serveis típics que usen cada port

● /etc/services● Ports dinàmics: 49152 ­ 65535

– Usats per a connexions temporals

/etc/services● Relaciona els serveis amb el corresponent número de 

port– ho consulten diversos programes (netstat, ... )– nomservei port/protocol llista d'alias

echo            7/tcpecho            7/udpsystat          11/tcp          userssystat          11/udp          usersftp­data        20/tcpftp­data        20/udp# 21 is registered to ftp, but also used by fspftp             21/tcpftp             21/udp          fsp fspdssh             22/tcp                          ssh             22/udp                         telnet          23/tcptelnet          23/udp

# 24 ­ private mail systemsmtp            25/tcp          mailsmtp            25/udp          maildomain      53/tcp                   domain      53/udphttp        80/tcp        www www­http    http        80/udp        www www­http   

Network Address Translation (NAT)● El router tradueix adreces internes per la seva pròpia

– Permet usar una IP reservada i mantenir la connectivitat amb l'exterior

● El router recorda les connexions de sortida per reconèixer les connexions de tornada– Connexió de sortida:

● 192.168.1.25 (port 1085) ­> 212.106.192.142 (1085)– Connexió de tornada:

● 212.106.192.142 (1085) ­> 192.168.1.25 (1085)

NAT, efectes laterals● Les adreces internes no són visibles des de l'exterior

– Només el router pot ser víctima d'atacs● La seguretat de la xarxa depèn de la seguretat del router

– Les màquines internes no poden oferir serveis a l'exterior● Excepte si usem Port Address Translation (PAT)

● Impacte important sobre el rendiment de la xarxa– Totes les connexions exteriors passen per un sol router– Cada paquet requereix un cert càlcul de CPU

● Alguns serveis no es poden usar amb NAT– Aquells que fan connexions cap a dins

● FTP, IRC, Netmeeting...

Port Address Translation (PAT)● Indicar al router NAT que deixi passar algunes 

connexions– Mapejar ports del router a ports d'una màquina interna

212.16.13.84192.168.12.1

Internet

192.168.12.4

192.168.12.5 ...

Ports 22,25,80

Ports 25,80 Port 22

Firewalls● Servidor que determina quines comunicacions poden ser 

establertes entre dues xarxes– Treballa típicament a nivell enllaç

● No coneix l'aplicació– Pot mantenir estat

● Permetre connexions relacionades i connexions “de tornada”

Firewall

(Firewall == seguretat) ?● Un firewall és un suplement a la seguretat del sistema● El seu ús pot oferir una falsa idea de seguretat

– No es poden relaxar altres aspectes de la seguretat● Altres eines de seguretat a la xarxa interna i als servidors 

continuen sent necessàries

Tipus de servidors (segons servei)● Orientats a connexió

– El servidor manté l'estat de la sessió– Incrementa el rendiment– Redueix la tolerància a fallades

● No orientats a connexió– No es guarda cap estat sobre els clients

● No hi ha sessions– Les peticions han de ser autocontingudes

● La petició del client ha de contenir tota la informació – Incrementa la tolerància a fallades

Tipus de servidors (segons autoritat)● Primaris

– Mantenen la còpia principal de la informació● En cas de divergència es confia en el servidor primari

– N'hi ha un per servei● Secundaris

– Mantenen còpies de la informació● Actualitzacions periòdiques des del servidor primari

– Pot haver­n'hi més d'un per servei● Balanceig de la càrrega● Backup en cas de caiguda del servidor principal

Tipus de servidors ● de cache (i/o proxies)

– Mantenen còpies de la informació més usada– Pot haver­n'hi més d'un per servei

● Augment del rendiment – S'hi poden afegir funcions de seguretat, filtratge, log...

