adminis traci on linux

7/14/2019 Adminis Traci on Linux

http://slidepdf.com/reader/full/adminis-traci-on-linux 1/97

Diseño de Sistemas

Operativos

Introducción a la Administración de

Sistemas UNIX

RAOSDI



2

Índice

Introducción

Directorios del sistema

Gestión de usuarios

Arranque del sistema

Variantes de shells

Discos y sistemas deficheros

Servicios de red

Servicios internos

Instalación de nuevo

software Terminales gráficos

Interoperabilidad conotros SSOO

Auditoría del sistema Seguridad en sistemas

Unix



3

Introducción

Tareas del administrador:

– Servicio a los usuarios.

– Mantenimiento y actualización del software.

– Auditoria de seguridad y rendimiento del

sistema.

– Gestión de recursos.



4

Herramientas de

AdministraciónCasi todos los sistemas operativos UNIXtienen su propio conjunto de herramientas de

administración: – admintool (Sun Solaris)

– control-panel (Linux-RedHat)

– Yast (Linux-SuSe).

– smit (IBM AIX).

– sysadmsh (XENIX).



5



6

Tipos de Instalaciones

Se pueden dividir las instalaciones en tres

diferentes categorías:

– Estaciones de trabajo monousuario.

– Servidores multiusuario.

– Clusters de maquinas.



7

Conocimientos del

Administrador Es recomendable para el administrador el

conocimiento de:

– Funcionamiento interno del sistema.

– Seguridad y comunicaciones.

– Programación (scripts, perl, awk, ...).

– Instalación de componentes hardware.

– Otros sistemas operativos.



8

Árbol de Directorios UNIX

/bin: Ejecutables básicos del

SSOO.

/dev: Ficheros especiales

asociados a dispositivos.

/etc: Configuración del sistema.

/home: Directorio de cuentas de

usuarios.

/lib: Librerías básicas del

sistema.

/ /bin

/dev

/etc

/home /lib

/mnt

/opt

/proc

/sbin

/tmp

/usr

/var

/lib

/include

/etc

/bin

/local

/man



9


/mnt: Directorio de montaje de

ciertos sistemas de ficheros.

/opt: Aplicaciones adicionales

del sistema.

/proc: Sistema de ficheros

virtual para la gestión de recursos.

/sbin: Ejecutables de

administración del SSOO.

/ /bin

/dev

/etc

/home /lib

/mnt

/opt

/proc

/sbin

/tmp

/usr

/var

/lib

/include

/etc

/bin

/local

/man



10


/tmp: Directorio para ficheros

temporales.

/usr: Aplicaciones adicionales

del SSOO.

/usr/local: Programas

locales del sistema.

/var: Directorio para ficheros de

log y colas de trabajos.

/ /bin

/dev

/etc

/home /lib

/mnt

/opt

/proc

/sbin

/tmp

/usr

/var

/lib

/include

/etc

/bin

/local

/man



11

Directorio /dev

Agrupa entradas de tres diferentes tipos:

– Dispositivos de tipo carácter.

– Dispositivos de tipo bloque.

– Dispositivos virtuales (/dev/zero).

Todos estos dispositivos tienen asociado un

minor y un major number .



12

Directorio /proc

Se corresponde con un sistema de ficheros

virtual (no tiene soporte en disco). Las

entradas del directorio son: – Procesos en ejecución.

– Información del sistema.

– Mapping de recursos del sistema.



13

Directorios Dependientes dela Versión de Sistema

Operativo /boot: Directorio de la imagen del kernel (Linux).

/kernel: Idem (Solaris/SunOS).

/osf_boot: Idem (OSF/1). /u: Cuentas de usuarios (AIX y otros).

/usr/ucb: Aplicaciones de University of California, Berkeley

(Solaris, OSF/1 y otros).

/devices: Dispositivos asignados por controladoras(Solaris/SunOS).

/usr/openwin: Sistema de Ventanas Openwin (SunOS).



14

Propietarios de los Directorios

La mayoría de directorios y ficheros pertenecen al usuario root o a otros usuarios

privilegiados del sistema. Las excepciones son:

– Cuentas de usuario: /home

– Ficheros temporales: /tmp

– Entradas de las colas de trabajos: /var

– Las imágenes de los procesos: /proc



15

Propietarios de los Directorios

Si ciertos usuarios requieren accesos

especiales a ciertos ficheros, esto se

resuelve haciendoles pertenecer a grupos privilegiados.

