Escolar Documentos
Profissional Documentos
Cultura Documentos
Administracao de Redes Linux PDF
Administracao de Redes Linux PDF
Administrao de Redes
Alexandre Folle de Menezes
Gleydson Mazioli da Silva
Nicolai Langfeldt
Vladimir Vuksan
CONTEDO
CONTEDO ...............................................................................................................3
1 REDES DE COMPUTADORES...........................................................................9
1.1 O QUE UMA REDE ...............................................................................................9
1.2 PROTOCOLO DE REDE ..........................................................................................9
1.3 INTERNET ...........................................................................................................10
1.4 O MODELO OSI .................................................................................................10
1.4.1 AS CAMADAS OSI.............................................................................................11
1.4.2 A CAMADA FSICA ............................................................................................11
1.4.3 A CAMADA DE ENLACE .....................................................................................12
1.4.4 A CAMADA DE REDE .........................................................................................12
1.4.5 A CAMADA DE TRANSPORTE .............................................................................12
1.4.6 A CAMADA DE SESSO ......................................................................................13
1.4.7 A CAMADA DE APRESENTAO .........................................................................13
1.4.8 A CAMADA DE APLICAO ................................................................................13
EXERCCIOS ................................................................................................................13
2 TCP/IP .................................................................................................................15
2.1 A CAMADA FSICA ..............................................................................................15
2.2 A CAMADA DE ENLACE DE DADOS ......................................................................16
2.3 A CAMADA DE REDE ...........................................................................................16
2.4 CAMADA DE TRANSPORTE .................................................................................16
2.4.1 TCP .................................................................................................................16
2.4.2 UDP ................................................................................................................17
2.4.3 ICMP...............................................................................................................17
2.5 MONTAGEM DOS PACOTES .................................................................................18
2.6 ENDEREAMENTO ..............................................................................................19
2.6.1 ENDEREAMENTO DE ENLACE (MAC) ..............................................................19
2.6.2 ENDEREAMENTO DE REDE (IP)........................................................................19
2.6.2.1 Classes de Rede IP........................................................................................20
2.6.2.2 O endereo de loopback................................................................................21
2.6.2.3 Endereos reservados para uso em Redes Privadas........................................21
2.6.2.4 Referncia rpida de mscara de redes ............Error! Bookmark not defined.
2.6.3 ENDEREAMENTO DE SESSO (PORTAS )............................................................21
2.7 ROTEAMENTO ....................................................................................................23
2.7.1 REEMPACOTAMENTO ........................................................................................25
EXERCCIOS ................................................................................................................25
6.8.2
6.8.3
6.8.4
6.8.5
1 REDES DE COMPUTADORES
1.1 O que uma rede
Rede a conexo de duas ou mais mquinas com o objetivo de
compartilhar recursos entre uma mquina e outra. Os recursos podem ser:
Compartilhamento do contedo de seu disco rgido (ou parte dele)
com outros usurios. Os outros usurios podero acessar o disco
como se estivesse instalado na prpria mquina. Tambm chamado
de servidor de arquivos.
Compartilhamento de uma impressora com outros usurios. Os
outros usurios podero enviar seus trabalhos para uma impressora
da rede. Tambm chamado de servidor de impresso.
Compartilhamento de acesso a Internet. Outros usurios podero
navegar na Internet, pegar seus e-mails, ler notcias, bate-papo no
IRC, ICQ atravs do servidor de acesso Internet. Tambm chamado
de servidor Proxy.
Servidor de Internet/Intranet. Outros usurios podero navegar nas
pginas Internet localizadas em seu computador, pegar e-mails, usar
um servidor de IRC para bate-papo na rede, servidor de ICQ, etc.
Com os itens acima funcionando possvel criar permisses de acesso
da rede, definindo quem ter ou no permisso para acessar cada
compartilhamento ou servio existente na mquina (www, ftp, irc, icq, etc), e
registrando/avisando sobre eventuais tentativas de violar a segurana do
sistema, firewalls, etc.
Alguns termos muito usados quando se fala sobre redes de
computadores:
host (mquina): um computador que faz parte da rede;
localhost (mquina local): o computador no qual o usurio est
trabalhando;
remote host (mquina remota): qualquer outro computador que faa
parte da rede. Geralmente o usurio no possui acesso fsico esta
mquina;
servidor: host que disponibiliza algum recurso pela rede;
cliente: mquina que utiliza os recursos utilizados pelo servidor;
Entre outras ilimitadas possibilidades que dependem do conhecimento
do indivduo no ambiente GNU/Linux, j que ele permite muita flexibilidade para
fazer qualquer coisa funcionar em rede.
A comunicao entre computadores em uma rede feita atravs do
Protocolo de Rede.
1.3 Internet
O termo internet usado para definir um conjunto de redes de
computadores, interligadas entre si. As redes podem ser homogneas (mesma
arquitetura de mquinas, sistemas operacionais e protocolos) ou heterogneas
(diversas plataformas diferentes interligadas). O objetivo permitir que os
dados sejam trocados de forma transparente, sem que um n saiba detalhes
sobre os demais.
A Internet (com i maisculo), que uma grande rede mundial de
computadores, um exemplo extremo do conceito de internet (com i
minsculo).
No final dos anos 60, o Departamento de Defesa americano iniciou uma
parceria com universidades para pesquisar novas tecnologias de comunicao
de dados. Os participantes fizeram a ARPANET, que foi a primeira rede de
troca de pacotes da histria. O experimento foi um sucesso, e a rede logo se
espalhou em instituies militares e universidades por todo pas.
Mas os primeiros protocolos da ARPANET eram lentos e sujeitos a
travamentos freqentes da rede. Foi necessria a criao de um novo conjunto
de protocolos, e no incio da dcada de 80 a ARPANET se converteu para o
TCP/IP.
O governo americano passou a exigir que todas as suas redes usassem
o TCP/IP, o que encorajou a adoo do protocolo por vrios fabricantes de
computadores.
A facilidade de operao do TCP/IP permitiu que a ARPANET crescesse
rapidamente, transformando-se no que hoje conhecemos por Internet.
10
PAS
PAS
PAS
Camada N+1
Requisio
Servio
PAS
PAS
PAS
PAS
Camada N
Requisi
o
Servio
PA
Camada NPA
S 1
S
PA
S
PA
S
Aplicao
Apresentao
Apresentao
Sesso
Sesso
Transporte
Transporte
Rede
Rede
Rede
Enlace
Enlace
Enlace
Fsica
Fsica
Fsica
11
Exerccios
1. Qual a diferena entre internet e Internet?
13
14
2 TCP/IP
O TCP/IP um protocolo que conecta redes LAN ou WAN, homogneas
ou heterogneas. Ele pode fazer tanto a comunicao entre hosts ponto-aponto, como a comunicao entre cliente e servidor.
Existem dois tipos de interao entre aplicaes.
Comunicao Orientada Conexo apropriada quando as aplicaes
precisam de uma troca contnua de dados.
Em contraste, a Comunicao No Orientada Conexo apropriada
quando as aplicaes trocam mensagens isoladas, geralmente com
quantidades pequenas de dados.
