BSDA в вопросах и ответах Евгений Миньковский < [email] > Ревизия 179, сборка 20 июня 2008 года. Copyright © 2006, 2007 Евгений Миньковский Аннотация Данная книга задумана как методическое пособие для подготовки к экзамену BSDA. Книга, тем не менее, может быть полезна не только тем кто собирается сдавать этот экзамен, но и просто широкому кругу IT-специалистов, желающих систематизировать свои знания об операционных системах семейства BSD (NetBSD, OpenBSD, FreeBSD, DragonFly BSD). В формате HTML книга доступна в виде одной большой страницы (данный вариант) и в многостраничном варианте . Собственно вопросы экзамена BSDA можно посмотреть отдельно. [Замечание] Замечание Работа ещё только начата, в оглавлении приняты следующие обозначения: [button-blu] <<Избранный>> раздел: автор удивлён, что данный раздел получился так хорошо; [button-gre] Раздел в целом закончен, хотя возможно, будет дорабатываться в будущем; [button-yel] Раздел находится в работе; [button-red] К написанию данного раздела автор не приступал. Впрочем, в Москве даже на улицах светофоры не всегда горят прав ильно, что уж говорить об этом труде... ------------------------------------------------------------------------------- Содержание Мычание 1. Легенда (условные обозначения) 2. Экзаменационные блоки 3. Источники информации 3.1. Официальные источники 3.2. Неофициальные источники 3.3. Специализированные поисковые машины [-]1. Установка и обновление операционной системы и програмного обеспечения [-]1.1. Разбираться в программах установки каждой операционной системы [-]1.2. Разбираться какие команды доступны для upgrade'а операционной системы [-]1.3. Понимание разницы между заранее скомпилированными бинарными дистрибутивами и компиляцией из исходников [-]1.4. Понимание когда выгодно инсталлировать прекомпилированные бинарники и как это делать [-]1.5. Разбираться в методах настройки и компилирования бинарников [-]1.6. Определять, какое програмное обеспечение инсталлировано в системе [-]1.7. Определять, какое програмное обеспечение нуждается в обновлении [-]1.8. Обновлять установленное програмное обеспечение [-]1.9. Определять, какое програмное обеспечение имеет проблемы с безопасностью [-]1.10. Следовать инструкциям секьюрити-консультантов и накладывать security-patch [*]2. Безопасность в операционной системе [*]2.1. Определить уровень безопасности системы [*]2.1.1. Установка уровня безопасности системы [*]2.1.2. Допустимые значения переменной securelevel [*]2.1.3. Ссылки [-]2.2. Конфигурирование сервера SSH в соответствии с требованиями [-]2.3. Конфигурировние SSH сервера для аутентификации по ключу [-]2.4. Предохранение ключа при обновлении системы [-]2.5. Разбираться в альтернативных механизмах аутентификации [-]2.6. Разбираться в альтернативных методах авторизации [-]2.7. Разбираться в основных рекомендованных методах доступа [до хоста] [*]2.8. Разбираться в брандмауэрах BSD и синтаксисе конфигурационных файлов [-]2.8.1. Общие принципы работы с брандмауэрами [-]2.8.2. Сравнение брандмауэров BSD [-]2.9. Разбираться в механизмах использования шифровальных устройств BSD [-]2.10. Разбираться в методах проверки аутентичности бинарного файла [*]2.11. Разбираться в способах запуска сервиса в изолированной среде (restraining service) [+]2.11.1. chroot(8) [+]2.11.2. jail(8) [-]2.11.3. systrace(1) [-]2.11.4. Xen [+]2.12. Смена алгоритма шифрования используемого для защиты базы с паролями [+]2.12.1. Устройство базы паролей [+]2.12.2. /etc/login.conf(5) [+]2.12.3. /etc/auth.conf(5) [+]2.12.4. /etc/passwd.conf(5) [+]2.12.5. adduser(8) [+]2.12.6. Итого: Blowfish HOWTO [-]2.13. Смена приветствия системы [-]2.14. Защита аутентификационных данных [-]3. Файлы, файловые системы и диски [-]3.1. Монтирование и размонтирование файловых систем [-]3.2. Конфигурирование NFS [-]3.3. Определение какие файловые системы смонтированы и какие будут смонтированы при загрузке [-]3.4. Определять ёмкость диска и какие файлы занимают больше места [-]3.5. Создание и просмотр символических и жёстких ссылок [-]3.6. Просмотр и изменение ACL [-]3.7. Просмотр и изменение пермиссий с использованием как символьных, так и восьмеричных мод [-]3.8. Изменение владельца файла и группы [-]3.9. Резервное копирование и восстановление файлов и директорий на локальный диск или ленту [-]3.10. Резервное копирование и восстановление файловой системы [-]3.11. Знание структуры каталогов системы [-]3.12. Ручной запуск программы проверки файловой системы и средств её в осстановления [-]3.13. Определение и изменение флагов файлов [-]3.14. Слежение за состоянием виртуальной памяти системы [*]4. Пользователи и управление учётными записями [*]4.1. Создание, изменение и удаление учётных записей [*]4.1.1. Введение [*]4.1.2. Добавление пользователя [*]4.1.3. Изменение параметров пользовательской учётной записи [*]4.1.4. Удаление учётной записи [*]4.2. Создание системных учётных записей [-]4.3. Отключение или включение учётной записи (lock и unlock) [-]4.4. Идентификация и членство в группах [-]4.5. Определение кто сейчас присутствует в системе или последнего в ремени входа в систему [-]4.5.1. finger(1) [-]4.6. Включение слежения за учётными записями и просмотр статистики [-]4.7. Изменение пользовательской оболочки [-]4.8. Контролировать какие файлы будут копироваться в новую пользов ательскую директорию при создании учётной записи [-]4.9. Смена пароля [-]5. Основы системного администрирования [-]5.1. Определение какой процесс расходует основную часть ресурсов ЦПУ [-]5.2. Определять активные процессы и посылать им сигналы [-]5.3. Использование скриптов rc(8) для определения запущенных сервисов, их запуск, остановка и перезапуск [*]5.4. Определение установленного оборудования и его конфигурирование [+]5.4.1. Утилита dmesg(8) [-]5.5. Определение какие модули ядра загружены, их загрузка и выгрузка [-]5.6. Изменение на лету переменных ядра [-]5.7. Изучение состояния програмного RAID'а (mirror or stripe) [-]5.8. Определение какой MTA используется системой [-]5.9. Конфигурирование системы ведения системных журналов [-]5.10. Просмотр журналов для разрешения проблем и слежения за поведением системы [-]5.11. Понимание основных проблем с принтером [-]5.12. Создание или изменение почтовых псевдонимов в Sendmail и Postfix [-]5.13. Остановка, перезагрузка или перевод системы в однопользовательский режим [-]5.14. Отличие жёстких ограничений от мягких и изменение существующих системных ограничений [-]5.15. Знание утилит BSD для регулировки трафика и контроля за полосой пропускания [-]5.16. Знание распространённых конфигурационных системных файлов и, в озможно, сторонних конфигурационных файлов различных сервисов [-]5.17. Конфигурирование сервисов для автоматического старта при запуске системы [-]5.17.1. Система инициализации BSD [-]5.17.2. Суперсервер inetd(8) [-]5.18. Конфигурирование скриптов, нужных для различных задач по обслужив анию системы, для периодического запуска [-]5.19. Просмотр очереди Sendmail'а или Postfix'а [-]5.20. Определение когда последний раз была запущена система и какова её загруженность [-]5.21. Слежение за операциями ввода/вывода на диске [-]5.22. Работа с занятыми устройствами [-]5.23. Определение информации характеризующей операционную систему [-]5.24. Понимание преимуществ использования лицензии BSD [*]6. Сетевое администрирование [+]6.1. Определение существующих установок TCP/IP [+]6.1.1. ifconfig(8) ? настройки сетевых интерфейсов [+]6.1.2. netstat(1) [+]6.1.3. route(8) [+]6.1.4. /etc/resolv.conf(5) [+]6.1.5. hostname(1) [+]6.2. Установка параметров TCP/IP [+]6.2.1. hostname(1) ? задание имени машины [+]6.2.2. ifconfig(8) ? настройки сетевых интерфейсов [+]6.2.3. route(8) ? настройка таблицы маршрутизации [+]6.2.4. resolv.conf(5) ? настройка клиента DNS [+]6.2.5. hosts(5) ? локальная база имён [+]6.2.6. Как сохранить установленные сетевые параметры [+]6.3. Определение какие TCP или UDP порты открыты в системе [+]6.3.1. fstat(1) [+]6.3.2. sockstat(1) [+]6.3.3. lsof(1) [*]6.3.4. nmap(1) [*]6.4. Проверка доступности TCP/IP сервиса [+]6.4.1. ping(8) [+]6.4.2. traceroute(1) [*]6.4.3. hping(8) [+]6.4.4. telnet(1), nc(1) [*]6.5. Запрос к серверу DNS [*]6.5.1. Теория вопроса [+]6.5.2. host(1) [+]6.5.3. dig(1) [+]6.5.4. nslookup(1) [+]6.6. Определение кто ответственный за зону DNS [+]6.6.1. Обратное преобразование имён [+]6.6.2. whois(1) [+]6.7. Изменение порядка разрешения имён [+]6.7.1. nsswitch.conf(5) [+]6.8. Перевод сетевой маски между системами точечно-десятичной, точечно-шестнадцатеричной или CIDR [+]6.8.1. Что такое маска подсети [+]6.8.2. Маска подсети в формате CIDR [+]6.8.3. Перевод десятичных чисел в двоичные [+]6.9. Собирать информацию используя IP адрес и маску подсети [+]6.9.1. Определение адреса подсети по маске [+]6.9.2. Вычисление диапазона адресов IP и широковещательного адреса [+]6.10. Понимание теории адресации IPV6 [+]6.10.1. Синтаксис IPv6 [+]6.10.2. Типы IPv6 адресов [+]6.10.3. Назначение адреса IPv6 [+]6.10.4. Автоконфигурирование в IPv6 [+]6.10.5. Программы для конфигурирования IPv6 в BSD [+]6.11. Демонстрация основных навыков работы с утилитой tcpdump(1) [+]6.11.1. Работа с программой tcpdump(1) [-]6.11.2. Графический сниффер Wireshark/Ethereal/tEhereal [+]6.11.3. Анализатор tcpdstat [+]6.11.4. ngrep [+]6.12. Работа с ARP и кешем найденных соседей [+]6.12.1. arp(8) [+]6.12.2. ndp(8) [+]6.13. Конфигурирование системы для использования NTP [+]6.13.1. TP (RFC 868) и rdate(8) [+]6.13.2. NTP [-]6.14. Просмотр и обновление <<арендованных>> данных DHCP [-]6.15. Знание как и когда устанавливать или удалять алиасы сетевого интерфейса [+]7. Базовые навыки работы в Unix [+]7.1. Перенаправление вывода и использование tee(1) [+]7.1.1. Особенности csh(1) [+]7.2. Определение просмотр и изменение переменных окружения [+]7.2.1. Просмотр и изменение переменных окружения [+]7.2.2. csh(1), set, setenv [+]7.3. Навыки работы в vi(1) [+]7.3.1. Normal mode [+]7.3.2. Insert Mode [+]7.3.3. Search mode [+]7.3.4. Command line mode [+]7.4. Определение является ли файл бинарным, текстовым или содержащим данные [+]7.5. Поиск файлов и бинарников в системе [+]7.5.1. whatis(1) [+]7.5.2. whereis(1), which(1) [+]7.5.3. locate(1) [+]7.5.4. find(1) [+]7.5.5. sh type [+]7.6. Поиск файла по заданным атрибутам [+]7.6.1. Условия для поиска командой find(1) [+]7.6.2. Действия выполняемые командой find(1) с найденными файлами [+]7.6.3. Связка с командой xargs [+]7.7. Написание несложных Bourne-скриптов [+]7.7.1. Магическая строка (shebang) [+]7.7.2. Почему sh(1)? [+]7.7.3. Программирование в Bourne Shell [+]7.8. Поиск нужной документации [+]7.8.1. Справочная система man(1) [+]7.8.2. Гипертекстовая справка info(1) [+]7.8.3. Прочие источники [+]7.9. Понимание различий в страницах man [+]7.10. Проверка контрольной суммы файла [+]7.10.1. cksum(1) [+]7.10.2. md5(1) [+]7.10.3. sha1(1) [+]7.10.4. openssl(1) [+]7.10.5. Примеры [+]7.11. Продемонстрировать знакомство с оболочками используемыми по умолчанию в системе [+]7.11.1. Предотвращение уничтожения существующих файлов [+]7.11.2. Некоторые отличия между sh(1) и csh(1) [+]7.11.3. Модификаторы переменных в csh(1) [+]7.11.4. Работа с историей команд [+]7.12. Чтение почты на локальной машине [+]7.12.1. Работа с mail(1) в интерактивном режиме [+]7.12.2. Использование mail(1) с командной строки [+]7.13. Использование контроля за задачами (job control) [+]7.14. Применение регулярных выражений [+]7.14.1. Диалекты регулярных выражений [+]7.14.2. Возможности команды grep(1) [+]7.15. Преодоление ограничений на длину командной строки [-]7.16. Понимание значения термина домен в различных контекстах [+]7.17. Работа с cron [+]7.17.1. Системный crontab [+]7.17.2. Каталоги с периодически выполняемыми заданиями во FreeBSD [+]7.17.3. Особенности OpenBSD и NetBSD [+]7.17.4. Пользовательский crontab [+]A. Список команд и файлов обсуждаемых в книге [*]B. Некоторые сведения о стеке протоколов TCP/IP [*]B.1. Классификация сетевых протоколов [*]B.1.1. Физический уровень OSI [*]B.1.2. Канальный уровень OSI [*]B.1.3. Сетевой уровень OSI [*]B.1.4. Транспортный уровень OSI [*]B.1.5. Уровни приложения, представления и сеансовый [*]C. Пакетный фильтр OpenBSD ? pf(4) [+]C.1. Введение в работу с пакетным фильтром OpenBSD [*]C.2. Конфигурационный файл pf.conf(5) [+]C.2.1. Основы конфигурирования пакетного фильтра [+]C.2.2. Углублённое конфигурирование Пакетного фильтра [+]C.2.3. Дополнительные разделы [+]C.2.4. Пример: брандмауэр для дома или небольшого офиса [*]C.3. Управление пакетным фильтром OpenBSD при помощи утилиты pfctl(8) [*]C.3.1. Примеры [*]C.4. Интеграция пакетного фильтра с програмным окружением [+]C.4.1. Активное реагирование на события на примере борьбы с атаками bruteforce на SSH [+]C.5. Программы для удобной работы с пакетным фильтром [+]C.5.1. pfstat [+]C.5.2. pftop [+]C.5.3. ftpsesame [-]D. Пакетный фильтр NetBSD ? ipf(8) [*]E. Брандмауэр FreeBSD ? ipfw(8) [+]E.1. IPFW HOWTO [+]E.1.1. Как включить ipfw(4) [+]E.1.2. Основы синтаксиса правил ipfw [+]E.1.3. Углублённое изучение синтаксиса правил ipfw [+]E.1.4. Журналирование [+]E.1.5. Фильтрация с учётом состояния соединений [+]E.1.6. Управление трафиком при помощи dummynet(4) [*]F. /etc/login.conf(5) [*]F.1. /etc/login.conf в FreeBSD [*]F.2. /etc/login.conf в OpenBSD Глоссарий Литература Список таблиц 1. Легенда (условные обозначения) 2.1. Опции запуска jail(8) 2.2. Переменные ядра (MIB) связанные с jail(8) 2.3. Возможные значения опций crypt_default (FreeBSD) и localcipher, ypcipher (OpenBSD) 6.1. Типы записей в файле зоны DNS 6.2. Аргументы команды arp(8) 7.1. Пользовательске переменные окружения [environ(7)] 7.2. Движения в vi(1), Normal mode 7.3. Действия в vi(1), Normal mode 7.4. Регулярные выражения в vi(1) 7.5. Некоторые команды vi(1) 7.6. Некоторые опции vi(1) выставляемые командой :set 7.7. Синтаксическая таблица Bourne Shell 7.8. Специальные переменные в Bourne Shell 7.9. Опции команды test(1) 7.10. Навигационные клавиши в системе info(1) 7.11. Модификаторы переменных в csh(1) 7.12. Команды программы mail(1) 7.13. Некоторые сигналы, представляющие интерес для администратора 7.14. Регулярные выражения. Сводная синтаксическая таблица 7.15. Регулярные выражения и шаблоны командной Bourne shell 7.16. Короткие имена используемые в crontab(5) для описания времени выполнения заданий A.1. Раскладка файлов и команд по операционным системам B.1. Типы сообщений ICMP B.2. Формат TCP заголовка B.3. Флаги TCP B.4. Состояния TCP (по [RFC-793]) E.1. ICMP unreachable коды E.2. типы ICMP сообщений опознаваемые брандмауэром IPFW F.1. Ограничение ресурсов средствами login.conf(5) F.2. Формирование окружения средствами login.conf(5) F.3. Аутентификационные данные в login.conf(5) F.4. Зарезервированные поля в login.conf(5) FreeBSD F.5. Поля в login.conf(5) характерные для OpenBSD Список примеров 7.1. Системный crontab файл C.1. Просмотр статистики на интерфейсе выбранном при помощи опции loginterface C.2. Кто из заблокированных взломщиков пытался пройти в систему в последнее в ремя? C.3. Просмотр таблицы состояний C.4. Сколько пакетов на какое правило попало? Мычание Содержание 1. Легенда (условные обозначения) 2. Экзаменационные блоки 3. Источники информации 3.1. Официальные источники 3.2. Неофициальные источники 3.3. Специализированные поисковые машины В 2005 году стартовал проект сертификации BSDA-специалистов. BSDA расшифровыв ается как BSD Associate и подразумевает под собой совокупность операционных систем семейства BSD: NetBSD, OpenBSD, FreeBSD и DragonFly BSD. В рамках проекта была образована BSD CG ? сертификационная группа BSD. Её сайт можно найти по адресу http://www.bsdcertification.org/. К октябрю 2005 года BSD CG разработала список тем для экзаменационных вопросов. Этот труд и лёг в основу данного пособия. В данной книге, вы, конечно, найдёте не всё, с чем приходится сталкиваться в процессе администрирования систем. Здесь опущены такие важные темы, как администрирование web-сервера Apache, настройка proxy сервера squid, работа с системой samba, администрирование баз данных MySQL или PostgreSQL. В книге затронуты главным образом основные сервисы операционных систем BSDA, постав ляемые в составе операционных систем. Настоящая книга состоит из 7-и глав соответствующих 7-и блокам экзаменационных вопросов BSDA. Далее идут приложения в которых я постараюсь несколько более системно изложить некоторые теоретические вопросы, на которые опираются экзаменационные билеты. 1. Легенда (условные обозначения) Таблица 1. Легенда (условные обозначения) +-----------------------------------------------------------------------------+ |Знак |Значение | |-----------------------------------------------------------------------------| | Обозначения в оглавлении | |-----------------------------------------------------------------------------| |[button-blu]|<<Избранный>> раздел ? автор сам удивлён почему у него всё так | | |хорошо получилось. | |------------+----------------------------------------------------------------| |[button-gre]|Раздел написан, но это не значит, что он никогда не подвергнется| | |ревизии. | |------------+----------------------------------------------------------------| |[button-yel]|Раздел не окончен. | |------------+----------------------------------------------------------------| |[button-red]|К написанию раздела автор не приступал. | |-----------------------------------------------------------------------------| | Приглашения в листингах | |-----------------------------------------------------------------------------| |$ |Команда выполнялась в /bin/sh (или /usr/local/bin/bash) неприв | | |илегированным пользователем. | |------------+----------------------------------------------------------------| |# |Команда выполнялась в /bin/sh (или /usr/local/bin/bash) прив | | |илегированным пользователем^[a]. | |------------+----------------------------------------------------------------| |% |Команда выполнялась в /bin/csh | |-----------------------------------------------------------------------------| | Принятые шрифты^[b] | |-----------------------------------------------------------------------------| |text |Команда | |------------+----------------------------------------------------------------| |text |Опция | |------------+----------------------------------------------------------------| |text |Файл | |------------+----------------------------------------------------------------| |text |Акроним | |-----------------------------------------------------------------------------| | Картинки | |-----------------------------------------------------------------------------| |[BSD32-1000]|Текст относится к FreeBSD | |------------+----------------------------------------------------------------| |[BSD32-0100]|Текст относится к OpenBSD | |------------+----------------------------------------------------------------| |[BSD32-1100]|Текст относится к FreeBSD и OpenBSD | |------------+----------------------------------------------------------------| | |Orphus ? система, написанная Дмитрием Котеровым (см. http:// | | |dklab.ru/chicken/nablas/24.html) для повышения грамотности | |[orphus] |рунета. Мне, как автору, редко удаётся писать текст сразу без | | |ошибок, увы. Если вы хотите сообщить мне о найденной ошибке, не | | |обязательно орфографической, вы можете просто выделить её в | | |браузере и нажать сочетание клавиш +. | |-----------------------------------------------------------------------------| |^[a] Если команда выполнена привилегированным пользователем, это ещё не | |значит, что её нельзя выполнить от непривилегированного пользователя. | |Например, пакетным фильтром OpenBSD может управлять непривилегированный | |пользователь при наличии специальных прав на устройство /dev/pf. А запускать | |сниффер tcpdump(1) может пользователь, у которого есть права на уствойство / | |dev/bpf. | | | |^[b] К сожалению, надо признать, что шрифтовые выделения по тексту расстав | |лены халтурно. И даже данная часть таблицы ещё недописана | +-----------------------------------------------------------------------------+ 2. Экзаменационные блоки 1. Установка и обновление операционной системы и програмного обеспечения (10 в опросов) 2. Безопасность в операционной системе (14 вопросов) 3. Файлы, файловые системы и диски (14 вопросов) 4. Пользователи и управление учётными записями (9 вопросов) 5. Основы системного администрирования (24 вопроса) 6. Сетевое администрирование (15 вопросов) 7. Базовые Unix-навыки (17 вопросов) Касательно подготовки к экзамену по данной книге следует привести уведомление BSD CG: * Помните, что экзамен BSDA подтверждает ваши практические навыки. Не следует учить man-страницы наизусть, экспериментируйте с командами для того, чтобы разобраться в man-страницах. * BSDA это экзамен начального уровня. Не нужно знать всё, однако мы ожидаем, что вы продемонстрируете возможность довести до конца любую администраторскую задачу. * Если в экзаменационных вопросах встречается слово <<разбираться>>, это означает, что вы должны знать что нечто есть, но необязательно полностью в ладеть материалом. Например, в теме 2.11 кандидат должен разбираться в том, что BSD системы имеют возможности для создания сервисов и в том, какие утилиты нужны для этого. Однако кандидат BSDA не обязан иметь опыт по конфигурированию jail. * В случае, если утилиты упомянутые в разделе <<Практика>> реализованы в различных BSD-системах совсем по-разному, об этом упоминается, но детально вся разница между ними в этом разделе не описана. Вместо этого в приложении А приведена таблица в помощь подготовке к экзамену. Эта таблица содержит список команд в алфавитном порядке и их доступность в той или иной операционной системе BSD. 3. Источники информации 3.1. Официальные источники 3.1.1. Англоязычные 3.1.1.1. Сайты проектов * DragonFly BSD: http://www.dragonflybsd.org/main/ * FreeBSD: http://www.freebsd.org/ * NetBSD: http://www.netbsd.org/ * OpenBSD: http://www.openbsd.org/ * sendmail: http://www.sendmail.org/ * postfix: http://www.postfix.org/ 3.1.1.2. Страницы man on-line * DragonFly BSD: http://leaf.dragonflybsd.org/cgi/web-man * FreeBSD: http://www.freebsd.org/cgi/man.cgi * NetBSD: http://man.netbsd.org/ * OpenBSD: http://www.openbsd.org/cgi-bin/man.cgi 3.1.1.3. Руководства, handbook, FAQ и прочее * DragonFly BSD Handbook: http://leaf.dragonflybsd.org/~justin/handbook/ * FreeBSD Handbook:http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ * FreeBSD FAQ: http://www.freebsd.org/doc/en_US.ISO8859-1/books/faq/ * Статьи по FreeBSD: http://www.freebsd.org/docs/books.html * Руководство по NetBSD: http://www.netbsd.org/guide/en/ * Список документации по NetBSD (FAQs специфичные для разнообразных платформ, HOWTO и прочее) http://www.netbsd.org/Documentation/ * Документация и FAQ по OpenBSD: http://www.openbsd.org/faq/ 3.1.2. Русскоязычные * FreeBSD Handbook:http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ * FreeBSD FAQ: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/faq/ * Статьи по FreeBSD: http://www.freebsd.org/ru/docs/books.html * sendmail: http://sendmail.by.ru/sendhp.html 3.2. Неофициальные источники 3.2.1. Англоязычные * Описание стандарта POSIX: http://www.opengroup.org/onlinepubs/009695399/ index.html 3.2.2. Русскоязычные * postfix: http://www.elantech.ru/docs/postfix-docs-ru/ * BSD portal: http://www.bsdportal.ru/ * OpenNET: http://www.opennet.ru/ 3.3. Специализированные поисковые машины * Google/BSD: http://www.google.com/bsd * Google/Linux: http://www.google.com/linux * Google/Macintosh: http://www.google.com/mac Глава 1. Установка и обновление операционной системы и програмного обеспечения Содержание [-]1.1. Разбираться в программах установки каждой операционной системы [-]1.2. Разбираться какие команды доступны для upgrade'а операционной системы [-]1.3. Понимание разницы между заранее скомпилированными бинарными дистрибутив ами и компиляцией из исходников [-]1.4. Понимание когда выгодно инсталлировать прекомпилированные бинарники и как это делать [-]1.5. Разбираться в методах настройки и компилирования бинарников [-]1.6. Определять, какое програмное обеспечение инсталлировано в системе [-]1.7. Определять, какое програмное обеспечение нуждается в обновлении [-]1.8. Обновлять установленное програмное обеспечение [-]1.9. Определять, какое програмное обеспечение имеет проблемы с безопасностью [-]1.10. Следовать инструкциям секьюрити-консультантов и накладывать security-patch 1.1. Разбираться в программах установки каждой операционной системы Описание: От кандидата BSDA не требуется составить план инсталляции, но он должен уметь начать и закончить инсталляцию операционной системы в соответствии с приведёнными требованиями. Поскольку процедура инсталляции зависит от конкретной системы, кандидату рекомендуется иметь опыт работы со средствами установки каждой BSD системы предлагаемыми в этих системах по умолчанию. Так же ожидается, что кандидат имеет знания об основных релизах (т.