Конфігурація мережі

Від конкректної конфігурації мережі залежить її ефективна робота, надійність і безпека. На жаль набір параметрів, що визначають конфігурацію, сильно залежить від використовуваної операційної системи і конкретного мережевого програмного забезпечення. Більшість локальних мереж сьогодні будуються навколо серверів, які працюють під ОС UNIX (якщо не рахувати однорангових мереж MS Windows). З цієї причини нижче будуть описані конфігураційні файли саме цієї ОС. Назва конфігураційних файлів і їх призначення приведені в таблиці

Конфігураційні файли
Назва файлуПризначення
/etc/hosts База даних імен ЕОМ і їх IP-адрес (нею користуються такі утиліти, як ping та ipconfig)
/etc/networks База даних імен ЕОМ та їх MAC-адрес (адрес мережевих карт)
/etc/ethers Опціональний файл, який містить імена підмереж, їх мережеві маски або мережеві адреси доменів
/etc/protocols Конфігураційний файл, де міститься перелік імен підтримуваних протоколів та їх кодів. Перше поле містить офіційну назву протоколу, далі йде код протоколу, третє поле містить псевдонім протоколу
/etc/services Файл, що визначає взаємодію в системі клієнт-сервер. Перше поле містить назву процесу (Echo, tcpmux, systat, netstat, chargen, TFTP, NNTP, POP-3, login, talk і т.д.), друге поле зберігає номер порту і ім'я протоколу
/etc/syslog Визначає типи повідомлень і прохід до log-файлу
/etc/inetd.conf Містить послідовність записів, що визначають роботу протоколів Інтернет: ім'я послуги (з файлу / etc / services); тип сокета (stream, dgram, raw або rdm); протокол (з файлу / etc / protocols); статус очікування (wait-status); користувач; прохід до сервера
/etc/routed Використовується при завантаженні системи, визначає взаємодію з іншими машинами
/etc/passwd Містить інформація для ідентифікації користувачів і їх паролів
/etc/hosts.equiv Містить імена машин і користувачів, що дозволяє авторизованому користувачеві входити в інші машини, не вводячи пароль
/etc/bootptab Визначає адреси і завантажувальні файли
/etc/snmp.conf Визначає вміст поля community і допустимі адреси
/etc/resolv.conf Служба імен. Визначає ім'я локального домену та наступного вищого сервера імен
/etc/named.boot Визначає положення баз даних, інших серверів імен та доменів, що обслуговуються named
/usr/local/domain/named.fwd База даних імен для звичайних запитів. Прохід може бути й іншим, він вказується в named.boot
/usr/local/domain/named.rev База даних сервера імен для запитів в IN-ADDR.ARPA. Зауваження про прохід в попередньому пункті справедливо і тут
/usr/local/domain/named.ca База даних сервера імен для ініціалізації кешу. Зауваження про прохід для named.fwd справедливо і тут. Вміст файлу можна прочитати за допомогою процедури nslookup



Рис. 1. Конфігурація мережі

Рис. 2. Заміна імені хосту

Рис. 3. Заміна імені хосту

Файл /etc/passwd містить записи аутентифікаційних параметрів користувачів. Кожен запис містить 7 полів. У першому полі записано ім'я користувача (LOGIN ID) у представленні ASCII. Друге поле містить зашифрований пароль користувача. Шифрування здійснюється з додаванням символів, що робить зворотний дешифрування неможливою. Причому одне і те ж слово при такому методі може бути зашифрована різним способом. Третє поле є числовим номером користувача (UID). У четвертому полі записується код групи користувачів, до який належить даний клієнт. П'яте поле містить коментар адміністратора. У шостому полі зберігається ім'я базового каталогу користувача. У заключному поле записується ім'я командного інтерпретатора, який буде використовуватися за замовчуванням. У новітніх версіях UNIX файл / etc / passwd містить тільки "x" у другому полі запису для кожного користувача, що вказує на використання файлу /etc/shadow, де в зашифрованому вигляді містяться паролі користувачів. Доступ до цього файлу має тільки адміністратор. Інформація про членів груп користувачів зберігається у файлі /etc/group/.

Файл /usr/lib/ aliases використовується для створення поштових скриньок, яким не відповідають які-небудь аккоунти. Тут прописуються псевдоніми, якими система пересилає надходять поштові повідомлення. Рядок переадресації в цьому файлі має форму:
alias: ім’я_користувача або
alias: ім’я_користувача_1, ім’я_користувача_2,..., ім’я_користувача_N.
У першому випадку вся пошта яка приходить alias переадресується користувачу з вказаним ім'ям. У другому - всім користувачам, імена яких представлені в списку. Якщо список не вміщується в одному рядку, перед введенням "повернення каретки" слід надрукувати символ "/". Як акаунти можуть використовуватися як локальні так і стандартні поштові адреси. Для особливо довгих списків можна ввести спеціальну рядок у файл /usr/lib/aliases:
authors:":include:/usr/local/lib/authors.list", де authors - псевдонім, а authors.list - файл, який містить список адресатів, кому потрібно переслати повідомлення.

Файл named.boot, який служить для ініціалізації сервера імен, має наступну структуру. Рядки, що починаються з крапки з комою є коментарями. Рядок sortlist визначає порядок, в якому видаються адреси сервером, якщо їх кількість у відгуку перевищує 1. Запис directory, описує становище інформаційних файлів (ім'я прохід / каталогу). Рядок cashe, служить для ініціалізації кешу сервера імен з використанням файлу named.ca. Цей також як і інші файли повинні знаходитися в каталозі, зазначеному в записі directory. Записи primary вказують, в яких файлах розміщена інформація таблиць відповідності імен і IP-адрес. Останній запис primary містить інформацію для локальної ЕОМ. У записах secondary спеціалізуються дані, які повинні зчитуватися з первинного сервера і з локальних файлів.

У файлі named.local міститься локальний інтерфейс зворотного зв'язку сервера імен. Файл містить у собі тільки один запис SOA (Start of Authority) і два ресурсних записи. Запис SOA визначає початок зони. Символ @ на початку першого поля запису задає ім'я зони. Четверте поле цього запису містить ім'я первинного сервера імен даного субдомену, а наступне поле зберігає ім'я адміністратора, відповідального за даний субдомен (його поштова адреса). Запис SOA містить список з 5 чисел, взятий в дужки.

  • Версія або серійний номер. Перше число в рядку збільшується кожного разу при актуалізації файлу. Вторинні сервери імен перевіряють і порівнюють номер версії первинного сервера з наявним у них кодом, для того щоб визначити, чи слід копіювати базу даних DNS.
  • Час оновлення (refresh time). Визначає час у секундах, що задає період запитів вторинного DNS до первинного.
  • Час повторної спроби. Задає час у секундах, коли вторинний сервер імен може повторити запит у разі невдачі попереднього.
  • Час закінчення придатності (expiration time). Верхня межа тимчасового інтервалу в секундах після якого база даних вторинного DNS вважається застарілою без проведення актуалізації.
  • Мінімум. Значення за замовчуванням для таймера TTL для експортованих ресурсних записів.


Файл /etc/hosts.equiv дозволяє скласти список ЕОМ, об'єднаних в групу. Користувач, що знаходиться в одній з ЕОМ цієї групи, може встановити зв'язок з іншою, не вводячи пароля. Зрозуміло, що застосування цього методу входу, викликає деякі зручності, створює і певні загрози з точки зору мережевої безпеки.

Файл .rhosts, який розміщується в кореневому каталозі користувача, дозволяє йому описати список ЕОМ, куди він має доступ. При цьому з'являється можливість увійти з даної ЕОМ в будь-яку з названих машин без введення пароля. Зауваження про використання файлу hosts.equiv в повному обсязі справедливі і в даному випадку.

Якщо до ЕОМ підключені модеми, необхідно застосування так званого dialup-пароля. Віддалений користувач крім свого ID і пароля повинен ввести ще і dialup-пароль, який є спільним для всіх працюючих на даній ЕОМ. Якщо всі три параметри аутентифікації коректні, доступ буде дозволений. При помилку в будь-якому з трьох компонентів ЕОМ попросить повторити їх введення, не вказуючи, де зроблена помилка. Файл /etc/dpasswd є виконуваним і може реалізувати ряд опцій.

  • a [список] характеризує список терміналів, який додається до /etc/dialups. Користувач при вході з такого терміналу повинен буде ввести пароль dialup. Елементи в списку обмежені лапками і розділяються пробілами або комами.
  • d [список] визначає список терміналів, які повинні бути видалені з /etc/dialups і користувачеві буде не потрібно в майбутньому вводити пароль dialup при вході з цих терміналів.
  • r [список] змінює login shell на /bin/sh для кожного з користувачів, перелічених у списку.
  • s [shell] модифікує запис у файлі /etc/d_passwd або додає новий запис.
  • u [список] створює нове ядро (shell) для імен, зазначених у списку. Додаються записи в etc/d_passwd для нового ядра, а пароль працює для всіх користувачів зі списку, якщо не обумовлено зворотного.
  • x [shell] видаляє shell і пароль з файлу /etc/d_passwd.
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.