Download - Redes Linux Lpi 01
-
7/30/2019 Redes Linux Lpi 01
1/295
-
7/30/2019 Redes Linux Lpi 01
2/295
Objetivos
Entender os princpios de redes decomputadores
Aprender os tipos de topologias
Conhecer dispositivos de redes
Modelo OSI e TCP/IP
RFC's
Endereamento
-
7/30/2019 Redes Linux Lpi 01
3/295
Introduo
Compartilhar informaes
Compartilhar servios
Disponibilidade
Interatividade
-
7/30/2019 Redes Linux Lpi 01
4/295
O inicio
A Arpanet Advanced Research ProjectsAgency na dcada de 60.
Transporte de informaes secretas.
-
7/30/2019 Redes Linux Lpi 01
5/295
-
7/30/2019 Redes Linux Lpi 01
6/295
-
7/30/2019 Redes Linux Lpi 01
7/295
Ponto a ponto
Caracteriza-se pela presena de apenas doispontos de comunicao um em cadaextremidade do enlace ou ligao emquesto.
-
7/30/2019 Redes Linux Lpi 01
8/295
Mutiponto
Nas ligaes multiponto observa-se presena detrs ou mais dispositivos de comunicao compossibilidade de utilizao do mesmo enlace.
-
7/30/2019 Redes Linux Lpi 01
9/295
Utilizao do meio fsico
Simplex Half-duplex
Full-duplex
-
7/30/2019 Redes Linux Lpi 01
10/295
Simples
O enlace utilizado em um dos possveis sentidosda transmisso.
S i m p l e x
-
7/30/2019 Redes Linux Lpi 01
11/295
Half-duplex
O enlace utilizado nos dois possveis sentidos datransmisso, porm apenas um por vez.
H a l f - d u p l e x
o u
-
7/30/2019 Redes Linux Lpi 01
12/295
Full-duplex
O enlace utilizado nos dois possveis sentidos datransmisso simultaneamente.
F u l l - d u p l e x
-
7/30/2019 Redes Linux Lpi 01
13/295
Topologia totalmente ligada
-
7/30/2019 Redes Linux Lpi 01
14/295
Topologia parcialmente ligada
-
7/30/2019 Redes Linux Lpi 01
15/295
Topologia em anel (ring)
Nessa topologia os dispositivos so conectados emsrie, formando um circuito fechado (anel). Osdados so transmitidos unidirecionalmente de n emn at atingir seu destino.
-
7/30/2019 Redes Linux Lpi 01
16/295
Topologia em barramento (bus)
Nessa topologia, todos os computadores, estoconectados ao mesmo meio fsico. Essa estruturapossui um comeo, meio e fim, limitada pelo cabode dados.
-
7/30/2019 Redes Linux Lpi 01
17/295
Topologia em estrela (stars)
Nessa topologia, tem-se que todos os nsencontram-se conectados a um n central. Nessecaso os perifricos se comunicam atravs da rede,passando o trfego atravs do n central.
-
7/30/2019 Redes Linux Lpi 01
18/295
Topologia de redes quanto a distncia
Redes geograficamente distribuidas
WANS Wide Area Networks
Redes locais
LANs Local Area Networks Redes metropolitanas
MANs Metropolitan Area Networks
Outras CANs Campus Area Networks
PANs Personal Area Networks
-
7/30/2019 Redes Linux Lpi 01
19/295
-
7/30/2019 Redes Linux Lpi 01
20/295
Dispositivos de Redes
As redes de computadores so formadas por umemaranhado de dispositivos onde cada um exerce sua
funo ou completa a funcionalidade de outro dispositivo derede.
Estudaremos aqui somente os dispositivos de redes maiscomuns, que so encontrados com mais facilidade nas
redes de computadores.
-
7/30/2019 Redes Linux Lpi 01
21/295
NIC Network Interface Card
A funo da interface de rede basicamente fornecerconectividade entre o host e o meio fsico da rede.
Taxa de transmisso: 10 Mbps / 100 Mbps / 1000 Mbps Conectada ao computador atravs de um slot de expanso
(ISA ou PCI) ou ainda parte da placa-me (On-board).
O controle de acesso ao meio feito atravs de um
endereo especial de cada NIC. O endereo MAC (Media Access Control) um nmero de
48 bits, 24 bits identificam o fabricante e o restante paraidentificar a placa desse fabricante.
-
7/30/2019 Redes Linux Lpi 01
22/295
NIC Network Interface Card
Para visualizar o endereo MAC digite:
# ifconfig
-
7/30/2019 Redes Linux Lpi 01
23/295
NIC Network Interface Card
-
7/30/2019 Redes Linux Lpi 01
24/295
Ethernet (10 Mbps)
-
7/30/2019 Redes Linux Lpi 01
25/295
Fast Ethernet (100 Mbps)
-
7/30/2019 Redes Linux Lpi 01
26/295
Gigabit Ethernet (1000 Mbps)
-
7/30/2019 Redes Linux Lpi 01
27/295
-
7/30/2019 Redes Linux Lpi 01
28/295
-
7/30/2019 Redes Linux Lpi 01
29/295
-
7/30/2019 Redes Linux Lpi 01
30/295
Switch - comutador
Cut-Through
L o MAC e manda o pacote diretamente para o destinoantes mesmo de terminar de chegar;
Store and Forward
L todo o pacote, verificando erros. Depois envia para odestino, livre de erros, descarta-o
Fragmente-Free Mistura de Cut-Through e Store and Forward, lendo
apenas 64 bytes iniciais.
-
7/30/2019 Redes Linux Lpi 01
31/295
Router (Roteador)
Dispositivo que permite interconexo entre diferentes redes,mesmo geograficamente distantes e at mesmo com
protocolos diferentes. Dispositivo que opera na camada 3 do modelo OSI.
Equipamento mais importante para o funcionamento dainternet.
-
7/30/2019 Redes Linux Lpi 01
32/295
Modelo OSI e TCP/IP
O trfego na rede gerado quando ocorre uma solicitaona rede.
A solicitao tem que ser alterada daquilo que o usurio vpara um formato que possa ser utilizado na rede.
Essa transformao possvel por meio do modelo dereferncia OSI e TCP/IP.
Regula a transmisso de dados desde o meio fsico at oaplicativo para o usurio.
-
7/30/2019 Redes Linux Lpi 01
33/295
Modelo OSI e TCP/IP
Conceitualmente, a comunicao em redes decomputadores implementada em nveis, ou camadas.Nesse esquema, cada camada responsvel por umaparte do processo de comunicao, seja ele implementadoem hardware ou software.
O modelo de camadas mais comum e genrico oproposto pela International Organization for Standardization(ISO), conhecido como ISO`s Reference Model of OpenSystem Interconnection, geralmente referenciado comoModelo ISO/OSI. Este define uma arquitetura genricacom 7 camadas.
-
7/30/2019 Redes Linux Lpi 01
34/295
-
7/30/2019 Redes Linux Lpi 01
35/295
Modelo OSI
-
7/30/2019 Redes Linux Lpi 01
36/295
Por que dividir em camadas?
Os engenheiros que criaram a pilha de protocolos TCP/IPdecidiram adotar o processo de camadas para que fossepossvel padronizar e facilitar a criao e manuteno decada processo envolvido na comunicao de redes.
Por exemplo, a camada de acesso a rede determina comoas interfaces de rede devem formatar os dados para enviarno meio fsico.
Isto permite que existam interfaces de rede do mesmopadro (ethernet) provenientes de diferentes fabricantes.
Dessa forma, cada componente envolvido na comunicaode redes est situado em uma ou mais camadas do modelode referncia.
-
7/30/2019 Redes Linux Lpi 01
37/295
Modelo OSI e TCP/IP
O modelo TCP/IP foi criado no inicio pelo projeto DARPA.
Foi e vem sendo utilizado como padro para muitasimplementaes de redes.
O modelo TCP/IP tem 5 camadas. Com o tempo, novos protocolos foram sendo criados,
seguindo o processo natural de desenvolvimento datecnologia de comunicao de dados.
O modelo OSI expandiu expandiu o modelo TCP/IP emmais camadas.
O sistema de relacionamento inter-camadas foi mantido,porm o modelo passou a contar com 7 camadas.
-
7/30/2019 Redes Linux Lpi 01
38/295
Modelo TCP/IP
-
7/30/2019 Redes Linux Lpi 01
39/295
Modelo TCP/IP
-
7/30/2019 Redes Linux Lpi 01
40/295
-
7/30/2019 Redes Linux Lpi 01
41/295
Modelo OSI e TCP/IP
O trfego de rede enviado na forma de pacotes de dados.
Uma pacote de dados a informao de um usuriotransformado em um formato entendido pela rede.
Cada camada adicionar informaes ao pacote de dados.
As informaes adicionadas a um pacote so chamadas de
cabealho. O cabealho de uma camada simplesmente a informaoque detalha o formato do pacote de dados
-
7/30/2019 Redes Linux Lpi 01
42/295
-
7/30/2019 Redes Linux Lpi 01
43/295
Encapsulamento
-
7/30/2019 Redes Linux Lpi 01
44/295
Request for Comment
Solicitao para comentrios.
So documentos distribudos gratuitamente pela internet e
continuam a evoluir conforme surgem novas tecnologias etcnicas.
http://www.rfc-editor.org
-
7/30/2019 Redes Linux Lpi 01
45/295
-
7/30/2019 Redes Linux Lpi 01
46/295
Protocolos
Aurlio: Conjunto de regras, padres especificaestcnicas que regulam a transmisso de dados entrecomputadores por meio de programas especficos,permitindo a deteco e correo de erros.
Os protocolos so como frases que uma interface derede tem que dizer para poder se comunicar com asoutras.
A primeira providncia que um protocolo de redes devetomar declarar qual protocolo estamos falando. Devehaver em algum lugar no incio da mensagem umindicador de protocolo.
