Do spisu tresci tematu 10
10.1 Administracja systemu
Spis tresci
Rola administratora jest fachowa opieka nad systemem dla utrzymania jego maksymalnej efektywnosci,
ochrony jego zasobow i zapewnienia kazdemu uzytkownikowi indywidualnie wymaganych przez niego uslug i dostepu do oprogramowania.
Zadania jakie stoja przed administratorem systemu to w ogolnosci:
- utrzymanie spojnosci systemu
- dokonywanie okresowych skladowan systemu plikow
- obsluga problemow zwiazanych z ograniczonymi zasobami systemu
- dokonywanie aktualizacji systemu operacyjnego
- zapewnienie ogolnej pomocy uzytkownikom
- usuwanie uszkodzen w systemie
- zapis wszystkich modyfikacji systemu i zdarzen w dzienniku systemu
- dbanie o bezpieczenstwo systemu
Zadania szczegolowe mozna podzielic na wykonywane cyklicznie i niecyklicznie.
Zadania cykliczne moga byc wykonywane z rozna czestotliwoscia, dlatego mozna je podzielic na
krotkookresowe (wykonywane na przyklad codziennie),
sredniookresowe (wykonywane na przyklad co tydzien)
i dlugookresowe (wykonywane na przyklad co miesiac).
Zadania niecykliczne to zadania wykonywane okazjonalnie, w miare potrzeb.
Zadania krotkookresowe obejmuja:
Zadania sredniookresowe obejmuja:
Zadania dlugookresowe obejmuja:
Zadania wykonywane okazjonalnie obejmuja:
Wiele zadan wykonywanych cyklicznie mozna sobie ulatwic korzystajac z uslug systemowych
cron i at.
W rozdziale zarzadzanie sieciami TCP/IP przedstawione zostaly (bardzo pobieznie)
zagadnienia zwiazane z praca systemu w sieci.
W rozdziale konfiguracja systemu znajduje sie przeglad parametrow systemu i informacja o tym jak je mozna zmieniac.
Lokacje waznych plikow o ktorych bedzie mowa w dalszej czesci dokumentu podane sa wedlug standardu
FSSTND, ktory to standard okresla organizacje katalogow oraz rozmieszczenie plikokow w Linuxie.
Oczywiscie administrator systemu nie musi stosowac sie do tego standardu i moze zorganizowac system plikow
wedlug wlasnego uznania (co nie jest jednak zalecane).
Na koncu dokumentu znajduje sie spis materialow uzytych do jego przygotowania.
Skladowanie systemu plikow przeprowadza sie po to, by mozna go bylo odtworzyc
w razie uszkodzenia.
Stosuje sie dwa sposoby skladowania systemu plikow:
systematyczne i niesystematyczne.
Skladowanie systematyczne polega na regularnym wykonywaniu kopii systemu plikow zgodnie z wczesniej ustalonym planem.
Stosuje sie przy tym rozne poziomy skladowania. Skladowanie na poziomie 0 oznacza tworzenie kopii calego systemu plikow,
natomiast na pozostalych poziomach tworzenie kopii plikow, ktore ulegly zmianie od wykonania skladowania na poziomie o
jeden nizszym (tzw. kopia przyrostowa). Im wyzszy poziom skladowania tym wieksza czestotliwosc wykonywania kopii.
Skladowanie niesystematyczne polega na skladowaniu calego systemu plikow i wykonuje sie je na przyklad po kazdej
wiekszej modyfikacji systemu, niezaleznie od ustalonego wczesniej planu skladowania systematycznego.
Do skladowania i odtwarzania systemu plikow mozna uzywac polecen tar lub cpio.
Istnieja tez bardziej zaawansowane programy wspomagajace skladowanie systemu plikow jak na przyklad Cheyenne Arcserve.
Jenym z wazniejszych zadan administratora systemu jest sprawdzanie poziomu wykorzystania systemu oraz
lokalizacja tych elementow systemu, ktore obnizaja jego wykorzystanie.
Do oszacowania obciazenia systemu mozna uzyc polecenia uptime.
Podaje ono okres czasu, ktory minal od uruchomienia systemu, liczbe uzytkownikow oraz trzy srednie wartosci obciazenia.
Srednie obciazenie jest przyblizona miara wykorzystania CPU. Trzy wyswietlane wartosci podaja srednia liczbe procesow
aktywnych w ciagu ostatniej munuty, ostatnich 5 i ostatnich 15 minut.