Superservidor (inetd)● Un servei consumeix recursos encara que no es faci 

servir– Molts serveis es demanen de forma esporàdica

● telnet, ftp, ssh...● El superservidor escolta tots els ports i activa el servei 

només quan és necessari– Detecta la petició– Inicia el servidor– Passa el missatge

● Limitacions– No es pot guardar a memòria informació entre connexions– Overhead de creació de processos

/etc/inetd.conf● Especifica els serveis atesos pel superservidor

– Servei (port) a escoltar (de /etc/services)– Protocol– Usuari/grup– Servidor que s'haurà d'executar– Arguments ( arg0 = nom del procés, ... )

# If you make changes to this file, either reboot your machine or send the# inetd a HUP signal: Do a "ps x" as root and look up the pid of inetd. # Then do a  "kill ­HUP <pid of inetd>".# The inetd will re­read this file whenever it gets that signal.# <service_name> <sock_type> <proto> <flags> <user> <server_path> <args>## The first 4 services are really only used for debugging purposes, so# we comment them out since they can otherwise be used for some nasty# denial­of­service attacks.  If you need them, uncomment them.# echo          stream  tcp     nowait  root    internal# discard       stream  tcp     nowait  root    internal...

/etc/inetd.conf● Serveis típicament engegats per inetd

# File Transfer Protocol (FTP) server:#ftp     stream  tcp     nowait  root    /usr/sbin/tcpd  proftpd

# Telnet server:#telnet stream  tcp     nowait  root    /usr/sbin/tcpd  in.telnetd# The comsat daemon notifies the user of new mail when biff is set to y:comsat        dgram   udp     wait    root    /usr/sbin/tcpd  in.comsat# Shell, login, exec and talk are BSD protocols#shell  stream  tcp     nowait  root    /usr/sbin/tcpd  in.rshd ­L#login  stream  tcp     nowait  root    /usr/sbin/tcpd  in.rlogind# POP and IMAP mail servers## Post Office Protocol version 3 (POP3) server:#pop3    stream  tcp     nowait  root    /usr/sbin/tcpd  /usr/sbin/popa3d# Internet Message Access Protocol (IMAP) server:#imap2   stream  tcp     nowait  root    /usr/sbin/tcpd  imapd

# Tftp service is provided primarily for booting.  Most sites# run this only on machines acting as "boot servers."# tftp  dgram   udp     wait    root    /usr/sbin/in.tftpd  in.tftpd ­s /tftpboot ­r blksize

Remote Procedure Calls (RPC)● Execució remota de subrutines

– Identificades amb un número de servei● Servidors de RPC

– Implementen un conjunt de subrutines remotes– Escolten en un port no fixat

● Portmapper– Registra els servidors d'RPC

● Associa el port amb les subrutines– Necessari per altres serveis

● NFS, ...

Portmapper● Tot l'estat es guarda en memòria

– Si falla el procés, no n'hi ha prou amb reiniciar­lo● S'han de reiniciar tots els servidors d'RPC

● Cal enregistrar tots els servidors quan iniciem el portmapper

Client

Portmapper

Servidor

Enregistrarservei

 (num, port)

Demanar servei (num)

Port

RPC

Resultat

Domain Name System (DNS)● Servei de traducció de noms

– Hostname ­> adreça IP– Adreça IP ­> hostname

● Dificultats– Gran quantitat de màquines– Gran número de canvis

● Solució– Distribució jeràrquica de la informació (dominis)– Delegació de l'autoritat

Funcionament del DNS● Delegació de l'autoritat

– Cada domini administra el seu propi servidor– Tothom coneix els servidors principals (root)– Tothom coneix al servidor del seu domini– Resolució de noms iterativa

PCDNSserver

/etc/resolv.conf

www.google.com

a.root­servers

b.root­servers ...

“www.google.com?”“.com”

.com

“www.google?”

“.google”

.google

“www?”

“www”

internic.net

iana.orgalldomains.com

NS3.GOOGLE.COM              216.239.36.10...DNS: RFCs 1034/1035

Eficiència del servei● És convenient l'ús de “caches”

– Alta localitat temporal● Evitar repetir la mateixa cerca

– Alta localitat espacial● Evitar visitar continuament el servidor arrel● Evitar passos d'una cerca iterativa

Eficiència del servei● DNS es pot usar per fer balanceig de càrrega

– Afegir vàries adreces IP per un mateix nom● Cada resposta ofereix una IP different

– Round Robin, Criteris “geogràfics”

– Exemple● www.google.com, des de llocs diferents

;; ANSWER SECTION:www.google.com.         693     IN      CNAME   www.l.google.com.www.l.google.com.       93      IN      A       66.249.85.104www.l.google.com.       93      IN      A       66.249.85.99