е. релизах с номером X.0) и где найти информацию о них на соответствующих сайтах BSD-проекто в. Практика: http://www.bsdinstaller.org для DragonFly BSD, sysinstall(8) для FreeBSD, sysinst на инсталляционном диске NetBSD, и INSTALL.[arch] на инсталляционном диске OpenBSD. 1.2. Разбираться какие команды доступны для upgrade'а операционной системы Описание: Кандидат BSDA должен разбираться в утилитах используемых для поддержания операционных систем в актуальном состоянии. Некоторые утилиты общие для разных систем BSD, некоторые утилиты специфичные для конкретной системы доступны в другой в виде стороннего програмного продукта. Практика: make(1) включая цели "buildworld", "installworld" и "quickworld" и прочие похожие цели; mergemaster(8), cvs(1), и сторонние продукты cvsup и cvsync; build.sh, etcupdate(8), postinstall(8) и afterboot(8); src/UPDATING и src/BUILDING. 1.3. Понимание разницы между заранее скомпилированными бинарными дистрибутивами и компиляцией из исходников Описание: Кандидат должен быть знаком с тем, где по умолчанию находится дерево портов и пакетов (ports collention, pkgsrc collection) и какая из систем BSD какое дерево использует. Кандидат должен уметь определить расширение используемое пакетами. Кандидат должен понимать преимущества и недостатки инсталляции заранее скомпилированных бинарников и преимущества и недостатки сборки бинарников из исходного кода. 1.4. Понимание когда выгодно инсталлировать прекомпилированные бинарники и как это делать Описание: Кандидат BSDA должен понимать, что заранее скомпилированные бинарники просты и быстры в установке, но не дают возможности настройки бинарника к нуждам системы. Кандидат должен знать как установить заранее скомпилированный бинарник из удалённого источника, или с локальной машины, так же как и знать как удалить установленный пакет. Практика: pkg_add(1), pkg_delete(1) 1.5. Разбираться в методах настройки и компилирования бинарников Описание: Для поддержки опций программы make(1), нужной для компилирования бинарника с нужными функциями, существует множество различных программ. Поскольку все системы BSD используют make(1), кандидат BSDA должен рабираться какая система BSD какие механизмы использует для сохранения опций make(1). Практика: Dragonfly BSD: mk.conf(5) или make.conf(5), PKG_OPTIONS, CFLAGS FreeBSD: -DWITH_* или WITH_*=, pkgtools.conf(5), make.conf(5)NetBSD: PKG_OPTIONS., CFLAGS, mk.conf(5), PKG_DEFAULT_OPTIONS OpenBSD: bsd.port.mk (5) 1.6. Определять, какое програмное обеспечение инсталлировано в системе Описание: Кандидат BSDA должен разбираться как определить какое програмное обеспечение установлено на BSD, проследить зависимости при помощи менеджера пакетов в случае, если программы установлены при помощи портов или пакетов (packages, ports или pkgsrc). Кандидат должен уметь узнать через менеджер пакетов какое програмное обеспечение стоит на машине и какой версии. Практика: pkg_info(1) 1.7. Определять, какое програмное обеспечение нуждается в обновлении Описание: Кандидат должен понимать важность соблюдения равновесия между сохранением програмого обеспечения в актуальном состоянии и минимизации в оздействий на производительность системы. Dragonfly BSD и NetBSD используют pkgsrc предоставляющую утилиты позволяющие определить какое програмное обеспечение устарело. FreeBSD предоставляет pkg_version и сторонние утилиты интегрированные с менеджером пакетов. Практика: pkgsrc/pkgtool/pkg_chk и make show-downlevel для Dragonfly BSD и NetBSD; pkg_version(1), и сторонняя программа portupgrade(1). 1.8. Обновлять установленное програмное обеспечение Описание: Кандидат BSDA должен разбираться во встроенных и сторонних средствах обновления установленного програмного обеспечения. В добавок кандидат должен знать какие системы используют pkgsrc. Практика: DragonFly BSD и NetBSD предлагают pkgsrc/pkgtools/pkg_chk, pkgsrc/ pkgtools/pkg_comp, make update и make replace; portupgrade и cvsup доступны как сторонние продукты. 1.9. Определять, какое програмное обеспечение имеет проблемы с безопасностью Описание: Кандидат BSDA должен понимать важность слежения за обнаруживаемыми уязвимостями в безопасности програмного обеспечения. Кандидат должен разбираться в сторонних утилитах интегрированных с менеджером пакетов предназначенных для обнаружения програмного обеспечения с уязвимостями в системе безопасности. Практика: audit-packages для Dragonfly BSD и NetBSD; portaudit и vuxml для FreeBSD и OpenBSD 1.10. Следовать инструкциям секьюрити-консультантов и накладывать security-patch Описание: Кандидат BSDA должен быть осведомлён о том, что каждый проект BSD сопровождается советниками по безопасности, чьи советы доступны как через Интернет, так и через почтовые списки рассылок. Кандидат должен уметь следовать инструкциям данным в этих советах. Практика: patch(1), make(1), и fetch(1); ftp(1) и build.sh Глава 2. Безопасность в операционной системе Содержание [*]2.1. Определить уровень безопасности системы [*]2.1.1. Установка уровня безопасности системы [*]2.1.2. Допустимые значения переменной securelevel [*]2.1.3. Ссылки [-]2.2. Конфигурирование сервера SSH в соответствии с требованиями [-]2.3. Конфигурировние SSH сервера для аутентификации по ключу [-]2.4. Предохранение ключа при обновлении системы [-]2.5. Разбираться в альтернативных механизмах аутентификации [-]2.6. Разбираться в альтернативных методах авторизации [-]2.7. Разбираться в основных рекомендованных методах доступа [до хоста] [*]2.8. Разбираться в брандмауэрах BSD и синтаксисе конфигурационных файлов [-]2.8.1. Общие принципы работы с брандмауэрами [-]2.8.2. Сравнение брандмауэров BSD [-]2.9. Разбираться в механизмах использования шифровальных устройств BSD [-]2.10. Разбираться в методах проверки аутентичности бинарного файла [*]2.11. Разбираться в способах запуска сервиса в изолированной среде (restraining service) [+]2.11.1. chroot(8) [+]2.11.2. jail(8) [-]2.11.3. systrace(1) [-]2.11.4. Xen [+]2.12. Смена алгоритма шифрования используемого для защиты базы с паролями [+]2.12.1. Устройство базы паролей [+]2.12.2. /etc/login.conf(5) [+]2.12.3. /etc/auth.conf(5) [+]2.12.4. /etc/passwd.conf(5) [+]2.12.5. adduser(8) [+]2.12.6. Итого: Blowfish HOWTO [-]2.13. Смена приветствия системы [-]2.14. Защита аутентификационных данных Признаком хорошего системного администратора является осведомлённость о проблемах безопасности и забота о безопасности системы. Ожидается, что кандидат BSDA знаком с распростанёнными средствами обеспечения безопасности системы. Системы BSD реализованы с учётом проблем безопасности и предоставляют множество средств позволяющих администратору подстроить систему к требованиям политики безопасности его организации. Кандидат не может всегда отвечать за реализацию механизмов безопасности, но должен знать о свойствах и этих средств и доступных командах. 2.1. Определить уровень безопасности системы Описание: Системы BSD предоставляют несколько предопределённых настроек безопасности, известных как уровни безопасности (securelevels). Кандидат должен знать на каком он уровне безопасности, можно ли поднять или опустить уровень безопасности и как. Практика: init(8), sysctl(8), rc.conf(5) Комментарий [Замечание] Замечание Данный текст прислан Дмитрием Орловым, но подвергся моей редактуре. Е.М. Функциональность securelevel можно рассматривать как метод защиты ядра, сырых устройств (raw devices), и файловой системы от атак злоумышленника, которому удалось взломать учётную запись суперпользователя. Защита ядра в общем случае в ключает в себя невозможность загрузки собственных модулей ядра и прослушивания проходящего через систему трафика. Функциональность securelevel/security присуствует во всех BSD системах с небольшими отличиями. 2.1.1. Установка уровня безопасности системы Уровни безопасности служат для ограничения возможностей системы до такой степени, которая соответствует её рабочему окружению (среде работы). В OpenBSD он устанавливается скриптом rc.securelevel(8): # $OpenBSD: rc.securelevel,v 1.16 2004/07/06 04:05:03 deraadt Exp $ # # в этом скрипте определяются действия, которые можно осуществить ДО # того, как система перейдёт в безопасный режим. Действия, которые можно # совершить ПОСЛЕ того, как будет определён уровень безопасности # системы, должны помещаться в скрипт /etc/rc.local # Здесь определяется желаемый уровень безопасности # XXX # XXX it is not really acceptable to put this value in a configuration # XXX file, because locking it down requires immutability on about # XXX 5 files instead of 2 (the kernel and init) # XXX securelevel=1 echo -n 'starting pre-securelevel daemons:' # # Сюда следует поместить ваши команды # echo '.' В FreeBSD значение уровня безопасности выставляется в файле /etc/rc.conf: kern_securelevel_enable="YES" kern_securelevel=1 В DragonFly BSD уровень безопасности выставляется так же как в FreeBSD, за исключением того, что переменной kern_securelevel_enable выставлять не надо. В NetBSD уровень безопасности так же выставляется через файл /etc/rc.conf: securelevel=1 Уровень безопасности может быть прочитан или установлен с помощью утиллиты sysctl(8) через переменную kern.securelevel. По окончании процесса загрузки системы вы можете узнать текущий уровень безопасности системы набрав в командной строке: $ sysctl kern.securelevel kern.securelevel: -1 Вы можете повысить уровень безопасности командой: # sysctl -w kern.securelevel=2 В процессе работы уровень безопасности системы может только повышаться. Уменьшение значения переменной ядра kern.securelevel запрещено. 2.1.2. Допустимые значения переменной securelevel Ядра OpenBSD и NetBSD предоставляют 4 уровня системной безопаности, а FreeBSD и DragonFly BSD ? 5. Последний уровень в них разбит на два подуровня. -1 ? полностью небезопасный уровень Данный уровень, это уровень по умолчанию. Фактически он означает, что механизм securelevel вообще не включён. Документация по FreeBSD не рекомендует использовать данный уровень. В качестве небезопасного уровня документация FreeBSD рекумендует 0-й уровень. 0 ? небезопасный уровень * используется во время загрузки и/или нахождения системы в однопользов ательстком режиме * чтение файлов устройств и запись в них осуществляется согласно выстав ленным пермиссиям (на более старших уровнях на работу некоторых файлов устройств налагаются более строгие ограничения, см. ниже). * любые системные флаги файлов могут быть сброшены На NetBSD, в дополнении к сказанному, запрещена трассировка процесса init (8). 1 ? безопасный уровень * режим по умолчанию для многопользовательской системы * уровень безопасности не может быть понижен, кроме как при помощи init (8) * запрещена запись в устройства /dev/mem, /dev/kmem и /dev/io. * устройства сырых дисков (такие как /dev/ad0 и т.п.) в смонтированных файловых системах доступны только для чтения * системные файловые флаги immutable и append-only не могут быть сброшены (но не пользовательские, т.е. флаг schg и sappnd снять нельзя, а uchg и uappnd можно). * модули ядра не могут быть загружены или выгружены На OpenBSD, в дополнении к сказанному, действуют следующие ограничения на изменения переменных ядра: * переменная fs.posix.setuid не может быть изменена * переменная net.inet.ip.sourceroute не может быть изменена * переменная machdep.kbdreset не может быть изменена * значения переменных ddb.console и ddb.panic не могут повышены * значение переменной machdep.allowaperture не может быть повышено На NetBSD, в дополнении к сказанному, действуют следующие ограничения: * Запрещено изменение переменной ядра net.inet.ip.sourceroute. * Запрещено добавление и удаление переменных ядра. * Запрещено изменение времени (в OpenBSD и FreeBSD это сделано на 2-м уро вне). * Нельзя изменить переменные ядра влияющие на то, будет ли изготавлив аться coredump файл из програм с SUID-битом. 2 ? наивысший уровень безопасности идентичен уровню 1, кроме: * дисковые устройства всегда доступны только на чтение, не зависимо от того, смонтированы они или нет * settimeofday(2) и clock_settime(2) не могут установить время, меньше текущего * pf(4) фильтр и правила NAT не могут быть изменены Наивысший уровень безопасности во FreeBSD и DragonFly BSD разбит на два уровня. Невозможность изменения правил pf(8) и NAT вынесены на уровень 3. Режим повышенной безопасности может показаться драконовским, но он задумывался как последняя линия обороны в случае если учётная запись суперпользователя в скрыта. Эти эффекты предотвращают обход файловых флагов путем прямой модификации сырых дисковых устройств или стирание файловой системы при помощи команды newfs(8). Далее, они могут ограничить потенциальное разрушающее действие (потенциальный в ред от) вскрытого файрвола, путем запрещения модификации правил пакетного фильтра pf(8). Предотвращение перевода системного времени назад помогает при послеаварийном анализе и прибавляет уверенности в корректности журнальных файло в. При этом несколько страдает точность вычисления времени, так как блокировка времени осуществляется немгновенно. Так как уровень безопасности может быть изменён при помощи отладчика ddb(4), в полне логично заблокировать его работу, как представлено уровнями 1 и 2 (и 3 во FreeBSD и DragonFly BSD). Это обеспечивается установкой переменных ядра ddb.console и ddb.panic в 0. Не лишним будет упомянуть, что установку переменных на этапе загрузки можно в ыполнить в конфигурационном файле /etc/sysctl.conf. Например: ddb.console=0 ddb.panic=0 2.1.3. Ссылки В разных системах семейства BSD придаётся различный смысл различным уровням безопасности. Чтобы получить конкретную информацию по вашей операционной системе, используйте следующие ссылки: * securelevel в FreeBSD * securelevel в DragonFly BSD * securelevel в OpenBSD * securelevel в NetBSD 2.2. Конфигурирование сервера SSH в соответствии с требованиями Описание: Кандидат BSDA должен знать как настроить встроенный демон sshd(8) для ограничения доступа к системе через SSH. Практика: sshd_config(5) 2.3. Конфигурировние SSH сервера для аутентификации по ключу Описание: Кандидат должен понимать теорию публичных/приватных ключей включая: какие протоколы доступны для генерирования пар ключей, выбор подходящего bit size, предоставления "начальной строки"(?) (seed), passphrase, и проверки отпечатка (fingerprint). В дополнение, кандидат должен уметь генерировать свои ключи и использовать их для аутентификации. Практика: ssh-keygen(1) включая следующие ключевые слова: authorized_keys, id_rsa и id_rsa.pub. 2.4. Предохранение ключа при обновлении системы Описание: В добавок к знанию о том как генерируются системные SSH ключи, кандидат BSDA должен знать где расположены системные ключи и как предохранить их при обновлении или замене системы. Практика: /etc/ssh/ssh_host*_key* 2.5. Разбираться в альтернативных механизмах аутентификации Описание: От кандидата BSDA не требуется знания того как сконфигурировать альтернативный метод аутентификации. Однако кандидат должен понимать основы теории аутентификации, знать, что аутентификация по имени пользователя и паролю ? не единственный способ аутентификации в системах BSD. Кандидат должен понимать основы PAM и знать, что он доступен в DragonFly BSD, FreeBSD и NetBSD 3.x. Он должен так же знать основы теории касающейся Kerberos, OTP и RADIUS. 2.6. Разбираться в альтернативных методах авторизации Описание: Кандидат должен понимать основы теории авторизации и как MAC и ACL расширяют стандартные UNIX-пермиссии. Практика: mac(4) и acl(3) на FreeBSD; systrace(1) на NetBSD и OpenBSD. 2.7. Разбираться в основных рекомендованных методах доступа [до хоста] Описание: Кандидат BSDA должен быть знаком с обычными для администраторский практики методами снижения рисков связанными с доступом к системе. Включая использование ssh(1) вместо telnet(1), запрещение логина от пользователя root, использование сторонней утилиты sudo(8) вместо su(1) и минимизация использов ания группы wheel. Практика: ttys(5), sshd_config(5), ftpusers(5); сторонняя утилита sudo(8), в ключая visudo(8), suedit(?) и sudoers(5). 2.8. Разбираться в брандмауэрах BSD и синтаксисе конфигурационных файлов Описание: Каждая система BSD снабжена хотя бы одним брандмауэром. Кандидат BSDA должен знать какие брандмауэры в каких системах доступны и какие команды доступны для просмотра набора правил брандмауэра. Практика: ipfw(8), ipf(8), ipfstate(8), pfctl(8) и firewall(7) Комментарий В разных операционных системах BSD доступны разные брандмауэры, с разным синтаксисом и разной идеологией и разными возможностями. Однако операционные системы BSD обмениваются идеями и кодом. Так в настоящий момент в ядре FreeBSD доступно сразу три брандмауэра: <<родной ? ipfw(8), пакетный фильтр NetBSD ? ipf(8) и пакетный фильтр OpenBSD ? pf(4). Описание брандмауэров BSD настолько обширная тема, что в данной работе она в ынесена в отдельные разделы: Приложение C, Пакетный фильтр OpenBSD ? pf(4), Приложение D, Пакетный фильтр NetBSD ? ipf(8) и Приложение E, Брандмауэр FreeBSD ? ipfw(8). В данном разделе обсуждаются лишь некоторые концепции построения брандмауэров и проводится сравнение возможностей брандмауэров BSD. 2.8.1. Общие принципы работы с брандмауэрами 2.8.2. Сравнение брандмауэров BSD 2.9. Разбираться в механизмах использования шифровальных устройств BSD Описание: Кандидат BSDA должен знать, что в BSD могут использоваться шифров альные устройства и какие утилиты доступны для этого на каких BSD системах. Практика: gbde(4) и gbde(8) на FreeBSD; cgd(4) на NetBSD; vnd(4) на OpenBSD. 2.10. Разбираться в методах проверки аутентичности бинарного файла Описание: Кандидат BSDA должен разбираться в утилитах проверки подлинности файла, таких как tripware. Он должен так же разбираться во встроенных методах проверки предлагаемых некоторыми BSD. Практика: security(7) или (8); security.conf(5); veriexecctl(8) 2.11. Разбираться в способах запуска сервиса в изолированной среде (restraining service) Описание: Кандидат BSDA должен понимать преимущества запуска сервисов в изолированной среде на машинах открытых для Интернет, и какие утилиты предназначены для этого в какой BSD. Практика: chroot(8); jail(8); systrace(1); Стороннее приложение Xen. Комментарий Реалии современного програмного обеспечения таковы, что многие сетевые (и не только сетевые) сервисы могут быть взломаны. Широко известны атаки типа <<переполнение буфера>>. Программа запрашивает некоторый параметр у пользов ателя и не проверяет какой длины данные ей передали. Таким образом, злоумышленник получает возможность записать данные в область памяти занятую кодом программы, на который в последствии будет передано управление. В результате злоумышленник получает возможность выполнять произвольные действия от имени данной службы. Чтобы противодействовать данному виду атак, многие службы запускают в изолиров анной среде ? <> или <<песочнице>>. Существует множество способов построения <<песочниц>>: Виртуальная машина Это, пожалуй, самое радикальное средство изоляции сервисов. Вы запускаете образ машины, устанавливаете на неё любую полюбившуюся операционную систему и выставляете эту <<машину>> в Интернет. В случае взлома вы просто восстана вливаете её из образа. В этой ситуации риск повреждения материнской системы практически полностью исключён. Однако накладные расходы очень велики ? быстродействие виртуальной машины в десятки раз ниже быстродействия материнской. Известные эмуляторы: vmware ? коммерческий продукт выпускающийся под Linux его можно запустить в FreeBSD используя <<эмулятор>> Linux. Другое решение ? qemu. Qemu ставится из портов в любую систему, это OpenSource, но выбор эмулируемого железа в нём ограничен. Псевдоэмуляция Суть явления примерно та же, что и в предыдущем случае, однако псев доэмулятор не занимается эмуляцией железа. Псевдоэмулятор работает на уров не ядра операционной системы. С одной стороны, это сужает возможности эмулятора, так как вы лишаетесь возможности эмулировать другие архитектуры. С другой стороны вы получаете существенный прирост в производительности. И возможность одновременного запуска нескольких различных операционных систем. Примером такого рода эмуляции является рассмотренный ниже Xen, реализов анный в NetBSD, OpenBSD и FreeBSD. Смена корневого каталога Это один из самых простых и один из самых древних методов построения <<песочницы>>. Хотя системый вызов chroot(2) не входит в стандарт POSIX, он реализован практически повсеместно. Приложение выполняет системный вызов chroot(2), после чего любое обращение к корневому каталогу ядро транслирует в некоторый другой каталог ? корень <<песочницы>>. Таким образом, приложение лишено возможности испортить файлы за пределами <<песочницы>>. В тоже время, приложение работает с сокетами материнской системы, если мы создаём в песочнице каталог /dev с файлами устройств, то оно будет иметь доступ к устройствам на низком уровне и, при достаточном количестве полномочий может даже вырваться за пределы песочницы. Данный метод построения <<песочниц>> очень распространён. Существуют серв исы, такие как BIND, которые по умолчанию запускаются в окружении chroot(8) . jail(8), тюрьма Этот метод находится посередине, между псевдоэмулятором и chroot(8). Фактически это просто усовершенствованный chroot(8). Реализация jail(8) дов ольно сложна, это решение принято только в FreeBSD и DragonFly BSD. В отличие от chroot(2), в jail(2) приложение не только меняет корневой каталог, но даже работает с другими сетевыми сокетами; jail(8)'у можно в ыдать свой IP адрес. Мы можем говорить о jail, как о дополнительном (в озможно не одном) виртуальном сервере FreeBSD. Ограничение системных вызовов Решение применяемое в OpenBSD и NetBSD ? система systrace(1), предназначена для контроля за тем какие системые вызовы имеет право выполнить та или иная программа. С помощью данного средства можно расписать политики в которых будет сказано какие вызовы может выполнять программа, имеет ли она право открыть сокет на таком-то порту и т.д. Можно, например, запретить на уровне ядра программе named(8) слушать какой бы то ни было порт кроме 53-го. 2.11.1. chroot(8) Команда chroot(8) позволяет запускать приложения в ограниченной среде путём смены корневого каталога. Для начала, давайте попробуем запустить в ограниченной среде программу csh(1). В дополнение к ней мы скопируем в ограниченную среду команду tree(1), чтобы с её помощью убедиться что у нас всё получилось. Для этого нам надо выполнить следующие действия: * Создать каталог (<<песочницу>>) в который мы будем chroot'иться. * В этом каталоге создать файловую иерархию характерную для UNIX, для начала нам хватит каталогов /bin и /lib. * Определить с какими динамическими библиотеками слинкована наша программа. Для этого нам понадобится программа ldd(1), а что-то мы определим методом проб и ошибок. * Скопировать все библиотеки, исполнимые файлы и необходимые конфигурационные файлы в соответствующие каталоги <<песочницы>>. (Для нашей учебной задачи конфигурационные файлы можно и не копировать.) * Запустить csh(1) в ограниченном окружении: $ mkdir -p sandbox/bin sandbox/lib $ ldd /bin/csh 1 /bin/csh: libncurses.so.6 => /lib/libncurses.so.6 (0x280b9000) libcrypt.so.3 => /lib/libcrypt.so.3 (0x280f8000) libc.so.6 => /lib/libc.so.6 (0x28110000) $ ldd /usr/local/bin/tree /usr/local/bin/tree: libc.so.5 => /lib/libc.so.5 (0x2807c000) $ cp /lib/libc.so.5 /lib/libncurses.so.6 /lib/libcrypt.so.3 /lib/libc.so.6 sandbox/lib/ $ cp /bin/csh /usr/local/bin/tree sandbox/bin/ 2 # chroot sandbox/ csh 3 Password: ELF interpreter /libexec/ld-elf.so.1 not found 4 Abort trap: 6 $ mkdir sandbox/libexec $ cp /libexec/ld-elf.so.1 sandbox/libexec/ # chroot sandbox/ csh csh: Cannot open /etc/termcap. csh: using dumb terminal settings. 5 %pwd pwd: Command not found. %tree / / |-- bin | |-- csh | `-- tree |-- lib | |-- libc.so.5 | |-- libc.so.6 | |-- libcrypt.so.3 | `-- libncurses.so.6 `-- libexec `-- ld-elf.so.1 3 directories, 7 files %exit exit 1 Узнаём с какими библиотеками слинкованы csh(1) и tree(1). 