Do zbadania aktualnego wykorzystania pamieci mozna uzyc polecenia vmstat.
Najwazniejsze dane statystyczne uzyskane dzieki temu poleceniu to liczba dzialajacych procesow oraz liczba
wystapien stronnicowania i slapowania. Mozna ta informacje wykorzystac do
zbadania, czy system nadmiernie nie stronnicuje
(informacja o liczbie stron przeniesionych na dysk znajduje sie w kolumnie po).
Administrator moze ograniczac zasoby dla procesow, a takze zmieniac ich priorytety, dzieki temu mozna radzic sobie
w sytuacjach gdy system jest przeciazony.
Polocenie renice pozwala zmniejszyc badz zwiekszyc priorytet procesu.
Zasoby, ktore mozna ograniczac to:
- calkowity zakumulowany czas CPU,
- maksymalny rozmiar pliku,
- maksymalny rozmiar segmentu danych procesu,
- maksymalny rozmiar pliku core,
- maksymalna wielkosc pamieci, ktora moze byc uzyta przez proces,
- maksymalna liczba otwartych plikow,
- maksymalna wielkosc pamieci wirtualnej,
- maksymalna liczba procesow,
- maksymalny rozmiar segmentu danych,
- rozmiar lacza komunikacyjnego pipe
Istnieja dwa rodzaje ograniczen - miekkie i twarde. Pierwsze z nich sa stosowane jako domyslne w chwili tworzenia procesu i moga byc
zmieniane przez uzytkownika, drugie to maksymalne wartosci do jakich uzytkownik moze podwyzszyc wykorzystanie zasobow.
W Linuxie ogrniczenia twarde mozna ustawic przy pomocy wbudowanego polecenia shell'a - ulimit.
Niestety polecenie to pozwala ustawiac ograniaczenia twarde zarowno administratorowi jak i zwyklemu uzytkownikowi, ale raz ustawionego ograniczenia twardego nie mozna juz powiekszyc. Jesli zatem administrator chce ustawic ograniczenie twarde dla uzytkownika powienien
umiescic stosowne polecenie ulimit w skrypcie startowym tegoz. Wowczas uzytkownik bedzie mogl tylko
zmniejszyc to ustawienie.
Jesli Linux posiada rozszerzenie bezpieczenstwa hasel shadow to mona umieszczac wartosci ograniczen twardych w pliku /etc/limits.
Nie zakonczone procesy moga powodowac zablokowanie terminala. Z problemem niezakonczonych procesow
wiaze sie takze zagadnieni niezamknietych sesji uzytkownikow.
Administrator moze wykryc taka sytuacje uzywajac polecen finger, who
oraz ps, dzieki ktorym moze stwierdzic od jak dawna jakis uzytkownik nie podjal zadnych akcji
(polecenie finger), jakie procesy sa uruchomione przez danego uzytkownika, od jak dawna i na
jakim terminalu (polecenie ps). Do usuniecia niezakonczonego procesu uzywa sie polecenia
kill.
Sprawdzenie niezamknietych sesji mozna przeprowadzic przy pomocy polecen who lub
finger.
Terminal moze byc takze zablokowany przez tzw. blokade administracyjna, zwiazana z przekroczeniem limitu niepomyslnych
relestracji ustalonego dla danego uzytkownika. Uzytkownik, ktoremu sie to przydarzy powinien poinforomowa o tym fakcie administratora, ktory usunie nalozona na dany terminal blokade.
Utrzymywanie odpowiedniej ilosci miejsca na dysku ma duzy wplyw na efektywnosc pracy systemu, dlatego
administrator powinien sprawdzac ilosc wolnego obszaru na dysku, usuwac zbedne pliki i zachecac do tego uzytkownikow.
Aby stwierdzic jaki jest stopien wykorzystania wolnego obszaru na dysku administrator moze uzyc polecenia df. Pozwala ono stwierdzic jaki procent przeznaczonego miejsca wykorzystuja poszczegolne systemy
plikow. Jesli okaze sie ze jakis system plikow ma zbyt wysoki procent wykorzystania przydzielonego mu miejsca,
mozna stwierdzic przy pomocy polecen du oraz
quot jakie pliki zajmuja najwiecej miejsca i ewentualnie je usunac lub poprosic o to ich wlascicieli.
