aix

SUMRIOSMITSMIT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 SMIT Interface ASCII . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Teclas de Funo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Simbologia. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Inicializao EncerramentoO processo de Boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Tipos de Boot de Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Operaes efetuadas durante o boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Boot a partir de fita . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

System run levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Encerramento do Sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

SeguranaIntroduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Violaes de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Objetivos de um Sistema de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Mecanismos de segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Controle de Acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Autenticao de Usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Administrao Segura de Sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Ameaas Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Administrao de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Administrao de Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Administrao de Usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Controle de Contas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Identificao e Autenticao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Segurana das Contas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Restries s Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Segurana da Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 Segurana da Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Segurana do Sistema de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Segurana do Sistema de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Segurana a sua responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Monitorao da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Monitorao da Segurana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Checklist. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Conhea seu sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Comandos teis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 Ferramentas teis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Leituras Recomendadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

Gerenciamento de UsuriosCriao de Usurios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Alterao de atributos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Alterao de atributos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Listar Usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Listar Atributos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Listar Atributos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 Listar Atributos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Remoo de Usurios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Alterao de senhas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Definio de Atributos Default. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Bloqueio de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Bloqueio de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Arquivos - 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Arquivos - 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Arquivos - 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Gerenciamento de GruposCriao de Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Alterao de Atributos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Listar Informaes sobre Grupos (1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Listar Informaes sobre Grupos (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Remoo de Grupos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

Volumes LgicosLogical Volume Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Volumes Fsicos (Physical Volumes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Grupos de Volumes (Volume Groups) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Parties Fsicas (Physical Partitions) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Volumes Lgicos (Logical Volumes) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Parties Lgicas (Logical Partitions) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Espelhamento (Mirroring) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Vantagens do Armazenamento Lgico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Logical Volume Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Componentes do LVM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Comandos importantes (1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Comandos importantes (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Comandos importantes (3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Comandos importantes (4) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Comandos importantes (5) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Comandos importantes (6) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Comandos importantes (7) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Sistemas de ArquivosSistema de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Sistema de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Tipos de Sistemas de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Comandos de Gerenciamento de Sistemas de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Tarefas de Gerenciamento de Sistemas de Arquivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Comandos teis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 Root. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 /usr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 /usr/share . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 /var . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 /export . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Criao de Sistemas de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 Alteraes de Sistemas de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Diminuio do Tamanho de um Sistema de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Diminuio do Tamanho do Sistema de Arquivos /usr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Verificao dos Sistemas de Arquivos / e /usr . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 /etc/filesystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 Mount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Umount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Liberao de espao em disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

PAGINAO MEMRIA VIRTUALrea de Paginao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Criao de Arquivos de Paginao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Manuteno de Arquivos de Paginao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Reduo do arquivo paginao hd6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

Gerenciamento de Memria Virtual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

BACKUP RESTOREPor que fazer backups? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Mtodos de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Meios de armazenamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 RESTORE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Estratgias para backup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Como desenvolver uma estratgia de backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 Estrutura dos Sistemas de Arquivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Tipos de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 backup (1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

backup (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 backup (3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 restore (1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 restore (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 Duplicao de Sistemas (Cloning) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Outras Consideraes Importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Ambiente OperacionalAmbiente Operacional. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Shells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Bourne Shell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

C Shell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Korn Shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Restricted Shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Trusted Shell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145

InstalaoRoteiro de Instalao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 Roteiro de Instalao (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Roteiro de Instalao (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Roteiro de Instalao (3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 Roteiro de Instalao (4) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153

ProcessosViso Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 Comandos teis (1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Comandos teis (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 Outros comandos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

SubsistemasSystem Resource Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 Subsistemas (1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Subsistemas (2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Subsistemas (3) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 SRC Hierarquia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171

Comandos Importantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 SRC Ativao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Ativao de subsistemas, grupo de subsistemas ou subservidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

Contabilizao de Uso de RecursosContabilizao do Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Tempo de Conexo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Processos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 Disco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Impressoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Relatrios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Principais Arquivos de Account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 Principais comandos de Account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Configurao do Account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184

1 SMIT

UNICAMP - CCUEC

Administrao de Sistemas AIX

2

SMIT

UNICAMP - CCUEC


SMIT

NOTAS: O SMIT a principal ferramenta do administrador de sistemas AIX para o gerenciamento do sistema. Esta ferramenta apresenta uma interface orientada a tarefas para executar os diversos comandos necessrios administrao do sistema. O usurio conduzido passo a passo pelos diversos menus at chegar tarefa desejada. O usurio no precisa memorizar comandos complexos e as suas (em alguns casos) dezenas de opes. Alm disto tudo, o SMIT cria dois arquivos de vital importncia: o arquivo smit.log e o arquivo smit.script. O arquivo smit.log contm um registro da sesso, ou seja, so registrados todos as telas pelas quais se navegou, todos os comandos emitidos e finalmente, todos os resultados obtidos. O arquivo smit.script contm apenas os comandos que foram emitidos. Este arquivo contm exemplos valiosos de comandos e suas sintaxes. Um outro uso possvel do arquivo smit.script a duplicao da configurao de uma mquina (usurios, endereos de rede, definio de impressoras, etc,). Para fazer isto basta digitar:

G G G G

Ferramenta de gerenciamento do sistema

Fcil de usar

Poderosa

ksh smit.script

Cria registros das sesses de trabalho (arquivos smit.log e smit.script)

Desta forma seriam executados todos os comandos empregados na configurao do sistema antigo. evidente que para que isto funcione necessrio que o administrador ou administradores, usem sempre o SMIT para qualquer alterao nos parmetros do sistema operacional.

3

SMIT

UNICAMP - CCUEC


SMIT Interface ASCIISystem Management Move cursor to desired item and press Enter Installation and Maintenance Devices Physical and Logical Storage Security&Users Diskless Workstation Management Communications Applications & Services Spooler (Print Jobs) Problem Determination Performance & Resource Scheduling System Environments Processes and Subsystems Applications Using SMIT (information only) F1=Help F2=Refresh F8=Image F9=Shell F10=Exit F3=Cancel Enter=Do

NOTAS:

4

SMIT

UNICAMP - CCUEC


UsoPara invocar o programa SMIT digite:

NOTAS: Existem vrias maneiras de se invocar o programa smit. Se se estiver usando um terminal do tipo hft, pode-se invocar a interface Motif (default) ou a interface ASCII. Prevalece a a preferncia de cada um. Se todavia, se estiver usando terminal do tipo vt100 ou compatvel, IBM3151, ou outros baseados em caracteres, a interface default, como bvio, a interface ASCII. Para invocar o smit digite na linha de comandos: smit e ser apresentado ento o menu principal do programa smit. O programa smit aceita tambm argumentos que o direcionam para um submenu (FastPath). Por exemplo, para criar a definio de uma impressora digite: smit mkprt Neste caso apresentado o submenu Add a Printer, que guia o usurio atravs dos passos necessrios para criar a definio de uma impressora. Para sair do smit basta digitar, a partir de qualquer tela, F10 ou ESC+0. A ao a ser tomada vai depender do tipo de terminal (existncia de suporte a teclas de funo).

G G

smit smit FastPath

Para sair:

G G

F10 ESC+0

5

SMIT

UNICAMP - CCUEC


UsoPara ativar a interface ascii digite: smit -C ou

NOTAS: Para invocar o programa smit usando a interface ASCII, digite: smit -C ou smitty Ambas as opes suportam argumentos (FastPath)

smitty

6

SMIT

UNICAMP - CCUEC


Teclas de Funo

NOTAS: As funes podem ser invocadas pressionando-se ou as teclas de funo ou a tecla ESC seguida de um nmero indicativo da funo. F1: Fornece mais informaes sobre o tpico onde o cursor se encontra F2: Redesenha a tela, eliminando caracteres estranhos aplicao. Por exemplo, mensagens da console podem ser direcionadas para a tela. A tecla F2 elimina a mensagem e apresenta uma tela limpa. F3: Retorna tela anterior. Quando pressionada a partir do menu principal esta tecla encerra a sesso F4: Exibe uma lista de opes disponveis para o campo sobre o qual se encontra o cursor. F5: Exibe o contedo original do campo F6: F7: Exibe o comando que o SMIT est montando