-
7/30/2019 Redes Linux Lpi 01
47/295
Redes Internet Protocolos TCP/IP
A denominao TCP/IP dada a redes internet dado ouso de dois principais protocolos: o protocolo detransporte TCP (Transport Control Protocol) e o
protocolo de rede IP (Internet Protocol). Ambos,juntamente com outros protocolos sero vistos emdetalhes mais adiante.
A comunicao entre as mquinas pertencentes a redeocorre independente da arquitetura e caractersticas decada mquina.
possvel a comunicao entre diferentes redes (sub-redes), de maneira transparente, independente de seustamanhos, topologia e organizao.
-
7/30/2019 Redes Linux Lpi 01
48/295
Redes Internet Protocolos TCP/IP
dita uma rede de pacotes, pois a informao divididaem pacotes individuais que so reconstrudos ereordenados no destino.
Cada pacote pode inclusive percorrer um caminhodiferente.
Falhas em uma subrede no comprometem ofuncionamento da rede como um todo.
-
7/30/2019 Redes Linux Lpi 01
49/295
Operao lgica AND (&)Operao lgica AND (&)
Bit Bit Resultado
0 1 0
1 0 0
0 1 0
1 1 1
-
7/30/2019 Redes Linux Lpi 01
50/295
Endereamento IP
Em uma rede TCP/IP, cada mquina conectada rede chamada de host. Cada host, por sua vez, identificado por um nmero inteiro de 32 bits, chamadoendereo IP.
atravs do uso de endereos IP que toda a
comunicao em uma rede internet feita. A maneiramais comum de se representar um endereo IP atravs da notao decimal pontuada.
-
7/30/2019 Redes Linux Lpi 01
51/295
-
7/30/2019 Redes Linux Lpi 01
52/295
Endereamento IP
Conceitualmente, um endereo IP composto de duaspartes: o endereo da rede e o endereo do host.Este esquema utilizado para permitir a comunicao
entre redes diferentes (atravs de roteamento). Estaseparao feita atravs da utilizao de classes deendereos IP ou de mscara de rede.
Os endereos IP foram originalmente divididos emclasses conforme o nmero de bits utilizado paraendereamento da rede e do host, sendo que osprimeiros bits do endereo identificam a classe.
-
7/30/2019 Redes Linux Lpi 01
53/295
Redes Internet Protocolos TCP/IP
-
7/30/2019 Redes Linux Lpi 01
54/295
Redes Internet Protocolos TCP/IP
-
7/30/2019 Redes Linux Lpi 01
55/295
Redes Internet Protocolos TCP/IP
-
7/30/2019 Redes Linux Lpi 01
56/295
Redes Internet Protocolos TCP/IP
-
7/30/2019 Redes Linux Lpi 01
57/295
Redes Internet Protocolos TCP/IP
2 -2 = Nn/Nhn
-
7/30/2019 Redes Linux Lpi 01
58/295
-
7/30/2019 Redes Linux Lpi 01
59/295
Mscara de Sub-Rede
32 bits em notao decimal pontuada.
bits 1 indicam o endereo da sub-rede.
bits 0 o endereo do host.
Mscara default
Classe A: 255.0.0.0 ou /8 ou
11111111.00000000. 00000000.
00000000
Classe B: 255.255.0.0 ou /16 ou
11111111.11111111. 00000000.
00000000
-
7/30/2019 Redes Linux Lpi 01
60/295
Endereamento de Multicast
a entrega de informao para mltiplos destinatriossimultaneamente.
R o t e a d o r 1
H o s t 1
S e r v e r 1
R o t e a d o r 2
S e r v e r 2
R o t e a d o r 3
R e d e
G r u p o M u l t i c a s t
M e n s a g e m p a r a o
G r u p o M u l t i c a s t
-
7/30/2019 Redes Linux Lpi 01
61/295
Endereamento CIDR Mscara varivel
Com o crescimento da internet, veio a necessidade deampliao e flexibilizao das classes e da distribuiode endereos IP, o que motivou a criao de um novo
esquema, chamado CIDR (Classless Inter-DomainRouting).
Com isso ganhamos mais liberdade na determinao deendereos de redes/hosts e um melhor aproveitamentodo espao de endereos IP.
-
7/30/2019 Redes Linux Lpi 01
62/295
Endereamento CIDR Mscara varivel
-
7/30/2019 Redes Linux Lpi 01
63/295
-
7/30/2019 Redes Linux Lpi 01
64/295
-
7/30/2019 Redes Linux Lpi 01
65/295
-
7/30/2019 Redes Linux Lpi 01
66/295
-
7/30/2019 Redes Linux Lpi 01
67/295
-
7/30/2019 Redes Linux Lpi 01
68/295
-
7/30/2019 Redes Linux Lpi 01
69/295
Roteamento
na camada 3 (Rede) que so tomadas as decises deroteamento com base em endereos lgicos como o IP.
Protocolos roteveis
A funo do roteamento interligar redes ou sub-redesdiferentes.
Compara o ID da rede origem com o ID da rede dodestino.
Se o resultado for o mesmo, significa que os hosts estona mesma rede, assim o host de origem pode entregar opacote diretamente.
-
7/30/2019 Redes Linux Lpi 01
70/295
Roteamento
Tabela de Roteamento (forma genrica)Rede de destino: 200.250.0.0/24Gateway ou Next-Hop: 200.201.0.1Interface: eth0 ou 200.201.0.10Custo: 1
-
7/30/2019 Redes Linux Lpi 01
71/295
Roteamento
Tabela de roteamento do Roteador 1
Rede Gateway Interface Custo
200.201.0.0/25 --- eth0 0
10.1.1.0/30 --- Serial 0 0200.250.0.0/24 10.1.1.2 Serial 0 1
-
7/30/2019 Redes Linux Lpi 01
72/295
Roteamento
Tabela de roteamento do Roteador 3
Rede Gateway Interface Custo
10.1.1.0/30 --- Serial 0 0
10.1.1.8/30 --- Serial 1 0200.201.0.0/25 10.1.1.1 Serial 0 1
200.250.0.0/24 10.1.1.10 Serial 1 1
-
7/30/2019 Redes Linux Lpi 01
73/295
Roteamento
Tabela de roteamento do Roteador 4
Rede Gateway Interface Custo
10.1.1.8/30 --- Serial 0 0
10.1.1.12/30 --- Serial 1 0200.201.0.0/25 10.1.1.9 Serial 0 1
200.250.0.0/24 10.1.1.13 Serial 1 1
-
7/30/2019 Redes Linux Lpi 01
74/295
Roteamento
Tabela de roteamento do Roteador 5
Rede Gateway Interface Custo
10.1.1.12/30 --- Serial 0 0200.250.0.0/24 --- eth0 ou 200.250.0.1 0
200.201.0.0/25 10.1.1.14 Serial 0 1
-
7/30/2019 Redes Linux Lpi 01
75/295
Roteamento
Se o resultado for diferente, o host de origem ir analisarsua tabela de roteamento em busca de uma entrada queespecifique para qual host (geralmente um roteador) os
dados devem ser entregues para alcanar determinadasub-rede.
Caso a busca na tabela de roteamento no encontre aentrada adequada, o host de origem enviar o pacote dedados para o gateway padro.
-
7/30/2019 Redes Linux Lpi 01
76/295
Endereamento Ethernet
o mais utilizado na conexo de redes internas
No padro Ethernet, cada dispositivo de rede fabricadotem uma identificao nica atravs de um nmero de
48 bits chamado endereo MAC.00:50:DA:C3:F1:9C
composto de 6 bytes, onde os 3 primeiros identificamo fabricante da placa.
Os bytes normalmente so exibidos em notaohexadecimal.
-
7/30/2019 Redes Linux Lpi 01
77/295
Protocolo ARP
responsvel pela resoluo (traduo) de endereosIP em endereos MAC.
Essa traduo necessria pois os dispositivos de
redes se identificam somente atravs de endereosMAC.
O protocolo IP antes de enviar um pacote, determinaatravs da mscara se o endereo de destino pertence
a mesma rede. Caso o endereo no pertena a mesma rede ele envia
o pacote para a porta do roteador, ambos usam ARP
-
7/30/2019 Redes Linux Lpi 01
78/295
Protocolo ARP
-
7/30/2019 Redes Linux Lpi 01
79/295
Protocolo ARP
A mquina remetente envia uma requisio ARP quebasicamente pergunta para toda rede quem que tem oendereo IP desejado.
00:04:76:eb:b5:21 f f:f f:f f:f f:f f:f f ARP Who has 10.0.5.1? Tell10.0.5.17
00:01:02:66:e7:90 00:04:76:eb:b5:21 ARP 10.0.5.1 at 00:01:02:66:e7:90
A mquina 10.0.5.17 construiria agora a sua tabela arp
IP de origem 10.0.5.17 IP de destino 10.0.5.1
MAC de origem 00:04:76:eb:b5:21 MAC de destino 00:01:02:66:e7:90
-
7/30/2019 Redes Linux Lpi 01
80/295
Protocolo ARP
Para evitar ter que enviar as requisies ARP repetidasvezes, o sistema operacional faz um cache temporriodas respostas (geralmente 30 segundos).
# arp -n
-
7/30/2019 Redes Linux Lpi 01
81/295
Resoluo de Nomes
A idia de resoluo de nomes permitir que, a partir deuma nome de host comowww.terra.com.br , chegue-seao endereo IP 200.154.56.80.
Nos primrdios na internet, todos os nomes de hostsexistentes eram armazenados em um arquivo texto queera distribudo entre as mquinas inter-conectadas.
Surgimento do DNS.
http://www.terra.com.br/http://www.terra.com.br/ -
7/30/2019 Redes Linux Lpi 01
82/295
-
7/30/2019 Redes Linux Lpi 01
83/295
Protocolo IP
Sempre que o conjunto de dados a ser transmitido formuito grande para o protocolo inferior (ethernet, porexemplo), ele fragmentado em tamanhos menores
MTU (Maximal Transmission Unit).
