Конфігурація мережі
Від конкректної конфігурації мережі залежить її ефективна робота, надійність і безпека. На жаль набір параметрів, що визначають конфігурацію, сильно залежить від використовуваної операційної системи і конкретного мережевого програмного забезпечення. Більшість локальних мереж сьогодні будуються навколо серверів, які працюють під ОС UNIX (якщо не рахувати однорангових мереж MS Windows). З цієї причини нижче будуть описані конфігураційні файли саме цієї ОС. Назва конфігураційних файлів і їх призначення приведені в таблиці
| Назва файлу | Призначення |
|---|---|
| /etc/hosts | База даних імен ЕОМ і їх IP-адрес (нею користуються такі утиліти, як ping та ipconfig) |
| /etc/networks | База даних імен ЕОМ та їх MAC-адрес (адрес мережевих карт) |
| /etc/ethers | Опціональний файл, який містить імена підмереж, їх мережеві маски або мережеві адреси доменів |
| /etc/protocols | Конфігураційний файл, де міститься перелік імен підтримуваних протоколів та їх кодів. Перше поле містить офіційну назву протоколу, далі йде код протоколу, третє поле містить псевдонім протоколу |
| /etc/services | Файл, що визначає взаємодію в системі клієнт-сервер. Перше поле містить назву процесу (Echo, tcpmux, systat, netstat, chargen, TFTP, NNTP, POP-3, login, talk і т.д.), друге поле зберігає номер порту і ім'я протоколу |
| /etc/syslog | Визначає типи повідомлень і прохід до log-файлу |
| /etc/inetd.conf | Містить послідовність записів, що визначають роботу протоколів Інтернет: ім'я послуги (з файлу / etc / services); тип сокета (stream, dgram, raw або rdm); протокол (з файлу / etc / protocols); статус очікування (wait-status); користувач; прохід до сервера |
| /etc/routed | Використовується при завантаженні системи, визначає взаємодію з іншими машинами |
| /etc/passwd | Містить інформація для ідентифікації користувачів і їх паролів |
| /etc/hosts.equiv | Містить імена машин і користувачів, що дозволяє авторизованому користувачеві входити в інші машини, не вводячи пароль |
| /etc/bootptab | Визначає адреси і завантажувальні файли |
| /etc/snmp.conf | Визначає вміст поля community і допустимі адреси |
| /etc/resolv.conf | Служба імен. Визначає ім'я локального домену та наступного вищого сервера імен |
| /etc/named.boot | Визначає положення баз даних, інших серверів імен та доменів, що обслуговуються named |
| /usr/local/domain/named.fwd | База даних імен для звичайних запитів. Прохід може бути й іншим, він вказується в named.boot |
| /usr/local/domain/named.rev | База даних сервера імен для запитів в IN-ADDR.ARPA. Зауваження про прохід в попередньому пункті справедливо і тут |
| /usr/local/domain/named.ca | База даних сервера імен для ініціалізації кешу. Зауваження про прохід для named.fwd справедливо і тут. Вміст файлу можна прочитати за допомогою процедури nslookup |
Рис. 1. Конфігурація мережі
Рис. 2. Заміна імені хосту
Рис. 3. Заміна імені хосту
Файл /etc/passwd містить записи аутентифікаційних параметрів користувачів. Кожен запис містить 7 полів. У першому полі записано ім'я користувача (LOGIN ID) у представленні ASCII. Друге поле містить зашифрований пароль користувача. Шифрування здійснюється з додаванням символів, що робить зворотний дешифрування неможливою. Причому одне і те ж слово при такому методі може бути зашифрована різним способом. Третє поле є числовим номером користувача (UID). У четвертому полі записується код групи користувачів, до який належить даний клієнт. П'яте поле містить коментар адміністратора. У шостому полі зберігається ім'я базового каталогу користувача. У заключному поле записується ім'я командного інтерпретатора, який буде використовуватися за замовчуванням. У новітніх версіях UNIX файл / etc / passwd містить тільки "x" у другому полі запису для кожного користувача, що вказує на використання файлу /etc/shadow, де в зашифрованому вигляді містяться паролі користувачів. Доступ до цього файлу має тільки адміністратор. Інформація про членів груп користувачів зберігається у файлі /etc/group/.
Файл /usr/lib/ aliases використовується для створення поштових скриньок, яким не відповідають які-небудь аккоунти. Тут прописуються псевдоніми, якими система пересилає надходять поштові повідомлення. Рядок переадресації в цьому файлі має форму:
alias: ім’я_користувача або
alias: ім’я_користувача_1, ім’я_користувача_2,..., ім’я_користувача_N.
У першому випадку вся пошта яка приходить alias переадресується користувачу з вказаним ім'ям. У другому - всім користувачам, імена яких представлені в списку. Якщо список не вміщується в одному рядку, перед введенням "повернення каретки" слід надрукувати символ "/". Як акаунти можуть використовуватися як локальні так і стандартні поштові адреси. Для особливо довгих списків можна ввести спеціальну рядок у файл /usr/lib/aliases:
authors:":include:/usr/local/lib/authors.list", де authors - псевдонім, а authors.list - файл, який містить список адресатів, кому потрібно переслати повідомлення.
Файл named.boot, який служить для ініціалізації сервера імен, має наступну структуру. Рядки, що починаються з крапки з комою є коментарями. Рядок sortlist визначає порядок, в якому видаються адреси сервером, якщо їх кількість у відгуку перевищує 1. Запис directory, описує становище інформаційних файлів (ім'я прохід / каталогу). Рядок cashe, служить для ініціалізації кешу сервера імен з використанням файлу named.ca. Цей також як і інші файли повинні знаходитися в каталозі, зазначеному в записі directory. Записи primary вказують, в яких файлах розміщена інформація таблиць відповідності імен і IP-адрес. Останній запис primary містить інформацію для локальної ЕОМ. У записах secondary спеціалізуються дані, які повинні зчитуватися з первинного сервера і з локальних файлів.
У файлі named.local міститься локальний інтерфейс зворотного зв'язку сервера імен. Файл містить у собі тільки один запис SOA (Start of Authority) і два ресурсних записи. Запис SOA визначає початок зони. Символ @ на початку першого поля запису задає ім'я зони. Четверте поле цього запису містить ім'я первинного сервера імен даного субдомену, а наступне поле зберігає ім'я адміністратора, відповідального за даний субдомен (його поштова адреса). Запис SOA містить список з 5 чисел, взятий в дужки.
- Версія або серійний номер. Перше число в рядку збільшується кожного разу при актуалізації файлу. Вторинні сервери імен перевіряють і порівнюють номер версії первинного сервера з наявним у них кодом, для того щоб визначити, чи слід копіювати базу даних DNS.
- Час оновлення (refresh time). Визначає час у секундах, що задає період запитів вторинного DNS до первинного.
- Час повторної спроби. Задає час у секундах, коли вторинний сервер імен може повторити запит у разі невдачі попереднього.
- Час закінчення придатності (expiration time). Верхня межа тимчасового інтервалу в секундах після якого база даних вторинного DNS вважається застарілою без проведення актуалізації.
- Мінімум. Значення за замовчуванням для таймера TTL для експортованих ресурсних записів.
Файл /etc/hosts.equiv дозволяє скласти список ЕОМ, об'єднаних в групу. Користувач, що знаходиться в одній з ЕОМ цієї групи, може встановити зв'язок з іншою, не вводячи пароля. Зрозуміло, що застосування цього методу входу, викликає деякі зручності, створює і певні загрози з точки зору мережевої безпеки.
Файл .rhosts, який розміщується в кореневому каталозі користувача, дозволяє йому описати список ЕОМ, куди він має доступ. При цьому з'являється можливість увійти з даної ЕОМ в будь-яку з названих машин без введення пароля. Зауваження про використання файлу hosts.equiv в повному обсязі справедливі і в даному випадку.
Якщо до ЕОМ підключені модеми, необхідно застосування так званого dialup-пароля. Віддалений користувач крім свого ID і пароля повинен ввести ще і dialup-пароль, який є спільним для всіх працюючих на даній ЕОМ. Якщо всі три параметри аутентифікації коректні, доступ буде дозволений. При помилку в будь-якому з трьох компонентів ЕОМ попросить повторити їх введення, не вказуючи, де зроблена помилка. Файл /etc/dpasswd є виконуваним і може реалізувати ряд опцій.
- a [список] характеризує список терміналів, який додається до /etc/dialups. Користувач при вході з такого терміналу повинен буде ввести пароль dialup. Елементи в списку обмежені лапками і розділяються пробілами або комами.
- d [список] визначає список терміналів, які повинні бути видалені з /etc/dialups і користувачеві буде не потрібно в майбутньому вводити пароль dialup при вході з цих терміналів.
- r [список] змінює login shell на /bin/sh для кожного з користувачів, перелічених у списку.
- s [shell] модифікує запис у файлі /etc/d_passwd або додає новий запис.
- u [список] створює нове ядро (shell) для імен, зазначених у списку. Додаються записи в etc/d_passwd для нового ядра, а пароль працює для всіх користувачів зі списку, якщо не обумовлено зворотного.
- x [shell] видаляє shell і пароль з файлу /etc/d_passwd.