W celu zwolnienia miejsca mozna usunac takze zbedne pliki tymczasowe oraz pliki core i *.out - pierwsze z nich zawieraja
kopie programow ktorych praca zostala przerwana z powodu bledow, natomiast w drugich zawarta jest postac wynikowa tych programow.
Do odnajdywania plikow mozna uzyc polecenia find.
Do wykonania wiekszosci czynnosci zwiazanych z drukowaniem uzywa sie polecenia lpc.
Mozna dzieki niemu uzyskac m. in. informacje na temat statusu drukarki, zatrzymac drukowanie lub zarzadzac zadaniami
drukowania.
Opis wszystkich urzadzen obslugiwanych przez mechanizm kolejkowania (w tym drukarek) znajduje sie w pliku
/etc/printcap. Plik ten jest nie tylko zbiorem danych o drukarkach, lecz takze niezbednym plikiem konfiguracyjnym.
Jako pozycja lp w tym pliku zdefiniowana jest drukarka domyslna.
Pliki przeznaczone do druku na konkretnej drukarce przechowywane sa w katalogu wydrukow, katalog ten jest zazwyczaj podkatalogiem katalogu /usr/spool. Kazda drukarka musi miec wlasny katalog wydruku.
W Linuxie demonem zarzadzajacym kolejkowaniem jest /usr/lib/lpd.
Jest on uruchamiany przez /etc/rc
w czasie ladowania systemu. Demon ten jest odpowiedzialny za przesylanie do drukarek danych z katalogu, w ktorym oczekuja na wydruk.
Polecenie lpr dodaje zadanie do kolejki wydruku kopiujac plik do odpowiedniego katalogu.
Polecenie lpq wyswietla liste zadan oczekujacych w kolejce, a polecenie lprm
usuwa zadanie z kolejki.
Patrz usuwanie niezakonczonych procesow i sesji uzytkownikow.
Patrz sprawdzanie obszaru na dysku.
Pogorszenie efektywnosci systemu operacyjnego, odczuwane i zglaszane przez uzytkownikow, najczesciej jest spowodowane
brakiem spojnosci systemu plikow.
W celu sprawdzenia systemu plikow trzeba przede wszystkim przejsc w tryb
pracy jednego uzytkownika, w celu uniemozliwienia dostepu do systemu innym
uzytkownikom podczas sprawdzania. Poza tym nalezy odlaczyc (polecenie umount) badany
system plikow. Sprawdzanie systemu plikow wykonuje sie przy uzyciu polecenia fsck.
Przy jego pomocy mozna takze naprawic bledy w systemie plikow.
Polecenie fsck moze zlokalizowac nastepujace problemy zwiazane z systemem plikow:
- bloki nalezace do wielu plikow (i-wezlow)
- bloki zaznaczone jako wolne lecz w rzeczywistosci uzywane
- bloki zaznaczone jako uzywane, lecz wolne
- niewlasciwe liczby lacznikow wystepujace w i-wezlach
- rozbieznosc miedzy rozmiarem pliku odnotowanym w jego i-wezle, a liczba blokow przydzielonych do tego pliku
- nielegalne bloki przypisane do plikow (zawierajace na przyklad pewne tablice systemowe)
- niespojne dane w tablicach systemu plikow
- pliki zagubione (nie wystepujace w zadnym katalogu). Polecenie fsck umieszcza je
w katalogu lost+found w katalogu glownym systemu plikow
- wystepujace w katalogach numery i-wezlow, ktore sa nielegalne lub identyfikuja i-wezly nie opisujace zadnego pliku
Po zakonczeniu sprawdzania i reperowania systemu plikow nalezy go ponownie przylaczyc do systemu przy uzyciu polecenia
mount.
Historia systemu operacyjnego jest zapisyswana w kilku plikach dostepnych tylko dla administratora systemu. Pliki te tworza tak zwany dziennik systemu. W zaleznosci od stopnia wykorzystania systemu czestotliwosc sprawdzania dziennika systemu moze
byc rozna.
Dziennik systemu tworza nastepujace pliki:
- /etc/wtmp - informacje o rejetrach uzytkownikow w systemie
- /usr/adm/pacct - dane o procesach
- /usr/adm/messages - dane o komunikatach systemowych
- /etc/ddate - informacje o kazdym skladowaniu systemu
- /usr/spool/lp/request - zapis zlecen wydruku
Ze wzgledu na ograniczony rozmiar plikow, ktore tworza dziennik systemu, ich zawartosc powinna byc okresowo usuwana.