Para conseguir uma troca de dados confivel entre os ns, so
necessrios vrios procedimentos: empacotamento dos dados, determinao
do caminho a ser seguido pelos pacotes, transmisso dos dados, adaptao da
taxa de transmisso de acordo com a capacidade do destino de receber dados,
gerenciamento de erros e retransmisso de dados.
Isso resulta em uma implementao complicada. Para facilitar essa
tarefa, pode se usar uma implementao modular, agrupando as tarefas
relacionadas em camadas distintas.
Para o TCP/IP foi adotado um modelo de comunicao dividido em
camadas, que depois viria a influenciar o modelo OSI que hoje considerado
padro.
Aplicaes
e
Servios
TCP
UDP
Aplicao
Apresentao
Sesso
Transporte
IP
Rede
PPP
Enlace
Ethernet
V.90
Fsico
15
Dados
Trailer
Estabelecimento de Timeout
Retransmisso dos segmentos
O lado que recebe os dados deve coloc-los em na seqncia correta,
descartando duplicatas e confirmando o recebimento dos mesmos.
O TCP implementado apenas nos hosts. O TCP um protocolo fullduplex, ou seja, ambos os lados podem enviar dados ao mesmo tempo.
O TCP adiciona um cabealho ao pacote de dados da aplicao,
formando um segmento.
O TCP passa os segmentos ao IP, que ento roteia os mesmos at seu
destino. O TCP aceita segmentos do IP, determina qual aplicao o destino,
e passa os dados para a aplicao apropriada.
2.4.2 UDP
O UDP no faz nenhuma garantia quanto entrega dos dados, e
dever da aplicao trocar informaes que confirmem a chegada dos dados. O
UDP implementado apenas nos hosts.
Com o UDP (User Datagram Protocol), uma aplicao manda uma
mensagem isolada para outra aplicao. O UDP adiciona um cabealho,
formando um datagrama UDP.
O UDP passa os segmentos ao IP, que ento roteia os mesmos at seu
destino. O UDP aceita segmentos do IP, determina qual aplicao o destino,
e passa os dados para a aplicao apropriada.
2.4.3 ICMP
O IP tem um projeto simples e elegante. Em condies normais, o IP faz
um uso muito eficiente da memria e recursos de transmisso.
Como IP prov um servio de expedio de datagramas sem conexo e
no confivel, e alm disso um datagrama viaja de um gateway a outro at
alcanar um gateway que possa expedi-lo diretamente aa estao destino;
necessrio um mecanismo que emita informaes de controle e de erros
quando acontecerem problemas na rede. Alguns dos problemas tpicos que
podem acontecer so:
Tipo
Mensagem
Echo Reply
Destination Unreachable
17
Source Quench
Redirect
Echo
11
Time Exceeded
12
Parameter Problem
13
Time Stamp
14
2.5
18
Caso o bloco de dados seja muito grande, o reenvio vai tomar muito
tempo, degradando a performance da rede. Para minimizar este problema,
divide-se a informao em pacotes. Se houver algum erro, basta retransmitir
apenas os pacotes corrompidos.
Aplicao
Dados
Dados
Transporte
Transporte
Datagrama UDP
Rede
Datagrama
Enlace
Quadro
2.6
TCP
Header
Dados
UDP
Header
Dados
IP
Header
TCP/UDP
Header
Dados
IP
Header
TCP/UDP
Header
Dados
Segmento TCP
Frame
Header
Frame
Trailer
Endereamento
19
Endereo do Host
192.168.110.23
Mscara da Rede
255.255.255.0
Poro da Rede
192.168.110.
Poro do Host
.23
Endereo da Rede
192.168.110.0
Endereo Broadcast
192.168.110.255
20
Bits Mais
Classe Significativos
Mscara de
Rede
Endereos Possveis
na Rede
00000
255.0.0.0
0.0.0.0
127.255.255.255
10000
255.255.0.0
128.0.0.0 - 191.255.255.255
11000
255.255.255.0
192.0.0.0 - 223.255.255.255
11100
240.0.0.0
224.0.0.0 - 239.255.255.255
11110
240.0.0.0 255.255.255.255
Mscara de Rede
Endereo da Rede
255.0.0.0
10.0.0.0
- 10.255.255.255
255.255.0.0
172.16.0.0
- 172.31.255.255
255.255.255.0
192.168.0.0 - 192.168.255.255
Voc deve decidir primeiro qual ser a largura de sua rede e ento
escolher a classe de rede que ser usada.
2.6.2.4 Referncia rpida de mscara de redes
A tabela abaixo faz referncia s mscaras de rede mais comuns e a
quantidade de mquinas mximas que ela atinge. Note que a especificao da
mscara tem influncia direta na classe de rede usada:
21
Mscara
(octal)
Mscara
(32 bits)
Nmero de
Mquinas
/255.0.0.0
/255.128.0.0
/255.192.0.0
/255.224.0.0
/255.240.0.0
/255.148.0.0
/255.252.0.0
/255.254.0.0
16,777,214
8,388,606
4,194,302
2,197,150
1,048,574
524,286
262,142
131,070
Classe A:
/8
/9
/10
/11
/12
/13
/14
/15
Classe B:
/16
/17
/18
/19
/20
/21
/22
/23
/255.255.0.0
/255.255.128.0
/255.255.192.0
/255.255.224.0
/255.255.240.0
/255.255.248.0
/255.255.252.0
/255.255.254.0
65,534
32,766
16,382
8,190
4,094
2,046
1,022
510
Classe C:
/24
/25
/26
/27
/28
/29
/30
/32
/255.255.255.0
/255.255.255.128
/255.255.255.192
/255.255.255.224
/255.255.255.240
/255.255.255.248
/255.255.255.252
/255.255.255.255
254
126
62
30
14
6
2
1
22
Ap.
80
Ap.
53
Ap.
161
Portas
TCP
UDP
IP
2.7 Roteamento
O TCP/IP pode ser usado em redes locais e para interligao de redes.
As diversas redes locais conversam atravs dos roteadores. Pode haver mais
de um caminho entre dois pontos.
As redes isoladas so conectadas por meio de Roteadores IP.
Roteadores modernos so equipados com vrios slots que podem receber
diferentes tipos de adaptadores de rede: Ethernet, Token-Ring, FDDI, PPP, etc.
O software de IP roda nos hosts e nos roteadores.
23
Pode ser til ilustrar isto com um exemplo. Imagine um simples roteador
de escritrio, ele pode ter um link intermitente com a Internet, um nmero de
segmentos Ethernet alimentando as estaes de trabalho e outro link PPP
intermitente fora de outro escritrio. Quando o roteador recebe um datagrama
de qualquer de suas conexes de rede, o mecanismo que usa determina qual a
Roteador
Roteador
N
Roteador
N
N
N
N
Rede
Local
Internet
N
N
N
2.7.1 Reempacotamento
Existe um evento olmpico onde um competidor nada uma parte do
percurso, pega uma bicicleta e pedala outra parte, e corre uma terceira etapa.
O IP funciona da mesma maneira. O datagrama foi projetado para poder ser
mudado de uma mdia para outra at chegar ao seu destino.
