Администрирование локальных сетей
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: реферат по культурологии, доклад по биологии
| Добавил(а) на сайт: Tolkachjov.
Предыдущая страница реферата | 30 31 32 33 34 35 36 37 38 39 40 | Следующая страница реферата
Используйте chmod с -A опцией при работе с файлами, которые имеют дополнительные назначенные разрешения. Дополнительные разрешения будут удалены.
Вот пример использования команды
$ chacl 'user.group operator mode' file_name
где user и group указывает название в систему пользователя и группу; знак
процента (%) означает всех пользователей или группы. Оператор указывает
добавление (+) или отрицание (-) разрешения и знаки "=" (=) средства " это
разрешение точно. " Режим указывает позволенные разрешения: чтение (r), запись (w), и выполнение /поиск (x). Оператор немедленно предшествует
режиму (например, + rw добавляет разрешения записи и чтение; -rw запрещает
чтение и разрешения записи)
Вот еще примеры:
$ chacl 'carolyn.users=rw' myfile
$ ll myfile
-rw-r-----+ 1 nora users 236 Mar 8 14:23 myfile
$ lsacl myfile
(carolyn.users,rw-) (nora.%,rwx) (%.users,r--)(%.%,---) myfile
Для установки разрешения по умалчанию переменую окружения umask. В нем передаються параметры защиты. Напримар umask=022 (2 –w, 1 –x, 4 –r) означает что во всех открытых фыйлах по умолчаню не будет прав зяписи для групы и всех остальных пользователей.
Администратор должен установить
. начальные права для каталога пользователя и дальше пользователь должен следить за защитой своей информации.
. «правыльные» права на утсройства. (/dev)
Ниже привиден список команд для системы контроля доступа файловой системы
chacl(1) - change ACLs of files. getaccess(1) - list access rights to files. lsacl(1) - list access control lists of files. getaccess(2) - get a user's effective access rights to a file. getacl, fgetacl(2) - get access control list information. setacl, fsetacl(2) - set access control list information. acltostr(3C) - convert ACL structure to string form. chownacl(3C) - change owner/group represented in a file's ACL. cpacl(3C), fcpacl(3C) - copy ACL and mode bits from one file to another. setaclentry(3C), fsetaclentry(3C) - add/modify/delete a file's ACL entry. strtoacl(3C) - parse and convert ACL structure to string form. strtoaclpatt(3C) - parse and convert ACL pattern strings to arrays.
Контроль безопасности сети (networks)
Сетевые системы более узяввымие в палне защищености чем без нее
(standalone). Сеть увеличивает системны доступ а так же добавляет большой риск в безопасности системы.
Если вы не можете управлять всей защитой сети то вам необходимо защищать каждую станцию отдельно.
Ниже приведены основые механизмы контроля доступом по сети
1. Перечинь экспортиртируемыз файловых систем /etc/exports.
/etc/exports содержит входы, которые состоят из имени пути файловой системы, сопровождаемой списком компьютеров или групп компьютеров, позволенных доступ к файловой системе. Любой вход, состоящий из только имя пути без того, чтобы следоваться компьютерным названием- файловая система, доступная каждому компьютеру на сети. /etc/exports входы могли бы содержать названия групп компьютеров. Вы можете выяснять то, какие индивидуальные машины включены в группу, проверяя
/etc/netgroup.
2. Перечислить узлов, которые имеют эквивалентные базы паролей в
/etc/hosts. equiv.
3. Проверить, что каждый узел в административном домене не расширяет
привилегии на любых невключенных узлов.
Вы должны повторить шаги 1 и 2 для каждого узла в домене(области).
4. Конролируйте root и локальную защиту на каждом узле в вашем административном домене Пользователь с привилегиями суперпользователя на любой машине в домене может приобретать те привилегии на каждой машине в домене. !!!
5. Поддержать последовательность названий пользователей, uid, и gid среди файлов пароля в вашем административном домене.
6.Поддержать последовательность файлов группы на всех узлах в вашем административном домене.
Режимы, владельцы, и группы на всех системных файлах должы быть
установлены тщательно. Все отклонения от этих значений должны быть отмечены
и исправлены.
Обратите внимание на файлы которые находяться в /etc. Ниже приведен список наиболее употребляемых файлов
networks название сетей и их адреса hosts название станций а также их адреса hosts.equiv название и адреса станций в которые эквивалентны даной станции services база данных сервисов exports список экспорта файловых систем, экспортируемых в NFS клиенту protocols база данныз протоколов inetd.conf файл конфигурации Internet netgroup Список сетевых групп.
Использують indetd.sec для контроля внешнего доступа. Файл находиться в
/var/adm/inetd.sec
По следующему формату :
Мониторинг системы
Имееться набор команд для мониторинга системы. Ниже приведены краткие
возможности и характеристики наиболее часто используемых:
SAR – показывает активные ресурсы сиситемы (system activity reporter)
Запуск команды возможен в 2х вариантах: sar [-ubdycwaqvmAMS] [-o file] t [n] и sar [-ubdycwaqvmAMS] [-s time] [-e time] [-i sec] [-f file]
Первая форма показывает октивность комапьютера n раз с периодом t секунд.
Если указана опция –o то информацию скидывает в файл. По умолчанию n = 1.
Другая форма без осуществления выборки указанного интервала, sar извлекает
данные от предварительно зарегистрированного файла, или тот, указанный -f
опцией или, по умолчанию, стандартные действия операционной системы
ежедневный файл данных /var/adm/sa/sadd в течение текущего дня dd.
Начальные и конечные времена сообщения могут быть ограничены через -s и -e
параметры времени формы hh [:mm [:ss]]. -i опция выбирает отчеты в
секундных интервалах. Иначе, все интервалы, найденные в файле данных
сообщены.
Расмотрим опции:
-u использование CPU.(значение по умолчанию); часть времени, выполняющегося в одном из нескольких режимов. На многопроцессорной системе, если -M опция используется вместе с -u опцией, для каждого
-CPU использование также как среднее использование CPU всех процессоров. Если -M опция не используется,тогда показывает среднее использование CPU всех процессоров: cpu номер CPU(только на многопроцессорной системе с -M опцией);
%usr использование пользователем (непgjrfривигильованый режим);
%sys системный режим;
%wio простой с некоторым процессом, ожидающим Ввод - вывод
(только блочных I/O, необработанный ввод /вывод, или VM обозначенные загрузки/выгрузки свопа);
%idle “простой» проссора.
-b показывает использования буфера bread/s- количество физический чтений на секунду с буф. на диск.(или устройсва)
-bwrit/s количество физический записей на секунду с буф. на диск.(или устройсва) lread/s - lwrit/s количество байт чтения записи на устройства.
%rcache отношения буфера- bread/lread
%wcache bwrit/lwrit pread/s Количество чтений не с блочного устройства pwrit/s Количество записей не с блочного устройства
-d показывает информацию о каждом block устройстве, к которому процесор имел отношение за определенный интервал времени
-y ------- для non-block устройств
-с системные вызовы
-w свопинг и переключения системы
-a использование файлов
-q показывает среднюю длину сообщения и процент от занятого времени
-v более детальная информация об использовании файлов,inode, процессов.
-m информация о семафорах
-A показывает всю информацию
-M информация для индивидуального CPU в много-процесорных машинах
VMSTAT- показывает статистику виртуальной памяти
Параметры запуска комманды: vmstat [-dnS] [interval [count]] vmstat -f | -s | -z
-d сообщает количество обменов между диском
-n выводин информацию в 80 колоночном представлени.
-S количество прцессов которые свопяттся
interval период отображения
count количество повторов
-f количество fork ( деления процесса)
-s количество paging сообщений
-z очищает все sum структуры ядра.