Patrz skladowanie systemu plikow.
Archiwizacji waznych plikow mozna dokonac (podobnie jak przy skladowaniu systemu) przy pomocy polecen tar lub cpio.
Patrz konfiguracja systemu.
Polega na instalowaniu nowego systemu, badz nowszych wersji narzedzi uzywanych w systemie lub aktualizacji
jadra systemu. Poniewaz nowe wersje przewaznie sa lepsze od poprzednich i maja wieksze mozliwosc, przeprowadzanie
aktualizacji systemu ma wplyw na jego wydajnosc.
Patrz bezpieczenstwo systemu.
Uzytkownik to dowolny byt, ktory moze wykonywac programy lub byc wlascicielem plikow. Takimi uzytkownikami moga byc inne systemy komputerowe, uruchamiane automatycznie, wypelniajace okreslone funkcje podsystemu (na przyklad system rozliczania), lub grupy osob wypelniajacych podobne funkcje.
Kazdy uzytkownik ma identyfikujaca go nazwe uzytkownika. Kiedy administrator zaklada nowe konto uzytkownika, przypisuje mu jednoznaczny numer identyfikacyjny uzytkownika - UID.Administrator przypisuje rowniez kazdego nowego uzytkownika do jednej lub kilku grup. Kazda grupa ma numer identyfikacyjny grupy - GID. Identyfikatory UID oraz GID uzytkownika wyznaczaja jego prawa dostepu do plikow i innych zasobow systemowych.
Dodawanie nowych uzytkownikow
Do dodawania nowych uzytkownikow sluzy polecenie adduser.
Polecenie to pozwala:
- przydzielic uzytkownikowi nazwe, numer identyfikacyjny oraz okreslic jego grupe glowna
- utworzyc dla uzytkownika jego katalog domowy
- wprowadzic jego haslo
- umiescic w katalogu domowym uzytkownika odpowiednie pliki startowe (robi sie to automatycznie)
- wlaczyc uzytkownika do innych podsystemow, takich jak system udzialow w dysku czy poczty elektronicznej
Usuwanie konta uzytkownika.
W wielu przypadkach do uniewaznienia konta uzytkownika wystarcza umieszczenie znaku gwiazdki (*) w pliku /etc/passwd.
Aby korzystac z nowego terminala w systemie, nalezy do pliku /etc/inittab dodac linie zawierajaca
polecenie agetty z odpowiednimi parametrami. Poecenie to
otwiera port tty, pyta o identyfikator uzytkownika (ang. login name) i
uruchamia /bin/login. Jako parametry podaje sie nazwe pliku specjalnego odpowiadaja za obsluge
terminala (np tty1) oraz parametry terminala.
Do oslugi terminala moga byc przydatne jeszcza dwa polecenia - stty, ktore sluzy do wyswietlania
i zmieniania parametrow terminala, oraz tty wyswietlajace nazwe pliku specjalnego odpowiadajacego za
obsluge terminala.
W celu przygotowania nowego dysku w taki sposob, aby byl dostepy dla uzytkownikow, spelnione musza zostac nastepujace warunki:
- W systemie operacyjnym musi znalezc sie wlasciwy program, okreslany jako sterownik urzadzenia dla kontrolera dysku.
- Dysk musi zostac sformatowany. Jezeli nie jest, mozna to robic poleceniem format.
- Stworzone musza byc pliki specjalne umozliwiajace dostep do poszczegolnych partycji dysku.
- Na kazdej zaplanowanej do uzycia partycji nalezy utworzyc Unixowy system plikow.
- Nowy system plikow musi byc umieszczony w pliku konfiguracyjnum systemow plikow.
- Przeprowadzone musza byc pewne dodatkowe czynnosci zalezne od konkretnej instalacji (takie jak na przyklad skonfigurowanie mechanizmow udzialow w dyskach).
Dodawanie dysku twardego.
Mozna dodawac drugi twardy dysk lub mozna przydzielic dysk miedzy Unixem i Dosem.
Konfigurujac drugi twardy dysk (o ile nie zamierza sie tworzyc na nim partycji Dosowej) powinno sie zazadac, aby polecenie fdisk zarezerwowalo caly jego obszar dla systemu Unix.
