Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Учебное пособие 1262

.pdf
Скачиваний:
3
Добавлен:
30.04.2022
Размер:
921.59 Кб
Скачать

ФГБОУ ВПО «Воронежский государственный технический университет»

Кафедра систем информационной безопасности

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

к лабораторным работам № 1–4 по дисциплине «Основы построения защищённых компьютерных сетей»

для студентов специальности 090301 «Компьютерная безопасность» очной формы обучения

Воронеж 2014

Составитель канд. техн. наук В.Н. Деревянко

УДК 681.326 Методические указания к лабораторным работам № 1–4

по дисциплине «Основы построения защищённых компьютерных сетей» для студентов специальности 090301 «Компьютерная безопасность» очной формы обучения / ФГБОУ ВПО «Воронежский государственный технический университет»; сост. В.Н. Деревянко. Воронеж, 2014. 39 с.

В методических указаниях изложен порядок выполнения заданий при проведении практических занятий и пояснения по их выполнению по курсам «Основы построения защищённых компьютерных сетей» для студентов специальности 090301 «Компьютерная безопасность». В результате выполнения этих работ студенты получают практические навыки по администрированию сетей на основе Windows и UNIX (LINUX).

Методические указания подготовлены в электронном виде в текстовом редакторе MS Word 2013 и содержатся в файле Деревянко_ЛР_ОПЗКС_1-4.pdf.

Табл. 1. Ил. 1. Библиогр.: 14 назв.

Рецензент д-р техн. наук, проф. А.Г. Остапенко

Ответственный за выпуск зав. кафедрой д-р техн. наук, проф. А.Г. Остапенко

Издаётся по решению редакционно-издательского совета Воронежского государственного технического университета

© ФГБОУ ВПО «Воронежский государственный технический университет», 2014

Лабораторная работа №1 Особенности применения сетевых файловых систем

Цель работы изучение и практическая отработка действий с сетевыми файловыми системами и действий по администрированию UNIX-подобных систем.

Теоретические сведения

Пользователь получает доступ к программам и данным (и к аппаратным устройствам) посредством файлов

Корневой узел дерева каталогов всегда обозначается символом «/» (этим символом обозначается корневой каталог). Unix определяет местоположение любого файла по отношению к корневому каталогу (/).

Дополнительные диски и разделы диска присоединяются к файловой системе в точке монтирования. Точка монтирования — это название каталога на основном диске, в котором находится корневой раздел. Например, если пользователь имеет компьютер под управлением Unix, то можно поместить рабочий каталог пользователя, например, /home/users/rab, на собственном компьютере пользователя, а потом смонтировать этот каталог на всех других компьютерах. Таким образом, пользователь может начинать работу на любом компьютере и пользоваться всегда одним и тем же рабочим каталогом. Для этого необходима сетевая файловая система NFS.

Для работы с файловой системой Unix совместно с файловой системой MS DOS/Windows необходимо учитывать следующие рекомендации и указания:

1.в обеих файловых системах используются символы «.» и «..» для обозначения текущего и вышестоящего каталогов соответственно;

2.в системе Unix имя пути файла разделяется символом «/». В MS DOS для этой цели используется символ «\»;

3.в системе Unix различаются прописные и строчные буквы в именах файлов;

4.файловая система Unix не маркирует различные накопители информации. Дисководы и дополнительные жёсткие диски «смонтированы» на подкаталоги корневого раздела основного жёсткого диска;

5.по сравнению с DOS установки атрибутов файлов в Unix обширнее. DOS поддерживает атрибуты «только чтение», «архивный», «скрытый» и «системный». В Unix права доступа

кфайлам устанавливаются отдельно для владельца файла, группы, к которой принадлежит владелец, и всех остальных пользователей, не относящихся к группе владельца файла;

6.Windows поддерживает пробелы в именах (например, \Program Files), в Unix нельзя использовать пробел в имени файла;

7.не существует ограничений относительно символов, разрешённых в именах файлов системы Unix. Годен любой из символов ASCII, включая символы («*», «?», «.» и т.д.).

Данные файлов запоминаются на диске в области данных. Эта область разбита на логические блоки, выделяющиеся файлам по мере необходимости. В процессе создания файловой системы, в зависимости от предполагаемого её использования, при форматировании раздела можно выбрать размер логического блока.

Применяют несколько основных вариантов. Большие размеры блоков области данных направлены на уменьшение количества обращений к дискам при чтении файла. В то же время, если средний размер файлов вашей системы небольшой, то будет растрачиваться большой объём дискового пространства, поскольку средний размер файлов меньше размера блока.

Обычный размер блоков области данных — 4 или 8 Кбайт (эти стандартные значения приемлемы для большинства целей).