Cada fragmento desses recebe uma identificao quepermite ao destino remontar os fragmentos nodatagrama IP original.
Roteamento IP
TTL (Time To Live)
Cada vez que um datagrama IP passa por umroteador, um campo especial do seu cabealho decrementado.
-
7/30/2019 Redes Linux Lpi 01
84/295
Protocolo IP
TTL (Time To Live) A funo desse campo limitar o tempo de vida do
pacote, caso contrrio ele poderia ficar sendo roteadopara sempre entre as diversas redes existentes
nunca desaparecendo. Quando esse valor chega a zero, o pacote
descartado e uma mensagem ICMP enviada para oremetente indicando que o TTL expirou.
Este recurso utilizado por programas comotraceroute para mapear o caminho percorrido por umpacote da origem ao destino.
# cat /proc/sys/net/ipv4/ip_default_ttl
-
7/30/2019 Redes Linux Lpi 01
85/295
-
7/30/2019 Redes Linux Lpi 01
86/295
Protocolo ICMP
Mensagens mais importantes
Destination unreachable: o pacote no pode ser
entregue. Redirect: um roteador avisando uma estao queexiste outra rota para o destino desejado.
TTL exceeded: campo TTL chegou a zero
echo request e echo reply: utilizado principalmentepara saber se uma mquina ou servio esta ativo.
-
7/30/2019 Redes Linux Lpi 01
87/295
-
7/30/2019 Redes Linux Lpi 01
88/295
Protocolo UDP
O UDP utiliza o conceito de portas para identificarorigem e destino.
Uma empresa possui um nmero telefnico geral (oendereo IP), e funcionrios e setores possuem ramais(as portas).
Quando algum liga para o nmero geral (IP), pede oudisca um ramal (porta) e consegue falar com a pessoa(aplicao) desejada.
-
7/30/2019 Redes Linux Lpi 01
89/295
Protocolo UDP
-
7/30/2019 Redes Linux Lpi 01
90/295
Protocolo TCP RFC 793
TCP (Transmission Control Protocol)
um protocolo de nvel de transporte orientado aconexo.
Como tal oferece uma comunicao confivel entre aorigem e o destino.
-
7/30/2019 Redes Linux Lpi 01
91/295
Principais caractersticas do TCP
Controle de fluxo
Recuperao de erros
Transmisso full duplex (transmite e recebe ao mesmo
tempo). Reordenao de segmentos.
Assim como o UDP, utiliza o conceito de portas.
Opera com o conceito de fluxo de dados, a aplicao
no precisa se preocupar com detalhes como tamanhode pacotes. O protocolo se encarrega dissoautomaticamente.
-
7/30/2019 Redes Linux Lpi 01
92/295
Campos do pacote TCP
file:///file/:::Volumes:ANDRE:eibsbnet:tcp_segment.gif
-
7/30/2019 Redes Linux Lpi 01
93/295
Principais caractersticas do TCP
Porta de Origem/Destino
Sequence Number: O emissor determinado seu prprionmero de sequencia
Acknowledgement number (ACK): O receptor confirma orecebimento
-
7/30/2019 Redes Linux Lpi 01
94/295
Principais caractersticas do TCP
A flag URG indica que o segmento contm dadosurgentes e que deveriam ser processados pela mquinadestino o quanto antes.
A flag ACK indica que o segmento contm dados nocampo de confirmao.
A flag PSH indica que o segmento atual est sendoconstrudo contm dados que devem ser entreguesimediatamente.
A flag RST usada quando um evento causa umadesconexo indesejada.
A flag SYN indica o pedido de abertura de umaconexo.
-
7/30/2019 Redes Linux Lpi 01
95/295
Conexes three way-handshake
file:///file/:::Volumes:ANDRE:eibsbnet:tcp_handshake.png
-
7/30/2019 Redes Linux Lpi 01
96/295
Configurando o TCP/IP no Linux
ifconfig: utilizado tanto para configurar uma interfacede rede como para consultar seu estado.
Uso:
ifconfig [interface] endereo [opes] [up/down] interface: a interface que ser utilizada (eth0,ppp0)
up/down: Ativa/desativa interface
[endereo]: Endereo IP da interface
netmask : mscara de rede da interface broadcast: Endereo de broadcast da rede
-
7/30/2019 Redes Linux Lpi 01
97/295
-
7/30/2019 Redes Linux Lpi 01
98/295
Arquivos de configurao do TCP/IP no Linux
/etc/network/interfaces: o arquivo onde se configura asinterfaces de rede no Debian (e seus derivados).
## /etc/network interfaces auto lo
iface lo inet loopback
auto eth0 iface eth0 inet dhcp
-
7/30/2019 Redes Linux Lpi 01
99/295
Arquivos de configurao do TCP/IP no Linux
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 172.16.8.200
netmask 255.255.0.0
network 172.16.0.0
groadcast 172.16.255.255 gateway 172.16.0.1
dns-nameservers 172.16.0.1
-
7/30/2019 Redes Linux Lpi 01
100/295
Arquivos de configurao do TCP/IP no Linux
auto: Inicia o NIC durante a inicializao.
iface: Nome da interface.
inet: O nome da famlia do endereo; inet=ipv4. Outrasescolhas so ipx e inet6.
static: O nome do mtodo usado para configurar ainterface, tanto esttica (ip fixo) ou dhcp
-
7/30/2019 Redes Linux Lpi 01
101/295
Configurando o TCP/IP no Linux
Deve-se reiniciar os servios de rede no Linux:
# /etc/init.d/networking restart
ou
# ifdown eth0
# ifup eth0
# invoke-rc.d networking restart
-
7/30/2019 Redes Linux Lpi 01
102/295
Configurando o TCP/IP no Linux
O arquivo /etc/resolv.conf contm os servidores DNSutilizados pela mquina.
## /etc/resolv.conf nameserver 192.168.200.1
nameserver 172.16.0.1
-
7/30/2019 Redes Linux Lpi 01
103/295
Configurando o TCP/IP no Linux
O arquivo /etc/hosts utilizado para resoluo de nomeslocais. Muito utilizando no inicio da internet.
## /etc/resolv.conf 127.0.0.1 localhost
172.16.8.200 instrutor.andre.net instrutor
-
7/30/2019 Redes Linux Lpi 01
104/295
Configurando rotas no Linux
route: o comando route configura e exibe informaes arespeito das rotas IP do sistema.
Uso:
route [add/del] [-net/host endereo] [opes] -n: no resolve nome
add/del: Adiciona remove uma rota
-net/-host IP: cria uma rota para uma rede ou host.
default: especifica a criao de uma rota padro. gw IP: especifica o endereo do roteador.
-
7/30/2019 Redes Linux Lpi 01
105/295
Exemplos de utilizao:
# route -n
# route del -net 10.0.20.0/24
# route del default
# route del -net 0.0.0.0 # route add default gw 172.16.0.1
# route add net 0.0.0.0 gw 172.16.0.1
# route add -net 192.168.200.0/24 gw 10.0.5.1
# route add -net 192.168.200.0 netmask 255.255.255.0gw 10.0.5.1
-
7/30/2019 Redes Linux Lpi 01
106/295
-
7/30/2019 Redes Linux Lpi 01
107/295
Exemplos de utilizao:
# netstat -A inet
# netstat -A inet -elp
# netstat -A inet -n
# netstat -nat
# netstat -ntlp
# netstat -putan | grep
-
7/30/2019 Redes Linux Lpi 01
108/295
-
7/30/2019 Redes Linux Lpi 01
109/295
Exemplos de utilizao:
# traceroute -nwww.brasil.gov.br
# traceroute www.caixa.gov.br
http://www.brasil.gov.br/http://www.brasil.gov.br/ -
7/30/2019 Redes Linux Lpi 01
110/295
Ferramentas de diagnstico de rede
ping: envia uma requisio ECHO ICMP(ICMP_ECHO_REQUEST) e mede o tempo de resposta(ICMP_ECHO_RESPONSE). Utilizado para verificardisponibilidade e responsividade de mquinas ouservios na rede.
Uso: ping [opes] endereo_destino
-c : quantidade de requisies a serem enviadas -i : o intervalo em segundo entre o envio derequisies. Padro 1 segundo.
-
7/30/2019 Redes Linux Lpi 01
111/295
Exemplos de utilizao:
# pingwww.brasil.gov.br
# ping -c 4 -i 10 172.16.8.200
# ping -f 172.16.0.1
http://www.brasil.gov.br/http://www.brasil.gov.br/ -
7/30/2019 Redes Linux Lpi 01
112/295
Ferramentas de diagnstico de rede
mtr: combina as funcionalidades do ping e do tracerouteem uma simples ferramenta de diagnostico de rede
Uso: mtr [opes] endereo_destino -n : no resolve nomes
# mtr www.caixa.gov.br
-
7/30/2019 Redes Linux Lpi 01
113/295
Ferramentas de diagnstico de rede
telnet: foi originalmente criado para efetuar loginsremotos utilizando o protocolo TELNET. comumenteusado para efetuar conexes em modo texto em portasde diversos protocolos permitindo a depurao deproblemas com protocolos que trafeguem em texto(HTTP, POP,IMAP, SMTP,etc)
Uso: telnet endereo_destino porta
# telnet 172.16.0.1 8080
-
7/30/2019 Redes Linux Lpi 01
114/295
-
7/30/2019 Redes Linux Lpi 01
115/295
Ferramentas de diagnstico de rede
-s : especifica o tamanho em bytes dacaptura a ser feita. Normalmente o tcpdump capturasomente os cabealhos dos pacotes.
-X: mostra os dados capturados em hexadecimal eASCII.
-p: coloca a placa de rede em modo promscuo.
[expresso]: o tcpdump tem uma linguagem onde
possvel especificar filtros de pacotes (baseando-seem informaes como portas, protocolos, hosts, etc).Leia o manual do tcpdump, muito importante.
