Unix Administracion Solaris

Cliente: LUCENT TECHNOLOGIES
SEREM FORMACIN
ADMINISTRACION
DE SISTEMAS
SOLARIS 2.x
Manual De Unix Solaris
Pg. 1
http://www.serem.com
SEREM FORMACIN
1. INTRODUCCION A UNIX
1.1 POR QU UNIX?

Escrito en su mayor parte en lenguaje C, lo que implica PORTABILIDAD y
ADAPTABILIDAD. Su uso se extiende desde PCs a grandes ordenadores.
GENERICO: Se pueden desarrollar y ejecutar todo tipo de aplicaciones.
POTENTE: Es multiusuario y multiproceso. Tiene un conjunto de funciones y utilidades

que lo hacen tan potente como cualquier S.O. (sobre todo para el desarrollo
de aplicaciones).
1.2 QU ES UNIX?
Programas
de utilidad
Shell
Kernel
Kernel
Programa que controla los recursos del ordenador y los asigna

entre usuarios. Gestiona los procesos, gestiona unidades y
proporciona un sistema de ficheros.
Pg. 2
SEREM FORMACIN
Shell
Programa que interpreta los comandos tecleados por un

usuario. Es la interfaz entre el usuario y el S.O. Es un lenguaje
de programacin con directivas como los lenguajes de alto nivel, permitiendo bucles, saltos condicionales, asignaciones,
etc. ). Existen varios tipos: Bourne shell, C shell de Berkeley,
Korn shell, y System V shell.
Programas de utilidad
Editores, compiladores, procesadores de texto (vi, ed), filtros

(sed, awk, grep, fgrep, egrep, tr, sort, uniq, comm, etc. ) programas para desarrollo de programas, etc.
1.3 RESPONSABILIDADES DEL ADMINISTRADOR DEL

SISTEMA
PROPORCIONA UN
ENTORNO SEGURO EN
UNA COMUNIDAD UNIX
CONTROLAR EL
ACCESO DE
LOS USUARIOS
AL SISTEMA
RESOLUCION DE
PROBLEMAS
SYSTEM MANAGER
"SUPERUSUARIO"
INSTALAR
SOFTWARE
DEL SISTEMA
OBTENER INFORMACION
DE ACCOUNTING DEL
SISTEMA
MANTENER ARCHIVOS
Pg. 3
SEREM FORMACIN
2. CREACION DE CUENTAS DE
USUARIO
2.1 USO DE LA HERRAMIENTA DE ADMINISTRACION

ADMINTOOL
La herramienta de administracin Admintool (corre bajo entorno OpenWindows).es
una utilidad de la administracin del sistema con una interfaz grfica que permite a los
administradores mantener:
q
Ficheros de la base de datos del sistema
Impresoras
Cuentas de Usuarios
Otras mquinas (Hosts)
2.1.1 Inicializacin del entorno OpenWindows

Se debe de establecer el entorno de superusuario de modo que el entorno OpenWindows
sea lanzado automticamente cuando se accede al sistema operativo como superusuario.
1. Conectarse como superusuario

2. Copiar el fichero local.profile del directorio /etc/skel en el directorio de acceso del
superusuario
# cd
# cp /etc/skel/local.profile .profile
Pg. 4
SEREM FORMACIN
3. Aadir los directorios /usr/openwin, /usr/sbin, y /sbin al valor de la variable PATH de

root en el .profile. Asegrese que el directorio /usr/sbin precede al directorio /usr/ucb.
PATH=/usr/openwin/bin:/usr/sbin:/sbin:/usr/bin:/usr/ucb:/etc:.
4. Ejecutar .profile para comenzar el entorno OpenWindows.
# . /.profile
(aparecer un mensaje informativo sobre el arranque de OpenWindows)
2.1.2 Arranque de Admintool

1. Ejecutar la Herramienta de administracin Admintool en la ventana Shell Tool o
Command Tool
# admintool &
(aparece la ventana de herramienta de administracin admintool)
2. Seleccionar el icono Database Manager para acceder a los ficheros de la base de
datos del sistema.
2.1.3 Carga de la Base de Datos Group

Aparece la ventana de gestin de la base de datos del sistema (Load Database)
1. Seleccionar Group de la lista.

2. Seleccionar None entre las opciones de Naming Service para utilizar los ficheros
/etc de la mquina local.
3. Pulsar el botn Load
2.1.4 Creacin de una nueva entrada

Aparece la ventana Group Database
1. Seleccionar Add Entry del men Edit
Pg. 5
SEREM FORMACIN
2.1.5 Creacin de un nuevo grupo

Se visualiza la ventana Add Entry
1. Introducir la informacin siguiente:
a. El nombre de grupo sysadmin
b. El nmero de identificacin del grupo (GID) es 14
1. Pulsar en Add
2. Aadir otro grupo llamado Students con GID de 110
3. Abandonar la ventana Add Entry
4. Salir de la ventana Group Database
2.1.6 Arranque del gestor de Cuentas de Usuario

1. Para crear un usuario nuevo seleccionar el icono User Account Manager de la
ventana principal Administration Tool
2. Establecer el nombre de servicio None para utilizar los ficheros /etc almacenados en
el sistema local. Pulsar Apply
2.1.7 Acceso al a ventana de Creacin de Ususario

Se visualiza la ventana User Account Manager
1. Seleccionar la opcin Add User del men Edit
2.1.8 Creacin de un nuevo usuario

Aparece el formulario Add User
1. Especificar los valores de identificacin de usuario para las siguientes variables.
Pg. 6
SEREM FORMACIN
a. Utilizar el nombre propio como nombre de usuario

b. Utilizar el UID asignado por el instructor
c. Utilkizar 110 como grupo primario
d. Especificar 14 como grupo secundario
e. Utilizar el nombre completo como comentario
Estado de la Contrasea
Descripcin
Inexistente hasta la primera
La cuenta no tendr contrasea y el usuario deber
conexin
introducir una contrasea la primera vez que

accede al sistema (por defecto)
Cuenta bloqueada
La cuenta est bloqueada y el usuario no podr

conectarse hasta que le administrador le asigne una
contrasea
Sin contrasea, slo setuid
Esta curenta nopermite conectarse a ella, pero

permite ejecutar programas como lp o uucp
Contrasea normal
Permite al administrador poner una contrasea

mientras aade al usuario.
1. Especificar los valores de seguridad de la cuenta para las variables mostradas.

a. Utilizar el submen del botn Password para poner una contrasea de usuario
normal
b. Rellenar la informacin de contrasea
a. Dejar las opciones de seguridad de cuenta en blanco
1. Especificar los valores del directorio d acceso para las variables siguientes
a.
Pulsar el cuadro Create Home Dir para crear el directorio de acceso de

usuario
b.
Especificar la variable PATH como /export/home/ nomber_usuario
Pg. 7
SEREM FORMACIN
c.
Introducir el nombre del sistema propio como servidor
d.
Introducir /etc/skel como Skeleton Path
e.
No pulsar sobre el cuadro AutoHome Setup
f.
Localizar la matriz de permisos de lectura, escritura y ejecucin del Propietario, Grupo y Otros. Esta matriz permite al administrador establecer los
permisos del directorio de acceso al usuario.
g.
Cambiar los permisos de acceso seleccionados en los cuadros adecuados.
1. Pulsar Add para crear la cuenta de usuario

2. Abandonar la ventana Add User
3. Abandonar la ventana Admintool
2.1.9 Verificacin de la nueva cuenta

1. Desconectarse y conectarse como el usuario que se acaba de crear
2. Visualizar el contenido del directorio de acceso (ls a)
3. Si se quiere utilizar el entorno OpenWindows automticamente una vez realizada la
conexin teclear lo siguiente:
$ mv local.profile .profile
2.2 EL FICHERO /etc/passwd

La base de datos de contraseas est implementada en el fichero /etc/passwd para
cuentas locales de usuario.
En la ventana del Command Tool es posible visualizar ste fichero que consiste en varios
registros de una sola lnea. Para separa los campos se utiliza el carcter (:) dos puntos.
Pg. 8
SEREM FORMACIN
Sus campos son los siguientes:

Nombre_acceso:contrasea:UID:GID:nombre_real(comentario):directorio_acceso:
tipo_shell
El fichero password es de slo lectura para todo el mundo. Slo el SU puede editar ste
fichero. Los usuarios normales pueden modificar parte de la informacin, como su
contrasea o el tipo de shell inicial, usando el comando passwd.
La x en el campo de la contrasea ocupa el mismo lugar dnde se pona la contrasea

antiguamente. La contrasea real esta almacenada en el fichero /etc/shadow junto con
otra informacin relacionada con ella.
2.3 EL FICHERO /etc/group

La base de datos de grupos est implementada en el fichero /etc/group para cuentas
locales de usuarios
El fichero de grupos consiste en registros de una sola lnea. Para separa los campos se
utiliza el carcter (:) dos puntos.
Sus campos son los siguientes:

Nombre_de_grupo:contrasea:GID:lista_de_usuarios_del_grupo
Cuando hay mas de un usuario se utilizan coas para separarlos.
Pg. 9
SEREM FORMACIN
2.4 CREACIN MANUAL DE CUENTAS DE USUARIO

Las cuentas de usuario pueden ser aadidas manualmente en caso de utilizar un terminal
ASCII como consola del sistema.
Los pasos a seguir son los siguientes:

1. Utilizar el comando groupadd para crear el grupo de usuario (si es necesario)
# groupadd g 100 explorer
2. Utilizar el comando useradd para aadir un usuario y crear el directorio de acceso al
usuario
# useradd u 115 g 100 c Lt. Ripley \ -d /export/home/ripley m s /bin/sh
ripley
3. Ejecutar el comando passwd para la nueva cuenta de usuario y asignar la contrasea
de usuario
# passwd ripley
4. Aadir ficheros de inicializacin al directorio de acceso al usuario (como .profile)
2.5 EL COMANDO su
El comando su (switch user) se utiliza para trabajar como un usuario diferente sin salir de
la cuenta. Por defecto se cambia a Super Usuario
Sintaxis:
#su [nombre_usuario]
Realizar los siguientes ejercicios en la ventana del Command Tool:

1. Visualizar el actual UID, nombre de usuario, GID, y nombre de grupo con el comando
id
2. Cambiar de usuario a SU introduciendo el comand su
Pg. 1 0
SEREM FORMACIN
3. Mostrar el actual UID, nombre de usuario, GID, y nombre de grupo con el comando id
4. Visualizar los procesos asociados con la ventana actual tecleando el comando ps
5. Salir con exit de la nueva shell
Pg. 1 1
SEREM FORMACIN
3. MANTENIMIENTO DE CUENTAS DE
USUARIO
3.1 CONTRASEAS (PASSWORDS)
3.1.1 Requisitos de Contrasea

Las contraseas deben de tener stos requisitos:
q
Tener al menos seis caracteres (solo los primeros 8 son significativos)
Contener al menos dos caracteres alfabticos y un carcter especial o numrico
Ser diferente del nombre de conexin
Ser diferente de la contrasea previa en al menos tres caracteres
3.1.2 Caractersticas de limitacin de la contrasea

Los parmetros de limitacin de la contrasea estaban incluidos en la seccin Seguridad
de la Cuenta de la ventana Add User del Gestor de Cuentas de Usuarios como vimos
anteriormente.
Las contraseas que no se cambiaron o que permanecen activas una vez que su tiempo
de validez ha finalizado son un peligro para la seguridad. Solaris 2.x provee varios
parmetros para controlar las contraseas que pueden ser activadas utilizando Admintool.
Pg. 1 2
SEREM FORMACIN
Parmetro
Min. Change
Significado
El nmero mnimo de dias requeridos para poder cambiar la
contrasea
Max. Change
El nmero mximo de dias que la contrasea es vlida
Max. Inactive
Nmero de dias de inactividad permitido para ese usuario
Expiration Date
Una fecha concreta a partir de la cual la conexin no podr

volver a ser utilizada
Warning
El nmero de das antes de que la contrasea expire el

usuario recibir un aviso
3.2 MODIFICACIN DE UNA CUENTA DE USUARIO

EXISTENTE
1. Se debe de iniciar Admintool tecleando lo siguiente
# admintool &
2. Arrancar el Gestor de Cuentas de Usuario seleccionando su icono en la ventana de
Herramienta de Administracin
3. Seleccionar None para la opcin nombre de servicio ya que la cuenta a modifivcar es
local
4. Pulsar Apply. Aparecer una ventana del Gestor de Cuentas de Usuario que lista
todas las cuentas de usuario definidas actualmente en el sistema.
5. Pulsar MENU en el botn Edit para visualizar el men Edit.
6. Seleccionar el nombre de conexin de la cuenta de usuario que se cre cion el Gestor
de Cuentas de Usuario
7. Escoger Modify/View User del men Edit. Esta ventana se visualiza con los valores
rellenados.
Pg. 1 3
SEREM FORMACIN
3.3 EL FICHERO /etc/shadow

Como se vio una x en el campo contrasea de la base de datos passwd indica que la
contrasea se encuentra almacenada en el fichero /etc/shadow, el cual tambien almacena
informacin relacionada con dicha contrasea.
La informacin de seguridad ya especificada (Password, Min. Change, Max. Change,

Max. Inactive, Expiratio Date y Warning) est alamacenada en ste fichero, el cual slo
puede ser leida por el superusuario.
Este fichero consiste en registros de una sola lnea. Para separar los campos se utiliza el
carcter (:) dos puntos.
Sintaxis:
Nombre_usuario:contrasea:ult_cambio:min:max:aviso:inactivo:caducidad
3.4 BLOQUEO DE UNA CUENTA

Cuando un usuario no necesita por alguna razn acceder al sistema, el administrador
podr hacer inaccesible esa cuenta.
Pasos a seguir:
1. Pulsar el icono User Account Manager
2. Seleccionar usuario
3. Seleccionar opcin Modify User del Menu Manager
4. Escoger Account is Locked del men Password
5. Pulsar Apply
6. Verificar que la cuenta est bloqueada visualizndola en /etc/shadow (LK)
Pg. 1 4
SEREM FORMACIN
El administrador puede realizar lo mismo con el comando passwd l
3.5 ELIMINACIN DE UNA CUENTA

