Академический Документы
Профессиональный Документы
Культура Документы
SEREM FORMACIN
ADMINISTRACION
DE SISTEMAS
SOLARIS 2.x
Pg. 1
http://www.serem.com
SEREM FORMACIN
1. INTRODUCCION A UNIX
1.2 QU ES UNIX?
Programas
de utilidad
Shell
Kernel
Kernel
Pg. 2
http://www.serem.com
SEREM FORMACIN
Shell
Programas de utilidad
PROPORCIONA UN
ENTORNO SEGURO EN
UNA COMUNIDAD UNIX
CONTROLAR EL
ACCESO DE
LOS USUARIOS
AL SISTEMA
RESOLUCION DE
PROBLEMAS
SYSTEM MANAGER
"SUPERUSUARIO"
INSTALAR
SOFTWARE
DEL SISTEMA
OBTENER INFORMACION
DE ACCOUNTING DEL
SISTEMA
MANTENER ARCHIVOS
Pg. 3
http://www.serem.com
SEREM FORMACIN
2. CREACION DE CUENTAS DE
USUARIO
Impresoras
Cuentas de Usuarios
Pg. 4
http://www.serem.com
SEREM FORMACIN
Pg. 5
http://www.serem.com
SEREM FORMACIN
Pg. 6
http://www.serem.com
SEREM FORMACIN
Estado de la Contrasea
Descripcin
conexin
Cuenta bloqueada
Contrasea normal
b.
Pg. 7
http://www.serem.com
SEREM FORMACIN
c.
d.
e.
f.
Localizar la matriz de permisos de lectura, escritura y ejecucin del Propietario, Grupo y Otros. Esta matriz permite al administrador establecer los
permisos del directorio de acceso al usuario.
g.
En la ventana del Command Tool es posible visualizar ste fichero que consiste en varios
registros de una sola lnea. Para separa los campos se utiliza el carcter (:) dos puntos.
Pg. 8
http://www.serem.com
SEREM FORMACIN
El fichero password es de slo lectura para todo el mundo. Slo el SU puede editar ste
fichero. Los usuarios normales pueden modificar parte de la informacin, como su
contrasea o el tipo de shell inicial, usando el comando passwd.
El fichero de grupos consiste en registros de una sola lnea. Para separa los campos se
utiliza el carcter (:) dos puntos.
Pg. 9
http://www.serem.com
SEREM FORMACIN
2.5 EL COMANDO su
El comando su (switch user) se utiliza para trabajar como un usuario diferente sin salir de
la cuenta. Por defecto se cambia a Super Usuario
Sintaxis:
#su [nombre_usuario]
Pg. 1 0
http://www.serem.com
SEREM FORMACIN
3. Mostrar el actual UID, nombre de usuario, GID, y nombre de grupo con el comando id
4. Visualizar los procesos asociados con la ventana actual tecleando el comando ps
5. Salir con exit de la nueva shell
Pg. 1 1
http://www.serem.com
SEREM FORMACIN
3. MANTENIMIENTO DE CUENTAS DE
USUARIO
Las contraseas que no se cambiaron o que permanecen activas una vez que su tiempo
de validez ha finalizado son un peligro para la seguridad. Solaris 2.x provee varios
parmetros para controlar las contraseas que pueden ser activadas utilizando Admintool.
Pg. 1 2
http://www.serem.com
SEREM FORMACIN
Parmetro
Min. Change
Significado
El nmero mnimo de dias requeridos para poder cambiar la
contrasea
Max. Change
Max. Inactive
Expiration Date
Warning
Pg. 1 3
http://www.serem.com
SEREM FORMACIN
Este fichero consiste en registros de una sola lnea. Para separar los campos se utiliza el
carcter (:) dos puntos.
Sintaxis:
Nombre_usuario:contrasea:ult_cambio:min:max:aviso:inactivo:caducidad
Pasos a seguir:
1. Pulsar el icono User Account Manager
2. Seleccionar usuario
3. Seleccionar opcin Modify User del Menu Manager
4. Escoger Account is Locked del men Password
5. Pulsar Apply
6. Verificar que la cuenta est bloqueada visualizndola en /etc/shadow (LK)
Pg. 1 4
http://www.serem.com
SEREM FORMACIN
Sintaxis:
passwd [ -l | -d ] [- f ] [ -n min ] [ -x max ] nombre
passwd -s [ nombre | -a ]
Opciones:
-l
-d
-f
-n min x max
-s
Pg. 1 5
http://www.serem.com
SEREM FORMACIN
-a
Si el valor de la variable CONSOLE est definido como /dev/console, todos los intentos su
correctos para cambiar a superusuario quedan registrados en la consola.
Pg. 1 6
http://www.serem.com
SEREM FORMACIN
El objetivo de la variable PASSLENGTH es especificar una longitud mnima de contrasea para todos los usuarios normales. El comando passwd requiere una longitud superior a
5 caracteres.
Si el valor de PASSREQ est a YES (por defecto) los usuarios con contraseas vacas
ser obligados a introducir una contrasea la prxima vez que se conecten al sistema. Por
otra parte las contraseas vacas estn permitidas.
La variable CONSOLE puede ser utilizada para especificar tres condiciones para la
conexin como superusuario.
Pg. 1 7
http://www.serem.com
SEREM FORMACIN
Si la variable no est definida, no se permite la conexin como SU. (mdem, red, etc.)
Las acciones de rsh y rksh son idnticas a las de sh y ksh con restricciones. A los
usuarios se les impide:
q
Cambiar de directorio
Pg. 1 8
http://www.serem.com
SEREM FORMACIN
El resultado de stas restricciones es que el script .profile ofrece el control sobre las
acciones del usuario ofreciendo un conjunto limitado de comandos y limitando al usuario a
un directorio especificado.
Pg. 1 9
http://www.serem.com
SEREM FORMACIN
Partition tags opcionales que nombran los puntos de montaje estndar de cada una
de las particiones
Partition Flags opcionales que determinan si cada particin se puede grabar y/o
montar
Particin 0
Particin 1
Etiqueta del
disco
Particin 2
Pg. 2 0
http://www.serem.com
SEREM FORMACIN
Tienen tamaos por defecto, por tipo de disco, pero pueden ser alteradas por el
superusuario
Reparticionamiento de disco
Creacin de la interfaz del sistema de ficheros para la nueva particin. (Esta tarea
puede omitirse si se aade una particin de swap adicional)
Desde la utilidad format, el men partition se utiliza para ver y modificar las tablas de
particiones.
Pg. 2 1
http://www.serem.com
SEREM FORMACIN
Para verificar la nueva etiqueta del disco, introducir el comando verify desde el men
principal format
Este comando crea un sistema de ficheros por defecto incluyendo un inodo root, un
directorio lost+found que es utilizado por fsck para comprobar y reparar el sistema de
ficheros.
Pg. 2 2
http://www.serem.com
SEREM FORMACIN
hsfs
pcfs
Pg. 2 3
http://www.serem.com
SEREM FORMACIN
El comando que se utiliza para montar todos los sistemas de ficheros locales cuando el
sistema est en nivel de ejecucin 2 dentro del fichero de comandos MOUNTFSYS, es el
comando mountall l (La opcin l indica los sistemas de ficheros locales)
Para identificar los sistemas de ficheros que han sido montados y las opciones que se
han utilizado en el montaje, teclear el comando mount sin argumentos
El formato del fichero es un registro por lnea, siete campos por registro, con un guin (-)
indicando un valor nulo para un campo.
Pg. 2 4
http://www.serem.com
SEREM FORMACIN
4.5.1 El comando du
El comando du visualiza la cantidad de bloques de disco (de 512 bytes) utilizados por
directorios y ficheros. Sin opciones ni argumentos, el comando du muestra la cantidad de
bloques utilizados por cada subdirectorio del directorio actual y la suma total.
Sintaxis:
# du [ -a] [ -s ] [-k ] [directory ]
Opciones:
-a
-s
-k
Lo muestra en Kilobytes
4.5.2 El comando df
El comando df muestra la informacin de los sistemas de ficheros montados
Sintaxis:
# df [ -k ] [ directory ]
Pg. 2 5
http://www.serem.com
SEREM FORMACIN
Opciones:
-k
Sintaxis:
# quot [ -af ] [filesystem ]
Opciones:
a
f
Pg. 2 6
http://www.serem.com
SEREM FORMACIN
Inodo
Un inodo es la representacin interna de un fichero que contiene informacin
sobre el UID y el GID del propietario, nmero bytes y punteros a los ficheros de
bloques de datos.
Grupos de cilindros
Los anteriores sistemas de ficheros UNIX agrupaban todos sus inodos al principio del sistema de ficheros, seguidos de todos los bloques de datos del sistema de ficheros.Para mejorar el rendimiento, el nuevo sistema de ficheros
UNIX Fat Fast de Berkeley agrupa subconjuntos de inodos y bloques de datos
juntos en cilindros consecutivos llamados grupos de cilindros. El sistema de
ficheros intenta mantener el inodo del fichero y todos sus bloques en el mismo
grupo de cilindro.
Pg. 2 7
http://www.serem.com
SEREM FORMACIN
Superbloques
El superbloque contiene informacin sobre el sistema de ficheros: nmero de
bloques y de grupos de cilindros, el tamao del bloque y de fragmanto, una
descripcin del hardware (derivada de la etiqueta) y el nombre del punto de
montaje.
Dado que el superbloque contiene datos crticos, est duplicado en cada grupo
de cilindros para protegerlo de prdidas accidentales. Esto se hace cuando se
crea el sistema de ficheros. Si un fallo del disco hace que se dae el
superbloque, se acceder a stas copias.
Etiqueta
Bloque de carga inicial
Superbloque
Primer
grupo de
cilindros
Tabla de inodos
Bloques de datos
Segundo
bloque
de
cilindros
Pg. 2 8
http://www.serem.com
SEREM FORMACIN
La desventaja de un tamao de bloque grande es que los ficheros pequeos desaprovechan espacio en disco. Cuando sta perdida se multiplica por muchos ficheros, la
cantidad de espacio desperdiciada puede ser bastante grande.
Un mtodo para aprovechar el espacio en disco perdido es dividir cada bloque de datos
en fragmentos. El fragmento o fragmentos pueden ser asignados en el momento en que el
fichero no ocupa un bloque entero. Los fragmentos no pueden ser mas pequeos que un
sector de disco. Lo habitual es dividir el bloque en ocho fragmentos.
El sistema Solaris 2.x utiliza por defecto un bloque de 8192 bytes y un fragmento de 1024
bytes.
Bloque del Sistema de Ficheros
8192 bytes
1024
bytes
Fragmento
Pg. 2 9
http://www.serem.com
SEREM FORMACIN
Pg. 3 0
http://www.serem.com
SEREM FORMACIN
6. COPIAS SEGURIDAD Y
RECUPERACION
/dev/rmt/xybn
x
BSD)
n
Pg. 3 1
http://www.serem.com
SEREM FORMACIN
Sintaxis:
# ufsdump opciones [ argumentos ] ficheros_a_copiar
Opciones:
0-9
Pg. 3 2
http://www.serem.com
SEREM FORMACIN
Opciones:
t
a fichero
f fichero
Pg. 3 3
http://www.serem.com
SEREM FORMACIN
7. EL PROCESO DE ARRANQUE
Arranque
programa
de
Fase
arranque
Programa
de Arranque
nucleo
Fase /sbin/init
Pg. 3 4
http://www.serem.com
SEREM FORMACIN
Pg. 3 5
http://www.serem.com
SEREM FORMACIN
El entorno Solaris 2.x tiene varios niveles de ejecucin que determinan varios modos de
operacin del sistema.
Nivel de
Funcin
Ejecucin
0
Actualmente no utilizado
S,s
Pg. 3 6
http://www.serem.com
SEREM FORMACIN
El modo multiusuario significa que todos los terminales definidos y demonios (daemons)
se estn ejecutando.
Qu acciones hay que llevar a cabo cuando un nuevo nivel de ejecucin se introduce
en el sistema.
Pg. 3 7
http://www.serem.com
SEREM FORMACIN
Tareas como reemplazar hardware defectuoso o problemas que requieren una parada del
sistema no son facilmente predecibles. Las tareas rutinarias tales como mantenimiento de
los sistemas de ficheros y copias de seguridad (backups) deberan de ser programadas
de modo que los usuarios pudieran planificar su trabajo convenientemente.
Hay diferentes modos de notificar a los usuarios la ineludible parada del sistema:
q
Enviar mensajes a los usuarios que estn conectados al sistema con el comando
wall
Utilizar el fichero /etc/motd (message of the day) para enviar un mensaje a los usuarios
que van a conectarse al sistema durante el tiempo de parada.
Existen varios comandos para cambiar los niveles de ejecucin del sistema.
q
Shutdown
Init
Halt
reboot
Pg. 3 8
http://www.serem.com
SEREM FORMACIN
Opciones:
y
Utilizar sta opcin sirve para continuar la parada sin intervencin.. Si no se usa se
pedir confirmacin
Salir del entorno OpenWindows y cambiar al directorio / (root) antes de utilizar el comando
shutdown (como superusuario).
Pg. 3 9
http://www.serem.com
SEREM FORMACIN
Se debe ser superusuario antes de utilizar el comando init para cambiar los niveles de
ejecucin
Opcin
Accin
Actualmente no utilizado
S,s
Q,q
Pg. 4 0
http://www.serem.com
SEREM FORMACIN
Para identificar el nmero de versin de la PROM del sistema utilizar el comando banner.
Pg. 4 1
http://www.serem.com
SEREM FORMACIN
Sistemas mas antiguos utilizan la vesrsin OBP 1.x, la cual tiene caractersticas y sintaxis
diferentes a la versin de OBP 2.x
Para especificar el dispositivo de arranque en la versin de OBP 2.x, sin utilizar el nombre
de dispositivo fsico, utilizar el comando devalias para identificar posibles dispositivos de
arranque. El alias del nombre del dispositivo se especifica en el lado izquierdo de la
salida. Generalmente disk identifica el dispositivo de arranque por defecto del sistema.
Los nombres de dispositivo en el nivel de la PROM 1.x son especificados con el comando
boot utilizando un formato distinto del anterior.
Pg. 4 2
http://www.serem.com
SEREM FORMACIN
9. MANEJO DE IMPRESORAS
Goto que se utiliza para cambiar el sistema al que pertenecen las impresoras a
visualizar o editar
Pg. 4 3
http://www.serem.com
SEREM FORMACIN
Nombre de Coman-
Descripcin
do
lp
lpstat
cancel
accept
reject
enable
disable
lpmove
lpadmin
Pg. 4 4
http://www.serem.com
SEREM FORMACIN
10.1.1
Los servicios mas populares del nivel de aplicacin son: el correo electrnico, la
transferencia de ficheros y la conexin remota
El correo electrnico TCP/IP permite al usuario componer memos y enviarlos a
individuos o grupos. Otra parte de la aplicacin de correo permite a los usuarios leer
memos que hayan recibido. Es posible inhabilitar la recepcin de mensajes.
Aunque existen muchos sistemas de correo electrnico, el utilizar TCP/IP hace que la
entrega de correo sea ms fiable porque no confa en que lo sistemas intermedios
retransmitan los mensajes de correo. La forma de trabajar es orientada a la conexin.
La transferencia de ficheros TCP/IP permite a los usuarios enviar o recibir grandes
ficheros de programas o datos. El sistema proporciona un modo de comprobar si el
usuario est autorizado e incluso de inhabilitar todos los accesos.
La conexin remota permite a los usuarios establecer una conexin desde su
maquina a otra maquina diferente, estableciendo una sesin interactiva.
Pg. 4 5
http://www.serem.com
SEREM FORMACIN
10.1.2
TCP/IP proporciona dos grandes tipos de servicio que todos los programas de aplicacin
utilizan: el servicio de entrega de paquetes no orientado a la conexin y el servicio de
transporte fiable de "streams" (o cadenas)
10.1.3
Pg. 4 6
http://www.serem.com
SEREM FORMACIN
3. Confirmacin extremo a extremo. Los protocolos TCP/IP proporcionan confirmaciones entre el fuente y el ltimo destino en vez de entre las sucesivas mquinas existentes
a lo largo del camino, incluso cuando las dos mquinas no estn conectadas a una red
fsica comn.
Los resultados de los estudios de los grupos de trabajo e investigacin del IAB, las
propuestas para protocolos nuevos o revisados, as como los protocolos estndar TCP/IP,
se recogen en una serie de informes tcnicos llamados RFCs (Request For Comments). El editor de los RFCs es un miembro del IAB. Los RFCs se numeran secuencialmente en el orden cronolgico en el que se escriben.
Pg. 4 7
http://www.serem.com
SEREM FORMACIN
Inicialmente tambin se publicaron una serie de informes referentes a la Internet denominados IENs (Internet Engineering Notes), ahora en desuso. Alguna informacin que
aparece en los IENs, no aparece en los RFCs.
Tanto los RFCs como los IENs pueden conseguirse a travs del correo electrnico, por
correo habitual, o a travs de la Internet
10.2.1
Por E-MAIL indicar el nmero de RFC en el campo "subject" o una lnea que incluya la
lnea: "send rfcN.txt" y dirigir el correo a: mailserv@ds.internic.net
10.2.2
La pista de estndares
Cada paso adelante en la pista de estndares es propuesto por el IETF y ratificado por el
IAB. Algunos ejemplos de estndares son: SNMP cuyo RFC es el 1157 y STD es el 15,
SMI con RFC 1155 y STD 16, o MIB-II con RFC 1213 y STD 17.
Para llegar a obtener la calificacin de estndar (STD) son necesarios varios requisitos
que aparecen referenciados a continuacin:
(1)
(2)
(3)
(4)
Pg. 4 8
http://www.serem.com
SEREM FORMACIN
(5)
ENTRADA
EXPERIMENTAL
CUMPLE (1) A (4)
PROPUESTO
6 MESES O MAS,
CUMPLE (5)
ESTADOS
TEMPORALES
ESTANDAR
BORRADOR
(DRAFT)
4 MESES O MAS, SE LE
ASIGNA UN NUMERO DE
STD
SE QUEDA
OBSOLETO
ESTANDAR
(STD)
HISTORICO
Pg. 4 9
http://www.serem.com
SEREM FORMACIN
RED 1
ROUTER 1
RED 2
En el caso del dibujo anterior el router conecta las redes 1 y 2. La funcin de R es capturar
los paquetes de la red 1 que vayan dirigidos a la red 2 y transferirlos. De igual manera
debe capturar los paquetes de la red 2 con destino a algn ordenador de la red 1 y
transferirlos.
Los gateways IP o routers IP pueden ser ordenadores muy simples ya que intercambian
paquetes entre redes y no entre mquinas
En una gran red habitualmente los routers necesitan conocer la topologa de las redes
mas all de las cuales a las que se conectan.
Pg. 5 0
http://www.serem.com
SEREM FORMACIN
Los routers IP suelen ser mquinas pequeas, con poco o ningn disco y con una
memoria muy limitada.
Su truco consiste en usar la red destino y no el host destino para encaminar un paquete.
Por lo tanto, la cantidad de informacin que un router necesita guardar es proporcional al
nmero de redes en la internet, no al nmero de ordenadores.
Son los nicos dispositivos que proporcionan conexiones entre las distintas redes fsicas
en una internet TCP/IP.
10.3.1
Adems de los routers, en cada ordenador debe existir un software de acceso a la red
para permitir que las aplicaciones puedan utilizar la internet como si fuera una nica gran
red real.
Las ventajas de ofrecer la interconexin al nivel de red parecen evidentes. Puesto que los
aplicativos que se comunican por la internet no conocen los detalles de la interconexin
fsica, es posible su ejecucin en cualquier mquina de la red sin que el usuario tenga que
preocuparse por la forma en que su informacin es transportada hasta el lugar de destino.
En TCP/IP los aplicativos utilizados son los mismos en todos los nodos independientemente de la tecnologa de red utilizada o de su dimensin.
10.3.2
Pg. 5 1
http://www.serem.com
SEREM FORMACIN
Es decir, los protocolos TCP/IP tratan todas las redes de igual manera, independientemente del soporte fsico subyacente. Una LAN como puede ser Ethernet, una WAN
como el backbone ANSNET, o un enlace punto a punto entre dos mquinas cuenta cada
una como una nica red.
Surgi de la investigacin de grupos privados y fue implantndose en todos los hosts que
actualmente pertenecen a lo que se denomina la Internet, sin menosprecio de mencionar
la gran cantidad de redes privadas que usan TCP/IP.
Las comunicaciones se realizan en torno a stos tres agentes en cuatro capas o niveles
relativamente independientes que se apoyan sobre un quinto nivel o hardware
Pg. 5 2
http://www.serem.com
SEREM FORMACIN
El Nivel de Aplicacin
Contiene las aplicaciones de programas de servicio de la red. Cada aplicacin
elige del nivel de inferior el estilo de transporte que necesita, bien una secuencia
de mensajes individuales o una cadena continua de bytes (streams)
El Nivel de Transporte
Tiene como misin principal el proporcionar la comunicacin entre un programa de
aplicacin y otro. Dicha comunicacin se conoce como "extremo a extremo" ("endto-end").
El nivel de transporte puede proporcionar un transporte fiable, asegurando que los
datos llegan sin error y en secuencia. La forma en que lo realiza es por medio de
"reconocimientos" (acknowledgments) y retransmisin de los paquetes perdidos.
Algunas veces ste nivel segmenta los streams del nivel superior en trozos ms
pequeos llamados paquetes y los enva al nivel inferior junto con su cabecera.
El Nivel Internet
Tiene como funcin encaminar paquetes entre distintas redes fsicas. Este nivel
est incluido tanto en los hosts como en los routers o gateways IP. Este nivel encapsula el paquete del nivel superior en un datagrama IP, rellena la cabecera que
aade al paquete, utiliza el algoritmo de routing para determinar si debe de enviar
el datagrama directamente o enviarlo a un router, y pasa el datagrama a la interfaz
de red apropiado para su transmisin.
Entre sus funciones tambin se encuentra el hacerse cargo de los datagrama
entrantes, comprobando su validez, y usar el algoritmo de routing para decidir si dicho datagrama debe de ser procesado locamente o reenviado ("forwarding").
Si el datagrama debe de ser procesado locamente, ste nivel quita la cabecera del
correspondiente nivel de la mquina remota, y elige un protocolo de nivel superior
al que enviarle el paquete.
Por ltimo, ste nivel enva mensajes de ICMP de error y control cuando es necesario y procesa todos los mensajes ICMP entrantes.
Pg. 5 3
http://www.serem.com
SEREM FORMACIN
Pg. 5 4
http://www.serem.com
SEREM FORMACIN
10.6.1
Identificadores Universales
Un sistema de comunicaciones se dice universal: "si permite a cualquier host comunicarse con cualquier otro", para lo cual se necesita un mtodo universal de identificacin
10.6.2
Internet es una gran red fsica con estructura virtual, el formato y tamao de los paquetes,
las direcciones de los hosts, las tcnicas de entrega de paquetes, etc., son independientes del hardware.
Cada direccin IP consta de 32 bits que codifican tanto a la red como al host conectado a
la misma. Cada direccin IP es un par (netid, hostid)
Clases primarias:
Clase A -----> redes con mas de 2 16 hosts (65.536)
Clase B -----> redes con mas de 2 8 y menos de 2 16 hosts
Clase C -----> redes con menos de 2 8 hosts (256)
Pg. 5 5
http://www.serem.com
SEREM FORMACIN
Puesto que los routers usan la parte netid de la direccin IP para decidir donde enviar el
paquete, dependen de la eficiencia de la extraccin para conseguir una velocidad alta.
Una de las mayores ventajas de codificar en direcciones IP es el encaminamiento
eficiente
Los routers y los hosts IP "multi-homed" poseen mas de una direccin IP. Cada direccin
IP corresponde a una de las conexiones de la maquina a la red (interfaz).