F1 F2 F3 F4 F5 F6 F7 F8 F9 F10

ESC+1 ESC+2 ESC+3 ESC+4 ESC+5 ESC+6 ESC+7 ESC+8 ESC+9 ESC+10

Help Refresh Cancel List Undo Command Edit Image Shell Exit Do

ENTER ENTER

Apresenta o texto ressaltado em um campo para edio. Faz selees individuais em listas. Por exemplo, esta tecla permite a seleo de programas a serem instalados no menu de instalao de programas F8: Exibe o parmetro a ser usado com a opo FastPath para o menu ou tela corrente. Salva tambm uma imagem da tela no arquivo smit.log para impresso posterior. F9 Entra em uma shell. solicitada uma confirmao para execuo do comando. ENTER Executa o comando construdo pelo SMIT ou salva as entradas selecionadas em uma tela

7

SMIT

UNICAMP - CCUEC


SimbologiaSmbolo * Significado Preenchimento obrigatrio. Aparece esquerda do campo do nome ou do prompt Campo de preenchimento numrico Campo deve ser preencido com nmero hexadecimal Fornea o nome de um arquivo Uma lista de opes est disponvel. Para exibir as opes, pressione a tecla F4 ou +0 Delimitao de campos Mais texto esquerda do campo visvel Mais texto direita do campo visvel

NOTAS:

# X / ++

[] < >

8

SMIT

2 Inicializao Encerramento

UNICAMP - CCUEC


10

Inicializao e Encerramento

UNICAMP - CCUEC


O processo de BootDurante o boot o sistema testa o hardware, carrega e executa o sistema operacional e configura os perifricos. Para realizar o boot so necessrios os seguintes recursos:

NOTAS:

G G

Imagem de boot

Acesso aos filesystems root e /usr

11


UNICAMP - CCUEC


Tipos de Boot de Sistema

NOTAS: Uma mquina inicializada para operaes normais com a chave na posio NORMAL. A chave posicionada na posio SERVICE para se rodar diagnsticos. O boot standalone pode ser feito a partir de disquetes, fitas ou CDROM com a chave da mquina na posio SERVICE. No modo de manuteno o administrador pode instalar ou atualizar novos produtos e rodar diagnsticos. O boot via rede iniciado remotamente atravs da rede. A mquina deve estar com sua chave na posio NORMAL. Um ou mais servidores de arquivos podem fornecer os arquivos necessrios para o boot.

G G G

Disco rgido

Standalone

Via rede

12


UNICAMP - CCUEC


Operaes efetuadas durante o bootG G GConfigurao dos dispositivos

NOTAS: Durante o boot efetuado a partir do disco rgido, a imagem de boot encontrada no disco local criado quando da instalao do sistema operacional. Durante o processo de boot, o sistema configura todos os dispositivos da mquina e inicializa o software bsico necessrio para a operao normal do sistema. No final do processo os sistema s de a rq uivo s so mo nt ado s e disponibilizados para uso. O mesmo se aplica a clientes diskless. Estas mquinas tambm necessitam de uma imagem de boot e acesso aos arquivos do sistema operacional. Clientes diskless no possuem um disco local e obtm todos os arquivos necessrios atravs da rede.

Inicializao do software bsico

Montagem e disponibilizao dos sistemas de arquivos

13


UNICAMP - CCUEC


Boot a partir de fitaG G G G G G G GCertifique-se de que o sistema est desligado Coloque a chave na posio secure, ligue a estao e espere que aparea o cdigo 200 no indicador do LED. Insira a fita na unidade Vire a chave para a posio service Ao aparecer o cdigo c31 escolha a console de acordo com as instrues da tela No menu Installation and Maintenance selecione a opo 4. No prompt do sistema digite getrootfs para que seja exibida a lista de discos rgidos do sistema Para acessar o sistema de arquivos digite getrootfs hdiskxx

NOTAS:

14


UNICAMP - CCUEC


System run levelsG G G GEstes nveis identificam o estado do sistema e definem quais processos so inicializados Ao final do boot do sistema, o run level lido a partir da entrada initdefault do arquivo /etc/inittab O system run level pode ser alterado com o comando telinit O arquivo /etc/inittab contm um registro para cada processo que define em quais nveis do sistema este processo rodar Durante o boot do sistema o comando init l o arquivo /etc/inittab para determinar quais processos sero inicializados Para identificar em que nvel o sistema est rodando examine o arquivo /etc/.init.state

NOTAS: Ao final da inicializao do sistema, o comando init assume o run level definido na entrada initdefault do arquivo /etc/inittab. O sistema opera neste run level at que receba um sinal para alter-lo. So os seguintes os run levels definidos: 0-9 Quando o comando init muda para run levels entre 0 e 9, ele mata todos os processos do run level corrente e reinicializa os processos associados com o novo run level Reservados para uso futuro

0-1 2 3-9 a,b,c

run level defaultPodem ser definidos de acordo com as preferncias dos usurios Quando o comando init solicita uma mudana para os run levels a, b ou c, ele no mata os processos do run level corrente; ele simplesmente inicializa os processos associados com os novos run levels Solicita ao comando init que coloque o sistema em modo de manuteno Envia um sinal que impede que processos sejam respawned Solicita ao comando init que releia o arquivo /etc/inittab

S,s,M,m N Q,q

G

G

15


UNICAMP - CCUEC


NOTAS: O comando halt escreve os dados no disco rgido e para o processador. A mquina no reboota. Este comando deve ser executado apenas pelo usurio root e nunca deve ser usado quando outros usurios estiverem logados. Use este comando quando a mquina tiver que ser desligada para algum tipo de manuteno. O comando halt registra o horrio de shutdown usando o comando syslogd e coloca um registro no arquivo /usr/adm/wtmp. O comando shutdown encerra o sistema operacional de vrias formas. Durante a execuo do shutdown os usurios so notificados atravs do comando wall do horrio em que o sistema ser encerrado atravs de uma mensagem do prprio sistema e de uma mensagem opcionalmente fornecida por quem invocou o comando. Aps o horrio especificado o comando shutdown invoca o comando killall para encerrar todos os processos remanescentes, roda o comando sync para limpar todos os blocos de disco residentes na memria e finalmente desmonta todos os sistemas de arquivos. Opes: -c -d No verifica os sistemas de arquivo durante reinicializao do sistema Traz o sistema para do modo distribudo para o modo multiusurio Fast shutdown Encerra o sistema completamente, semlhante ao halt No executa o shutdown Traz o sistema para o modo de manuteno Reinicializa o sistema aps o encerramento

Encerramento do Sistema

G

shutdown shutdown -m +2

G G

halt

fasthalt

-F -h -k -m -r

16


3 Segurana

UNICAMP - CCUEC


18

Segurana

UNICAMP - CCUEC


IntroduoG G G G GSistemas Unix no foram projetados com preocupaes com segurana Sistemas instalados com poucos ou nenhum mecanismos de segurana Sistema desenvolvido por programadores para programadores Conexo em redes agravou o problema A difuso maior do uso de sistemas Unix est tornando os sistemas mais seguros

NOTAS:

19

Segurana

UNICAMP - CCUEC


Violaes de Segurana

NOTAS:

G G G

Internet WormEspionagem

Christmas Virus

20

Segurana

UNICAMP - CCUEC


Objetivos de um Sistema de SeguranaG G GIntegridade da informao

NOTAS: Este item descreve os objetivos da segurana de computadores e os mecanismos empregados para a consecuo dos mesmos. So abordadas tambm as ameaas segurana e como estas podem servir como base para definio da poltica de segurana de sistemas.

Privacidade da informao

Disponibilidade da informao

OBJETIVOS: A segurana de sistemas computacionais muito semelhante a outros tipos de segurana. O seu objetivo a proteo de informaes armazenadas nos computadores. A segurana da informao objetiva: Manter a integridade da informao: O valor de qualquer informao depende de sua acuracidade. Se mudanas no autorizadas so efetuadas, esta informao perde algum ou todo o seu valor. Privacidade das informaes: O valor de muitas informaes dependente de seu sigilo. Disponibilidade da informao: A informao deve sempre estar imediatamente disponvel a quem dela necessita.

G G G

21

Segurana

UNICAMP - CCUEC


Mecanismos de segurana

NOTAS: Diferentes mecanismos so usados para se proteger as informaes, tais como: Mecanismos de controle de acesso: Impedem a violao da segurana. Estes mecanismos protegem a informao permitindo ou negando o acesso a recursos baseado em dados como por exemplo a identidade do usurio. Mecanismos de auditoria: Identificam violaes de segurana. A informao protegida pelo registro de acesso a recursos e outros eventos relevantes de forma a que todos as aes de usurios no sistema sejam auditveis. Tanto o controle de acesso quanto a auditoria dependem de uma administrao e autenticao de usurios segura. A autenticao de usurios consiste em se verificar a identidade do usurio quando este loga no sistema e na configurao do sistema operacional, dispositivos e usurios de modo a que o sistema possa ser operado de maneira confivel.