2 Копируем библиотеки и исполнимые файлы 3 Для выполнения системного вызова chroot(2) необходимы права суперпользов ателя 4 Оопс! Одного файла не хватает. Копируем и его тоже. 5 На этот раз у нас всё получилось. Правда система отругала нас за то, что мы не скопировали необходимых конфигурационных файлов, но csh(1) запустился. Ниже видно, что мы не можем выполнить команду pwd(1), так как это внешняя команда, не встроенная в csh(1). Затем, при помощи команды tree(1) мы рассматриваем всю файловую иерархию которая нам доступна. Некоторым приложениям может понадобиться наличие каталога /dev с файлами устройств. Для систем не поддерживающих devfs надо создать эти файлы при помощи команды mknod(8), а для систем поддерживающих devfs, например для FreeBSD, понадобится смонтировать в <<песочницу>> файловую систему devfs. Однако при этом вам может понадобиться создать не все, а только некоторые файлы устройств. Для этого надо воспользоваться утилитой devfs(8): $ mkdir sandbox/dev # mount_devfs devfs sandbox/dev/ Password: $ ls sandbox/dev/ 1 acd0 console fd/ nfs4 sysmouse ttyv5 acd0t01 consolectl fd0 nfslock ttyd0 ttyv6 acpi ctty fido null ttyd0.init ttyv7 ad0 cuad0 geom.ctl pass0 ttyd0.lock ttyv8 ad0s1 cuad0.init io pci ttyd1 ttyv9 ad0s1a cuad0.lock kbd0@ psm0 ttyd1.init ttyva ad0s1b cuad1 klog ptyp0 ttyd1.lock ttyvb ad0s1c cuad1.init kmem ptyp1 ttyp0 ttyvc ad0s1d cuad1.lock lpt0 ptyp2 ttyp1 ttyvd agpgart devctl lpt0.ctl ptyp3 ttyp2 ttyve apm devstat mdctl ptyp4 ttyp3 ttyvf ata dri/ mem random ttyp4 urandom@ atkbd0 dsp0.0 mixer0 rtc ttyv0 usb audio0.0 dsp0.1 net/ sndstat ttyv1 usb0 audio0.1 dspW0.0 net1@ stderr@ ttyv2 usb1 bpsm0 dspW0.1 net2@ stdin@ ttyv3 xpt0 cd0 dspr0.1 network stdout@ ttyv4 zero # devfs -m sandbox/dev/ rule apply hide $ ls sandbox/dev/ 2 # devfs -m sandbox/dev/ rule apply path zero unhide # devfs -m sandbox/dev/ rule apply path null unhide # devfs -m sandbox/dev/ rule apply path random unhide $ ls sandbox/dev/ 3 null random zero # chroot sandbox/ csh csh: Cannot open /etc/termcap. csh: using dumb terminal settings. %tree / / |-- bin | |-- csh | `-- tree |-- dev 4 | |-- null | |-- random | `-- zero |-- lib | |-- libc.so.5 | |-- libc.so.6 | |-- libcrypt.so.3 | `-- libncurses.so.6 `-- libexec `-- ld-elf.so.1 4 directories, 10 files %exit exit 1 После монтирования файловой системы devfs в каталог sandbox/dev/, в нём оказались доступны все файлы устройств. В ряде случаев это неудачная идея. 2 При помощи команды devfs(8) мы скрыли все файлы устройств в каталоге sandbox/dev/. 3 Теперь мы три файла устройств снова сделали доступными. После мы можем безопасно выполнять команду chroot(8). В ограниченной среде будут доступны только созданные три устройства. 4 Команда tree(1) показывает, что в <<песочнице>> доступны только созданные три файла устройств. 2.11.2. jail(8) Команда jail(8) может рассматриваться как средство для запуска программы в ограниченном окружении, а может рассматриваться как средство виртуализации. В первом случае настройка jail(8) выглядит аналогично рассмотренному выше chroot (8). К уже имеющемуся окружению sandbox/ мы добавим команду ifconfig(8): # ifconfig rl0 add 172.19.0.234/24 $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet 172.19.0.5 netmask 0xffffff00 broadcast 172.19.0.255 inet 172.19.0.234 netmask 0xffffff00 broadcast 172.19.0.255 1 ether 4c:00:10:54:dd:8e media: Ethernet autoselect (100baseTX ) status: active lo0: flags=8049 mtu 16384 inet 127.0.0.1 netmask 0xff000000 $ mkdir sandbox/sbin 2 $ cp /sbin/ifconfig sandbox/sbin $ ldd /sbin/ifconfig /sbin/ifconfig: libipx.so.3 => /lib/libipx.so.3 (0x28082000) libc.so.6 => /lib/libc.so.6 (0x28085000) $ cp /lib/libipx.so.3 sandbox/lib # jail sandbox/ testhostname 172.19.0.234 /bin/csh 3 csh: Cannot open /etc/termcap. csh: using dumb terminal settings. %/sbin/ifconfig rl0: flags=8843 mtu 1500 options=8 inet 172.19.0.234 netmask 0xffffff00 broadcast 172.19.0.255 4 ether 4c:00:10:54:dd:8e media: Ethernet autoselect (100baseTX ) status: active lo0: flags=8049 mtu 16384 %exit exit 1 Для начала мы добавляем IP адрес материнской системе. Без этого не присв оится IP jail'у. 2 Теперь копируем в созданную раньше <<песочницу>> команду ifconfig(8) с библиотеками 3 Вызываем jail(8) 4 Видно, что внутри jail(8) присвоен выбранный нами IP Если теперь мы добавим адрес 192.168.0.34 как алиас для интерфейса материнской машины, то по нему мы сможем взаимодействовать с внутренней машиной. Поговорим об использовании jail(8) в качестве эмулятора. Таблица 2.1. Опции запуска jail(8) +-----------------------------------------------------------------------------+ |Опция |Описание | |-----------------------------------------------------------------------------| | Необязательные аргументы | |-----------------------------------------------------------------------------| |-i |Вывести идентификатор созданной <<тюрьмы>>. | |-----------+-----------------------------------------------------------------| |-J JidFile |Создать JidFile, аналогично PidFile. В него записывается jailid, | | |путь к sandbox, hostname, IP адрес, и команда запущенная в jail. | |-----------+-----------------------------------------------------------------| | |Выполнить программу в чистых переменных окружения. Переменные | |-l |окружения уничтожаются за исключением переменных HOME, SHELL, | | |TERM и USER. Переменная TERM импортируется из текущего окружения,| | |остальные выставляются согласно выполненному в песочнице логину. | |-----------+-----------------------------------------------------------------| |-s |Устанавливает переменную ядра kern.securelevel в указанное | |securelevel|значение внутри созданной <<тюрьмы>>. Эта опция появилась только | | |в FreeBSD 6.2 | |-----------+-----------------------------------------------------------------| |-u username|Имя пользователя от имени которого осуществляется запуск jail(8) | |-----------+-----------------------------------------------------------------| |-U username|Имя пользователя от имени которого выполняется команда внутри | | |jail(8). | |-----------------------------------------------------------------------------| | Обязательные аргументы | |-----------------------------------------------------------------------------| |path |Путь к sandbox | |-----------+-----------------------------------------------------------------| |hostname |hostname внутри jail(8) | |-----------+-----------------------------------------------------------------| |IP |Адрес jail(8). Пока на один jail(8) можно дать только один адрес.| |-----------+-----------------------------------------------------------------| |command |Команда, которая будет выполнена в jail(8) | +-----------------------------------------------------------------------------+ 2.11.2.1. Краткое HOWTO, как запустить FreeBSD в jail(8) 2.11.2.1.1. Создание дерева для <<песочницы>> Ниже я перечислю нужные для этого команды, естественно удалив их стандартный вы вод ? он огромен. $ D=/path/to/sandbox $ mkdir -p $D $ cd /usr/src # make world DESTDIR=$D # make distribution DESTDIR=$D # mount_devfs devfs $D/dev Таким образом, будет собрана вторая копия FreeBSD в каталоге /path/to/sandbox/. Разумеется, если ваша цель состоит только в запуске какого-то конкретного серв иса, а не предоставления виртуального хостинга, то данные действия, мягко гов оря, избыточны. вероятно имеет смысл создать маленькую <<тюрьму>> и добавлять в неё файлы, пока она не заработает. Такой путь сложнее чем путь удаления файлов из <<толстой тюрьмы>>, но приводит к лучшему результату. Кроме того, монтиров ание всей файловой системы devfs, тоже небезопасно, поэтому далее следует исключить некоторые файлы устройств (как минимум жёсткие диски) способом описанным выше, в Раздел 2.11.1, <>. 2.11.2.1.2. Настройка материнской системы Прежде всего, следует исключить ситуацию, когда сервисы материнской системы слушают адрес присвоенный jail(8). Некоторые сервисы придётся отключить, некоторые перенастроить. В частности, надо заставить суперсервер inetd(8) слушать некоторый конкретный адрес, принадлежащий материнской системе. Имеет смысл добавить в файл /etc/rc.conf следующие строки: sendmail_enable="NO" inetd_flags="-wW -a 192.168.11.23" rpcbind_enable="NO" Где 192.168.11.23 ? адрес материнской системы. Демоны запущенные не через inetd (8) должны быть переконфигурированы. Некоторые могут быть перенастроены при помощи /etc/rc.conf, некоторые через свои конфигурационные файлы. В некоторых клинических случаях демонов придётся пересобирать. Для конфигурирования sshd(8) следует воспользоваться файлом /etc/ssh/ sshd_config(5). Для конфигурирования sendmail(8) ? /etc/mail/sendmail.cf named(8) ? /etc/namedb/named.conf. Сервисы, основанные на rpc(3), такие как rpcbind(8), nfsd(8), mountd(8) придё тся пересобирать. Так или иначе, сервисы, которым невозможно объяснить какой они слушают адрес не должны запускаться на материнской системе, если они не должны интерферировать с программами в jail(8). 2.11.2.1.3. Конфигурирование jail(8) Первый запуск jail(8) происходит в системе, в которой не настроены сетевые интерфейсы, нет учётных записей пользователей и т.д. Некоторые из этих вещей можно настроить только если у вас запущен виртуальный сервер внутри jail(8). Запустите jail(8): # jail /data/jail/192.168.11.100 testhostname 192.168.11.100 /bin/sh Если всё будет в порядке, то теперь в этом окружении можно выполнить настройку системы при помощи утилиты /usr/sbin/sysinstall(8) или вручную отредактировать /etc/rc.conf в окружении jail(8). Выполните следующие шаги: * Создайте пустой файл /etc/fstab дабы избежать сообщений о его отсутствии. * Отключите portmapper (rpcbind_enable="NO" в /etc/rc.conf) * Сконфигурируйте /etc/resolv.conf * Выполните команду newaliases(1), чтобы избежать предупреждений от sendmail (8). * Отключите конфигурирование сетевых интерфейсов дабы избежить предупреждений от ifconfig(8) (network_interfaces="" в /etc/rc.conf) * Установите пароль root. Будет лучше, если он будет отличен от пароля в материнской системе. * Установите timezone. Для этого надо скопировать подходящий файл (например / usr/share/zoneinfo/Europe/Moscow) под именем /etc/localtime. * Добавьте пользовательские учётные записи * Инсталлируйте необходимые пакеты Кроме того, вам возможно понадобится сконфигурировать какое-нибудь програмное обеспечение внутри jail(8). Например web-сервер, ssh-сервер и т.д. Возможно вы захотите чтобы syslogd(8) материнской системы слушал сокет в jail(8). В рассматриваемом примере его надо направить на сокет /data/jail/192.168.11.100/ var/run/log. После произведённых настроек можно выйти из оболочки запущенной в jail(8). 2.11.2.1.4. Запуск jail(8) Теперь вы готовы запускать виртуальный сервер в jail(8). Для этого надо в ыполнить в jail(8) скрипт /etc/rc. [В Важно ажно] Если вы собираетесь предоставлять доступ неизвестным пользователям с прав ами root в jail(8), выставите переменную ядра security.jail.set_hostname_allowed в 0 до запуска jail(8). В Раздел 2.11.2.1.5, <<Управление jail(8)>> сказано чем это может быть полезно. Вот команды для запуска виртуального сервера: # ifconfig bge0 add 172.19.0.133/24 # mount_devfs devfs /opt/sandbox/dev # jail /opt/sandbox/ jail-hp.house.hcn-strela.ru 172.19.0.133 /bin/sh /etc/rc Loading configuration files. jail-hp.house.hcn-strela.ru Setting hostname: jail-hp.house.hcn-strela.ru. Creating and/or trimming log files:. ln: /dev/log: Operation not permitted Starting syslogd. ELF ldconfig path: /lib /usr/lib /usr/lib/compat a.out ldconfig path: /usr/lib/aout /usr/lib/compat/aout Starting local daemons:. Updating motd. Starting sshd. Starting cron. Local package initialization:. Thu Feb 22 11:41:09 MSK 2007 $ ssh guest@172.19.0.133 1 The authenticity of host '172.19.0.133 (172.19.0.133)' can't be established. DSA key fingerprint is 95:cc:e5:38:e7:19:9e:0a:aa:40:a0:04:80:7b:be:53. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '172.19.0.133' (DSA) to the list of known hosts. Password: Last login: Thu Feb 22 10:58:50 2007 from 172.19.0.33 Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994 The Regents of the University of California. All rights reserved. ............................................................................... $ ifconfig 2 fwe0: flags=108802 mtu 1500 options=8 ether 02:02:3f:15:33:0c ch 1 dma -1 bge0: flags=8843 mtu 1500 options=1b inet 172.19.0.133 netmask 0xffffff00 broadcast 172.19.0.255 ether 00:17:08:2f:a6:90 media: Ethernet autoselect (100baseTX ) status: active plip0: flags=108810 mtu 1500 lo0: flags=8049 mtu 16384 1 Заходим в тюрьму по ssh(1). Учётная запись guest и sshd(8) демон настроены заранее. 2 Это уже команда выполненная внутри тюрьмы. Вы получите некоторое количество предупреждений связанных с тем, что внутри jail(8) нельзя выполнить большинство вызовов sysctl(8). Однако всё должно работать. Вы можете увидеть при помощи команды ps(1) процессы запущенные в jail (8) с флагом J. Можно запускать jail(8) автоматически при старте системы. Для этого надо в писать строки типа jail_* в /etc/rc.conf(5). Например, для того, чтобы при старте системы автоматически запускалось три jail'а, надо поместить в /etc/rc.conf(5) следующие строки: jail_enable="YES" jail_list="one,two,three" jail_one_hostname="www.propeller.ru" jail_two_hostname="www.samovar.ru" jail_three_hostname="www.avtoclav.ru" jail_one_ip="192.168.11.100" jail_two_ip="192.168.11.101" jail_three_ip="192.168.11.102" jail_one_rootdir="/data/jail/192.168.11.100" jail_two_rootdir="/data/jail/192.168.11.101" jail_three_rootdir="/data/jail/192.168.11.102" Это программа-минимум. С помощью других опций описанных в /etc/rc.conf(5) вы можете оговорить нужно ли перед запуском jail(8) монтировать внутри него procfs , devfs, какие устройства нужно активировать внутри devfs и т.п. Можно управлять jail(8) при помощи стартового скрипта /etc/rc.d/jail: # /etc/rc.d/jail start # /etc/rc.d/jail stop # /etc/rc.d/jail start myjail # /etc/rc.d/jail stop myjail 2.11.2.1.5. Управление jail(8) Обычные команды типа shutdown(8), halt(8) или reboot(8) в jail(8) не работают. Вместо них можно зайти в jail(8) и выполнить одну из команд: # kill -TERM -1 # kill -KILL -1 в зависимости от того, что вы хотите сделать. Возможно вы захотите выполнить скрипт /etc/rc.sutdown внутри jail(8). Если вы находитесь снаружи jail(8) и хотите выполнить команду внутри него, вы можете воспользоваться командой jexec(8): #jexec 6 kill -KILL -1 Эта команда выполнит команду kill(1) внутри jail с jid=6. В каталоге /proc, если вы его используете, в файле /proc//status в последнем поле находится имя хоста для jail или знак - если процесс запущен не в jail. Кроме того, команда ps(1) показывает знак J если процесс запущен в jail . Однако hostname может быть изменён внутри jail и тогда значение из файла / proc//status оказывается ни с чем не связано. Чтобы запретить смену hostname надо выставить переменную ядра security.jail.set_hostname_allowed в 0. (см. Раздел 5.6, <<Изменение на лету переменных ядра>>). Это повлияет на всю <<пенитенциарную систему>>. Чтобы увидеть список процессов с их Jail ID вы можете выполнить команду $ ps ax -o pid,jid,args Чтобы увидеть процессы в jail(8) номер 3, и послать им сигналы, можно использов ать команды $ pgrep -lfj 3 # pkill -j 3 или # killall -j 3 Таблица 2.2. Переменные ядра (MIB) связанные с jail(8) +-----------------------------------------------------------------------------+ |Переменная |Умолчание|Описание | |-------------------------------------+---------+-----------------------------| | | |Переменная определяет может | | | |ли root в <<тюрьме>> открыв | | | |ать сырые сокеты. Установка | |security.jail.allow_raw_sockets |0 |переменной в 1 позволит | | | |запускать в тюрьме такие | | | |утилиты как ping(8) и | | | |traceroute(8). | |-------------------------------------+---------+-----------------------------| | | |Определяет какая информация о| | | |точках монтирования доступна | | | |для процессов в jail(8). 0 ? | | | |все точки монтирования | | | |доступны без ограничений; 1 ?| |security.jail.enforce_statfs |2 |Доступны только точки монтирв| | | |ания внутри каталога jail(8),| | | |путь к каталогу jail(8) | | | |удаляется; 2 ? можно работать| | | |только с точкой монтирования | | | |в которой разположен jail(8).| |-------------------------------------+---------+-----------------------------| | | |Определяет может ли | |security.jail.set_hostname_allowed |1 |приложение в jail(8) сменить | | | |hostname. | |-------------------------------------+---------+-----------------------------| | | |По умолчанию процессы в jail | | | |(8) могут взаимодействовать с| | | |доменными сокетами UNIX, IPv4| |security.jail.socket_unixiproute_only|0 |сокетами и routing sockets. | | | |Смена данной переменной прив | | | |едёт к тому, что процессам в | | | |jail(8) станут доступны и | | | |другие сокеты. | |-------------------------------------+---------+-----------------------------| | | |Могут ли процессы в jail(8) | | | |использовать примитивы System| | | | V IPC. Установка этой | | | |переменной в 1 позволит | |security.jail.sysvipc_allowed |0 |процессам в jail(8) в | | | |заимодействовать с процессами| | | |в других <<тюрьмах>> и с | | | |процессами материнской | | | |системы. | |-------------------------------------+---------+-----------------------------| | | |Как взаимодействует root в | | | |jail(8) с флагами выстав | | | |ленными командой chflags(1). | | | |0 ? root считается неприв | | | |илегированным пользователем и| |security.jail.chflags_allowed |0 |не может менять этот флаг. 1 | | | | ? root считается привилегиро| | | |ванным пользователем и может | | | |манипулировать флагами | | | |согласно секущему уровню | | | |kern.securelevel. | |-----------------------------------------------------------------------------| |Существуют две переменные, которые можно менять внутри jail(8) их значение | |будет действовать только внутри данной <<тюрьмы>>. | |-----------------------------------------------------------------------------| |kern.securelevel | | | |-------------------------------------+---------+-----------------------------| |kern.hostname | | | +-----------------------------------------------------------------------------+ 2.11.2.1.5.1. Некоторые программы для работы с jail(8) jls(8). Программа предоставляет список запущенных тюрем: $ jls JID IP Address Hostname Path 6 172.19.0.133 jail-hp.house.hcn-strela.ru /opt/sandbox jexec(8). Программа позволяет выполнить в jail(8) произвольную команду: # jexec 6 kill -TERM -1 Эта команда приведёт к остановке 6-й тюрьмы. security/jailaudit. Порт генерирующий вывод команды portaudit(1) для тюрем. sysutils/ezjail. Порт предназначенный для облегчения создания и управления тюрьмами. sysutils/jailadmin. Порт для администрирования тюрьмами. sysutils/jailctl. Порт для администрирования тюрьмами. sysutils/jailer. Порт для управления запуском и остановкой тюрем. sysutils/jailutils. Порт с несколькими программами для манипулирования тюрьмами. Для получения более подробной информации о портах выполните команду: $ cat /usr/ports///pkg-descr 2.11.2.2. Ограничения jail(8) * На один jail(8) может быть выдан только один IP адрес. В будущем эту ситуацию собираются исправить. Для ветви FreeBSD CURRENT существует патч, позволяющий установить несколько IP-адресов на один jail. Мне неизвестно работает ли он с FreeBSD 6.x. * Пространство UID у jail(8) и у материнской системы общее. Это значит, что ресурсы принадлежащие пользователю с UID=1001 в тюрьмах номер 4, 7, 9 и т.д., на самом деле принадлежат одному пользователю, имеющему UID=1001 в материнской системе. Как следствие, файловые квоты в jail(8) будут работать некорректно. * Многие ресурсы jail(8) и материнской системы ? общие. Выполнение следующего кода в jail(8) может вызвать серёзные проблемы как в материнской системе, так и в соседних тюрьмах: $ while :; do cat /dev/zero | md5 & done 2.11.3. systrace(1) 2.11.4. Xen 2.12. Смена алгоритма шифрования используемого для защиты базы с паролями Описание: Кандидат BSDA должен уметь по данному скриншоту базы паролей определить используемый метод шифрования и знать как его сменить. Кандидат должен иметь базовое понимание того когда надо использовать DES, MD5 и Blowfish. Практика: login.conf(5); auth.conf(5); passwd.conf(5) и adduser(8). Комментарий Жизнь показывает, что существует множество путей при помощи которых может <<утекать>> база с паролями пользователей. Один из распространённых случаев ? утечка с backup'ами. Главное оружие любого системного администратора, это в алидол и backup. Администратор, который понял эту истину может уподобиться белке, которая рассовывает орешки где попало и забывает где их положила. Так же могут быть распределены в системе резервные копии. Особенно, если система резер вного копирования написана самим администратором. Такая система, быть может ничем не плоха, но на стадии отладки, пока подбирались опции, на жёстких дисках оказалось несколько копий резервных файлов с правами 644... Чем это чревато? Злоумышленник может попыться найти базу с паролями и взломать её. Что может ему помешать? Во первых пароли должны быть качественными, во в торых, они должны быть качествено зашифрованы. Надо сразу сказать, что первое намного важнее второго. Как бы качественно ни был зашифрован пароль 12345, его вскроют за доли секунды. Существует несколько способов шифрования паролей. Так или иначе, используется некоторая необратимая функция, при помощи которой, шифруется пароль. Т.е. система ваш пароль вообще не знает. Когда вы его вводите, она шифрует его занов о и сверяет результаты шифрования со своей базой. В системах BSD можно выбирать несколько алгоритмов шифрования паролей, однако ни один из них не является панацеей от взлома. Иметь стойкий пароль, намного в ажнее, чем строго его шифровать. Хотя последнее тоже может быть важно. 2.12.1. Устройство базы паролей База с аутентификационными данными состоит из 4-х файлов. Основной ? /etc/ master.passwd и генерирующихся из него при помощи pwd_mkdb(8) трёх файлов: /etc /passwd(5), /etc/pwd.db и /etc/spwd.db. /etc/master.passwd В данном файле содержится собственно аутентификационная информация: зашифро ванный пароль, сведения о пользовательских настройках (т.н. класс пользов ателя), срок действия пароля. Ниже приведён фрагмент файла /etc/ master.passwd(5). user1:*LOCKED*cuqW.GIKHV/xs:1001:1001:russian:0:0:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/usr/sbin/nologin user2:*LOCKED*76aSxdZIXKXfk:1002:1002:russian:0:0:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/usr/sbin/nologin user3:*LOCKED*$1$UmWRc8Kh$WyHRN96T7vQ7nZP0ChVjc/:1003:1003:russian:0:0:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/usr/sbin/nologin user4:*LOCKED*$1$OgtF.3Zb$EafLlWm6H.OZ1sKkheySr.:1004:1004:russian:0:0:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/usr/sbin/nologin user5:*LOCKED*$2a$04$HXoymCDzRfi9ctGmfrOqeu9Hn16XcWmQuVnA6C3aifKkkM7qrKauO:1005:1005:russian:0:0:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/usr/sbin/nologin user6:*LOCKED*$2a$04$GO.hiRaXx7wp5cdAfJP9xOAOeXV48/kBYOJ2VaJRhknUg/VWLw/N.:1005:1005:russian:0:0:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/usr/sbin/nologin user7:*LOCKED*$3$$2d20d252a479f485cdf5e171d93985bf:1006:1006:russian:0:0:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/usr/sbin/nologin user8:*LOCKED*$3$$2d20d252a479f485cdf5e171d93985bf:1007:1007:russian:0:0:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/usr/sbin/nologin Здесь имеется 10 полей разделённых двоеточиями. Вот их значение: * Логин пользователя * Пароль пользователя. Никакой пароль не может содержать в себе звё здочек, или восклицательных знаков. Поэтому поле *LOCKED* свидетельств ует о том, что данная учётная запись заблокирована. Ни один пароль не совпадёт с ней при процедуре аутентификации. Для блокирования учётной записи таким способом можно применять команду pw(8) (см. Раздел 4.1, <<Создание, изменение и удаление учётных записей>>). [В Внимание нимание] Существуют способы войти в систему без проверки пароля, например при аутентификации в ssh(1) по паре сгенерированных ключей (см. Раздел 2.7, <<Разбираться в основных рекомендов анных методах доступа [до хоста]>>). Поэтому такой способ блокирования учётной записи можно считать необходимым, но не достаточным. Кроме этого действия надо ещё сменить пользов ателю оболочку на /usr/sbin/nologin. У всех восьми упомянутых здесь пользователей пароль одинаковый ? qwerty. Однако он приведён в разных форматах. Всего мы обсудим 4 формата паролей: DES Пароль qwerty При помощи алгоритма DES шифруется в строку cuqW.GIKHV/xs. Однако было бы ошибкой дать злоумышленнику в озможность определить у кого из наших пользователей пароли сов падают, просто на основании того, что совпадают шифры. Поэтому при шифровании используется т.н. <<соль>>. В момент заведения пароля генерируется случайное число. это число в символьном виде приписыв ается к паролю и далее шифруется пароль вместе с солью. Таким образом, следующая строка: 76aSxdZIXKXfk это тоже qwerty. Алгоритм DES не является достаточно криптостойким. Современная компьютерная техника позволяет взломать эти пароли методом перебора за незначительный промежуток времени. По этой причине большинство современных UNIX-систем шифруют пароли при помощи алгоритма MD5: MD5 Пароль qwerty в формате MD5 может выглядеть следующим образом: $1$UmWRc8Kh$WyHRN96T7vQ7nZP0ChVjc/. В данном примере пароль состоит из трёх полей, разделённых знаками $: o $1$ ? Указание на алгоритм шифрования MD5; o UmWRc8Kh ? <<соль>>, которая добавляется к паролю при в ычислении MD5 суммы (см. выше, описание DES). o WyHRN96T7vQ7nZP0ChVjc/ ? собственно зашифрованный пароль. В интернете можно встретить много истерических замечаний по поводу якобы взломанного алгоритма MD5. Правда на настоящий момент такова: некие китайские(?) математики нашли алгоритм при помощи которого можно находить коллизии в MD5. Т.