10.6.3
Otra ventaja de codificar en direcciones IP, es que stas pueden referirse tanto a redes
como a hosts. Por convencin un hostid = 0 codifica la red en si misma (ejemplo:
192.1.1.0)
Tercera ventaja significativa: incluye una direccin de "broadcast" para referirse a todos
los hosts de una red. Aunque no todas las redes soportan el broadcast.
El formato por defecto es: NUMERO DE RED + TODO 1s, aunque en versiones BSD 4.2
y ULTRIX 32 anterior a la versin 1.2 todos los 1s deben de ser cambiados por 0s.
Ejemplo:
Direccin IP: 128.50.100.100
Mscara de red: 255.2555.0.0
Direccin de broadcast: 128.50.255.255
Pg. 5 6
http://www.serem.com
SEREM FORMACIN
10.6.4
Uno de los usos del broadcast limitado es cuando un host para conocer su direccin IP
propia, en el procedimiento de arranque hace un polling al resto de los hosts. Una vez que
conoce su direccin debe utilizar el broadcast directo.
10.6.5
Interpretacin de 1s y 0s
Un campo con todo 1s puede ser interpretado como "todos", el ejemplo: "todos hosts" en
una red al hacer broadcasting. En cambio, internet en general interpreta un campo todo a
0s como "este".
Una direccin IP con hostid = 0 se refiere a "este" host, y una direccin internet con un
valor de netid = 0 se refiere a "esta" red
Pg. 5 7
http://www.serem.com
SEREM FORMACIN
10.6.6
Inconvenientes en el direccionamiento IP
Si una maquina cambia su ubicacin de una red a otra, su direccin IP debe cambiar.
Esto es un gran inconveniente para la gente que viaja con porttiles o para instalaciones
temporales como parte de una red
Cuando una red de clase C crece a mas de 255 hosts, la clase debe de cambiar, con la
perdida de tiempo que conlleva el proceso
El camino que toman los paquetes que se dirigen a un host con mas de una direccin IP,
depende de la direccin usada. No es suficiente con conocer tan solo una de las
direcciones IP en un host "multi-homed"
10.6.7
Clase
Direccin inferior
Direccin superior
0.1.0.0
126.0.0.0
128.0.0.0
191.255.0.0
192.0.1.0
223.255.255.0
224.0.0.0
239.255.255.255
240.0.0.0
247.255.255.255
Pg. 5 8
http://www.serem.com
SEREM FORMACIN
El esquema de direccionamiento internet expuesto en este tema se encuentra especificado en "Reynolds and Postel" [rfc 1700] y para mas informacin en "Stahl, Romano
and Decker" [rfc 1117]
10.6.8
IANA e INTERNIC
Para asegurar la unicidad de una direccin internet, esta debe de ser asignada por una
autoridad central "IANA" (Internet Assigned Number Authority) tiene la ultima palabra en la
asignacin de nmeros, adems de dictar la poltica a seguir en un futuro
Cuando una organizacin se une a internet puede obtener la direccin del "INTERNIC"
(Internet Network Information Center). Una vez que la organizacin obtiene el prefijo de su
red, se van asignando los nmeros segn la poltica de sta sin depender del organismo
central, por ejemplo: IBM tiene asignada la 9.0.0.0 (clase A) y AT&T la 12.0.0.0 (clase A)
INTERNIC normalmente otorga la clase C. Aunque la red sea privada, es muy recomendable, en prevencin de una conexin futura, pedir el prefijo a INTERNIC. La forma de
contactar: mailserv@ds.internic.net
10.7.1
Pg. 5 9
http://www.serem.com
SEREM FORMACIN
Lo que no pudieron prever fue el auge espectacular que tuvo la red a partir de los ltimos
aos 80. Crecieron decenas de cientos de redes pequeas muy rpidamente.
Por lo tanto la pregunta que surge es: "Cmo es posible minimizar el nmero de
direcciones de red asignadas, especialmente de clase B, sin destruir el esquema de
direccionamiento original?".
La solucin mas obvia es compartir el mismo prefijo de red IP por varias redes
fsicamente diferentes. Para minimizar el nmero de direcciones B se pueden usar en su
lugar clases C.
Pg. 6 0
http://www.serem.com
SEREM FORMACIN
Por supuesto se deben de modificar los procedimientos de routing y todas las mquinas
conectadas a la red deben de tener conocimiento de ello a travs de las tablas de routing
y de sus ficheros de configuracin.
10.7.2
Direccionamiento de subred
La tcnica usada para permitir que una nica direccin de red pueda ser utilizada por
varias direcciones fsicas es el direccionamiento de subred, encaminamiento, routing de
subred, o "subnetting"
El subnetting es las mas usada de las tcnicas porque es la mas general y porque ha sido
estandarizada. De hecho el subnetting es una parte del direccionamiento de IP. Es decir
de la porcin de direccin IP que corresponde a la identificacin del host, se toma una
parte para el nmero de subred.
En realidad la direccin IP se divide en dos, una porcin internet y otra de mbito local
(identificador de subred si existe e identificador de host).
Pg. 6 1
http://www.serem.com
SEREM FORMACIN
10.7.3
La forma de indicar el nmero de bits que van a ser asignados a la direccin IP es por
medio de la mscara de red.
Es sencillo, la mscara tendr tantos 1s como bits de direccin internet y bits asignados a
la subred. La colocacin de stos bits 1 en la mscara de subred ser la misma que los
bits de la direccin IP que se acaban de mencionar.
Por ejemplo, la mscara por defecto (sin subred) de una clase B sern 16 bits 1 seguido
por 16 bits cero (11111111
11111111
00000000
0000000)
Si en una direccin de clase B decidimos tener 8 bits para las subredes y otros 8 para los
posibles hosts existentes en cada subred, la mscara obtenida ser la siguiente:
11111111
11111111
11111111
0000000
Es interesante saber que la mscara de subred no exige que el nmero de bits 1 sean
contiguos, usando por ejemplo los 8 bits para la subred podramos de forma diferente a la
anterior establecer la siguiente mscara de subred: 11111111 11111111 10100011
1110010
10.7.4
El representar las mscaras de red en binario produce errores y es incmodo para los
humanos, por lo que la mayora del software permite representaciones alternativas.