В операционной системе Unix все процессы порождаются системным вызовом fork( ). Процесс, выполняющий вызов fork( ), называется порождающим (родительским) процессом, а возникший в результате процесс называется порождённым (дочерним) процессом. Процесс может иметь много порождённых

2

процессов, но только один порождающий процесс. Каждый процесс идентифицируется и отличается от других своим PID (process ID — идентификатор процесса). Другим важным понятием является понятие владения. Система Unix не только многозадачная, но и многопользовательская, поэтому механизм управления правами доступа ориентирован на пользователя. Этот подход справедлив и для выполняемых процессов. UID (User ID — идентификатор пользователя) процесса и связанные с ним права доступа показывают, кто из пользователей является владельцем выполняемого процесса и каким процессам позволено посылать сигналы данному процессу.

Для просмотра состояния системы используется команда ps. Команда ps даёт мгновенный снимок текущих выполняемых процессов. Можно использовать команду ps для определения, например, тех процессов, которые тормозят систему, или для выяснения того, что вообще делает система.

В ОС Unix используется методология извещения о ка- ком-либо событии с помощью сигналов. Сигналы ОС Unix — это средство, с помощью которого ядро или другой внешний процесс извещают процесс о каком-то событии и приказывают ему выполнять в ответ некоторое действие. Стандартными событиями, которые могут вызвать посылку сигнала, являются аппаратные прерывания, в частности ввод с клавиатуры или получение данных с последовательного порта; сбойные ситуации; тайм-ауты; отказ аппаратуры; недействительные инструкции и, кроме того, завершение порождённого процесса.

Определённые типы сигналов могут перехватываться выполняемыми процессами, при этом вместо выполнения стандартных действий они вызывают определяемые пользователем функции обработки сигналов.

Системный администратор должен ознакомиться с самыми важными из сигналов: что они делают, когда появляются и как их использовать при администрировании Unix-системы. Далее подробно описаны некоторые сигналы.

SIGHUP. По умолчанию при получении сигнала об отбое процесс завершается. Дочерний процесс, работающий в

3

фоновом режиме, получает данный сигнал при выходе породившего его процесса, например при выходе из системы. Некоторые процессы - демоны перехватывают данный сигнал до помещения себя в фоновый режим с помощью системного вызова fork() и либо совершенно игнорируют данный сигнал, либо заменяют программу обработки сигнала на другую, выполняющую некоторые административные функции, такие как вывод содержимого памяти на диск или повторное чтение конфигурационных файлов. Примером такого процесса является демон init, который при получении сигнала об отбое перечитывает файл /etc/inittab для обновления информации о конфигурации системы. Можно послать сигнал процессу командой kill.

SIGTERM. Сигнал прекращения работы программы даёт указание о корректном завершении процесса, активизируя встроенные в процесс функции освобождения ресурсов или прекращения работы. Этот сигнал посылается по умолчанию командой kill, если номер сигнала не задан в командной строке;

SIGKILL. Сигнал kill нельзя перехватить и он требует от процесса немедленного выхода. Используемые процессом функции завершения в этом случае не вызываются. Используйте этот сигнал как последнее средство для уничтожения процесса, не отвечающего на сигналы об отбое или прекращении работы. Если команда kill -9 pid не может завершить процесс, то поможет только перезагрузка системы;

SIGSEGV. Сигнал о нарушении сегментации (сигнал

11)появляется, когда процесс пытается получить доступ к памяти, находящейся в несуществующей или недоступной для процесса области адресного пространства. При получении этого сигнала процесс записывает свой образ из памяти на диск (dumps core) и завершается;

SIGBUS. Реакция выполняющегося процесса на сигнал об ошибке шины (bus error) очень похожа на реакцию на сигнал о нарушении сегментации (т. е. запись на диск образа памяти, разгрузка оперативной памяти, аварийный отказ). Хотя SIGBUS иногда вызван аппаратным отказом, чаще его причи-

4

ной является разрушение программного стека из-за неправильного доступа к памяти.

Программы ОС Unix в основном осуществляют вывод данных таким образом, что эти данные передаются другим программам, которые сразу начнут с ними работу; при этом не запоминаются промежуточные результаты во временных файлах. Для перенаправления данных от одного процесса к другому используется конвейер. Например, можно направить выход одной команды в другую, использовав символ конвейера «|»: ls /usr/bin | more

В этой команде длинный вывод команды ls (каталог /usr/bin содержит много файлов) посылается к команде more, которая отображает этот длинный вывод по страницам, помещающимся на экране.

Технологии администрирования в Unix

Даже если администратор единственный пользователь, рекомендуется не использовать учётную запись root в повседневной работе. Основные действия с учётными записями:

добавление записи в файлы паролей системы;

назначение пользователю оболочки;

создание стандартной рабочей среды;

добавление пользователя в группу или группы;

создание рабочего каталога пользователя.

Все учётные записи включаются в отдельные группы, определяемые системным администратором. Группы облегчают совместное использование файлов группой пользователей.

Далее представленынекоторыебазовые сетевыесервисы.NIS/NIS+. Сервис передачи сетевой информации.