G G

G G

Controle de acesso

Auditoria

22

Segurana

UNICAMP - CCUEC


Controle de Acesso

NOTAS:

G G G GFsico

Existem dois tipos de controle de acesso: Controle de acesso fsico: Prov uma forma fsica de controle de acesso. O computador est fisicamente protegido por, por exemplo, uma sala fechada. Controle de acesso discrecionrio: Forma mais comum de controle de acesso. Com esta forma de controle de acesso, o proprietrio dos dados pode garantir a terceiros o direito de ler ou alterar os seus dados. Cada um destes usurios por sua vez pode extender a outros estes direitos.

Discrecionrio

23

Segurana

UNICAMP - CCUEC


Auditoria

NOTAS:

G

G G

Auditoria fsica

G

Auditoria de sistemas

Existem dois tipos de auditoria: Auditoria fsica: Semelhante ao controle de acesso fsico. O computador est protegido fisicamente, por exemplo, em uma sala trancada. Qualquer tentativa de se invadir a sala do computador resulta em danos irreparveis. Estes danos acionam a segurana do sistema. Como a identidade do invasor desconhecida, a auditoria fsica no fornece dados completos. Auditoria de sistemas: Cria um registro de todos os eventos relevantes no tocante segurana do sistema. Estes eventos incluem acesso informao, login de usurios e acessos administrativos. Cada evento inclui a identidade do usurio que a causou, de forma a possibilitar que o auditor de sistemas identifique sinais potenciais ou reais de violao da segurana.

24

Segurana

UNICAMP - CCUEC


Autenticao de UsuriosGA identidade de um usurio pode ser estabelecida atravs de:

NOTAS:

G

Informaes que somente o usurio possui, como por exemplo, senhas e informaes pessoais

G

Algo que apenas o usurio possua, como por exemplo, chaves ou cartes magnticos

25

Segurana

UNICAMP - CCUEC


Administrao Segura de SistemasGO administrador de um sistema seguro deve:

NOTAS: O administrador de um sistema seguro deve definir as caractersticas de segurana do sistema, dispositivos de entrada e sada e dispositivos de armazenamento disponveis no sistema. Isto inclui permisso de execuo de programas e permisso de leitura e gravao de arquivos de configurao. O administrador deve tambm definir as caractersticas de segurana de seus usurios. Isto inclui os direitos de acesso e privilgios no sistema, como cada usurio deve ser auditado, e como a autenticao de cada um deles deve ser efetuada.

G

Definir as caractersticas de segurana do sistema, dispositivos, etc.

G

Definir as caractersticas de segurana de seus usurios

26

Segurana

UNICAMP - CCUEC


Ameaas SeguranaAmeaas segurana da informao derivam de trs tipos diferentes de comportamento:

NOTAS: Trs tipos distintos de comportamento podem comprometer os dados de um sistema computacional: Descuido: A segurana freqentemente comprometida devido ao descuido de usurios autorizados ao sistema. Se um usurio descuidado com sua senha de acesso do sistema, qualquer outra medida de segurana ineficaz para impedir o acesso a dados confidenciais. M f: Muitos problemas de segurana so causados por usurios autorizados que exploram o sistema procura de informaes desprotegidas. Ataques deliberados: Um indivduo que tenha em mente a penetrao em um sistema ir estud-lo para detectar pontos fracos em sua segurana e planejar ataques deliberados com o propsito de explorar estas falhas.

G

G G G

Descuido

G G

M f

Ataques deliberados

Este ltimo tipo de comportamento representa a maior ameaa segurana das informaes, mas problemas causados pelos dois primeiros itens no devem ser subestimados.

27

Segurana

UNICAMP - CCUEC


Administrao de Segurana dever do administrador configurar os seguintes aspectos de segurana:

NOTAS: A boa administrao de um sistema vital para a manuteno da segurana de recursos de informao em um sistema computacional. A verso 3 do AIX baseada em conceitos que permitem estabelecer e manter controles de acesso adequados juntamente com ferramentas de auditoria. responsabilidade do administrador configurar os seguintes aspectos de segurana: Controle de acesso Procedimentos de controle e autenticao Trusted Computing Base (TCB) Parte do sistema responsvel por assegurar as politcas de segurana de informao do sistema. Todo o hardware do sistema est includo no TCB, mas o administrador do sistema deve se preocupar principalmente com os componentes de software do TCB. O TCB compreende: o O kernel (sistema operacional) o Arquivos de configurao que controlam a operao do sistema o Qualquer programa que rode com privilgios de alterar o kernel ou os arquivos de configurao

G G G

G G

Controle de acesso

Procedimentos de identificao e autenticao

G G

Trusted Computing Base (TCB)

Auditoria de usurios

G

O administrador de sistemas pode definir quais programas devem pertencer ao TCB e deve ser cuidadoso em acrescentar apenas programas plenamente confiveis, ou seja, programas que foram totalmente testados, que tenham seu cdigo fonte examinado ou cuja fonte seja confivel. O administrador de sistemdireitos de acesso Auditoria de usurios

28

Segurana

UNICAMP - CCUEC


Administrao de SeguranaUma vez configurado o sistema o administrador ser capaz de:

NOTAS:

G

Controlar o acesso a recursos de informao, terminais e dispositivos de entrada e sada

G G

Configurar senhas de acesso

Instalar e configurar o TCB e pacotes de software

G

Auditar aes de usurios

29

Segurana

UNICAMP - CCUEC


Administrao de Usurios

NOTAS: A administrao de usurios consiste na criao de usurios e grupos, na definio de seus atributos e como sero autenticados. Os usurios so os agentes primrios de um sistema. Os seus atributos controlam seus direitos de acesso, ambiente, como so autenticados, e como/quando/onde suas contas podem ser acessadas. Os grupos so uma unidade de acesso discrecionrio (DAC Discrecionary Access Control). Os grupos possuem uma identificao e so compostos de membros e administradores. O criador de um grupo normalmente o primeiro administrador. O sistema operacional suporta os atributos padro dos usurios normalmente encontrados nos arquivos /etc/passwd e /etc/group, como por exemplo: Informaes de autenticao como a senha Credenciais: Especificam o identificador do usurio, grupo principal, e identificao do grupo secundrio Ambiente: Especifica o diretrio home e o ambiente de shell O sistema operacional permite um maior controle, se desejado, com atributos estendidos. As informaes de segurana podem tambm ser mantidas fora do acesso pblico. Alguns usurios e grupos podem ser definidos como administrativos. Estes usurios e grupos podem ser criados e modificados apenas pelo usurio root.

G G

Criao

Definio de atributos

G G G

30

Segurana

UNICAMP - CCUEC


Controle de Contas

NOTAS: Cada usurio de um sistema computacional possui uma conta, qual so associados um conjunto de atributos. Estes atributos so criados a partir de valores default no momento da definio de uma conta atravs do comando mkuser. Os atributos de uma conta podem ser alterados atravs do comando chuser. O conjunto completo de atributos est definido nos arquivos /usr/lib/security/mkuser.default /etc/security/user /etc/security/limits Estes defaults podem ser alterados diretamente nos arquivos acima. A maior parte dos defaults esto definidos de modo a refletirem o uso padro. OBS.: A atribuio de um valor igual a zero no arquivo /etc/security/limits implica que o atributo em questo no possui limites.