-
7/30/2019 Redes Linux Lpi 01
116/295
Exemplos do tcpdump
# tcpdump -i eth0 -w teste.pcap
Executa o tcpdump conectado a interface eth0, enviando otrfego capturado para o arquivo teste.pcap
# tcpdump -n port 22 and host 172.16.8.200
No resolve nomes e captura o trfego apenas da e daporta 22 que tenho como origem ou destino o host172.16.8.200.
# tcpdump -i eth0 src host 172.16.8.200 and not port 22
Captura o trfego que tenha origem o host 172.16.8.200 e
que no seja da ou para a porta 22
-
7/30/2019 Redes Linux Lpi 01
117/295
Administrao deRedes Linux
Servios
LinuxProfessional
Institute
R
-
7/30/2019 Redes Linux Lpi 01
118/295
-
7/30/2019 Redes Linux Lpi 01
119/295
Acesso remoto
Conecte em uma mquina
# telnet 172.16.8.x
Testando uma conexo atravs do telnet # telnet 172.16.8.200 80
-
7/30/2019 Redes Linux Lpi 01
120/295
Acesso remoto: ssh
O openssh prov uma implementao aberto doprotocolo SSH (Secure Shell), que permite a execuode um shell remoto (login remoto) ou outros comandosde maneira segura atravs de canais criptografados.
Foi originado do openbsd.
Possui algumas ferramentas teis para gerenciamentode arquivos pela rede.
Sua instalao simples: # aptitude install openssh-server
-
7/30/2019 Redes Linux Lpi 01
121/295
-
7/30/2019 Redes Linux Lpi 01
122/295
Etapas de uma conexo ssh
4. Sesso criptografada estabelecida. Somente agora que ocanal de comunicao est protegido que o usurio tem achance de inserir sua senha ou utilizar algum outro mtodode autenticao.
Ao fazer a conexo ssh a um servidor pela primeira vez, ofingerprint ser gerado e exibido na tela, e pergunta para ousurio se pode continuar.
-
7/30/2019 Redes Linux Lpi 01
123/295
Conexo ssh
ssh [opes] [usurio@] [comandos remotos]
# ssh 172.16.8.x
# ssh -l root 172.16.8.x # ssh [email protected]
# ssh 172.16.8.x ls /etc
# ssh 172.16.8.x ls /etc > /tmp/saida.txt
# ssh 172.16.8.x tar czf - /var > backup_var.tar.gz
mailto:[email protected]:[email protected] -
7/30/2019 Redes Linux Lpi 01
124/295
Envio/recebimento de arquivos - scp
Dentro do pacote do openssh temos a ferramenta scp (securecopy). Permite que arquivos sejam enviados entre mquinasutilizando os mesmo recursos de autenticao e criptografiaque o ssh.
scp [opes]
-r: faz uma cpia recursiva, ou seja, entrando em diretrios.
-v: verboso, exibe informaes adicionais.
-C: ativa compactao de dados.
-P: porta
-
7/30/2019 Redes Linux Lpi 01
125/295
Envio/recebimento de arquivos - scp
# scp arquivo 172.16.8.x:/tmp
Envia arquivo do diretrio atual para o diretrio /tmp namquina remota.
# scp [email protected]:/dados/* .
Cpia todos os arquivos do diretrio /dados da maquinaremota para o diretrio atual no cliente.
# scp -rC 172.16.8.x:/dados /tmp
Copia recursivamente o contedo do diretrio /dados damquina remota para o diretrio /tmp local utilizandocompresso dos dados durante a transmisso.
http://x/tmpmailto:[email protected]://x/dadoshttp://x/dadosmailto:[email protected]://x/tmp -
7/30/2019 Redes Linux Lpi 01
126/295
Arquivo de configurao do servidor ssh
Editar o arquivo /etc/ssh/sshd_config
Port: Especifica em qual porta o servidor deve escutar.
Protocol: Especifica a verso do protocolo SSH a serdisponibilizada por este servidor.
PermitRootLogin: Permite que sejam efetuados logins comousurio root. No recomendvel. Inserir valor no.
ListenAdress: Indica qual interface poder aceitar conexes.
AllowUsers: Informa qual usurio pode efetuar login remoto.
AllowGroups: Informa os membros do grupo que podemacessar o servidor remotamente.
-
7/30/2019 Redes Linux Lpi 01
127/295
-
7/30/2019 Redes Linux Lpi 01
128/295
Controle de acesso no servidor ssh
Criar o grupo admins:
# groupadd admins
Criar os usurios e senha e inserir no grupo:
# useradd -m jedi -G admins
# useradd -m vader -G admins
# useradd -m obiwan -G admins
Realizar os testes
-
7/30/2019 Redes Linux Lpi 01
129/295
-
7/30/2019 Redes Linux Lpi 01
130/295
Autenticao por chave
Funcionalidade muito interessante do OpenSSH, onde aoinvs de utilizar uma simples senha para acesso (quepotencialmente tem poucos caracteres), utiliza-se um arquivocom uma chave criptogrfica (que contm algo como 1024 ou2048 bits).
O objetivo aqui criar um conjunto de chaves no cliente paraacessar via ssh servidores remotos sem ter que digitar asenha e sim digitar uma frase utilizando a determinada chave,ou seja, estabelecer uma relao de confiana entre cliente e
servidor remoto via chaves pblicas. O usurio deve ser o mesmo no cliente e no servidor.
-
7/30/2019 Redes Linux Lpi 01
131/295
Autenticao por chave
Criar o usurio toor no servidor e no cliente. Gerar a chavepblica que vai ser compartilhada.
1. No cliente
# su toor $ ssh-keygen -t rsa
$ cd .ssh
$ ssh-copy-id -i id_rsa.pub [email protected]
-
7/30/2019 Redes Linux Lpi 01
132/295
Autenticao por chave
2. No Servidor
# cd /home/toor/.ssh
# ls
# cat authorized_keys
# vim /etc/ssh/sshd_config
ChallengeResponseAuthentication no
Reinicie o ssh
-
7/30/2019 Redes Linux Lpi 01
133/295
Autenticao por chave
2. No cliente
$ ssh 172.16.8.x
Agora faa um teste, crie o usurio yoda no servidor e nocliente, e na gerao da frase senha deixe em branco eefetue o procedimento.
-
7/30/2019 Redes Linux Lpi 01
134/295
-
7/30/2019 Redes Linux Lpi 01
135/295
-
7/30/2019 Redes Linux Lpi 01
136/295
-
7/30/2019 Redes Linux Lpi 01
137/295
Configurando Servidor NFS
rw (read write): permite que o cliente grave na pasta.
ro (read only): permite que o cliente somente leia napasta.
async : permite transferncia de dados assincrona, eportanto, mais rpida.
sync : permite transferncia de dados sincrona.
root_squash : bloquear o acesso ao root, ou seja,
modifica o UID das requisies de root para o usurionobody antes de eles irem ao sistema de arquivos.
no_root_squash : permite que o root remoto possaalterar arquivos no compartilhamento com as mesmas
permisses do root local O UID mantm
-
7/30/2019 Redes Linux Lpi 01
138/295
Configurando Servidor NFS
all_squash : Rebaixa todos os usurios a usurio
nobody. no_subtree_check : permite que o volume todo que foi
compartilhado seja exportado.
-
7/30/2019 Redes Linux Lpi 01
139/295
-
7/30/2019 Redes Linux Lpi 01
140/295
Opes do comando exportfs
-a : A operao afetar todos os diretrios exportados.
-r : Re-exporta todos os diretrios mencionados em /etc/exports. Usado quando o arquivo de configurao sofreualguma alterao.
-u: Remove a exportao do diretrio.
-v: Modo detalhado.
-o: Opes NFS a serem usadas para o diretrio em
particular.
-
7/30/2019 Redes Linux Lpi 01
141/295
Configurando Servidor NFS
Para verificar quais os compartilhamentos disponveisexecute o comando:
# showmount -e localhost # showmount -a localhost
-
7/30/2019 Redes Linux Lpi 01
142/295
Configurando Cliente NFS
Instalar os pacotes:
# aptitude install nfs-common portmap
# /etc/init.d/portmap restart
Ver quais diretrios esto sendo exportados,compartilhados.
# showmount -e 172.16.8.200
-
7/30/2019 Redes Linux Lpi 01
143/295
Configurando Cliente NFS
Montar o diretrio remoto na mquina local.
# mount -t nfs 172.16.8.200:/dados /mnt
# cd /mnt
Deixando automtico:
# vim /etc/fstab 172.16.8.200:/dados /mnt nfs auto,users,exec 0 0
-
7/30/2019 Redes Linux Lpi 01
144/295
id
-
7/30/2019 Redes Linux Lpi 01
145/295
Servidor FTP
Usurio anonymous
Conta especial para acesso pblico, com permissoapenas de leitura no servidor FTP, ou seja, ele sconsegue baixar arquivos do servidor.
Instalar o servidor FTP
# aptitude install vsftpd
Editar o arquivo /etc/vsftpd.conf
-
7/30/2019 Redes Linux Lpi 01
146/295
S id DHCP
-
7/30/2019 Redes Linux Lpi 01
147/295
Servidor DHCP
Conceitos de DHCP (Dynamic Host ConfigurationProtocol):
baseado no protocolo bootp. Assim como o bootp, elepermite que um administrador defina dinamicamentecaractersticas aos clientes que conectarem a rede.
Isto elimina a necessidade de se configurar informaesde rede como DNS, gateway e endereos IP aosclientes. Este protocolo muito til por exemplo, seutilizado com laptops e notebooks que so utilizados emvrias redes diferentes.
S id DHCP
-
7/30/2019 Redes Linux Lpi 01
148/295
Servidor DHCP
O DHCP tambm vital quando utilizado em grandesredes, onde manter sob controle todos os endereos econfigurar novos clientes pode gerar uma grande dor decabea.
Outra vantagem a reutilizao de endereos IP: tologo um cliente se desconecte da rede, o mesmoendereo usado por ele pode ser utilizado para o
prximo novo cliente.
