Scrigroup - Documente si articole

     

HomeDocumenteUploadResurseAlte limbi doc
AccessAdobe photoshopAlgoritmiAutocadBaze de dateCC sharp
CalculatoareCorel drawDot netExcelFox proFrontpageHardware
HtmlInternetJavaLinuxMatlabMs dosPascal
PhpPower pointRetele calculatoareSqlTutorialsWebdesignWindows
WordXml


Intretinerea sistemului

retele calculatoare



+ Font mai mare | - Font mai mic



Intretinerea sistemului

Pe tot cuprinsul acestei carti ne vom ocupa in principal cu chestiuni de instalare si configurare. Administrarea sistemului consta din mult mai mult decat atat. Dupa configurarea unui anumit serviciu, trebuie sa-l tineti in functiune. Pentru cele mai multe servicii foarte putina munca este necesara, insa unele servicii, ca de exemplu serviciile de ???mail??? si de ???news??, necesita executarea unor actiuni de rutina pentru a tine sistemul la zi. Vom discuta aceste actiuni in capitolele ce vor urma.



Minimul absolut in intretinerea sistemului este verificarea regulata de erori si de evenimente neobisnuite a fisierelor log ale aplicatiilor. Foarte practic este sa scrieti niste scripturi administrative si sa le rulati din cron periodic. Distributia sursa a unora din aplicatiile majore, ca de exemplu ???smail??? sau ???C-News contin asemenea scripturi. Tot ce va ramane de facut este sa le adaptati nevoilor si preferintelor dumneavoastra.

Iesirea oricarui job cron va fi trimisa prin mail catre un cont administrativ. Implicit, multe aplicatii vor trimite rapoarte de eroare sau statistici despre utilizare catre contul de root. Aceasta are sens numai daca va logati ca root frecvent; o idee mult mai buna este sa retrimiteti mail-ul root-ului catre contul personal prin crearea unui alias, asa cum este descris in capitolul ???.

Insa oricat de atent va-ti configurat sistemul, legile lui Murphy garanteaza ca vor aparea probleme. Astfel administrarea unui sistem inseamna si disponibilitatea pentru plangeri. De obicei utilizatorii se asteapta ca administratorul de sistem sa fie de gasit prin mail ca si root, dar sunt si alte adrese care sunt folosite pentru a ajunge la persoane responsibile cu diferite aspecte ale administrarii. De exemplu, plangerile despre functionarea incorecta a serviciului de mail vor fi trimise de obicei catre postmaster; iar problemele cu serverul de news vor fi trimise catre newsmaster sau Usenet. Mail-ul catre hostmaster va trebui redirectionat catre persoana care se ocupa cu servicile de retea de baza sau de serviciul DNS daca rulati un server de nume (name server).

Securitatea sistemului

Un aspect foarte important al administrarii sistemului dintr-o retea este protejarea lui de intruderi. Sistemele administrate neatent ofera rauvoitorilor multe tinte: atacurile merg de la ghicirea parolei pana la 'spionarea' pachetelor dintr-o retea Ethernet si pagubele cauzate de aceste atacuri merg de la date pierdute la violarea intimitatii utilizatorilor. Vom mentiona unele probleme particulare cand vom discuta contextul in care pot aparea si, in unele cazuri, posibile aparari impotriva acestor atacuri.

In aceasta sectiune vom discuta cateva exemple si tehnici de baza referitoare la securitatea sistemului. Desigur, discutia nu poate trata toate problemele legate de securitate pe care le puteti intalni; ea foloseste mai degraba la ilustrarea problemelor ce pot aparea. Astfel este absolut necesara citirea unei carti bune despre securitate in special pentru un sistem aflat in retea. Cartea lui Simon Garfinkel, 'Practical UNIX Security' este recomandata.

Securitatea sistemului porneste de la o buna administrare a lui. Aceasta include verificarea proprietarului si permisiunilor pentru toate fisierele si directoarele vitale, monitorizarea folosirii conturilor privilegiate, etc. Programul COPS, de exemplu, va va verifica sistemul de fisiere precum si fisierele de configurare cele mai comune. De asemenea este recomandabil sa obligati utilizatorii sa-si seteze parole cat mai greu de ghicit. De exemplu programul uzual pentru schimbarea parolei cere ca parola sa aiba cel putin cinci caractere si sa contina atat litere cat si cifre sau caractere speciale.

Cand faceti un serviciu accesibil prin retea, asigurati-va ca ii dati cel mai mic privilegiu, adica ca nu ii permiteti sa faca lucruri ce nu-i sunt necesare pentru a functiona asa cum trebuie. De exemplu n-ar trebui sa faceti executabile setuidate??? root decat cand este neaparat necesar. De asemenea, daca vreti sa utilizati un serviciu pentru o aplicatie foarte limitata, nu ezitati sa-l configurati cat mai restrictiv cu putinta. De exemplu daca aveti masini fara disk in retea si vreti sa le lasati sa booteze de pe masina dumneavoastra, trebuie sa folositi serviciul TFTP (trivial file transfer protocol) astfel incat clientii sa poata descarca fisierele de configurare de baza din directorul /boot. Insa, cand nu este restrictionat, TFTP lasa orice utilizator din lume sa descarce orice fisier cu drept de citire. Daca nu vreti aceasta, de ce sa nu restrictionati serviciul TFTP numai la directorul /boot?

In aceeasi ordine de idei, e bine sa restrictionati anumite servicii la utilizatori de pe anumite masini, de exemplu din reteaua locala. In capitolul ???, vom introduce tcpd care face acest lucru pentru o multime de aplicatii de retea.

Alt punct important este sa evitati aplicatiile 'periculoase'. Desigur, orice aplicatie poate fi periculoasa, deoarece poate avea 'scame' pe care oamenii destepti le pot exploata pentru a capata acces la sistemul dumneavoastra. Lucruri ca acestea se intampla si nu exista protectie completa impotriva lor. Aceasta problema afecteaza atat software-ul liber cat si software-ul comercial. Insa programele care necesita privilegii sporite sunt mai periculoase decat celelalte din cauza ca orice scama poate avea efecte drastice. Daca instlati un program pentru retea, setuidat, fiti de doua ori mai atent ca nu va scapa nimic de la documentatie, astfel incaat sa nu creati o nisa de securitate din greseala.

Nu puteti sti niciodata daca precautiile dumneavoastra vor da gres indiferent de cat de atent ati fost. Verificarea regulata a logurilor este un punct bun de plecare, dar intruderul este probabil suficient de destept incat sa creada orice urma. Insa, exista unelte ca tripwire??? care va permit sa verificati fisierele vitale pentru a vedea daca continutul si permisiunile s-au schimbat. Tripwire calculeaza diferite sume de control pentru aceste fiaiere si le pastreaza intr-o baza de date. In timpul rularilor succesive, sumele de control sunt recaluclate si comparate ce cele pastrate pentru a detecta orice modificare.



Politica de confidentialitate | Termeni si conditii de utilizare



DISTRIBUIE DOCUMENTUL

Comentarii


Vizualizari: 923
Importanta: rank

Comenteaza documentul:

Te rugam sa te autentifici sau sa iti faci cont pentru a putea comenta

Creaza cont nou

Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved