Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 9 лет назад пользователемДмитрий Шамшурин
1 Администрирование Linux Лекция 4.1 Настройка сети (практика) Иртегов Д.В. Новосибирский гос. Университет 2014
2 Минимальная информация, необходимая для настройки IP Ваш адрес Маска вашей подсети Роутер по умолчанию (default router) Имя вашего хоста Список DNS серверов Домен поиска по умолчанию (не обязательно)
3 Инструменты для диагностики ping – шлет ICMP ECHO traceroute – шлет ICMP ECHO или TCP SYN с ограниченным TTL tcptraceroute – TCP SYN с ограниченным TTL host – разрешает имя хоста по hosts/dns/другим механизмам nslookup – диагностика DNS
4 Сетевые интерфейсы Ethernet/WiFi –Появляются при загрузке драйвера, обычно при загрузке ОС или при hot-plug устройства –«Не устройства»: не являются ни символьными, ни блочными устройствами и не имеют файла в /dev Этим Линукс отличается от традиционных юниксов (System V, BSD) –Список устройств видно в файле /proc/net/dev –Ethernet называются eth[0-9], WiFi – wlan[0-9]
5 Сетевые интерфейсы PPP и туннели –Интерфейс поднимается userland-демоном pppd после настройки соединения –Физический порт, который используется для соединения с модемом (COM, LPT, USB, eth) сетевым интерфейсом не является
6 Способы настройки сети в CentOS ifconfig, ip –Теряется при перезагрузке Network Manager –GUI –Удобен на ноутбуках (можно быстро подключиться к WiFi или чужой сети) –На серверах скорее вреден, чем бесполезен Скрипты /etc/sysconfig/network-scripts –Предпочтительно на серверах –Есть утилиты для конфигурации /etc/resolv.conf – настройки DNS
7 ifconfig, ip, dhclient /sbin/ifconfig - В RHeL 6 считается устаревшим –Без параметров – список интерфейсов –ifconfig eth0 команда параметры –ifconfig eth /24 up –ifconfig eth0 address netmask /sbin/ip – управляет интерфейсами, таблицами маршрутизации, политиками –ip link show – список интерфейсов –ip address show – список интерфейсов с IP адресами –ip address add /24 dev eth0 –ip route add default dev eth0 –ip neighbor show – ARP таблица dhclient – скрипт для настройки через dhcp
8 Упражнение Определите список интерфейсов, их MAC и IP адреса, маску подсети, маршрутизатор по умолчанию
9 Network Manager
10 Демонстрация Настройка сети через Network Manager
11 Упражнение Через Network Manager, настройте –Включение сети при старте системы –Статический IP адрес Не используйте тот же адрес, что раздает DHCP! Если вы неделю не подтверждаете lease, он может раздать тот же адрес другому узлу! Используйте адреса [1-9] –Netmask и default router возьмите те же, что раздает DHCP –Попытайтесь зайти на вашу машину через putty или другой ssh клиент
12 /etc/sysconfig/network-scripts Исполняются при старте системы из /etc/init.d/network Настройки интерфейсов хранятся в файлах /etc/sysconfig/network-scripts/ifcfg-IF –На самом деле, эти файлы – скрипты, они исполняются командой. (source) –Вставлять туда команды не рекомендуется, они могут выполняться в неожиданные моменты –В этих файлах настраиваются переменные shell Есть инструменты для настройки –system-config-network, system-config-network-tui
13 ifcfg-eth0 и ifcfg-lo ~]$ cat /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 HWADDR=08:00:27:A9:9A:8D TYPE=Ethernet UUID=64264d27-f0e6-48f4-a038-3cb375af1e22 ONBOOT=no NM_CONTROLLED=yes BOOTPROTO=dhcp ~]$ cat /etc/sysconfig/network-scripts/ifcfg-lo DEVICE=lo IPADDR= NETMASK= NETWORK= # If you're having problems with gated making /8 a martian, # you can change this to something else ( , for example) BROADCAST= ONBOOT=yes NAME=loopback