-
7/30/2019 Redes Linux Lpi 01
149/295
C DHCP f i ?
-
7/30/2019 Redes Linux Lpi 01
150/295
Como o DHCP funciona?
2. O servidor DHCP, ao receber o pacote, consulta sua tabelade configurao e prepara uma resposta para a mquinacliente chamado de DHCP Offer. Esta resposta j contmuma oferta de configurao para o cliente, mas nada foi
reservado ainda.
Como o DHCP funciona?
-
7/30/2019 Redes Linux Lpi 01
151/295
Como o DHCP funciona?
3. O cliente, se concordar com a oferta do servidor, far umpedido formal de configurao especfico para esteservidor. Este pedido feito atravs de um pacotechamado DHCP REQUEST que basicamente contm
informaes que o servidor disse ter disponveis.
Como o DHCP funciona?
-
7/30/2019 Redes Linux Lpi 01
152/295
Como o DHCP funciona?
4. Se as informaes ainda estiverem vlidas, o servidorresponder com um pacote chamado DHCP PACK, egravar em sua base de dados local que este endereo IPoferecido deixou de estar vago .
Instalando Servidor DHCP
-
7/30/2019 Redes Linux Lpi 01
153/295
Instalando Servidor DHCP
# aptitude install dhcp3-server
O cliente j vem instalado na grande maioria dossistemas operacionais.
Configurando Servidor DHCP
-
7/30/2019 Redes Linux Lpi 01
154/295
Configurando Servidor DHCP
Editar o arquivo /etc/dhcp3/dhcpd.conf
# vim /etc/dhcp3/dhcpd.conf
Configurando Servidor DHCP
-
7/30/2019 Redes Linux Lpi 01
155/295
Configurando Servidor DHCP
# Modo de atualizao do servidor DNS ( no utilizado
# nesse exemplo mas necessrio estar presente )
ddns-update-style none;
# Este servidor a autoridade na rede. Se existirem outros
# servidores DHCP, os comandos deste tem prioridade
authoritative;
Configurando Servidor DHCP
-
7/30/2019 Redes Linux Lpi 01
156/295
Configurando Servidor DHCP
# Tempo padro (em segundos) de emprstimo de um IP
default-lease-time 28800;
# Tempo mximo de emprstimo (tambm em segundos)max-lease-time 43200;
# Endereo do servidor DNS
option domain-name-servers 192.168.200.1
Configurando Servidor DHCP
-
7/30/2019 Redes Linux Lpi 01
157/295
Configurando Servidor DHCP
# Vamos configurar a subrede 192.168.200.0
subnet 192.168.200.0 netmask 255.255.255.0 {
option broadcast-address 192.168.200.255;option routers 192.168.200.1;
option subnet-mask 255.255.255.0;
range 192.168.200.100 192.168.200.180;
}
Iniciando o Servidor DHCP
-
7/30/2019 Redes Linux Lpi 01
158/295
Iniciando o Servidor DHCP
# /etc/init.d/dhcp3-server start
Buscando IP nas estaes:
# dhclient
Visualize as estaes solicitando endereo:
# tail -f /var/log/messages
Verifique a reserva de endereos no arquivo:
# cat /var/lib/dhcp3/dhcpd.leases
Configurando interface de rede para DHCP
-
7/30/2019 Redes Linux Lpi 01
159/295
Configurando interface de rede para DHCP
# vim /etc/network/interfaces
iface eth0 inet dhcp
auto eth0
Salve o arquivo e reinicie o servio de rede
# /etc/init.d/networking restart
-
7/30/2019 Redes Linux Lpi 01
160/295
-
7/30/2019 Redes Linux Lpi 01
161/295
Tpicos abordados
-
7/30/2019 Redes Linux Lpi 01
162/295
Tpicos abordados
O que o SAMBA
Histria do SAMBA
Instalao do SAMBA
Construindo um servidor de arquivos
Tpicos abordados
-
7/30/2019 Redes Linux Lpi 01
163/295
Tpicos abordados
Entender a histria do samba
Instalar e entender o arquio de configurao
Compartilhar um diretrio na rede
Criar um servidor de arquivos na rede PDC
O que o SAMBA
-
7/30/2019 Redes Linux Lpi 01
164/295
O que o SAMBA
O SAMBA um servidor e um conjunto de
ferramentas que permite que mquinas Linux eWindows se comuniquem entre si, compartilhandoservios (arquivos,diretrios, impresso) atravs doprotocolo smb(Server Message Block) e atualmentecom o CIFS(Common Internet File System).
O que pode ser feito com o Samba
-
7/30/2019 Redes Linux Lpi 01
165/295
O que pode ser feito com o Samba
Construir domnios completos
Controle de acesso no nvel de usurio
Compartilhamento de arquivos e diretrios Servidor Wins
Servidor de domnio
Impresso
Histria do Samba
-
7/30/2019 Redes Linux Lpi 01
166/295
Histria do Samba
Andrew Tridgell desenvolveu o SAMBA porque precisavamontar um volume Unix em sua mquina DOS.
No incio utilizou o NFS, mas o aplicativo precisava tersuporte NetBIOS.
Escreveu um sniffer de pacotes, para analisar e auxili-loa interpretar todo o trfego NetBIOS da rede.
Ele escreveu o primeiro cdigo, que fez o servidor Unixaparecer como um servidor de arquivos Windows parasua mquina DOS.
-
7/30/2019 Redes Linux Lpi 01
167/295
-
7/30/2019 Redes Linux Lpi 01
168/295
-
7/30/2019 Redes Linux Lpi 01
169/295
Configurando o Samba
-
7/30/2019 Redes Linux Lpi 01
170/295
Configurando o Samba
O arquivo de configurao do samba fica dentro de/etc/samba e se chama smb.conf.
# vim /etc/samba/smb.conf
Sees do Samba
-
7/30/2019 Redes Linux Lpi 01
171/295
As sees tm o objetivo de organizar os parmetrospara que tenham efeito somente em algumasconfiguraes de compartilhamento do servidor.
Alguns nomes de sees so reservadas para
configuraes especficas do SAMBA. [global] : definem configuraes que afetam o servidor
SAMBA como um todo, fazendo efeito em todos oscompartilhamentos existentes na mquina.
[homes]: especifica opes de acesso a diretriospessoais de usurios. O diretrio home disponibilizadosomente para seu dono, aps se autenticar no sistema.
Sees do Samba
-
7/30/2019 Redes Linux Lpi 01
172/295
[printers] : Define opes gerais para controle dasimpressoras do sistema. Este compartilhamento mapeiaos nomes de todas as impressoras encontradas no/etc/printcap
[profile]: Define um perfil quando o servidor SAMBA usado como Controlador de Domnio.
[netlogon]: Define o caminho onde o SAMBA irexecutar os scripts de logon.
Parmetros do Samba
-
7/30/2019 Redes Linux Lpi 01
173/295
Um parmetro definido no formato nome = valor Definem opes do servidor samba
Podem conter as seguintes opes:
0 ou 1
yes ou no
true ou false
Assim as seguintes configuraes so vlidas
master browse = 0 master browse = no
master browse = false
-
7/30/2019 Redes Linux Lpi 01
174/295
Misso 1: Compartilhando um diretrio
-
7/30/2019 Redes Linux Lpi 01
175/295
p
[global]workgroup = CLASSIC
netbios name = servidor samba
encrypt passwords = Yessecurity = user
os level = 65
preferred master = yes
domain master = no
local master = yes
-
7/30/2019 Redes Linux Lpi 01
176/295
Misso 1: Compartilhando um diretrio
-
7/30/2019 Redes Linux Lpi 01
177/295
p
Criar os diretrios que os usurios podero visualizar ao seconectarem no sistema.
# vim /etc/samba/smb.conf
[homes]
read only = no
browseable = no
Misso 1: Compartilhando um diretrio
-
7/30/2019 Redes Linux Lpi 01
178/295
Criar um compartilhamento pblico:
[publico]
path = /home/publico
browseable = yes
read only = no
write list = miranda
write list = @maquinas
-
7/30/2019 Redes Linux Lpi 01
179/295
Misso 1: Compartilhando um diretrio
-
7/30/2019 Redes Linux Lpi 01
180/295
Testando o samba
Para verificar se voc digitou tudo certinho, o Sambaoferece a ferramenta testparm, que mostra erros dentro do
arquivo de configurao. Esta ferramenta bastante tilpara encontrar erros sempre que criamos ou modificamosalguma coisa. Use-a!
-
7/30/2019 Redes Linux Lpi 01
181/295
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
182/295
Resoluo de Nomes
As conexes dentro da rede com o samba devem saber deonde e para onde devem seguir.
O Samba oferece suporte para WINS, cuja resoluo denomes ocorre de maneira fcil e prtica com a ajuda doarquivo /etc/hosts
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
183/295
Configurando o /etc/hosts
192.168.20.1 chefe
192.168.20.2 win01
192.168.20.3 lin01
# ping chefe# ping win01
-
7/30/2019 Redes Linux Lpi 01
184/295
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
185/295
printing = CUPS
logon drive = H:
logon script = scripts\logon.bat
logon path = \\chefe\profile\%U
domain logons = yes
preferred master = yes
wins support = yes
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
186/295
add user script = /usr/sbin/useradd -m '%u'
delete user script = /usr/sbin/userdel -r '%u'
add group script = /usr/sbin/groupadd '%g'
delete group script = /usr/sbin/groupdel '%g'
add user to group script = /usr/sbin/usermod -G '%g' '%u'
add machine script = /usr/sbin/useradd -s /bin/false -d
/var/lib/nobody '%u
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
187/295
[homes]
comment = Pastas pessoais
valid users = %S
read only = no
browseable = no
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
188/295
[printers]
comment = Grfica
path = /var/spool/samba
printable = yes
guest ok = yes
browseable = no
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
189/295
add user script = /usr/sbin/useradd -m '%u'
delete user script = /usr/sbin/userdel -r '%u'
add group script = /usr/sbin/groupadd '%g'
delete group script = /usr/sbin/groupdel '%g'
add user to group script = /usr/sbin/usermod -G '%g' '%u'
add machine script = /usr/sbin/useradd -s /bin/false -d
/var/lib/nobody '%u
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
190/295
[netlogon]
comment = Netlogon
path = /servidor/netlogon
valid users = %U
read only = no
browseable = no
-
7/30/2019 Redes Linux Lpi 01
191/295
-
7/30/2019 Redes Linux Lpi 01
192/295
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
193/295
Adicionando Usurios
# smbpasswd -a root
# vi /etc/samba/smbusers
root = Administrator
# useradd batman -m -G users# passwd batman
# smbpasswd -a batman
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
194/295
Sincronizando os Grupos
O mapeamento entre os grupos padro do Windows e os doLinux essencial para que as estaes de trabalho pensem
que o Samba na verdade um servidor Windows NT.