Seguir los pasos:
1. Visualizar la ventana User Account Manager
2. Seleccionar usuario
3. Seleccionar Delete User del men Menu Edit
4. Pulsar Delete
5. Salir de la ventana de Gestin de Cuentas de Usuario
6. Cerrar el icono de Herramienta de Administracin Admintool
3.6 EL COMANDO passwd

El superusuario puede mantener contraseas con el comando passwd
Sintaxis:
passwd [ -l | -d ] [- f ] [ -n min ] [ -x max ] nombre
passwd -s [ nombre | -a ]
Opciones:
-l
Bloquea la entrada de la contrasea para el usuario con ese nombre
-d
Elimina la contrasea para el usuario con ese nombre
-f
Fuerza a dicho usuario a cambiar su contrasea en la siguiente

conexin
-n min x max
Establecen el campo mnimo y mximo para el nombre del usuario
-s
Presenta las caractersticas de la contrasea para ese usuario
Pg. 1 5
SEREM FORMACIN
-a
Visualiza las caractersticas de la contrasea para todas las entradas

de usuario
3.7 EL DIRECTORIO /etc/default

Existen varios ficheros ASCII de variables del sistema con valores or defecto que estn
ubicados en el directorio /etc/default.
3.7.1 Fichero /etc/default/su

El valor de la variable SULOG especifica el nombre de fichero donde van a parar todos
los intentos para cambiar a otro usuario con el comando su. Si no est definido, su es
rechazado.
Si el valor de la variable CONSOLE est definido como /dev/console, todos los intentos su
correctos para cambiar a superusuario quedan registrados en la consola.
3.7.2 El fichero /etc/default/passwd

Este fichero contiene tres variables importantes
El valor de la variable MAXWEEKS especifica el mximo nmero de semanas que una

contrasea es vlida antes de que sea cambiada para todos los usuarios normales. . Si
se define como cero, slo los usuarios que tienen un valor para MAX en el fichero
/etc/shadow deben de cambiar sus contraseas.
Sin embargo, un valor MAX en el fichero /etc/shadow se mide en dias.
Pg. 1 6
SEREM FORMACIN
El valor de la variable MINWEEKS especifica el mnimo nmero de semanas entre

cambios de contrasea para todos los usuarios normales. Si se define como cero, slo
los usuarios que tienen un valor para MIN en el fichero /etc/shadow tienen limitado cundo
pueden cambiar sus contraseas.
Sin embargo, un valor MIN en el fichero /etc/shadow se mide en dias.
El objetivo de la variable PASSLENGTH es especificar una longitud mnima de contrasea para todos los usuarios normales. El comando passwd requiere una longitud superior a
5 caracteres.
3.7.3 El fichero /etc/default/login

Este fichero contiene dos parmetros importantes de seguridad.
La variable ALTSHELL se utiliza para situar la variable de entorno de la SHELL bajo

ciertas condiciones.
q
Si el campo de shell en el fichero /etc/passwd contiene un valor, y la variable

ALTSHELL est a YES, entonces el valor de SHELL se toma del fichero contrasea.
Si el campo de shell en /etc/passwd contiene un valor y la variable ALTSHELL se

encuentra comentada o est a NO, entonces el valor de SHELL no se establece como
una variable de entorno.
Si el valor de PASSREQ est a YES (por defecto) los usuarios con contraseas vacas
ser obligados a introducir una contrasea la prxima vez que se conecten al sistema. Por
otra parte las contraseas vacas estn permitidas.
La variable CONSOLE puede ser utilizada para especificar tres condiciones para la
conexin como superusuario.
Pg. 1 7
SEREM FORMACIN
Si la variable es definida como /dev/console (por defecto) la conexin como SU slo

es permitida desde la consola
Si la variable no est definida, no se permite la conexin como SU. (mdem, red, etc.)
Si la variable est definida como vaca (CONSOLE=), no se permite la conexin como

SU. En ste caso el modo de obtener los privilegios como SU es conectarse como
usuario normal y ejecutar el comando su
3.8 UTILIZACIN DE SHELLS RESTRINGIDAS

Solaris 2.x provee versiones restringidas de la Korn Shell (rksh) y de la Shell de Bourne
(rsh) para permitir a los administradores un mayor control sobre el entorno de ejecucin
del usuario. Esto es particularmente til para el acceso temporal con permisos restringidos en las sesiones de conexin.
Las acciones de rsh y rksh son idnticas a las de sh y ksh con restricciones. A los
usuarios se les impide:
q
Cambiar de directorio
Establecer el valor $PATH
Utilizar nombres de camino de comandos absolutos
Redireccionar la salida (> y >>)
Es importante no confundir la shell remota (/usr/bin/rsh) con la shell restringida (/usr/lib/rsh).
Es posible proveer al usuario con caractersticas de shell estndar, mientras se restringe

el acceso a todos los comandos. Esto significa que los administradores tienen que crear
tambin un conjunto limitado de comandos (como /usr/rbin) para un usuario restringido. El
siguiente paso ser restringir permisos en el directorio de acceso del usuario de modo
que el usuario no pueda cambiar ste entorno.
Pg. 1 8
SEREM FORMACIN
El resultado de stas restricciones es que el script .profile ofrece el control sobre las
acciones del usuario ofreciendo un conjunto limitado de comandos y limitando al usuario a
un directorio especificado.
Pg. 1 9
SEREM FORMACIN
4. SISTEMAS DE FICHEROS UNIX
4.1 PARTICIONES DE DISCO Y ETIQUETAS

Las particiones consisten en un offset (distancia) del borde exterior del disco y un tamao.
Los offsets y tamaos para las particiones del disco estn definidos por una tabla de
particin (partition table)
La etiqueta del disco tambin llamada Tabla de Contenidos de Volumen de Disco

(Volume Table of Contents VTOC)), contiene:
q
Tablas de particiones (Partitio Tables) para el disco
Un nombre de volumen (volume name) opcional que identifica el dispositivo de disco
Partition tags opcionales que nombran los puntos de montaje estndar de cada una
de las particiones
Partition Flags opcionales que determinan si cada particin se puede grabar y/o
montar
Particin 0
Particin 1
Etiqueta del
disco
Particin 2
Pg. 2 0
SEREM FORMACIN
4.1.1 Las Particiones

Las particiones son divisiones lgicas de un disco.
q
Son grupos de sectores
Tienen tamaos por defecto, por tipo de disco, pero pueden ser alteradas por el
superusuario
Ayudan a equilibrar la carga del disco
Son etiquetadas desde la a hasta la h
Una particin puede contener a otra u Otras.
Por defecto la particin 0 es root y la particin 1 es swap (area de swapping)
4.1.2 Comandos para el uso de particiones

La utilidad format es una herramienta de mantenimiento de disco que se ejecuta desde
la lnea de comandos o desde un CD-ROM de instalacin si format se quiere utilizar para
modificar un disco que contiene los ficheros / (root) o /usr o una particin swap.
Las tareas bsicas para reparticionar el disco son:

q
Reparticionamiento de disco
Reetiquetado del disco con la nueva etiqueta de disco
Creacin de la interfaz del sistema de ficheros para la nueva particin. (Esta tarea
puede omitirse si se aade una particin de swap adicional)
Desde la utilidad format, el men partition se utiliza para ver y modificar las tablas de
particiones.
La opcin print desde el men partition permite visualizar la tabla de particiones

actual.
Pg. 2 1
SEREM FORMACIN
Las particiones debern de ser contiguas. La primera particin comenzar en el cilindro

0. La segunda inmediatamente despus de la primera, y as sucesivamente. Esto se
comprueba en la columna Cylinders
Para cambiar el tamao de una particin se debe de ejecutar el comando modify

dentro del menu partition. Y seguir los pasos que interactivamente el sistema va
preguntando.
Para verificar la nueva etiqueta del disco, introducir el comando verify desde el men
principal format
Desde el prompt el sistema es posible visualizar una tabla de contenidos de volumen de

disco. Con el comando prtvtoc (# prtvtoc /dev/rdk/c0t0d0s0)..
4.2 CREAR UN SISTEMA DE FICHEROS

Despus de utilizar la utilidad format para cambiar el tamao de una particin, el paso
siguiente es crear un sistema de ficheros para aadir nuevos datos. La informacin
almacenada en una particin se accede a travs del interfaz del sistema de ficheros.
El comando newfs es una implementacin ms amigable del comando mkfs que es

quien realmente crea el sistema de ficheros. (# newfs /dev/rdk/c0t0d0s0)
Este comando crea un sistema de ficheros por defecto incluyendo un inodo root, un
directorio lost+found que es utilizado por fsck para comprobar y reparar el sistema de
ficheros.
Posteriormente se repite el comando para cada particin del sistema de ficheros.
Pg. 2 2
SEREM FORMACIN
4.3 SISTEMAS DE FICHEROS LOCALES Y DISTRIBUIDOS

Los dos sistemas de ficheros con los que trabajan la mayora de los administradores son
el tipo de sistema de ficheros de disco (o local) y de tipo remoto (o distribuido).
4.3.1 Sistemas de ficheros de disco (local)

Estos sistemas de ficheros estn almacenados en medios fsicos como discos, CD-ROM,
o disquetes.
ufs
Por defecto el sistema de ficheros de disco basado ene le sistema de

ficheros BSD Fat Fast
hsfs
Sistema de ficheros High Sierra y CD-ROM
pcfs
Sistema de ficheros que soporta accesos de lectura/escritura de datos de

disquetes del sistema operativo (DOS)
4.3.2 Sistemas de ficheros distribuidos (remotos)

El sistema de ficheros distribuido soporta el acceso a sistemas de ficheros incluidos en
otros sistemas de la red.
nfs
Sistema de ficheros de red
4.4 MONTAJE Y DESMONTAJE DE SISTEMAS DE FICHEROS

Montar es el proceso por medio del cual sistemas de ficheros separados se integran en
una nica jerarqua de directorios. Normalmente, se montan y desmontan durante el
encendido y apagado del sistema.
Pg. 2 3
SEREM FORMACIN
No es frecuente que los administradores de sistemas hagan ste tipo de operaciones.

Adems, la reconfiguracin del disco requiere a veces que los admninistradores realicen
cambios en /etc/vfstab, que especifica como se montarn y desmontarn los sistemas
de ficheros automticamente durante el encendido y apagado del sistema.
El comando que se utiliza para montar todos los sistemas de ficheros locales cuando el
sistema est en nivel de ejecucin 2 dentro del fichero de comandos MOUNTFSYS, es el
comando mountall l (La opcin l indica los sistemas de ficheros locales)
Los elementos a ser ensamblados y donde el comando mountall los obtiene de la

informacin que le proporciona el fichero /etc/vfstab en ele campo mount at boot
Para identificar los sistemas de ficheros que han sido montados y las opciones que se
han utilizado en el montaje, teclear el comando mount sin argumentos
4.4.1 El fichero /etc/vfstab

Este fichero proporciona posiciones por defecto para el montaje de sistemas de ficheros.
El formato del fichero es un registro por lnea, siete campos por registro, con un guin (-)
indicando un valor nulo para un campo.
Pg. 2 4
SEREM FORMACIN
4.5 MONITORIZACIN DE LA UTILIZACIN DE DISCO
4.5.1 El comando du
El comando du visualiza la cantidad de bloques de disco (de 512 bytes) utilizados por
directorios y ficheros. Sin opciones ni argumentos, el comando du muestra la cantidad de
bloques utilizados por cada subdirectorio del directorio actual y la suma total.
Si se suministra el camino de un directorio opcional, el comando lista el nmero de

bloques utilizado por cada directorio debajo de ese camino y la suma total.
Sintaxis:
# du [ -a] [ -s ] [-k ] [directory ]
Opciones:
-a
Visualiza el nmero de bloques utilizados por los ficheros y directorios dentro de la

jerarqua de directorio especificada
-s
Muestra slo el resumen
-k
Lo muestra en Kilobytes
4.5.2 El comando df
El comando df muestra la informacin de los sistemas de ficheros montados
Sintaxis:
# df [ -k ] [ directory ]
Pg. 2 5
SEREM FORMACIN
Opciones:
-k
Visualiza el espacio en Kbytes y resta el espacio reservado por el sistema operativo
4.5.3 El comando quot

El comando quot visualiza cunto espacio de disco (en Kbytes) es utilizado por los
usuarios.
Sintaxis:
# quot [ -af ] [filesystem ]
Opciones:
a
f
Informa de todos los sistemas de ficheros montados

Muestra la cantidad de ficheros, as como el nmero de Kbytes. que son propiedad
del usuario.
Pg. 2 6
SEREM FORMACIN
5. ESTRUCTURA DEL SISTEMA DE

FICHEROS
5.1 SUPERBLOQUES Y BLOQUES DEL GRUPO DE

CILINDROS
Bajo ste apartado se describen las estructuras de los sistemas de ficheros.
Inodo
Un inodo es la representacin interna de un fichero que contiene informacin
sobre el UID y el GID del propietario, nmero bytes y punteros a los ficheros de
bloques de datos.
Grupos de cilindros
Los anteriores sistemas de ficheros UNIX agrupaban todos sus inodos al principio del sistema de ficheros, seguidos de todos los bloques de datos del sistema de ficheros.Para mejorar el rendimiento, el nuevo sistema de ficheros
UNIX Fat Fast de Berkeley agrupa subconjuntos de inodos y bloques de datos
juntos en cilindros consecutivos llamados grupos de cilindros. El sistema de
ficheros intenta mantener el inodo del fichero y todos sus bloques en el mismo
grupo de cilindro.
Bloques de Grupos de Cilindros