14 Параметры в ifcfg-IF BOOTPROTO=none|bootp|dhcp IPADDR=address IPV6INIT=yes|no MACADDR=MAC-48 –Позволяет заменить MAC-адрес интерфейса (у разных адаптеров и драйверов механизм замены разный) NETMASK=mask NM_CONTROLLED=yes|no ONBOOT=yes|no PEERDNS=yes|no –Менять настройки DNS при подъеме этого интерфейса GATEWAY=address –Есть также глобальная настройка в /etc/sysconfig/network
15 Упражнение Переделать eth0 на управляемый скриптами (NM_CONTROLLED=no) Настроить включение при загрузке Настроить статический адрес и др. параметры, как в предыдущем упражнении Перезагрузиться и убедиться, что сеть у вас есть DNS можно настраивать через PEERDNS и директивы DNS= в ifcfg, а можно через /etc/resolv.conf
16 ssh(1) Secure SHell RFC 4251 (ssh-2) Основное средство удаленного управления Unix-серверами Клиенты и серверы доступны также для Windows Использует –Порт TCP 22 (настраивается на сервере) –RSA и DSA для аутентификации, –широкий набор шифров с секретным ключом для шифрования сессии
17 Использование ssh ssh интерактивная сессия shell –Если не задан, использует $USER –Также ssh -l username hostname ssh cmd запускает команду cmd на узле host –ssh server cat file | dd of=file scp file –Есть специальное расширение sftp
18 Как работает ssh При установке сервер генерирует пару приватный-публичный ключ RSA или DSA Сервер предъявляет публичный ключ при подключении клиента и использует его для согласования сессионного ключа шифрования Клиент записывает публичный ключ в ~/.ssh/known_hosts
19 Как работает ssh (клиентский ключ) Пользователь может создать свою пару ключей командой ssh-keygen Они размещаются в ~/.ssh/id_dsa и id_dsa.pub Приватный ключ рекомендуется защитить паролем (passphrase) При соединении, клиент предъявляет id_dsa.pub серверу. Если у пользователя на сервере есть соответствующий ключ в ~/.ssh/authorized_keys, сервер примет авторизацию без пароля Для копирования id_dsa.pub есть утилита ssh-copy-id (нужно ввести пароль)
20 Что еще умеет ssh ssh -X – форвардинг X11 (удаленный запуск графических приложений) ssh -L port:localip:localport – форвард произвольного порта TCP ssh -R remoteport:localip:localport – форвард в обратную сторону ssh –c blowfish-cbc – алгоритм шифрования сессии ssh –b – указать исходящий адрес для TCP соединения
21 Упражнение Создать пару ключей DSA –ssh-keygen -t dsa, остальное он спросит (согласиться) Настроить авторизацию по ключу на parallels.nsu.ru –ssh-copy-id Дополнительно: скопировать ключи на Windows машину, сконвертировать утилитой puttygent в формат putty и настроить авторизацию по тому же ключу из putty
22 Теперь немножко ужасов
23 Spoofing Мы видели, что адреса канального и сетевого уровня можно задать Это открывает возможность подмены исходящего адреса: spoofing Например, вы ждете ответа от google.com, а получаете от хакера за соседним компьютером C connection-based протоколами работает не очень хорошо (но тоже работает)
24 Наиболее опасные применения ARP spoofing (работает в локальной сети) Router spoofing DHCP spoofing DNS spoofing/DNS cache poisoning NetBIOS/WINS (вообще туши свет) Denial of Service: flooding, SYN flood Атаки на канальную инфраструктуру, например, MAC table flooding, STP election
25 Что с этим делать Не доверяйте IP-адресу как средству аутентификации –Следствие – роль файрволлов в системе безопасности, в лучшем случае, вспомогательная Опирайтесь на аутентификационные протоколы прикладного уровня (ssh, SSL/TLS) Помните, что существуют также аутентификация сетевого (VPN) и канального (IEEE 802.1x) уровней
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.