Antes de um datagrama ser transmitido por um enlace, ele
empacotado em um quadro apropriado para o enlace. Quando um roteador
recebe o quadro:
O roteador desempacota o quadro e extrai o datagrama
O roteador analisa o endereo de destino e descobre a mdia do
prximo trecho
O roteador reempacota o datagrama em um novo quadro, apropriado
para o prximo lao
Exerccios
1. Em que nvel de TCP/IP rodam o telnet e o ftp?
a) Fsico
b) Sesso
c) Aplicao
d) Transporte
e) Enlace
2. O que significa a sigla MAC?
a)
b)
c)
d)
e)
25
128.9.0.0
10.0.0.0
191.168.72.0
171.20.20.0
8.0.0.0
26
27
28
ONBOOT=yes
IPADDR=192.168.72.100
NETMASK=255.255.255.0
BROADCAST=192.168.72.255
NETWORK=192.168.72.0
USERCTL=no
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
29
eth0
30
3.3
31
3.4 Hostname
Todas as mquinas que integram uma rede TCP/IP devem ter um nome
pelo qual so conhecidas pelas outras mquinas da rede. Esse nome
chamado de hostname. O comando utilizado para se configurar o hostname
o hostname.
[root@gauss:~] # hostname gauss.alfamidia
da
estao
vai
ser
inicializado
localhost loopback
this.host.name
Voc pode especificar mais que um nome de computador por linha como
demonstrada pela primeira linha, a que identifica a interface loopback.
32
Endereo_IP_da_Rede
127.0.0.0
192.168.1.0
44.0.0.0
33
34
nome
porta/protocolo
apelidos
# comentrio
35
4 DHCP
Adaptado do DHCP mini-HOWTO, por Vladimir Vuksan.
4.2.2 Slackware
Pode-se obter a ltima verso do DHCPcd a partir de qualquer espelho
do Metalab ou nos seguintes endereos:
ftp://metalab.unc.edu/pub/Linu x/system/network/daemons
(Site Principal)
Transfira a ltima verso do programa dhcpcd.tar.gz
ftp://ftp.phystech.com/pub/
36
4.2.5 Debian
H um pacote Debian do DHCPcd em:
http://ftp.debian.org/debian/dists/slink/main/binary -i386/net/
38
para
ln -s /etc/dhcpc/resolv.conf /etc/resolv.conf
39
40
41
e
make install
42
tente ento:
route add -host all-ones dev eth0
ou
route add -net 255.255.255.0 dev eth0
Caso se deseje verificar se tudo est funcionando perfeitamente, devese acionar inicialmente o modo de depurao e colocar o servidor em primeiro
plano. Isso pode ser feito atravs do comando:
/usr/sbin/dhcpd -d -f
Exerccios
1. Qual a utilidade de um servidor DHCP?
44
5 COMANDOS DE REDE
Adaptado do Guia Foca GNU/Linux Intermedirio Captulo 11.
Este captulo traz alguns comandos teis para uso em rede e ambientes
multiusurio.
onde:
opes
-H, --heading
-q, --count
onde:
ip/dns
Endereo IP do computador de destino ou nome DNS.
porta
Porta onde ser feita a conexo. Por padro, a conexo feita na porta
23.
45
opes
-8
Onde:
usurio
Nome do usurio que deseja obter detalhes do sistema. Se no for
digitado o nome de usurio, o sistema mostra detalhes de todos os usurios
conectados no momento.
usurio@host
46
Entra em um diretrio.
get [arquivo]
Por padro esta opo est desligada. Quando ligada, faz com que o
caracter "#" seja impresso na tela indicando o progresso do download.
mget [arquivos]
ou
talk [usurio@host]
Onde:
usurio
Nome de login do usurio que deseja iniciar a conversao. Este nome
pode ser obtido com o comando who (veja who, Seo 9.1).
tty
47
onde:
IP/dns
Endereo IP ou nome DNS do endereo.
opes
-c [num]
Envia num pacotes ao computador de destino.
-f
Flood ping. Envia novos pacotes antes de receber a resposta do
pacote anterior. Para cada requisio enviada, um "." mostrado na
tela e para cada resposta recebida, um backspace mostrado.
Somente o usurio root pode utilizar esta opo e pode te auxiliar muito
na deteco de erros de transmisso de pacotes em interfaces das
mquinas em sua rede.
48
-i [seg]
Aguarda [seg] segundos antes de enviar cada pacote.
-q
No mostra as requisies enquanto so enviadas, somente
mostra as linhas de sumrio no inicio e trmino do programa.
-s [tamanho]
Especifica o tamanho do pacote que ser enviado.
-v, --verbose
Sada detalhada, tanto os pacotes enviados como recebidos so
listados.
Exemplo: ping 192.168.1.1, ping www.br.debian.org.
onde:
IP/DNS
Endereo IP ou DNS do computador que ser acessado.
opes
-l [nome]
5.13 O comando w
Mostra quem est conectado no sistema e o que cada um est fazendo.
w [opes][usurio]
onde:
49
usurio
Nome do usurio que deseja ver os detalhes. Se o usurio no for
digitado, o comando w mostra detalhes de todos os usurios conectados no
sistema.
opes
-h
No mostra o cabealho
-u
Onde:
host/IP destino
o endereo para onde o pacote ser enviado (por exemplo,
www.debian.org). Caso o tamanho do pacote no seja especificado, enviado
um pacote de 38 bytes.
opes
-l
Ajusta a porta que ser usada para o teste. A porta padro 33434.
-r
50
Onde:
opes
-i [interface]
51
6 O SSH
Adaptado do Guia Foca GNU/Linux Intermedirio Captulo 14.
O servio de ssh permite fazer o acesso remoto ao console de sua
mquina, em outras palavras, voc poder acessar sua mquina como se
estivesse conectado localmente ao seu console (substituindo o rlogin e rsh). A
principal diferena com relao ao servio telnet padro, rlogin e rsh que toda
a comunicao entre cliente/servidor feita de forma encriptada usando
chaves pblicas/privadas RSA para criptografia garantindo uma transferncia
segura de dados.
A velocidade do console remoto conectado via Internet excelente
(melhor que a obtida pelo telnet e servios r*) dando a impresso de uma
conexo em tempo real (mesmo em links discados de 9.600 KB/s), a
compactao dos dados tambm pode ser ativada para elevar ainda mais a
velocidade entre cliente-servidor ssh. Alm do servio de acesso remoto, o scp
possibilita a transferncia/recepo segura de arquivos (substituindo o rcp).
Em conexes sem criptografia (rsh, rlogin) os dados trafegam de forma
desprotegida e caso exista algum sniffer instalado em sua rota com a mquina
destino, todo o que fizer poder ser capturado (incluindo senhas).
6.1 Verso
assumido que esteja usando a verso 2.0 do ssh. As explicaes
contidas aqui podem funcionar para verses posteriores, mas recomendvel
que leia a documentao sobre modificaes no programa (changelog) em
busca de mudanas que alterem o sentido das explicaes fornecidas aqui.