– Grupos: disk , printer , adm, ...

Llamadas: chown, chgrp, chmod, chattr , ...



16

Gestión de Usuarios

Creación de un usuario:

– Insertarlo en el fichero de usuarios.

– Asignarle un passwd . – Definir parámetros (limites).

– Crear el directorio home.

– Copiar ficheros iniciales (/etc/skel).

– Cambiar el propietario del home.

– Dar de alta en mail , quota, ...



17

Gestión de Usuarios

Fichero de usuarios: /etc/passwd usuario:passwd:uid:gid:desc:home:shell

Fichero de grupos: /etc/group grupo:<reserved>:gid:usuarios...

Fichero de Passwords: /etc/shadow usuario:passwd:parámetros...

Gestión de usuarios distribuida: NIS



18

Login de un Usuario

Al conectarse un usuario al sistema:

– Se evalúa si el modo de conexión (local o

remoto) es válido para dicho usuario (en base algetty).

– Se arranca el programa shell asociado.

–

Configuración de la sesión: general(/etc/profile) y de usuario

(~/.profile).



19

Deshabilitar Usuarios

Para cerrar o deshabilitar una cuenta (sin borrar su contenido):

– Bloquear el password de la cuenta (*).

– Cambiar el shell de acceso (mensaje).

#!/bin/tail +2

La cuenta se encuentra bloqueada.

Hable con el adiministrador



20

Cambio de Usuario

Para cambiar de usuario al iniciar una sesiónse usa el comando su:

–su - usuario : Cambia de usuario y carga

su configuración.

–su usuario : Sólo cambia de usuario.

Si no se indica el usuario se cambia al usuario

root.



21

Usuarios de Sistema

root: Administrador (UID 0).

daemon: Ejecutas procesos de servicio del

sistema (UID 1). bin: Propietario de ejecutables (UID 2).

sys: Ficheros de sistema (UID 3).

adm : Ciertos log (UID 4). nobody: Usuario sin privilegios.

...



22

Arranque del Sistema

Arranque del kernel.

Montar el sistema de ficheros raíz.

Arranque del proceso init (PID 1).

Montaje del resto de sistemas de ficheros.

Inicialización de los terminales.

Activación del runlevel (demonios).



23

Runlevels Estándar

Runlevel 0: Parada del sistema.

Runlevel 1: Modo mantenimiento.

Runlevel 2: Multiusuario sin red (NFS).

Runlevel 3: Multiusuario.

Runlevel 4: <Reservado>

Runlevel 5: Terminal gráfico.

Runlevel 6: Rearranque del sistema.



24

Fichero /etc/inittab

Cada entrada tiene el formato:

id:runlevels:action:process args

–id : Identificador único.

– runlevels: Niveles en los que se ejecuta.

– action: Modo de ejecución.

– process args: Proceso a ejecutar.



25

Tipos de Acciones Estándar

Las acciones habituales son:

wait: Arranca el proceso y espera a su

finalización antes de seguir. respawn: Arranca el proceso automáticamente en

el caso de que muera.

once: Si no esta arrancado arrancalo (sin esperar). boot: Ejecuta sólo en el arranque (sin esperar).

off: Si el proceso está en ejecución mátalo.



26

Inicialización de Terminales

init

init getty login sh

sh ls

fork

fork

exec exec exec

exec

Login:chema password: ******

/dev/tty0

# ls



27

Modificación del Runlevel en

EjecuciónSe puede reiniciar el proceso init, (por

ejemplo al cambiar la configuración)

mandando una señal HUP.

El nivel de ejecución actual se puede cambiar

invocando a init con el nuevo runlevelcomo argumento.



28

Scripts del Sistema

El directorio /etc/init.d/ es el usado

para mantener los scripts de arranque de los

servicios del sistema. – Son scripts (/bin/sh) no binarios.

– Reciben diferentes argumentos (start,

stop, status, restart, ...).



29

Scripts del Runlevel

Directorio de scripts

del sistema:

/etc/init.d/

/ /etc /init.d

/rc3.d

Directorio de cada runlevel :/etc/rc3.d/

/network

/S10network

Symbolic

link

S10networkstart/stop orden script S K



30

Parada del Sistema

Notificación a los usuarios.