Pg. 6 2
http://www.serem.com
SEREM FORMACIN
La ventaja es la abstraccin de los detalles de los campos de bits y enfatiza los valores de
las tres partes de la direccin.
Un ejemplo para ver que algunas veces los valores son mas importantes que los campos
de bits, considrese el conjunto de tres elementos: {128.10,-1,0}, que denota una
direccin de red 128.10, todo 1s en el campo de subred y todo 0s en el campo del host.
Pg. 6 3
http://www.serem.com
SEREM FORMACIN
vlido de red, un campo de subred con todo a 1s y un campo de host tambin con todo a
1s" (direccin de broadcast).
10.7.5
Las dificultades comienzan cuando se utilizan mscaras de red no uniformes dando una
mayor flexibilidad a la red, aunque con sto se consigue que sean posibles asignaciones
que conduzcan a rutas ambiguas. O incluso peor, permiten asignaciones que llegan a ser
invlidas si se aaden mas hosts a las redes.
Con todo sto parece claro que es recomendable seguir polticas conservadoras a la hora
de elegir mscaras de subred. Tpicamente se seleccionan bits contiguos para la
direccin de subred y se utiliza la misma particin (es decir la misma mscara) para
todas las redes fsicas restantes. Por ejemplo, muchas instalaciones utilizan un octeto de
subred cuando la clase es la B.
10.7.6
Broadcast a subredes
Desde el punto de vista del observador exterior a la subred, el broadcast a una subred
tambin tiene sentido.
Pg. 6 4
http://www.serem.com
SEREM FORMACIN
La direccin {red, -1,-1} significa "entrega una copia a todas las mquinas que tengan red
como su direccin de red, incluso si estn en redes fsicas separadas".
10.7.7
Se ha desarrollado para tal fin entre otros una nueva versin de protocolo IP, el IP versin
6 (IPv6). Sin embargo como solucin a corto plazo hasta la estandarizacin e
implantacin definitiva, se busco una nueva solucin, el supernetting.
Pg. 6 5
http://www.serem.com
SEREM FORMACIN
2. Las peticiones de clases C han sido muy pocas, por lo que se han asignado un
pequeo porcentaje del total.
3. Al ritmo que se estaban asignando las direcciones de clase B se hubieran acabado en
unos pocos aos. El problema lleg a ser conocido como el problema ROADS
(Running Out of ADdress Space).
Si se considera una organizacin de tamao medio que est conectada a la Internet, sta
preferir utilizar una clase B a una clase C puesto que el nmero de mquinas que puede
poner en cada red fsica es mayor, adems tiene un espacio apropiado para el
subnetting.
El bloque debe de ser suficientemente grande como para numerar todas las redes que la
organizacin conecte a la Internet.
Por ejemplo supngase que una organizacin pide una direccin de clase B para as
poder utilizar un octeto para el subnetting. En vez de una nica clase B, el supernetting
asigna a la organizacin un bloque de 256 nmeros de clase C que la organizacin puede
luego asignar a sus redes fsicas.
Pg. 6 6
http://www.serem.com
SEREM FORMACIN
10.7.8
Protocolo TELNET
TELNET permite a un usuario en una mquina A establecer una conexin TCP con un
servidor de login en otra mquina B. El servicio es transparente puesto que da la
apariencia que el teclado del usuario y la pantalla estn directamente conectados a la
mquina remota
Pg. 6 7
http://www.serem.com
SEREM FORMACIN
cliente lee
del terminal
cliente
TELNET
cliente enva al
servidor
Sistema OPerativo
servidor
TELNET
Sistema Operativo
Workstation
servidor enva
al pseudo terminal
dispositivo de E/S
del usuario
TCP/IP Internet
Las lneas muestran el camino de datos que se sigue en una sesin de terminal remoto
TELNET desde el teclado del usuario al sistema operativo remoto. El aadir un servidor
TELNET a un sistema de tiempo compartido normalmente requiere modificar dicho
sistema operativo.
Una vez que la conexin ha sido establecida el cliente acepta secuencias de caracteres
desde el teclado del usuario y las enva al servidor, mientras que concurrentemente acepta
caracteres que el servidor enva de vuelta y las muestra en pantalla del usuario.
Pg. 6 8
http://www.serem.com
SEREM FORMACIN
El servidor debe aceptar una conexin TCP del cliente y luego retransmitir los datos entre
la conexin TCP y el sistema operativo local.
El hecho de que el servidor TELNET sea un programa del nivel de aplicacin tiene
ventajas e inconvenientes. La ventaja mas obvia es que puede es posible realizar
modificaciones y control del servidor mas fcilmente que con cdigo incluido en el
sistema operativo. La desventaja es la ineficiencia.
Pg. 6 9
http://www.serem.com
SEREM FORMACIN
10.7.9
Los sistemas operativo derivados del BSD UNIX incluyen un servicio de login remoto
mediante el programa rlogin que da servicio a los trusted hosts .
Los usuarios pueden controlar los accesos a sus cuentas desde mquinas remotas. En
funcin del host y del login. Por lo que es posible que un usuario con nombre de login X en
una mquina pueda acceder a otra en la que el nombre de login sea Y sin tener que volver
a introducir la password.
Una variante del comando rlogin es rsh . Este invoca un intrprete de comandos en la
mquina UNIX remota y pasa los argumentos de la lnea de comandos al intrprete de
comandos, saltndose el paso de login por completo. La sintaxis de ste comando es:
% rsh mquina comando
10.8.1
Pg. 7 0
http://www.serem.com
SEREM FORMACIN
Posibilita una gestin bsica de ficheros y directorios (copiar, borrar, renombrar, etc.)
Las respuestas estn formadas por un cdigo numrico de tres dgitos y una cadena de
caracteres (por ejemplo: 200 PORT COMMAND OKAY)
10.8.2
Los usuarios ven FTP como un sistema interactivo. Una vez invocado, el cliente ejecuta
las siguientes operaciones repetidamente: leer una lnea de entrada, analizar la lnea para
extraer un comando y sus argumentos, y ejecutar el comando con los argumentos
especificados.