El bloque de grupos de cilindros describe el nmero de inodos y de bloques de
datos, as como los directorios, bloques e inodos libres, la lista de bloques
libres y el mapa de inodos ocupados de ste grupo de cilindros.
Pg. 2 7
SEREM FORMACIN
Superbloques
El superbloque contiene informacin sobre el sistema de ficheros: nmero de
bloques y de grupos de cilindros, el tamao del bloque y de fragmanto, una
descripcin del hardware (derivada de la etiqueta) y el nombre del punto de
montaje.
Dado que el superbloque contiene datos crticos, est duplicado en cada grupo
de cilindros para protegerlo de prdidas accidentales. Esto se hace cuando se
crea el sistema de ficheros. Si un fallo del disco hace que se dae el
superbloque, se acceder a stas copias.
Etiqueta
Bloque de carga inicial
Superbloque
Copia de seguridad del

superbloque
Bloque del grupo de
cilindros
Primer
grupo de
cilindros
Tabla de inodos
Bloques de datos
Segundo
bloque
de
cilindros
Pg. 2 8
SEREM FORMACIN
5.2 FRAGMENTOS DE BLOQUES

El sistema de ficheros UNIX original utilizaba bloques de 512 bytes. En la versin 1 del
System V se expandi a 1024 bytes. La ventaja de un mayor tamao de bloque es que las
transferencias de disco son mucho ms rpidas cuando se tienen que transferir grandes
cantidades de informacin.
La desventaja de un tamao de bloque grande es que los ficheros pequeos desaprovechan espacio en disco. Cuando sta perdida se multiplica por muchos ficheros, la
cantidad de espacio desperdiciada puede ser bastante grande.
Un mtodo para aprovechar el espacio en disco perdido es dividir cada bloque de datos
en fragmentos. El fragmento o fragmentos pueden ser asignados en el momento en que el
fichero no ocupa un bloque entero. Los fragmentos no pueden ser mas pequeos que un
sector de disco. Lo habitual es dividir el bloque en ocho fragmentos.
El sistema Solaris 2.x utiliza por defecto un bloque de 8192 bytes y un fragmento de 1024
bytes.
Bloque del Sistema de Ficheros
8192 bytes
1024
bytes
Fragmento
5.3 EL PROGARAMA FSCK

El comando fsck utiliza parmetros conocidos e informacin redundante para revisar las
inconsistencias de disco.
Pg. 2 9
SEREM FORMACIN
Las inconsisencias, revisadas en orden, son las siguientes:

1. Bloques reclamados por uno o ms inodos y la lista de inodos libres
2. Bloques reclamados por un inodos de la lista de inodos libres
3. Contadores de enlaces incorrectos
4. Tamaos de directorios incorrectos
5. Fomato de inodo incorrecto
6. Bloques no contabilizados en nngn lugar
7. Comprobacin de directorios, punteros de ficheros no asignados a iodos y nmeros
de inodo fuera de rango.
8. Comprobacin de superbloques
9. Formato de lista de bloques libre errneo
10. Total de bloque libre y/o inodo incorrecto
Esta utilidad unicamente debe de ser ejecutada en modo monousuario o slamente en

sistemas de ficheros desmontados. Tener en cuenta que no se pueden desmontar / (root)
y /usr.
El programa fsck puede ejecutarse en modo interactivo y no interactivo (durante el

proceso normal de arranque).
Si no se utiliza ningn argumento, fsck comprueba aquellas entradas en el fichero

/etc/vfstab que tienen una entrada en el campo device to fsck, y tienen una entrada
numrica distinta de cero en el campo fsck pass.
Pg. 3 0
SEREM FORMACIN
6. COPIAS SEGURIDAD Y
RECUPERACION
6.1 copias de seguridad

Hay tres principales razones para hacer copias seguridad:
1. Salaguardar la informacin contra un fallo del sistema o algn desastre natural
2. Proteger los ficheros de los usuarios contra borrados accidentales
3. Garantizar una transaccin de informacin cuando se reinstala o actualiza el sistema
6.1.1 Nombres de dispositivos de cinta

Todos los dispositivos de cinta, independientemente de su tipo, son refrenciados por sus
nombres lgicos de dispositivo. Tienen el siguiente formato:
/dev/rmt/xybn
x
Nmero de cinta lgico
Densidad de cinta (h:alta,m:media y l:baja)
Comportamiento BSD (cuando se especifica b, la unidad asume comportamiento
BSD)
n
Sin rebobinado (poniendo n al final, la cinta no se rebobinar cuando se haya

completado la accin)
Pg. 3 1
SEREM FORMACIN
6.2 EL COMANDO UFSDUMP

El comando ufsdump se utiliza para hacer una copia de un sistema de ficheros, ya sea del
sistema completo o de ficheros y directorios individuales.
Sintaxis:
# ufsdump opciones [ argumentos ] ficheros_a_copiar
Opciones:
0-9
Especifica el nivel de copia. El nivel o es el mas bajo
Crea un fichero en lnea de nombres de ficheros volcados a cinta
Especifica el dispositivo donde se escriben los ficheros
Actualiza /etc/dumpdates con la fecha y nivel del volcado
Volcado a una cinta de cartucho y establece el factor de agrupamiento a 126

bloques
El factor de agrupamiento es el nmero de bloques de cinta (512 bytes) que se ha de

escribir antes de insertar una separacin entre bloques
Cuando ufsdump se utiliza para hacer copias de seguridad de ficheros o directorios

individuales, el nivel de copia se pondr a 0.
Es muy importante que las copias de seguridad se realicen en sistemas de ficheros

inactivos o desmontados. Por lo tanto el nivel de ejecucin debe de ser S, o por razones
de disponibilidad desmontar el sistema de ficheros. Posteriormente es recomendable
chequear el sistema de ficheros con fsck.
Pg. 3 2
SEREM FORMACIN
6.3 EL COMANDO ufsrestore

El comando ufsrestore extrae ficheros de una copia de seguridad creada por el comando
ufsdump.
Sintaxis:
# ufsrestore opciones [ argumentos ] [ nombre_de_fichero ]
Opciones:
t
Lista el ndice de la copia de
Recupera slo los ficheros especificados
Recupera la copia de seguridad completa
Realiza una recuperacin interactiva
a fichero
Toma la informacin del ndice del fichero en lugar de la cinta
f fichero
Utiliza fichero como dispositivo de recuperacin
Presenta el camino donde son restaurados los ficheros
Pg. 3 3
SEREM FORMACIN
7. EL PROCESO DE ARRANQUE
7.1 PROCEDIMIENTO DE ARRANQUE SOLARIS 2.X

La PROM ejecuta diagnsticos
de auto-chequeo
Fase PROM de
La PROM carga el programa
Arranque
primario de arranque (bootblk)
El prog. primario de arranque

carga el prog. secundario de
arranque (ufsboot)
El
programa
de
Fase
arranque
Programa
de Arranque
(ufsboot) carga el ncleo
Fase Inicializacin del
El nucleo se inicializa y comienza el

proceso init
nucleo
El proceso init lanza los ficheros de

comandos de control de ejecucin
Fase /sbin/init
Pg. 3 4
SEREM FORMACIN
7.1.1 Fase PROM de Arranque

La PROM de arranque realiza los siguientes pasos durante la primera parte de la
secuencia de arranque:
1. Presenta la pantalla de identificacin del sistema. Se visualiza el modelo, tipo de
teclado, identificador de la mquina (host id), nmero de revisin de PROM, y direccin Ethernet.
2. La PROM ejecuta los diagnsticos de auto comprobacin para verificar el hardware
del sistema y la memoria.
3. La PROM de arranque lee un programa primario de arranque del sistema llamado
bootblk que contiene un lector de sistemas de ficheros ufs. La PROM puede ser programada para utilizar un dispositivo de arranque alternativo.
4. El lector del sistema de ficheros abre el dispositivo de arranque, encuentra el
programa secundario de arranque /ufsboot y lo carga en memoria
7.1.2 Fase Programa de Arranque

En este punto, el programa /ufsboot se encarga de todo
1. Despus de cargar el programa /ufsboot, la PROM de arranque carga el ncleo
(/kernel/unix).
7.1.3 Fase Inicializacin del nucleo

1. El ncleo comienza cargando mdulos utilizando el programa /ufsboot para leer los
ficheros tan pronto como se inicialice a si mismo. Cuando el ncleo ha ledo los mdulos que necesita para montar la particin root, descarga el programa /ufsboot de la
memoria, y contina inicializando el sistema utilizando recursos propios.
Pg. 3 5
SEREM FORMACIN
7.1.4 Fase /sbin/init

1. El ncleo crea un proceso de usuario y lanza el programa /sbin/init. El programa
/sbin/init inicializa procesos utilizando informacin del fichero /etc/inittab. El proceso
init ejecuta uno o varios ficheros de comandos rc que ejecutan a su vez otros ficjheros
de comandos (/sbin/rc*).
7.2 NIVELES DE EJECUCIN DEL SISTEMA

Por defecto el sistema se ejecuta en nivel 3 (estado multiusuario completo) despus de
que el sistema ha sido arrancado correctamente.
El entorno Solaris 2.x tiene varios niveles de ejecucin que determinan varios modos de
operacin del sistema.
Nivel de
Funcin
Ejecucin
0
Nivel de monitor PROM
Modo administrativo (monousuario con varios sistemas de

ficheros montados y conexiones de usuario desactivadas)
Nivel multiusuario (sin recursos compartidos)
Nivel multiusuario (con recursos compartidos)
Actualmente no utilizado
Parada y arranque interactivo (boot a)
Rearranque oor defecto nivel de ejecucin 3
S,s
Monousuario con algunos sistemas de ficheros montados y

conexiones de usuario desactivadas
Pg. 3 6
SEREM FORMACIN
El modo monousuario significa que el terminal de consola virtual es asignado a la consola

del sistema para ser utilizada por el superusuario. Se tiene que conocer la palabra de
paso de root para obtener el modo monousuario y ningn otro usuario podr entrar.
El modo multiusuario significa que todos los terminales definidos y demonios (daemons)
se estn ejecutando.
7.3 EL PROCESO /sbin/init

El programa /sbin/init tiene dos funciones importantes:
1. Crea procesos que tienen el efecto de llevar al sistema hasta el nivel de ejecucin por
defecto
2. Controla transacciones entre estados de ejecucin leyendo el fichero /etc/inittab
7.3.1 El fichero /etc/inittab

Las entradas de ste fichero indical al proceso int que procesos debe de crear para cada
nivel de ejecucin y qu acciones debe de tomar.
El fichero /etc/inittab define tres elementos importantes para el proceso /sbin/init

q
El nivel de ejecucin por defecto del sistema
Qu procesos hay que iniciar, monitorizar y relanzar cuando stos desaparecen
Qu acciones hay que llevar a cabo cuando un nuevo nivel de ejecucin se introduce
en el sistema.
Pg. 3 7
SEREM FORMACIN
8. CAMBIO DEL NIVEL DE EJECUCION
8.1 PLANIFICACION DE PARADAS DEL SISTEMA

Es importante para los administradores del sistema planificar las tareas que afectan ala
capacidad de utilizacin del sistema por los usuarios.
Tareas como reemplazar hardware defectuoso o problemas que requieren una parada del
sistema no son facilmente predecibles. Las tareas rutinarias tales como mantenimiento de
los sistemas de ficheros y copias de seguridad (backups) deberan de ser programadas
de modo que los usuarios pudieran planificar su trabajo convenientemente.
Hay diferentes modos de notificar a los usuarios la ineludible parada del sistema:
q
Enviar mensajes a los usuarios que estn conectados al sistema con el comando
wall
Enviar mensajes aun grupo de usuarios con el comando rwall
Enviar mensajes por correo electrnico a los usuarios afectados.
Utilizar el fichero /etc/motd (message of the day) para enviar un mensaje a los usuarios
que van a conectarse al sistema durante el tiempo de parada.
Existen varios comandos para cambiar los niveles de ejecucin del sistema.
q
Shutdown
Init
Halt
reboot
Pg. 3 8
SEREM FORMACIN
8.1.1 El comando shutdown

El comando /usr/sbin/shutdown es utilizado para cambiar el nivel de ejecucin del sistema.
Los procesos del sistema sern parados y los ficheros que sern desmontados, dependern del nivel de ejecucin del sistema al que se cambie. En la mayora de los casos, es
utilizado para pasar del nivel de ejecucin 3 al S. Es muy importante avisar a los usuarios
del cambio.
Si el comando shutdown es utilizado para cambiar el nivel de ejecucin del sistema al 0,

termina la ejecucin del sistema operativo. Esto significa que todos los procesos son
parados y todos los sistemas de ficheros desmontados.
Sintaxis: Shutdown [ -y] [-gseconds] [ -irun_level]
Opciones:
y
Utilizar sta opcin sirve para continuar la parada sin intervencin.. Si no se usa se
pedir confirmacin
Permite especificar el tiempo que transcurrir hasta la parada (en segundos). El

valor por defecto es 60 seg.
Permite poner el sistema en un nivel de ejecucin diferente del S.
Salir del entorno OpenWindows y cambiar al directorio / (root) antes de utilizar el comando
shutdown (como superusuario).
8.1.2 El comando init

El comando init se puede utilizar en lugar del comando shutdown para cambiar los niveles
de ejecucin del sistema. Sin embargo, el comando init no enva mensajes de aviso antes
de cambiar de nivel.
Pg. 3 9
SEREM FORMACIN
Ambos comandos shutdown e init sitan el sistema en el nivel de ejecucin especificado.
Se debe ser superusuario antes de utilizar el comando init para cambiar los niveles de
ejecucin
Opcin
Accin
Pasar el sistema a la PROM
Poner el sistema en modo monousuario donde algunos

sistemas de ficheros son montados y los usuarios desconectados
Poner el sistema en modo multiusuario (sin recursos

compartidos)
Poner el sistema en modo multiusuario (con recursos

compartidos)
Actualmente no utilizado
Parar el sistema y realizar un arranque interactivo (boot a)
Parar y rearrancar el sistema en nivel de ejecucin 3
S,s
Poner el sistema en modo monousuario donde algunos

sistemas de ficheros son montados y los usuarios desconectados
Q,q
Indicar al programa init que vuelva a leer el fichero /etc/inittab
Pg. 4 0
SEREM FORMACIN
8.1.3 El comando halt