Envía una señal a los procesos para su

terminación.

Entrada en modo monousuario (saca los

usuarios y mata al resto de procesos).

Sincronización de los sistemas de ficheros(sync).



31

Shells del Sistema

Existen diversas familias de shells:

– Bourne shell (sh/ bash).

– Korn shell (ksh).

– C shell (csh).

– TC shell(tcsh).

Con otras funcionalidades:

– Restricted shell (r-sh).

– Secure shell (ssh).



32

Configuración del Shell

Existen dos niveles de ficheros de

configuración:

– General: /etc/profile

/etc/bashrc, /etc/cshrc, ...

–

De usuario: ~/.profile

~/.bashrc, ~/.cshrc



33

Otros Servicios

Ciertos servicios se filtran basándose en el

shell del usuario que lo invoca.

El fichero /etc/shells indica qué

ejecutables son shells válidos para el resto de

servicios.



34

Shells de Programación

Perl:

– Tratamiento de expresiones regulares.

– Interfaz con C y Librerías de utilidades.

AWK:

– Precesador de campos.

Tcl / Tk:

– Componentes gráficos (ventanas).



35

Gestión de Dispositivos de

AlmacenamientoLas fases de uso de un soporte de

almacenamiento son:

– Dar formato al soporte (no siempre necesario).

– Particionamiento (si es aplicable).

– Creación del sistema de ficheros.

– Utilización del soporte.



36

Tipos de Dispositivos

UNIX define dos tipos de dispositivos:

– Dispositivos de tipo bloque (discos).

– Dispositivos de tipo carácter (cintas).

En ciertos UNIX el mismo dispositivo físico

puede ser gestionado en modo bloque y modocarácter.



37

Particionamiento de Discos

El formato de las particiones y características,

depende del SO:

– Linux: fdisk, diskdruid . – Solaris/SunOS: format.

– AIX: smit.



38

Creación de un Sistema de

FicherosTambién depende del SO y del sistema deficheros que soporte.

Opciones: – Espacio reservado al root.

– Número de i-nodos.

– Opciones de verificación.

Linux: mkfs



39

Modelos de Sistemas de

FicherosExisten diferentes modelos de sistemas de

ficheros:

– Sistemas de ficheros tradicionales: ext2fs,ufs, minix, ...

– Sistemas de ficheros transaccionales: jfs,

afs, ...

Diferentes ventajas en la verificación deintegridad (fsck).



40

Estrategias

Es recomendable la creación de los siguientesSF independientes:

–

/ (Sistema tamaño justo).– /usr (Aplicaciones tamaño justo).

– /home (Cuentas mucho tamaño).

– /usr/local - /opt (Mucho tamaño).

–/var (Logs bastante tamaño).

– swap - /tmp (Depende de la carga).



41

Estrategias

Se recomienda:

– Mantener las cuentas en un disco diferente del

sistema. – Separar los SF de mayor acceso en diferentes

discos ( swap y sistema).

–

Ubicar las particiones de forma que sea posibleredistribuir los discos.

– Vigilar el porcentaje de disco libre.



42

Automatización del Montaje

de Sistemas de FicherosTras montar la partición / el sistema monta el

resto de sistemas de ficheros:

– Linux: /etc/fstab – Solaris: /etc/ufstab

– AIX: /etc/filesystems

– ...



43

Dispositivos sin Sistema de

FicherosCiertas utilidades pueden usarse para acceso

a dispositivos sin uso de sistema de ficheros:

–dd , cpio o tar.

Ejemplo: dd if=data.img of=/dev/fd0

Pueden usarse como utilidades de backup elementales.



44

Sistemas de Backup

Esquemas de backup:

– Backups completos: Se copia toda la

información. – Backups incrementales: Sólo los ficheros

modificados se copian.

Habitualmente se combinan los dos esquemas.



45

Decisiones de Backup

Una estrategia de backup debe incluir:

– Estimación del volumen de datos.

– Selección de los ciclos de backup.

– Automatización (cliente/servidor).

– Verificación del sistema.

Herramientas de backup: Amanda.