Podzielenie dysku miedzy Unixem i Dosem mozna robic za pomoca polecenia
fdisk. Polecenie fdisk umozliwia podzielenie dysku maksymalnie na cztery partycje Dosowe, z ktorych nie wszystkie musza byc uzywane przez Unix. Partycja przeznaczona dla Unixa jest sama w sobie podzielona na partycje, ktore to dopiero beda zawieraly Unixowe systemy plikow.
W momencie tworzenia partycji zostana utworzone rowniez pliki specjalne,
odpowiadajace zakladanym systemom plikow, o nazwach /dev/nazwa, gdzie nazwa jest podana przez administratora nazwa tworzonego systemu plikow.
Po zakonczeniu calego procesu konfigurowania dodatkowego dysku twardego i zamontowaniu nowych systemow plikow nalezy sprawdzic, czy systemy plikow zostaly zamontowane
(uzywajac polecenia df ), jak tez czy dodane zostaly do pliku /etc/fstab.
Tworzenie nowego systemu plikow.
Podstawa tego procesu jest program o nazwie mkfs, ktory jest bezposrednio odpowiedzialny za utworzenie nowego systemu plikow.
Jesli chcemy korzystac z dyskietki w Linuxie, ktora ma juz zalozony system plikow musimy ja najpierw zamontowac (polecenie mount). Po zamontowaniu dyskietke obsluguje sie jak zwykly katalog.
Jesli dyskietka nie ma zalozonego systemu plikow mozna go zalozyc przy uzyciu polecenia mkfs.
Zakladanie systemu plikow mozna wykonac tylko na sformatowanej dyskietce.
Formatowanie dyskietki przeprowadza sie przy uzyciu polecenia fdformat.
Bardziej szczegolowe informacje na temat dyskietek mozna znalezc w manualu pod haslem fd.
W Linuxie mozna takze obslugiwac dyskietki DOSowe. Mozna je po prostu zamontowac (uzywajac mount z
opcja -t MSDOS) i uzywac jak zwyklego katalogu, albo uzyc narzedzi zawartych w zestawie mtools (szczegoly mozna znalezc w manualu pod haslem
mtools).
Pojecie bezpieczestwo systemu jest zwykle wiazane z ochrona przed wlamaniami, czyli podejmowanymi przez nieuprawnona osobe probami przedostania sie do systemu .
Trzeba umiec odpowiedzic na pytania:
Co probujesz chronic?
Jaka jest wartosc tego, co mogloby byc utracone?
Odpowiedz:
- Sam komputer moze zostac ukradzony lub uszkodzony (ang. loss of equipment).
- Dane w komputerze moga byc utracone, uszkodzone lub skradzione (ang. loss of data).
- Komputer moze byc niesprawny lub niezdatny do uzytku z innego powou przez pewien okres, a cenny czas i praca procesora stracone(ang. loss of use).
Linie obrony LINUXA
Hasla (ang. passwords) zapobiegaja uzyskiwaniu dostepu do systemu przez nieupowaznionych uzytkownikow.
Prawa dostepu do plikow (ang. file permissions) sa przeznaczone do umozliwiania dostepu do roznych polecen, plikow, programow i zasobow systemowych wylacznie okreslonym grupom uzytkownikow.
Bezpieczenstwo fizyczne
Hasla
- Dodatkowe programy identyfikacji uzytkownika.
- Hasla telefoniczne, ktore sa w istocie drugim haslem wymagajacym przy rozpoczynaniu sesji przez modem.
- Rozszerzone sieciowe systemy identyfikacji uzytkownika przeznaczone do ochrony systemow sieciowych i serwerow plikow przed zagrozeniami wlasciwymi dla odizolowanych stacji roboczych i przed pewnymi rodzajami sieciowego podsluchu.
Kopie zapasowe
Kopie zapasowe stanowia zabezpieczenie przed utrata danych i uszkodzeniem systemu plikow wylacznie w polaczeniu z okresowym monitorowaniem systemu, umozliwiajacym wczesne wykrycie problemow dotyczacych bezpieczentwa i cofanie sie o tygodnie czy miesiac, az do stanu "czystego".
Zapobieganie niebezpieczenstwom
Zagadnienia dotyczace pliku przechowujacego hasla
Konta bez hasla mozna odszukac za pomoca polecenia grep.
