Администрирование Linux Лекция 4.1 Настройка сети (практика) Иртегов Д.В. Новосибирский гос. Университет 2014

Минимальная информация, необходимая для настройки IP Ваш адрес Маска вашей подсети Роутер по умолчанию (default router) Имя вашего хоста Список DNS серверов Домен поиска по умолчанию (не обязательно)

Инструменты для диагностики ping – шлет ICMP ECHO traceroute – шлет ICMP ECHO или TCP SYN с ограниченным TTL tcptraceroute – TCP SYN с ограниченным TTL host – разрешает имя хоста по hosts/dns/другим механизмам nslookup – диагностика DNS

Сетевые интерфейсы Ethernet/WiFi –Появляются при загрузке драйвера, обычно при загрузке ОС или при hot-plug устройства –«Не устройства»: не являются ни символьными, ни блочными устройствами и не имеют файла в /dev Этим Линукс отличается от традиционных юниксов (System V, BSD) –Список устройств видно в файле /proc/net/dev –Ethernet называются eth[0-9], WiFi – wlan[0-9]

Сетевые интерфейсы PPP и туннели –Интерфейс поднимается userland-демоном pppd после настройки соединения –Физический порт, который используется для соединения с модемом (COM, LPT, USB, eth) сетевым интерфейсом не является

Способы настройки сети в CentOS ifconfig, ip –Теряется при перезагрузке Network Manager –GUI –Удобен на ноутбуках (можно быстро подключиться к WiFi или чужой сети) –На серверах скорее вреден, чем бесполезен Скрипты /etc/sysconfig/network-scripts –Предпочтительно на серверах –Есть утилиты для конфигурации /etc/resolv.conf – настройки DNS

ifconfig, ip, dhclient /sbin/ifconfig - В RHeL 6 считается устаревшим –Без параметров – список интерфейсов –ifconfig eth0 команда параметры –ifconfig eth /24 up –ifconfig eth0 address netmask /sbin/ip – управляет интерфейсами, таблицами маршрутизации, политиками –ip link show – список интерфейсов –ip address show – список интерфейсов с IP адресами –ip address add /24 dev eth0 –ip route add default dev eth0 –ip neighbor show – ARP таблица dhclient – скрипт для настройки через dhcp

Упражнение Определите список интерфейсов, их MAC и IP адреса, маску подсети, маршрутизатор по умолчанию

Network Manager

Демонстрация Настройка сети через Network Manager

Упражнение Через Network Manager, настройте –Включение сети при старте системы –Статический IP адрес Не используйте тот же адрес, что раздает DHCP! Если вы неделю не подтверждаете lease, он может раздать тот же адрес другому узлу! Используйте адреса [1-9] –Netmask и default router возьмите те же, что раздает DHCP –Попытайтесь зайти на вашу машину через putty или другой ssh клиент

/etc/sysconfig/network-scripts Исполняются при старте системы из /etc/init.d/network Настройки интерфейсов хранятся в файлах /etc/sysconfig/network-scripts/ifcfg-IF –На самом деле, эти файлы – скрипты, они исполняются командой. (source) –Вставлять туда команды не рекомендуется, они могут выполняться в неожиданные моменты –В этих файлах настраиваются переменные shell Есть инструменты для настройки –system-config-network, system-config-network-tui

ifcfg-eth0 и ifcfg-lo ~]$ cat /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 HWADDR=08:00:27:A9:9A:8D TYPE=Ethernet UUID=64264d27-f0e6-48f4-a038-3cb375af1e22 ONBOOT=no NM_CONTROLLED=yes BOOTPROTO=dhcp ~]$ cat /etc/sysconfig/network-scripts/ifcfg-lo DEVICE=lo IPADDR= NETMASK= NETWORK= # If you're having problems with gated making /8 a martian, # you can change this to something else ( , for example) BROADCAST= ONBOOT=yes NAME=loopback

