Temat: Zadania administracyjne w systemie Unix/Linux
System GNU/Linux robi coraz większą karierę na rynku serwerów internetowych. Dzięki Linuksowi możliwe stało się zbudowanie wydajnego, bezpiecznego serwera bez ponoszenia wielkich kosztów na profesjonalne oprogramowanie. Z GNU/Linuksem, każdy właściciel stałego łącza do Internetu ze stałym adresem IP może stać się właścicielem serwera internetowego. Systemy z rodziny Unix/Linux stanowią także doskonałe narzędzie konfiguracji sieci i systemu. Mnogość rozwiązań i zastosowań sieciowych, a także ogromna konfigurowalność wdrożonych rozwiązań czyni z tych systemów idealny produkt dla Administratorów Systemów i Sieci komputerowych.
Podstawą działania każdego komputera działającego w sieci, a więc również i serwera, jest konfiguracja na poziomie jądra systemu. Składa się na nią skonfigurowanie interfejsu sieciowego, ścieżek routowania oraz filtru pakietowego. Ponadto każdy administrator serwera powinien umieć obserwować pracę sieci na najniższym poziomie - warstwie TCP/IP.
Interfejsy sieciowe
Połączenia sieciowe w systemie Linux są dostępne administratorowi pod postacią interfejsów. Każdy interfejs posiada nazwę oraz jeden lub więcej adresów przypisanych do tego interfejsu. Najczęściej spotykane interfejsy sieciowe to:
* lo - loopback
* ethX - połączenia z siecią LAN w standardzie Ethernet
* pppX - połączenia ppp, takie jak połączenia modemowe
Interfejs loopback pozwala na połączenie się z samym sobą za pośrednictwem protokołów IP. Zgodnie ze standardem, przypisany jest mu adres 127.0.0.1. Adres ten wskazuje zawsze na lokalną maszynę oraz nie jest dostępny z innych zsieciowanych maszyn.
Interfejsy ethX są połączeniami z siecią w standardzie Ethernet, obecnie najpopularniejszym standardem budowy sieci LAN - tak popularnym, że mniej obeznani z tematem uważają pojęcia Ethernet i LAN za synonimy. Interfejsów ethernetowych może być w systemie dowolna ilość; numerowane są one w kolejności wykrycia. Do obsługi ethernetu potrzebny jest sterownik do zainstalowanej karty sieciowej obecny w jądrze. W dystrybucyjnych kernelach wystarczy załadować moduł sterownika.
Interfejsy ppp działają przez współdziałanie sterownika ppp w jądrze systemu oraz demona ppp w przestrzeni użytkownika. Urządzenia ppp zazwyczaj wykorzystują do komunikacji złącza szeregowe RS232, choć możliwe jest uruchomienie połączenia PPP przez Ethernet (PPPoE, wykorzystywane przez Neostradę) lub nawet przez połączenie TCP/IP, co pozwala na stworzenie prostej wirtualnej sieci prywatnej.
Ifconfig
Najpopularniejszym narzędziem do zarządzania interfejsami sieciowymi jest z pewnością ifconfig. Pozwala on na sprawdzenie stanu, podnoszenie, wyłączanie oraz ustawianie adresu interfejsu. Wywołany bez parametrów listuje wszystkie zarejestrowane w systemie interfejsy sieciowe
Aby użyć ifconfig do konfiguracji interfejsu, należy wywołać ifconfig z nazwą interfejsu jako pierwszy parametr i poleceniem jako drugi. Najważniejsze polecenia to:
* up - uaktywnienie interfejsu.
* down - wyłączenie interfejsu.
* netmask adres - ustawienie maski podsieci.
* address adres - ustawienie adresu sieciowego interfejsu.
Zazwyczaj nie używa się ifconfig bezpośrednio, częściej wykorzystuje się zależne od dystrybucji programy zarządzające. W większości dystrybucji występują programy ifup i ifdown, które odpowiednio uaktywniają lub wyłączają interfejs sieciowy zgodnie z konfiguracją. W systemie Debian konfiguracja ta zawarta jest w katalogu /etc/network.
Routing
Routing w ogólności to kierowanie ruchem pakietów. Mechanizmy routingu decydują na podstawie rozmaitych czynników, które pakiety powędrują do których interfejsów sieciowych. Najpopularniejszą metodą routingu jest routowanie statyczne, polegające na kierowaniu pakietów do interfejsów sieciowych na podstawie adresu przeznaczenia pakietu. Do zarządzania routingiem statycznym służy polecenie route.