46

Dispositivos Redundantes

Dispositivos RAID:

sd01

/ /bin

/etc

/usr

/var

sd02 sd03

RAID

/ /bin

/etc

/usr

/var

md1



47

Tecnología RAID

Hay varios modelos de RAID:

– Modo lineal: Concatena volúmenes.

– RAID 0: Modo alternado de bloques.

– RAID 1: Redundancia ( Mirroring ).

– RAID 4: Disco de paridad.

– RAID 5: Bloques de paridad.

Discos de reserva: spare disks.

Configuración: /etc/raidtab



48

Cuotas de Disco

Asocia a cada usuario/grupo un limite deespacio en disco.

Dos límites: – Soft limit: Límite informativo.

– Hard limit: Espacio máximo disponible.

Límites aplicables a cada sistema de ficheros.Se verifican en el arranque de la máquina y encada login.



49

Configuración de TCP/IP

Configuración del interfaz:

– Dispositivo de red (e.g. /dev/le0).

– Asignar dirección IP.

– Máscara de red.

– Dirección Broadcast.

– Subred.Ejemplo:

+

ifconfig eth0 138.100.9.101 netmask 255.255.248.0 up



50


Encaminamiento IP:

– Encaminamiento local.

– Encaminamiento dentro de la subred.

– Encaminamiento externo (Router).

Ejemplos:

route add -host 127.0.0.1 loroute add -net 138.100.8.0 netmask 255.255.248.0 eth0route add default gw 192.168.1.1 eth0route add default ppp0



51


Configuración dinámica:

– Protocolo BOOTP

– Protocolo DHCP.

clienteervidor

dhcpd

MAC=0A:12:A1:00:B2:24:AE

IP=138.100.9.201



52

Configuración de un Router

Servicio de encaminamiento:

– Máquina con dos interfaces de red.

– Intercambio de tablas de encaminamiento entrerouters (RIP/OSPF).

– Emisor de ciertos mensajes ICMP.

Demonio: routed , gated



53

Resolución de Nombres

Orden de resolución:

– /etc/host.conf

Resolución de nombres local:– /etc/hosts

Resolución de nombres remota:

–

/etc/resolv.conf – Identificador y dominio de la máquina.

– Dirección del servidor de nombres.



54

Configuración de un Servidor

de NombresDNS en modo cache:

– Resuelve peticiones y almacena los resultados.

– Siempre tiene un DNS superior.

DNS autónomo:

– Mantiene una BD propia.

– Incluye el anterior.

Demonio: named



55

Demonios de Red

Dos modalidades de

servicios:

– Dependiente del

inetd .

– Autónomo (modo

standalone).

21

23

80

inetd

in.ftpd

in.telnetd

httpd



56

Demonio inetd

Puertos estándar de servicio: /etc/services#nombre puerto/protocolo alias

telnet 23/tcptime 37/udp timeserver

Programas de servicio: /etc/inetd.conf#servicio socket proto flags usr serv

telnet stream tcp nowait root ....time dgram udp wait root internal



57

Servicios RPC de Sun

Servicios de red de SUN:

– NFS (Network File

System)

– NIS (Network

Information System)

Usan un demonio de

enlace: portmapper

nfsd

portmapper

nfs 1.003nis 1.004

111

function(...)

1

2 3



58

Sistemas de Ficheros en Red

Permite exportar sistemas de ficheros a otras

máquinas.

Servidor: – Asignación de permisos.

– /etc/exports o share.

Cliente: mount -t nfs laurel:/usr/local /opt



59

Usuarios de Dominio (NIS)

Servicio NIS / NIS+:

– Mantiene bases de datos compartidas por varias

máquinas. – Usuarios, grupos y otros ficheros de

configuración.

– Organización Cliente/Servidor.



60

Usuarios de Dominio (NIS)

Maestro o Servidor NIS:

– Define un dominio (domainname).

– Iniciar las bases de datos de NIS.

– Publicar las bases de datos del sistema.

Cliente NIS:

– Definir el mismo dominio.

– Modificar el mecanismo de búsqueda de datosen las BD locales/remotas.



61

Terminales Remotos

Existen tres servicios de terminal remoto:

– rsh (remote shell ).

– rlogin (remote login). – telnet (terminal remoto).

Configuración:

– /etc/hosts.equiv – ~/.rhosts



62

Otros Servicios

Servidor Web:

– Apache, NCSA.

Servidor FTP: – WU-ftp.