Na przyklad:
#grep '^[^:]*::' /etc/passwd albo
#grep ':00*:' /etc/passwd.
Jezeli twoj system korzysta z pliku /etc/shadow mozesz stosowac
polecenie grep dla tego pliku. Plik /etc/shadow przechowuje hasla i z list dyskusyjnych dowiedzialem sie ze mozna go zainstalowac jezeli go nie ma.
Nowe konta mozna znalezc porownujac go z dobrze ukryta wresja zapasowa, na przyklad:
#diff /etc/passwd /usr/local/bin/old_passwd.
Powinno byc regularnie sprawdzanie prawa wlasnosci i prawa dostepu do pliku z haslami.
# ls -l /etc/passwd .
Powtorna identyfikacja uzytkownika przy rozpoczynaniu sesji
Uzywajac pewnego programu powtornej identyfikacji uzytkownika.
Efektywne wykorzystywanie grup
Grupy uzytkownikow powinny byc zdefiniowane na bazie wspoldzielenia plikow oraz, wspoldzielenie, potrzeb ochrony plikow przed niepozadanym dostepem.
Prawa dostepu
Tryby dostepu do plikow SUID (ang. set user ID - rozszerzone prawa dostepu uzytkownika) oraz SGID (ang. set group ID - rozszerzone prawa dostepu grupy) zapewniaja metode czasowego przyznawania uzytkownikom systemowych praw dostepu.
To sie robi :
# chmod u+s nazwa_pliku (dostep SUID)
# chmod g+s nazwa_pliku (dostep GUID).
Sprawdzanie systemu pod katem nowych tego typu polecen powinno byc jednym z elementow monitorowania ogolnego bezpieczestwa systemu. Mozna tu uzywac polecenia find.
Wykrywanie problemow
Wykrywanie niedociagniec w sferze bezpieczestwa moze rowniez przyczynic sie do unikniecia znacznie powazniejszych problemow.
Kontrolowanie systemu plikow
Obejmuje to:
- Sprawdzanie praw wlasnosci i ochrony plikow konfiguracyjnych systemu.
- Sprawdzanie praw wlasnosci i ochrony waznych katalogow.
- Weryfikacje integralnosci waznych plikow binarnych systemu.
Obliczanie sum kontrolnych
Suma kontrolna jest liczba wyliczana z bajtow binarnych pliku, ktora moze byc wykorzystana do sprawdzania poprawnosci zawartosci plikow. Na przyklad mozesz generowac sumy kontrolne dla wykonywalnych plikow polecen systemowych i nastepnie zapisywac te dane. Potem, po pewnym czasie, mozesz obliczac je po raz drugi dla tego samego pliku i porownywac rezultaty.
Na przyklad:
# sum /bin/* .
Sprawdzanie dat modyfikacji i numerow i-wezlow
To sie robi poleceniem ls:
# ls -lsid /etc/rc* .
Te opcje powoduja wyswietlenie numerow i-wezlow pliku, rozmiaru (w blokach i bajtach ), wlascicieli, daty modyfikacji oraz nazwy.
Sledzenie aktywnosci systemu
Regularnie sledzenie procesow w systemie jest kolejnym sposobem minimalizacji zagrozenia bezpieczenstwa.
Poleceniem ps mozna wypisac charakterystyki procesow w systemie.
Pliki rejestrujace wykorzystanie polecenia su
LINUX zapewnia mozliwosc rejestracji prob zgloszen uzytkownikow jako superuzytkownikow. Takie informacje stosowania polecenia su w ten sposob sa zapisywane do pliku /usr/adm/messages.
Rejestr konta root
Mozna zachowac pewne informacje o tym, co zostalo wykonane z konta superuzytkownika. Zmienna history ustala ile tych polecen ma byc rejestrowanych w pliku ~/.bash_history.
Sledzenie pracy uzytkownikow
Polecenie last wyprowadza wykaz, na ktory skladaja sie nazwa uzytkownika, nazwa terminala, nazwa zdalnego komputera glownego, czasy rozpoczecia i zakonczenia oraz calkowity czas polaczenia w godzinach dla kazdej sesji.