Utilizar el comando /usr/bin/halt es equivalente a utilizar ini 0, el cual detiene el sistema y
lleva a la PROM.
8.1.4 El comando reboot

El comando /usr/sbin/reboot detiene el sistema de forma limpia y lo lleva por defecto a
nivel de ejecucin 3, igual que el comando init 6.
Utilizar el comando reboot -- -r para rearrancar el sistema y realizar un arranque con

reconfiguracin.
8.2 LA PROM DE MONITOR

Una vez que el sistema es llevado a la PROM, utilizar el comando boot para cambiar a un
nivel de ejecucin diferente.
El comando boot requiere un argumento que represente el dispositivo de arranque, si no

hay dispositivo de arranque por defecto. El dispositivo de arranque se especifica de
diferentes formas, dependiendo de la versin de la PROM de la mquina.
8.2.1 La Open Boot PROM

El OBP (Open Boot PROM) hace referencia a la filisofia de SUN sobre sistemas abiertos.
Para identificar el nmero de versin de la PROM del sistema utilizar el comando banner.
Pg. 4 1
SEREM FORMACIN
En funcin de la mquina la versin de OBP es diferente. Las mquinas nuevas utilizan la

versin OBP 2.0 y superiores, lo que significa que el dispositivo de arranque es especificado por su nombre fsico que se encuentra en la informacin jerrquica sobre dispositivos.
Sistemas mas antiguos utilizan la vesrsin OBP 1.x, la cual tiene caractersticas y sintaxis
diferentes a la versin de OBP 2.x
Para especificar el dispositivo de arranque en la versin de OBP 2.x, sin utilizar el nombre
de dispositivo fsico, utilizar el comando devalias para identificar posibles dispositivos de
arranque. El alias del nombre del dispositivo se especifica en el lado izquierdo de la
salida. Generalmente disk identifica el dispositivo de arranque por defecto del sistema.
Los nombres de dispositivo en el nivel de la PROM 1.x son especificados con el comando
boot utilizando un formato distinto del anterior.
Pg. 4 2
SEREM FORMACIN
9. MANEJO DE IMPRESORAS
9.1 UTILIZACIN DE LA HERRAMIENTA DE

ADMINISTRACION DE IMPRESORAS
Si es necesario, lanzar OpenWindows
1. Arrancar la Herramienta de administracin Admintool y pulsar en el icono Printer
Manager
2. El icono Printer Manager tienen tres botones de men
q
View, el cual se utiliza para visualizar y buscar impresoras
Edit que se utiliza para aadir, modificar y borrar impresoras
Goto que se utiliza para cambiar el sistema al que pertenecen las impresoras a
visualizar o editar
9.2 COMANDOS BASICOS LP

No todas las tareas de administracin de impresoras se pueden realizar utilizando la
herramienta Printer Manager. A continuacin se describen los comandos necesarios para
manejar tareas de administracin de impresoras como:
q
Creacin de clases de impresoras
Manejo de colas de impresin y disponibilidad de impresoras
Parada e inicio del servicio de impresin LP
Pg. 4 3
SEREM FORMACIN
Los siguientes comandos son necesarios para realizar dichas tareas:
Nombre de Coman-
Descripcin
do
lp
Enva un fichero a la impresora
lpstat
Visualiza el estado del servicio de impresin
cancel
Cancela las peticiones de impresin
accept
Habilita las colas de peticiones de impresin
reject
Impide que las colas admitan mas peticiones de

impresin
enable
Permite a la impresora imprimir las peticiones
disable
Desactiva la impresin de las peticiones
lpmove
Mueve las peticiones de impresin
lpadmin
Realiza diversas tareas de administracin
Pg. 4 4
SEREM FORMACIN
10. FUNDAMENTOS TCP/IP
10.1 SERVICIOS INTERNET TCP/IP

No es posible apreciar los detalles tcnicos subyacentes de TCP/IP sin comprender los
servicios que proporciona Desde el punto de vista del usuario, TCP/IP es visto como un
conjunto de programas de aplicacin que usan la red para llevar a cabo tareas de
comunicacin.
10.1.1
Servicios Internet del nivel de Aplicacin
Los servicios mas populares del nivel de aplicacin son: el correo electrnico, la
transferencia de ficheros y la conexin remota
El correo electrnico TCP/IP permite al usuario componer memos y enviarlos a
individuos o grupos. Otra parte de la aplicacin de correo permite a los usuarios leer
memos que hayan recibido. Es posible inhabilitar la recepcin de mensajes.
Aunque existen muchos sistemas de correo electrnico, el utilizar TCP/IP hace que la
entrega de correo sea ms fiable porque no confa en que lo sistemas intermedios
retransmitan los mensajes de correo. La forma de trabajar es orientada a la conexin.
La transferencia de ficheros TCP/IP permite a los usuarios enviar o recibir grandes
ficheros de programas o datos. El sistema proporciona un modo de comprobar si el
usuario est autorizado e incluso de inhabilitar todos los accesos.
La conexin remota permite a los usuarios establecer una conexin desde su
maquina a otra maquina diferente, estableciendo una sesin interactiva.
Pg. 4 5
SEREM FORMACIN
10.1.2
Servicios Internet del nivel de red
TCP/IP proporciona dos grandes tipos de servicio que todos los programas de aplicacin
utilizan: el servicio de entrega de paquetes no orientado a la conexin y el servicio de
transporte fiable de "streams" (o cadenas)
El servicio de entrega de paquetes no orientado a la conexin consiste en el

encaminamiento de pequeos mensajes de una mquina a otra basado en la informacin
de la direccin incluida en el mensaje.
Puesto que encamina cada paquete separadamente, no garantiza una entrega
"ordenada" fiable. Al tener una relacin directa de direcciones con el hardware subyacente, ste servicio es extremadamente eficiente. TCP/IP es adaptable a muchos
entornos hardware de red debido precisamente a que la entrega de paquetes no
orientada a la conexin es la base de todos sus servicios
El servicio de transporte fiable de streams o cadenas permite a una aplicacin en
un ordenador establecer una conexin con una aplicacin en otro ordenador y enviar un
gran volumen de datos, como si existiera una conexin hardware permanente entre
ambos. Este servicio garantiza la recuperacin automtica en caso de paquetes
perdidos o fallos de conmutadores intermedios existentes entre el emisor y receptor
10.1.3
Caractersticas de los servicios TCP/IP
1. Independencia de la tecnologa de red empleada. Puesto que TCP/IP se basa en la

tecnologa de conmutacin de paquetes convencional, es independiente del tipo de
hardware utilizado. A la unidad de transmisin de datos se la denomina "datagrama".
2. Interconexin universal. A cada ordenador le es asignada una direccin que es

universalmente reconocida como nica en toda la red. Cada datagrama contiene las
Pg. 4 6
SEREM FORMACIN
direcciones fuente y destino. Los ordenadores de conmutacin intermedios usan la

direccin destino para tomar decisiones de encaminamiento.
3. Confirmacin extremo a extremo. Los protocolos TCP/IP proporcionan confirmaciones entre el fuente y el ltimo destino en vez de entre las sucesivas mquinas existentes
a lo largo del camino, incluso cuando las dos mquinas no estn conectadas a una red
fsica comn.
4. Estndares de protocolos de aplicacin. Adems de los servicios bsicos del nivel

de transporte (como la conexin fiable de cadenas), los protocolos TCP/IP incluyen
estndares para muchas aplicaciones comunes, tales como el correo electrnico, la
transferencia de ficheros o el login remoto
10.2 IENS Y RFCS DE INTERNET

La NSF (National Science Foundation) cre dentro de AT&T un grupo denominado
INTERNIC (Internet Network Information Center) para mantener y distribuir informacin sobre los protocolos TCP/IP y la Internet, as como para gestionar ciertos aspectos
administrativos de sta ltima. INTERNIC es una organizacin sucesora del NIC original
ubicado en el SRI (Stanford Research Institute)
Los resultados de los estudios de los grupos de trabajo e investigacin del IAB, las
propuestas para protocolos nuevos o revisados, as como los protocolos estndar TCP/IP,
se recogen en una serie de informes tcnicos llamados RFCs (Request For Comments). El editor de los RFCs es un miembro del IAB. Los RFCs se numeran secuencialmente en el orden cronolgico en el que se escriben.
Pg. 4 7
SEREM FORMACIN
Inicialmente tambin se publicaron una serie de informes referentes a la Internet denominados IENs (Internet Engineering Notes), ahora en desuso. Alguna informacin que
aparece en los IENs, no aparece en los RFCs.
Tanto los RFCs como los IENs pueden conseguirse a travs del correo electrnico, por
correo habitual, o a travs de la Internet
10.2.1
Como se puede obtener un RFC
Por E-MAIL indicar el nmero de RFC en el campo "subject" o una lnea que incluya la
lnea: "send rfcN.txt" y dirigir el correo a: mailserv@ds.internic.net
Por FTP hacer "login" en el dominio "ds.internic.net" (direccin IP 192.20.239.132) con

nombre de usuario "anonymous" y password "guest", posteriormente introducir el
comando "get rfc/rfcN.txt ficherolocal" (por ejemplo get /rfc/rfc821.txt rfc821.txt)
10.2.2
La pista de estndares
Cada paso adelante en la pista de estndares es propuesto por el IETF y ratificado por el
IAB. Algunos ejemplos de estndares son: SNMP cuyo RFC es el 1157 y STD es el 15,
SMI con RFC 1155 y STD 16, o MIB-II con RFC 1213 y STD 17.
Para llegar a obtener la calificacin de estndar (STD) son necesarios varios requisitos
que aparecen referenciados a continuacin:
(1)
Ser estable y bien comprendido
(2)
Ser tcnicamente competente
(3)
Estar ampliamente difundido
(4)
Ser reconocidamente til en algunas partes de la Internet o en su conjunto
Pg. 4 8
SEREM FORMACIN
(5)
Acreditar una experiencia operacional en al menos dos implementaciones

independientes e interoperables (principal diferencia con los estndares ...............internacionales).
SE ELIMINAN LAS
DEFICIENCIAS
SE PUBLICA
ENTRADA
EXPERIMENTAL
CUMPLE (1) A (4)
PROPUESTO
6 MESES O MAS,
CUMPLE (5)
ESTADOS
TEMPORALES
ESTANDAR
BORRADOR
(DRAFT)
4 MESES O MAS, SE LE
ASIGNA UN NUMERO DE
STD
SE QUEDA
OBSOLETO
ESTANDAR
(STD)
HISTORICO
Organigrama de la pista de estndares
Pg. 4 9
SEREM FORMACIN
10.3 INTERCONEXIN DE REDES EN INTERNET

La Internet est formada por un gran nmero de redes heterogneas y cooperantes
interconectadas entre s. La nica forma de conectar fsicamente dos redes heterogneas
es por medio de un ordenador que est conectado a ambas a la vez (denominados
Gateways IP o Routers IP).
La conexin fsica entre redes no garantiza la interconexin lgica entre ordenadores.

Para que dicha interconexin exista es necesario que el router se encargue de trasladar
los paquetes entre ellas
La figura muestra el esquema simple de interconexin de redes por medio de un router
RED 1
ROUTER 1
RED 2
Dos redes fsicas interconectadas por un router R
En el caso del dibujo anterior el router conecta las redes 1 y 2. La funcin de R es capturar
los paquetes de la red 1 que vayan dirigidos a la red 2 y transferirlos. De igual manera
debe capturar los paquetes de la red 2 con destino a algn ordenador de la red 1 y
transferirlos.
Los gateways IP o routers IP pueden ser ordenadores muy simples ya que intercambian
paquetes entre redes y no entre mquinas
En una gran red habitualmente los routers necesitan conocer la topologa de las redes
mas all de las cuales a las que se conectan.
Pg. 5 0
SEREM FORMACIN
Los routers IP suelen ser mquinas pequeas, con poco o ningn disco y con una
memoria muy limitada.
Su truco consiste en usar la red destino y no el host destino para encaminar un paquete.
Por lo tanto, la cantidad de informacin que un router necesita guardar es proporcional al
nmero de redes en la internet, no al nmero de ordenadores.
Son los nicos dispositivos que proporcionan conexiones entre las distintas redes fsicas
en una internet TCP/IP.
10.3.1
El punto de vista del usuario
Adems de los routers, en cada ordenador debe existir un software de acceso a la red
para permitir que las aplicaciones puedan utilizar la internet como si fuera una nica gran
red real.
Las ventajas de ofrecer la interconexin al nivel de red parecen evidentes. Puesto que los
aplicativos que se comunican por la internet no conocen los detalles de la interconexin
fsica, es posible su ejecucin en cualquier mquina de la red sin que el usuario tenga que
preocuparse por la forma en que su informacin es transportada hasta el lugar de destino.
En TCP/IP los aplicativos utilizados son los mismos en todos los nodos independientemente de la tecnologa de red utilizada o de su dimensin.
10.3.2
Todas las redes son iguales
Es importante entender un concepto fundamental: desde el punto de vista de TCP/IP,

cualquier sistema de comunicacin capaz de transferir paquetes cuenta como una nica
Pg. 5 1
SEREM FORMACIN
red, independientemente de sus caractersticas de retraso y throughput, tamao de

paquete mximo, o escala geogrfica.
Es decir, los protocolos TCP/IP tratan todas las redes de igual manera, independientemente del soporte fsico subyacente. Una LAN como puede ser Ethernet, una WAN
como el backbone ANSNET, o un enlace punto a punto entre dos mquinas cuenta cada
una como una nica red.
Para alguien no acostumbrado a la arquitectura Internet puede encontrar algo difcil

aceptar tal visin de las redes de una manera tan simple. El concepto de red que TCP/IP
define es algo abstracto que oculta los detalles de las redes fsicas, hecho que hace a
TCP/IP extremadamente potente.
10.4 EL MODELO INTERNET TCP/IP