IOSTAT мониторинг I|O устройств
Параметры запуска: iostat [-t] [interval [count]]
interval период отображения
count количество повторов
-t отображает статистику для терминалов.
Для каждого диска статистика предоставляеться форматом: device имя устройства bps количество передаваемых байт за секунду sps количество seekов за секунду msps в мс. средний seek
TOP отображает состояние “горячих” процесов.
Параметры запуска: top [-s time] [-d count] [-q] [-u] [-n number]
-s timе время между обновлениями
-d count отображает количество и после этого выходит
-n number количество «верхних» процесов
-q запускает с самым большим приоритетом (nice –20)
-u мвесто username показывает userID (для экономии проц. времени)
LSOF –отображает открытые файлы и процесы кто их открыл. Очень полезно для контроля доступа к устройствам.
NETSTAT показывает состояние сети.
Параметры запуска: netstat [-aAn] [-f address-family] [system [core]] netstat [-mMnrsv] [-f address-family] [-p protocol] [system [core]] netstat [-gin] [-I interface] [interval] [system [core]]
netstat отображает статистику для сетевых интерфейсов и протоколов, также
как содержания различных связанных сетью структур данных. Выходной формат
изменяется согласно отобранным параметрам. Некоторые параметры игнорируются
когда используется в комбинации с другими параметрами.
Команда netstat берет одну из трех форм, показанных выше:
. Первая форма команды отображает список активных сокетов для каждого протокола.
. Вторая форма отображает содержание одной из других сетевых структур данных согласно отобранной опции.
. Третья форма отображает информацию конфигурации для каждого сетевого интерфейса. Это также отображает сетевые данные трафика относительно конфигурированных сетевых интерфейсов, произвольно модифицированных в каждом интервале, измеренном мгновенно.
Опции:
-a Показывает состояние всех сокетов.
-A Адресный блок и протокол
-f address-family Показывает сокеты с определеного семейства: inet,unix (AF_INET,AF_UNIX)
-g Показывает информацию о широковещательных интерфейсах
-i Состояние интерфейсов
-I interface Состояние определленого интерфейса
-m Колсичество памяти и общая информация о сокетах
-M Multicast таблица маршрутизации
-n Показывать адрес сетки как номер
-p protocol Показывать всю статистику определьоного протокола
-r Таблица маршрутизации
-s Показать статистику по всех протоколах
-v Дополнительная информация
Существует множество прормам мониторинга системы. Некоторые можно мониторить с помощю команды SAM. Также можно найти дополнительную информацию на сайте: http://hpux.cae.qiax.edu
--------------------
Пользовательские программы
Ядро системы
Аппаратные ресурсы
Системные вызовы
Исходный код
Всмогогатель-ные коды
КОМПИЛЯТОР
a.out
Исходный код
Дополнительные кода
Компилятор
Обьектный файл (.о)
Обьектный файл (.о)
Линкеровщик (ld)
a.out
Процес компиляции
Boot ROM program
HP-UX файловая система
LIF раздел
LAN интерфейс
Диск
Minor number
(24 bits)
Major number
(8bits)
Где находится устройство ? В каком режиме с ним работать ? (например плотность записи на ленту …)
С каким драйвером работать ?
1
2
.
.
12
Третий уровень ссылок
Второй уровень ссылок
Первый уровень ссылок
Данные файла
Блоки адресуемые 1 напрямую 2
.
.
.
12
Временные метки
Размер файла в байтах
Владелец / группа
Ссылки на файл
Тип файла и атрибуты
1
2
.
.
12
1
2
.
.
12
1
2
.
.
12
20К
………
8
24
43
0
………
Рекомендуем скачать другие рефераты по теме: бесплатные тесты бесплатно, рефераты по медицине.
Категории:
Предыдущая страница реферата | 30 31 32 33 34 35 36 37 38 39 40 | Следующая страница реферата