Konfiguracja rejestracji bledow
Jednym z demonow uruchamianych w czasie ladowania systemu jest syslogd, odpowiedzialny za rejestracje komunikatow systemowych. Rejestruje on komunikaty wysylane przez rozne procesy systemowe i kieruje je do uzytkownikow zgodnie z instrukcjami zawartymi w pliku konfiguracyjnym /etc/syslog.conf. Pozycje w tym pliku maja nastepujacy format:
nazwa_podsystem.poziom adres
gdzie:
nazwa_podsystem to nazwa podsystemu wysylajacego komunikat
poziom to poziom zagrozenia
adres to plik, urzadzenie lub nazwa uzytkownika, do ktorego wysylane sa komunikaty.
Najwazniejsze podsystemy:
- kern jadro systemu
- mail podsystem uslug pocztowych
- lpr podsystem drukowania
- daemon procesy serwera systemowego
- auth system identyfikacji uzytkownika przy zgloszeniu.
Poziomy zagrozenia:
- emerg stan najwyzszego zagrozenia systemu
- alert powazne bledy
- crit bledy krytyczne
- err bledy
- warn ostrzezenia
- notice komunikaty
- info informacje.
Usluga cron pozwala szeregowac zadania w celu ich cyklicznego uruchamiania. Za pomoca cron zadania zwiazane z administrowaniem sa wykonywane w sposob niezauwazalny, bez zadnego udzialu ze strony uzytkownikow systemu. Jednakze cron nie jest wlasciwym narzedziem do przesuwania zadan poza godziny szczytu; do tego celu nalezy uzyc polecenia at.
Dla administratora systemu cron jest bardzo uzyteczny, jezeli chce uruchamiac polecenia i skrypty zgodnie z uprzednio przygotowanym planem.
Realizacja zleconych zadan cyklicznych
Usluga cron jest obslugiwana przez demona cron. Informacja o tym, co i kiedy ma byc uruchomione, jest przekazywana do cron przez pozycje crontaba, ktore sa przechowywane w specjalnych plikach: /usr/lib/crontab. Poniewaz tylko root ma zazwyczaj dostep do tego pliku, wszystko co jest zwazane z cronem musi odbywac sie za posrednictwem administratora systemu.
Kazda pozycja w pliku crontaba ma nastepujaca postac:
min godz dzien_miesiaca miesiac dzien_tygodnia nazwa_uzytkownika cmd.
Problemy bezpieczenstwa zwiazane z cronem
Istnieja dwa problemy bezpiecenstwa zwiazane z cronem: upewnienie sie, ze pliki crontaba sa bezpieczne, oraz sprawdzenie, czy nieuprawnieni uzytkownicy nie uruchamiaja jakichs polecen wykorzystujac cron.
Ta czesc pokaze wykonywanie codziennych zadan zwiazanych z zarzadzaniem siecia, wlaczajac w to monitorowanie sieci, dodawanie nowych systemow do sieci , a takze montowanie zdalnych zasobow dyskowych i udostepnienie zasobow lokalnych za pomoca NFS( ang. Network File System).
TCP/IP daje uzytkownikowi mozliwosc wykonywania wielu polecen w zdalnym systemie. Naiwazniejsze z nich to:
- rcp pozwala uzytkownikowi kopiowac pliki miedzy systemami UNIX
- rlogin pozwala uzytkownikowi zalogowac sie w zdalnym systemie podczas trwania jego lokalnej sesji na terminalu
- rsh pozwala uzytkownikowi wykonac pojedyncze plecenia w zdalnym systemie UNIX
- telnet pozwala uzytkownikowi zalogowac sie w dowolnym dostepnym systemie zdalnym, w ktorym zostalo dla tego uzytkownika utworzone konto.
Moga to byc zarowno systemy typu UNIX, jak i inne. Jest to uogolniony przypadek polecenia rlogin.
Tablica nazw systemow
Plik /etc/hosts zawiera liste systemow polaczonych w siec lokalna ( wlaczajac w to system lokalny).
Demony sieciowe
Obsluga sieci TCP/IP jest w UNIXie mozliwa dzieki dzialaniu demonow. Sa to programy dzialajace w tle, ktore badz to sluza bezposrednio obsludze sieci, badz tez zarzadzaja tablicami uzywanymi przez inne programy sieciowe.
Najwazniejsze demony:
- inetd Ten demon jest podstawowym serverem w TCP/IP. Jest on odpowiedzialny za nadzorowznie wszystkich operacji w sieci. Wykonuje swoje zadania przez nadzorowanie wszystkich innych demonow w systemie. Zadania obslugiwane przez inetd sa wymienione w pliku /etc/inetd.conf.