6.2 Histria
O openSSH (explicado neste captulo) baseado na ltima verso livre
do implementao de Tatu Ylonen com todos os algoritmos patenteados (para
bibliotecas externas) removidos, todos as falhas de segurana corrigidas,
novas caractersticas e muitas outras melhorias. O openSSH foi criado por
Aaron Campbell, Bob Beck, Markus Friedl, Niels Provos, Theo de Raadt e Dug
Song.
6.3 Contribuindo
A
Homepage
principal
do
OpenSSH
http://www.unixuser.org/~haruy ama/security/openssh/index.html .
Falhas, correes e
sugestes podem ser enviadas para a lista de discusso openssh-unixdev@mindrot.org (aberta a postagens de usurios no inscritos).
6.4 Caractersticas
Abaixo as principais caractersticas do servio ssh (Openssh).
Conexo de dados criptografada entre cliente/servidor.
Cpia de arquivos usando conexo criptografada.
52
53
54
55
56
CheckHostIP yes
RhostsAuthentication no
RhostsRSAAuthentication yes
RSAAuthentication yes
FallBackToRsh no
UseRsh no
BatchMode no
StrictHostKeyChecking yes
IdentityFile ~/.ssh/identity
IdentityFile ~/.ssh/id_dsa
IdentityFile ~/.ssh/id_rsa1
IdentityFile ~/.ssh/id_rsa2
EscapeChar ~
6.7.2 scp
Permite a cpia de arquivos entre o cliente/servidor ssh. A sintaxe
usada por este comando a seguinte:
scp [origem] [destino]
Os parmetros de origem e destino so semelhantes ao do comando cp
mas possui um formato especial quando especificado uma mquina remota:
Um caminho padro - Quando for especificado um arquivo local.
Por exemplo: /usr/src/arquivo.tar.gz.
57
6.7.3 sftp
Permite realizar transferncia de arquivos seguras atravs do protocolo
ssh. A conexo e transferncias so realizadas atravs da porta 22 (ainda no
possvel modificar a porta padro). A sintaxe para uso deste comando a
seguinte:
sftp usuario@host_remoto
Compactao pode ser especificada atravs da opo -C. Um arquivo
contendo os comandos usados na seo sftp poder se especificado atravs
da opo -b arquivo para automatizar tarefas.
OBS1: Para desativar o servidor sftp, remova a linha SubSystem sftp
/usr/lib/sftp-server (que inicializa o sub-sistema ftp) do arquivo
/etc/ssh/sshd_config e reinicie o servidor sshd.
OBS2: O suporte ao programa sftp somente est disponvel ao protocolo
ssh verso 2 e superiores.
OBS3: Algumas opes comuns do cliente ftp padro (como mget) ainda
no esto disponveis ao sftp. Veja a pgina de manual para detalhe sobre as
opes disponveis.
58
59
ou
ssh-keygen -t dsa -f ~/.ssh/id_rsa
rsa1 - Cria uma chave rsa compatvel com a verso 1 e 2 do ssh (esta
a padro).
rsa - Cria uma chave rsa compatvel somente com a verso 2 do ssh.
dsa - Cria uma chave dsa compatvel somente com a verso 2 do ssh.
Para trocar a senha utilize o comando:
Ser pedida sua senha antiga e a nova (no mesmo estilo do passwd).
Opcionalmente voc pode utilizar a sintaxe:
ssh-keygen -p -f ~/.ssh/identity -P senha_antiga -N senha_nova
Que troca a senha em um nico comando (til para ser usado em scripts
junto com a opo -q para evitar a exibio de mensagens de sada do sshkeygen).
61
# Porta padro usada pelo servidor sshd. Mltiplas portas podem ser
# especificadas separadas por espaos.
Port 22
# Especifica o endereo IP das interfaces de rede que o servidor sshd
# servir requisies. Mltiplos endereos podem ser especificados
# separados por espaos. A op o Port deve vir antes desta opo
ListenAddress 0.0.0.0
# Protocolos aceitos pelo servidor, primeiro ser verificado se o cliente
62
63
64
65
7 SERVIOS DE REDE
Adaptado do Guia Foca GNU/Linux Avanado Captulo 4.
Servio de rede o que est disponvel para ser acessado pelo usurio.
No TCP/IP, cada servio associado a um nmero chamado porta que onde
o servidor espera pelas conexes dos computadores clientes. Uma porta de
rede pode se referenciada tanto pelo nmero como pelo nome do servio.
Abaixo, alguns exemplos de portas padres usadas em servios TCP/IP:
21 - FTP (transferncia de arquivos)
23 - telnet (terminal virtual remoto)
25 - SMTP (envio de e-mails)
53 - DNS (resolvedor de nomes)
79 - finger (detalhes sobre usurios do sistema)
80 - HTTP (protocolo www - transferncia de pginas Internet)
110 - pop-3 (recebimento de mensagens)
119 nntp (usado por programas de noticias)
O arquivo padro responsvel pelo mapeamento do nome dos servios
e das portas mais utilizadas o /etc/services (para detalhes sobre o seu
formato, veja a seo 3.6.1).
7.2.1 /etc/inetd.conf
O arquivo /etc/inetd.conf um arquivo de configurao para o daemon
servidor inetd. Sua funo dizer ao inetd o que fazer quando receber uma
requisio de conexo para um servio em particular. Para cada servio que
deseja aceitar conexes, voc precisa dizer ao inetd qual daemon servidor
executar e como executa-lo.
Seu formato tambm muito simples. um arquivo texto com cada
linha descrevendo um servio que deseja oferecer. Qualquer texto em uma
linha seguindo uma "#" ignorada e considerada um comentrio. Cada linha
contm sete campos separados por qualquer nmero de espaos em branco
(tab ou espaos). O formato geral o seguinte:
servio tipo_soquete
servio
o servio relevante a este arquivo de configurao pego do arquivo
/etc/services.
tipo_soquete
Este campo descreve o tipo do soquete que este item utilizar, valores
permitidos so: stream, dgram, raw, rdm, ou seqpacket. Isto um pouco
tcnico de natureza, mas como uma regra geral, todos os servios baseados
em tcp usam stream e todos os protocolos baseados em udp usam dgram.
Somente alguns tipos de daemons especiais de servidores usam os outros
valores.
protocolo
O protocolo considerado vlido para esta item. Isto deve bater com
um item apropriado no arquivo /etc/services e tipicamente ser tcp ou udp.
Servidores baseados no Sun RPC (Remote Procedure Call), utilizam rpc/tcp ou
rpc/udp.
opes
usurio
Este campo inclui o resto da linha e opcional. Voc pode colocar neste
campo qualquer argumento da linha de comando que deseje passar para o
daemon servidor quando for iniciado.
Uma dica que pode aumentar significativamente a segurana de seu
sistema comentar (colocar uma #no inicio da linha) os servios que no sero
utilizados.