е. если md5(x[m])=y, то существует алгоритм по которому зная y можно найти другой x[n], такой, что md5 (x[n])=md5(x[m]). Однако, если злоумышленник знает пароль, то знание коллизии к паролю ему уже не нужно. Что касается обратимости, то алгоритм md5 по прежнему необратим, и единственный вид атаки на него, это bruteforce ? атака грубой силой, путём перебора паролей. Математики смогли снизить количество вычислений, необходимых для этой атаки на несколько порядков, однако это по прежнему актуальная бесконечность. Blowfish Алгоритм Blowfish не скомпрометирован пока ни в каком смысле. Кроме того, для его взлома нужно больше вычислений, а вероятность коллизий в нём меньше. Идентификатор $2 в начале строки пароля св идетельствует о применении данного алгоритма. Поле $04$ указывает на то, сколько проходов совершено при шифровании. (Внимание! Последняя фраза лишь догадка автора.) NT-hash Поле пароля устроено как в MD5, идентификатор алгоритма ? $3. Обратите внимание: в случае использования алгоритма NT-hash соль не генерируется и хеши одинаковых паролей одинаковы! Я не знаю устройства этого алгоритма, но результат просто отвратителен! Данный эксперимент ставился в системе FreeBSD 6.1-RELEASE. * UID ? идентификационный номер пользователя * GID ? номер основной группы, которой принадлежит пользователь. Один пользователь может быть членом разных групп, но одна из них основная. * Класс пользователя ? используется программой login(1) и другими для настройки характеристик учётной записи. С его помощью программы отыскив ают свои настройки в базе /etc/login.conf(5) и устанавливают переменные окружения или делают иные настройки (см. Приложение F, /etc/login.conf (5)). * Время (в секундах от начала UNIX эры по гринвичу) когда истечёт срок действия пароля. * Время (в секундах от начала UNIX эры по гринвичу) когда истечёт время действия учётной записи. * GECOS ? информация о пользователе: имя, место работы, рабочий и домашний телефон. Эту и другую информацию использует в работе утилита finger(1): $ finger user Login: user Name: Poluect Directory: /home/user Shell: /usr/sbin/nologin Office: a-sys, 123-4567 Home Phone: 765-4321 Never logged in. No Mail. No Plan. * Домашний каталог пользователя. * Оболочка пользователя. /etc/passwd(5) Данный файл нужен, главным образом, для совместимости. Он присутствует во в сех UNIX'ах и везде имеет одинаковую структуру. В BSD он не первичен, т.е. генерируется из файла /etc/master.passwd при помощи команды pwd_mkdb(8). В файле присутствует информация о логине пользователя, его оболочке и др. Поля разделены двоеточиями: user:*:1001:1001:Poluect,a-sys,1234567,7654321,hello_world:/home/user:/bin/csh 1. Логин. 2. В давние времена здесь писали пароль, сейчас это поле его не содержит, данный файл открыт на чтение всем. 3. UID ? идентификационный номер пользователя. 4. GID ? номер основний группы, которой принадлежит пользователь. 5. GECOS: информация о пользователе. 6. Домашний каталог пользователя. 7. Стартовая оболочка пользователя. /etc/pwd.db Бинарная база содержащая в себе несекретную часть аутентификационной информации. Создаётся из /etc/master.passwd(5) командой pwd_mkdb(8). /etc/spwd.db Бинарная база содержащая в себе секретную часть аутентификационной информации. Создаётся из /etc/master.passwd(5) командой pwd_mkdb(8). 2.12.2. /etc/login.conf(5) Данный файл является базой данных для различных программ, в том числе для программы login(1). С его помощью можно задавать переменные окружения, настройки учётных записей вроде сроков действия учётных записей, метода шифров ания и т.д. Полное описание формата этого файла можно найти в Приложение F, /etc/login.conf (5). Файл /etc/login.conf непосредственно системой не читается. После его редактиров ания надо создать бинарную базу /etc/login.conf.db при помощи команды: # cap_mkdb /etc/login.conf Поля в файле /etc/login.conf разделяются двоеточиями. В первом поле каждой записи указано для кого она предназначена. Здесь указывается <<класс>> пользов ателя (5-е поле файла master.passwd(5)). Ключевое слово default соответствует любому пользователю с ненулевым UID (т.е. не root'у). В FreeBSD и DragonFly BSD пользователи могут заводить свои собственные файлы ~/.login.conf в домашнем каталоге, где они должны указывать ключевое слово me. Пример: default:\ :passwd_format=nth:\ :copyright=/etc/COPYRIGHT:\ :welcome=/etc/motd:\ :setenv=MAIL=/var/mail/$,BLOCKSIZE=K,FTP_PASSIVE_MODE=YES:\ :path=/sbin /bin /usr/sbin /usr/bin /usr/games /usr/local/sbin /usr/local/bin /usr/X11R6/bin ~/bin:\ :nologin=/var/run/nologin:\ :cputime=unlimited:\ ............................ :umask=022: Для смены алгоритма шифрования пароля в FreeBSD следует поменять значение опции passwd_format, а в OpenBSD ? localcipher (и, возможно, ypcipher). Эти опции описаны в Приложение F, /etc/login.conf(5), их значения в Таблица 2.3, <<В озможные значения опций crypt_default (FreeBSD) и localcipher, ypcipher (OpenBSD)>> 2.12.3. /etc/auth.conf(5) В этом файле находятся умолчания, которые ипользует системная функция crypt_set_format(3). По хорошему, сюда надо записать что-то вроде: crypt_default = blf Однако при заведении новых паролей в этот файл система смотрит в последнюю очередь, и более важным окажется файл /etc/login.conf(5) (см. Приложение F, / etc/login.conf(5)). Таблица 2.3. Возможные значения опций crypt_default (FreeBSD) и localcipher, ypcipher (OpenBSD) +-----------------------------------------------------------------------------+ |Опция |Описание |OS | |----------+-----------------------------------------------------+------------| |des |DES |[BSD32-1000]| |----------+-----------------------------------------------------+------------| |md5 |MD5 |[BSD32-1100]| |----------+-----------------------------------------------------+------------| |blf |Blowfish |[BSD32-1000]| |----------+-----------------------------------------------------+------------| |nth |NT-hash |[BSD32-1000]| |----------+-----------------------------------------------------+------------| |old |DES |[BSD32-0100]| |----------+-----------------------------------------------------+------------| |newsalt, |Newsalt; rounds ? 24-битное целое, минимум 7250 |[BSD32-0100]| | |(число проходов алгоритма). | | |----------+-----------------------------------------------------+------------| |blowfish, |Blowfish; rounds ? от 4-х до 31-го (логарифм по основ|[BSD32-0100]| | |анию 2 от числа проходов алгоритма). | | +-----------------------------------------------------------------------------+ 2.12.4. /etc/passwd.conf(5) Данный файл присутствует только в NetBSD и, по смыслу похож на /etc/login.conf (5) из других систем. В файле /etc/passwd.conf хранится информация о том, какой алгоритм шифроваения для каких пользователей использовать. Например: default: localcipher = md5 ypcipher = old root: localcipher = blowfish,5 Здесь мы используем алгоритм md5 для локальных пользователей и старый des для пользователей NIS, а для root используем blowfish, который применяется к паролю 2 в 5-й степени раз (32 раза). 2.12.5. adduser(8) Утилита adduser(8) предназначена для добавления пользователей в систему. Она может работать как интерактивно, так и из скриптов. Основной утилитой по управ лению учётными записями является pw(8), она накладывает ограничение на длину пароля и т.п. Интерактивно вызванная утилита спрашивает у администратора имя пользователя, полное имя (GECOS) и др. [Замечание] Замечание Имя пользователя обычно не должно быть более 16 символов и должно состоять из букв и цифр. Эти ограничения наложены по историческим причинам, если вы хотите более длинные имена, вы можете переопределить переменную UT_NAMESIZE в и пересобрать world. Однако после этого могут быть проблемы с бинарниками скомпилированными в других системах. Кроме того, NIS предполагает, что пароли бывают только 8-ми символьные. 2.12.6. Итого: Blowfish HOWTO Суммируя сказанное выше, приведём краткое Blowfish HOWTO: как перевести базу паролей в формат Blowfish: 1. В файл /etc/login.conf(5) в секции default:\ помещаем строки: default:\ :passwd_format=blf:\ По вкусу можем добавить строк мешающих создавать простые пароли (заметим, что в этом больше смысла, чем просто в включении шифрования Blowfish): :passwordtime=48d:\ :mixpasswordcase=true:\ :minpasswordlen=10:\ :idletime=60: (см. Приложение F, /etc/login.conf(5)). 2. Перестраиваем базу: # cap_mkdb /etc/login.conf 3. В файл /etc/auth.conf(8) добавляем строку crypt_default=blf Это необязательное, но желательное действие. 4. Чтобы перекодировать пароли из текущих форматов в Blowfish, придётся заново ввести все пароли. 2.13. Смена приветствия системы Описание: Кандидат должен понимать, что приветствие системы зависить от того, каким способом пользователь получил доступ к системе и знать, какие файлы за это отвечают. Практика: motd(5), login.conf(5), gettytab(5), sshd_config(5). 2.14. Защита аутентификационных данных Описание: Для предотвращения атак против системы путём взлома базы паролей, системы BSD хранят эти данные в шифрованном виде доступными только системным процессам. BSDA кандидат должен понимать где хранятся эти данные и какие на них должны быть пермиссии (права доступа). Практика: passwd(5), pwd_mkdb(8) Глава 3. Файлы, файловые системы и диски Содержание [-]3.1. Монтирование и размонтирование файловых систем [-]3.2. Конфигурирование NFS [-]3.3. Определение какие файловые системы смонтированы и какие будут смонтиров аны при загрузке [-]3.4. Определять ёмкость диска и какие файлы занимают больше места [-]3.5. Создание и просмотр символических и жёстких ссылок [-]3.6. Просмотр и изменение ACL [-]3.7. Просмотр и изменение пермиссий с использованием как символьных, так и в осьмеричных мод [-]3.8. Изменение владельца файла и группы [-]3.9. Резервное копирование и восстановление файлов и директорий на локальный диск или ленту [-]3.10. Резервное копирование и восстановление файловой системы [-]3.11. Знание структуры каталогов системы [-]3.12. Ручной запуск программы проверки файловой системы и средств её в осстановления [-]3.13. Определение и изменение флагов файлов [-]3.14. Слежение за состоянием виртуальной памяти системы 3.1. Монтирование и размонтирование файловых систем Описание: Кандидат BSDA должен свободно ориентироваться в проблемах монтиров ания и размонтирования локальных файловых систем, включая: как смонтировать/ размонтировать конкретную файловую систему, как смонтировать все файловые системы, как сконфигурировать систему для монтирования файловой системы при загрузке. Передача опций команде mount(8), и разрешение ошибок возникших при в ыполнении mount(8). Практика: mount(8), umount(8), fstab(5) 3.2. Конфигурирование NFS Описание: Кандидат BSDA должен быть знаком с утилитами связанными с NFS и знать о проблемах с безопасностью, которые могут возникнуть при открытии RPC через брандмауэр. Кандидат должен уметь конфигурировать NFS сервер или клиент в соответствии с указанными требованиями к доступности данных. Практика: exports(5), nfsd(8), mountd(8), rpcbind(8) или portmap(8), rpc.lockd (8), rpc.statd(8), rc.conf(5) и mount_nfs(8) 3.3. Определение какие файловые системы смонтированы и какие будут смонтированы при загрузке Описание: Кандидат должен уметь определять какие файловые системы смонтированы и какие будут смонтированы при загрузке. Практика: mount(8), du(1), fstab(5) 3.4. Определять ёмкость диска и какие файлы занимают больше места Описание: Кандидат BSDA должен уметь работать с UNIX утилитами для быстрого определения какой файл занял много места на жёстком диске. Практика: du(1), df(1), find(1), sort(1), systat(1) 3.5. Создание и просмотр символических и жёстких ссылок Описание: Кандидат должен знать разницу между символьными и жёсткими ссылками, как их создавать просматривать и удалять. Кандидат должен уметь временно разрешить проблему с нехваткой дискового пространства через использование симв ольных ссылок. Практика: ln(1), ls(1), rm(1), stat(1) 3.6. Просмотр и изменение ACL Описание: Кандидат BSDA должен уметь определить использует ли FreeBSD ACL и если да, то на каких файловых системах. Кандидат должен уметь просматривать и изменять файловые ACL на FreeBSD. Практика: mount(8), ls(1), getfacl(1) 3.7. Просмотр и изменение пермиссий с использованием как символьных, так и в осьмеричных мод Описание: Ожидается, что кандидат BSDA знаком с традиционными UNIX пермиссиями включая: как просмотреть и изменить пермиссии, почему sticky-bit важен на каталоге /tmp и других каталогах общего пользования, определять и использовать SUID и SGID биты, понимать разницу между символьным и восьмеричным представ лением пермиссий. Вдобавок кандидат должен понимать откуда оболочка берёт умолчальные пермиссии для вновь создаваемых файлов и каталогов, по заданному значению umask определять с какими пермиссиями будет создан файл. Практика: ls(1), chmod(1), umask(1) или (2) 3.8. Изменение владельца файла и группы Описание: Кандидат BSDA должен уметь сменить владельца файла как требуется. Кандидат должен понимать как важно проверить кем он является в системе, до того как создать файл. Практика: chown(8), chgrp(1); su(1), mtree(8) 3.9. Резервное копирование и восстановление файлов и директорий на локальный диск или ленту Описание: Кандидат должен иметь опыт работы с распространёнными в UNIX утилитами командной строки для резервного копирования. Кандидат должен знать имена устройств для ленточных ностителей. Практика: tar(1), cpio(1), pax(1), cp(1), cpdup(1) 3.10. Резервное копирование и восстановление файловой системы Описание: Кандидат должен разбираться в утилитах используемых для резервного копирования всей файловой системы в целом и различных уровнях утилиты dump(1). Практика: dump(8), restore(8), dd(1) 3.11. Знание структуры каталогов системы Описание: Кандидат BSDA должен быстро ориентироваться в структуре каталогов системы BSD. Практика: hier(7) 3.12. Ручной запуск программы проверки файловой системы и средств её восстанов ления Описание: Кандидат BSDA должен знать утилиты для проверки содержимого файловой системы и использовать их. Практика: fsck(8) 3.13. Определение и изменение флагов файлов Описание: Кандидат BSDA должен понимать как флаги расширяют традиционные пермиссии UNIX и знать как посмотреть и изменить флаги неизменяемости, "дописыв аемости" и неудаляемости (immutable, append-only, undelete). Практика: ls(1), chflags(1) 3.14. Слежение за состоянием виртуальной памяти системы Описание: Виртуальная память имеет важное значение для производительности системы. Кандидат BSDA должен уметь конфигурировать устройство swap и следить за его использованием. Практика: pstat(8), systat(1), top(1), vmstat(8); swapctl(8), swapinfo(8) Глава 4. Пользователи и управление учётными записями Содержание [*]4.1. Создание, изменение и удаление учётных записей [*]4.1.1. Введение [*]4.1.2. Добавление пользователя [*]4.1.3. Изменение параметров пользовательской учётной записи [*]4.1.4. Удаление учётной записи [*]4.2. Создание системных учётных записей [-]4.3. Отключение или включение учётной записи (lock и unlock) [-]4.4. Идентификация и членство в группах [-]4.5. Определение кто сейчас присутствует в системе или последнего времени в хода в систему [-]4.5.1. finger(1) [-]4.6. Включение слежения за учётными записями и просмотр статистики [-]4.7. Изменение пользовательской оболочки [-]4.8. Контролировать какие файлы будут копироваться в новую пользовательскую директорию при создании учётной записи [-]4.9. Смена пароля 4.1. Создание, изменение и удаление учётных записей Описание: Важная часть системного администрования ? манипулирование учётными записями. Кандидат BSDA должен быть знаком с различными утилитами для манипулирования учётными записями и уметь использовать их в соответствии с поставленными задачами. Практика: vipw(8); pw(8), adduser(8), adduser.conf(5), useradd(8), userdel(8), rmuser(8), userinfo(8), usermod(8), и user(8) Комментарий [Замечание] Замечание Данный текст прислан Дмитрием Орловым, но подвергся моей незначительной редактуре. Е.М. После установки системы требуется перейти к задаче управления локальными пользо вателями системы. Даже в том случае, если вы единственный пользователь, системы семейства BSD настоятельно рекомендуют завести некоего пользователя и пользов аться привилегированным аккаунтом при помощи команды su(8), что предохранит вас от неожиданного разрушения собственной системы. Существует другая крайность, это создание множества пользователей с административными правами, что может при вести как минимум к нестабильности системы, к ее вскрытию злоумышленниками или даже разрушению. 4.1.1. Введение Можно выделить три основных типа учётных записей: суперпользователь, системные пользователи, и учётные записи пользователей. Учётная запись суперпользователя, обычно называемая root, используется для управления системой без ограничения привилегий. Системные пользователи запускают сервисы и, как правило, не могут в ходить (login) в систему. Учётные записи пользователей необходимы остальным для входа в систему, чтения почты, работы с документами, создания приложений и так далее. С каждой учётной записью в системе *BSD связана определённая идентификационная информация: Имя пользователя Имя пользователя в том виде, в каком оно вводится в приглашение login:. Имена пользователей должны быть уникальны в пределах одного компьютера; не может быть двух пользователей с одинаковым именем пользователя. Существует множество правил для создания правильных имён пользователей, документиров анных в passwd(5); вы как правило будете использовать имена пользователей, состоящие из восьми или меньшего количества символов, все символы в нижнем регистре. Вообще-то это не является какой-то догмой. Но некоторый софт расчитывает, что на имя пользователя наложены некоторые ограничения. Так, старые реализации системы NIS расчитывали, то имя пользователя состоит не более чем из восьми символов. В настоящий момент вы можете не соблюдать это ограничение. Почтовая система sendmail(8) при доставке почты переводит симв олы в нижний регистр. Поэтому пользователь в имени которого есть буквы из в ерхнего регистра будет лишён почты. Многие файловые форматы расчитывают на то, что в имени нет двоеточия и т.п. Если по каким-то причинам вы хотите, чтобы в имени были большие буквы, точки и т.п. Вам надо подумать над архитектурой програмного обеспечения. Например, если вы хотите, чтобы в в ашем домене существовали электронные адреса типа Mikhail.Kutuzov@borodino.ru, вам слеует хранить почтовые аккаунты, например, в базе данных PostgreSQL, а не в виде учётных записей UNIX. Пароль С каждой учётной записью связан пароль. Пароль может быть пустым, в этом случае для доступа к системе не нужен пароль. Обычно это очень плохая идея; у каждой учётной записи должен быть пароль. ID пользователя (User ID, UID) The UID это номер, традиционно от 0 до 65535, используемый для однозначной идентификации пользователя в системе. Сама система *BSD для идентификации пользователей использует UID ? любая команда *BSD, позволяющая вам указыв ать имя пользователя, первым делом преобразует его к UID. Это означает, что вы можете создать несколько учётных записей с различными именами пользов ателей, но с одним UID. *BSD будет воспринимать эти учётные записи как одного пользователя. Например, в системе FreeBSD имеются учётные записи root и toor с одинаковым UID=0. Вы можете заблокировать логин пользователя root, но при необходимости ходить в систему как toor и иметь при этом права суперпользователя. Это плохая идея с точки зрения безопасности, однако в озможность такая есть. Кроме того, многие характеристики учётных записей, такие как оболочка, домашний каталог и даже почтовый spool, привязаны не к UID а именно к имени. Таким образом, имея альтернативные имена для одного пользователя вы можете иметь альтернативные пароли, оболочки и пр. при одинаковом наборе прав. ID группы (Group ID, GID) GID это номер, традиционно от 0 до 65535, используемый для однозначной идентификации главной группы, к которой принадлежит пользователь. Группы это механизм для контроля доступа к ресурсам на основе GID пользователя в место его UID. Это может значительно уменьшить размер некоторых файлов настройки. Кроме того, пользователь может быть включен более чем в одну группу. Класс логина Классы логинов это расширение к механизму групп, позволяющее системе более гибко управлять различными пользователями. Например, ограничение использов ания ресурсов системы (login.conf(5), passwd(5), см. так же Приложение F, / etc/login.conf(5)). Время изменения пароля По умолчанию *BSD не принуждает пользователей периодически менять пароли. В ы можете включить эту функцию для определённых пользователей, заставив некоторых или всех пользователей менять пароли по прошествии некоторого в ремени. Время истечения действия учетной записи По умолчанию в *BSD время действия учётных записей не ограничено. Если вы создаёте учётные записи, продолжительность жизни которых ограничена, например учётные записи для студентов в школе, вы можете определить время истечения действия учётной записи. После наступления этого времени учётная запись не может использоваться для входа в систему, хотя каталоги и файлы этой учётной записи останутся нетронутыми. Полное имя пользователя Имя пользователя является уникальным идентификатором учётной записи в *BSD, но недостаточно для сопоставления с реальным именем пользователя. Спустя некоторое время после заведения учётной записи с именем vjhe56 вы уже не в спомните кто это такой. Реальное имя и другая информация может быть добав лена в виде так называемой GECOS information в базу учётных записей. Это необязательное действие. Домашний каталог Домашний каталог это полный путь к каталогу в системе, в котором пользов атель начнёт работать после входа в систему. По общепринятому соглашению в се домашние каталоги пользователей помещаются в /home/username. Пользов атели хранят личные файлы в домашнем каталоге и в любых подкаталогах, созда ваемых внутри домашнего каталога. Оболочка пользователя Оболочка необходима пользователям как средство взаимодействия с системой по умолчанию. Существует множество различных видов оболочек, опытные пользов атели работают с собственными настройками, которые могут быть отражены в установках их учетных записей. 4.1.2. Добавление пользователя Самый простой и интерактивный способ добавить нового пользователя, это использо вать команду adduser(8) (нет в NetBSD). Пример использования adduser(8). (Скопировано из OpenBSD FAQ). # adduser Use option ``-silent'' if you don't want to see all warnings and questions. Reading /etc/shells Reading /etc/login.conf Check /etc/master.passwd Check /etc/group Ok, let's go. Don't worry about mistakes. I will give you the chance later to correct any input. Enter username []: testuser Enter full name []: Test FAQ User Enter shell csh ksh nologin sh [sh]: ksh Uid [1002]: Enter Login group testuser [testuser]: guest Login group is ``guest''. Invite testuser into other groups: guest no [no]: no Login class auth-defaults auth-ftp-defaults daemon default staff [default]: Enter password []: <Набираете пароль и нажимаете Enter> Enter password again []: <Набираете пароль и нажимаете Enter> Name: testuser Password: **** Fullname: Test FAQ User Uid: 1002 Gid: 31 (guest) Groups: guest Login Class: default HOME: /home/testuser Shell: /bin/ksh OK? (y/n) [y]: y Added user ``testuser'' Copy files from /etc/skel to /home/testuser Add another user? (y/n) [y]: n Goodbye! Значения по умолчанию для adduser(8) можно создать в файле /etc/adduser.conf # adduser -config_create Вот пример файла /etc/adduser.conf: # Конфигурационный файл для утилиты adduser(8). # ЗАМЕЧАНИЕ: only *some* variables are saved. # Последнее изменение Fri Mar 30 14:04:05 EST 2004. defaultLgroup= defaultclass= defaultgroups= passwdtype=yes homeprefix=/home defaultshell=/bin/csh udotdir=/usr/share/skel msgfile=/etc/adduser.msg disableflag= upwexpire=91d # Срок годности паролей истекает через 91 день Скрипт adduser(8) вначале читает /etc/group, /etc/passwd, /etc/shells и другие конфигурационные файлы на предмет целостности и инициализации значений по умолчанию, а так же получения допустимых значений. Добавляет домашнюю директорию и создает пользователя, а так же заносит его в требуемые группы. Интересующиеся тонкостями могут просмотреть сам скрипт /usr/sbin/adduser. В OpenBSD и NetBSD в командной строке пользователя можно дабавить при помощи утилиты user(8). Метод достаточно прост и полезен для использования в сценариях. Следует только учитывать, когда заводится пользователь данной командой, то используется УЖЕ шифрованный пароль. Таким образом, для в ышеописанного пользователя мы получаем следующую последовательность действий (пример сделан в OpenBSD): # encrypt -p -b 6 Enter string: $2a$06$YOdOZM3.4m6MObBXjeZtBOWArqC2.uRJZXUkOghbieIvSWXVJRzlq # user add -p '$2a$06$YOdOZM3.4m6MObBXjeZtBOWArqC2.uRJZXUkOghbieIvSWXVJRzlq' -u 1002 \ -s /bin/ksh -c "Test FAQ User" -m -g guest testuser В FreeBSD и DragonFly BSD для этих целей используется утилита pw(8) 4.1.3. Изменение параметров пользовательской учётной записи BSD системы поддерживают <<классический>>, древнейший способ изменения пользов ательской информации ? vipw(8).