Kiedy pierwszym parametrem route jest add bądź del, zmienia on działanie na dodawanie bądź usuwanie ścieżek routowania. Drugim parametrem powinien być -net, jeśli punktem docelowym jest sieć, bądź -host, jeśli punktem docelowym jest pojedynczy komputer. Trzecim parametrem powinien być adres komputera bądź sieci, do którego ścieżka jest dodawana bądź usuwana.
Iptables
Użytkownik podłączony do sieci rzadko kiedy musi się martwić o przychodzące do niego pakiety. W zupełnie innej sytuacji jest administrator. Z nie zaufanych sieci, takich jak Internet, mogą przybywać pakiety tworzone przez sieciowych włamywaczy, zwanych popularnie (lecz błędnie) hackerami, których celem jest zbadanie struktury sieci bądź przeprowadzenie ataku. Ponadto potrzebne mogą być mechanizmy translacji adresów - NAT, aby zezwolić użytkownikom sieci wewnętrznej na dostęp do Internetu lub umieścić kilka serwerów pod jednym internetowym adresem IP. Potrzebny jest więc mechanizm, który będzie w stanie analizować zawartość pakietów sieciowych i na jej podstawie decydować o losie pakietów. Mechanizm taki nazywa się filtrem pakietowym. System Linux wyposażony jest w filtr netfilter, dostępny dla administratora przez iptables.
Kluczem do poprawnego skonfigurowania filtru pakietowego jest dokładne zrozumienie zasad jego funkcjonowania. Zostaną więc one tutaj dokładnie omówione.
Najmniejszą jednostką konfiguracji filtra pakietowego jest reguła. Zawiera ona zbiór warunków, jakie musi spełniać pakiet, oraz akcję, jaka zostanie wykonana, gdy warunki zostaną spełnione. Pojedyncze reguły grupowane są w łańcuchy. Zbiór łańcuchów natomiast tworzy tabelę. Istnieją trzy tabele, mianowicie:
filter - domyślna tabela, służąca do filtrowania pakietów.
nat - tabela ta jest wywoływana przez pakiety rozpoczynające nowe połączenia, steruje mechanizmem translacji adresów.
mangle - tabela specjalizowana w modyfikacji przepływających pakietów.
Każda z tabel zawiera kilka predefiniowanych łańcuchów oraz łańcuchy zdefiniowane przez administratora. Istnieją następujące predefiniowane łańcuchy:
INPUT - wywoływany dla pakietów przybywających z sieci przeznaczonych dla lokalnej maszyny.
FORWARD - wywoływany dla pakietów routowanych przez lokalną maszynę, lecz pochodzących spoza niej i nie przeznaczonych dla niej.
OUTPUT - wywoływany dla pakietów tworzonych lokalnie i wychodzących poza maszynę.
PREROUTING - wywoływany dla pakietów z zewnątrz jeszcze przed ich routowaniem.
POSTROUTING - wywoływany dla pakietów, które właśnie opuszczają maszynę.
Różne tabele dysponują różnymi wbudowanymi łańcuchami. Tabela filter zawiera łańcuchy INPUT, FORWARD i OUTPUT. Warte zauważenia jest, że (w przeciwieństwie do występującego w kernelach 2.2 ipchains) pakiet może znaleźć się w tylko jednym z tych trzech łańcuchów. Tabela nat zawiera łańcuchy PREROUTING, OUTPUT i POSTROUTING. Natomiast tabela mangle zawiera wszystkie rodzaje wbudowanych łańcuchów.
Każdy pakiet rozpoczyna swoją podróż przez filtr pakietowy w jednym z predefiniowanych łańcuchów. Łańcuch skanowany jest od góry do dołu w poszukiwaniu reguł, które będą odpowiadać sprawdzanemu pakietowi. Po napotkaniu takiej reguły, wykonywana jest jej akcja. Pozostała część łańcucha nie jest już skanowana. Wyjątkiem jest przypadek, gdy wywołany zostanie łańcuch zdefiniowany przez administratora zakończony akcją RETURN. Skanowanie rozpocznie się wtedy od kolejnej reguły od tej, która wywołała przeskok do łańcucha administratora. Jeśli pakiet opuszcza łańcuch bez wykonania żadnej akcji, wykonywana jest akcja domyślna (chain policy).