Abaixo um modelo de arquivo /etc/inetd.conf usado em sistemas Debian:
# /etc/inetd.conf: veja inetd(8) para mais detalhes.
#
# Banco de Dados de configuraes do servi dor Internet
#
#
# Linhas iniciando com "#:LABEL:" ou "#<off>#" no devem
# ser alteradas a no ser que saiba o que est fazendo!
#
#
# Os pacotes devem modificar este arquivo usando update -inetd(8)
#
# <nome_servio> <tipo_soquete> <proto> <opes> <usu rio> <caminho_servidor>
<args>
#
#:INTERNO: Servios internos
#echo
stream tcp nowait root
internal
#echo
dgram udp wait
root
internal
#chargen
stream tcp nowait root
internal
#chargen
dgram udp wait
root
internal
#discard
stream tcp nowait root
internal
#discard
dgram udp wait
root
internal
#daytime
stream tcp nowait root
internal
#daytime
dgram udp wait
root
internal
time
stream tc p nowait root
internal
#time
dgram udp wait
root
internal
#:PADRES: Estes so servios padres.
#:BSD: Shell, login, exec e talk so protocolos BSD.
68
#shell
stream
#login
stream
#exec
stream
talk
dgram
/usr/sbin/in.talkd
ntalk
dgram
/usr/sbin/in.ntalkd
tcp
tcp
tcp
udp
nowait
nowait
nowait
wait
udp wait
root
/usr/sbin/tcpd /usr/sbin/in.rshd
root
/usr/sbin/tcpd /usr/sbin/in.rlogind
root
/usr/sbin/tcpd /usr/sbin/in.rexecd
nobody.tty /usr/sbin/tcpd
nobody.tty /usr/sbin/tcpd
69
8 DNS
Adaptado do DNS HowTo, por Nicolai Langfeldt
Traduo Original da Conectiva Informtica - Maro de 1999
70
71
file "pz/127.0.0";
};
6D
6D
6D
6D
6D
6D
6D
6D
6D
6D
6D
6D
6D
IN
IN
IN
IN
IN
IN
IN
IN
IN
IN
IN
IN
IN
NS
NS
NS
NS
NS
NS
NS
NS
NS
NS
NS
NS
NS
G.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET.
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
5w6d16h IN A
G.ROOT -SERVERS.NET.
J.ROOT -SERVERS.NET.
K.ROOT -SERVERS.NET.
L.ROOT -SERVERS.NET.
M.ROOT -SERVERS.NET.
A.ROOT -SERVERS.NET.
H.ROOT -SERVERS.NET.
B.ROOT-SERVERS.NET.
C.ROOT -SERVERS.NET.
D.ROOT -SERVERS.NET.
E.ROOT -SERVERS.NET.
I.ROOT -SERVERS.NET.
F.ROOT -SERVERS.NET.
192.112.36.4
198.41.0.10
193.0.14.129
198.32.64.12
202.12.27.33
198.41.0.4
128.63.2.53
128.9.0.107
192.33.4.12
128.8.10.90
192.203.230.10
192.36.148.17
192.5.5.241
IN
NS
72
SOA
ns.linux.bogus.hostmaster.linux.bogus.
1
; Serial
8H
; Atualizao
2H
; Tentativas
1W
; Expirao
1D)
; TTL mnimo
ns.linux.bogus.
PTR
localhost
files dns
Caso no haja nenhuma linha iniciada com `hosts:' ento deve ser
includa a linha acima. Ela indica que os programas devem primeiramente
pesquisar o arquivo /etc/hosts, e aps ento verificar o DNS de acordo com o
configurado no arquivo resolv.conf.
/etc/host.conf
73
Se no houver nenhuma linha `order', ento uma deve ser criada. Esta
linha indica que a resoluo de nomes de mquinas deve pesquisar
inicialmente no arquivo /etc/hosts, e depois pesquisar junto ao servidor de
nomes (definido em resolv.conf como 127.0.0.1). Estes dois ltimos arquivos
esto documentados na pgina de manual do utilitrio resolver(8) (para
acess-la execute man 8 resolv) na maioria das distribuies Linux. Aquela
pgina do manual clara e em nossa opinio, todos devem l-la
(especialmente os administradores de DNS). Faa-o agora caso voc seja um
daqueles que diz para si mesmo: "Eu vou ler mais tarde", mas nunca o faz.
74
75
76
from:
18.70.0.160
18.72.0.3
1 8.71.0.151
= ALPHA -BITS.AI.MIT.EDU
= GRAPE-NUTS.AI.MIT.EDU
= TRIX.AI.MIT.EDU
= MUESLI.AI.MIT.EDU
= LIFE.AI.MIT.EDU
= BEET -CHEX.AI.MIT.EDU
= MINI -WHEATS.AI.MIT.EDU
= COUNT -CHOCULA.AI.MIT.EDU
= MINTAKA.LCS.MIT.EDU
77
78
Por favor note a falta de `.' no final dos nomes dos campos neste
arquivo. Isto nos diz que podemos definir uma zona 0.0.127.in-addr.arpa, na
qual somos os servidores principais e que as informaes esto guardadas em
um arquivo chamado pz/127.0.0. Ns j configuramos este arquivo
anteriormente com o seguinte contedo:
@
IN
NS
PTR
SOA
ns.linux.bogus.hostmaster.linux.bogus. (
1
; Serial
8H
; Atualizao
2H
; Tentativas
1W
; Expirao
1D)
; TTL mnimo
ns.linux.bogus.
localhost
79
observao especial que significa origem e desde que a coluna do campo para
este arquivo diz 0.0.127.in-addr.arpa, a primeira linha realmente quer dizer
0.0.127.in-addr.arpa.
IN
SOA ...
IN
NS
ns.linux.bogus
80
81
Server: localhost
Address: 127.0.0.1
linux.bogus
origin = ns.linux.bogus
mail addr = hostmaster.linux.bogus
serial = 199802151
refresh = 28800 (8 horas)
retry = 7200 (2 horas)
expire = 604800 (7 dias)
minimum ttl = 86400 (1 dia)
linux.bogus
nameserver = ns.linux.bogus
linux.bogus
preference = 10, mail exchanger = mail.linux.bogus.linux.bogus
linux.bogus
preference = 20, mail exchanger = mail.friend.bogus
linux.bogus
nameserver = ns.linux.bogus
ns.linux.bogus internet address = 192.168.196.2
mail.linux.bogus
internet address = 192.168.196.4
deveria ser
linux.bogus
10 mail.linux.bogus
10 mail.linux.bogus.
MX
10 mail
ou
82
;
; Arquivo de zona para linux.bogus
;
; O arquivo de zona completo
;
@
IN
SOA
ns.linux.bogus. hostmaster.linux.bogus. (
199802151
; serial, data de hoje + serial de hoje #
8H
; Atualizar, segundos
2H
; Tentativas, segundos
1W
; Expirao, segundos
1D )
; TTL, segundos
;
TXT
"Linux.Bogus, os especialistas DNS "
NS
ns
; Endereo Internet do servidor de nomes
NS
ns.friend.bogus.
MX
10 mail
; Servidor de correio primrio
MX
20 mail.friend.bogus. ; Servidor de correio secundrio
localhost
127.0.0.1
gw
A
HINFO
TXT
192.168.196.1
"Cisco" "IOS"
"O roteador"
ns
A
MX
MX
HINFO
CNAME
192.168.196.2
10 mail
20 mail.friend.bogus.