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
195/295
Sincronizando os Grupos# groupadd domadmin
# net groupmap add ntgroup=Domain Adminsunixgroup=domadmin rid=512 type=d
# net groupmap add ntgroup=Domain Usersunixgroup=users rid=513 type=d
# net groupmap add ntgroup=Domain Guestsunixgroup=nobody rid=514 type=d
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
196/295
Iniciando o samba
# /etc/init.d/samba restart
# /etc/init.d/winbind restart
Misso 2: SAMBA como PDC
-
7/30/2019 Redes Linux Lpi 01
197/295
Criando diretrios
# mkdir -p /servidor/geral
# chown -R root:users /servidor/geral
# chmod -R ug+rwx,o+rx-w /servidor/geral
# mkdir /servidor/publico
Misso 2: Configurando o Windows.
-
7/30/2019 Redes Linux Lpi 01
198/295
Sem comentrios
Misso 2: Configurando o Windows.
-
7/30/2019 Redes Linux Lpi 01
199/295
Sem comentrios
Misso 2: Configurando o Windows.
-
7/30/2019 Redes Linux Lpi 01
200/295
Sem comentrios
Misso 2: Configurando o Windows.
-
7/30/2019 Redes Linux Lpi 01
201/295
Sem comentrios
Misso 2: Configurando o Windows.
-
7/30/2019 Redes Linux Lpi 01
202/295
Sem comentrios
Misso 2: Configurando o Windows.
-
7/30/2019 Redes Linux Lpi 01
203/295
Sem comentrios
Misso 2: Configurando o Windows.
-
7/30/2019 Redes Linux Lpi 01
204/295
Sem comentrios
-
7/30/2019 Redes Linux Lpi 01
205/295
-
7/30/2019 Redes Linux Lpi 01
206/295
DNS
-
7/30/2019 Redes Linux Lpi 01
207/295
A sigla DNS significa, em ingls, Domain Name System, ouSistema de Nomes de domnio.
Na internet representa um gigantesco catlogo deendereos e servios e a base para diversas tecnologiasque hoje temos como bsicas.
Nomes e domnios
-
7/30/2019 Redes Linux Lpi 01
208/295
Um domnio nada mais do que uma subarvore do espaode nomes de domnio.
O nome de um domnio o nome do ramo que est
naquele domnio. Cada subarvore considerada parte de uma domnio.
Os domnios localizados nas pontas dos ramosrepresentam mquinas individuais.
www.terra.com.br
Nomes e domnios
-
7/30/2019 Redes Linux Lpi 01
209/295
file:///file/:::C/:Files:DNS:DNS Bind Html:dnsbind:figs:dns3_0101.gif
Nomes e domnios
-
7/30/2019 Redes Linux Lpi 01
210/295
-
7/30/2019 Redes Linux Lpi 01
211/295
Domnios de primeiro nvel
-
7/30/2019 Redes Linux Lpi 01
212/295
Inicialmente a internet foi dividida em seis domnios, portipo de organizao:
com: organizaes comerciais
edu: organizaes de ensino
gov: organizaes governamentais mil: organizaes militares
net: organizaes da rede
org: entidades no-governamentais
http://www.norid.no/domenenavnbaser/domreg.html
Delegao
-
7/30/2019 Redes Linux Lpi 01
213/295
A delegao de domnios similar a hierrquia de umaempresa.
O trabalho vai sendo mandado para o nvel mais baixo.
No Brasil, o rgo responsvel pelo registro de domnios a FAPESP, atravs do registro.br.
Processo de resoluo DNS
-
7/30/2019 Redes Linux Lpi 01
214/295
Instalao do DNS no Linux
-
7/30/2019 Redes Linux Lpi 01
215/295
No Linux, o software chamado bind prov aimplementao de resoluo de nomes DNS. O bind amplamente utilizado em servidores Linux, Unix e BSD.
# aptitude install bind9
Instalao do DNS no Linux
-
7/30/2019 Redes Linux Lpi 01
216/295
Aps a instalao do pacote bind9, o daemon namedseriniciado e o bind j estrar em funcionamento
# netstat -natup | grep :53
Os arquivos de configurao do servidor de nomes bindesto localizados sob o diretrio/etc/binde os arquivos dezonas a serem criados devero ser colocados sob o
diretrio /var/cache/bind, conforme o valor do parmetrodirectory na seo options no arquivos de configuraoprincipal do servidor de nomes bind, o arquivo
/etc/bind/named.conf.options
-
7/30/2019 Redes Linux Lpi 01
217/295
Servidor de nomes autoritativo
-
7/30/2019 Redes Linux Lpi 01
218/295
um servidor de nomes que possui autoridade para um oumais domnios e, sendo assim, responde as pesquisas deresolues de nomes para hosts que fazem parte dosdomnios em questo.
Requer a configurao do bind, e adicionalmente a criaodos mapas de zonas para resoluo comum e reversa parao domnio.
Agora iremos configurar nosso servidor DNS.
O domnio para qual desejamos que o bind respondapesquisas de resoluo de nomes dever ser cadastradono arquivo de configurao do bind.
Configurando DNS
-
7/30/2019 Redes Linux Lpi 01
219/295
# cd /etc/bind/
# vim named.conf
zone "andre.com.br" {
type master;
file "db.andre.com.br";
allow-transfer { 10.1.20.202; };
notify yes;};
Configurando DNS
-
7/30/2019 Redes Linux Lpi 01
220/295
zone "20.1.10.in-addr.arpa" {
type master;
file "db.rev";
};
Servidor de nomes autoritativo
-
7/30/2019 Redes Linux Lpi 01
221/295
O parmetro type especifica o tipo de servidor de nomesser. master ou slave. master indica que ser o servidorprincipal do domnio em questo e slave indica que nossoservidor de nomes ser um servidor escravo, que somentereceber atualizaes de mudanas feitas na zona.
file indica o nome do arquivo onde a zona ser definida.
allow-transfer especifica os endereos Ips dos servidoresde nomes slaves (escravos).
notify especifica se o bind dever enviar notificaes demudanas nos dados da zone para seus servidores denomes escravos.
Configurando DNS
Iremos editar o /etc/hosts
-
7/30/2019 Redes Linux Lpi 01
222/295
Iremos editar o /etc/hosts
# vim /etc/hosts
127.0.0.1 localhost
127.0.1.1 dns1172.16.8.200 dns1.andre.com.br dns1
Salve o arquivo e teste:# ping dns1
# ping dns1.andre.com.br
Criao dos mapas de zonas
-
7/30/2019 Redes Linux Lpi 01
223/295
Vamos criar os arquivos de zona
# cd /var/cache/bind
# vim db.andre.com.br
-
7/30/2019 Redes Linux Lpi 01
224/295
Criao dos mapas de zonas
-
7/30/2019 Redes Linux Lpi 01
225/295
@ IN MX 5 mx01@ IN NS ns1
@ IN A 172.16.8.200
ns1 IN A 172.16.8.200
mx01 IN A 10.1.20.202
www IN CNAME ns1
ftp IN CNAME ns1smtp IN CNAME ns1
pop IN CNAME ns1
Criao dos mapas de zonas
-
7/30/2019 Redes Linux Lpi 01
226/295
# cd /var/cache/bind
# vim db.andre.com.br
Criao dos mapas de zonas
-
7/30/2019 Redes Linux Lpi 01
227/295
$TTL 43200$ORIGIN andre.com.br.
@ IN SOA ns1.andre.com.br. root.ns1.andre.com.br. (
2009090901 ; serial
3600 ; refresh
900 ; retry
1209600 ; expire
43200 ; default_ttl)
Criao dos mapas de zonas
-
7/30/2019 Redes Linux Lpi 01
228/295
@ IN NS ns1.andre.com.br.
201 IN PTR ns1.andre.com.br.
202 IN PTR mx01.andre.com.br.
Criao dos mapas de zonas
-
7/30/2019 Redes Linux Lpi 01
229/295
$TTL: Cada registro em uma zona conhecido tambmcomo um RR, ou Registro de Recurso (do ingls ResourceRecord). Cada RR pode possuir um "tempo de vida",definido como um registro inteiro de 32 bits representadoem unidades de segundos. Um TTL define um limite detempo que o registro deve ser mantido em cache.
SOA: O registro SOA indica o incio de uma zona comautoridade. Esse registro composto de vrios campos,
como e-mail do administrador, servidor principal, tempomximo de cache e outros.
Criao dos mapas de zonas
-
7/30/2019 Redes Linux Lpi 01
230/295
mx : define o servidor de e-mail responsvel pelasmensagens do domnio andre.com.br
ns : define que nossa zona ter um servidor de nome que
poder responder com autoridade. A: fornece o endereo IP de um dado nome
PTR: fornece o nome de um dado IP (reverso)
CNAME: usado para criar apelidos para nomes.