La segunda arquitectura de red ms importante no surgi de ningn organismo internacional de normalizacin y no es un estndar "de iure", pero si lo es "de facto".
Surgi de la investigacin de grupos privados y fue implantndose en todos los hosts que
actualmente pertenecen a lo que se denomina la Internet, sin menosprecio de mencionar
la gran cantidad de redes privadas que usan TCP/IP.
La arquitectura TCP/IP se basa en una visin de las comunicaciones de datos que

involucra tres agentes: procesos, hosts y redes
Las comunicaciones se realizan en torno a stos tres agentes en cuatro capas o niveles
relativamente independientes que se apoyan sobre un quinto nivel o hardware
Pg. 5 2
SEREM FORMACIN
El Nivel de Aplicacin
Contiene las aplicaciones de programas de servicio de la red. Cada aplicacin
elige del nivel de inferior el estilo de transporte que necesita, bien una secuencia
de mensajes individuales o una cadena continua de bytes (streams)
El Nivel de Transporte
Tiene como misin principal el proporcionar la comunicacin entre un programa de
aplicacin y otro. Dicha comunicacin se conoce como "extremo a extremo" ("endto-end").
El nivel de transporte puede proporcionar un transporte fiable, asegurando que los
datos llegan sin error y en secuencia. La forma en que lo realiza es por medio de
"reconocimientos" (acknowledgments) y retransmisin de los paquetes perdidos.
Algunas veces ste nivel segmenta los streams del nivel superior en trozos ms
pequeos llamados paquetes y los enva al nivel inferior junto con su cabecera.
El Nivel Internet
Tiene como funcin encaminar paquetes entre distintas redes fsicas. Este nivel
est incluido tanto en los hosts como en los routers o gateways IP. Este nivel encapsula el paquete del nivel superior en un datagrama IP, rellena la cabecera que
aade al paquete, utiliza el algoritmo de routing para determinar si debe de enviar
el datagrama directamente o enviarlo a un router, y pasa el datagrama a la interfaz
de red apropiado para su transmisin.
Entre sus funciones tambin se encuentra el hacerse cargo de los datagrama
entrantes, comprobando su validez, y usar el algoritmo de routing para decidir si dicho datagrama debe de ser procesado locamente o reenviado ("forwarding").
Si el datagrama debe de ser procesado locamente, ste nivel quita la cabecera del
correspondiente nivel de la mquina remota, y elige un protocolo de nivel superior
al que enviarle el paquete.
Por ltimo, ste nivel enva mensajes de ICMP de error y control cuando es necesario y procesa todos los mensajes ICMP entrantes.
Pg. 5 3
SEREM FORMACIN
El Nivel de Interfaz de Red o Nivel de Enlace

Est relacionado con el intercambio de datos entre un host y la red a la cual est
conectado.
El protocolo especfico que se usa en ste nivel depende del tipo de red utilizada.
Para redes de conmutacin de circuitos como por ejemplo X21, para redes de
conmutacin de paquetes como X25, para redes locales como los protocolos IEEE
802, etc. Acepta datagramas IP, pone su cabecera y los transmite a la red en forma
de tramas especficas de red
Puede consistir en un driver de dispositivo (cuando la mquina est directamente
conectado a una LAN) o en un subsistema complejo que usa su propio protocolo
de enlace de datos (por ejemplo: HDLC en redes de conmutacin de paquetes)
10.5 ALGUNOS PROTOCOLOS ESTNDAR TCP/IP

IP proporciona el servicio de envo de paquetes para TCP, UDP y ICMP
TCP est orientado a la conexin (el nico protocolo de toda la pila que lo es), es decir
facilita la transmisin full duplex de cadenas de bytes de un modo fiable.
UDP no es un protocolo fiable al no ser orientado a la conexin (connectionless)
ICMP maneja mensajes de error e informacin de control entre routers y ordenadores.
Sus mensajes son procesados por el sw. de red y no por los procesos de los usuarios
ARP asocia direcciones IP con direcciones fsicas
RARP asocia direcciones fsicas con direcciones IP
Pg. 5 4
SEREM FORMACIN
10.6 DIRECCIONES INTERNET
10.6.1
Identificadores Universales
Un sistema de comunicaciones se dice universal: "si permite a cualquier host comunicarse con cualquier otro", para lo cual se necesita un mtodo universal de identificacin
Los identificadores de hosts se clasifican en: nombres, direcciones y rutas. Schoch

[1978] sugiere que el nombre - identifica lo que es el objeto, la direccin - identifica
donde est el objeto y la ruta - identifica cmo llegar hasta l.
En general la gente prefiere nombres "pronunciables" que identifiquen la mquina,

mientras que el software trabaja mas eficientemente con representaciones compactas de
identificadores que llamamos direcciones.
10.6.2
Clases de direcciones TCP/IP
Internet es una gran red fsica con estructura virtual, el formato y tamao de los paquetes,
las direcciones de los hosts, las tcnicas de entrega de paquetes, etc., son independientes del hardware.
Cada direccin IP consta de 32 bits que codifican tanto a la red como al host conectado a
la misma. Cada direccin IP es un par (netid, hostid)
Clases primarias:
Clase A -----> redes con mas de 2 16 hosts (65.536)
Clase B -----> redes con mas de 2 8 y menos de 2 16 hosts
Clase C -----> redes con menos de 2 8 hosts (256)
Pg. 5 5
SEREM FORMACIN
Puesto que los routers usan la parte netid de la direccin IP para decidir donde enviar el
paquete, dependen de la eficiencia de la extraccin para conseguir una velocidad alta.
Una de las mayores ventajas de codificar en direcciones IP es el encaminamiento
eficiente
Los routers y los hosts IP "multi-homed" poseen mas de una direccin IP. Cada direccin
IP corresponde a una de las conexiones de la maquina a la red (interfaz).
10.6.3
Direcciones de Broadcast y de Red
Otra ventaja de codificar en direcciones IP, es que stas pueden referirse tanto a redes
como a hosts. Por convencin un hostid = 0 codifica la red en si misma (ejemplo:
192.1.1.0)
Tercera ventaja significativa: incluye una direccin de "broadcast" para referirse a todos
los hosts de una red. Aunque no todas las redes soportan el broadcast.
La direccin de broadcast se obtiene a partir de la mscara de red. Segn el estndar

una direccin de broadcast tiene un hostid con todos los bits a 1.
El formato por defecto es: NUMERO DE RED + TODO 1s, aunque en versiones BSD 4.2
y ULTRIX 32 anterior a la versin 1.2 todos los 1s deben de ser cambiados por 0s.
Ejemplo:
Direccin IP: 128.50.100.100
Mscara de red: 255.2555.0.0
Direccin de broadcast: 128.50.255.255
Formalmente la direccin de broadcast estndar se obtiene de la siguiente manera, la

primera se refiere al estndar, la segunda a la versin de Berkeley citada:
1) DIRECCION BROADCAST = NOT (MASCARA RED) (DIRECCION IP)
Pg. 5 6
SEREM FORMACIN
2) DIRECCION BROADCAST = (MASCARA DE RED) (DIRECCION IP)
10.6.4
Broadcast limitado y broadcast directo
El broadcast anteriormente descrito se denomina "directo" porque contiene tanto un

netid valido, como un hostid de broadcast. El broadcast directo permite a un sistema
remoto enviar un paquete que ser difundido en la red especificada por el netid. La
desventaja se encuentra en que se requiere conocer la direccin de la red
La direccin del "broadcast limitado" proporciona una direccin de broadcast para la

red local, independiente de la direccin IP asignada. La direccin de broadcast limitado
consta de 32 bits 1
Uno de los usos del broadcast limitado es cuando un host para conocer su direccin IP
propia, en el procedimiento de arranque hace un polling al resto de los hosts. Una vez que
conoce su direccin debe utilizar el broadcast directo.
10.6.5
Interpretacin de 1s y 0s
Un campo con todo 1s puede ser interpretado como "todos", el ejemplo: "todos hosts" en
una red al hacer broadcasting. En cambio, internet en general interpreta un campo todo a
0s como "este".
Una direccin IP con hostid = 0 se refiere a "este" host, y una direccin internet con un
valor de netid = 0 se refiere a "esta" red
El usar netid = 0 es especialmente til cuando un host que no conoce su direccin IP

quiere comunicarse por la red con otro host.
Pg. 5 7
SEREM FORMACIN
10.6.6
Inconvenientes en el direccionamiento IP
Si una maquina cambia su ubicacin de una red a otra, su direccin IP debe cambiar.
Esto es un gran inconveniente para la gente que viaja con porttiles o para instalaciones
temporales como parte de una red
Cuando una red de clase C crece a mas de 255 hosts, la clase debe de cambiar, con la
perdida de tiempo que conlleva el proceso
El camino que toman los paquetes que se dirigen a un host con mas de una direccin IP,
depende de la direccin usada. No es suficiente con conocer tan solo una de las
direcciones IP en un host "multi-homed"
10.6.7
Notacin decimal punteada
Normalmente las direcciones IP se escriben como 4 enteros decimales separados por

puntos decimales (por ejemplo: 10000000 00001010 00000010 00011110, se escribe
128.10.2.30). Muchas funciones en UNIX utilizan esta notacin: NETSTAT, TELNET, FTP
y otras.
Clase
Direccin inferior
Direccin superior
0.1.0.0
126.0.0.0
128.0.0.0
191.255.0.0
192.0.1.0
223.255.255.0
224.0.0.0
239.255.255.255
240.0.0.0
247.255.255.255
La direccin de "loopback" nunca debe de aparecer por la red. Cuando un programa

utiliza la direccin de loopback como destino, el software del ordenador devuelve los
datos sin enviar por la red. La 127 realmente no es una direccin de red
Pg. 5 8
SEREM FORMACIN
El esquema de direccionamiento internet expuesto en este tema se encuentra especificado en "Reynolds and Postel" [rfc 1700] y para mas informacin en "Stahl, Romano
and Decker" [rfc 1117]
10.6.8
IANA e INTERNIC
Para asegurar la unicidad de una direccin internet, esta debe de ser asignada por una
autoridad central "IANA" (Internet Assigned Number Authority) tiene la ultima palabra en la
asignacin de nmeros, adems de dictar la poltica a seguir en un futuro
Cuando una organizacin se une a internet puede obtener la direccin del "INTERNIC"
(Internet Network Information Center). Una vez que la organizacin obtiene el prefijo de su
red, se van asignando los nmeros segn la poltica de sta sin depender del organismo
central, por ejemplo: IBM tiene asignada la 9.0.0.0 (clase A) y AT&T la 12.0.0.0 (clase A)
INTERNIC normalmente otorga la clase C. Aunque la red sea privada, es muy recomendable, en prevencin de una conexin futura, pedir el prefijo a INTERNIC. La forma de
contactar: mailserv@ds.internic.net
10.7 EXTENSIONES DE DIRECCION DE SUBRED Y SUPER

RED
10.7.1
Minimizacin de los nmeros de red
En principio el esquema de direccionamiento original de IP parece muy bueno, pero tiene

un pequeo punto dbil: el imprevisible crecimiento desmesurado de la red.
Pg. 5 9
SEREM FORMACIN
Cuando se cre TCP/IP, el entorno en el que se trabajaba era de grandes mainframes y

los diseadores previeron una internet con cientos de redes y cientos de hosts.
Lo que no pudieron prever fue el auge espectacular que tuvo la red a partir de los ltimos
aos 80. Crecieron decenas de cientos de redes pequeas muy rpidamente.
El tamao de la red se ha duplicado cada aproximadamente 9 meses. Esto conlleva una

serie de cosas importantes a tener en cuenta.
1. Se requiere un trabajo adicional para gestionar las grandes cantidades de nmeros de
red distintos. Segundo, las tablas de routing aumentan considerablemente al aumentar
el nmero de redes. Tercero, el espacio de direcciones tarde o temprano terminar
agotndose.
2. Es importante saber que a mayor tamao de tabla de routing, mayor informacin de
control viajar por la red creando una disminucin en el trfico de datos de las
aplicaciones que utiliza el usuario. Adems el tiempo de proceso de los routers ser
bastante mayor.
3. El tercer problema es crucial porque el esquema original de direcciones es
insuficiente: Por ejemplo el nmero de clases B que quedan por asignar donde se
encuadran las redes de tipo medio, en la actualidad es muy bajo.
Por lo tanto la pregunta que surge es: "Cmo es posible minimizar el nmero de
direcciones de red asignadas, especialmente de clase B, sin destruir el esquema de
direccionamiento original?".
La solucin mas obvia es compartir el mismo prefijo de red IP por varias redes
fsicamente diferentes. Para minimizar el nmero de direcciones B se pueden usar en su
lugar clases C.
Pg. 6 0
SEREM FORMACIN
Por supuesto se deben de modificar los procedimientos de routing y todas las mquinas
conectadas a la red deben de tener conocimiento de ello a travs de las tablas de routing
y de sus ficheros de configuracin.
La idea de compartir una direccin de red entre mltiples redes no es nueva y ha

conducido a varios caminos posibles, uno de ellos es la creacin de subredes IP
10.7.2
Direccionamiento de subred
La tcnica usada para permitir que una nica direccin de red pueda ser utilizada por
varias direcciones fsicas es el direccionamiento de subred, encaminamiento, routing de
subred, o "subnetting"
El subnetting es las mas usada de las tcnicas porque es la mas general y porque ha sido
estandarizada. De hecho el subnetting es una parte del direccionamiento de IP. Es decir
de la porcin de direccin IP que corresponde a la identificacin del host, se toma una
parte para el nmero de subred.
En realidad la direccin IP se divide en dos, una porcin internet y otra de mbito local
(identificador de subred si existe e identificador de host).
El resultado es una forma de direccionamiento jerrquico. Su ventaja es que es flexible al