- rwhod Demon obslugujacy sieciowa wersje polecenia who. Przesyla co pewien czas do wszystkich systemow w sieci informacje mowiaca o tym , kto pracuje w danym systemie, jak dlugo trwaja sesje poszczegolnych uzytkownikow, jak dlugo pracuje dany system itp. Informacje te mozna otrzymac korzystajac z polecen rwho i ruptime.
- routed Demon ten zarzadza dynamiczna informacj o sieciach, z ktorymi komunikuje sie system, uzywana do okreslenia tras, ktorymi przesylane sa dane.
- named Jesli named jest aktywny, w pliku /etc/hosts musza znajdowac sie tylko nazwy systemow z sieci lokalnej oraz nazwy systemow, z ktorymi czesto sie laczysz.
- timed Demon dbajacy o synchronizacje zegarow systemowych w sieci. Moze dzialac jako proces nadrzedny- przyjmuje sie wtedy, ze wskazywany przez niego czas jest poprawny. Inne systemy beda wiec synchronizowaly swoj czas na podstawie jego wskazan. Moze on takze dzialac jako proces podrzedny, pobierajacy wlasciwy czas od procesu nadrzednego.
Sledzenie sieci
Polecenie netstat sluzy do sledzenia dzialania systemow dzialajacych w sieci TCP/IP.
Dodawanie nowego systemu
Jezeli wszystkie czynnosci polaczenia nowego systemu sa zrobione, a demony w nowym systemie zostaly uruchomione, mozna sprawdzac poprawnosc konfiguracji i polaczen korzystajac z polecenia ping.
Bezpieczenstwo sieci
Aby umozliwic zdalny dostep do systemu bez koniecznosci podawania hasla, stworzono dwustopniowo system rownowaznosci systemow UNIX polaczonych TCP/IP. System ten okresla prawa uzytkownika przez sprawdzenie zawartosci dwoch plikow w zdalnym systemie: /etc/hosts.equiv i .rhosts w zdalnym katalogu domowym uzytkownika.
Poziomy rownowaznosci systemow
Plik /etc/hosts.equiv to lista nazw systemow rownowaznych, przy czym kazda nazwa znajduje sie w oddzielnej linii.
Rownowaznosci kont
Kazda linia pliku .rhosts zawiera nazwe systemu (hostname) i opcjonalnie nazwe uzytkownika:
nazwa_systemu [ nazwa_uzytkownika].
NFS
NFS wylonil sie jako standard dzielenia zasobow dyskowych pomiedzy systemami UNIX.
NFS korzysta z nastepujacych plikow konfiguracyjnych:
/etc/fstab Zdalny system plikow jest wprowadzany do pliku konfiguracyjnego systemu plikow za pomoca nieco innej formy niz dla zwyklych pozycji.
/etc/exports Plik ten pozwala kontrolowac, ktore systemy plikow w systemie lokalnym moga byc dostepne z roznych systemow zdalnych.
Demony NFS
nfsd Obsluguje eksport plikow.
rcp.mountd Obsluguje montowanie systemu plikow.
portmap Realizuje pierwotne polaczenie miedzy lokalnym i zdalnym serwerem.
Montowanie zdalnych katalogow
Jezeli NFS zostal uruchomiony, zdalny system plikow moze byc dodany do pliku okreslajacego konfiguracje systemow plikow, tak aby mozliwe bylo jego automatyczne montowanie podczas ladowania systemu. Opis NFS w pliku /etc/fstab ma nastepujaca postac:
system_zdalny : zdalna_sciezka miejsce_montowania nfs opcje 0 0
- Zbyszko Krolikowski, Michal Sajkowski "System operacyjny UNIX dla poczatkujacych i zaawansowanych"
- AEleen Frish "UNIX Administracja Systemu"
- Lars Wirzenius "Linux Systems Administrator's Guide"
Autorzy: Marcin Dziubinski
wstep, zadania krotkookresowe, sredniookresowe, dlugookresowe i wykonywane
okazjonalnie (bez dodawania i usuwania kont uzytkownikow oraz przylaczania
dyskow twardych),
i Dan Valahu
zadania wykonywane okazjonalnie: dodawanie i usuwanie kont uzytkownikow,
dolaczanie dyskow twardych,
bezpieczenstwo, uslugi cron i at, zarzadzanie sieciami TCP/IP, bibliografia,