A cada conta associado um conjunto de atributos. Estes atributos so criados a partir de valores default quando se define uma conta e podem ser alterados quando se desejar

31

Segurana

UNICAMP - CCUEC


Identificao e Autenticao

NOTAS: A identificao e autenticao estabelecem a identidade de um usurio. Para acessar o sistema o usurio deve fornecer o nome de sua conta (identificao) e sua senha de acesso (autenticao). Em um sistema seguro todas as contas devem ter senhas ou estarem invalidadas. Se a senha estiver correta, o usurio ganha acesso sua conta adquirindo os acessos e privilgios a ela inerentes. Todas as contas destinadas a uso normal devem possuir senhas. Uma pessoa que conhea a senha de uma conta pode logar naquela conta usufruindo de todos os direitos e privilgios da mesma. Os grupos tambm podem ter senhas, e um usurio que no seja definido em determinado grupo ainda assim pode usufruir dos privilgios deste se conhecer sua senha. Como a senha a nica proteo de cada conta, de vital importncia que os usurios sejam cuidadosos na seleo e guarda de suas senhas. A maior parte das tentativas de invaso de sistemas comea por tentativas de se adivinhar as senhas. A verso 3 do AIX prov um nvel adicional de proteo armazenando as senhas separadamente da definio das contas e dos grupos. Somente o usurio root dever ter acesso s senhas encriptadas e a outros dados de segurana armazenados nos arquivos /etc/security/passwd e /etc/security/group. Com este acesso restrito s senhas, um invasor no poder decifrar as senhas com um programa que tente passar por todas as senhas possveis e provveis. ainda possvel adivinhar as senhas tentando logar em uma conta por meio de vrias tentativas. Se a senha trivial, tais ataques podem ser bem sucedidos. Conseqentemente, importante educar seus usurios sobre a forma correta de se escolher suas senhas. As senhas a seguir so obviamente triviais e podem ser adivinhadas sem maiores esforos: Palavras que podem ser encontradas em um dicionrio Senhas que incluam nomes ou sobrenomes do usurio ou de seus parentes prximos Senhas que incluam o ms corrente do ano

G G G G

Definem a identidade do usurio Usurios identificados basicamente por uma conta e uma senha Senhas so armazenadas separadamente das definies das contas Senha de acesso: todo cuidado pouco

G G G

32

Segurana

UNICAMP - CCUEC


G

Senhas baseadas em algum atributo do usurio

NOTAS: A segurana de sistemas Unix pode ser dividida em trs reas principais. Segurana de contas consiste basicamente em impedir que usurios no autorizados acessem o sistema; segurana de rede consiste em no permitir que os pacotes sejam capturados por equipamentos ou programas instalados sem autorizao e que dados importantes trafeguem criptografados; a segurana dos sistemas de arquivos, consiste em impedir que usurios no autorizados, tanto do sistema ou invasores, consigam acesso a dados armazenados no sistema. Contas: Uma das maneiras mais fceis de um intruso ganhar acesso a um sistema descobrindo a senha da conta de algum usurio. Isto normalmente fcil visto que muitas instalaes no removem o acesso de pessoas que j deixaram a organizao, no verificam a segurana de contas em vigor, com senhas fceis de serem adivinhadas

Segurana das ContasGSenhas

G G G G G G G G

Seleo adequada Polticas para escolha Verificao peridica da segurana

Datas de expirao Contas guest Contas sem senha Contas de grupo NIS

33

Segurana

UNICAMP - CCUEC


Restries s SenhasG G G G G G GPodem ser aplicadas s senhas as seguintes restries: Nmero mnimo de semanas entre a troca de senhas Nmero mximo de semanas sem troca de senhas Nmero mnimo de caracteres alfabticos que a senha deve conter Nmero mnimo de caracteres no alfabticos que a nova senha deve conter Nmero mximo de vezes que um caracter pode aparecer na nova senha Nmero mnimo de caracteres na nova senha que devem ser diferentes dos caracteres na senha antiga

NOTAS: O gerenciamento adequado das senhas somente pode ser conseguido atravs da educao dos usurios. A verso 3 do AIX, entretanto, fornece algumas facilidades que podem ajudar, ou mesmo forar, a escolha de senhas no triviais. Estas restries se encontram no arquivo /etc/security/login.cfg, e so exercidas sempre que uma nova seja definida para um usurio ou grupo. Observe que todas as restries se aplicam ao sistema e no a usurios individuais. Use o seu bom senso na definio destas regras de modo a impedir que um usurio tenha que escolher senhas to complicadas que impeam a memorizao, fazendo com que tenham que ser escritas, comprometendo assim a segurana do sistema. Cumpre lembrar que a segurana das senhas sempre de responsabilidade do usurio. Restries simples, associadas com orientao e auditorias peridicas a melhor poltica. Restries s senhas em /etc/security/login.cfg minage maxage Nmero mnimo de semanas que devem se passar antes que seja permitida a troca de senhas Nmero mximo de semanas que podem se passar antes que a troca de senhas seja solicitada pelo sistema Nmero mnimo de caracteres alfabticos que uma nova senha deve conter Nmero mnimo de caracteres no alfabticos que cada senha deve conter. Obs: O tamanho mnimo de uma senha no sistema equivalente soma dos campos minalpha e minother. O tamanho mximo da senha de 8 caracteres Nmero mximo de vezes que um caracter pode aparecer em uma nova senha Nmero mnimo de caracteres na nova senha que precisam ser diferentes de caracteres na senha antiga

minalpha minother

maxrepeats mindiff

34

Segurana

UNICAMP - CCUEC


NOTAS: A tabela abaixo fornece os valores recomendados, default e mximos para cada uma das restries que podem ser aplicadas s senhas. Os valores default so aplicados se a stanza pw_restrictions no estiver definida no arquivo /etc/security/login.cfg, ou se um atributo particular no estiver definido. Ambientes seguros devem usar os valores recomendados, e mesmo sistemas apenas usados para trabalhos pessoais devem exigir senhas de algum tipo, especialmente se estiverem ligados a algum tipo de rede.

Parmetrominage maxage minalpha minother mindiff maxrepeats*

Sugerido 1 8 5 2 3 1

Default 0 0 0 0 0 0

Mximo 52 52 8 8* 8 8

O valor mximo de minother (8 - minalpha)

35

Segurana

UNICAMP - CCUEC


Segurana da RedeTrusted hosts G /etc/hosts.equiv G .rhostsTerminais seguros

NOTAS:

Network File System (NFS) G /etc/exports G /etc/netgroup G Restrio de acesso para o superusurio (root) File Transfer Protocol (FTP) G tftp

36

Segurana

UNICAMP - CCUEC


Segurana da RedeG G G G GMail Cuidado na instalao de programas pblicos Finger Modems e servidores de terminais Firewalls

NOTAS:

37

Segurana

UNICAMP - CCUEC


Segurana do Sistema de ArquivosPermisses dos arquivos G Cada diretrio ou arquivo possui trs grupos de permisses: G dono do arquivo G grupo a que pertence o dono do arquivo G demais usurios G Cada grupo de permisses pode especificar os seguintes atributos: G read G write G execute G setuid G setgid G sticky

NOTAS: A ltima linha de defesa contra invasores do sistema so as permisses oferecidas pelo sistema. Cada arquivo ou diretrio possui trs grupos de bits de permisso a ele associados: um grupo para o usurio ao qual o arquivo pertence, um grupo para os usurios do grupo ao qual o arquivo est associado e um grupo para todos os demais usurios. Cada grupo contm trs grupos de bits idnticos que controlam: Acesso de leitura(read): Se este bit estiver ligado, o arquivo ou diretrio possui acesso de leitura. Em se tratando de um diretrio, esta permisso permite a um usurio ver o contedo de um diretrio mas no lhe permite acess-lo. Acesso de gravao (write): Se este bit estiver ligado, o arquivo ou diretrio pode ser modificado. Em se tratando de um diretrio, a permisso de escrita implica a capacidade de criar, apagar ou renomear arquivos. Note que a permisso para remover um arquivo no determinada pelas permisses do arquivo mas sim pelas permisses do diretrio que o contm. Acesso de execuo (execute): Se este bit estiver ligado, o arquivo ou diretrio pode ser executado (pesquisado). No caso de um diretrio, a permisso de execuo implica que os arquivos nele contidos podem ser acessados Alm destas permisses, existe um quarto bit que se ligado atribui as seguintes propriedades aos arquivos e diretrios: setuid: Este bit, se ativado no grupo de permisses do dono do arquivo, indica que todos os que executarem este programa o estaro fazendo com os privilgios do proprietrio do arquivo. Por exemplo, o programa sendmail setuid root, o que lhe permite gravar arquivos na fila de mensagens do sistema, o que vedado a usurios normais. Este bit no possui significado em arquivos no executveis setgid: Este bit atua da mesma forma que o setuid bit, com a difer-

G G

G

G

G

38

Segurana

UNICAMP - CCUEC


G

ena que o programa ser executado com as permisses do grupo ao qual pertence sticky: O sticky bit informa ao sistema operacional a atuar diferentemente com relao imagem executvel do arquivo. remanescente do verses antigas do Unix e possui pouco uso hoje. Diretrios que possuem modo 777 que tm este bit ligado no podem ser removidos (/tmp por exemplo).