crecimiento puesto que un router no tiene porqu conocer tantos detalles de los destinos
remotos como lo hace de los locales. La desventaja de la estructura jerrquica es que una
vez establecida es difcil cambiarla por otra.
Pg. 6 1
SEREM FORMACIN
10.7.3
Implementacin de subredes con mscaras
La forma de indicar el nmero de bits que van a ser asignados a la direccin IP es por
medio de la mscara de red.
Es sencillo, la mscara tendr tantos 1s como bits de direccin internet y bits asignados a
la subred. La colocacin de stos bits 1 en la mscara de subred ser la misma que los
bits de la direccin IP que se acaban de mencionar.
Por ejemplo, la mscara por defecto (sin subred) de una clase B sern 16 bits 1 seguido
por 16 bits cero (11111111
11111111
00000000
0000000)
Si en una direccin de clase B decidimos tener 8 bits para las subredes y otros 8 para los
posibles hosts existentes en cada subred, la mscara obtenida ser la siguiente:
11111111
11111111
11111111
0000000
Es interesante saber que la mscara de subred no exige que el nmero de bits 1 sean
contiguos, usando por ejemplo los 8 bits para la subred podramos de forma diferente a la
anterior establecer la siguiente mscara de subred: 11111111 11111111 10100011
1110010
No es muy recomendable que los bits sean no contiguos porque la asignacin de

direcciones de red y la comprensin de las tablas de routing pueden ser engaosas.
10.7.4
Representacin de la mscara de subred
El representar las mscaras de red en binario produce errores y es incmodo para los
humanos, por lo que la mayora del software permite representaciones alternativas.
Pg. 6 2
SEREM FORMACIN
La notacin decimal tambin se usa para la representacin de las mscaras de subred y

funciona mejor cuando se elige una representacin de subnetting con lmites de octetos.
Por ejemplo en una instalacin con clase B, la mscara de subred sera la 255.255.255.0,
haciendo fcil su escritura y comprensin.
A lo largo de la literatura de Internet tambin existen ejemplos de direcciones de subred y

mscaras de subred representadas en un conjunto de tres elementos separados por
comas y entre llaves: {<nmero de red>, <nmero de subred>, <nmero de host>}.
En sta representacin el valor -1 significa "todo unos". Por ejemplo, si la mscara de

subred par una clase B es 255.255.255.0, puede escribirse {-1,-1,0}.
La principal desventaja de sta representacin es que no especifica exactamente se usan

para cada direccin.
La ventaja es la abstraccin de los detalles de los campos de bits y enfatiza los valores de
las tres partes de la direccin.
Un ejemplo para ver que algunas veces los valores son mas importantes que los campos
de bits, considrese el conjunto de tres elementos: {128.10,-1,0}, que denota una
direccin de red 128.10, todo 1s en el campo de subred y todo 0s en el campo del host.
Expresar el mismo valor de direccin usando otras representaciones requiere una

direccin IP de 32 bits y una mscara de 32 bits, y fuerza a los lectores a decodificar los
campos de bits antes de que puedan deducir los valores individuales de los campos.
Adems esta representacin es independiente de la direccin IP o del tamao del campo
de la subred.
En general puede expresarse para representar conjuntos de direcciones o ideas

abstractas, por ejemplo: {<nmero de red>,-1,-1}, denota "direcciones con un nmero
Pg. 6 3
SEREM FORMACIN
vlido de red, un campo de subred con todo a 1s y un campo de host tambin con todo a
1s" (direccin de broadcast).
10.7.5
Mantenimiento de mascaras de subred
Cuando los responsables de la red planifican su instalacin deben de considerar cosas

como el tamao de las redes, nmero de redes fsicas, crecimiento esperado y facilidad
de mantenimiento.
Las dificultades comienzan cuando se utilizan mscaras de red no uniformes dando una
mayor flexibilidad a la red, aunque con sto se consigue que sean posibles asignaciones
que conduzcan a rutas ambiguas. O incluso peor, permiten asignaciones que llegan a ser
invlidas si se aaden mas hosts a las redes.
Con todo sto parece claro que es recomendable seguir polticas conservadoras a la hora
de elegir mscaras de subred. Tpicamente se seleccionan bits contiguos para la
direccin de subred y se utiliza la misma particin (es decir la misma mscara) para
todas las redes fsicas restantes. Por ejemplo, muchas instalaciones utilizan un octeto de
subred cuando la clase es la B.
10.7.6
Broadcast a subredes
El broadcast es mas difcil en la arquitectura de subred. En el esquema estndar todo 1s

en la parte del host de la direccin IP denotaba broadcast a todos los hosts de la red
especificada.
Desde el punto de vista del observador exterior a la subred, el broadcast a una subred
tambin tiene sentido.
Pg. 6 4
SEREM FORMACIN
La direccin {red, -1,-1} significa "entrega una copia a todas las mquinas que tengan red
como su direccin de red, incluso si estn en redes fsicas separadas".
Operacionalmente, el broadcast tiene sentido si los routers que interconectan las

subredes permiten propagar el datagrama a todas las redes fsicas
Dentro de un conjunto de subredes, es posible hacer un broadcast a una subred

especfica. La direccin de broadcast sera: {red, subred,-1}
10.7.7
Direccionamiento de super red (Supernetting)
El direccionamiento de subred se invent al principio de los 80 como ayuda a la

conservacin del espacio de direcciones IP. Antes de 1993, ya era evidente que el
subnetting no solucionara el rpido crecimiento de la red y con ello la falta de espacio de
direcciones IP.
Se ha desarrollado para tal fin entre otros una nueva versin de protocolo IP, el IP versin
6 (IPv6). Sin embargo como solucin a corto plazo hasta la estandarizacin e
implantacin definitiva, se busco una nueva solucin, el supernetting.
El esquema del supernetting es el opuesto al del direccionamiento de subred. En vez de

usar una nica direccin de red IP para mltiples redes fsicas de una organizacin
determinada, el supernetting permite el uso de muchas direcciones de red IP para una
misma organizacin.
Para entender porqu se adopt el supernetting, es necesario conocer tres hechos.

1. IP no divide las direcciones de red en clases por igual. Se pueden asignar menos de
17 centenas de nmeros con clase B, existen mas de 2 millones de nmeros de red
con clase C.
Pg. 6 5
SEREM FORMACIN
2. Las peticiones de clases C han sido muy pocas, por lo que se han asignado un
pequeo porcentaje del total.
3. Al ritmo que se estaban asignando las direcciones de clase B se hubieran acabado en
unos pocos aos. El problema lleg a ser conocido como el problema ROADS
(Running Out of ADdress Space).
Si se considera una organizacin de tamao medio que est conectada a la Internet, sta
preferir utilizar una clase B a una clase C puesto que el nmero de mquinas que puede
poner en cada red fsica es mayor, adems tiene un espacio apropiado para el
subnetting.
Para conservar las pocas direcciones de clase B existentes, el esquema de supernetting

asigna a una organizacin un bloque de direcciones de clase B en vez de un sola de clase
B.
El bloque debe de ser suficientemente grande como para numerar todas las redes que la
organizacin conecte a la Internet.
Por ejemplo supngase que una organizacin pide una direccin de clase B para as
poder utilizar un octeto para el subnetting. En vez de una nica clase B, el supernetting
asigna a la organizacin un bloque de 256 nmeros de clase C que la organizacin puede
luego asignar a sus redes fsicas.
Principalmente el esquema del supernetting se cre orientado a los proveedores de

servicio de la red Internet, de tal forma que fueran stos los que controlasen las
asignaciones del bloque de direcciones de clase C que daban a sus clientes.
login remoto y telnet
Pg. 6 6
SEREM FORMACIN
10.7.8
Protocolo TELNET
El conjunto de protocolos TCP/IP incluye un sencillo protocolo de terminal remoto

denominado TELNET (emula un terminal local con todas sus funciones). Sigue el modelo
cliente-servidor.
TELNET permite a un usuario en una mquina A establecer una conexin TCP con un
servidor de login en otra mquina B. El servicio es transparente puesto que da la
apariencia que el teclado del usuario y la pantalla estn directamente conectados a la
mquina remota
Aunque TELNET no es tan sofisticado como otros protocolos de terminal remoto, se

encuentra disponible en todas las mquinas TCP/IP.
Normalmente el software de cliente TELNET permite al usuario especificar una mquina

remota mediante su direccin IP o mediante su nombre de dominio.
TELNET ofrece tres servicios:

1. Define un terminal virtual de red (NVT) que proporciona una interfaz estndar a
sistemas remotos. Los programas cliente no tienen que entender los detalles de todos
los sistemas remotos posibles, sino que estn construidos para entender la interfaz
estndar.
2. Incluye un mecanismo que permite al cliente y al servidor negociar opciones, y
proporciona un conjunto de opciones estndar (por ejemplo: una de las opciones
controla si los datos que pasan a travs de la conexin utilizan el conjunto de
caracteres ASCII de 7 bits estndar o el conjunto de caracteres de 8 bits).
3. Trata ambos finales de la conexin simtricamente. En particular, TELNET no obliga al
cliente a mostrar la salida en pantalla. Por lo tanto, TELNET permite a un programa
arbitrario ser un cliente. Adems cualquiera de los dos finales puede negociar las
opciones.
Pg. 6 7
SEREM FORMACIN
La siguiente figura muestra como los programas de aplicacin implementan un cliente y

un servidor TELNET
cliente lee
del terminal
cliente
TELNET
servidor recibe del cliente
cliente enva al
servidor
Sistema OPerativo
servidor
TELNET
Sistema Operativo
Workstation
servidor enva
al pseudo terminal
dispositivo de E/S
del usuario
TCP/IP Internet
Las lneas muestran el camino de datos que se sigue en una sesin de terminal remoto
TELNET desde el teclado del usuario al sistema operativo remoto. El aadir un servidor
TELNET a un sistema de tiempo compartido normalmente requiere modificar dicho
sistema operativo.
Como muestra la figura, cuando un usuario invoca TELNET, un programa de aplicacin en

la mquina del usuario se convierte en el cliente. El cliente establece una conexin TCP
con el servidor con el que se va a comunicar.
Una vez que la conexin ha sido establecida el cliente acepta secuencias de caracteres
desde el teclado del usuario y las enva al servidor, mientras que concurrentemente acepta
caracteres que el servidor enva de vuelta y las muestra en pantalla del usuario.
Pg. 6 8
SEREM FORMACIN
El servidor debe aceptar una conexin TCP del cliente y luego retransmitir los datos entre
la conexin TCP y el sistema operativo local.
En la prctica el servidor TELNET es mucho mas complejo de lo que muestra la figura

porque debe de manejar mltiples peticiones simultneamente.
Se utiliza el trmino pseudo terminal
para describir el punto de entrada al sistema
operativo que permite a un programa en ejecucin como el servidor TELNET transferir

caracteres al sistema operativo como si proviniesen del teclado.
Es imposible construir un servidor TELNET a menos que el sistema operativo proporcione

dicha facilidad. Si el sistema operativo soporta la abstraccin de pseudo terminal, el
servidor TELNET puede ser implementado con programas de aplicacin.
El hecho de que el servidor TELNET sea un programa del nivel de aplicacin tiene
ventajas e inconvenientes. La ventaja mas obvia es que puede es posible realizar
modificaciones y control del servidor mas fcilmente que con cdigo incluido en el
sistema operativo. La desventaja es la ineficiencia.
Otras caractersticas del protocolo TELNET:

El servidor TELNET tiene una puerta preestablecida (23) aunque pueden crearse
nuevas puertas.
Se establece un canal por sesin
Permite enviar caracteres de control especiales al servidor, para lo cual van
precedidos de un byte todo a 1s.
Utiliza la capacidad de envo fuera de banda.
La negociacin de las opciones es totalmente simtrica.
Pg. 6 9
SEREM FORMACIN
10.7.9
Rlogin (UNIX BSD)
Los sistemas operativo derivados del BSD UNIX incluyen un servicio de login remoto
mediante el programa rlogin que da servicio a los trusted hosts .
Permite a los administradores de sistemas elegir un conjunto de mquinas en las cuales

se comparten protecciones de accesos a ficheros y a nombres de usuarios y se
establecen equivalencias de logins de usuario.
Los usuarios pueden controlar los accesos a sus cuentas desde mquinas remotas. En
funcin del host y del login. Por lo que es posible que un usuario con nombre de login X en
una mquina pueda acceder a otra en la que el nombre de login sea Y sin tener que volver
a introducir la password.
Una variante del comando rlogin es rsh . Este invoca un intrprete de comandos en la
mquina UNIX remota y pasa los argumentos de la lnea de comandos al intrprete de
comandos, saltndose el paso de login por completo. La sintaxis de ste comando es:
% rsh mquina comando
10.8 TRANSFERENCIA Y ACCESO A FICHEROS (FTP, TFTP,