Nmap
Czasami występuje potrzeba przeskanowania dostępności pewnej usługi na jednej maszynie lub grupie maszyn, na przykład w celu sprawdzenia działania reguł firewalla czy przetestowania maszyn klientów na obecność popularnych trojanów. Do wykonania tego idealny jest nmap - profesjonalny skaner sieciowy.
Nmap posiada kilka metod skanowania o różnym poziomie skuteczności i wykrywalności. Jako parametry do wywołania nmapa należy podać adresy maszyn przeznaczonych do skanowania. Można podawać adresy domenowe, adresy IP bądź zakresy adresów IP, takie jak 192.168.0.1-254. Za pomocą dodatkowych opcji można zmienić domyślne zachowanie skanera.
Tcpdump
W diagnozowaniu problemów z połączeniami bardzo przydatna jest możliwość wglądu w dokładną zawartość przesyłanych pakietów sieciowych. Zdecydowanie najlepszym narzędziem ogólnego przeznaczenia do przechwytywania pakietów jest tcpdump.
Najważniejsze opcje przyjmowane przez tcpdumpa to:
-i interfejs - przechwytuj pakiety z wybranego interfejsu. Można użyć 'all' - pakiety będą wtedy przechwytywane ze wszystkich interfejsów, jednak nie zostanie włączony tryb promiscuous (w trybie promiscous przechwytywane są wszystkie pakiety przybywające do interfejsu, nawet te, które nie są dla niego przeznaczone).
-n - nie konwertuj adresów do nazw. Przydatne, jeśli chce się uniknąć opóźnień związanych z zapytaniami DNS.
-p - nie ustawiaj trybu promiscuous na interfejsie. Jeśli interfejs jest już w trybie promiscuous, nie zostanie on wyłączony.
-s rozmiar - przechwytuj co najwyżej rozmiar bajtów z każdego pakietu. Domyślnie 68. Jeśli ważna jest zawartość pakietów, należy ustawić rozmiar jako 0, co spowoduje, że przechwytywane będą całe pakiety.
-x - wydrukuj zawartość pakietów w systemie heksadecymalnym.
-X - drukuj również reprezentację ASCII zawartości pakietów.
Iptraf
Często potrzebne jest administratorowi narzędzie, które pozwala ocenić statystycznie ilość i rodzaj transmitowanych pakietów. Prostym programem, który zapewnia taką funkcjonalność, jest iptraf.
Po uruchomieniu iptraf ukazuje się menu, które pozwala wybrać jedną z funkcji programu. Funkcje te to:
IP traffic monitor - w tym trybie iptraf śledzi połączenia IP. Dla każdego z połączeń podawana jest ilość przesłanych pakietów oraz bajtów, rozmiar pakietów, host i port źródłowy i przeznaczenia oraz flagi TCP.
General interface statistics - w tym trybie iptraf podaje ilość przesłanych pakietów oraz prędkość transmisji dla każdego interfejsu.
Detailed interface statistics - ten tryb dostarcza dokładnych statystyk na temat pracy pojedynczego interfejsu. Pośród podawanych informacji znajduje się ilosc przesyłanych pakietów i bajtów na sekundę oraz ilość przesłanych bajtów i pakietów w protokołach TCP, UDP i ICMP.
Statistical breakdowns - dokonuje sprawdzenia statystycznego rozkładu używanego rozmiaru pakietów bądź analizuje ilość przesyłanych pakietów TCP i UDP w zależności od numeru portu.
LAN station monitor - użyteczne w sieciach standardu Ethernet. Analizuje ilość i prędkość przesyłu bajtów i pakietów od poszczególnych maszyn w obrębie sieci lokalnej.
Jeśli nie chcesz poddawać analizie całego ruchu, możesz zdefiniować filtry, które mogą odrzucać pakiety na podstawie protokołu, adresu bądź portu. Filtry są wykorzystywane w sekcjach IP traffic monitor, statystykach interfejsów oraz statystykach portów TCP/UDP.
Bibliografia:
Linux w sieci - Autor: Adam Podstawczyński
Linux. Serwery. Bezpieczeństwo Autor: Michael D. Bauer
Zasoby internetowe: www.linux.pl
5