39

Segurana

UNICAMP - CCUEC


Segurana do Sistema de ArquivosG G G G G GNunca utilizar ou permitir que se utilize em qualquer sistema Unix shell scripts com o setuid bit ligado

NOTAS: Shell scripts que possuem os bits setuid ou setgid ligados no so seguros, no importa quantas precaues tenham sido tomadas ao escrev-los. Tais scripts nunca devem ser permitidos em qualquer sistema Unix. Nas verses mais recentes de sistemas Unix foi acrescentado um novo significado ao sticky bit quando aplicado a diretrios. Quando este bit ativado em um diretrio, usurios no podem apagar ou renomear arquivos pertencentes a outros usurios. Isto tipicamente til no caso de diretrios como /tmp. Normalmente o diretrio /tmp possui acesso universal para gravao, permitindo que qualquer usurio remova arquivos pertencentes a qualquer outro usurio. Ativando o sticky bit no diretrio /tmp, os usurios podem remover apenas seus prprios arquivos. Para ativar o sticky bit em um diretrio, use o comando: # chmod o+t diretrio Ao se criar um arquivo normalmente todas as permisses so ativadas. Como isto raramente o desejado, o valor do umask usado para modificar o grupo de permisses com as quais um arquivo criado. Ou seja, da mesma forma com que o comando chmod especifica quais bits devem ser ligados, o comando umask especifica quais bits devem ser desligados. O comando umask especificado nos arquivos .cshrc ou .profile, dependendo da shell utilizada. A conta root deve ter a seguinte linha: umask 022 para impedir a criao acidental de arquivos pertencentes ao superusurio com permisso 777. A segurana de dispositivos uma questo importante em sistemas Unix. Arquivos de dispositivo so usados por vrios programas para acessar dados nos discos rgidos ou na memria. Se estes dispositivos no esto devidamente protegidos, o sistema est vulnervel a ataques. A lista completa de dispositivos muito grande e varia de sistema para sistema. Em linhas gerais, as seguintes normas se aplicam: Os arquivos /dev/kmem, /dev/mem e /dev/drum no devem ter permisso de leitura universal.

sticky bit em diretriosSetgid bit em diretrios umask Arquivos encriptados Dispositivos

G

40

Segurana

UNICAMP - CCUEC


G G

Os dispositivos de disco, tais como /dev/sd0a, /dev/rx1b, etc., devem pertencer ao usurio root e grupo operator, e devem possuir modo 640. Com muito poucas excees, todos os outros dispositivos devem pertencer ao usurio root. Uma destas excees so os terminais, que pertencem ao usurio que o estiver utilizando no momento. Ao desconectar-se, o terminal volta a pertencer ao root.

41

Segurana

UNICAMP - CCUEC


Segurana sua responsabilidade

NOTAS:

Existem diversas ferramentas para aperfeioar a segurana de sistemas Unix. Embora estas ferramentas estejam disponveis na maior parte dos sistemas, normalmente no so utilizadas. tarefa do administrador de sistemas despender o tempo e o esforo necessrio para disponibilizar estas ferramentas e, desta forma, proteger o sistema de acessos no autorizados.

42

Segurana

UNICAMP - CCUEC


Monitorao da SeguranaGSegurana de contas G lastlog G utmp G wtmp G acct Segurana da rede G syslog G showmount

NOTAS: Uma das tarefas do administrador de sistemas a monitorao da segurana. Esta tarefa envolve o exame de arquivos de log para detectar acessos no autorizados, bem como a monitorao de falhas de segurana. As contas devem ser monitoradas periodicamente de modo a verificar dois eventos: usurios que logam quando no devem (por exemplo, tarde da noite ou quando esto de frias) e usurios executando comandos que normalmente no deveriam usar. O arquivo /usr/adm/lastlog registra o login mais recente de cada usurio do sistema. A mensagem impressa no terminal a cada vez que um usurio logaLast login: Sat Mar 10 10:50:48 from ccvax.unicamp.br

G

usa a data armazenada no arquivo lastlog. A data do ltimo login relatada pelo comando finger tambm usa estes dados. Os usurios devem ser alertados a inspecionar esta data para certificarem-se de que no foi efetuado nenhum acesso no autorizado s suas contas e, caso positivo, a alertar o administrador de sistemas para o ocorrido. O arquivo /etc/utmp usado para registrar quem est logado no sistema no momento. Este arquivo pode ser exibido atravs do comando who: %who queiroz ivete sandra zanini tty0c tty14 tty15 ttyp1 Mar Mar Mar Mar 13 13 13 9 13:54 12:15 08:16 07:03 (cesar.unicamp.br)

43

Segurana

UNICAMP - CCUEC


Para cada usurio exibido o userid, o terminal sendo utilizado e o computador remoto(se o login foi efetuado via rede). O arquivo /usr/adm/wtmp registra as datas de login e logout de cada usurio. Este arquivo tambm pode ser examinado atravs do comando who: %who /usr/adm/wtmp queiroz tty0c tty0c ivete tty14 tty14 Mar Mar Mar Mar 13 13 13 13 13:54 15:34 11:49 12:15

penetrar no sistema. Existem entretanto alguns programas que auxiliam nesta tarefa. O syslog um mecanismo que permite que qualquer comando registre mensagens de erro e informativas na console do sistema e/ou em um arquivo. Normalmente mensagens de erro so gravadas no arquivo /usr/adm/messages juntamente com a data e hora em que foram enviadas pelo programa que as gerou. De particular interesse so as mensagens geradas pelos programas login e su. Sempre que algum loga como root o comando login registra esta informao. Normalmente, logar diretamente como root deve ser desencorajado, visto ser difcil identificar quem est realmente utilizando a conta. Uma vez que esta possibilidade tenha sido desabilitada identificar violaes de segurana se resume a analisar o arquivo de mensagens procurando as mensagens geradas pelo comando su. Outro tipo de evento a ser monitorado so pessoas tentando insistentemente logar em determinada conta e no conseguindo. Aps trs tentativas o programa login no mais permite que a pessoa tente novamente. O programa su registra o sucesso ou o fracasso da operao. Estas mensagens podem ser usadas para verificar se os usurios esto compartilhando suas senhas bem como identificar um invasor que conseguiu uma conta e est tentando utilizar outras. O comando showmount pode ser usado em um servidor NFS para exibir o nome de todas as mquinas que esto montando algum de seus diretrios. Se invocado sem opes o programa simplesmente exibe uma lista de todos os computadores. Com as opes -a e -d a sada mais til. A opo -a faz com que o comando showmount liste todos as combinaes de computadores e diretrios: cesar.unicamp.br:/pub/pub2 fee.unicamp.br:/pub wuarchive.wustl.edu:/simtel20 Ser exibida uma linha para cada diretrio montado por uma mquina. A opo -d faz com que seja exibida uma lista de todos os diretrios que esto montados por alguma mquina.

Uma linha que contem o userid indica a hora em que o usurio logou; uma linha que no contem o userid indica a hora em que o usurio desconectou-se do sistema. Infelizmente a sada deste comando raramente exibida como acima. Se vrios usurios logaram ao mesmo tempo os tempos de login e logout ficam misturados e precisam ser ajustados manualmente. O arquivo wtmp pode tambm ser examinado manualmente atravs do comando last. Este comando ordena as entradas no arquivo, casando os tempos de login e logout. Se invocado sem argumentos, o comando last exibe toda a informao contida no arquivo. O arquivo acct registra a execuo de cada comando no sistema, quem o executou, quando e quanto tempo gastou. Esta informao registrada cada vez que um comando completado, mas apenas se o kernel foi compilado com a opo SYSACCT ativada. O arquivo acct pode ser examinado atravs do comando lastcomm. Se invocado sem argumentos toda a informao do arquivo exibida. O comando lastcomm aceita como argumentos o nome de um comando, de um usurio ou de um terminal. A monitorao da segurana da rede mais difcil, porque existem inmeros mecanismos que um invasor pode utilizar para

44

Segurana

UNICAMP - CCUEC


Deve ser verificado que apenas mquinas locais montem os diretrios exportados e que apenas diretrios normais estejam sendo montados.

NOTAS: Verificar falhas de segurana no sistema de arquivos outra tarefa importante do administrador. Primeiramente devem ser identificados os arquivos que podem ser alterados por usurios no autorizados, arquivos que podem involuntariamente dar permisses excessivas a usurios e arquivos que possam fornecer acesso a invasores. importante tambm monitorar modificaes no sistema de arquivos e possuir mecanismos que permitam a volta do sistema ao estado original. O comando find um comando de propsito geral para pesquisar o sistema de arquivos. O comando # find / -type f -a $ -perm 0400 -o -perm 0200 $ -print localiza todos os arquivos do sistema com os bits setuid ou setgid ligados. A sada deste comando deve ser analisada para determinar se no existe algum arquivo suspeito na lista. O comando # find / -perm -2 -print identifica todos os arquivos com permisso de escrita universal. O comando # find / -nouser -o nogroup -print identifica arquivos que no pertencem a nenhum usurio ou a nenhum grupo. Imediatamente aps a instalao de um sistema, deve-se gerar um arquivo que liste a configurao inicial dos arquivos do sistema: # ls -aslgR /bin /etc /usr > MasterChecklist Este arquivo contm uma lista completa de todos os arquivos nestes diretrios. As linhas referentes a arquivos que mudem freqentemente devem ser removidas do arquivo. O masterchecklist deve ser guardado em um local seguro para evitar adulteraes. Para pesquisar alteraes no sistema de arquivos, execute o comando acima novamente e compare-o com o arquivo mestre: # diff MasterChecklist Currentlist Outro aspecto muito importante a realizao de backups freqentes do sistema de arquivos. Backups no apenas protegem contra falhas de hardware como contra delees acidentais.