NFS)
10.8.1
FTP, protocolo de transferencia de ficheros TCP/IP
La transferencia de ficheros ese encuentra entre las aplicaciones TCP/IP mas

frecuentemente utilizadas.
Antes de que TCP/IP estuviese operativo ya existan protocolos de transferencia de

ficheros para la ARPANET. Estas versiones de software de transferencia de ficheros
Pg. 7 0
SEREM FORMACIN
iniciales evolucionaron al estndar actual conocido como el Protocolo de Transferencia

de Ficheros (FTP).
FTP ofrece las siguientes posibilidades:
Posibilita la transmisin de ficheros de texto y binarios entre dos mquinas
Posibilita una gestin bsica de ficheros y directorios (copiar, borrar, renombrar, etc.)
Seguridad de acceso mediante LOGIN y PASSWORD
Acceso interactivo (proporciona a los humanos el interactuar con los servidores

remotos de ficheros)
FTP permite al cliente especificar el tipo y formato de los datos almacenados.
Como otros servidores la mayora de las implementaciones de FTP permiten el acceso

concurrente a mltiples clientes. Los clientes utilizan TCP para conectarse al servidor
(FTP utiliza TCP para intercambiar informacin de control y datos).
FTP dispone de un conjunto estndar de comandos que permiten establecer la conexin,

manipular ficheros y directorios, definir el tipo de transferencia, etc. Los comandos se
suelen abreviar con tres o cuatro caracteres (GET, MODE, MKD, ...).
Las respuestas estn formadas por un cdigo numrico de tres dgitos y una cadena de
caracteres (por ejemplo: 200 PORT COMMAND OKAY)
10.8.2
Visin de FTP por el usuario
Los usuarios ven FTP como un sistema interactivo. Una vez invocado, el cliente ejecuta
las siguientes operaciones repetidamente: leer una lnea de entrada, analizar la lnea para
extraer un comando y sus argumentos, y ejecutar el comando con los argumentos
especificados.
Pg. 7 1
SEREM FORMACIN
10.8.3
FTP annimo
La autorizacin de acceso necesaria para ejecutar FTP en una mquina remota prohiben
a un cliente arbitrario acceder a los ficheros de esa mquina y le obligan a obtener un
login y una password.
Para proporcionar acceso a ficheros pblicos, muchas mquinas TCP/IP permiten el FTP
annimo. El acceso FTP annimo implica que un cliente no necesita una cuenta o
password. En su lugar, el usuario especifica como login anonymous y password
guest.
El servidor permite logins annimos pero restringe los accesos a los ficheros pblicos del
sistema. En muchos sistemas UNIX el servidor crea un pequeo sistema de ficheros
pblico (p. ej. : /usr/ftp).
10.8.4
TFTP
Aunque FTP es el protocolo de transferencia de ficheros mas general en el conjunto de

protocolos TCP/IP, tambin es el mas complejo y difcil de programar.
Muchas aplicaciones no necesitan toda la funcionalidad que FTP ofrece. Por ejemplo FTP
requiere que los clientes y servidores manejen varias sesiones simultneas TCP, algo que
puede ser difcil o imposible para los ordenadores personales que no tienen sistemas
operativos sofisticados.
TCP/IP contiene un segundo protocolo de transferencia de ficheros que proporciona un

servicio barato y nada sofisticado. Se conoce como TFTP (Trivial File Transfer
protocol), y se utiliza para aplicaciones que no necesitan interacciones complejas entre
cliente y servidor.
Pg. 7 2
SEREM FORMACIN
TFTP restringe las operaciones sencillas operaciones de transferencia de ficheros y no

proporciona autenticacin.
A diferencia de FTP, TFTP:
No dispone de seguridad de acceso (ni login, ni password)
Utiliza UDP en lugar de TCP para transmitir la informacin (a diferencia de FTP no

necesita un sistema fiable de entrega de paquetes, utiliza timeout y retransmisin)
No permite sesiones concurrentes desde una mquina a otra
Es un protocolo mucho mas sencillo y cuyo cdigo ocupa mucho menos espacio que FTP.
Es utilizado frecuentemente en mquinas que no poseen disco, en el proceso de
arranque, para ello los fabricantes pueden codificar TFTP en ROM y as obtener la imagen
inicial de memoria cuando la mquina arranca. El programa en ROM se denomina
bootstrap.
La parte emisora transmite un fichero en bloques de longitud fija (bloques de 512 bytes) y
espera un ACK para cada bloque antes de enviar el siguiente. El receptor reconoce cada
bloque bajo recibo.
Las reglas para TFTP son sencillas. El primer paquete enviado pide una transferencia de
fichero y establece una comunicacin entre el cliente y el servidor. En el paquete se
especifica un nombre de fichero y si el fichero va a ser ledo (transferido al cliente) o
escrito (transferido al servidor).
Los bloques se numeran consecutivamente comenzando en 1. Cada paquete de datos

contiene una cabecera que especifica el nmero del bloque que lleva, y cada ACK
contiene el nmero de bloque reconocido. Un bloque de menos de 512 bytes seala el fin
del fichero.
Pg. 7 3
SEREM FORMACIN
10.8.5
NFS
NFS (Network File System) fue inicialmente desarrollado por SUN Microsystems.
Proporciona un acceso on-line a ficheros compartidos que es transparente e integrado.
Muchas mquinas TCP/IP utilizan NFS para interconectar los sistemas de ficheros de sus
ordenadores.
Desde el punto de vista del usuario, NFS es casi invisible, los nombres de los ficheros no
indican si son locales o remotos y el usuario puede integrar cualquier fichero en sus
aplicaciones.
El mecanismo de acceso al fichero acepta la peticin y automticamente lo pasa al

sistema de ficheros local o al cliente de NFS dependiendo de si el fichero se encuentra en
un disco de la mquina local o remota.
Pg. 7 4
SEREM FORMACIN
11. CONOCIMIENTOS BASICOS DE

SEGURIDAD UNIX
11.1 FUNDAMENTOS DE SEGURIDAD

Un ordenador es seguro cuando se puede depender de l, y su software se comporta tal
y como se espera
La seguridad abarca tres grandes reas:
Secreto: Proteger la informacin de revelar algo no autorizado.
Integridad: Proteger la informacin de modificacin no autorizada o destruccin.
Disponibilidad o continuidad de servicio: Preservar el ordenador de interrupciones el

100% del tiempo
11.1.1
Seguridad y Unix
"UNIX no fue diseado desde el principio para ser un sistema especialmente seguro sino
con las caractersticas necesarias para hacer a la seguridad servible" (Dennis Ritchie)
Durante sus 15 primeros aos UNIX fue utilizado en entornos entonces seguros como
eran las universidades y empresas industriales
Casi todos los fallos que se han encontrado en UNIX a lo largo de los aos se han debido
a programas individuales, o a interacciones entre ellos y no en conceptos bsicos UNIX
Pg. 7 5
SEREM FORMACIN
Desdichadamente, a causa de su diseo, una nica fisura en un programa del sistema

puede comprometer la seguridad del sistema operativo completo
11.1.2
Seguridad o funcionalidad?
Es mas difcil de conseguir un sistema seguro que un sistema que trabaje correctamente,
comparemos ambos tipos de errores de forma resumida.
Errores de funcionalidad:
Raramente son fatales para la operacin global del sistema
Tienden a ser localizados con funciones especficas del sistema
Errores de seguridad:
Un error cualquiera puede ser fatal para la seguridad de todo el sistema
Los intrusos no intentan evitarlos sino que los provocan an conocedores de ello
Tienden a afectar al funcionamiento del sistema en su totalidad
11.1.3
Seguridad externa
Los controles de la seguridad externa se dividen en tres clases principalmente:

q
Seguridad fsica - Espacios acristalados, cerraduras, guardias de seguridad, etc.
Seguridad personal - Comprobaciones de chequeo personal, tests de polgrafo,

chequeos electromagnticos, evaluaciones mdicas, etc.
Seguridad por procedimiento - Se trata de controlar varios factores:

1. El acceso humano y de mquinas
2. La entrada y salida electrnica y fsica
3. La administracin diaria del sistema
Pg. 7 6
SEREM FORMACIN
11.1.4
Seguridad interna
Los controles de la seguridad interna protegen la informacin de las amenazas contra el

sistema. Se dividen en dos categoras:
1. Los responsables de mantener la seguridad del sistema
2. El resto
Componentes de la seguridad interna:
El personal encargado (administradores del sistema, red y seguridad, y operadores)
El sistema operativo
Los ficheros y procesos del sistema
El hardware de seguridad (ordenadores con llave, cajas blindadas, etc. )
Los soportes de la informacin (cintas, discos pticos y otros medios)
11.1.5
Concepto de "trust"
Es el grado de confianza depositado en los diferentes elementos internos y externos al

sistema. Tpicamente existen dos figuras: la del usuario "trust" y la del sistema "trust". Es
criterio del Administrador del sistema o del administrador de seguridad el dar el carcter
de "trust" a un usuario a un sistema.
Usuario trust
Los usuarios deben de ser "Trustworthy" (Fiables)
Los sistemas no pueden proteger los datos de un usuario que los quiera revelar.
Identificacin - proceso de verificar que el usuario es quien dice que l es.
Tipos de identificacin del usuario:
Sobre lo que sabe (password, identif. de usuario, etc. )
Sobre lo que tiene (tarjeta de identificacin, tarjeta codificada, etc.)
Sobre lo que es (foto, huella, identificacin de retina, de voz, etc.)
Pg. 7 7
SEREM FORMACIN
Sistema trust
Los programas de ordenador no son completamente fiables
Los sistemas deben de restringir el acceso de incluso los programas de usuarios

confiables.
En cada ordenador de la red existe una tabla que contiene los sistemas y usuarios
"Trustworthy" (Fiables)
En un sistema puede coexistir software de distinta naturaleza que puede ser dividido en
tres categoras:
1. Software fiable: - Responsable de mantener la seguridad en el sistema
2. Software benigno - No es responsable de mantener la seguridad, pero tienen acceso
a informacin delicada
3. Software maligno - Software de origen desconocido, probable que afecte al sistema
11.2 AMENAZAS A UN SISTEMA

Hackers.
Personas dispuestas a burlar la seguridad del sistema o de la red.
Virus
Programas que modifican otros programas en un ordenador, insertando

copias de ellos mismos
Bombas
Cdigo oculto en un programa, que desencadena una indeterminada

reaccin en un momento determinado
Gusanos
Programas que se propagan de ordenador en ordenador en una red, sin

modificar necesariamente otros programas en las mquinas destino
Bacterias
Programas que hacen copias de ellos mismos para sobrecargar el sistema
Puertas traseras
Permiten un acceso no autorizado al sistema
Caballos de Troya
Programas que aparentan tener una funcin, pero que en

realidad tienen otra muy distinta
Pg. 7 8
SEREM FORMACIN
11.3 PROTECCION DE FICHEROS
11.3.1
Mascara de proteccin
La proteccin de ficheros se basa en los valores tomados por cada terna de elementos
(r,w,x) de los parmetros usuario, grupo y otros (u,g,o). Su representacin es en octal
Las protecciones se cambian con chmod, chown, umask, o mediante llamadas al sistema.
Existen adems modos especiales que pueden ser un agujero importante si no son
usados correctamente y con cuidado
1. Modo 1000: a 1 el STICKY bit
2. Modo 2000: a 1 el GROUP ID (GID) bit
3. Modo 4000: a 1 el USER ID (UID) bit
Modo 1000 - el Sticky bit
Usado para programas ejecutados frecuentemente
Guarda espacio de swap de un programa incluso cuando no est siendo

ejecutado
Mejora el tiempo de comienzo de un programa
Se reconoce con una t en el bit de permiso de ejecucin
Modo 2000 - el GID bit
Establece la ID de grupo efectivo igual a la identificacin de grupo del

propietario
Se usa con programas tales como /usr/bin/lpq (visualiza la cola de impresin)
Se conoce con una s en el bit de permiso de ejecucin de grupo
Pg. 7 9
SEREM FORMACIN
Modo 4000 - el UID bit
Establece la ID efectiva de usuario del proceso igual a la identificacin de

usuario del propietario
Necesario para programas tales como /bin/passwd o /bin/mail
Se reconoce con una s en el bit de permiso de ejecucin de usuario
A continuacin se muestra un ejemplo de lo peligroso que puede ser crear una shell con
SUID/SGID (set UID bit / set GID bit)
% su
Password:
# cp /bin/sh mish
# chmod 6755 mish
# ls -l mish
-rwsr-sr-x
root
45056 Sep 21 13:01 mish
# ^D
%
% ls -l seguro
-rw-------
root
63 Sep 19 17:41 seguro
% cat seguro
safe: Permission denied
% mish
$ cat seguro
Este fichero pertenece a root y no puede ser leido por nadie mas
$ ^D
%
Otro gran agujero se crea cuando existen ficheros suid con permiso de escritura. Todo lo
que un intruso necesita hacer es copiar su fichero en el fichero del mismo nombre o
realizar modificaciones sobre el ya existente y convertirlo en peligroso para el sistema
(!!!).
Pg. 8 0
SEREM FORMACIN
11.3.2
Directorios con Sticky bit y UID bit
Solamente el superusuario puede activar el sticky bit de los ficheros del sistema
# chmod mugo fichero
Un usuario puede activar el sticky bit de un directorio que le pertenezca

$ chmod 1754 directory_file
Si el sticky bit esta activado en un directorio, nicamente el propietario del fichero, el

propietario del directorio, o un usuario con los privilegios apropiados puede borrar los
ficheros que pertenecen al directorio
Para localizar todos los directorios de un usuario que contengan el sticky bit podemos
usar "find"
# find / -user usuario -perm 1000 -exec ls -ld {} \ ; | mail root
Si el UID bit esta activado en un directorio, el directorio es oculto
11.3.3
Algunos defectos de proteccin en
ficheros Unix
El acceso de escritura tambin permite el acceso de borrado
No existe proteccin para los errores del superusuario
Bajo nivel en general de detalle de proteccin
No existe mas de una versin para cada fichero
Pg. 8 1
SEREM FORMACIN
11.3.4
Caballos de Troya
Normalmente usan tcnicas de SUID y SGID para perpetrar sus acciones. El objetivo es
normalmente incluir el segmento troyano dentro de un programa o script que va a ser
ejecutado
Los juegos son un medio habitual puesto que es fcil pensar que el usuario este tentado a
probar un juego desconocido
Si un directorio no posee permiso de escritura, el intruso puede crear un fichero dentro de

l y esperar a que el usuario ejecute el fichero
Si adems de no protegido para escritura, el directorio est en el camino por defecto o

"casa" (home) del usuario, ste est mas que preparado para ser atacado por un caballo
de Troya
Los ficheros sin proteccin de escritura estn invitando a la modificacin total o parcial.
11.3.5
Precauciones con el fichero de passwords
Normalmente puede ser ledo por cualquier usuario. Es uno de los primeros lugares donde
mira el intruso
Aparecen en el todos los usuarios, con lo que el intruso tendr una buena informacin
para saber donde se mete
Con tiempo las palabras encriptadas pueden llegar a ser descubiertas
Pg. 8 2
SEREM FORMACIN
11.3.6
Programas mascarada
Simulan ser otro programa cualquiera, por lo general del sistema o de un servicio
Los programas "login" suelen ser un objetivo comn para este tipo de programas
Relativamente fciles de detectar y contra los que protegerse
Normalmente dejan huellas al ser auditados
11.4 PRECAUCIONES CON FICHEROS DE DISPOSITIVOS