Agente de correo:

–

Sendmail, Postfix Servicios de correo:

– IMAP, POP.



63

Opciones del Protocolo IP

El protocolo IP ofrece:

– IP Masquerading: Usar una sola dirección IP

para varias máquinas. – IP Accounting: Estadísticas y análisis de

paquetes.

– IP Aliasing: Varias direcciones IP a las misma

tarjeta.

– IP Forwarding: Redirección de paquetes.



64

Servicios Internos

Otros servicios adicionales UNIX:

– Servicio de Impresión (lp).

– Servicio de Programación de Tareas:

Tareas pendientes.

Tareas periódicas.



65

Servicio de Impresión

Demonio de Impresión (lpd):

– Asociado al dispositivo de impresora.

– Gestiona la cola de trabajos. – Preprocesa el documento a imprimir.

lpd

filtro /dev/lp0

/var/spool/lp/...



66

Filtros de Impresión

Pequeños scripts que procesan la entrada

(documento) y transmiten su salida a la

impresora: – Filtros texto: retornos de carro y otras opciones

de impresión.

– PostScript: Interpretación postscript de la

impresora (gs).



67

Configuración del Demonio

Fichero: /etc/printcap

– Todas las impresoras del sistema.

– Impresoras: locales.

remotas (otros UNIX o independientes).

compartidas (otros SSOO).

– Ficheros de configuración y filtros.



68

Programación de Tareas

Demonio atd :

– Ejecuta un comando en un instante

determinado. – Informa al usuario (vía mail ).

Demonio crond :

– Mantiene una serie de tablas de tareashabituales: /etc/crontab

– Tareas de administración.



69

Instalación de Nuevo Software

Distribución de Software:

– Paquetes de instalación.

– Binarios comprimidos. – Código fuente (para dicho SSOO).

– Código fuente a portar.



70

Paquetes de Instalación

El formato de paquete depende del SSOO:

– RedHat y otros linux: RPM.

– Solaris: PKG. – AIX: SMIT.

– ...



71

Código Binario

Posibles problemas:

– Sistemático en la instalación.

– Problemas de versiones de librerías y otros programas, ...

– Problemas de seguridad.

Formatos (comprimidos):.tar.gz, .tgz, .tar.Z, .shar o .bz



72

Código Fuente

Posibles problemas:

– Configuración de las fuentes: IMake oconfigure (generan un Makefile).

– Compilador adecuado (C o C++).

– Instalación del programa.

$ ./configure$ make

$ make install



73

Terminales Gráficos

X Window:

– Entorno gráfico de los sistemas UNIX.

– Arquitectura Cliente/Servidor – Diferentes niveles (librerías) de desarrollo.

– Nuevos problemas de seguridad.



74

X Window

Servidor:

– Asociado al terminalgráfico.

– Muestra en pantalla los pixels.

Cliente:

– Aplicación con salida

gráfica. – Está asociada a un

servidor.

Servidor X

xterm

xterm

window

manager



75

X Window

Servidor:

– Interactúa con el hardware gráfico.

– Acepta mensajes X11.

Clientes:

– Usan primitivas para dibujar en el servidor.

– Pueden ser aplicaciones remotas. – Gestor de ventanas: window manager



76

Hardware

Kernel

Desarrollo en X Window

Librerías de alto nivel:

– Motif

– Qt

– ...

Librerías de bajo

nivel:

– X11 – Xlib

X11

Xlib

XtoolkitMotif

Aplicaciones X



77

XDM

El servicio XDM (X desktop manager):

– Proporciona un login gráfico.

– Asociado al runlevel 5 (gráfico). – Se rearranca si el servicio cae.

– Puede ser accedido desde puestos remotos.



78

Interoperabilidad con

Microsoft WindowsEl protocolo SMB (Session Message Block)

lo utilizan los sistemas MSWin para compartir

discos e impresoras.

La implementación de este protocolo en

UNIX se denomina Samba.



79

Cliente/Servidor Samba

unix windows C:

printer

/home

printer

<cuentas>

• Gestión de usuarios (cuentas)

• Impresoras compartidas.

• Directorios compartidos.

• Impresoras compartidas.

• Directorios compartidos.

SMB



80

Servidor Samba

La configuración de un servidor Samba

arranca dos demonios:

– smbd : Demonio de SMB.