Использование этой утилиты весьма удобно, так как после рабоиы vipw(8) проверяет синтаксис файла и, если администратор не сов ершил никаких ошибок, обновляет данные в файле /etc/master.passwd, строит из него /etc/passwd и бинарные базы /etc/pwd.db и /etc/spwd.db. (См. Раздел 2.12.1, <<Устройство базы паролей>>.) Однако, этот способ следует рекомендовать лишь в том случае, если вы понимаете формат файла /etc/master.passwd. Поэтому начинающие и ине только начинающие администраторы используют команду chpass(1). При запуске chpass(1) запускает редактор vi(1) (см. Раздел 7.3, <<Навыки работы в vi(1)>>) и предлагает изменить следующие настройки учётной записи: # chpass testuser Changing user database information for testuser. Login: testuser Encrypted password:$2a$06$YOdOZM3.4m6MObBXjeZtBOWArqC2.uRJZXUkOghbieIvSWXVJRzlq Uid [#]: 1002 Gid [# or name]: 31 Change [month day year]: Expire [month day year]: Class: Home directory: /home/testuser Shell: /bin/ksh Full Name: Test FAQ User Office Location: Office Phone: Home Phone: В случе если команда вызвана непривилегированным поьзователем, она позволяет изменить информацию только в рамках полномочий пользователя: $ chpass #Changing user information for paakai. Shell: /usr/local/bin/bash Full Name: Paakai Sudoer Office Location: Office Phone: Home Phone: Other information: После успешного изменения информации о пользователе, chpass(8) вызывает pwd_mkdb(8) для актуализации изменений в базах данных пользователей (/etc/ master.passwd и /etc/passwd). Другие, команды для изменения информации о пользователях: user mod, usermod, pw usermod. 4.1.4. Удаление учётной записи Быстро и эффективно удалить пользователя можно с помощью команды rmuser(8). rmuser(8) старается удалить всё, относящееся к указанному пользователю: домашнюю директорию, письма, задачи в crontab(1)/at(1), уничтожает запущенные процессы этого пользователя, созданные им временные файлы в /tmp и, разумеется, удаляет его из /etc/master.passwd и /etc/group. # rmuser Enter login name for user to remove: testuser Matching password entry: testuser:$2a$06$YOdOZM3.4m6MObBXjeZtBOWArqC2.uRJZXUkOghbieIvSWXVJRzlq:1002 :31::0:0:Test FAQ User:/home/testuser:/bin/ksh Is this the entry you wish to remove? y Remove user's home directory (/home/testuser)? y Updating password file, updating databases, done. Updating group file: done. Removing user's home directory (/home/testuser): done. Для удаления пользователя так же можно вопользоваться командами: userdel, user del, pw userdel. К сожалению, в UNIX (да и вообще, наверное ни в одной операционной системе) не существует абсолютно надёжного метода удалить пользователя. Никто не может гарантировать вам, что этот пользователь не прикопал своих файлов где-то вне св оего домашнего каталога. Что никто не выдал ему прав на ресурсы используя метод ACL. rmuser(8) не в силах удалить связанные с пользователем почтовые алиасы. Если спустя время вы заведёте нового пользователя, то ему может быть выдан UID старого пользователя и он завладеет брошенными файлами. Если имя нового пользов ателя совпадёт с именем удалённого, то он завладеет почтовыми алиасами и др. В связи со сказанным, в ряде случаев блокирование пользователей оказывается более желательно, чем удаление их учётных записей. 4.2. Создание системных учётных записей Описание: Кандидат должен понимать, что многие сервисы требуют учётных записей и что эти записи должны быть недоступны для логина. Практика: nologin(8); использование * в поле пароля в passwd(5) Комментарий [Замечание] Замечание Данный текст прислан Дмитрием Орловым, спасибо. Системные пользователи создаются для запусков сервисов (демонов), таких как DNS, почта, веб-серверы и так далее, и не могут быть использованы для входа в систему. Это необходимо по соображениям безопасности: если сервис работает с правами суперпользователя, он может действовать без ограничений, а значит, в случае взлома сервиса злоумыленником, последний получает полный контроль над атакованной системой. nobody это классический непривилегированный системный пользователь. Тем не менее, необходимо помнить, что чем больше сервисов используют nobody, тем больше файлов и процессов ассоциировано с этим пользователем, и следовательно тем больше прав появляется у этого пользователя. Для системных пользователей в качестве оболочки указывается /sbin/nologin, который при попытке входа в систему, выдаёт сообщение "This account is currently not available", или же то, которое вы укажите в файле /etc/ nologin.txt (например, "Daemons are deathless"). Если же при помощи vipw(8) в место пароля указать "*", то мы не получим даже такого политкорректного nologin сообщения, нам сразу скажут ? "Login incorrect". 4.3. Отключение или включение учётной записи (lock и unlock) Описание: Кандидат BSDA должен знать как определить включены ли учётная запись и как её включить. Практика: vipw(8); chpass(1), chfn(1), chsh(1), pw(8), user(8) 4.4. Идентификация и членство в группах Описание: В системе пермиссий UNIX важно уметь определить кем вы являетесь и каково ваше членство в группах. Кандидат должен это уметь. Практика: id(1), groups(1), who(1), whoami(1), su(1) 4.5. Определение кто сейчас присутствует в системе или последнего времени входа в систему Описание: Системы BSD поддерживают базы данных с детальной информацией о логинах. Кандидат BSDA должен знать что это за базы, где они хранятся и какими утилитами можно воспользоваться, чтобы получить информацию о логинах. Практика: wtmp(5), utmp(5), w(1), who(1), users(1), last(1), lastlogin(8), lastlog(5), finger(1) 4.5.1. finger(1) 4.6. Включение слежения за учётными записями и просмотр статистики Описание: Кандидат BSDA должен быть осведомлён когда следует включить систему сбора статистики об учётных записях (accaunting), знать какие для этого нужны утилиты и как просматривать собранную статистику. Практика: ac(8), sa(8), accton(8), lastcomm(1), last(1) 4.7. Изменение пользовательской оболочки Описание: Кандидат должен знать какая оболочка по умолчанию у пользователя и у суперпользователя. Он должен знать как сменить оболочку в каждой из операционных систем. Практика: vipw(8); chpass(1), chfn(1), chsh(1), pw(8), user(8) 4.8. Контролировать какие файлы будут копироваться в новую пользовательскую директорию при создании учётной записи Описание: Системы BSD используют каталог skel содержащий файлы, которые должны быть скопированы при создании домашнего каталога пользователя при заведении учё тной записи. Кандидат BSDA должен знать где в какой системе находиться данный каталог и как отменить его копирование при создании учётной записи. Практика: pw(8), adduser.conf(5), useradd(8) и usermgmt.conf(5) 4.9. Смена пароля Описание: Кандидат BSDA должен уметь сменить свой пароль и пароль пользов ателя. Практика: passwd(1), vipw(8) Глава 5. Основы системного администрирования Содержание [-]5.1. Определение какой процесс расходует основную часть ресурсов ЦПУ [-]5.2. Определять активные процессы и посылать им сигналы [-]5.3. Использование скриптов rc(8) для определения запущенных сервисов, их запуск, остановка и перезапуск [*]5.4. Определение установленного оборудования и его конфигурирование [+]5.4.1. Утилита dmesg(8) [-]5.5. Определение какие модули ядра загружены, их загрузка и выгрузка [-]5.6. Изменение на лету переменных ядра [-]5.7. Изучение состояния програмного RAID'а (mirror or stripe) [-]5.8. Определение какой MTA используется системой [-]5.9. Конфигурирование системы ведения системных журналов [-]5.10. Просмотр журналов для разрешения проблем и слежения за поведением системы [-]5.11. Понимание основных проблем с принтером [-]5.12. Создание или изменение почтовых псевдонимов в Sendmail и Postfix [-]5.13. Остановка, перезагрузка или перевод системы в однопользовательский режим [-]5.14. Отличие жёстких ограничений от мягких и изменение существующих системных ограничений [-]5.15. Знание утилит BSD для регулировки трафика и контроля за полосой пропускания [-]5.16. Знание распространённых конфигурационных системных файлов и, возможно, сторонних конфигурационных файлов различных сервисов [-]5.17. Конфигурирование сервисов для автоматического старта при запуске системы [-]5.17.1. Система инициализации BSD [-]5.17.2. Суперсервер inetd(8) [-]5.18. Конфигурирование скриптов, нужных для различных задач по обслуживанию системы, для периодического запуска [-]5.19. Просмотр очереди Sendmail'а или Postfix'а [-]5.20. Определение когда последний раз была запущена система и какова её загруженность [-]5.21. Слежение за операциями ввода/вывода на диске [-]5.22. Работа с занятыми устройствами [-]5.23. Определение информации характеризующей операционную систему [-]5.24. Понимание преимуществ использования лицензии BSD 5.1. Определение какой процесс расходует основную часть ресурсов ЦПУ Описание: Кандидат BSDA должен уметь следить за работой процессов и заметить ненормально высокую загруженность CPU. Кандидат должен уметь завершить процесс или изменить его приоритет. Практика: top(1), systat(1), ps(1), nice(1), renice(1), kill(1) 5.2. Определять активные процессы и посылать им сигналы Описание: Кандидат должен знать названия и номера наиболее употребляемых в UNIX'е сигналов и знать как послать сигнал активному процессу. Кандидат должен знать разницу между SIGTERM и SIGKILL. Практика: ps(1); kill(1); killall(1); pkill(1); pgrep(1) 5.3. Использование скриптов rc(8) для определения запущенных сервисов, их запуск, остановка и перезапуск Описание: В дополнении к тому, чтобы знать как непосредственно послать сигнал процессу, кандидат BSDA должен знать, что системы BSD поставляют скрипты, которые могут быть использованы для того, чтобы проверить состояние процесса, остановить, запустить или перезапустить процесс. Кандидат должен знать где в какой системе находятся эти скрипты. Эта тема не относится к OpenBSD. Практика: rc(8), rc.conf(5) 5.4. Определение установленного оборудования и его конфигурирование Описание: Операционные системы BSD поставляются со множеством утилит для определения установленного оборудования. Кандидат BSDA должен знать как определить какое оборудование было обнаружено при загрузке и какие специфичные для BSD утилиты могут быть использованы для разрешения проблем и манипулиров ания PCI, ATA и устройствими SCSI. Практика: dmesg(8), /var/run/dmesg.boot, pciconf(8), atacontrol(8) и camcontrol (8); atactl(8) и /kern/msgbuf; scsictl(8) или scsi(8) Комментарий 5.4.1. Утилита dmesg(8) Утилита dmesg(8) предназначена для вывода на экран последних сообщений ядра. В процессе загрузки операционной системы ядро определяет оборудование. Информация об этом может быть найдена при помощи данной утилиты. Однако в процессе работы системы информация помещённая в dmesg(8) может быть вытеснена новыми сообщениями ядра. Чтобы всегда иметь доступ к начальним, <<загрузочным>> сообщениям ядра, мы можем обратиться к файлу /var/run/dmesg.boot. Так же сегодняшний и вчерашний журнал сообщений ядра можно найти в файлах /var/log/ dmesg.today и /var/log/dmesg.yesterday соответственно. Copyright (c) 1992-2008 The FreeBSD Project. Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. FreeBSD is a registered trademark of The FreeBSD Foundation. FreeBSD 7.0-RELEASE #0: Fri Feb 29 12:05:47 MSK 2008 root@ws-505-287.infosec.ru:/usr/obj/usr/src/sys/GENERIC Timecounter "i8254" frequency 1193182 Hz quality 0 CPU: Intel(R) Celeron(R) CPU 2.40GHz (2394.01-MHz 686-class CPU) Origin = "GenuineIntel" Id = 0xf34 Stepping = 4 Features=0xbfebfbff Features2=0x441d real memory = 502464512 (479 MB) avail memory = 477736960 (455 MB) ACPI APIC Table: ioapic0 irqs 0-23 on motherboard kbd1 at kbdmux0 kqemu version 0x00010300 kqemu: KQEMU installed, max_locked_mem=238924kB. ath_hal: 0.9.20.3 (AR5210, AR5211, AR5212, RF5111, RF5112, RF2413, RF5413) hptrr: HPT RocketRAID controller driver v1.1 (Feb 29 2008 12:05:13) acpi0: on motherboard acpi0: [ITHREAD] acpi0: Power Button (fixed) acpi0: reservation of 0, a0000 (3) failed acpi0: reservation of 100000, 1def0000 (3) failed Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000 acpi_timer0: <24-bit timer at 3.579545MHz> port 0x808-0x80b on acpi0 cpu0: on acpi0 p4tcc0: on cpu0 pcib0: port 0xcf8-0xcff on acpi0 pci0: on pcib0 vgapci0: port 0xefe0-0xefe7 mem 0xf0000000-0xf7ffffff,0xfe780000-0xfe7fffff at device 2.0 on pci0 agp0: on vgapci0 agp0: detected 32636k stolen memory agp0: aperture size is 128M uhci0: port 0xef00-0xef1f irq 16 at device 29.0 on pci0 uhci0: [GIANT-LOCKED] uhci0: [ITHREAD] usb0: on uhci0 usb0: USB revision 1.0 uhub0: on usb0 uhub0: 2 ports with 2 removable, self powered uhci1: port 0xef20-0xef3f irq 19 at device 29.1 on pci0 uhci1: [GIANT-LOCKED] uhci1: [ITHREAD] usb1: on uhci1 usb1: USB revision 1.0 uhub1: on usb1 uhub1: 2 ports with 2 removable, self powered uhci2: port 0xef40-0xef5f irq 18 at device 29.2 on pci0 uhci2: [GIANT-LOCKED] uhci2: [ITHREAD] usb2: on uhci2 usb2: USB revision 1.0 uhub2: on usb2 uhub2: 2 ports with 2 removable, self powered uhci3: port 0xef80-0xef9f irq 16 at device 29.3 on pci0 uhci3: [GIANT-LOCKED] uhci3: [ITHREAD] usb3: on uhci3 usb3: USB revision 1.0 uhub3: on usb3 uhub3: 2 ports with 2 removable, self powered ehci0: mem 0xfe77bc00-0xfe77bfff irq 23 at device 29.7 on pci0 ehci0: [GIANT-LOCKED] ehci0: [ITHREAD] usb4: EHCI version 1.0 usb4: companion controllers, 2 ports each: usb0 usb1 usb2 usb3 usb4: on ehci0 usb4: USB revision 2.0 uhub4: on usb4 uhub4: 8 ports with 8 removable, self powered pcib1: at device 30.0 on pci0 pci1: on pcib1 fxp0: port 0xdf00-0xdf3f mem 0xfe5ff000-0xfe5fffff irq 20 at device 8.0 on pci1 miibus0: on fxp0 inphy0: PHY 1 on miibus0 inphy0: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, auto fxp0: Ethernet address: 00:11:d8:12:79:a8 fxp0: [ITHREAD] isab0: at device 31.0 on pci0 isa0: on isab0 atapci0: port 0x1f0-0x1f7,0x3f6,0x170-0x177,0x376,0xfc00-0xfc0f at device 31.1 on pci0 ata0: on atapci0 ata0: [ITHREAD] ata1: on atapci0 ata1: [ITHREAD] atapci1: port 0xefa8-0xefaf,0xefa4-0xefa7,0xef68-0xef6f,0xefa0-0xefa3,0xeed0-0xeedf irq 18 at device 31.2 on pci0 atapci1: [ITHREAD] ata2: on atapci1 ata2: [ITHREAD] ata3: on atapci1 ata3: [ITHREAD] pci0: at device 31.3 (no driver attached) pci0: at device 31.5 (no driver attached) acpi_button0: on acpi0 atkbdc0: port 0x60,0x64 irq 1 on acpi0 atkbd0: irq 1 on atkbdc0 kbd0 at atkbd0 atkbd0: [GIANT-LOCKED] atkbd0: [ITHREAD] sio0: configured irq 4 not in bitmap of probed irqs 0 sio0: port may not be enabled sio0: configured irq 4 not in bitmap of probed irqs 0 sio0: port may not be enabled sio0: <16550A-compatible COM port> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0 sio0: type 16550A sio0: [FILTER] sio1: configured irq 3 not in bitmap of probed irqs 0 sio1: port may not be enabled sio1: configured irq 3 not in bitmap of probed irqs 0 sio1: port may not be enabled sio1: <16550A-compatible COM port> port 0x2f8-0x2ff irq 3 on acpi0 sio1: type 16550A sio1: [FILTER] fdc0: port 0x3f0-0x3f5,0x3f7 irq 6 drq 2 on acpi0 fdc0: [FILTER] fd0: <1440-KB 3.5" drive> on fdc0 drive 0 pmtimer0 on isa0 ppc0: at port 0x378-0x37f irq 7 on isa0 ppc0: SMC-like chipset (ECP/EPP/PS2/NIBBLE) in COMPATIBLE mode ppc0: FIFO with 16/16/9 bytes threshold ppbus0: on ppc0 ppbus0: [ITHREAD] plip0: on ppbus0 lpt0: on ppbus0 lpt0: Interrupt-driven port ppi0: on ppbus0 ppc0: [GIANT-LOCKED] ppc0: [ITHREAD] sc0: at flags 0x100 on isa0 sc0: VGA <16 virtual consoles, flags=0x300> vga0: at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0 ums0: on uhub1 ums0: 3 buttons and Z dir. Timecounter "TSC" frequency 2394009873 Hz quality 800 Timecounters tick every 1.000 msec hptrr: no controller detected. acd0: CDROM at ata0-master UDMA33 ad4: 76319MB at ata2-master SATA150 Trying to mount root from ufs:/dev/ad4s2a Данный листинг показывает список устройств обнаруженных при старте системы. Каждая строка в этом листинге начинается с имени устройства с номером. Устройст ва в BSD называются по имени дрйвера, поэтому информацию о том или ином устройстве можно получить с соответствующей страницы man(1): $ man 4 ums Таким образом, можно получить детальную информацию о типе устройства и наборе чипсетов поддерживаемых подгруженным драйвером. 5.5. Определение какие модули ядра загружены, их загрузка и выгрузка Описание: Кандидат BSDA должен понимать разницу между статически скомпилиров анным ядром и ядром использующим подгружаемые модули. Кандидат должен уметь просматривать список загруженных модулей, загружать и выгружать модули, однако он должен знать, что в системах NetBSD и OpenBSD использование модулей ядра не одобряется. Практика: kldstat(8), kldload(8), kldunload(8), и loader.conf(5); modstat(8), modload(8), modunload(8), и lkm.conf(5) 5.6. Изменение на лету переменных ядра Описание: Системы BSD используют переменные ядра MIB, что позволяет системному администратору просматривать и изменять состояние ядра на работающей системе. Кандидат должен уметь изменять эти переменные как на лету во время работы системы, так и постоянно, выставляя начальные значения действующие в момент загрузки системы. Кандидат должен понимать как изменить переменную MIB доступную только для чтения. Практика: sysctl(8), sysctl.conf(5) 5.7. Изучение состояния програмного RAID'а (mirror or stripe) Описание: В дополнении к тому, что системы BSD предоставляют драйвера к аппаратным RAID контроллерам, BSD предоставляет встроенный програмный RAID. Кандидат должен знать разницу между RAID уровня 0, 1, 3 и 5 и какие утилиты доступны в различных системах BSD для конфигурирования програмного RAID'а. Практика: vinum(8), gmirror(8), gstripe(8), graid3(8), raidctl(8), ccdconfig(8) 5.8. Определение какой MTA используется системой Описание: Кандидат BSDA должен понимать роль MTA, определять какой(ие) MTA доступен(ны) во время установки системы, какой конфигурационный файл указывает на то, какой MTA используется системой. Кандидат должен знать разницу между форматами хранения почты mailbox и maildir. Практика: mailer.conf 5.9. Конфигурирование системы ведения системных журналов Описание: Кандидат BSDA должен знать, что система автоматически создаёт и манипулирует множеством журнальных файлов. Кандидат должен уметь настраивать ротацию журнальных файлов по времени или размеру, понимать термины <<средство>> и <<важность>>, смотреть сжатые журнальные файлы. (К сожалению, в русском языке закрепилась традиция перевода термина syslog facilities как средства syslog. Перевод крайне неудачный, но такова традиция ? прим. переводчика.) Практика: newsyslog(8), newsyslog.conf(5), syslog.conf(5), zmore(1), bzcat(1) 5.10. Просмотр журналов для разрешения проблем и слежения за поведением системы Описание: Кандидат должен знать насколько важно регулярно просматривать журнальные файлы и как просматривать их во время решения проблем. Практика: tail(1), /var/log/*, syslog.conf(5), grep(1), dmesg(8) 5.11. Понимание основных проблем с принтером Описание: Кандидат BSDA должен уметь просмотреть очередь печати и манипулиров ать заданиями в очереди. Кандидат должен понимать значение первых двух полей в файле /etc/printcap. Практика: lpc(8), lpq(1), lprm(1), printcap(5) 5.12. Создание или изменение почтовых псевдонимов в Sendmail и Postfix Описание: Кандидат BSDA должен понимать когда надо создать почтовый псевдоним (алиас) и как это сделать в Sendmail и в Postfix Практика: newaliases(1), aliases(5), postaliases(1) 5.13. Остановка, перезагрузка или перевод системы в однопользовательский режим Описание: Кандидат BSDA должен понимать последствия связанные с остановкой, перезагрузкой ли переводом системы в однопользовательский режим, понимать когда это необходимо и как минимизировать при этом воздействие на сервер. Практика: shutdown(8) 5.14. Отличие жёстких ограничений от мягких и изменение существующих системных ограничений Описание: Кандидат должен понимать, что ограничения ресурсов наследуются от оболочки и уметь изменять их постоянно или временно. Кандидат должен понимать разницу между мягким и жёстким ограничением. Практика: limit(1), limits(1), login.conf(5), sysctl(8) на NetBSD 5.15. Знание утилит BSD для регулировки трафика и контроля за полосой пропускания Описание: Кандидат должен понимать когда следует создать политики для контроля ширины полосы пропускания для доступа к некоторым сервисам. Кандидат должен знать какие средства доступны для контроля ширины полос пропускания. Практика: ipfw(8), altq(4), dummynet(4), altq(9), altqd(8), altq.conf(5) 5.16. Знание распространённых конфигурационных системных файлов и, возможно, сторонних конфигурационных файлов различных сервисов Описание: Системы BSD часто используют для предоставления услуг Интернет. Кандидата BSDA могут попросить найти, рассмотреть и сделать какие-нибудь изменения в конфигурационных файлах каких-нибудь сервисов. Кандидат должен знать как называются конфигурационные файлы и с какими они связаны сервисами. Практика: httpd.conf(5), sendmail.cf, master.cf, dhcpd.conf(5), named.conf(5), smb.conf(5) 5.17. Конфигурирование сервисов для автоматического старта при запуске системы Описание: Кандидат BSDA должен знать, что в процессе загрузки BSD не используются уровни запуска (runlevels из SystemV ? примечание переводчика). Для того, чтобы минимизировать воздействие на систему перезагрузок, кандидат должен уметь сконфигурировать систему так, чтобы сервисы стартовали при загрузке системы автоматически. Причём сделать это надо собственными средствами BSD. Практика: rc.conf(5), rc(8), inetd(8) 5.17.1. Система инициализации BSD 5.17.2. Суперсервер inetd(8) 5.18. Конфигурирование скриптов, нужных для различных задач по обслуживанию системы, для периодического запуска Описание: Системы BSD предоставляют множество скриптов для управления и пров ерки системы. Если требуется, кандидат BSDA должен уметь найти эти скрипты и запустить вручную, а так же уметь сделать так, чтобы они запускались регулярно раз в день, еженедельно, ежемесячно, на любой системе BSD. Практика: periodic.conf(5) и periodic(8) на DragonFly BSD и FreeBSD; security.conf(5), daily.conf(5), weekly.conf(5) и monthly.conf(5) на NetBSD; daily(8), weekly(8) и monthly(8) на OpenBSD 5.19. Просмотр очереди Sendmail'а или Postfix'а Описание: Кандидат BSDA должен уметь просмотреть почтовую очередь, чтобы определить какое письмо застряло. Если необходимо, надо уметь заставить MTA заново обработать почту, или очистить её. Практика: mailq(1), postqueue(1) 5.20. Определение когда последний раз была запущена система и какова её загруженность Описание: Кандидат BSDA должен уметь определить загруженность системы за последнюю минуту, 5 и 15 минут, а так же время прошедшее с последней перезагрузки. Практика: uptime(1), w(1), top(1) 5.21. Слежение за операциями ввода/вывода на диске Описание: Операции ввода/вывода на диске сильно влияют на производительность системы. Кандидат BSDA должен знать какие утилиты доступны на системах BSD для контроля за операциями дискового ввода/вывода и как интерпретировать их результаты. Практика: iostat(8), stat(1), vmstat(1), nfsstat(1) 5.22. Работа с занятыми устройствами Описание: Кандидат BSDA должен понимать что может вызвать зависание процесса, как обнаружить такой процесс и что делать в сложившейся ситуации. Практика: ps(1), fstat(1), kill(1), umount(8) и сторонняя утилита lsof(8) 5.23. Определение информации характеризующей операционную систему Описание: Кандидат BSDA должен уметь определить тип и версию установленной операционной системы. Практика: uname(1), sysctl(1); /etc/release на NetBSD. 