Monitorao da SeguranaSegurana sistema de arquivos G find G arquivos setuid/setgid G arquivos sem dono G .rhosts G checklists G backups

45

Segurana

UNICAMP - CCUEC


ChecklistG GFaa backups

NOTAS:

Rode os comandos grpck, pwdck e usrck diariamente

G

Verifique os dados do sistema de account

G

Rode o comando errpt ao menos semanalmente

G

Certifique-se de que o sistema de registro de erros esteja sempre ativo

46

Segurana

UNICAMP - CCUEC


Conhea seu sistema

NOTAS:

Alm dos programas de monitorao existem comandos simples do Unix que podem ser teis na deteco de violaes de segurana. O administrador deve se familiarizar com os comandos executados normalmente no sistema de forma a ser capaz de identificar atividades suspeitas

47

Segurana

UNICAMP - CCUEC


Comandos teis

NOTAS:

G G G G

ps who w ls

48

Segurana

UNICAMP - CCUEC


Ferramentas teisG G G G G Gnpasswd cops tripwire watcher tcpwrapper kerberos

NOTAS:

49

Segurana

UNICAMP - CCUEC


Leituras RecomendadasG G G G G GUnix System Administration Handbook Evi Nemeth, Garth Snider, Scott Seebass Prentice Hall Unix Operating System Security F.T.Grammp/R. H. Morris AT&T Bell Labs Technical Journal Password Security: A Case History Robert Morris/Ken Thompson Communications of the ACM On the Security of UNIX Dennis M. Ritchie The Cuckoos Egg Clifford Stoll Doubleday Improving the Security of your Unix System David A. Curry, Systems Programmer ftp.unicamp.br: /pub/security/info/security.doc.tar.z

NOTAS:

50

Segurana

4 Gerenciamento de Usurios

UNICAMP - CCUEC


52

Gerenciamento de Usurios

UNICAMP - CCUEC


Criao de Usurios# smitty mkuserCreate User Type or select values in entry fields Press Enter AFTER making all desired changes [TOP] [Entry Fields] * User NAME [] + User ID [] # LOGIN user? true + PRIMARY group [] + Group SET [] + ADMINISTRATIVE groups [] + SU groups [ALL] + HOME directory [] Initial PROGRAM [] User Information [] Another user can SU to user? true + User can RLOGIN? true + TRUSTED PATH? nosak + Valid TTYs [ALL] AUDIT classes [] PRIMARY Authentication method [SYSTEM] SECONDARY Authentication method [NONE] Max FILE size [2097151] Max CPU time [-1] Max DATA segment [262144] # Max STACK size [65536] # Max CORE file size [2048] # Max physical MEMORY [65536] # File creation UMASK [022] EXPIRATION date (MMDDhhmmyy) [0]

NOTAS: User NAME Obrigatrio. Deve conter 8 bytes ou menos. No pode iniciar por -, +, ou ~. No pode conter : ou usar as palavras ALL ou default. Opcional. Indica o status administrativo do usurio. Apenas o usurio root pode alterar este atributo. Opcional. Identificao do usurio. Se no fornecido este valor atribudo pelo sistema Opcional. Indica se o usurio pode acessar o sistema usando o comando login Opcional. O grupo principal ao qual o usurio ir pertencer. O grupo default STAFF Opcional. Os grupos aos quais este usurio pertence Opcional. Os grupos dos quais este usurio ser o administrador Opcional. A lista de grupos que podem usar o comando su para mudarem para a conta especificada. O caracter !em frente a um grupo o exclui da lista. Se este atributo no for especificado todos os grupos podem acessar esta conta atravs do comando su. Opcional. O caminho completo do diretrio de trabalho do usurio. Por default o sistema atribui o valor /u/Usurio.

ADMINISTRATIVE User User ID

LOGIN User PRIMARY Group Group set ADMINISTRATIVE Groups SU Groups

HOME Directory

Initial PROGRAM Opcional. O programa a ser rodado quando uma sesso iniciada. O default /bin/ksh. User Information Opcional. Informaes sobre o usurio.

53


UNICAMP - CCUEC


Another user CAN SU to user User CAN RLOGIN Trusted Path Valid TTYs AUDIT classes PRIMARY Authentication Method SECONDARY Authentication Method Max FILE size(*|**) Max CPU time(*) Max DATA segment(*|**) Max STACK size(*|**) Max CORE File size(*|**) Max Physical MEMORY(*|**) File creation UMASK

Opcional. Indica se um outro usurio pode acessar esta conta com o comando su. Opcional. Indica se esta conta pode ser acessada atravs do comando rlogin. Opcional. Indica o status do caminho confivel para este usurio. Opcional. A lista de terminais que este usurio pode utilizar. Opcional. As classes de auditoria para as quais este usurio ser auditado. Opcional. Mtodos primrios para autenticar este usurio. Valores vlidos so SYSTEM e NONE. Opcional. Mtodos secundrios para autenticao deste usurio. No existem mtodos secundrios de autenticao de usurios disponveis no momento. Opcional. Tamanho do maior arquivo que este usurio pode criar. Opcional. A maior quantidade de tempo de CPU, em segundos, que o usurio pode utilizar. Opcional. O maior segmento de dados para processos do usurio. Opcional. Tamanho do maior segmento de pilha que um processo deste usurio pode criar. Opcional. Tamanho do maior arquivo de core que um processo do usurio pode criar. Opcional. A maior quantidade de memria fsica que processos deste usurio podem alocar. Opcional. Permisses que um arquivo no ter ao ser criado pelo usurio.

EXPIRATION Date

Data de expirao desta conta.

*Valores menores ou iguais a zero implicam na inexistncia de restries. ** Especificado em unidades de blocos de 512Kbytes

54


UNICAMP - CCUEC


Alterao de atributosGsmitty chuserChange User Attributes Type or select a value for the entry field Press Enter AFTER making all desired changes [Entry Fields] +

NOTAS:

* User NAME

[]

F1=Help F2=Refresh Esc+5=Reset Esc+6=Command Esc+9=Shell Esc+0=Exit

F3=Cancel Esc+7=Edit Enter=Do

F4=List Esc+8=Image

55


UNICAMP - CCUEC


Alterao de atributosChange User Attributes Type or select values in entry fields Press Enter AFTER making all desired changes [TOP] [Entry Fields] * User NAME queiroz User ID [1020] # LOGIN user? true + PRIMARY group [sys] + Group SET [sys,staff] ADMINISTRATIVE groups [] + SU groups [ALL] + HOME directory [/u/queiroz] Initial PROGRAM [/bin/ksh] User Information [Sup. Unix] Another user can SU to user? true + User can RLOGIN? true + TRUSTED PATH? nosak + Valid TTYs [ALL] AUDIT classes [] PRIMARY Authentication method [SYSTEM] SECONDARY Authentication method [NONE] Max FILE size [2097151] Max CPU time [-1] Max DATA segment [262144] # Max STACK size [65536] # Max CORE file size [2048] # Max physical MEMORY [65536] # File creation UMASK [022] EXPIRATION date (MMDDhhmmyy) [0]

NOTAS:

56


UNICAMP - CCUEC


Listar Usurios# smitty lsuserCOMMAND STATUS Command: OK stdout: yes stderr: no

NOTAS: Este comando exibe uma lista de todos os usurios no sistema juntamente com seus UIDs e diretrios de trabalho.