– nmbd : Servicio de nombres NetBIOS.

Configuración: /etc/smb.conf



81

Cliente Samba

Existen las siguientes herramientas:

– smbclient: Conexión a recursos (modo

FTP). – smbsun: Ejecución de programas.

– smbprint: Impresión remota.

– smbmnt

: Permite montar discos compartidos.



82

Auditoría del Sistema

Los directorios /var/log o /var/adm

contienen información sobre ciertas

operaciones registradas en el sistema: – Accesos de usuarios.

– Mensajes del kernel.

–

Arranque y parada del sistema. – Errores de ciertos demonios.



83

Conexiones al Sistema

Ficheros de acceso:

– Registra las conexiones.

– En algunos casos, tiene formato binario. – Se consulta por medio del comando last.



84

Gestión de Logs

La gestión de los ficheros log comprende:

– Selección de eventos a registrar.

– Los ciclos de rotación. – La compresión de los logs.

– Verificaciones de integridad.



85

Carga del Sistema

La utilidad uptime proporciona una

estimación de la carga del sistema:

Otras utilidades:

ps, top, xload , perfmeter, ...

# uptime

3:24pm up 6 days, 2:30, 5 users, load average: 0.23, 0.32, 0.26



86

Memoria del Sistema

Las utilidades como vmstat o sar miden el

uso de la memoria del sistema:

– Acceso a swap.

– Estado de los procesos.

– Memoria usada del sistema.

– Porcentaje de CPU usada.



87

Límites de Recursos

A un usuario se le restringen los límites de

recursos a utilizar por medio de la llamada

ulimit. – Por lo general los límites generales se definen

en el fichero /etc/profile que todos los

usuarios ejecutan.



88

Seguridad

Puntos de interés:

– Seguridad Interior: Programas con permisos.

– Seguridad Exterior: Servicios de red.

– Detección de Intrusiones: Una vez que han

superado la seguridad.

La mejor defensa es no tener una máquina coninstalación estándar .



89

Seguridad Interior

Programas con permisos de ejecución privilegiada: Bit s.

– Si el programa no se usa: eliminarlo.

– Si se usa: instalar la versión más actualizada.

– Restringir los privilegios de ciertos usuarios

(restricted shells).



90

Seguridad Exterior

Servicios de red del sistema:

– Si no se usa: eliminarlo.

– Si se usa: tenerlo actualizado.

– Saber quien debe usar cada servicio (desde

dónde se usa).



91

Filtrado de Conexiones

Los TCP wrappers son un paquete de

seguridad basado en filtrar conexiones al

inetd.Configuración:

– /etc/hosts.allow

– /etc/hosts.deny



92

TCP Wrappers

# /etc/hosts.deny

ALL: PARANOID # Direciones sospechosas

ALL: ALL # Todos los servicios

# /etc/hosts.allow

telnetd, ftpd: LOCAL, .fi.upm.es

fingerd: ALL: (finger @%h | mail -s "finger @%h" root)



93

Salvaguarda de los Log

Una intrusión en la máquina intenta borrar sus

“huellas”:

– Análisis de los ficheros de log.

– Protecciones especiales (append ).

– Salvaguarda periódica de los log.

–

Renombrar ficheros de log.



94

Integridad del Sistema

La verificación periódica del sistema:

– Automatizada (crontab).

– Comparar los directorios del sistema.

– Chechsums o CRCs de los ficheros.

– Fecha/Hora arranque de los servicios.

– Puertos de servicio del sistema.



95

Passwords por la Red

La transmisión de passwords por la red puede

ser interceptada por medio de sniffers:

– Uso de autorización basada en hosts(~/.rhosts, /etc/host.equiv)

– Transmisiones cifradas ( secure shell : ssh).



96

IP Spuffing

Otro posible ataque es por medio de suplantar

la identidad de otro host:

– Rutas de mensaje extrañas.

– Servicios de autenticación: Certificados,

Kerberos, ...



Servicios de Red Peligrosos

Servicios de red más problemáticos:

– Servicio de correo (sendmail).

– Servicio FTP (ftp anónimo).

– Servicio Web (CGIs).

– RPCs (ataques al portmapper).

– Protocolos de red: ICMP, SNMP, ARP,...

adminis traci on linux

Documents