5.24. Понимание преимуществ использования лицензии BSD Описание: Кандидат BSDA должен знать о лицензии BSD состоящей из 2-х параграфо в, и знать, что эта лицензия неограничивает интеграцию продуктов OpenSource в коммерческие продукты. Глава 6. Сетевое администрирование Содержание [+]6.1. Определение существующих установок TCP/IP [+]6.1.1. ifconfig(8) ? настройки сетевых интерфейсов [+]6.1.2. netstat(1) [+]6.1.3. route(8) [+]6.1.4. /etc/resolv.conf(5) [+]6.1.5. hostname(1) [+]6.2. Установка параметров TCP/IP [+]6.2.1. hostname(1) ? задание имени машины [+]6.2.2. ifconfig(8) ? настройки сетевых интерфейсов [+]6.2.3. route(8) ? настройка таблицы маршрутизации [+]6.2.4. resolv.conf(5) ? настройка клиента DNS [+]6.2.5. hosts(5) ? локальная база имён [+]6.2.6. Как сохранить установленные сетевые параметры [+]6.3. Определение какие TCP или UDP порты открыты в системе [+]6.3.1. fstat(1) [+]6.3.2. sockstat(1) [+]6.3.3. lsof(1) [*]6.3.4. nmap(1) [*]6.4. Проверка доступности TCP/IP сервиса [+]6.4.1. ping(8) [+]6.4.2. traceroute(1) [*]6.4.3. hping(8) [+]6.4.4. telnet(1), nc(1) [*]6.5. Запрос к серверу DNS [*]6.5.1. Теория вопроса [+]6.5.2. host(1) [+]6.5.3. dig(1) [+]6.5.4. nslookup(1) [+]6.6. Определение кто ответственный за зону DNS [+]6.6.1. Обратное преобразование имён [+]6.6.2. whois(1) [+]6.7. Изменение порядка разрешения имён [+]6.7.1. nsswitch.conf(5) [+]6.8. Перевод сетевой маски между системами точечно-десятичной, точечно-шестнадцатеричной или CIDR [+]6.8.1. Что такое маска подсети [+]6.8.2. Маска подсети в формате CIDR [+]6.8.3. Перевод десятичных чисел в двоичные [+]6.9. Собирать информацию используя IP адрес и маску подсети [+]6.9.1. Определение адреса подсети по маске [+]6.9.2. Вычисление диапазона адресов IP и широковещательного адреса [+]6.10. Понимание теории адресации IPV6 [+]6.10.1. Синтаксис IPv6 [+]6.10.2. Типы IPv6 адресов [+]6.10.3. Назначение адреса IPv6 [+]6.10.4. Автоконфигурирование в IPv6 [+]6.10.5. Программы для конфигурирования IPv6 в BSD [+]6.11. Демонстрация основных навыков работы с утилитой tcpdump(1) [+]6.11.1. Работа с программой tcpdump(1) [-]6.11.2. Графический сниффер Wireshark/Ethereal/tEhereal [+]6.11.3. Анализатор tcpdstat [+]6.11.4. ngrep [+]6.12. Работа с ARP и кешем найденных соседей [+]6.12.1. arp(8) [+]6.12.2. ndp(8) [+]6.13. Конфигурирование системы для использования NTP [+]6.13.1. TP (RFC 868) и rdate(8) [+]6.13.2. NTP [-]6.14. Просмотр и обновление <<арендованных>> данных DHCP [-]6.15. Знание как и когда устанавливать или удалять алиасы сетевого интерфейса Комментарий В данной главе содержится краткий материал изложенный в стиле <<шпаргалки>>. Более систематично вопросы работы сети обсуждаются в Приложение B, Некоторые св едения о стеке протоколов TCP/IP. Предполагается, что содержание данной главы будет полезно тем, кто овладел материалом изложенным в указанном приложении. 6.1. Определение существующих установок TCP/IP Описание. Кандидат BSDA должен уметь определить IP адреса системы, маску подсети, шлюз, первичный и вторичный сервер DNS и имя хоста. Практика. ifconfig(8), netstat(1), resolv.conf(5), route(8), hostname(1) Комментарий Итак, в этом разделе речь идёт не о настройке сети, а лишь об определении текущих настроек. Разберёмся в возможностях упомянутых здесь утилит. Во имя целостности повествования мы выйдем за рамки задач поставленных в экзаменационном билете. Надеюсь читатель не останется внакладе. 6.1.1. ifconfig(8) ? настройки сетевых интерфейсов Утилита ifconfig(8) предназначена для настройки сетевых интерфейсов и диагностики текущих настроек. Как мы и договаривались, в данном разделе мы изучаем только возможности по диагностике, а настройкой займёмся в другом разделе (См. Раздел 6.2.2, <>). 1-й уровень OSI^[1] (физический): * наличие несущей в проводе подведённом к интерфейсу; * характеристики Ethernet; 2-й уровень OSI (канальный): * MAC-адрес (он же hardware address); * флаги интерфейса (см расшифровку флагов сетевых интерфейсов ниже); 3-й уровень OSI (сетевой): * MTU ? Maximum Transfer Unit ? максимальный размер пакета, который можно передать/принять через данный интерфейс. Пакет имеется ввиду на сетевом уро вне модели OSI, порция информации на канальном уровне называется <<кадр>>; * IP-адрес; * IPv6-адрес; * маска подсети; * широковещательный адрес; Вот пример того, как может выглядеть вывод команды ifconfig(8): $ifconfig -a 1 rl0: 2 flags=8802 mtu 1500 3 options=8 4 inet xxx.yyy.zzz.180 netmask 0xffffff80 broadcast xxx.yyy.zzz.255 5 ether 00:80:48:2d:f7:15 6 media: Ethernet autoselect (100baseTX ) 7 status: active 8 rl1: flags=8843 mtu 1500 options=8 inet 172.16.0.1 netmask 0xfffffffc broadcast 172.16.0.3 inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 9 ether 4c:00:10:13:15:1d media: Ethernet autoselect (100baseTX ) status: active pflog0: flags=141 mtu 33208 10 pfsync0: flags=0<> mtu 2020 lp0: flags=8851 mtu 1500 11 inet 10.0.0.1 --> 10.0.0.2 netmask 0xff000000 lo0: flags=8049 mtu 16384 12 inet 127.0.0.1 netmask 0xff000000 1 Команде ifconfig(8) необходимо указать по каким интерфейсам она должна выв ести сведения. Если вместо этого указать аргумент -a будут выведены св едения обо всех интерфейсах, с опцией -u только об интерфейсах активных в данный момент, точнее об интерфейсах с установленным флагом UP (в данном случае rl1, pflog0 и lo0). В NetBSD и OpenBSD флаг -u отстутствует. В FreeBSD интерфейс указывать необязательно: если вы вызываете ifconfig(8) без аргументов, по умолчанию подразумевается ключ -a. В NetBSD и OpenBSD обязательно надо указать или интерфейс или ключ -a. 2 Указание на то, что следующий абзац относится к интерфейсу rl0. Специально для поклонников Linux отметим: в BSD принято называть интерфейсы по именам отвечающих за них драйверов. За сетевые карты на чипсете RealTek отвечает драйвер rl(4). Узнать о специфических настройках для устройств на остове этого чипсета можно из справочной страницы man 4 rl. 3 Флаги в угловых скобках подробно описаны ниже. В них собрана информация о возможностях интерфейса и текущем режиме его работы. mtu ? maximum transfer unit в байтах. 4 5 Характеристики интерфейса на сетевом уровне: IP-адрес, маска подсети и широковещательный адрес. Характреристики в адресном пространстве IPv6 сообщаются отдельной строкой и здесь непоказаны. 6 Аппаратный адрес (он же MAC-адрес) устройства. (Канальный уровень.) 7 media ? характеристики передающей среды (физический уровень). Ethernet autoselect ? скорость обмена данными автоматически определяется при в заимодействии с устройством на противоположном конце провода, выбирается наивысшая скорость из поддерживаемых обоими устройствами, если среда не поддерживает сигнал на этой скорости (например сопротивление в проводе слишком большое) а оба устройства договорились о передаче на большой скорости, необходимо хотя бы одно из них вручную перевести на более низкую скорость передачи данных; 100baseTX: 100 ? выбрана скорость передачи данных 100 Мб/сек, base ? для передачи используется вся частотная полоса (у ADSL-модема это не так: он может одновременно на одной частоте передав ать обычный телефонный сигнал, а на другой интернет-трафик), TX ? для передачи используется витая пара (twisted pair); full-duplex ? возможна одновременная передача данных в обе стороны, если это не так, будет написано half-duplex. 8 Физическая характеристика ? наличие несущей в проводе. Возможные значения active или no carrier. В последнем случае, это значит, что провод вышел из гнезда, или его разорвал экскаватор, или прибор с той стророны выключен. 9 Здесь показан пример того, как выглядит конфигурация интерфейса, когда на нём поднято одновременно несколько IP-адресов (алиасов). В Linux в этом случае заводится новое устройство (например в дополнение к интерфейсу eth0 появляется eth0:0, eth0:1 и т.д.), что в ряде случаев бывает удобно. Так, если мы какому-нибудь сервису предписываем посылать пакеты через интерфейс rl1 неочевидно какой IP он будет использовать. 10 Это пример виртуального интерфейса. Данный интерфейс используется пакетным фильтром OpenBSD ? pf(4). (В настоящий момент данный брандмауэр используется не только в OpenBSD, но так же и в FreeBSD начиная с версии 5.3 и в NetBSD.) 11 Это параллельный порт сконфигурированный для связи типа точка-точка. 12 И, наконец, кольцевой интерфейс. Флаги сетевых интерфейсов (информацию о некоторых флагах можно получить из дев ятой страницы man(1), см. ifnet(9). Более полно флаги описаны в книге [ McKusick-2004]): UP Интерфейс доступен для использования, т.е. сконфигурирован и готов передав ать сообщения. Когда мы запускаем команду ifconfig(8) с опцией -u, мы выв одим информацию именно об интерфейсах с этим флагом. RUNNING Интерфейсу (драйверу) выделены системные ресурсы. В принципе возможна ситуация, когда этот флаг не установлен, а флаг UP стоит. Разумеется, для функционирования устройства необходимы оба флага. BROADCAST С интерфейса можно передавать широковещательные пакеты. MULTICAST Поддерживаются широковещательные пакеты для группы адресов. SIMPLEX Интерфейс не ловит пакеты, которые он отправляет. В частности, при отправке широковещательного пакета, интерфейс сам не может его получить. Чтобы сеть при этом работала корректно, функция отправки широковещательного пакета в ядре делает вид, что она получила широковещательный пакет, когда она его отправляет. PROMISC Включён <<неразборчивый>> (promiscuous) режим. Интерфейс ловит все пакеты в не зависимости от того, кому они предназначены. Этим режимом могут пользов аться так называемые <<снифферы ? программы для подслушивания сетевого трафика. В частности, программа tcpdump(1), предназначенная для диагностических целей. ALLMULTI Аналогично флагу PROMISC, но ловятся пакеты предназначенные группе адресов. MONITOR Режим контроля запрошенный пользователем: пакеты не передаются, а полученные пакеты уничтожаются после получения устройством bpf(4) (т.е. после попадания в tcpdump(1)) POINTTOPOINT Интерфейс предназначен для соединения типа точка-точка. LINK0, LINK1, LINK2 Флаги специфичны для канального уровня. Так, например для интерфейса SLIP, LINK0 означает, что разрешена сжатая передача (CSLIP), LINK1 ? сжатая передача разрешена только при получении сжатого пакета с другого конца, LINK2 ? все пакеты ICMP уничтожаются. (См. [Stevens-2003-ru]) LOOPBACK Кольцевой интерфейс. SMART Интерфейс самостоятельно управляет своими маршрутами. NOARP Интерфейс не использует протокол ARP. STATICARP Интерфейс использует только статическую таблицу ARP OACTIVE Интерфейс занят выводом. Этот флаг устанавливается когда попытка ввода недопустима. POLLING Интерфейс в режиме опроса. DEBUG Включена отладка в драйвере интерфейса. Здесь упомянуты не все возможные флаги, а лишь флаги упомянутые в [ McKusick-2004]. В [Stevens-2003-ru] можно найти упоминание других флагов, например NOTRAILERS ? управление концевой инкапсуляцией при формировании кадра из пакета. Полный обозор флагов не входит в наши цели. Каждый флаг это некоторый бит в числе характеризующем состояние интерфейса. Это число приведено перед списком флагов в угловых скобках В ШЕСТНАДЦАТЕРИЧНОМ представлении. Так число 8843 переводится в двоичную систему как 1000100001000011 и означает набор флагов . Здесь за флаг UP отвечает самый прав ый бит, BROADCAST ? второй справа, RUNNING ? 7-й справа. Переключая флаги нетрудно вычислить какой бит чему соответствует. Легко видеть, что для того, чтобы интерфейс работал, необходимо (но недостаточно), чтобы число было нечё тным. Некоторые флаги поддерживаются не во всех операционных системах, что связано, в озможно (это мои домыслы), с разрядностью числа характеризующего состояние сете вого интерфейса в них. Так флаг STATICARP (20-й бит справа) есть только в FreeBSD и отсутствует в OpenBSD и NetBSD. То же относится к флагу MONITOR (19-й бит). 6.1.2. netstat(1) Утилита netstat(1) предназначена для диагностики работы TCP/IP стека. Она выв одит разнообразную информацию о работе сетевых интерфейсов на сетевом и транспортном уровнях: * Таблицу маршрутизации системы. * Статистику о трафике в целом, по протокольно, поинтерфейсно. * Список работающих в данный момент интернет сервисов и открытых сокетов. 6.1.2.1. Таблица маршрутизации $ netstat -nr Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default xxx.yyy.zzz.254 UGS 0 1056785 rl0 127.0.0.1 127.0.0.1 UH 0 39839 lo0 172.16/30 link#2 UC 0 0 rl1 172.16.0.2 4c:00:10:54:dd:8e UHLW 0 30428 rl1 1045 xxx.yyy.zzz.128/25 link#1 UC 0 0 rl0 xxx.yyy.zzz.254 00:50:8b:5c:98:4f UHLW 1 1888 rl0 1189 Аргумент -r заставил команду netstat(1) напечатать таблицу маршрутизации, а -n заставил не заменять IP-адреса хостов на их имена. Рассмотрение этой таблицы начнём с третьего столбца: флаги. Мы видим, что во в сех строках стоит флаг U, это значит, что все марршруты в настоящий момент акти вны (Up). В строках посвящённых адресам 127.0.0.1, 172.16.0.2 и xxx.yyy.zzz.254 имеется флаг H, это значит, что данный адрес относится не к сети, а к хосту (Host). Такие маршруты имеют приоритет перед маршрутом к сети, таким образом, мы можем жёстко прописать маршрут к некоторой машине, даже если маршрут к сети в которой она находится ? иной. Флаг G означает, что данная машина является шлюзом, поэтому при обращении к ней надо при инкапсулировании пакета в кадр заменить MAC-адрес машины которой предназначен пакет, на MAC-адрес шлюза (если MAC-адрес назначения почему-то известен). Дальнейшей маршрутизацией этого пакета будет заниматься шлюз. В данном разделе мы не обсуждаем вопрос откуда берутся маршруты. Итак, пусть у нас есть три пакета, первый предназначен машине 172.16.0.2, в торой xxx.yyy.zzz.200 и третий xxx.yyy.zzz.100. Для первого пакета машина сразу находит запись с флагом H, понимает, что его надо отправить через интерфейс rl1, формирует Ethernet-кадр дописывая к IP пакету MAC-адрес машины 172.16.0.2 (4c:00:10:54:dd:8e) и интерфейса rl1 и отпра вляет пакет. Для второго пакета запись в таблице маршрутизации с флагом H ненайдена, но найдена сеть xxx.yyy.zzz.128/25, которой принадлежит машина xxx.yyy.zzz.200. Флаг G отсутствует, поэтому формируется кадр с MAC адресом получающей стороны, и MAC-адресом интерфейса rl0. В таком виде кадр отсылается с интерфейса rl0. Для третьего пакета, увы не найдено никаких маршрутов ? хост xxx.yyy.zzz.100 машине неизвестен и ни одной сети он не принадлежит. Поэтому он направляется на маршрут по умолчанию ? default xxx.yyy.zzz.254. Этот маршрут помечен флагом G, поэтому даже если мы знаем MAC-адрес получателя, что маловероятно, но вполне реально, мы заменяем его на MAC-адрес шлюза xxx.yyy.zzz.254 (00:50:8b:5c:98:4f), дописываем MAC-адрес интерфейса rl0 и отсылаем, в надежде на то, что шлюз знает что делать с этим пакетом. В колонке <>сказано сколько пакетов прошло по тому или иному маршруту. Маршрут действует в течение некоторого периода времени, после которого он должен быть или выброшен из таблицы маршрутизации или продлён. Оставшееся время жизни маршрута указывается в колонке <> в секундах. 6.1.2.2. Статистика $netstat -ni Name Mtu Network Address Ipkts Ierrs Opkts Oerrs Coll rl0 1500 00:80:48:2d:f7:15 51129385 0 1081628 0 0 rl0 1500 xxx.yyy.zzz.1 xxx.yyy.zzz.180 459392 - 421556 - - rl1 1500 4c:00:10:13:15:1d 4116747 0 7617322 1 0 rl1 1500 172.16/30 172.16.0.1 1604297 - 6705688 - - pflog 33208 0 0 0 0 0 pfsyn 2020 0 0 0 0 0 lo0 16384 39988 0 39988 0 0 lo0 16384 your-net 127.0.0.1 39863 - 39863 - - Как и раньше, аргумент -n подавляет раскрытие адресов в имена. Из этой таблицы мы можем определить сколько пакетов было передано через тот или иной сетевой интерфейс в ту или иную стророну. Чтобы измерить трафик в байтах можно добавить ещё два аргумента: -b чтобы выводить информацию в байтах и -d чтобы сообщать об отброшенных (droped) пакетах: $ netstat -nibd Name Mtu Network Address Ipkts Ierrs Ibytes Opkts Oerrs Obytes Coll Drop rl0 1500 00:80:48:2d:f7:15 51141983 0 1282650574 1082806 0 221186433 0 0 rl0 1500 xxx.yyy.zzz.1 xxx.yyy.zzz.180 459467 - 295420865 421634 - 136159516 - - rl1 1500 4c:00:10:13:15:1d 4117877 0 3436868162 7618633 1 1263505336 0 0 rl1 1500 172.16/30 172.16.0.1 1604327 - 3270648640 6705718 - 168875424 - - pflog 33208 0 0 0 0 0 0 0 0 pfsyn 2020 0 0 0 0 0 0 0 0 lo0 16384 39992 0 4836343 39992 0 4836343 0 0 lo0 16384 127 127.0.0.1 39867 - 4803206 39867 - 4803206 - - Итак, через интерфейс rl0 на машину с MAC-адресом 00:80:48:2d:f7:15 (как мы в идели раньше, это шлюз) прошло наружу 1082806 пакетов, или 221186433 байт. В обратном направлении пришло 51141983 пакета или 1282650574 байт. Обратите так же внимание на столбец < /dev/null & $ netstat -w2 -I rl1 input (rl1) output packets errs bytes packets errs bytes colls 2 0 196 2 0 196 0 2 0 196 2 0 196 0 2 0 196 2 0 196 0 2 0 196 2 0 196 0 ^C $ fg ping 172.16.0.2 > /dev/null ^C Утилита ping(8) посылает пакеты раз в секунду, поэтому netstat(1) с опцией -w2, добавляя по строке раз в две секунды, каждый раз видит по 2 пакета. 6.1.2.3. Работающие интернет сервисы и открытые сокеты [Замечание] Замечание Аналогичную информацию можно получить так же при помощи программы sockstat(1). См Раздел 6.3.2, <> При запуске утилиты netstat(1) без каких либо аргументов, можно получить информацию об открытых сокетах. Мы запустим утилиту как всегда с опцией -n с тем, чтобы адреса не преобразовывались в имена, и номера сервисов тоже были бы представлены числами: $ netstat -n Active Internet connections Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp4 0 52 194.87.141.180.22 62.117.108.7.1833 ESTABLISHED 1 tcp4 0 0 194.87.141.180.22 62.117.108.7.64544 ESTABLISHED tcp4 0 0 172.16.0.1.53882 172.16.0.2.22 ESTABLISHED tcp4 0 0 194.87.141.180.22 62.117.108.7.64344 ESTABLISHED tcp4 0 0 194.87.141.180.22 62.117.108.7.64286 ESTABLISHED tcp4 0 0 194.87.141.180.22 62.117.108.7.64242 ESTABLISHED udp4 0 0 127.0.0.1.123 *.* 2 udp4 0 0 172.16.0.1.123 *.* udp4 0 0 194.87.141.180.123 *.* udp4 0 0 127.0.0.1.53 *.* udp4 0 0 172.16.0.1.53 *.* udp4 0 0 194.87.141.180.53 *.* udp4 0 0 172.16.0.1.706 172.16.0.2.2049 3 udp4 0 0 172.16.0.1.743 172.16.0.2.2049 udp4 0 0 172.16.0.1.690 172.16.0.2.2049 udp4 0 0 172.16.0.1.633 172.16.0.2.2049 udp4 0 0 172.16.0.1.701 172.16.0.2.2049 udp4 0 0 172.16.0.1.887 172.16.0.2.2049 udp4 0 0 172.16.0.1.991 172.16.0.2.2049 udp4 0 0 172.16.0.1.852 172.16.0.2.2049 Active UNIX domain sockets Address Type Recv-Q Send-Q Inode Conn Refs Nextref Addr c10897a8 stream 0 0 0 c1089af0 0 0 c1089af0 stream 0 0 0 c10897a8 0 0 c10892bc stream 0 0 0 c10899d8 0 0 c10899d8 stream 0 0 0 c10892bc 0 0 c10888c0 stream 0 0 0 c1089ec4 0 0 c1089ec4 stream 0 0 0 c10888c0 0 0 c108971c stream 0 0 0 c1088af0 0 0 c1088af0 stream 0 0 0 c108971c 0 0 c1089834 stream 0 0 0 c10894ec 0 0 c10894ec stream 0 0 0 c1089834 0 0 c1088834 stream 0 0 0 c1089a64 0 0 /var/run/dovecot/login/default 4 c1089a64 stream 0 0 0 c1088834 0 0 c1089c94 stream 0 0 0 c1089604 0 0 c1089604 stream 0 0 0 c1089c94 0 0 c1089e38 stream 0 0 0 c10887a8 0 0 /var/run/dovecot/login/default c10887a8 stream 0 0 0 c1089e38 0 0 c1089460 stream 0 0 0 c10891a4 0 0 c10891a4 stream 0 0 0 c1089460 0 0 c1209000 stream 0 0 0 c108894c 0 0 /var/run/dovecot/login/default c108894c stream 0 0 0 c1209000 0 0 c108994c stream 0 0 0 c108871c 0 0 c108871c stream 0 0 0 c108994c 0 0 c10893d4 stream 0 0 c1867738 0 0 0 /var/run/dovecot/auth-worker.53422 c1088a64 stream 0 0 0 c1089118 0 0 c1089118 stream 0 0 0 c1088a64 0 0 c1209118 stream 0 0 c1ac0c60 0 0 0 /var/run/dovecot/login/default c1089b7c stream 0 0 c138f738 0 0 0 /tmp/mysql.sock c1089d20 stream 0 0 c11fed68 0 0 0 /var/run/cgisock.536 c10882bc stream 0 0 0 c1088230 0 0 c1088230 stream 0 0 0 c10882bc 0 0 c108808c stream 0 0 0 c1088000 0 0 c1088000 stream 0 0 0 c108808c 0 0 c1088c08 stream 0 0 c10b4a50 0 0 0 /var/run/rpcbind.sock c1089000 stream 0 0 c1078d68 0 0 0 /var/run/devd.pipe c10883d4 dgram 0 0 0 c1088e38 0 c1089348 c1089348 dgram 0 0 0 c1088e38 0 c1088460 c10884ec dgram 0 0 0 c1088dac 0 0 c1088460 dgram 0 0 0 c1088e38 0 c1088348 c1088348 dgram 0 0 0 c1088e38 0 c10881a4 c10881a4 dgram 0 0 0 c1088e38 0 c1088118 c1088118 dgram 0 0 0 c1088e38 0 c1088604 c1088604 dgram 0 0 0 c1088e38 0 c1088b7c c1088b7c dgram 0 0 0 c1088e38 0 c1088c94 c1088c94 dgram 0 0 0 c1088e38 0 0 c1088d20 dgram 0 0 c108a108 0 0 0 /var/named/var/run/log c1088dac dgram 0 0 c108a210 0 c10884ec 0 /var/run/log c1088e38 dgram 0 0 c108a318 0 c10883d4 0 /var/run/logpriv c1088ec4 dgram 0 0 c1078210 0 0 0 /var/run/log Отчёт команды netstat(1) состоит из двух частей: в первой перечислены открытые в настоящий момент соединения интернет, а во второй перечислены используемые системой сокеты. 1 Как видно, в настоящий момент, наша машина xxx.yyy.zzz.180 имеет шесть соединений по протоколу ssh (порт 22). Из них пять открыто из Интернет на нашу машину (с хоста xyz.yzx.zxy.yxz) и одно открыто с нашей машины, с адреса 172.16.0.1 на машину 172.16.0.2. Все шесть соединений открыты и потому пребывают в состоянии ESTABLISHED. 2 На портах 123 (NTP, служба времени) и 53 (DNS) висят какие-то службы и ждут входящего соединения (поскольку никаких флагов тут не обозначено) 3 С хоста 172.16.0.2 импортировано несколько каталогов по NFS. 4 В этой части таблицы перечислены активные в настоящий момент сокеты. Некоторые из них имеют интерфейс файлов. Программа netstat(1) выводит сведения о состоянии TCP (см. флаг ESTABLISHED в ыше), согласно [RFC-793]. Что такое <<состояние TCP>> и какие они бывают, мы описываем в Раздел B.1.4.3.4, <<Состояние соединения TCP>>. Подробное обсуждение этой темы можно найти в [Stevens-2003-ru]. При помощи флага -a можно получить информацию обо всех сокетах, в том числе пребывающих в состоянии LISTEN. # netstat -na | grep LISTEN tcp4 0 0 *.587 *.* LISTEN tcp4 0 0 *.25 *.* LISTEN tcp4 0 0 *.22 *.* LISTEN tcp4 0 0 *.80 *.* LISTEN tcp4 0 0 *.143 *.* LISTEN tcp4 0 0 *.965 *.* LISTEN tcp4 0 0 *.2049 *.* LISTEN tcp4 0 0 *.701 *.* LISTEN tcp4 0 0 *.730 *.* LISTEN tcp4 0 0 *.111 *.* LISTEN tcp4 0 0 127.0.0.1.953 *.* LISTEN tcp4 0 0 127.0.0.1.53 *.* LISTEN tcp4 0 0 172.19.0.2.53 *.* LISTEN Таким образом, можно узнать какие порты прослушиваются нашей машиной. Видимо необходимо некоторое пояснение к термину <<состояние сокета>>. Рассмотрим как осуществляется открытие и закрытие соединения TCP: 6.1.2.3.1. Открытие TCP соединения (тройное рукопожатие) Пусть клиент открывает соединение с сервером. Тогда говорят, что клиент осущест вляет активное открытие соединения, а сервер пассивное открытие соединения. Изначально сервер находится в состоянии LISTEN. 1. Клиент посылает запрос на открытие соединения и переходит в состояние SYN-SENT. 2. Сервер получает этот запрос и отправляет в одном пакете два сообщения: 1) подтверждение получения запроса на открытие соединения, 2) свой собственный запрос на открытие соединения. При этом сервер переходит из состояния LISTEN в состояние SYN-RECEIVED. 3. Клиент получает подтверждение на запрос об открытии соединения и запрос на открытие соединения, посланные в одном пакете. В ответ он посылает подтв ерждение серверу. После этого клиент уже может посылать данные. Он может начать посылать данные сразу, в одном пакете со своим подтверждением. Таким образом он переходит из состояния SYN-SENT в состояние ESTABLISHED. Сервер получив от него подтверждение начинает принимать данные и тоже переходит в состояние ESTABLISHED (из состояния SYN-RECEIVED). Теперь стороны могут обмениваться данными в обе стороны, в состоянии ESTABLISHED, обе стороны высылают друг другу пакеты с данными, время от времени присылая подтверждения о получении этих пакетов, причём в одном подтверждении может подтверждаться получение большого числа пакетов. Процесс открытия соединения часто называется тройным рукопожатием, так как происходит обмен тремя пакетами в обеих направлениях. (См. так же Раздел B.1.4.3.2, <<Открытие соединения TCP, тройное рукопожатие>>.) 6.1.2.3.2. Закрытие TCP соединения Пусть клиент закрывает соединение с сервером. Тогда говорят, что клиент в ыполняет активное закрытие, а сервер пассивное закрытие. Изначально оба хоста пребывают в состоянии ESTABLISHED. 1. Клиент посылает запрос на закрытие соединения и переходит в состояние FIN-WAIT-1 2. Сервер получил этот запрос и выслал подтверждение о его получении. Теперь он перешёл в состояние CLOSE-WAIT 3. Клиент получил подтверждение и перешёл из FIN-WAIT-1 в FIN-WAIT-2. Говорят, что это соединение <<полузакрыто>>: клиент не может посылать данные серв еру, но сервер может посылать данные клиенту, ведь он ещё не закрыл соединение. Клиент сказал, что разговор окончен, а сервер ответил, что он услышал, но сервер ещё не сказал, что разговор окончен, он может продолжать посылать данные. 4. Сервер дозрел и тоже стал закрывать соединение. Он посылает клиенту запрос на закрытие соединения и переходит из CLOSE-WAIT в LAST-ACK 5. Клиент получил этот пакет и послал подтверждение. При этом он перешел в состояние TIME-WAIT. Если подтверждение посланное клиентом недошло до серв ера, сервер вновь пошлёт запрос на закрытие соединения и клиент снова на него отреагирует. А если со стороны сервера ничего не пришло, значит он получил подтверждение. Время для TIME-WAIT выбирается такое, в течение которого пакеты заведомо успевают пройти в обе стороны. Когда сервер получает подтверждение на свой запрос, он переходит из состояния LAST-ACK в CLOSED (или снова LISTEN). Клиент, переходит из TIME-WAIT в CLOSED если в течение указанного периода времени он не получил никаких ответов. 