"Pentium" "Linux 2.0"
ns
donald
A
MX
MX
HINFO
TXT
192.168.196.3
10 mail
20 mail.friend.bogus.
"i486" "Linux 2.0"
"DEK"
correio
A
MX
MX
HINFO
192.168.196.4
10 mail
20 mail.friend.bogus.
"386sx" "Linux 2.2"
ftp
A
MX
MX
HINFO
192.168.196.5
10 mail
20 mail.friend.bogus.
"P6" "Linux 2.0.36"
www
83
CNAME
www
; NO!
CNAME
ns
; SIM!
o correto seria:
itamaracabar
192.168.196.2
84
1D IN SOA
ns hostmaster (
199802151
; nro. serial
8H
; atualizar
2H
; tentativas
1W
; expirao
1D )
; mnimo
1D IN NS
ns
1D IN NS
1D IN TXT
1D IN MX
1D IN MX
1D IN A
1D IN HINFO
1D IN TXT
1D IN A
1D IN MX
1D IN MX
1D IN HINFO
1D IN A
1D IN CNAME
1D IN A
1D IN MX
1D IN MX
1D IN HINFO
1D IN TXT
1D IN A
1D IN MX
1D IN MX
1D IN HINFO
1D IN A
1D IN MX
1D IN MX
1D IN HINFO
1D IN SOA
gw
localhost
www
donald
ftp
ns
ns.friend.bogus.
"Linux.Bogus, os consultores DNS"
10 mail
20 mail.friend.bogus.
192.168.196.1
"Cisco" "IOS"
"O roteador"
192.168.196.4
10 mail
20 mail.friend.bogus.
"386sx" "Linux 1.0.9"
127.0.0.1
ns
192.168.196.3
10 mail
20 mail.friend.bogus.
"i486" "Linux 1.2"
"DEK"
192.168.196.5
10 mail
20 mail.friend.bogus.
"P6" "Linux 1.3.59"
192.168.196.2
10 mail
20 mail.friend.bogus.
"Pentium" "Linux 1.2"
ns hostmaster (
199802151
; nro. serial
8H
; atualizar
2H
; tentativas
1W
; expirao
1D )
; mnimo
Parece timo. Como se pode ver parece muito com o arquivo de zona.
Vamos verificar o que ele diz para www:
> set q=any
> www.linux.bogus.
Server: localhost
Address: 127.0.0.1
www.linux.bogus
linux.bogus
linux.bogus
ns.linux.bogus
85
IN
SOA
NS
1
2
3
4
5
PTR
PTR
PTR
PTR
PTR
ns.linux.bogus. hostmaster.linux.bogus. (
199802151 ; Nro.Serial, data + nro. srie
8H
; Atualizar
2H ; Tentativas
1W
; Expirao
1D)
; TTL mnimo
ns.linux.bogus.
gw.linux.bogus.
ns.linux.bogus.
donald.linux.bogus.
mail.linux.bogus.
ftp.linux.bogus.
86
ns.linux.bogus.
199802151
8H
2H
1W
hostmaster.linux.bogus. (
; nro. serial
; atualizar
; tentativas
; expirao
1D )
1
2
3
4
5
@
199802151
1D IN
1D IN
1D IN
1D IN
1D IN
1D IN
1D IN
; nro. serial
NS
PTR
PTR
PTR
PTR
PTR
SOA
; ttl mnimo
ns.linux.bogus.
gw.linux.bogus.
ns.linux.bogus.
donald.linux.bogus.
mail.linux.bogus.
ftp.linux.bogus.
ns.linux.bogus. hostmaster.linux.bogus. (
8H
2H
1W
1D )
; atualizar
; tentativas
; expirao
; ttl mnimo
Parece bom!
H algumas coisas que devemos acrescentar. Os nmeros IP usados
nos exemplos acima foram tirados dos blocos de 'redes privadas', ou seja, eles
no podem ser usados publicamente na Internet. Por isso eles so seguros
para serem usados em um exemplo de um COMO FAZER. A segunda coisa
a linha notify no;, a qual indica que o servidor de nomes no notificar o
servidor secundrio (escravo), quando houver uma atualizao para um dos
arquivos de zona. No bind-8 o servidor de nomes pode notificar os outros
servidores relacionados nos registros NS no arquivo de zona, toda vez que ela
for atualizada. Isto conveniente para o uso dirio e usual, mas em nossas
experincias particulares com zonas, esta caracterstica deve ser desativada,
afinal no queremos que a experincia polua toda a Internet, queremos?
E claro, este domnio totalmente inventado, assim como todos os
endereos que esto nele. Para um exemplo real de um domnio real, veja a
prxima seo.
8.4
Esta foi originalmente uma seo sobre o uso da bind 8 escrita por David
E. Smith (dave@bureau42.ml.org). Ela foi editada para conter o novo nome da
seo.
No h muito a acrescentar. Exceto pelo uso do servidor named.conf ao
invs de servidor named.boot, tudo mais idntico; bind8 vem com um
programa perl que converte arquivos de estilo velho para o novo formato.
Exemplo de um named.boot (velho estilo) para um servidor de nomes somente
para cache:
directory /var/named
cache .
primary 0.0.127.IN-ADDR.ARPA
primary localhost
root. hints
127.0.0.zone
localhost.zone
87
8.5
http://www.revistadolinux.com.br/artigos/005,030,3,160,979.html
Guilherme de Assis Brasil
gabrasil@aspdatasul.com.br
Como todos sabemos, o Windows 2000 trouxe considerveis mudanas
em relao ao seu antecessor, o Windows NT 4.0. Uma destas mudanas foi a
implementao do novo servio de diretrios, o "Active Directory", que guarda
informaes sobre os recursos da rede e os disponibiliza para usurios e
aplicaes. Este servio utiliza-se de vrios recursos de integrao com
padres da Internet como o DNS (Domain Name Service - Servio de Nome de
Domnio), por exemplo.
Neste aspecto, a migrao para a plataforma Windows 2000 pode se
tornar um problema se voc no usa o servidor de DNS da Microsoft, o que
at uma situao bastante comum. Normalmente, os administradores de DNS
mais avanados gostam de manter os arquivo de zona de seus domnios bem
documentados e organizados, e quando a funo de "Atualizao Dinmica"
(RFC 2136) habilitada, isso se torna uma tarefa impossvel. Para desgosto
deste seleto time de administradores o Active Directory do Windows 2000 usa
extensamente o suporte as "Atualizaes Dinmicas" para funcionar
corretamente e caso este no esteja habilitado, algumas partes do servio de
diretrios pode no funcionar, como por exemplo a replicao de dados entre
controladores de domnio. Porm existe uma forma simples de deixar o Active
Directory funcionando sem a desorganizao habitual das atualizaes
dinmicas.
Estaremos ento mostrando como configurar o BIND (testamos no BIND
8.2.3 instalado em um Linux Slackware 7.1) para que o Active Directory
funcione perfeitamente. importante lembrar que a tcnica mostrada aqui vale
para qualquer outro servidor de DNS que suporte "Atualizaes Dinmicas" e
registros SRV (RFC 2782), com as devidas diferenas de sintaxe de
configurao.