Параметры в ifcfg-IF BOOTPROTO=none|bootp|dhcp IPADDR=address IPV6INIT=yes|no MACADDR=MAC-48 –Позволяет заменить MAC-адрес интерфейса (у разных адаптеров и драйверов механизм замены разный) NETMASK=mask NM_CONTROLLED=yes|no ONBOOT=yes|no PEERDNS=yes|no –Менять настройки DNS при подъеме этого интерфейса GATEWAY=address –Есть также глобальная настройка в /etc/sysconfig/network

Упражнение Переделать eth0 на управляемый скриптами (NM_CONTROLLED=no) Настроить включение при загрузке Настроить статический адрес и др. параметры, как в предыдущем упражнении Перезагрузиться и убедиться, что сеть у вас есть DNS можно настраивать через PEERDNS и директивы DNS= в ifcfg, а можно через /etc/resolv.conf

ssh(1) Secure SHell RFC 4251 (ssh-2) Основное средство удаленного управления Unix-серверами Клиенты и серверы доступны также для Windows Использует –Порт TCP 22 (настраивается на сервере) –RSA и DSA для аутентификации, –широкий набор шифров с секретным ключом для шифрования сессии

Использование ssh ssh интерактивная сессия shell –Если не задан, использует $USER –Также ssh -l username hostname ssh cmd запускает команду cmd на узле host –ssh server cat file | dd of=file scp file –Есть специальное расширение sftp

Как работает ssh При установке сервер генерирует пару приватный-публичный ключ RSA или DSA Сервер предъявляет публичный ключ при подключении клиента и использует его для согласования сессионного ключа шифрования Клиент записывает публичный ключ в ~/.ssh/known_hosts

Как работает ssh (клиентский ключ) Пользователь может создать свою пару ключей командой ssh-keygen Они размещаются в ~/.ssh/id_dsa и id_dsa.pub Приватный ключ рекомендуется защитить паролем (passphrase) При соединении, клиент предъявляет id_dsa.pub серверу. Если у пользователя на сервере есть соответствующий ключ в ~/.ssh/authorized_keys, сервер примет авторизацию без пароля Для копирования id_dsa.pub есть утилита ssh-copy-id (нужно ввести пароль)

Что еще умеет ssh ssh -X – форвардинг X11 (удаленный запуск графических приложений) ssh -L port:localip:localport – форвард произвольного порта TCP ssh -R remoteport:localip:localport – форвард в обратную сторону ssh –c blowfish-cbc – алгоритм шифрования сессии ssh –b – указать исходящий адрес для TCP соединения

Упражнение Создать пару ключей DSA –ssh-keygen -t dsa, остальное он спросит (согласиться) Настроить авторизацию по ключу на parallels.nsu.ru –ssh-copy-id Дополнительно: скопировать ключи на Windows машину, сконвертировать утилитой puttygent в формат putty и настроить авторизацию по тому же ключу из putty

Теперь немножко ужасов

Spoofing Мы видели, что адреса канального и сетевого уровня можно задать Это открывает возможность подмены исходящего адреса: spoofing Например, вы ждете ответа от google.com, а получаете от хакера за соседним компьютером C connection-based протоколами работает не очень хорошо (но тоже работает)

Наиболее опасные применения ARP spoofing (работает в локальной сети) Router spoofing DHCP spoofing DNS spoofing/DNS cache poisoning NetBIOS/WINS (вообще туши свет) Denial of Service: flooding, SYN flood Атаки на канальную инфраструктуру, например, MAC table flooding, STP election

Что с этим делать Не доверяйте IP-адресу как средству аутентификации –Следствие – роль файрволлов в системе безопасности, в лучшем случае, вспомогательная Опирайтесь на аутентификационные протоколы прикладного уровня (ssh, SSL/TLS) Помните, что существуют также аутентификация сетевого (VPN) и канального (IEEE 802.1x) уровней