6.1.3. route(8) Утилита route(8) больше предназначена для управления таблицей маршрутизации, однако с её помощью тоже можно получить некоторую диагностическую информацию. Допустим нам надо узнать маршрут к машине с адресом 192.168.3.4 $ route get 192.168.3.4 route to: 192.168.3.4 destination: default mask: default gateway: xxx.yyy.zzz.254 interface: rl0 flags: recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire 0 0 0 0 0 0 1500 0 В NetBSD и OpenBSD есть так же команда show, которая заставляет route(8) распечатать таблицу маршрутизации целиком, подобно netstat -r: $ route -n show Routing tables Internet: Destination Gateway Flags default ************** UG 127.0.0.0 localhost UG ************** localhost UGH 192.168.26.0 link#1 U ************** 0:10:e0:0:e9:cd UH 192.168.26.2 0:10:e0:0:7c:46 UH 192.168.26.7 0:e:a6:66:2d:c5 UH BASE-ADDRESS.MCA localhost U Internet6: Destination Gateway Flags default ****************** UG default ****************** UG **************** ****************** UH ::127.0.0.0 ****************** UG ::224.0.0.0 ****************** UG ::255.0.0.0 ****************** UG ::ffff:0.0.0.0 ****************** UG 2002:: ****************** UG 2002:7f00:: ****************** UG 2002:e000:: ****************** UG 2002:ff00:: ****************** UG fe80:: ****************** UG fe80::%le0 link#1 U fe80::%lo0 fe80::1%lo0 U fec0:: ****************** UG ff01:: ****************** U ff02::%le0 link#1 U ff02::%lo0 fe80::1%lo0 U При помощи команды route monitor можно следить за изменениями маршрутной таблицы в реальном времени. 6.1.4. /etc/resolv.conf(5) Когда машине надо обратиться к некоторому адресу в интернет, она должна преобразовать символьное имя машины (такое, как example.ru), в IP (или IPv6) адрес. Осуществляется это при помощи библиотечной функции gethostbyname(3). Типичное поведение этой функции выглядит так: 1) изучается файл /etc/hosts в котором перечислено какие имена соответствуют некоторым адресам; 2) затем, если поиск не дал результатов, при помощи resolver(3)'а осуществляются запросы к сер верам DNS. На порядок этих действий можно влиять при помощи файла /etc/ nsswitch.conf, это описано в Раздел 6.7, <<Изменение порядка разрешения имён>>. За работу resolver'а отвечает настроечный файл /etc/resolv.conf. Вот его мы и рассмотрим в данном разделе. Файл /etc/resolv.conf является настроечным файлом для клиентской части системы DNS ? resolver'а. Синтаксис файла предельно прост: в нём перечисляются DNS серв ера в порядке убывания приоритета. Перед IP адресом сервера DNS указывается ключевое слово nameserver. nameserver 127.0.0.1 nameserver 192.168.0.1 search somewhere.ru ru ua org Здесь сказано, что для разрешения имён в IP-адреса, нужно сперва обратиться к локальной машине (предполагается, что на ней запущен свой собственный named(8) ), а если обратиться к нему неудастся (если он не запущен), обратиться к DNS на машине 192.168.0.1. Здесь сервер DNS на машине 127.0.0.1 называется первичным DNS-сервером (primary), а 192.168.0.1 ? вторичным (secondary). Обратите в нимание: если первичный сервер DNS не сможет разрешить имя, он вернёт отрицательный ответ и запрос к вторичному серверу выполнен не будет (ведь ответ пришёл, просто он отрицательный). resolver использует для работы первые три сервера DNS. Допустим, мы хотим разрешить имя host, а в нашем файле /etc/resolv.conf имеются только записи типа nameserver. В этом случае resolver попытается найти машину host., такой машины конечно же нет, следующее действие resolver'а будет таким: он возьмёт имя домена в котором находится наша машина и допишет этот домен. Если наша машина имеет имя client.somewhere.ru, то resolver попытается разрешить имя host.somewhere.ru. На это поведение можно влиять двумя способами: 1) с помощью директивы domain указать какой-нибудь другой домен и тогда поиск будет осуществляться в нём. 2) при помощи директивы search явно перечислить через пробел домены в которых следует производить поиск, как это показано в листинге выше. В нашем примере если resolver не сможет разрешить имя host, то он допишет к нему домен <> и попробует разрешить имя host.somewhere.ru, затем будет осуществлена попытка разрешить имя host.ru, host.ua и host.org: $ host -v host Trying domain "somewhere.ru" 1 rcode = 3 (Non-existent domain), ancount=0 Trying domain "ru" 2 rcode = 0 (Success), ancount=1 The following answer is not authoritative: The following answer is not verified as authentic by the server: host.ru 1800 IN A 195.2.70.38 For authoritative answers, see: host.ru 1800 IN NS dns1.zenon.net host.ru 1800 IN NS dns2.zenon.net Additional information: dns1.zenon.net 1412 IN A 195.2.64.38 dns2.zenon.net 1412 IN A 195.2.83.38 1 Здесь осуществлена попытка разрешить имя host.somewhere.ru. Эта попытка за вершилась неудачей ? такого хоста нет. 2 Теперь система пытается разрешить имя host.ru. Такое имя существует, машина с этим именем имеет IP 195.2.70.38, за неё отвечает два сервера DNS: dns1.zenon.net и dns2.zenon.net с IP адресами 195.2.64.38 и 195.2.83.38. (Про команду host(1) мы будем говорить в Раздел 6.5, <<Запрос к серверу DNS>>.) Попробуем обнаружить машину соответствующую озеру Леприндо, расположенному в Читинской области на БАМе у подножия горного массива Кодар: $ host -v leprindo Trying domain "somewhere.ru" rcode = 3 (Non-existent domain), ancount=0 Trying domain "ru" rcode = 3 (Non-existent domain), ancount=0 Trying domain "ua" rcode = 3 (Non-existent domain), ancount=0 Trying domain "org" rcode = 3 (Non-existent domain), ancount=0 Host not found. Как видим, resolver выполнил 4 запроса к DNS, попытавшись обнаружить машины leprindo.somewhere.ru, leprindo.ru, leprindo.ua и leprindo.org, и потерпел неудачу. Наконец, в этом файле можно задавать некоторые опции. Следующая строка во-перв ых, включает режим отладки, а во-вторых объявляет, что надо пытаться разрешить имя при помощи списка из директивы search, если в нём менее 2-х точек (а не одной, как по умолчанию). Т.е. по умолчанию, если в имени нет точек, то оно сперва ищется в списке доменов из директивы search, а со включённой ниже опцией это поведение распространяется на имена содержащие одну точку. options debug ndots:2 После редактирования файла /etc/resolv.conf никаких специальных действий не требуется, изменения немедленно вступают в силу. 6.1.5. hostname(1) Утилита hostname(1) служит для того, чтобы сообщить имя машины, на которой она запущена. Используется во множестве разнообразных скриптов. Имеет всего один необязательный аргумент служащий для удаления имени домена: $ hostname myhost.example.org $ hostname -s myhost 6.2. Установка параметров TCP/IP Описание. Кандидат должен уметь изменять настройки TCP/IP как временно, так и постоянно, так, чтобы изменения сохранялись после перезагрузки. Практика. hostname(1), ifconfig(8), route(8), resolv.conf(5), rc.conf(5), hosts (5), hostname.if(5), myname(5), mygate(5), netstart(8) Комментарий Теперь мы снова рассмотрим те же утилиты, что и в Раздел 6.1, <<Определение существующих установок TCP/IP>>, но на этот раз с точки зрения управления параметрами. Как и в прошлый раз, мы выйдем за рамки задачи постваленной в данном экзаменационном билете, во имя целостности повествования. 6.2.1. hostname(1) ? задание имени машины Утилита hostname(1) может не только сообщать имя машины, но и устанавливать нов ое: $ hostname myhost.example.org $ hostname -s myhost # hostname other.example.org $ hostname other.example.org 6.2.2. ifconfig(8) ? настройки сетевых интерфейсов Утилита ifconfig(8) позволяет не только просматривать, но и манипулировать настройками сетевого интерфейса. Причём даже на физическом уровне OSI. (О модели OSI можно прочесть в глоссарии: OSI.) Здесь описаны не все возможности утилиты ifconfig(8). Существуют некоторые опции, характерные для данных операционных систем и т.д. Сверяйтесь со справкой вашей операционной системы. Например, OpenBSD позволяет объединять интерфейсы в группы, а FreeBSD такой особенностью не обладает. 6.2.2.1. Изменение настроек физического уровня В общем случае, для конфигурирования физических параметров интерфейса надо пред варительно изучить справку по соответствующему драйверу. Мы приведём примеры на основе драйвера к распространённому чипсету RealTek. (См. man rl.) Для этого драйвера можно изменять скорость передачи данных (10 или 100 Mbps) и режим передачи (half-duplex ? одновременная передача пакетов в обе стороны не поддерживается; или full-duplex ? поддерживается одновременная передача пакетов в обе стороны). $ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet autoselect (100baseTX ) status: active Переведём интерфейс вручную на скорость 10 мегабит в секунду (Mbps): # ifconfig rl0 media 10baseT/UTP $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet 10baseT/UTP status: active Здесь в командной строке опция media принадлежит команде ifconfig(8), а значение 10baseT/UTP взято из справки по драйверу rl. Теперь мы можем вручную выставить обратно 100baseTX, командой ifconfig rl0 media 100baseTX, а можем включить назад автоопределение. # ifconfig rl0 media autoselect $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet autoselect (none) status: no carrier $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet autoselect (100baseTX ) status: active Обратите внимание: после включения автоопределения некоторое время интерфейс был недоступен. При этом флаг UP был установлен, т.е. приложения имели право его использовать, но интерфейс вёл себя так, как буд-то из него вынули провод: status: no carrier. Что неудивитеьно, пока интерфейс не знает на какой скорости вести передачу, о какой несущей может идти речь? Наконец, переключение дуплекса, здесь нас ждёт некоторая недокументированная неожиданность: # ifconfig rl0 media 100baseTX $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet 100baseTX status: active В настоящий момент наш интерфейс пребывает в режиме half-duplex, потому что это режим по умолчанию. Соответственно никакой опции для его включения нет, и при попытке задать её получится ошибка, с некоторой совершенно дикой диагностикой: # ifconfig rl0 mediaopt half-duplex ifconfig: SIOCSIFMEDIA (mediaopt): Device not configured Что поделаешь, и на солнце есть пятна. Итак, в настоящий момент наш интерфейс пребывает в режиме half-duplex, а для перевода его в full-duplex, мы можем употребить следующую команду: # ifconfig rl0 mediaopt full-duplex $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet 100baseTX status: active Сравните это с первым скриншотом: ... media: Ethernet autoselect (100baseTX ) ... Как видно, выставлено всё тоже самое, только отсутствует автоопределение. Если мы не добиваемся какого-то специального эффекта, то лучше оставить ав тоопределение. Из моего личного опыта: однажды мне пришлось вручную понижать скорость работы интерфейсов, которые были соединены некачественным проводом. Сопротивление в медном проводе было вдвое выше нормы. Интерфейсы договаривались о передаче данных на скорости 100Mbps в режиме full-duplex, но реально вести передачу на такой скорости не могли и их пришлось вручную <<тормозить>>. 6.2.2.2. Изменение настроек канального уровня 6.2.2.2.1. Изменение MAC-адреса: $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet 100baseTX status: active # ifconfig rl0 lladdr 40:50:22:b0:7f:39 $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 40:50:22:b0:7f:39 media: Ethernet 100baseTX status: active Здесь для смены аппатарного адреса применяется ключевое слово lladdr, объясняющее, что речь идёт об адресе канального уровня (link-layer address = lladdr), т.е. о MAC-адресе. Этот аргумент работает в FreeBSD и в OpenBSD. В FreeBSD действуют так же синонимы link и ether ? смысл тот же. В NetBSD ifconfig(8) не умеет сменить MAC-адрес (!?). При смене MAC-адреса интерфейс временно отключается, а затем поднимается занов о. Неисключено, что в некоторых реализациях ifconfig(8), эти действия надо проделать вручную. [В Важно ажно] Важно, чтобы в одной сети не было машин с одинаковыми MAC-адресами. Консорциум IEEE выделяет производителям оборудования диапазоны MAC-адресо в, так называемые OUI ? это первые три байта MAC-адреса. Остальные три байта назначает сам производитель. На сайте IEEE можно узнать какой OUI в ыделен какому производителю: http://standards.ieee.org/regauth/oui/ index.shtml. Таким образом, вы можете по первым трём байтам MAC-адреса узнать производителя устройства. Из этого есть два следствия: 1) вы не должны менять MAC-адрес без нужды, 2) если вы меняете MAC-адрес, вы должны выставить в единицу второй бит, что означает, что MAC-адрес изменён локально. Таким образом, первый из шести байт MAC-адреса, если вы производите изменения, должен быть в диапазонах от 64 до 127 (в шестнадцатеричной записи от 40 до 7F) или от 192 до 255 (в шестнадцатеричной записи от С0 до FF). Возможно неглупой идеей является не устанавливать первый бит в единицу (то есть пользоваться только первым из указанных диапазонов), с тем, чтобы ни у одного устройства не возникало позыва истолковать данный адрес как широковещательный. Сходив по указанной ссылке мы можем узнать, что для адресов начинающихся с 00:50:22 производителем является: 00-50-22 (hex) ZONET TECHNOLOGY, INC. 005022 (base 16) ZONET TECHNOLOGY, INC. 830 ROOM, BLDG. 53, 195, SEC.4 CHUNG HSIUNG RD, CHUTUNG HSINCHA TAIWAN, REPUBLIC OF CHINA 6.2.2.2.2. Смена флагов канального уровня Выше был приведён перечень флагов канального уровня, характеризующих работу сетевого интерфейса. Некоторые из этих флагов можно переключать используя команду ifconfig(8). up/down Поднять/опустить интерфейс. Переключается флаг UP promisc/-promisc Включить/выключить <<неразборчивый>> (promiscuous) режим работы интерфейса. Переключается флаг PROMISC. Опция есть в FreeBSD, но отсутствует в OpenBSD и NetBSD. monitor/-monitor Интерфейс переводится/выводится в/из режим[а] мониторинга. В режиме мониторинга пакеты не передаются, а все полученные пакеты уничтожаются после обработки bpf(4). Переключается флаг MONITOR. Опция есть во FreeBSD, отсутствует в NetBSD и OpenBSD. link[0-2]/-link[0-2] Переключаются флаги LINK0, LINK1 и LINK2. При помощи них можно включить сжатие в интерфейсе SLIP или переключить тип коннектора на некоторых Ethernet картах. arp/-arp Включение/выключение поддержки протокола ARP на интерфейсе. По умолчанию ARP включён. Переключает флаг NOARP. staticarp/-staticarp Переключает флаг STATICARP. При включённом флаге интерфейс использует только статическую таблицу ARP. Присутствует в FreeBSD, отсутствует в OpenBSD и NetBSD. debug/-debug Включение/выключение отладочного режима в драйвере устройства. Обычно прив одит к дополнтельным сообщениям в syslog(3). Переключает флаг DEBUG. Пример: $ ifconfig rl0 rl0: flags=8843 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet autoselect (100baseTX ) status: active # ifconfig rl0 -arp $ ifconfig rl0 rl0: flags=88c3 mtu 1500 options=8 inet6 fe80::250:22ff:feb0:7f39%rl0 prefixlen 64 scopeid 0x1 inet 192.168.25.158 netmask 0xffffff00 broadcast 192.168.25.255 ether 00:50:22:b0:7f:39 media: Ethernet autoselect (100baseTX ) status: active 6.2.2.3. Изменение настроек сетевого уровня 6.2.2.3.1. MTU MTU переключается оцией mtu. Снижая mtu вы с одной стороны замедляете работу сети, с другой стороны повышаете вероятность того, что ваши пакеты дойдут до адресата без фрагментирования. (Некоторые брандмауэры отбрасывают фрагментиров анные пакеты.) Однозначных рекомендаций тут дать невозможно. Даже тезис о том, что снижение MTU приводит к снижению скорости передачи данных, несовсем верен. Безусловно возрастают накладные расходы на протокол TCP, увеличивается удельный вес заголовков и общий трафик, однако Ричард Стивенс [Stevens-2003-ru] приводит убедительный пример того, как фрагментированные пакеты быстрее передаются в сети через серию маршрутизаторов, в силу более равномерного использования каналов связи (пока второй пакет передаётся первому шлюзу, первый пакет уже может быть отправлен второму шлюзу, если бы оба пакета были объединены, участок между первым и вторым шлюзом простаивал бы вдвое дольше). Ограничение сверху на MTU накладывает природа передающей среды. В сетях Fast Ethernet MTU не может превышать 1500 байт. По поводу IPv6 и MTU уместно процитировать <<википедию>> [url://wiki-IPv6-ru]: В IPv6 пакеты не могут фрагментироваться и собираться маршрутизаторами. Отправитель должен заранее выяснить максимальный размер пакетов (MTU), поддерживаемый на всём пути до получателя, и, при необходимости, выполнить фрагментацию своими силами. Оговаривается, что MTU не может быть меньше 576 байт. Снятие с маршрутизаторов функций фрагментации также способствует пов ышению эффективности их работы, но усложняет работу оконечных систем. 6.2.2.3.2. IP, маска подсети, широковещательный адрес Адрес интерфейса и маску подсети можно задавать в традиционном формате, в шестнадчатеричном, а так же в формате CIDR (ifconfig(8) OpenBSD не понимает формат CIDR). Следующие команды эквивалентны: # ifconfig rl0 172.16.0.0 netmask 255.255.0.0 # ifconfig rl0 172.16.0.0 netmask 0xffff0000 # ifconfig rl0 0xac100000 netmask 0xffff0000 # ifconfig rl0 172.16.0.0/16 Последний вариант, повторимся, не работает в OpenBSD. Во всех случаях широковещательный адрес вычисляется автоматически (172.16.255.255). Если вам почему-то надо указать какой-то экзотический широков ещательный адрес, вы можете сделать это явно: # ifconfig 172.16.0.0 netmask 255.255.0.0 broadcast 172.16.255.253 Во всех приведённых примерах неявно подразумевается перед IP ключевое слово inet. (По умолчанию действует оно, а не lladdr, например). Ключевое слово alias (или add) позволяет добавить к сетевому интерфейсу ещё один адрес, возможно в другой сети. Можно указывать символьное имя машины, если соответствующая запись есть базе / etc/hosts. 6.2.2.3.3. IPv6 Аналогично добавляются адреса в нотации IPv6, с использованием ключевого слова inet6. 6.2.2.3.4. Другие протоколы сетевого уровня Команда ifconfig(8) позволяет конфигурировать интерфейс не только для работы со стеком TCP/IP. Вы можете сконфигурировать его для работы с AppleTalk, и другими протоколами. Информация об этом присутствует в справочной странице. 6.2.3. route(8) ? настройка таблицы маршрутизации Команда route(8) служит для управления таблицей маршрутизации. С её помощью можно: 1. Просматривать маршрут к хосту (команды get и show (последней нет в FreeBSD)). 2. Следить за изменениями в маршрутной таблице в реальном времени (команда monitor). 3. Добавить маршрут (команда add). 4. Удалить маршрут (команда delete). 5. Изменить маршрут (команда change). 6. Полностью очистить таблицу маршрутизации (команда flush). Поскольку таблиц маршрутизации несколько для каждого протокола (IP, IPv6, AppleTalk и др.) можно указать какую именно таблицу надо очистить при помощи необязательной опции -inet, -inet6, -atalk и др. Ключевое слово default означает, что добавляется маршрут поумолчанию. В распечатке команды netstat(1) записи добавленные командой route(8) имеют флаг S, означающий, что они добавлены вручную. Для явного обозначения сетей, хостов и интерфейсов можно использовать агрументы -host, -net и -interface. Некоторые операционные системы (точно скажу про FreeBSD) могут понимать запись в формате CIDR. Примеры: # route add default 192.168.0.1 # route add -net 192.168.0 -interface rl0 # route add -net 192.168.1.0 -netmask 255.255.255.128 -interface rl1 6.2.4. resolv.conf(5) ? настройка клиента DNS Файл /etc/resolv.conf нужен для настройки клиента DNS. Когда мы обращаемся к какой-то удалённой машине по имени, первое, что происходит, это преобразование имени в адрес IP (или IPv6). Обычно ситуация устроена следующим образом: сперва система ищет имена в файле /etc/hosts, где записано какие имена имеют машины с тем или иным IP-адресом, а затем, если имя в данном файле ненайдено, осуществ ляется запрос к серверу DNS. В файле /etc/resolv.conf перечислены DNS серверы, к которым осуществляется запрос. Порядок действий (сперва изучается /etc/hosts, затем делается запрос к DNS) можно изменить, это обсуждается в Раздел 6.7, <<Изменение порядка разрешения имён>>. Синтаксис файла /etc/resolv.conf подробно описан в Раздел 6.1.4, <>. 6.2.5. hosts(5) ? локальная база имён Как было сказано в предыдущем разделе, типичное поведение системы состоит в том, что сперва она пытается разрешить имя используя файл /etc/hosts и только потом обращается к серверу DNS. В файле /etc/hosts на каждой строке имеется некоторый IP (или IPv6) адрес, а затем через пробелы перечислены имена соотв етствующие ему. Комментарий начинается с решётки (#). Например: # $FreeBSD: src/etc/hosts,v 1.16 2003/01/28 21:29:23 dbaker Exp $ # # Host Database # # Данный файл должен содержать адреса и алиасы для локальных машин # Замените 'my.domain' ниже вашим доменом. # # В присутствии DNS или NIS данный файл может неиспользоваться вовсе, # для определеня порядка в котором рассматриваются базы имён смотрите # файл /etc/nsswitch.conf # # ::1 localhost localhost.my.domain 127.0.0.1 localhost localhost.my.domain # # Воображаемая сеть. #10.0.0.2 myname.my.domain myname #10.0.0.3 myfriend.my.domain myfriend # # Согласно RFC 1918 следующие сети можно использовать для приватных # сетей. Этих адресов не существует в Интернет: # # 10.0.0.0 - 10.255.255.255 # 172.16.0.0 - 172.31.255.255 # 192.168.0.0 - 192.168.255.255 # Я перевёл часть комментариев на русский язык, сочтя их полезными. Обратите внимание: многие сервисы используют файл /etc/hosts для своей работы. Когда вы переносите такие сервисы в среду chroot, вы должны перенести туда же копию данного файла. 6.2.6. Как сохранить установленные сетевые параметры Увы, это самое мутное место. Кажется нет двух систем BSD с одинаковой системой инициализации. 6.2.6.1. FreeBSD В FreeBSD все настройки собраны в единый файл /etc/rc.conf, в том числе это касается и настроек сетевых интерфейсов. Если точнее, то имеется системный файл /etc/defaults/rc.conf, который редактироваться не должен (система сделает попытку перезаписать его, если вы выполните процедуру make buildworld, см. Раздел 1.2, <<Разбираться какие команды доступны для upgrade'а операционной системы>>), а в файле /etc/rc.conf находятся пользовательские настройки, которые имеют больший приоритет. В том или ином виде этот файл существует во в сех системах BSD, однако настройки сетевых интерфейсов в OpenBSD и NetBSD в ынесены в другие места. В файле /etc/rc.conf для каждого сетевого интерфейса должна быть строка вида ifconfig_rl0="...". Если для интерфейса нужны дополнительные имена (алиасы), применяется строка вида: ifconfig_rl0_alias0="...", ifconfig_rl0_alias1="...". Следующая строка объясняет, что интерфейс rl0 надо настроить с использованием DHCP: ifconfig_rl0="DHCP" В следующем листинге имеется ошибка: ifconfig_rl0_alias0="inet 172.16.0.1/24" ifconfig_rl0_alias1="inet 172.16.0.2/24" ifconfig_rl0_alias2="inet 172.16.0.3/24" ifconfig_rl0_alias4="inet 172.16.0.4/24" Ошибка состоит в том, что после alias2 сразу описан alias4. К сожалению, это приведёт к тому, что сработают только первые три строки. Все настройки связанные с функционированием IPv6, ppp, gif(4) и проч. так же должны находиться в файле /etc/rc.conf. С этими настройками можно ознакомиться в справочной системе man rc.conf. Имя машины и маршрут по умолчанию задаются здесь же, можно здесь же задавать статические маршруты: hostname="host.example.ru" defaultrouter="172.16.0.254" static_routes="somenetwork othernetwork" route_somenetwork="192.168.0.0/24 172.19.0.14" route_othernetwork="192.168.1.0/24 172.19.0.25" 6.2.6.2. OpenBSD Для запуска настройки сети в системе OpenBSD используется скрипт Bourne shell / etc/netstart (см netstart(8)). В этом скрипте имя сети и адрес шлюза явно берутся из файлов /etc/myname и /etc/mygate: ..................... # /etc/myname contains my symbolic name hostname=`cat /etc/myname` hostname $hostname ..................... # /etc/mygate, if it exists, contains the name of my gateway host # that name must be in /etc/hosts. if [ -f /etc/mygate ]; then route -n add -host default `cat /etc/mygate` fi ..................... Настройки специфичные для каждого сетевого интерфейса хранятся в файлах /etc/ hostname.$if, где $if ? имя интерфейса. Уже упоминавшийся скрипт /etc/netstart парсит эти файлы и настраивает соответствующим образом интерфейсы, используя команду ifconfig(8). Строки начинающиеся с решётки (#) являются комментариями, а строки начинающиеся с восклицательного знака (!) ? команды Bourne shell. Остальные строки передаются команде ifconfig(8) и, возможно, dhclient(8). Например: inet 10.0.1.12 255.255.255.0 10.0.1.255 media 100baseTX description Uplink inet alias 10.0.1.13 255.255.255.255 10.0.1.13 inet alias 10.0.1.14 255.255.255.255 NONE inet alias 10.0.1.15 255.255.255.255 inet alias 10.0.1.16 0xffffffff inet6 alias fec0::1 64 inet6 alias fec0::2 64 anycast # Это пример закомментированной строки !wicontrol \$if -t 2 # Установить скорость 2Mbps \$if будет заменено на имя интерфейса. 6.2.6.3. NetBSD В NetBSD настройки сетевых интерфейсов могут находиться в файлах /etc/ ifconfig.$if, где $if ? имя интерфейса, либо в файле /etc/rc.conf, аналогично FreeBSD. Но, при этом, алиасы должны быть перечислены в переменной ifconfig_aliases_rl0 как список пар адрес сетевая_маска: hostname="host.example.ru" defaultroute="192.168.0.1" ifconfig_tlp0="192.168.0.2" ifaliases_tlp0="192.168.1.2 255.255.255.0 192.168.2.2 255.255.255.0" Имя машины и маршрут по умолчанию добавляется тут же. Обратите внимание: в NetBSD надо писать defaultroute, а в FreeBSD ? defaultrouter. Правда мило? Каждый раз консультируйтесь со справочной страницей, а ещё лучше со скриптами, которые все эти настройки вызывают. 