;; ANSWER SECTION:www.google.com.         900     IN      CNAME   www.l.google.com.www.l.google.com.       300     IN      A       64.233.161.99www.l.google.com.       300     IN      A       64.233.161.104www.l.google.com.       300     IN      A       64.233.161.147

Configuració del client del DNS● /etc/host.conf

– On es busca un nom i l'ordre de cerca● /etc/hosts

– Màquines traduides localment● /etc/resolv.conf

– Dominis on buscar automàticament i – Adreces IP dels servidors de noms

Configuració del servidor del DNS● /etc/named.conf

– Què administrem?● Dominis de DNS● Rangs d'adreces IP

– Indica si som primari, secundari o de cache● Fitxers de traducció directa

– Nom.domini ­> adreça IP– 1 fitxer per cada domini que administrem

● Fitxers de traducció inversa– Adreça IP ­> nom.domini– 1 fitxer per rang d'adreces que administrem

Tipus de registres de DNS● SOA (Start of Authority)

– Nombre de sèrie– Temps de refresc i retry– Temps d'expiració– TTL mínim

Tipus de registres de DNS● A ­ traducció directa

– Nom ­> adreça IP● romeu IN A 147.83.32.4

● CNAME ­ sinònims– Nom ­> nom

● romeu IN CNAME lp_romeu● PTR ­ traducció inversa

– Adreça IP ­> nom DNS● 4 IN PTR romeu.ac.upc.edu.

Tipus de registres de DNS● NS ­ delegació de dominis

– Domini DNS ­> servidor● ac IN NS 147.83.32.3

● MX ­ mail exchanger– Domini DNS ­> servidor

● ac IN MX 147.83.33.10● I altres...

– HINFO, WKS,...

Exemple de configuració de DNS● Zona “ac.upc.edu”, com a primari

/etc/named.confoptions {

directory “/var/named”;// query­source address * port 53;

};zone “ac.upc.edu” IN {

type master;file “ac.zone”;allow­update { none; };

};zone “3.168.192.in­addr.arpa” IN {

type master;file “3.168.192.zone”;allow­update { none; };

};

Exemple de configuració de DNS● Zona “ac.upc.edu”

/var/named/ac.zone$TTL 86400@ 1D IN SOA pcxavim.ac.upc.edu. root.pcxavim.ac.upc.edu. (

42  ; serial3H ; refresh15M ; retry1W ; expiry1D ) ; minimum

1D IN NS @pcxavim 1D IN A 192.168.3.1pcxavim2 1D IN A 192.168.3.250;laptop1 1D IN CNAME pcxavimlaptop2 1D IN CNAME pcxavim2

/var/named/3.168.192.zone......

1D IN NS @1 1D IN PTR pcxavim.ac.upc.edu.250 1D IN PTR pcxavim2.ac.upc.edu.

Activitat● En grup, discutir

– Tenim 3 servidors (server1, server2 i server3) amb aquests registres

● server1 IN A 123.123.123.1● server2 IN A 123.123.123.2● server3 IN A 123.123.123.3

– Volem afegir resolució de noms per als serveis:● www a server1  (server2 es el de backup)● ftp a server1 i server2● correu entrant/sortint a server3

– Quins registres afegireu?

Eines relacionades amb DNS● whois domini

– Proporciona informació de contacte per un domini● dig [@server] petició

– Fa una petició de DNS– Possibilitat de controlar diversos paràmetres

● Servidor, tipus de registre, resolució iterativa/recursiva, ...– Retorna els registres associats a la nostra petició

● Se li pot demanar debugging

Dynamic Host Configuration (DHCP)● S'usa perquè les màquines puguin demanar

– quina adreça IP se'ls assigna– la informació sobre la xarxa en la que estan

● La màquina no té perquè ser coneguda!– Se suposa que si s'ha pogut connectar, és que té accés a la 

instal∙lació● El control d'accés es fa a nivell MAC

– Les adreces IP s'obtenen de conjunts definits per l'administrador

Dynamic Host Configuration (DHCP)● Habitualment el servidor també suporta BOOTP

– Internet Bootstrap Protocol– Proporciona la informació perquè una màquina pugui 

“bootar”● Fitxer (amb mida) de boot● Nom del domini de DNS i llista de servidors de noms● Nom de la màquina, adreça IP, màscara de la xarxa● Llista de gateways● Directori que s'haurà de muntar com arrel● ...