Pg. 7 1
http://www.serem.com
SEREM FORMACIN
10.8.3
FTP annimo
La autorizacin de acceso necesaria para ejecutar FTP en una mquina remota prohiben
a un cliente arbitrario acceder a los ficheros de esa mquina y le obligan a obtener un
login y una password.
Para proporcionar acceso a ficheros pblicos, muchas mquinas TCP/IP permiten el FTP
annimo. El acceso FTP annimo implica que un cliente no necesita una cuenta o
password. En su lugar, el usuario especifica como login anonymous y password
guest.
El servidor permite logins annimos pero restringe los accesos a los ficheros pblicos del
sistema. En muchos sistemas UNIX el servidor crea un pequeo sistema de ficheros
pblico (p. ej. : /usr/ftp).
10.8.4
TFTP
Muchas aplicaciones no necesitan toda la funcionalidad que FTP ofrece. Por ejemplo FTP
requiere que los clientes y servidores manejen varias sesiones simultneas TCP, algo que
puede ser difcil o imposible para los ordenadores personales que no tienen sistemas
operativos sofisticados.
Pg. 7 2
http://www.serem.com
SEREM FORMACIN
Es un protocolo mucho mas sencillo y cuyo cdigo ocupa mucho menos espacio que FTP.
Es utilizado frecuentemente en mquinas que no poseen disco, en el proceso de
arranque, para ello los fabricantes pueden codificar TFTP en ROM y as obtener la imagen
inicial de memoria cuando la mquina arranca. El programa en ROM se denomina
bootstrap.
La parte emisora transmite un fichero en bloques de longitud fija (bloques de 512 bytes) y
espera un ACK para cada bloque antes de enviar el siguiente. El receptor reconoce cada
bloque bajo recibo.
Las reglas para TFTP son sencillas. El primer paquete enviado pide una transferencia de
fichero y establece una comunicacin entre el cliente y el servidor. En el paquete se
especifica un nombre de fichero y si el fichero va a ser ledo (transferido al cliente) o
escrito (transferido al servidor).
Pg. 7 3
http://www.serem.com
SEREM FORMACIN
10.8.5
NFS
NFS (Network File System) fue inicialmente desarrollado por SUN Microsystems.
Proporciona un acceso on-line a ficheros compartidos que es transparente e integrado.
Muchas mquinas TCP/IP utilizan NFS para interconectar los sistemas de ficheros de sus
ordenadores.
Desde el punto de vista del usuario, NFS es casi invisible, los nombres de los ficheros no
indican si son locales o remotos y el usuario puede integrar cualquier fichero en sus
aplicaciones.
Pg. 7 4
http://www.serem.com
SEREM FORMACIN
11.1.1
Seguridad y Unix
"UNIX no fue diseado desde el principio para ser un sistema especialmente seguro sino
con las caractersticas necesarias para hacer a la seguridad servible" (Dennis Ritchie)
Durante sus 15 primeros aos UNIX fue utilizado en entornos entonces seguros como
eran las universidades y empresas industriales
Casi todos los fallos que se han encontrado en UNIX a lo largo de los aos se han debido
a programas individuales, o a interacciones entre ellos y no en conceptos bsicos UNIX
Pg. 7 5
http://www.serem.com
SEREM FORMACIN
11.1.2
Seguridad o funcionalidad?
Es mas difcil de conseguir un sistema seguro que un sistema que trabaje correctamente,
comparemos ambos tipos de errores de forma resumida.
Errores de funcionalidad:
Errores de seguridad:
Los intrusos no intentan evitarlos sino que los provocan an conocedores de ello
11.1.3
Seguridad externa
Pg. 7 6
http://www.serem.com
SEREM FORMACIN
11.1.4
Seguridad interna
El sistema operativo
11.1.5
Concepto de "trust"
Usuario trust
Los sistemas no pueden proteger los datos de un usuario que los quiera revelar.
Pg. 7 7
http://www.serem.com
SEREM FORMACIN
Sistema trust
En cada ordenador de la red existe una tabla que contiene los sistemas y usuarios
"Trustworthy" (Fiables)
En un sistema puede coexistir software de distinta naturaleza que puede ser dividido en
tres categoras:
1. Software fiable: - Responsable de mantener la seguridad en el sistema
2. Software benigno - No es responsable de mantener la seguridad, pero tienen acceso
a informacin delicada
3. Software maligno - Software de origen desconocido, probable que afecte al sistema
Virus
Bombas
Gusanos
Bacterias
Puertas traseras
Caballos de Troya
Pg. 7 8
http://www.serem.com
SEREM FORMACIN
11.3.1
Mascara de proteccin
La proteccin de ficheros se basa en los valores tomados por cada terna de elementos
(r,w,x) de los parmetros usuario, grupo y otros (u,g,o). Su representacin es en octal
Las protecciones se cambian con chmod, chown, umask, o mediante llamadas al sistema.
Existen adems modos especiales que pueden ser un agujero importante si no son
usados correctamente y con cuidado
1. Modo 1000: a 1 el STICKY bit
2. Modo 2000: a 1 el GROUP ID (GID) bit
3. Modo 4000: a 1 el USER ID (UID) bit
Pg. 7 9
http://www.serem.com
SEREM FORMACIN
A continuacin se muestra un ejemplo de lo peligroso que puede ser crear una shell con
SUID/SGID (set UID bit / set GID bit)
% su
Password:
# cp /bin/sh mish
# chmod 6755 mish
# ls -l mish
-rwsr-sr-x
root
# ^D
%
% ls -l seguro
-rw-------
root
% cat seguro
safe: Permission denied
% mish
$ cat seguro
Este fichero pertenece a root y no puede ser leido por nadie mas
$ ^D
%
Otro gran agujero se crea cuando existen ficheros suid con permiso de escritura. Todo lo
que un intruso necesita hacer es copiar su fichero en el fichero del mismo nombre o
realizar modificaciones sobre el ya existente y convertirlo en peligroso para el sistema
(!!!).