6.3. Определение какие TCP или UDP порты открыты в системе Описание. Кандидат BSDA должен уметь использовать программы входящие в состав BSD, а так же сторонние программы, для определения того, какие порты в системе открыты, и какие порты видны через брандмауэр. Практика. netstat(1), services(5), fstat(1); sockstat(1) и сторонное продукты nmap и lsof. Комментарий Как было показано выше (см. Раздел 6.1.2.3, <<Работающие интернет сервисы и открытые сокеты>>), команда netstat(1) пригодна для того, чтобы определить открытые tcp/udp соединения и их состояние. Другим средством для определения состояния файлов и сокетов являются команды fstat(1) и sockstat(1). Первая позв оляет понять какие файловые дескрипторы какими пользователями открыты, вторая перечисляет открытые сокеты. Жизнедеятельность всех программ выполняемых в пространстве пользователя может быть отслежена при помощи обращения к устройствам /dev/mem и /dev/kmem, предоставляющим информацию непосредственно из ядра системы. Файловой системы / proc в системах BSD нет. (Если она нужна для совместимости с какими-то программами, её можно специально смонтировать, при условии, что в ядре имеется поддержка PROCFS.) Программы fstat(1) и sockstat(1) берут информацию из упомянутых устройств. В некоторых случаях названия протоколов употребляются символьные (вроде ssh, imap), в других случаях явно номера портов (22, 143). Соответствие символьных названий протоколов и их номеров указано в файле /etc/services. 6.3.1. fstat(1) Команда fstat(1) выводит информацию обо всех открытых файловых дескрипторах. С её помощью можно получить информацию обо всех запущенных программах, так как каждая из них имеет по нескольку открытых файловых дескрипторов или сокетов, даже если в данный момент она не выполняет никакой работы. Пример, приведённый ниже, сильно урезан, так как всего в выводе команды fstat(1) было более семисот строк. $ fstat > fstat-output $ cat fstat-output USER CMD PID FD MOUNT INUM MODE SZ|DV R/W emin fstat 84130 root / 2 drwxr-xr-x 512 r 1 emin fstat 84130 wd /usr 5958657 drwxr-xr-x 2048 r emin fstat 84130 text /usr 447995 -r-xr-sr-x 14716 r emin fstat 84130 0 /dev 68 crw--w---- ttyp0 rw emin fstat 84130 1 /usr 5958902 -rw-r--r-- 0 w emin fstat 84130 2 /dev 68 crw--w---- ttyp0 rw emin fstat 84130 3 /dev 20 crw-r----- mem r emin fstat 84130 4 /dev 21 crw-r----- kmem r emin fstat 84130 5 / 8381 -rw-r--r-- 40960 r ...... root getty 633 root / 2 drwxr-xr-x 512 r 2 root getty 633 wd / 2 drwxr-xr-x 512 r root getty 633 text /usr 565434 -r-xr-xr-x 21016 r root getty 633 0 /dev 39 crw------- ttyv7 rw root getty 633 1 /dev 39 crw------- ttyv7 rw root getty 633 2 /dev 39 crw------- ttyv7 rw ...... root getty 626 root / 2 drwxr-xr-x 512 r root getty 626 wd / 2 drwxr-xr-x 512 r root getty 626 text /usr 565434 -r-xr-xr-x 21016 r root getty 626 0 /dev 32 crw------- ttyv0 rw root getty 626 1 /dev 32 crw------- ttyv0 rw root getty 626 2 /dev 32 crw------- ttyv0 rw ...... root devd 242 root / 2 drwxr-xr-x 512 r root devd 242 wd / 2 drwxr-xr-x 512 r root devd 242 text / 112 -r-xr-xr-x 281208 r root devd 242 0 /dev 8 crw-rw-rw- null rw root devd 242 1 /dev 8 crw-rw-rw- null rw root devd 242 2 /dev 8 crw-rw-rw- null rw root devd 242 3 /dev 5 crw------- devctl r root devd 242 4* local stream c1089000 root adjkerntz 179 root / 2 drwxr-xr-x 512 r root adjkerntz 179 wd / 2 drwxr-xr-x 512 r root adjkerntz 179 text / 117 -r-xr-xr-x 6912 r root adjkerntz 179 0 - - bad - root adjkerntz 179 1 - - bad - root adjkerntz 179 2 - - bad - root init 1 root / 2 drwxr-xr-x 512 r 3 root init 1 wd / 2 drwxr-xr-x 512 r root init 1 text / 47 -r-x------ 485892 r 1 Прежде всего, конечно, отметилась сама программа fstat(1). Видно, что от имени пользователя emin выполняется команда fstat с PID 84130. В поле FD перечислены файловые дескрипторы этой команды. Обратите внимание: дескрипторы 0, 1, и 2 отв ечают за STDIN, STDOUT и STDERR. Поскольку в нашем случае вывод был направлен в файл, перый дескриптор в поле MOUNT указывает на /usr (на испытуемой машине там находятся пользовательские каталоги). Если бы мы направили вывод на консоль, то в этом месте был бы /dev: $ fstat USER CMD PID FD MOUNT INUM MODE SZ|DV R/W emin fstat 748 root / 2 drwxr-xr-x 512 r emin fstat 748 wd /usr 75413572 drwxr-xr-x 1536 r emin fstat 748 text /usr 34739458 -r-xr-sr-x 14716 r emin fstat 748 0 /dev 114 crw--w---- ttyp0 rw emin fstat 748 1 /dev 114 crw--w---- ttyp0 rw emin fstat 748 2 /dev 114 crw--w---- ttyp0 rw emin fstat 748 3 /dev 10 crw-r----- mem r emin fstat 748 4 /dev 11 crw-r----- kmem r emin fstat 748 5 / 25101 -rw-r--r-- 73728 r ...... а если в pipe, то вывод будет выглядеть так: $ fstat | less USER CMD PID FD MOUNT INUM MODE SZ|DV R/W emin less 731 root / 2 drwxr-xr-x 512 r emin less 731 wd /usr 75413572 drwxr-xr-x 1536 r emin less 731 text /usr 34739548 -r-xr-xr-x 97736 r emin less 731 0* pipe c1ca4780 <-> c1ca482c 0 rw emin less 731 1 /dev 114 crw--w---- ttyp0 rw emin less 731 2 /dev 114 crw--w---- ttyp0 rw emin fstat 730 root / 2 drwxr-xr-x 512 r emin fstat 730 wd /usr 75413572 drwxr-xr-x 1536 r emin fstat 730 text /usr 34739458 -r-xr-sr-x 14716 r emin fstat 730 0 /dev 114 crw--w---- ttyp0 rw emin fstat 730 1* pipe c1ca482c <-> c1ca4780 0 rw emin fstat 730 2 /dev 114 crw--w---- ttyp0 rw emin fstat 730 3 /dev 10 crw-r----- mem r emin fstat 730 4 /dev 11 crw-r----- kmem r emin fstat 730 5 / 25101 -rw-r--r-- 73728 r ...... Видно, что fstat(1) открыл pipe с номерами сокетов c1ca4780 и c1ca482c файловом дескрипторе 1 (STDOUT), а less сделал то же, но в обратном порядке и в файловом дескрипторе 0 (STDIN), через них идёт обмен данными. Вернёмся к примеру. Второй файловый дескриптор направлен, как видно, на консоль ttyp0 (Это поток STDERR). Дескрипторы 3 и 4 общаются с устройствами /dev/mem и /dev/kmem именно из них fstat(1) и берёт всю представленную здесь информацию. В операционных системах BSD нет виртуальной файловой системы /proc. Вся информация предостваляется ядром через упомянутые устройства. Хотя впринципе, если это надо для сов местимости с какими-то программами, можно эмулировать наличие файловой системы /proc. Перед перечнем файловых дескрипторов с номерами, мы видим три строки (самые пер вые) с отметками в поле файлового дескриптора root, wd, text. Их значение: root корневой inod wd рабочий каталог (current working directory) text текст исполнимого файла (собственно код) tr kernel trace file mmap memory-mapped file Зная точку монтирования и номер inod можно найти к чему относятся приведённые значения wd, text и др.: $ fstat USER CMD PID FD MOUNT INUM MODE SZ|DV R/W ...... emin fstat 748 wd /usr 75413572 drwxr-xr-x 1536 r emin fstat 748 text /usr 34739458 -r-xr-sr-x 14716 r ...... $ find -x /usr \( -inum 75413572 -o -inum 34739458 \) -ls 2>/dev/null 34739458 32 -r-xr-sr-x 1 root kmem 14716 30 авг 2005 /usr/bin/fstat 75413572 4 drwxr-xr-x 21 emin emin 1536 20 мар 21:13 /usr/home/emin Синтаксис программы find(1) обсуждается в Раздел 7.6, <<Поиск файла по заданным атрибутам>>. Команда lsof(1), обсуждающаяся ниже, печатает в выводе не только номера inod, но и имена файлов, которые она берёт из кеша ядра. 2 Здесь, для примера, приведены записи о 8-ми экземплярах команды getty(8), которые открыты на терминалах ttyv0?ttyv7 и ждут логина пользователя. (Мы прошли на машину по ssh(1), поэтому ни один из терминалов неиспользован). 3 В конце приведены сведения о процессе init(8) ? родительском процессе для всех прочих процессов. 6.3.2. sockstat(1) Программа sockstat(1) предоставляет информацию о сокетах, как сетевых, так и сокетах доступных в виде файлов. $ sockstat USER COMMAND PID FD PROTO LOCAL ADDRESS FOREIGN ADDRESS emin sshd 84087 3 stream -> ?? emin sshd 84087 4 tcp4 xxx.yyy.zzz.180:22 xyz.yzx.zxy.yxz:56325 root sshd 84084 4 tcp4 xxx.yyy.zzz.180:22 xyz.yzx.zxy.yxz:56325 root sshd 84084 5 stream -> ?? dovecot imap-login 72803 0 tcp4 *:143 *:* dovecot imap-login 72803 3 stream -> ?? dovecot imap-login 72803 8 stream -> /var/run/dovecot/login/default dovecot imap-login 63557 0 tcp4 *:143 *:* dovecot imap-login 63557 3 stream -> ?? dovecot imap-login 63557 8 stream -> /var/run/dovecot/login/default dovecot imap-login 59983 0 tcp4 *:143 *:* dovecot imap-login 59983 3 stream -> ?? dovecot imap-login 59983 8 stream -> /var/run/dovecot/login/default www httpd 58349 3 tcp4 *:80 *:* www httpd 58348 3 tcp4 *:80 *:* www httpd 58347 3 tcp4 *:80 *:* www httpd 46549 3 tcp4 *:80 *:* www httpd 11184 3 tcp4 *:80 *:* www httpd 81458 3 tcp4 *:80 *:* www httpd 32934 3 tcp4 *:80 *:* root dovecot-au 53422 0 stream -> ?? root dovecot-au 53422 3 stream /var/run/dovecot/login/default root dovecot-au 53422 7 stream /var/run/dovecot/login/default root dovecot-au 53422 8 stream /var/run/dovecot/login/default root dovecot-au 53422 9 stream /var/run/dovecot/login/default root dovecot 53421 5 tcp4 *:143 *:* root dovecot 53421 6 dgram -> /var/run/logpriv root dovecot 53421 9 stream /var/run/dovecot/login/default root dovecot 53421 10 stream -> ?? root dovecot 53421 11 stream -> ?? root dovecot 53421 13 stream -> ?? root dovecot 53421 14 stream /var/run/dovecot/auth-worker.53422 root dovecot 53421 15 stream -> ?? www httpd 39377 3 tcp4 *:80 *:* mysql mysqld 636 3 tcp4 *:3306 *:* mysql mysqld 636 4 stream /tmp/mysql.sock www httpd 612 3 tcp4 *:80 *:* www httpd 609 3 tcp4 *:80 *:* www httpd 606 3 stream /var/run/cgisock.536 root httpd 536 3 tcp4 *:80 *:* root cron 499 6 dgram -> /var/run/logpriv smmsp sendmail 484 3 dgram -> /var/run/log root sendmail 480 3 dgram -> /var/run/logpriv root sendmail 480 4 tcp4 *:25 *:* root sendmail 480 5 tcp4 *:587 *:* root sshd 475 3 tcp4 *:22 *:* root ntpd 454 3 dgram -> /var/run/logpriv root ntpd 454 4 udp4 *:123 *:* root ntpd 454 5 udp4 xxx.yyy.zzz.180:123 *:* root ntpd 454 6 udp4 172.16.0.1:123 *:* root ntpd 454 7 udp4 127.0.0.1:123 *:* daemon rpc.lockd 409 3 udp4 *:901 *:* daemon rpc.lockd 409 4 tcp4 *:803 *:* daemon rpc.lockd 409 5 dgram -> /var/run/logpriv daemon rpc.lockd 409 7 udp4 *:797 *:* _pflogd pflogd 402 5 stream -> ?? root pflogd 400 4 stream -> ?? root pflogd 400 5 dgram -> /var/run/logpriv root rpc.lockd 390 3 udp4 *:901 *:* root rpc.lockd 390 4 tcp4 *:803 *:* root rpc.lockd 390 5 dgram -> /var/run/logpriv root rpc.lockd 390 6 udp4 *:720 *:* root rpc.lockd 390 7 udp4 *:797 *:* root rpc.statd 385 4 udp4 *:743 *:* root rpc.statd 385 5 tcp4 *:966 *:* root rpc.statd 385 6 dgram -> /var/run/logpriv root nfsd 375 3 tcp4 *:2049 *:* root mountd 373 4 udp4 *:891 *:* root mountd 373 5 tcp4 *:925 *:* root rpcbind 351 5 stream /var/run/rpcbind.sock root rpcbind 351 6 dgram -> /var/run/logpriv root rpcbind 351 7 udp4 *:111 *:* root rpcbind 351 8 udp4 *:796 *:* root rpcbind 351 9 tcp4 *:111 *:* bind named 279 3 dgram -> /var/run/logpriv bind named 279 20 udp4 xxx.yyy.zzz.180:53 *:* bind named 279 21 tcp4 xxx.yyy.zzz.180:53 *:* bind named 279 22 udp4 172.16.0.1:53 *:* bind named 279 23 tcp4 172.16.0.1:53 *:* bind named 279 24 udp4 127.0.0.1:53 *:* bind named 279 25 tcp4 127.0.0.1:53 *:* bind named 279 26 udp4 *:59517 *:* bind named 279 27 tcp4 127.0.0.1:953 *:* root syslogd 264 3 dgram /var/run/log root syslogd 264 4 dgram /var/run/logpriv root syslogd 264 5 dgram /var/run/log root syslogd 264 6 dgram /var/named/var/run/log root syslogd 264 7 udp4 *:514 *:* root devd 242 4 stream /var/run/devd.pipe Здесь запись типа xxx.yyy.zzz.180:53 означает, что система слушает интерфейс с адресом IP xxx.yyy.zzz.180, порт 53 (из файла /etc/services узнаём, что это сер вер DNS). Запись типа *:22 означает, что на 22-м порту запущен демон sshd. Вот некоторые полезные опции данной команды: -l Список портов открытых на прослушивание -c Список установленных соединений -4, -6 Только протокол IPv4 или IPv6 -n Не производить reverse-DNS запросы (опция присутсвует не во всех реализациях) -u Перечислит открытые локальные UNIX-сокеты. -p 21-23,25,80,110 Фильтр по номерам портов. В данном случае позвляет вывести информацию только по портам 21, 22, 23, 25, 80 и 110. Аналогичную информацию можно получить при анализе вывода программы netstat(1). См. Раздел 6.1.2, <> и Раздел 6.1.2.3, <<Работающие интернет серв исы и открытые сокеты>>. 6.3.3. lsof(1) Это тоже очень полезная программа, которая умеет рассказывать об открытых сокетах, сетевых соединениях и открытых файлах. Данная программа не входит в состав BSD, а доступна исключительно ввиде стороннего продукта (порта или пакета). С опцией -i она может рассказать об открытых интернет-соединениях: $ lsof -i -n | head COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME syslogd 306 root 5u IPv4 0xc18cc708 0t0 UDP *:syslog ntpd 439 root 4u IPv4 0xc18cc654 0t0 UDP *:ntp ntpd 439 root 5u IPv4 0xc18cc5a0 0t0 UDP 192.168.0.4:ntp ntpd 439 root 6u IPv4 0xc18cc4ec 0t0 UDP 192.168.0.6:ntp ntpd 439 root 7u IPv4 0xc18cc438 0t0 UDP 127.0.0.1:ntp sshd 470 root 3u IPv4 0xc18fade0 0t0 TCP *:ssh (LISTEN) sendmail 476 root 4u IPv4 0xc18fac24 0t0 TCP 127.0.0.1:smtp (LISTEN) mysqld 570 mysql 3u IPv4 0xc18fa8ac 0t0 TCP *:3306 (LISTEN) mysqld 570 mysql 3u IPv4 0xc18fa8ac 0t0 TCP *:3306 (LISTEN) Здесь в скобках показано состояние соединения TCP (расшифровку см. выше). Сдела в поиск по слову ESTABLISHED мы можем узнать соединения, по которым в данный момент могут передаваться данные: $ lsof -i -n | grep ESTABLISHED | head sshd 53540 root 4u IPv4 0xc28ae1bc 0t0 TCP xxx.yyy.zzz.xyz:ssh->xxx.yyy.zzz.zyx:52954 (ESTABLISHED) sshd 53542 emin 4u IPv4 0xc28ae1bc 0t0 TCP xxx.yyy.zzz.xyz:ssh->xxx.yyy.zzz.zyx:52954 (ESTABLISHED) httpd 47448 www 66u IPv4 0xc1f296f0 0t0 TCP xxx.yyy.zzz.xyz:http->**************:31825 (ESTABLISHED) httpd 51286 www 66u IPv4 0xc2407378 0t0 TCP xxx.yyy.zzz.xyz:http->***********:2381 (ESTABLISHED) httpd 51314 www 66u IPv4 0xc21c3534 0t0 TCP xxx.yyy.zzz.xyz:http->*************:11009 (ESTABLISHED) httpd 51316 www 66u IPv4 0xc1b6dde0 0t0 TCP xxx.yyy.zzz.xyz:http->************:3664 (ESTABLISHED) httpd 52426 www 66u IPv4 0xc2407a68 0t0 TCP xxx.yyy.zzz.xyz:http->************:10555 (ESTABLISHED) httpd 53595 www 66u IPv4 0xc208ec24 0t0 TCP xxx.yyy.zzz.xyz:http->*************:55420 (ESTABLISHED) httpd 53666 www 66u IPv4 0xc43adde0 0t0 TCP xxx.yyy.zzz.xyz:http->**************:3339 (ESTABLISHED) httpd 53778 www 66u IPv4 0xc1fa8534 0t0 TCP xxx.yyy.zzz.xyz:http->*************:33735 (ESTABLISHED) Следующий скрипт отслеживает количество соединений с web-сервером apache, и печатает статистику, по которой можно установить с какого IP пришло слишком много запросов. #!/bin/sh while : do echo "========== `/bin/date` ==========" /usr/local/bin/lsof -i -n |\ /usr/bin/awk '/^httpd.*ESTABLISHED/{print $9}' |\ /usr/bin/sed 's/.*->\([0-9.]*\):.*/\1/' |\ /usr/bin/sort | /usr/bin/uniq -c | /usr/bin/sort -n -k1,1 /bin/sleep 5 done Ту же задачу, впрочем, можно решить и при помощи команды netstat(1): #!/bin/sh while : do echo "========== `/bin/date` ==========" /usr/bin/netstat -n | /usr/bin/awk '/62\.117\.108\.4\.80 .*ESTABLISHED/{print $5}' |\ /usr/bin/sed 's/\.[0-9]*$//' |\ /usr/bin/sort | /usr/bin/uniq -c | /usr/bin/sort -n -k1,1 /bin/sleep 5 done Без опции -i программа lsof(1) выводит информацию об открытых файлах. Вывод её несколько удобнее, чем у программы fstat(1), так как включает в себя не только номера inod'ов, но и имена файлов, которые она берёт из кеша ядра. 6.3.4. nmap(1) Программа nmap(1) сканирует порты, доступные на системе, иногда позволяет по fingerprint'у определить тип операционной системы на изучаемой системе: $ nmap scanme.nmap.org Starting Nmap 4.00 ( http://www.insecure.org/nmap/ ) at 2006-03-24 18:56 MSK Interesting ports on scanme.nmap.org.48.153.217.205.in-addr.arpa (205.217.153.62): (The 1660 ports scanned but not shown below are in state: filtered) PORT STATE SERVICE 22/tcp open ssh 25/tcp closed smtp 53/tcp open domain 70/tcp closed gopher 80/tcp open http 113/tcp closed auth 135/tcp open msrpc 136/tcp open profile 137/tcp open netbios-ns 138/tcp open netbios-dgm 139/tcp open netbios-ssn 445/tcp open microsoft-ds Nmap finished: 1 IP address (1 host up) scanned in 258.100 seconds Программа nmap(1) имеет различные опции указывающие каким образом она должна смотреть открыт ли порт. Разумеется программа эта может быть использована как в о благо (тестирование своего собственного брандмауэра), так и во вред. Тем более администратор должен знать о её возможностях. По умолчанию программа занимается тем, что по очереди перебирает порты и посылает по ним SYN пакеты, а в ответ на SYN/ACK пакет высылается пакет RST (см. Раздел B.1.4.3, <>). Возможны и другие способы сканирования, путём отсылки ACK пакетов, UDP пакетов и др. Всё это подробным образом освещяется в справочной странице по nmap(1). По необъяснимой для меня причине столь разрушительная программа в портах FreeBSD устанавливается так, что запустить её может кто угодно. На мой взгляд, первое, что должен выполнить администратор после установки такой программы, это команду: chmod 500 /usr/local/bin/nmap. Я конечно понимаю, что пользователь всё равно может собрать её локально, но зачем же его к этому подталкивать? Это я понять немогу. В следующем разделе я расскажу о неменее разрушительной программе hping(8), которая, почему-то не входит в курс BSDA. 6.4. Проверка доступности TCP/IP сервиса Описание. Кандидат BSDA должен уметь определить доступна ли удалённая система через TCP/IP и, если да, уметь при помощи telnet(1) убедиться отвечает ли серв ис на клиентские запросы. Практика. ping(8), traceroute(8), telnet(1), nc(1) на FreeBSD и OpenBSD Комментарий 6.4.1. ping(8) Утилита ping предназначена для того, чтобы при помощи отправки ICMP пакетов убедиться в работоспособности хоста. Утилита настолько широкоизвестна, что нав ерное нет необходимости подробно о ней говорить. Заметим только, то, о чём многие порой забывают: у утилиты ping(8) есть масса разных аргументов, и её можно использовать для разнообразнейшей диагностики. В скриптах полезно бывает применять опцию -c при помощи которой можно сказать после какого числа посланных и принятых (или не принятых) ICMP пакетов работа программы останов ится (по умолчанию, она работает бесконечно, пока пользователь не нажмёт сочетание клавиш Ctrl+C). Опция -i позволяет задать интервал времени между пакетами (по умолчанию 1 секунда). Опция -I позволяет задать конкретный интерфейс, с которого будет отправлен пакет (если вопреки таблице маршрутизации его надо послать куда-то в другое место). -S позволяет задать некоторый конкретный IP адрес источника пинга. Очень разрушительная опция, но весьма полезная в диагностике состояния сети ? -f позволяет совместно с опцией -c отправить одновременно множество ICMP пакетов (устроить так называемый флуд (flood ? наводнение, поток, жарг. болтовня)). В случае наличия помех в сети часть пакетов будет потеряна, при нормальном пинге пакеты скорее всего пройдут полностью. Ниже дан пример такой <<атаки>> совершённой в сети с некачественным оборудованием (не качественным на физическом уровне). $ ping -f -c 10000 192.168.0.12 Password: PING 192.168.0.12 (192.168.0.12): 56 data bytes ............................................... --- 192.168.0.12 ping statistics --- 10000 packets transmitted, 6301 packets received, 36% packet loss round-trip min/avg/max/stddev = 0.159/0.173/0.594/0.017 ms Как видим, 36% пакетов было потеряно. В нормальной локальной сети, с хорошими проводами и не перенапряжёнными коммутаторами, такая <<атака>> не должна прив одить к значительным потерям пакетов. Ещё один <<необычный>> способ использования программы ping(8) может состоять в том, чтобы пинговать широковещательный адрес сети. В этом случае на пинги могут начать отвечать разные машины в сети (а могут и не отвечать, это зависит от их настроек). Таким образом можно попытаться получить информацию о том, какие машины в локальной сети в настоящий момент включены. Не все хосты обязаны отвечать на запросы программы ping(8). Обычно программа ping(8) посылает пакеты, которые называются ECHO_REQUEST и ожидает получить пакет ECHO_RESPONSE. Однако варианты ответов могут быть разными. Ниже показан в ариант с ответом <>. Такой ответ, однако, означает, что на той стороне есть <<живая>> машина. $ ping -c1 192.168.25.24 PING cube.mccme.ru (192.168.25.24): 56 data bytes 92 bytes from cube.mccme.ru (192.168.25.24): Destination Port Unreachable Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 5400 f8d6 0 0000 40 01 fcfe 192.168.25.158 192.168.25.24 --- 192.168.25.24 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss Немного напоминает знаменитый диалог Винни-Пуха и Пятачка: Тут он наклонился, сунул голову в нору и крикнул: ? Эй! Кто-нибудь дома? Вместо ответа послышалась какая-то возня, а потом снова стало тихо. ? Я спросил: <<Эй! Кто-нибудь дома? ? повторил Пух громко-громко. ? Нет! ? ответил чей-то голос. ? И незачем так орать, ? прибавил он, ? я и в первый раз прекрасно тебя понял. ? Простите! ? сказал Винни-Пух. ? А что, совсем-совсем никого нет дома? ? Совсем-совсем никого! ? отвечал голос. Тут Винни-Пух вытащил голову из норы и задумался. Он подумал так: <<Не может быть, чтобы там совсем-совсем никого не было! Кто-то там всё-таки есть ? ведь кто-нибудь должен же был сказать: <<Сов сем-совсем никого!>>>> Не путайте ответы <> и <>. Последний генерируется маршрутизатором (или, в частном случае в ашей собственной машиной), если он не знает куда послать пакет: $ ping -c1 192.168.25.1 PING 192.168.25.1 (192.168.25.1): 56 data bytes 36 bytes from gateway (172.16.0.1): Destination Host Unreachable Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 5400 9514 0 0000 40 01 5fd9 172.16.0.2 192.168.25.1 --- 192.168.25.1 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss В первом (<<Винни-Пуховском>>) примере мы получили ответ от машины, которую мы и пинговали, следовательно она всё-таки включена. А во втором примере, пакет не был доставлен машине, так как она не была найдена (в приведённом примере не была найдена не только машина, но даже сеть, в которой она должна находиться). 6.4.2. traceroute(1) Команда traceroute(1) в некоторых случаях позволяет выяснить маршрут от одного компьютера до другого. Для этого она посылает пакеты на целевую машину последов ательно увеличивая параметр TTL (time to live). В норме TTL должен уменьшаться на единицу на каждом маршрутизаторе, пока не станет равным нулю. Если он обнулится, пакет будет отброшен, а отославшей его стороне вернётся пакет ICMP TIME_EXCEEDED. В этом пакете будет присутствовать IP маршрутизатора, который его послал. По этой информации traceroute(1) сможет перечислить машины, через которые идут пакеты до целевой машины. [Замечание] Замечание Имейте ввиду: не все маршрутизаторы уменьшают TTL. Некоторые из них могут оказаться прозрачными для traceroute(1). Для примера, попробуем выяснить маршрут к несуществующей сети: $ traceroute -n 10.0.0.1 traceroute to 10.0.0.1 (10.0.0.1), 64 hops max, 40 byte packets 1 172.16.0.1 0.418 ms 0.781 ms 0.228 ms 2 172.16.0.1 1.703 ms !H 0.585 ms !H 0.491 ms !H Здесь мы выполняли команду traceroute(1) на машине 172.16.0.2. Она не знает маршрута к хосту 10.0.0.1 и пересылает пакет на машину 172.16.0.1 ? свой маршрутизатор по умолчанию, а тот вернул ответ <>, о чём свидетельствует флаг !H. Эта строка появилась потому, что брандмауэр на маршрутизаторе 172.16.0.1 не выпускает пакеты предназначенные для приватных сетей на свой дефолтный маршрутизатор возвращая ICMP пакет с сообщением об ошибке. Строка с номером 1 это результат работы первого пакета ICMP, в котором TTL был выставлен в 1. Этот пакет достиг машины 172.16.0.1, но дальнейшей маршрутизации не претерпел, так как у него истёк срок жизни, поэтому сообщение об ошибке сгенерировано не было. И только следующий пакет ICMP с TTL= 2, породил сообщение об ошибке. Далее идут несколько умозрительные примеры, почёрпнутые из справки по команде traceroute(1). $ traceroute -n 192.168.2.1 traceroute to 192.168.5.1 (192.168.5.1), 64 hops max, 40 byte packet 1 172.16.0.1 0.418 ms 0.781 ms 0.228 ms 2 192.168.0.1 39 ms 39 ms 19 ms 3 192.168.0.1 39 ms 39 ms 19 ms 4 192.168.1.1 39 ms 40 ms 39 ms 5 192.168.2.1 39 ms 39 ms 39 ms Заметьте, что строки 2 и 3 совпадают ? это происходит потому, что на втором маршрутизаторе имеются ошибки в ядре ? система 4.3BSD маршрутизирует пакет с нулевым TTL. $ traceroute -n 192.168.9.1 traceroute to 192.168.9.1 (192.168.9.1), 64 hops max 1 172.16.0.1 0.418 ms 0.781 ms 0.228 ms 2 192.168.0.1 39 ms 39 ms 19 ms 3 192.168.0.1 39 ms 39 ms 19 ms 4 192.168.1.1 39 ms 40 ms 39 ms 5 192.168.2.1 39 ms 39 ms 39 ms 6 * * * 7 192.168.4.1 259 ms 499 ms 279 ms 8 * * * 9 * * * 10 * * * 11 * * * 12 192.168.9.1 339 ms 279 ms 279 ms Шлюзы 6, 8, 9, 10 и 11 либо не высылают нам ICMP с сообщением <