-
7/30/2019 Redes Linux Lpi 01
231/295
-
7/30/2019 Redes Linux Lpi 01
232/295
-
7/30/2019 Redes Linux Lpi 01
233/295
Iniciando o bind
Agora iremos editar o arquivo /etc/resolv.conf
-
7/30/2019 Redes Linux Lpi 01
234/295
g q
# vim /etc/resolv.conf
search andre.com.br
nameserver 172.16.8.200Nameserver 192.168.200.1
# /etc/init.d/bind9 restart
# netstat -natup | grep :53
Iniciando o bind
Agora iremos editar o arquivo /etc/resolv.conf
-
7/30/2019 Redes Linux Lpi 01
235/295
g q
# vim /etc/resolv.conf
search andre.com.br
nameserver 172.16.8.200Nameserver 192.168.200.1
# /etc/init.d/bind9 restart
# netstat -natup | grep :53
Testando o bind
# pingwww.andre.com.br
http://www.andre.com.br/http://www.andre.com.br/ -
7/30/2019 Redes Linux Lpi 01
236/295
p g
# dig MX smaff.com.br
# dig NS smaff.com.br # dig @ns1.smaff.com.br axfr smaff.com.br
Testando o bind
# nslookup
http://www.andre.com.br/http://www.andre.com.br/ -
7/30/2019 Redes Linux Lpi 01
237/295
p
> set type=ns
> set all
>andre.com.br
# nslookup
> set type=mx
> set all
>andre.com.br
-
7/30/2019 Redes Linux Lpi 01
238/295
Testando o bind
# host -t any andre.com.br
-
7/30/2019 Redes Linux Lpi 01
239/295
# host -t any uol.com.br
# host -t mx andre.com.br
# host -v -t soa uol.com.br
# dig -t mx andre.com.br
# dig -t ns andre.com.br
-
7/30/2019 Redes Linux Lpi 01
240/295
Segurana em LinuxFirewall
Proxy
LinuxProfessionalInstitute
R
Conceitos bsicos: Definindo a Segurana
-
7/30/2019 Redes Linux Lpi 01
241/295
Privacidade
Confiabilidade
Integridade Disponibilidade
Autenticao
Tipos de Atacantes
-
7/30/2019 Redes Linux Lpi 01
242/295
Script Kiddies (Lammers, etc)
Hackers;
Crackers; Carders;
Tipos de Ataques
-
7/30/2019 Redes Linux Lpi 01
243/295
Levantamento de informaes
Explorao
Paralisao de servios Worms / Vrus
O que um firewall
-
7/30/2019 Redes Linux Lpi 01
244/295
Um firewall um dispositivo de hardware, software ou hibridoque tem como principal objetivo proteger as informaes e/ou filtrar o acesso as mesmas. Pode servir ainda comoelemento de interligao entre duas redes distintas.
O que um firewall
-
7/30/2019 Redes Linux Lpi 01
245/295
Tipos de firewall
-
7/30/2019 Redes Linux Lpi 01
246/295
Filtros de Pacote;
Filtros de Aplicao;
Tipos de firewall: Filtro de pacote
-
7/30/2019 Redes Linux Lpi 01
247/295
Inspeo somente do cabealho dos pacotes
C a b e a l h o I P
E n d e r e o d e O r ig e mE n d e r e o d e D e s t i n o ,
T T L ,C h e c k s u m
C a b e a l h o T C P
N m e r o d e S e q u e n c i aP o r t a d e O r ig e m ,P o r t a d e D e s t i n o ,
C h e c k s u m
C a m a d a d e A p l i c a o
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
-
7/30/2019 Redes Linux Lpi 01
248/295
-
7/30/2019 Redes Linux Lpi 01
249/295
Ligao entre Redes
-
7/30/2019 Redes Linux Lpi 01
250/295
O modelo mais simples de firewall conhecido como o dualhomed system, ou seja um sistema que interliga duasredes distintas.
I N T R A N E T
F I R E W A L L
D U A L H O M E D
H O S T
I N T E R N E T
DMZ
-
7/30/2019 Redes Linux Lpi 01
251/295
Tipos de firewall: Filtro de aplicao. Layer 7
-
7/30/2019 Redes Linux Lpi 01
252/295
Inspeo no cabealho dos pacotes e no campo de dadosdo pacote
C a b e a l h o I P
E n d e r e o d e O r ig e mE n d e r e o d e D e s t i n o ,
T T L ,C h e c k s u m
C a b e a l h o T C P
N m e r o d e S e q u e n c i aP o r t a d e O r ig e m ,
P o r t a d e D e s t i n o ,C h e c k s u m
C a m a d a d e A p l i c a o< h t m l> < h e a d > < m e ta h t t p- q u iv =
" c o n t e n t - t y p e " c o n t e n t = " t e x t / h t m l ;c h a r s e t = U T F - 8 " > < t it le > M S N B C -
M S N B C F r o n t P a g e < / t i t le > < l in kr e l = " s t y le s h e e t "
Proxy
Permite executar a conexo ou no a servios em umad d d i di ili d li fi
-
7/30/2019 Redes Linux Lpi 01
253/295
rede de modo indireto, utilizando um cliente especfico paraesta conexo. Exemplo : Proxies e Navegadores
C l i e n t eP r o x y
S e r v i d o r
D e s t i n o
C o n e x o p a r a o
p r o x y
C o n e x o p a r a
o S e r v i d o r
Proxy Transparente
C o n e x o p a r a
-
7/30/2019 Redes Linux Lpi 01
254/295
P r o x y
S e r v i d o r
D e s t i n o
C a m i n h o o r i g i n a l
I n t e r r o m p i d o
C o n e x o p a r a
o S e r v i d o r
C o n e x o p a r ao S e r v i d o r
Softwares de Firewall Linux
-
7/30/2019 Redes Linux Lpi 01
255/295
Ipfwadm
Ipchains
Iptables
Ipfwadm
-
7/30/2019 Redes Linux Lpi 01
256/295
O IP Firewall Administration, ou simpelsmente ipfwadm foia ferramenta padro para construo de regras de firewall,para o kernel anterior a verso 2.2.0. Para muitos oipfwadm era extremanete complexo e causava certaconfuso ao administradores de sistema. Nos dias de hojeainda existem firewalls baseados neste servio..
-
7/30/2019 Redes Linux Lpi 01
257/295
iptables
-
7/30/2019 Redes Linux Lpi 01
258/295
A nova gerao de ferramentas de firewall para o Kernel2.4 do Linux. Alm de possuir a facilidade do ipchains, aidia do criador Paul Russel foi implentar uma srie defaclidades como NAT e filtragem de pacotes mais flexvelque o Ipchains.
O i li
-
7/30/2019 Redes Linux Lpi 01
259/295
OperacionalizaoDo Firewall
LinuxProfessionalInstitute
R
Regras
-
7/30/2019 Redes Linux Lpi 01
260/295
As regras de um firewall so a forma de aplicao defiltragem dos pacotes em seu funcionamento. Por exemplo,para impedir que os usurios faam FTP, necessrio criaruma regra que impea este tipo de operao, ou melhorbloqueie o envio e recebimento de pacotes na porta 21 e 20utilizadas pelo FTP.
Tipos de Regras
DENY bloqueia o acesso impedindo a passagem de um
-
7/30/2019 Redes Linux Lpi 01
261/295
DENY - bloqueia o acesso, impedindo a passagem de umpacote e no manda nenhum tipo de aviso ao endereoque requisitou o acesso. Ideal para um firewall seguro.
ACCEPT - aceita a passagem de um pacote.
REJECT - bloqueia o acesso, impedindo a passagem deum pacote manda um aviso ao endereo que requisitou o
acesso.
Observaes
-
7/30/2019 Redes Linux Lpi 01
262/295
As regras so como filtros aplicados ao iptables para que omesmo implemente o que chamamos de filtro de pacote deacordo com o endereoIP/porta de origem/destino, interfacede origem/destino, etc.
As regras so armazenadas dentro dos chamdos chains eprocessadas na ordem que so inseridas. Estas mesmasregras so armazenadas no kernel, o que significa que
quando o sistema reinicializado as mesmas so perdidas.
Sintaxe
-
7/30/2019 Redes Linux Lpi 01
263/295
A sintaxe de uma regra a seguinte :
iptables comando parametros extenses
Algo similar a isto na prtica :
iptables -A INPUT -p tcp -s 10.0.0.1 -j DROP .
Tabelas
Tabela filter C id d t b ld t 3 h i b i
-
7/30/2019 Redes Linux Lpi 01
264/295
Tabela filter Considerada a tabelapadro, contm 3 chains bsicos : INPUT - Consultado para pacotes que chegam na prpria
mquina
OUTPUT - Consultado para pacotes que saem da prpriamquina.
FORWARD - Consultado para pacotes que soredirecionados para outra interface de rede ou outra
estao. Utilizada em mascaramento.
Tabelas
Tabelanat - Usada para passagem de pacotes que podegerar outra conexo Um exemplo csssico o
-
7/30/2019 Redes Linux Lpi 01
265/295
gerar outra conexo. Um exemplo csssico omascaramento (masquerading), nat, port forwarding eproxy transparente so alguns. Possui 3 chains bsicas :
PREROUTING - Consultado quando os pacotes precisam
ser redirecionados logo que chegam. Por exemplo umpacote smtp que vai ser direcionado parar um endereointerno da rede. ( chain ideal para realizao do chamadoDestination NAT (DNAT)
Tabela NAT
OUTPUT - Consultado quando os pacotes gerados
localmente precisam ser redirecionados antes de serem
-
7/30/2019 Redes Linux Lpi 01
266/295
localmente precisam ser redirecionados antes de seremroteados. Este chain somente utilizada para conexesque se originam de IPs de interfaces de rede locais.
POSTROUTING - Consultado quando os pacotes precisamser modificados aps o tratamento de roteamento. ochain utilizado para realizao de SNAT emascaramento(IP Masquerading).
Tabela mangle
Tabela mangle - Utilizada para alteraes especiais de
pacotes como por exemplo modificar o tipo de servio
-
7/30/2019 Redes Linux Lpi 01
267/295
pacotes como por exemplo modificar o tipo de servio(TOS) de um pacote. Ideal para produzir informes falsaspara scanners Possui 2 chains padres:
PREROUTING - Consultado quando os pacotes precisamser redirecionados logo que chegam.