Dynamic Host Configuration (DHCP)● Exemple /etc/dhcpd.conf

ddns­update­style none;

subnet 192.168.3.0 netmask 255.255.255.0 {   range 192.168.3.9 192.168.3.250;   default­lease­time 28800 ; max­lease­time 57600;   option subnet­mask 255.255.255.0;   option broadcast­address 192.168.3.255;   option routers 192.168.3.1;   option domain­name­servers 192.168.3.1;   option domain­name "ac.upc.edu";}

host pcxavim2 {   hardware ethernet 00:03:47:B8:69:62;# fixed­address 192.168.3.2;}

Per ifconfig

Per route

Pel/etc/resolv.conf

DHCP: RFC 2131

Dynamic Host Configuration (DHCP)● És possible actualitzar el DNS quan DHCP assigna una 

nova adreça IP

dhcpdDNSserver(named)

update zone “ac.upc.edu”

update zone “3.168.192...”

/etc/dhcpd.confddns­update­style interim;key DHCP_UPDATER {   algorithm HMAC­MD5.SIG­ALG.REG.INT;   secret pRP5FapFoJ95JEL06sv4PQ==;};zone ac.upc.edu. {   primary 192.168.3.1;   key DHCP_UPDATER;}

/etc/named.confkey DHCP_UPDATER {   ... /* Mateix algorisme i clau secreta */};zone ac.upc.edu. {   type master;   file “ac.zone”;   allow­update { key DHCP_UPDATER; };};...

Activitat● En grup, discutir

– Com es pot implementar correctament el DHCP quan hi pot haver caigudes de la màquina servidora?

● Quins problemes caldria resoldre?

Hypertext Transfer Protocol (HTTP)● Servei de transferència de dades● No orientat a connexió

– No es recorda l'estat d'un client– Cada petició és autocontinguda

● No obstant això, usa TCP!

Client

httpd

connect/accept

GET /path/to/file

<file contents>

HTTP/1: RFC 2616

Apache Web Server (httpd 2.x)● Protocol http 2.x● /etc/httpd/httpd.conf

– Execució com a usuari no privilegiat– Atenció de peticions per processos/fluxos independents

● Número de processos configurable– Opcions de configuració per cada directori– Configuració per dominis virtuals

● Separació per adreça IP● Separació per nom en DNS (http v1.1)

File Transfer Protocol (FTP)● Servei de transferència de dades● Orientat a connexió

– Connexió de control● Es recorda l'estat d'una petició a una altra

– cwd● Connexió de dades 

– activa / pasiva– Nova connexió per cada transferència

Client

ftpd

Comanda

<ok / error>

Data connection

FTP: RFC 959

Configuració del FTP● Diferent per cada servidor

– wu­ftpd, proftd,vsftpd...● /etc/ftpusers

– Llistat d'usuaris que NO poden accedir per FTP● root

● Opció chroot <directori> pel ftp anònim – Canvia l'arrel del sistema de fitxers del servidor al 

directori donat● Cal disposar de les comandes bàsiques

– /etc, /bin– ls, ...

– També pot ser útil per usuaris normals

Simple Mail Transfer Protocol (SMTP)● Elements que composen el sistema de correu

– MUA ­ Mail User Agent● Aplicació d'usuari per llegir i escriure correu ­ mail

– MSA ­ Mail Submission Agent● Aplicació que transmet el correu del client a l'MTA● Fa totes les comprovacions d'error prèvies

– MTA ­ Mail Transport Agent● Aplicació que dirigeix el correu entre màquines

– Delivery Agent● Aplicació que guarda el correu al mailbox de l'usuari

– De vegades una base de dades en lloc d'un fitxer

– Access Agent● Aplicació que permet a l'usuari accedir al seu mailbox ­ mail

Components del sistema de correu

outlook

mail

mutt

sendmail

sendmail/ssmtp

Internet

postfix

procmail

mail.local

mbox

MUA

MUA

MUA

MSA

MTA

MTA

DA

DA

mail

MUA

mutt

AA/MUA

Inet POP

SMTP

IMAP

SMTP

SSMTP

SMTP: RFC 821

Anatomia d'un correu electrònic● El sobre (envelop)