Para tal feito ser necessria a criao de uma zona primria sem
suporte a atualizao dinmica e mais quatro subzonas com este suporte.
O procedimento para configurar corretamente o BIND e deix-lo pronto
para que o Active Directory possa utiliz-lo bem simples e os passos esto
abaixo:
88
89
9 NFS
Adaptado do NFS HowTo, por Nicolai Langfeldt
Traduo Original da Conectiva Informtica - Janeiro de 1999
90
9.2.3 O portmapper
O portmapper no GNU/Linux chamado tambm de portmap ou
rpc.portmap. A pgina de manual online diz que se trata de "mapeador de
portas DARPA para nmeros de programas RPC". Este o primeiro problema
de segurana com o qual nos deparamos neste Como Fazer. A descrio de
como evitar estes problemas podem ser encontrada na seo 9.4 Segurana e
NFS, a qual eu repito que deve ser lida.
Inicializando o portmapper! Ele chamado de portmap ou rpc.portmap e
deve estar localizado no diretrio /usr/sbin (em algumas mquinas ele
chamado de rpcbind). Pode-se inicializ-lo manualmente por hora, mas ele
dever ser reinicializado toda vez que o sistema operacional for ativado, sendo
ento necessrio editar os programas rc. Estes programas so explicados
mais detalhadamente na pgina de manual do processo init, e usualmente
esto localizados nos diretrios /etc/rc.d, /etc/init.d ou
/etc/rc.d/init.d. Caso haja um programa chamado inet ou algo similar,
este provavelmente ser aquele que deve ser editado. Porm, como faz-lo
est alm do escopo deste documento. Deve-se iniciar o programa portmap e
verificar se ele est ativo atravs do comando ps -aux. Encontrou-o? timo.
Onde:
91
Digamos
que
se
deseje
que
o
sistema
de
arquivo
/mn/parolin/local, o qual est localizado na mquina parolin se torne
disponvel para a mquina chamada batel. Deve-se ento utilizar a seguinte
configurao no arquivo /etc/exports na parolin:
/mn/parolin/local
batel(rw)
92
port
111 portmapper
111 portmapper
100005
100005
100003
100003
1
1
2
2
udp
tcp
udp
tcp
745
747
2049
2049
mountd
mountd
nfs
nfs
ou
mount -o rsize=1024,wsize=1024 parolin:/mn/parolin/local /mnt/nfs
93
nfs rsize=1024,wsize=1024 0
94
Isso pode ser feito algumas vezes. Aps deve-se executar o comando
mount e umount novamente com tamanhos maiores em rsize e wsize. Eles
devem ser provavelmente mltiplos de 1024, e no maior que 16384 visto que
este o tamanho mximo do NFS verso 2. Exatamente aps a montagem de
um tamanho maior, acesse o sistema de arquivos montado atravs do
comando cd e explore-o atravs do comando ls, para estar seguro que ele est
funcionando perfeitamente. Caso os parmetros rsize/wsize sejam muito
grandes, os sintomas no so muito bvios. Um tpico sintoma uma lista
incompleta dos arquivos produzida pelo comando ls e nenhuma mensagem de
erro. Ou ao se ler um arquivo ele falha misteriosamente, sem mensagens de
erro. Aps definir que os parmetros rsize/wsize funcionam perfeitamente
deve-se executar os testes de performance. SunOS e Solaris tem a reputao
de funcionar muito melhor com blocos de 4096 bytes.
kernels mais recentes do GNU/Linux (desde o 1.3) executam a leitura
antecipada para rsizes maiores ou iguais ao tamanho de pgina da mquina.
Em mquinas Intel o tamanho de pgina de 4.096 bytes. A leitura adiantada
aumenta significativamente a performance de leitura do NFS. Ou seja, sempre
que possvel deve-se usar o rsize de 4.096 bytes em mquinas Intel.
Lembre-se de editar o arquivo /etc/fstab com os valores de rsize/wsize
encontrados.
Uma sugesto para incrementar a performance de gravao do NFS
desabilitar o sincronismo de gravao do servidor. A especificao NFS indica
que a gravao NFS solicitada no pode ser considerada finalizadas antes dos
dados serem gravados em um meio no voltil (normalmente o disco rgido).
Isso restringe a performance de gravao de alguma forma, enquanto que
gravaes assncronas iro aumentar a velocidade do NFS. O servidor
GNU/Linux nfsd nunca faz gravaes sncronas uma que a prpria
implementao do sistema de arquivos no o faz, mas em servidores em
sistemas operacionais diferentes isso pode aumentar a performance atravs do
seguinte parmetro no arquivo exports:
/dir
-async,access=linuxbox
12/06/91
12/19/94
04/18/96
96
97
...
98
9.4.5 Resumo
Caso se utilize hosts.allow/deny, root_squash, nosuid e funcionalidades
de portas privilegiadas para os softwares portmapper e nfs pode-se evitar
muitos dos problemas atualmente conhecidos sobre segurana e pode sentirse quase seguro sobre estes problemas no mnimo. Porm h mais ainda:
quando um intruso tem acesso rede, ele pode incluir comandos estranhos
nos arquivos .forward ou nos arquivos de mensagens, quando /home ou
/var/spool/mail so montados via NFS. Pela mesma razo, nunca se deve dar
acesso s chaves privadas PGPP sobre nfs. Ou no mnimo, deve-se saber dos
riscos envolvidos. Pelo menos isso voc j sabe.
NFS e o portmapper criam um subsistema complexo e adicionalmente
h problemas que so descobertos e que devem ser solucionados, alm da
necessidade de se ter em mente o desenho bsico de implementao a ser
usado. Para estar ciente do que est ocorrendo pode acessar o grupo de
notcias comp.os.linux.announce e comp.security.announce eventualmente.
9.6 FAQ
Esta uma seo de perguntas e respostas. Muito do que est contido
aqui foi escrito por Alan Cox.
100
101
102
10 NIS
10.1 Introduo
O servio NIS (Network Information Service, ou Servio de Informaes
de Rede) fornece para os usurios da rede local um ambiente de rede
transparente. Os dados de contas do usurio e nomes das mquinas so
mantidos no servidor, permitindo que os usurios usem qualquer mquina da
rede sem se preocupar com senhas diferentes e cpia de arquivos.
O NIS baseado em RPC (Remote Procedure Call, ou Chamada de
Procedimento Remoto), e composto basicamente do servidor, que armazena
as informaes, do cliente, que acessa o servidor, e das informaes
administrativas. Originalmente, o NIS era chamado de YP (Yellow Pages, ou
Pginas Amarelas). Infelizmente esse nome uma marca registrada da British
Telecom, e o nome do servio teve que ser mudado. Mas os nomes dos
comandos permaneceram, por isso temos o ypserv (servidor) e ypbind
(cliente).