OUTPUT - Consultado quando os pacotes geradoslocalmente precisam ser redirecionados antes de serem
roteados.
Nat e mascaramento
O NAT (Network Address Translator) a tcnica da qual
-
7/30/2019 Redes Linux Lpi 01
268/295
O NAT (Network Address Translator) a tcnica da qualroteadores, traduzem um endereo falso dentro de umarede uma rede classe A com endereos 10.0.0.X, para umendereo vlido para a Internet ou para uma outra rede. No
esquema abaixo, vemos isto de forma mais clara :
I N T E R N E T
R o t e a d o r
R e d e I n t e r n a 1 0 . 0 . 0 . X - R e d e E x t e r n a 2 0 0 . 0 . 0 . X
NAT
Um exemplo de mascaramento para um usurio caseiro de
-
7/30/2019 Redes Linux Lpi 01
269/295
Um exemplo de mascaramento para um usurio caseiro deADSL, ou modem.
1 0 . 0 . 0 . 0
F i r e w a l l
1 0 . 0 . 0 . 1
p p p 0
R E D E I N T E R N A
I N T E R N E T
Tabelas
-
7/30/2019 Redes Linux Lpi 01
270/295
filter: INPUT, FORWARD e OUTPUT
nat: PREROUTING, POSTROUTING e OUTPUT
mangle: PREROUTING e OUTPUT
Aes
ACCEPT: o pacote aceito por essa cadeia e segue
-
7/30/2019 Redes Linux Lpi 01
271/295
ACCEPT: o pacote aceito por essa cadeia e segueem frente.
DROP: o pacote rejeitado pela cadeia, no existe umamensagem ICMP.
REJECT: semelhante ao DROP, porm retorna umamensagem ICMP.
REDIRECT: altera o endereo IP de destino do pacote eser usado unicamente na tabela nat.
Comandos do iptables
-A: anexa regras ao final de uma cadeia.
D: apaga uma ou mais regras da cadeia especificada
-
7/30/2019 Redes Linux Lpi 01
272/295
-D: apaga uma ou mais regras da cadeia especificada.
-I: insere uma ou mais regras no comeo da cadeia
-L: lista todas as regras em uma cadeia
-F: remove todas as regras de uma cadeia -Z: restaura os contadores de datagramas e de bytes
em todas as regras das cadeias especificadas parazero, ou para todas as cadeias se nenhuma for
especificada. -P: define a poltica padro para uma cadeia dentro de
uma poltica especificada.
Comandos do iptables
-p protocolo: define o protocolo ao qual a regra se aplica
-s address: define a origem do pacote ao qual a regra se
-
7/30/2019 Redes Linux Lpi 01
273/295
-s address: define a origem do pacote ao qual a regra seaplica.
-d address: define o destino do pacote ao qual a regrase aplica.
-j alvo: define um alvo para o pacote caso ele se encaixenesta regra.
-i interface: define o nome da interface por onde odatagrama foi recebido.
-o interface: define o nome da interface por onde odatagrama ser transmitido.
Extenses do iptables
Extenso TCP: usada com -p tcp
--sport: especifica a porta que a origem do datagrama
-
7/30/2019 Redes Linux Lpi 01
274/295
--sport: especifica a porta que a origem do datagramausa.
--dport: especifica a porta que o destino do datagramausa.
--syn: especifica que a regra deve encontrar somentedatagramas com o bit SYN ligado e os bits ACK e FINdesligados
Extenso UDP: usada com -p udp
--sport: idem tcp.
--dport: idem tcp.
SEGURANA EM SERVIDORES
Hardening
-
7/30/2019 Redes Linux Lpi 01
275/295
Hardening
Segurana no terminal
Gerenciamento de privilgios
PAM Protegendo o servio SSH
Segurana no boot loader
NESSUS
Hardening
Programas desnecessrios
ABNT NBR ISO/IEC 17799:2005 diz no item 11 5 4 que
-
7/30/2019 Redes Linux Lpi 01
276/295
ABNT NBR ISO/IEC 17799:2005 diz, no item 11.5.4, quedevemos remover todo utilitrio desnecessrio do sistemaaps uma checagem.
# mkdir /root/auditoria
# dpkg -l | awk '{print $2,$3}' | sed '1,7d' >/root/auditoria/pacotes
# aptitude purge wget
Arquivos com permisso de Suid Bit
Por recomendao da norma ABNT NBR ISO/IEC
17799:2005 no item 11 6 1 o acesso informao e s
-
7/30/2019 Redes Linux Lpi 01
277/295
17799:2005, no item 11.6.1, o acesso informao e sfunes dos sistemas de aplicaes por usurio e pessoalde suporte deve ser restrito, de acordo com o definido dapoltica de controle de acesso.
# find / -perm 4000 > /root/auditoria/lista.suid
Segurana no Sistema de Arquivos
No que diz respeito segurana em sistemas de arquivos,
a norma ABNT NBR ISO/IEC 17799:2005 recomenda no
-
7/30/2019 Redes Linux Lpi 01
278/295
a norma ABNT NBR ISO/IEC 17799:2005 recomenda noitem 10.4 e item 10.4.1 que devemos proteger a integridadedo software e da informao e ter um controle contracdigos maliciosos.
NOSUID
# adduser teste
# cp /bin/sh /home/teste/
# chmod 4755 /home/teste/sh
# cd /home/teste/
# su - teste
$ ./sh
Segurana no Sistema de Arquivos
# mount -o remount,rw,nosuid /home
-
7/30/2019 Redes Linux Lpi 01
279/295
# mount
# su teste $ ./sh
$ id
Segurana no Sistema de Arquivos
NO EXEC
-
7/30/2019 Redes Linux Lpi 01
280/295
# mount -o remount,rw,noexec /home
# mount
# su teste
$ ./sh
Segurana no terminal
No que diz respeita a segurana no terminal, a norma
ABNT NBR ISO/IEC 17799:2005, no item 11.5.5 e item
-
7/30/2019 Redes Linux Lpi 01
281/295
ABNT NBR ISO/IEC 17799:2005, no item 11.5.5 e item11.5.6 que devemos ter controle sobre os acessos nosistema a fim de evitar acessos no-autorizados e para nofornecer informaes desnecessrias.
Desabilitando o uso do CTRL+ALT+DEL
Limitando o uso dos terminais texto
Bloqueando o terminal com a varivel TMOUT
Bloqueando o terminal com o programa vlock
Gerenciamento de privilgios
Por recomendao da norma ABNT NBR ISO/IEC
17799:2005, no item 11.2.2 a concesso e o uso de
-
7/30/2019 Redes Linux Lpi 01
282/295
17799:2005, no item 11.2.2 a concesso e o uso deprivilgios devem ser restritos e controlados.
Bloqueando o login de root nos terminais texto
# vim /etc/securetty
Determinar datas de expirao para contas de usurios
# chage -l usuario
# chage -M 30 -W 5 -I 2 usuario
Gerenciamento de privilgios
-
7/30/2019 Redes Linux Lpi 01
283/295
Remover shell's vlidos de usurios que no precisam
# groupadd admins
# useradd -g admins -m -s /bin/bash toor # passwd toor
PAM
PAM significa Pluggable Authenticatio Modules.
Conjunto de bibliotecas compartilhadas que permitem ao
-
7/30/2019 Redes Linux Lpi 01
284/295
Co ju to de b b otecas co pa t adas que pe te aoadministrador do sistema local definir como as aplicaesautenticam os usurios, sem a necessidade de modificar erecompilar programas.
Diretrio de /etc/pam.d/
Tipos de mdulos
auth: faz autenticao dos usurios, pedindo e verificando
-
7/30/2019 Redes Linux Lpi 01
285/295
, psenhas e liberando o acesso a estes.
account: garante a autenticao, verificando se a conta dousurio em questo no expirou e se este pode acessar o
sistema nos horrios predeterminados. password: usado para criao de senhas e a sua
configurao.
session: usado para gerenciar a sesso de um usuri
que foi autenticado no sistema.
Palavras de controle
required: este mdulo deve ser verificado para permitir
-
7/30/2019 Redes Linux Lpi 01
286/295
q p pautenticao.
requisite: este mdulo deve ser verificado para que aautenticao seja bem sucedida.
sufficient: A falha na verificao de um mdulo no implicaa falha da autenticao como um todo. Mas se a verificaode um mdulo marcado como sufficient for bem sucedida enenhum mdulo required tiver falhado, ento os mdulos
restantes do mesmo tipo de mdulo no so verificados e ousurio autenticado.
Palavras de controle
optional: A falha na verificao do mdulo no implica a
falha da autenticao como um todo. A nica ocasio emd l d ti l i
-
7/30/2019 Redes Linux Lpi 01
287/295
que um mdulo marcado como optional necessria paraum autenticao bem sucedida quando a verificao denenhum outro mdulo dessa classe falhou ou funcionou.Neste caso, um mdulo marcado como optional determinaa autenticao para um mdulo desse tipo.
pam_securetty e pam_nologin
# ls -l /lib/security
PAM
Editar o arquivo /etc/pam.d/login
-
7/30/2019 Redes Linux Lpi 01
288/295
account requisite pam_time.so
Editar o arquivo /etc/security/time.conf login;*;root;!Al0000-2400
services;tty;users;times
Regras
-
7/30/2019 Redes Linux Lpi 01
289/295
Regras
-
7/30/2019 Redes Linux Lpi 01
290/295
Regras
-
7/30/2019 Redes Linux Lpi 01
291/295
Regras
-
7/30/2019 Redes Linux Lpi 01
292/295
Regras
-
7/30/2019 Redes Linux Lpi 01
293/295
Regras
-
7/30/2019 Redes Linux Lpi 01
294/295
Regras
-
7/30/2019 Redes Linux Lpi 01
295/295