– A qui va dirigit el missatge– Qui l'envia– Normalment invisible als usuaris

● Les capceleres– Col.lecció de propietats del missatge

● Data d'enviament● Remitent, destinatari

– Poden no coincidir amb els que hi ha al sobre

● Llistat de hosts pels quals ha passat el missatge

– El cos del missatge● Text ASCII (7 bits)

Configuració del client de correu● Recepció de correu

– Accés a un mailbox local– Accés a un mailbox remot (Access Agent)

● POP– Transmissió del correu del servidor a un mailbox local

● IMAP– Accés al mailbox remot

● Enviament de correu– SMTP server

Configuració del servidor de correu● Enviament de correu ­ sendmail

– Enviament directe al receptor● Cerca del MX record de DNS ­ destinatari local

– usuari@est.fib.upc.edu● Enviament a través d'un Relay

– No tenim accés directe al destinatari

– Recepció de correu● Guardem els missatges localment

– POP, IMAP al mateix servidor● Relay de correu a un servidor extern

– POP, IMAP a un altre servidor

Configuració del servidor de correu● Alias de correu

– Redirecció del correu a un altre destinatari– En una màquina diferent

– Usuaris amb múltiples noms– root, www, postmaster, webmaster ­> usuari@màquina

– Enviar correu a un fitxer enlloc d'un usuari– spam: /dev/null

– Enviar correu a un programa– autoftp: “| /usr/bin/ftpserver”

– Definició de llistes de correu● Tot i que hi ha maneres millors de fer­ho

– Majordomo, Mailman, ListProc, SmartList, ...

Configuració del servidor de correu● Alias de correu

– Definits a /etc/aliases o /etc/mail/aliases– Compilats amb 

● $ newaliases● Execució de comandes en alias

– Actualment es fa servir l'entorn de smrsh● Restricted shell for sendmail● Només es podran executar les comandes del directori 

/etc/smrsh o /usr/adm/sm.bin

Consideracions de seguretat● Autenticació d'usuaris

– El servidor de correu no demana usuari i password● Es pot afegir SASL

– Es pot falsificar el sobre de correu● SPAM...

– Relay de correu electrònic● El servidor sempre intenta entregar el correu al destinatari

– Fins i tot si el sobre no té res a veure amb ell● “Open Relays” ­> SPAM

Consideracions de seguretat● Privacitat del correu

– El correu s'envia sense encriptar● Us de TLS (SSL) només entre MUA i MTA● El transport entre MTA's es fa sense encriptar

– L'usuari és responsable de la seva encriptació– PGP ­ Pretty Good Privacy

● Encriptació de missatges ● Signatura de missatges● Basat en clau pública

Consideracions de seguretat● Instal∙lació de filtres

– Anti­spam● Spamassasin, gray lists, black lists, ...

– Anti­virus● Clam AV, Amavis, f­prot, ...

En grup● Hem posat un filtre per detectar el spam. Quan es detecta 

un correu d'aquestes característiques, quina acció programaríeu?

● I amb el filtre anti­virus?

Post Office Protocol (POP)● Permet els usuaris accedir al seu mailbox● Porta els missatges cap a la màquina local● Autenticació d'usuari sense encriptació

– pop3s funciona sobre SSL

POP3: RFC 1939

Internet Message Access (IMAP)● Permet els usuaris manipular al seu mailbox● Realitza les manipulacions remotament● Autenticació d'usuari

– Permet encriptació● imaps treballa sobre SSL

IMAP: RFC 3501

Secure Shell● Substitueix els serveis de rsh/rlogin i telnet● Afegeix seguretat

– Realitza autenticació basada en RSA o DSA● El client signa l'identificador de sessió amb la clau privada● El servidor usa la clau pública (.ssh/authorized_keys) per 

comprovar si la signatura és correcta● També es pot usar autenticació basada en password

– Encripta la informació que s'envia per la connexió● Confidencialitat: 3DES, Blowfish...● Integritat: hmac­md5...

Secure Shell● El servidor executa la comanda donada o l'intèrpret de 

comandes de l'usuari● Sessió transparent

– Quan no es demana usar un pseudo­terminal– Es pot fer servir per transferir dades en format binari

● Sessió de login– També pot fer forwarding de TCP i X11

● DISPLAY=hostname:10.0

SSH: RFC 2434(?)

En grup● Secure shell permet implementar transferència segura 

d'informació– Com implementaríeu secure copy i secure file transfer 

sobre ssh?

Radius● Servidor d'autenticació remota d'usuaris

– Permet configurar una BBDD de usuaris● Nom● Contrasenya● Diferents propietats

– Fa accounting del temps d'us dels usuaris– Altres servidors/dispositius l'utilitzen per autenticar als 

usuaris● routers● dial­ups

Network File System (NFS)● Accés a fitxers guardats en un disc remot

– Mantenint la semàntica del sistema de fitxers local● Actua de forma transparent a l'usuari

– Implementat usant RPC's

Shared disk

NFS serverNFS client

OSOS

open/closeread/write...

NFS protocol

Local disk

Mount remot per NFS● El directori muntat es veu com si fos local

NFS clientOS

Local disk Shared disk

NFS serverOS

/home

/

usr

home

Permisos d'accés● Els UIDs a la màquina remota i a la màquina local han 

de ser els mateixos– El sistema de fitxers guarda UIDs, no usernames 

● Traducció automàtica de UID's– Usuaris especials

● Root, nobody– Opcions

● no_root_squash, root pot fer su a qualsevol usuari!● all_squash, es pot fer que tots els usuaris siguin nobody● Es pot definir qui serà nobody

– anonuid=UID,anongid=GID

Configuració d'NFS● /etc/exports

– Directori a exportar– Màquines a les quals s'exporta + flags

● rw, ro● root_squash, no_root_squash

# sample /etc/exports file/                    master(rw) trusty(rw,no_root_squash)/projects       proj*.local.domain(rw)/usr               *.local.domain(ro) @trustedgroup(rw)/home/joe     pc001(rw,all_squash,anonuid=150,anongid=100)/pub              (ro,insecure,all_squash)

SMB ­ Samba● Permet exportar

– Fitxers– Impressores

● Control d'accés a nivell d'usuari– Autenticació amb usuari i password

● Basat en username, no en UID● Transmissió de passwords de forma encriptada o no

– Restricció d'accés també a nivell de màquina● No permet distingir flags segons la màquina que estigui 

accedint– Usar noms de recurs diferents

LDAP● Lightweight Directory Access Protocol

– Permet accedir a bases de dades amb informació sobre els usuaris

● En format de directori (X.500)– Ofereix un mecanisme d'autenticació d'usuaris

● /etc/passwd, /etc/shadow, /etc/group...● ... poden ser volcats a la base de dades d'LDAP

– Es pot integrar de forma que les comandes consultin la base de dades d'usuaris, a més dels fitxers tradicionals

– Base de dades típica● Berkeley Database (BDB)

Configuració del servei● Configurar, compilar i instal.lar

● Comandes LDAP per fer proves: altes / baixes / modificacions– ldappasswd ldapadd– ldapsearch ldapdelete– ldapwhoami

http://www.openldap.org/

$ ./configure ­­prefix=/home/xavim/Downloads/openldap –enable­lmpasswd \                     ­­enable­spasswd ­­enable­passwd ­­enable­ldap –enable­syslog$ make depend$ make$ make test$ make install

Autenticació amb LDAP● Fitxer /etc/nsswitch.conf

– passwd:  ldap    compat    – group:     ldap    compat     

● Els elements es busquen en l'ordre especificat● libc té una sèrie de mòduls que es carreguen segons 

l'autenticació que es demana– libnss_compat.so.2 (/etc/passwd NIS)– libnss_dns.so.2– libnss_files.so.2 (/etc/passwd)– libnss_ldap.so.2– libnss_wins.so.s (Servei de noms de Windows)– libnss_nisplus.so.2 (NIS+)

Virtual Private Networks (VPN)● Servidor i client negocien una connexió segura● Es disposa d'una @IP interna, amb la qual cosa es té 

accés a tots els serveis de la Intranet, com si fos a dins

VPN serverOpenVPN port: 1194

192.168.1.30

192.168.1.31

192.168.1.32

192.168.1.33

192.168.1.34

Internet 88.40.135.97VPN     192.168.1.200  (tun module)

Internettunnel