Pg. 8 0
http://www.serem.com
SEREM FORMACIN
11.3.2
Solamente el superusuario puede activar el sticky bit de los ficheros del sistema
# chmod mugo fichero
Para localizar todos los directorios de un usuario que contengan el sticky bit podemos
usar "find"
# find / -user usuario -perm 1000 -exec ls -ld {} \ ; | mail root
11.3.3
ficheros Unix
Pg. 8 1
http://www.serem.com
SEREM FORMACIN
11.3.4
Caballos de Troya
Normalmente usan tcnicas de SUID y SGID para perpetrar sus acciones. El objetivo es
normalmente incluir el segmento troyano dentro de un programa o script que va a ser
ejecutado
Los juegos son un medio habitual puesto que es fcil pensar que el usuario este tentado a
probar un juego desconocido
Los ficheros sin proteccin de escritura estn invitando a la modificacin total o parcial.
11.3.5
Normalmente puede ser ledo por cualquier usuario. Es uno de los primeros lugares donde
mira el intruso
Aparecen en el todos los usuarios, con lo que el intruso tendr una buena informacin
para saber donde se mete
Pg. 8 2
http://www.serem.com
SEREM FORMACIN
11.3.6
Programas mascarada
Simulan ser otro programa cualquiera, por lo general del sistema o de un servicio
Los programas "login" suelen ser un objetivo comn para este tipo de programas
Un objetivo de los Caballos de Troya podra ser eliminar las protecciones a un dispositivo
para ir preparando el camino
11.4.1
Los terminales
El comando stty puede ser usado para cambiar las caractersticas del terminal de otro
usuario.
Los usuarios pueden atacar o espiar los terminales de otros usuarios simplemente
mirando o escribiendo en ellos
Pg. 8 3
http://www.serem.com
SEREM FORMACIN
Es muy difcil conseguir la seguridad en los terminales puesto que estn fuera del
permetro de seguridad. Sin embargo es posible tomar medidas para localizar el peligro
11.5.1
El fichero /etc/hosts
Fichero ASCII que define los nodos en los cuales tu quieres tener acceso a tu sistema
(deja ser visto desde otros nodos). Contiene: direccin del nodo, nombre del nodo y alias.
Ejemplo:
99.1.0.11 NOSTROMO
nostromo
Cualquier usuario que pertenezca a uno de los nodos puede entrar en tu sistema
introduciendo un nombre y password conocidos o tan solo la password si el nombre del
usuario ya exista
11.5.2
El fichero /etc/hosts.equiv
Lista de todos los nodos remotos desde donde los usuarios root pueden acceder sin
password (para acceder con root es necesario password). Es necesario que el usuario
tenga creada una cuenta en ambos nodos
Pg. 8 4
http://www.serem.com
SEREM FORMACIN
11.5.3
El fichero .rhosts
Suplemento del fichero /etc/hosts.equiv que trabaja como tal pero de forma
individualizada.
Debe de ser incluido en el directorio raz del usuario en los nodos donde tenga cuenta y
quiera conectarse remotamente
Creado para facilitar la labor de aquellos usuarios que tienen una cuenta en varios nodos
11.5.4
El comando rlogin
Pg. 8 5
http://www.serem.com
SEREM FORMACIN
11.5.5
Permite a los usuarios abrir una conexin con un nodo remoto y transferir ficheros desde y
hacia l
Abierto a cualquier usuario de cualquier nodo conectado a la red, por lo que requiere
autenticacin (nombre de usuario y password)
11.5.6
Permite a los usuarios abrir una conexin con un nodo remoto y transferir ficheros desde y
hacia el
%tftp nostromo
tftp >
nowait
Pg. 8 6
http://www.serem.com
SEREM FORMACIN
11.5.7
11.6.1
Seguridad login
Algunos fabricantes han implementado la tecla de acceso seguro (SAK) con lo que se
obtiene un camino de entrada seguro a /etc/getty y as evitar los programas mascarada
La creacin de /etc/nologin evita todas las futuras entradas de usuarios, ste se crea
automticamente cuando se ejecuta /etc/shutdown
Podra llegar a ser necesario inhabilitar el login por una de las siguientes razones:
Pg. 8 7
http://www.serem.com
SEREM FORMACIN
Sistema sobrecargado
Shutdown inminente
Es imprescindible tener cuidado con que alguien pueda escribir en /etc/nologin, podra
teclear cat > /etc/nologin y nadie seria capaz de entrar en el sistema desde ese momento
2.
3.
Informar al resto de los usuarios que los ficheros van a ser a ser borrados
4.
5.
Cambiar la password
6.
Pg. 8 8
http://www.serem.com
SEREM FORMACIN
7.
8.
9.
Nunca usar passwords coincidentes con el apellido, matrcula del coche, palabras el
diccionario, etc.
Los ficheros de entorno de usuario ".profile (Bourne shell)" y ".login (C-shell)" tambin
son importantes para la seguridad
q
La segunda lnea debe de ser "mesg -n" para evitar que se enven mensajes directos
al terminal
La tercera "umask 027" para establecer una mscara de proteccin por defecto
Pg. 8 9
http://www.serem.com
SEREM FORMACIN
11.6.3
Directorios de comandos
q
Ficheros especiales
q
Tener acceso a stos ficheros es tener acceso a cualquier cosa que contengan
Ficheros de red
nodev
nosuid
noexec
Usar "nodev" cuando se monte un sistema de ficheros distinto de que comienza en la raz.
Pg. 9 0
http://www.serem.com
SEREM FORMACIN
Usar "nosuid" y "nodev" cuando se monte un sistema de ficheros distinto de que comienza
en la raz y adems sea de usuario
Usar "noexec" y "nodev" cuando se monte un sistema de ficheros que no vaya a contener
ejecutables
11.6.5
Crear un punto de anclaje del sistema de ficheros al que solamente tenga acceso root
No usar los ficheros .rhosts, Ya que son de usuario y deberan de estar siendo
monitorizados continuamente
Pg. 9 1
http://www.serem.com
SEREM FORMACIN
Si es posible eliminar telnet, ftp, tftp o rlogin. Para ello se debe acceder a /etc/inetd.conf
Y eliminar la lnea correspondiente.
Pg. 9 2
http://www.serem.com