UNIX trata los dispositivos como ficheros (discos, drivers, impresoras, consolas,
terminales, memoria principal, etc. ). Esto da a los usuarios y programadores flexibilidad y
potencia y a los responsables de la seguridad dolores de cabeza
Si los bits de la mascara de proteccin de alguno de estos dispositivos esta activada un

intruso puede tener fcil acceso a su informacin
Un objetivo de los Caballos de Troya podra ser eliminar las protecciones a un dispositivo
para ir preparando el camino
11.4.1
Los terminales
El comando stty puede ser usado para cambiar las caractersticas del terminal de otro
usuario.
Los usuarios pueden atacar o espiar los terminales de otros usuarios simplemente
mirando o escribiendo en ellos
Pg. 8 3
SEREM FORMACIN
Es muy difcil conseguir la seguridad en los terminales puesto que estn fuera del
permetro de seguridad. Sin embargo es posible tomar medidas para localizar el peligro
11.5 SEGURIDAD TCP/IP
11.5.1
El fichero /etc/hosts
Fichero ASCII que define los nodos en los cuales tu quieres tener acceso a tu sistema
(deja ser visto desde otros nodos). Contiene: direccin del nodo, nombre del nodo y alias.
Ejemplo:
99.1.0.11 NOSTROMO
nostromo
Cualquier usuario que pertenezca a uno de los nodos puede entrar en tu sistema
introduciendo un nombre y password conocidos o tan solo la password si el nombre del
usuario ya exista
A mayor numero de entradas en este fichero el riesgo aumenta
11.5.2
El fichero /etc/hosts.equiv
Lista de todos los nodos remotos desde donde los usuarios root pueden acceder sin
password (para acceder con root es necesario password). Es necesario que el usuario
tenga creada una cuenta en ambos nodos
Funciona con rsh y rlogin.
Pg. 8 4
SEREM FORMACIN
A mayor numero de entradas en este fichero el riesgo aumenta considerablemente. Es

posible restringir el acceso a todos los usuarios de un nodo explcitamente sin mas que
aadir "-" delante del nombre del nodo
11.5.3
El fichero .rhosts
Suplemento del fichero /etc/hosts.equiv que trabaja como tal pero de forma
individualizada.
No puede eludir los permisos y restricciones de /etc/hosts.equiv
Debe de ser incluido en el directorio raz del usuario en los nodos donde tenga cuenta y
quiera conectarse remotamente
Creado para facilitar la labor de aquellos usuarios que tienen una cuenta en varios nodos
No se deben de tener permisos de escritura de "grupo" o de "otros" habilitados pues

seria una va para un intruso sin mas que modificando el fichero
11.5.4
El comando rlogin
Se usa para acceder remotamente a un nodo

% rlogin nostromo
nostromo>
Usa los siguientes ficheros:

/etc/hosts
/etc/hosts.equiv
.rhosts
Pg. 8 5
SEREM FORMACIN
11.5.5
Programa de Transferencia de Ficheros (FTP)
Permite a los usuarios abrir una conexin con un nodo remoto y transferir ficheros desde y
hacia l
Abierto a cualquier usuario de cualquier nodo conectado a la red, por lo que requiere
autenticacin (nombre de usuario y password)
Puede ser usado para abrir una shell en el nodo remoto
Se habilita introduciendo en el fichero /etc/inetd.conf la siguiente lnea:

ftp stream tcp
11.5.6
nowait /usr/etc/ftpd ftpd
El Programa Trivial de Transferencia de Ficheros (TFTP)
Permite a los usuarios abrir una conexin con un nodo remoto y transferir ficheros desde y
hacia el
%tftp nostromo
tftp >
Est abierto a cualquier usuario de cualquier nodo conectado a la red
No requiere autenticacin !!!
Es una puerta abierta a cualquier nodo remoto
Se habilita introduciendo en el fichero /etc/inetd.conf La siguiente lnea:

tftp dgram udp
nowait
/usr/etc/tftpd tftpd -r /tmp
Pg. 8 6
SEREM FORMACIN
11.5.7
La utilidad NFS (Network File System)
Ejemplos de control de seguridad deficiente:
Permitir acceso de escritura remota
Exportacin indiscriminada de sistemas de ficheros
Consentir el acceso a un superusuario
Exportar incorrectamente sistemas de ficheros
11.6 COMO MEJORAR LA SEGURIDAD EN SISTEMAS UNIX
11.6.1
Seguridad login
Aadiendo un mensaje de advertencia en el prompt del login:
Se anuncia que el sistema no es pblico
Se advierte de la proteccin legal
Se debe de modificar el fichero /etc/gettytab
Es recomendable eliminar cualquier mensaje de bienvenida ("welcome") en el login,

puesto que podra ser entendido como una invitacin abierta a usuarios no autorizados.
Algunos fabricantes han implementado la tecla de acceso seguro (SAK) con lo que se
obtiene un camino de entrada seguro a /etc/getty y as evitar los programas mascarada
La creacin de /etc/nologin evita todas las futuras entradas de usuarios, ste se crea
automticamente cuando se ejecuta /etc/shutdown
Podra llegar a ser necesario inhabilitar el login por una de las siguientes razones:
Mantenimiento del sistema
Pg. 8 7
SEREM FORMACIN
Sistema sobrecargado
Shutdown inminente
Sistema siendo atacado
El usuario al que le es impedido el acceso al sistema se le presentan los contenidos de

/etc/nologin
Es imprescindible tener cuidado con que alguien pueda escribir en /etc/nologin, podra
teclear cat > /etc/nologin y nadie seria capaz de entrar en el sistema desde ese momento
Se debe restringir el acceso como superusuario, para ello:

1. Editar /etc/ttys
2. Aadir la opcin "secure" tan solo a aquellos terminales desde los que se
vaya a poder entrar como superusuario (modos UPGRADE y ENHANCED)
3. Si la seguridad se encuentra en modo BSD no es posible restringir el acceso
por terminal
11.6.2 Lneas generales a seguir en la gestin de cuentas de

usuario
Medidas a tomar cuando un usuario no vaya a necesitar mas el acceso al sistema o
cuentas inactivas (conocidas en UNIX como "dormant accounts")
1.
Incluir un asterisco delante de la password en el fichero /etc/passwd, para

inhabilitar la cuenta
2.
Realizar una copia de sus ficheros
3.
Informar al resto de los usuarios que los ficheros van a ser a ser borrados
4.
Pedir que el usuario que elimine todos sus ficheros y directorios
5.
Cambiar la password
6.
Tomar nota del UID
Pg. 8 8
SEREM FORMACIN
7.
Ejecutar /etc/removeuser para eliminar sus ficheros y directorios en la casa

del usuario
8.
Eliminar toda referencia del usuario en /etc/groups
9.
Borrar o cambiar de propietario todos los ficheros que no hayan sido

eliminados previamente, para hallar su ubicacin:
10. # find / - user UID_antiguo_usuario - print > alert
Recomendaciones sobre passwords:

q
Nunca dejar el fichero de passwords vaco
Nunca revelar la password a otra persona
No anotar las passwords, recordaras
Nunca mandar las passwords por correo o decirlas por telfono
Para un usuario normal, establecer la vida de la password entre 60 y 120 das
Para root establecer la vida del password muy corta
Usar una password diferente para cada cuenta de un nodo
Nunca usar passwords coincidentes con el apellido, matrcula del coche, palabras el
diccionario, etc.
Las passwords largas son mejores, y las "frase-passwords" son excelentes
Usar una mezcla de caracteres minscula y mayscula
Usar caracteres especiales
Crear una password fcil de recordar
Los ficheros de entorno de usuario ".profile (Bourne shell)" y ".login (C-shell)" tambin
son importantes para la seguridad
q
La primera lnea debe de contener la variable PATH con valores "trusted"
La segunda lnea debe de ser "mesg -n" para evitar que se enven mensajes directos
al terminal
La tercera "umask 027" para establecer una mscara de proteccin por defecto
Pg. 8 9
SEREM FORMACIN
11.6.3
Proteccin del sistema de ficheros
Directorios de comandos
q
Deben de pertenecer a root
Solamente root debera de tener permiso de escritura
Es muy importante asegurarse de que todos los comandos son "trusted"
Normalmente poseen la mscara 755
Ficheros especiales
q
Incluidos: memoria principal, terminales, discos, cintas, etc.
Tener acceso a stos ficheros es tener acceso a cualquier cosa que contengan
Solamente root debe de tener permiso de lectura
Ficheros de cuentas de usuario

q
Ficheros tipo "log"
Ficheros de red
11.6.4 Lneas generales para montar un sistema de ficheros

La opcin "-o" de los comandos "/bin/mount" ofrece tres opciones relaccionadas con la
seguridad
q
nodev
Deniega el acceso a cualquier fichero de dispositivo en el
sistema que est siendo montado

q
nosuid
Deniega al usuario la posibilidad de ejecutar setuid y getuid
en el sistema de ficheros que est siendo montado

q
noexec
Deniega al usuario la posibilidad de ejecutar ficheros binarios
en el sistema de ficheros que est siendo montado
Usar "nodev" cuando se monte un sistema de ficheros distinto de que comienza en la raz.
Pg. 9 0
SEREM FORMACIN
Usar "nosuid" y "nodev" cuando se monte un sistema de ficheros distinto de que comienza
en la raz y adems sea de usuario
Usar "noexec" y "nodev" cuando se monte un sistema de ficheros que no vaya a contener
ejecutables
Estas opciones se modifican en "/etc/fstab"

/dev/ra2e:/usr/public:rw:1:5:ufs:nodev,nosuid:
11.6.5
Montaje de sistemas de ficheros no "trusted"
Ejecutar /etc/fsck en el sistema importado
Crear un punto de anclaje del sistema de ficheros al que solamente tenga acceso root
Montarlo con las opciones nosuid y nodev
Comprobar todos los ficheros ejecutables existentes
11.6.6 Recomendaciones para restringir el acceso a TCP/IP

El acceso a TCP/IP es controlado mediante 4 ficheros
q
/etc/hosts (lista de nodos para los cuales ste nodo es visible)
/etc/hosts.equiv (lista de todos los nodos que son "trusted" al nodo)
.rhosts (suplemento personal del fichero anterior)
/etc/inetd ("Demonio" de la B.D. de configuracin de Internet)
/etc/hosts.equiv es un fichero muy peligroso, por lo que debera de estar vaco
No usar los ficheros .rhosts, Ya que son de usuario y deberan de estar siendo
monitorizados continuamente
Pg. 9 1
SEREM FORMACIN
/etc/hosts debe de tener acceso de escritura tan solo para root
Comprobar frecuentemente /etc/hosts
Si es posible eliminar telnet, ftp, tftp o rlogin. Para ello se debe acceder a /etc/inetd.conf
Y eliminar la lnea correspondiente.
Pg. 9 2

Unix Administracion Solaris

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Unix Administracion Solaris

Загружено:

Авторское право:

Доступные форматы

Cliente: LUCENT TECHNOLOGIES

Manual De Unix Solaris

Cliente: LUCENT TECHNOLOGIES

1.1 POR QU UNIX?

GENERICO: Se pueden desarrollar y ejecutar todo tipo de aplicaciones.

POTENTE: Es multiusuario y multiproceso. Tiene un conjunto de funciones y utilidades

Programa que controla los recursos del ordenador y los asigna

Manual De Unix Solaris

Cliente: LUCENT TECHNOLOGIES

Programa que interpreta los comandos tecleados por un

Editores, compiladores, procesadores de texto (vi, ed), filtros

1.3 RESPONSABILIDADES DEL ADMINISTRADOR DEL

Manual De Unix Solaris

Cliente: LUCENT TECHNOLOGIES

2.1 USO DE LA HERRAMIENTA DE ADMINISTRACION

Ficheros de la base de datos del sistema

Otras mquinas (Hosts)

2.1.1 Inicializacin del entorno OpenWindows

1. Conectarse como superusuario

Manual De Unix Solaris

Cliente: LUCENT TECHNOLOGIES

3. Aadir los directorios /usr/openwin, /usr/sbin, y /sbin al valor de la variable PATH de

2.1.2 Arranque de Admintool

2.1.3 Carga de la Base de Datos Group

1. Seleccionar Group de la lista.

2.1.4 Creacin de una nueva entrada

Manual De Unix Solaris

Cliente: LUCENT TECHNOLOGIES

2.1.5 Creacin de un nuevo grupo

2.1.6 Arranque del gestor de Cuentas de Usuario

2.1.7 Acceso al a ventana de Creacin de Ususario

1. Seleccionar la opcin Add User del men Edit

2.1.8 Creacin de un nuevo usuario

1. Especificar los valores de identificacin de usuario para las siguientes variables.

Manual De Unix Solaris

Cliente: LUCENT TECHNOLOGIES

a. Utilizar el nombre propio como nombre de usuario

Inexistente hasta la primera

La cuenta no tendr contrasea y el usuario deber

introducir una contrasea la primera vez que

La cuenta est bloqueada y el usuario no podr

Sin contrasea, slo setuid

Esta curenta nopermite conectarse a ella, pero

Permite al administrador poner una contrasea

1. Especificar los valores de seguridad de la cuenta para las variables mostradas.

Pulsar el cuadro Create Home Dir para crear el directorio de acceso de

Manual De Unix Solaris

Especificar la variable PATH como /export/home/ nomber_usuario

Cliente: LUCENT TECHNOLOGIES

Introducir el nombre del sistema propio como servidor

Introducir /etc/skel como Skeleton Path

No pulsar sobre el cuadro AutoHome Setup

Cambiar los permisos de acceso seleccionados en los cuadros adecuados.

1. Pulsar Add para crear la cuenta de usuario

2.1.9 Verificacin de la nueva cuenta

2.2 EL FICHERO /etc/passwd

Manual De Unix Solaris

Cliente: LUCENT TECHNOLOGIES

Sus campos son los siguientes:

La x en el campo de la contrasea ocupa el mismo lugar dnde se pona la contrasea

2.3 EL FICHERO /etc/group

Sus campos son los siguientes:

Cuando hay mas de un usuario se utilizan coas para separarlos.

Manual De Unix Solaris