Этот протокол даёт возможность централизованно управлять несколькими различными сервисами на многочисленных узлах. Информация, которая чаще всего распространяется по локальной сети с помощью NIS, включает в себя пароли Unix, базу данных имён узлов, почтовые псевдонимы, информацию о группах и порты сетевых сервисов;

5

DNS. Особенность заключается в том, что при управлении сервером доменных имён требуется содержать в порядке файлы базы данных имён узлов домена;

/etc/services. Этотфайл содержит номера портов TCP и UDP для сервисов, доступных через сеть. Время от времени требуется модификация либо добавление записей о сервисах;

HTTP. При работе с Web-сервером требуется обслуживание и управление файлами журналов HTTP-сервера;

электронная почта. Нужно выполнять задачи обслуживания и конфигурирования для обеспечения максимальной эффективности и безопасности;

брандмауэр. Брандмауэр имеет набор правил, которыми необходимо управлять с учётом того, какие сервисы нужно заблокировать при внешнем доступе к системе.

Unix поддерживает много различных типов файловых систем, и в круг обязанностей администратора входит создание разделов на дисках для размещения файловых систем, создание файловых систем и обновление записей в таблице монтирования файловых систем по мере добавления или удаления файловых систем.

Например, ОС МСВС 3.0 поддерживает следующие типы файловых систем:

EXT3 – основная дисковая файловая система;

VFAT, NTFS – дисковые файловые системы ОС се-

мейства Windows;

ISO9660 – файловая система компакт-дисков;

NFS – сетевая файловая система ОС UNIX;

SAMBA – сетевая файловая система, базирующаяся на протоколе SMB, который применяется в ОС

Windows.

Некоторые версии Unix используют файловые системы с ведением журнала (JFS), которые обычно представляют набор утилит, упрощающих управление дисками. В состав этих систем часто входит диспетчер логических томов (LVM), который используется для управления группами томов, логическими томами и файловыми системами.

6

Преимуществами систем, управляемых LVM/JFS, являются конфигурирование дисков и файловых систем и способность к расширению размера смонтированных файловых систем (без перерывов в обслуживании пользователей) в случае правильного их использования.

При высоком объёме информационного обмена, необходимо выполнять мониторинг системы для выделения её узких мест с точки зрения производительности, а также использовать конфигурации оборудования системы.

Существуют утилиты системного администрирования различных фирм (smit фирмы IBM, SAM — HP, admintool и solstice — Sun, linuxconf — Red Hat)

Приведём описание некоторых средств администрирова-

ния.

Средство администрирования linuxconf. фирмы Red Hat для Linux обеспечивает работу в командной строке, графический интерфейс пользователя, а также интерфейс Webбраузера. Утилита позволяет:

просматривать перечень запущенных процессов, использование дисков и памяти, а также файлы системных журналов;

конфигурировать большинство сервисов, включая работу с сетью, управление почтовыми сервисами и учётными записями пользователей;

изменять состояние системы посредством останова и запуска сервисов по мере необходимости.

Управление несколькими системными профилями в linuxconf позволяет автоматически поддерживать набор подробных сценариев, которые будут конфигурировать систему в зависимости от запускаемого профиля.

Большинство современных утилит администрирования позволяют управлять системой из Web-браузера. Одно из таких инструментальных средств распространяется свободно — это пакет Webmin. Вследствие своей модульной структуры она легко наращивается для выполнения специфических для задач.

Webmin поддерживает Unix и Linux, а также Windows.

7

Модель «клиент-сервер»

Модель «клиент-сервер» описывает взаимодействие между приложениями в сети, одни из которых являются клиентами, другие серверами. Клиент передаёт запрос серверу и ожидает ответа. Сервер, получив запрос, обрабатывает его и посылает ответ клиенту. Приложение сервер непрерывно ожидает запросы клиента (режим прослушивания). Приложения, действующие таким образом, называются клиент-серверными приложениями. К примеру, FTP – приложение «клиент-сервер». Со стороны сервера оно представлено демоном ftpd, со стороны клиента – программой ftp.

Приложение сервер обрабатывает запросы клиентов одним из двух способов. Первый из них известен как прямой или итеративный. В этом режиме приложение выполняется непрерывно, прослушивая порт с определённым номером. Когда на порт поступает запрос клиента, сервер обрабатывает этот запрос и передаёт клиенту ответ, затем возобновляет прослушивание. Приложения серверы второго типа именуются непрямыми или параллельными. Непрямой сервер, получив запрос клиента, запускает независимое приложение сервер, предоставляющее запрашиваемую клиентом службу (в зависимости от номера порта).

Именно это приложение занимается обработкой запроса клиента, в то время как основное возобновляет прослушивание запросов. Закончив обработку запроса, второе приложение завершается до следующего вызова непрямым сервером. Примером непрямого сервера является xinetd. Иначе их называют суперсерверами. Эти серверы могут запускать такие приложения,

как FTP или SSH.

8