Before command completion, additional instructions may appear bellow [TOP] root 0 daemon bin 2 sys 3 adm 4 uucp 5 guest 100 nobody lpd 104 queiroz sandra ana 1002 [MORE..83] / 1 /etc /bin /usr/sys /usr/adm /usr/lib/uucp /usr/guest -2 / / 1020 /u/queiroz 1001 /u/sandra /u/ana



F4=List Esc+8=Image

57


UNICAMP - CCUEC


Listar Atributos% lsuser queiroz queiroz id=1020 pgrp=supsof groups=supsof,sys,usr home=/u/queiroz shell=/ksh gecos=Sup UNIX

NOTAS:

# lsuser queiroz queiroz id=1020 pgrp=supsof groups=supsof,sys,usr home=/u/queiroz shell=/ksh gecos=Sup Unix login=true su=true rlogin=true daemon=true admin=false sugroups=ALL tpath=nosak ttys=ALL expires=0 auth1=SYSTEM auth2=NONE umask=22 fsize=2097151 cpu=-1 data=262144 stack=65536 core=2048 rss=65536 time_last_login=781614408 time_last_unsuccessful_login=781534614 tty_last_login=pts/4 tty_last_unsuccessful_login=pts/27 host_last_login=paris host_last_unsuccessful_login=paris unsuccessful_login_count=0

58


UNICAMP - CCUEC


Listar Atributos# lsuser -f queiroz queiroz: id=1020 pgrp=supsof groups=supsof,sys,usr home=/home/cesar/supsof/queiroz shell=/ksh gecos=Sup UNIX login=true su=true rlogin=true daemon=true admin=false sugroups=ALL tpath=nosak ttys=ALL expires=0 auth1=SYSTEM auth2=NONE umask=22 fsize=2097151 cpu=-1 data=262144 stack=65536 core=2048 rss=65536 time_last_login=781614408 time_last_unsuccessful_login=781534614 tty_last_login=pts/4 tty_last_unsuccessful_login=pts/27 host_last_login=paris host_last_unsuccessful_login=paris unsuccessful_login_count=0

NOTAS:

59


UNICAMP - CCUEC


Listar Atributos$ lsuser -f queiroz queiroz: id=1020 pgrp=supsof groups=supsof,sys,usr home=/u/queiroz shell=/ksh gecos=Sup. UNIX

NOTAS:

$ lsuser -a id groups queiroz queiroz id=1020 groups=supsof,sys,usr

$ lsuser -a -f id groups queiroz queiroz: id=1020 groups=supsof,sys,usr

60


UNICAMP - CCUEC


Remoo de Usurios# smitty rmuserRemove a User from the System Type or select a value for the entry field Press Enter AFTER making all desired changes [Entry Fields] * User NAME [] + Remove AUTHENTICATION Information Yes +

NOTAS: Se voce desejar remover a password do usurio e outras informaes usadas para autenticao contidas no arquivo /etc/security/passwd, selecione Yes no campo Remove Authentication Information. Para efetuar esta operao sem utilizar o smit utilize o comando rmuser. O comando rmuser com a opo -p remove o usurio e todas as informaes de autenticao. Por exemplo, para remover o usurio joao e todas as suas informaes de autenticao emitir, como root, o comando: # rmuser -p joao



F4=List Esc+8=Image

61


UNICAMP - CCUEC


Alterao de senhas# smitty passwdChange User Password Type or select a value for the entry field Press Enter AFTER making all desired changes [Entry Fields] [joao]

NOTAS: Nos sistemas AIX existem duas maneiras de se trocar a password de um usurio: atravs dos comandos passwd e pwdadm. O comando passwd simplesmente efetua a troca da senha do usurio ao passo que o comando pwdadm ativa o atributo ADMCHG, que fora o usurio a trocar sua password na prxima vez que acessar o sistema ou quando sua conta for acessada atravs do comando su.

* User NAME +



F4=List Esc+8=Image

Changing password for joao Enter roots password or joaos Old password: joaos New password: ******** Enter the new password again:

62


UNICAMP - CCUEC


Definio de Atributos DefaultG GAtributos default so armazenados no arquivo /usr/lib/security/mkuser.default mkuser.default: user: group = staff groups = staff prog = /bin/ksh home = /u/$USER auth1 = SYSTEM auth2 = NONE admin: group = system groups = system prog = /bin/ksh home = /u/$USER

NOTAS: Os atributos default empregados na criao de novos usurios so a rma zena d os no a rqu ivo /usr/lib/security/mkuser.default. Estes valores so lidos pelo comando mkuser e utilizados a menos que sejam fornecidos outros na linha de comando. Para definir ou alterar estes valores, este arquivo deve ser editado.

63


UNICAMP - CCUEC


Bloqueio de acessoO acesso ao sistema pode ser bloqueado negando-se ao usurio o uso de comandos que so usados para se logar no sistema. Dois tipos de login podem ser controlados:

NOTAS:

G G

Logins locais atravs do comando login

Logins remotos atravs dos comandos rsh, rlogin e telnet

OBS.: Este tipo de controle no vlido para ambientes NIS. A restrio somente se aplicaria ao NIS master.

64


UNICAMP - CCUEC


Bloqueio de acesso

NOTAS:

G

Impedir que o usurio joao acesse o sistema usando os comandos telnet, rlogin, rsh: #chuser login=no rlogin=no joao

G

Restituir ao usurio joao o direito de acesso: #chuser login=yes rlogin=yes joao

G

smitty chuser

65


UNICAMP - CCUEC


Arquivos - 1G/etc/passwd root:!:0:0::/:/bin/ksh daemon:!:1:1::/etc: ze:!:155:100:Jose:/u/ze:/bin/csh ...

NOTAS:

G

/etc/security/passwd yazmin: password = Y7mhg9qU3uIpU lastupdate = 780752101 backup: password = bsy04R5phqdKM lastupdate = 780950764 flags = ADMCHG

G

/etc/group system:!:0:root staff:!:1:moretti,daemon bin:!:2:bin,root,backup

66


UNICAMP - CCUEC


Arquivos - 2G/etc/security/user default: admin = false login = true su = true daemon = true rlogin = true sugroups = ALL ttys = ALL auth1 = SYSTEM auth2 = NONE tpath = nosak umask = 022 expires = 0 root: admin = true login = true rlogin = false sugroups = sys

NOTAS:

67


UNICAMP - CCUEC


Arquivos - 3G/etc/security/login.cfg pw_restrictions: maxage = 0 minage = 0 minalpha = 0 minother = 0 minalpha = 0 minother = 0 mindiff = 0 maxrepeats = 8 port: sak_enabled = false herald = login: aliases = usw: shells=/bin/sh,/bin/bsh,/bin/csh ,/bin/ksh,/bin/tsh,/usr/bin/sh,/ usr/bin/bsh,/usr/bin/csh,/usr/bi n/ksh,/usr/bin/tsh,/usr/mbin/sh, /usr/mbin/bsh,/usr/mbn/csh,/usr/ mbin/ksh,/usr/mbin/tsh maxlogins = 0

NOTAS:

68


5 Gerenciamento de Grupos

UNICAMP - CCUEC


70

Gerenciamento de Grupos

UNICAMP - CCUEC


Criao de Grupos# smit mkgroupAdd Group Type or select values in entry fields Press Enter AFTER making all desired changes Group NAME ADMINISTRATIVE group? [] false

NOTAS:

+

F1=Help

F2=Refresh


F4=List Esc+8=Image

Esc+5=Reset Esc+6=Command Esc+9=Shell Esc+0=Exit

# mkgroup [-a|-A] finance

71


UNICAMP - CCUEC


Alterao de Atributos# smit chgroupChange Group Attributes Type or select values in entry fields Press Enter AFTER making all desired changes Group NAME [sys]

NOTAS: A alterao dos atributos de um grupo pode tambm ser feita diretamente na linha de comandos atravs do comando chgroup: # chgroup users=joao,ze,maria finance O comando acima define como membros do grupo finance os usurios joao, ze e maria. # chgroup users=joao,ze adms= finance O comando acima retira a usuria maria do grupo finance e remove todos os administradores do grupo.



F4=List Esc+8=Image

Change Group Attributes Type or select values in entry fields Press Enter AFTER making all desired changes [Entry Fields] [sys] [3] # true + [sys,joao] + []

Group NAME Group ID ADMINISTRATIVE group USER list ADMINISTRATOR list



F4=List Esc+8=Image

72


UNICAMP - CCUEC


Listar Informaes sobre Grupos (1)# smit lsgroupCommand Status Before command completion, additional instructions may appear below. [TOP] system 0 staff 1 bin 2 sys 3 adm 4 [MORE...34]F1=Help F2=Refresh

NOTAS:

root,backup,ze paulo,joao,maria bin,root paulo,joao,ze,maria adm,root,bin

F3=Cancel Esc+0=Exit

Esc+6=Command

Esc+8=Image Esc+9=Shell

73


UNICAMP - CCUEC


Listar Informaes sobre Grupos (2)# lsgroup -a id users ALL system id=0 users=root staff id=1 users=moretti,daemon bin id=2 users=bin,root,backup sys id=3 users=sys,queiroz,sandra,ivete adm id=4 ...