10.1.1
Mapas
10.1.2
Tipos de Servidores
103
portmap
e ypserv :
Este servio permite que o usurio possa alterar sua senha em qualquer
mquina da rede, atravs do comando yppasswd.
importante ressaltar que se qualquer arquivo relacionado ao servidor
for atualizado, os mapas devem ser gerados novamente, e para isso deve-se
executar o comando make no diretrio /var/yp. Por exemplo, se for
acrescentado um usurio ao sistema:
[root@gauss:~] # cd /var/yp
[root@gauss yp]# make
104
No nosso exemplo:
NISDOMAIN=alfamidia.
10.3.1
10.3.2
Para que o NIS seja usado para busca de nomes de mquinas da rede,
deve ser acrescentada a opo nis na llinha order do arquivo
/etc/host.conf:
Order hosts,bind,nis
105
11 FTP
11.1 Introduo ao FTP
O FTP (File Transfer Protocol, ou Protocolo de Transferncia de
Arquivos) permite que o usurio realize transferncias de arquivos entre a sua
mquina e um ponto remoto da rede. A porta padro utilizada pelo FTP a 21.
A autenticao dos usurios feita usando as prprias senhas do
sistema. Existe tambm uma forma sem autenticao, chamada FTP Annimo
(Anonymous FTP), onde o usurio tem acesso apenas ao diretrio home do
usurio ftp.
O servidor ftp mais utilizado com o Linux o wu-ftp.
stream
tcp
nowait
root
/usr/sbin/tcpd
in.ftpd l a
11.2.1
106
107
timeout RFC931 10
# Quantidade de arquivos mxima que um usu rio da classe pode transferir
# raw total: total de arquivos: entrada + sada
# raw out: sada
# raw in:
entrada
file-limit raw total 50 rmtusers
# Quantidade
# raw total:
# raw out:
# raw in:
byte-limit
# Define uma mensagem padro de conexo - NOTE: caso seja definido o tipo de
# mensagem (acima), o texto abaixo no ir aparecer
greeting text Servidor de FTP
# Logo aps entrar com usurio e senha (com sucesso) ser mostrado o
# contedo do arquivo.
banner /etc/ftp/banner
# Define o nome padro do servidor ftp - pode ser acessado atravs de %L,
# caso seja um servidor virtual, este valor no utilizado
hostname lilica
108
109
110
111
112
: :/bin/compress
:.Z:/bin/compress
: :/bin/gzip -cd
:.gz:/bin/gzip -9
:.tar:/bin/tar -c
-d -c %s:T_REG|T_ASCII:O_UNCOMPRESS:UNCOMPRESS
-c %s:T_REG:O_COMPRESS:COMPRESS
%s:T_REG|T_ASCII:O_UNCOMPRESS:GUNZIP
-c %s:T_REG:O_COMPRESS:GZIP
-f - %s:T_REG|T_DIR:O_TAR:TAR
113
:
:
: :.tar.Z:/bin/tar -c -Z -f - %s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+COMPRESS
: :.tar.gz:/bin/tar -c -z -f - %s:T_REG|T_DIR:O_COMPRESS|O_TAR:TAR+GZIP
Sintaxe do arquivo:
Campo
Descrio
strip prefix
strip postfix
addon prefix
addon postfix
external command
types
options
description
Por ltimo veremos o arquivo /etc/ftpusers, que uma lista dos nomes
dos usurios que no podem realizar ftp
root
bin
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
11.2.2
FTP Annimo
114
Exerccios
1. Implemente um servidor de ftp annimo na sua mquina.
115
12.1 /etc/ftpusers
O arquivo /etc/ftpusers um mecanismo simples que lhe permite
bloquear a conexo de certos usurios via ftp. O arquivo /etc/ftpusers lido
pelo programa daemon ftp (ftpd) quando um pedido de conexo recebido. O
arquivo uma lista simples de usurios que no tem permisso de se conectar.
Ele se parece com:
# /etc/ftpusers - login de usurios bloqueados via ftp
root
uucp
bin
mail
12.2 /etc/securetty
O arquivo /etc/securetty lhe permite especificar que dispositivos tty que o
usurio root pode se conectar. O arquivo /etc/securetty lido pelo programa
login (normalmente /bin/login). Seu formato uma lista de dispositivos tty onde
a conexo permitida, em todos os outros, a entrada do usurio root
bloqueada.
# /etc/securetty - terminais que o usurio root pode se conectar
tty1
tty2
tty3
tty4
12.3.1
/etc/hosts.allow
lista de servios
uma lista de nomes de servios separados por vrgula que esta regra
se aplica. Exemplos de nomes de servios so: ftpd, telnetd e fingerd.
lista de hosts
117
12.3.2
/etc/hosts.deny
12.3.3
/etc/hosts.equiv e /etc/shosts.equiv
118
Usurio
maquina2.dominio.com.br
maquina4.dominio.com.br
maquina1.dominio.com.br
usuario2
usuario2
+@usuarios
12.3.4
address 127.0.0.1
process in.fingerd
/etc/hosts.allow line 1
granted
119
address 192.168.1.29
process in.fingerd
/etc/hosts.allow line 3
granted
Agora
address 192.168.1.30
process in.fingerd
/etc/hosts.deny line 1
denied
address www.debian.org
process in.talkd
/etc/hosts.allow line 2
granted
12.4 Firewall
Dentre todos os mtodos de segurana, o Firewall o mais seguro. A
funo do Firewall bloquear determinados tipos de trfego de um endereo
ou para uma porta local ou permitir o acesso de determinados usurios mas
bloquear outros, bloquear a falsificao de endereos, redirecionar trfego da
rede, ping da morte, etc.
A implementao de um bom firewall depender da experincia,
conhecimentos de rede (protocolos, roteamento, interfaces, endereamento,
masquerade, etc), da rede local, e sistema em geral do Administrador de redes,
a segurana de sua rede e seus dados dependem da escolha do profissional
120
121
13.1 O Display
Todo servidor X possui um nome de display, no seguinte formato:
host:display.screen
122
Isto nunca deve ser feito em uma rede onde no se confie em todos os
usurios. Para habilitar novamente a verificao:
[aluno@gauss ~]$ xhost -
Ou ento:
[aluno@tales ~]$ xfontsel display gauss.alfamidia:0.0
Exerccios
1. Analise a seguinte seqncia de comandos:
[aluno@gauss ~]$ xhost +tales.alfamidia
tales being added to access control list
[aluno@gauss ~]$ ssh tales.alfamidia
password:
[aluno@tales ~]$ export DISPLAY=gauss .alfamidia:0.0
123
124
II. Copyright
O copyright de todo trabalho protegido pela Licena de Livre Publicao
(Open Publication License) pertence aos autores ou proprietrios.
V. Prticas recomendadas
Em adio aos requisitos desta licena, solicitado e extremamente
recomendado aos redistribuidores que:
Se os trabalhos protegidos pela Licena de Livre Publicao (Open
Publication License) estiverem sendo distribudos em impressos ou CD-ROM,
os autores sejam informados por email, ao menos trinta dias antes, para que os
autores tenham tempo de providenciar documentao atualizada. Esta
notificao deve descrever as modificaoes introduzidas no documento, se
existirem.
Todas as modificaes substanciais (incluindo excluses) devem ser
marcadas claramente no documento, ou ento descritas em um anexo ao
documento.
126
127