NOTAS:

# lsgroup -a -f users ALL system: id=0 users=root,backup staff: id=1 users=moretti,daemon

74


UNICAMP - CCUEC


Remoo de Grupos# smitty rmgroupRemove a Group from the System Type or select values in entry fields Press Enter AFTER making all desired changes Group NAME [finance]

NOTAS: Os usurios pertencentes a um grupo que foi deletado no so removidos do sistema. Caso o grupo removido seja o grupo primrio de um usurio o grupo no poder ser removido. Todos os usurios que tenham o grupo em questo como grupo primrio tero que ser alterados para passar a pertencer a um outro grupo primrio. Apenas o usurio pode remover um grupo administrativo ou um grupo ao qual pertenam administradores.



F4=List Esc+8=Image

# rmgroup finance

75


UNICAMP - CCUEC


76


6 Volumes Lgicos

UNICAMP - CCUEC


78

Volumes Lgicos

UNICAMP - CCUEC


Logical Volume StorageMtodo transparente para usuarios e aplicativos de dividir e alocar espao de armazenamento nos discos do sistema

Parties Fsicas (Physical Partitions)Cada volume fsico particionado em unidades de espao contguas e de igual tamanho, denominadas parties fsicas

Volumes Fsicos (Physical Volumes)Discos conectados ao sistema com informaes de configurao e identificao nele gravadas

Grupos de volumes (Volume Groups)Um grupo de volumes um conjunto de 1 a 32 volumes fsicos de tamanho e tipo variados

79

Volumes Lgicos

UNICAMP - CCUEC


Volumes Lgicos (Logical Volumes)Conjunto de parties lgicas onde reside o sistema de arquivos

Parties Lgicas (Logical Partitions)Um volume lgico composto de parties lgicas. As parties lgicas podem conter de uma a tres parties fsicas, dependendo do nmero de cpias especificadas para o volume lgico

Espelhamento (Mirroring)Facilidade oferecida pelo sistema operacional de se ter mais de uma cpia de um volume lgico

80

Volumes Lgicos

UNICAMP - CCUEC


Vantagens do Armazenamento LgicoGFacilidades para expanso do sistema de

G

Suporte a duplicao de dados (mirroring)

G

Dados de um mesmo sistema de arquivos podem ser distribudos por vrios discos fsicos

G

O sistema operacional usa volumes lgicos distintos para finalidades especficas tais como paginao, log de journal, dados de boot, etc.

arquivos

81

Volumes Lgicos

UNICAMP - CCUEC


Logical Volume ManagerConjunto de comandos do sistema operacional, bibliotecas de subrotinas e outras ferramentas que permitem criar e controlar volumes lgicos

Componentes do LVMG GLVDD Logical Volume Device Driver LVM subroutine interface library

varyonvg varyoffvgComandos utilizados para ativar e desativar grupos de volumes definidos para o sistema

82

Volumes Lgicos

UNICAMP - CCUEC


Comandos Importantes (1)G Gchvg

Comandos Importantes (2)importvg % importvg -y bkvg hdisk07

% chvg -a y vg03

G

reorgvg % reorgvg vg02 lv03 lv04 lv07

G

mkvg % mkvg -s 1 hdisk3 hdisk5 hdisk6

G

syncvg % syncvg -v vg04 vg05

G

exportvg exportvg vg02

83

Volumes Lgicos

UNICAMP - CCUEC


Comandos Importantes (3)Gchpv % chpv -v r hdisk03 % chpv -v a hdisk03 % chpv -v n hdisk03

Comandos Importantes (4)Gmigratepv % migratepv -l lv02 hdisk1 hdisk6

G

mklv % % % % mklv mklv mklv mklv -c 2 -c 3 -a c vg03 vg02 1 -u 2 -s n vg03 9 -t paging -b n vg04 5 15 hdisk5 hdisk6

G

lspv % lspv hdisk3 % lspv -p hdisk5 % lspv

84

Volumes Lgicos

UNICAMP - CCUEC


Comandos Importantes (5)Gchlv % % % % chlv chlv chlv chlv -e -t -p -t m lv01 copy lv03 r lv03 paging -u 10 lv03

Comandos Importantes (6)Grmfs % rmfs /test

G

mklvcopy % mklvcopy lv01 3

G

rmlv % rmlv -f lv05

G

rmlvcopy % rmlvcopy lv03 2

85

Volumes Lgicos

UNICAMP - CCUEC


Comandos Importantes (7)Gextendlv % extendlv lv05 3

G

cplv % cplv lv03 % cplv -v vg02 lv03

G

reducevg % reducevg vg01 hdisk1 % reducevg -d -f vg01 hdisk1

G

extendvg % extendvg vg3 hdisk3 hdisk8

86

Volumes Lgicos

UNICAMP - CCUEC


88

Sistemas de Arquivos

UNICAMP - CCUEC


Sistemas de ArquivosG GUm sistema de arquivos uma estrutura hierrquica de arquivos e diretrios. Algumas tarefas, para serem executadas mais eficientemente, devem ser realizadas sobre os sistemas de arquivos. O sistema de arquivos nativo chamado de journalled file system. Esta tcnica impede inconsistncias no sistema de arquivos em caso de encerramento anormal do sistema. Um sistema de arquivos reside em um nico volume lgico. Precisam estar montados para serem acessados.

NOTAS: Um sistema de arquivos uma estrutura hierrquica (rvore de arquivos) de arquivos e diretrios. Este tipo de estrutura se assemelha a uma rvore invertida com as razes no topo e os galhos no fundo. Esta rvore de arquivos usa diretrios para organizar dados e programas em grupos, permitindo o gerenciamento de vrios diretrios e arquivos a um s tempo. Algumas tarefas so desempenhadas mais eficientemente sobre um sistema de arquivos do que sobre cada diretrio dentro do sistema de arquivos. O sistema de arquivos nativo denominado journaled file system. Este tipo de sistema de arquivos usa tcnicas de journaling para manter a sua consistncia estrutural. Isto impede danos ao sistema de arquivos em caso de trmino anormal do sistema. Um dado sistema de arquivos reside em um nico volume lgico. O comando mkfs (make file system) ou o SMIT (comando smit mkfs) cria um sistema de arquivos em um volume lgico. Todo arquivo e diretrio pertence a um sistema de arquivos dentro de um volume lgico. Para se acessar um sistema de arquivos, este deve estar montado sobre um diretrio (mount point). Quando vrios sistemas de arquivos so montados, criada uma estrutura de diretrios semelhante imagem de um nico sistema de arquivos. Existe uma estrutura hierrquica com uma nica raiz. Esta estrutura inclui os sistemas de arquivos base e quaisquer outros sistemas de arquivos que sejam criados.

G

G G

89


UNICAMP - CCUEC



NOTAS: Na verso 3.2, a rvore de diretrios padro foi significantemente reestruturada para facilitar o gerenciamento de mquinas diskless e dataless. Cada sistema de arquivos reside em um volume lgico separado, montados pelo sistema operacional durante a inicializao. Esta configurao til para auxiliar em tarefas de gerenciamento de sistema tais como backup, restore e reparos, porque uma parte da rvore de arquivos isolada das demais. Arquivos locais e remotos podem ser acessados atravs do comando mount. Desta forma o sistema de arquivos fica disponvel para atividades de leitura ou leitura e gravao a partir do sistema local. Para montar ou desmontar arquivos o usurio precisa pertencer ao grupo system. Os sistemas de arquivos definidos no arquivo /etc/filesystems so montados automaticamente durante a inicializao do sistema. Sistemas de arquivos tanto remotos quanto locais podem ser desmontados usando-se o comando umount, a menos que um usurio ou processo os esteja acessando.

/dev/hd1 /dev/hd2 /dev/hd3 /dev/hd4 /dev/hd9var

/home /usr /tmp / /var

90


UNICAMP - CCUEC


Tipos de Sistemas de ArquivosG G GJournaled File System(JFS)

NOTAS: A verso 3 do AIX suporta vrios tipos de sistemas de arquivos: JFS (Journaled File System) o sistema nativo do AIX. NFS (Network File System) um tipo de sistema de arquivos que permite que arquivos residentes em mquinas remotas sejam acessados como se residissem na mquina local CRFS (CD-ROM File System) um tipo de sistema de arquivos que permite que o contedo de um CD-ROM seja acessado atravs das interfaces normais dos sistemas de arquivos (open, read, close).

G G G

Network File System(NFS)

CD-ROM File System(CRFS)

91


UNICAMP - CCUEC


Comandos de Gerenciamento de Sistemas de ArquivosG G G G Gchfs

NOTAS: Existem vrios comandos para gerenciar si

aix

Documents