administracja i zarządzanie systemami...
TRANSCRIPT
Administracja i zarządzanieAdministracja i zarządzaniesystemami komputerowymisystemami komputerowymisystemami komputerowymisystemami komputerowymi
Andrzej Toboła, Politechnika Warszawska
e-mail: [email protected]
Andrzej TobołaAndrzej Toboła
•• EE--mail: [email protected] ZETiIS PWmail: [email protected] ZETiIS PW
•• Gm. Elektrotechniki pok. 227, tel. 2347138Gm. Elektrotechniki pok. 227, tel. 2347138
•• Certyfikat UOP Certyfikat UOP –– bezpieczeństwo sieci i systemów (2000r)bezpieczeństwo sieci i systemów (2000r)
•• NIK NIK –– inspekcja systemu informatycznego, Dep. Ochrony inspekcja systemu informatycznego, Dep. Ochrony Informacji NiejawnychInformacji NiejawnychInformacji NiejawnychInformacji Niejawnych
•• Ministerstwo Gospodarki Ministerstwo Gospodarki –– konsulting przy budowie konsulting przy budowie systemu informatycznego (~2500 stanowisk)systemu informatycznego (~2500 stanowisk)
•• Firma ISP o zasięgu ogólnopolskim (system teleFirma ISP o zasięgu ogólnopolskim (system tele--informatyczny)informatyczny)
WprowadzenieWprowadzenie
• Dynamiczny rozwój telekomunikacji i komputerów (prawo Moor’a) 130nm, 90nm, 65nm, 45nm.
• Wypieranie dokumentów tradycyjnych przez elektroniczne (podpis elektron.)
• Bazy i hurtownie danych - nowe moŜliwości, nowa skala (dyski 2TB)
Podstawowe celePodstawowe cele
•• Minimalizacja kosztówMinimalizacja kosztów
•• Maksymalna prostotaMaksymalna prostota
•• NiezawodnośćNiezawodność
•• Dobre odwzorowanie rzeczywistości w Dobre odwzorowanie rzeczywistości w systemie przetwarzania informacjisystemie przetwarzania informacji
•• Pewność i ochrona danychPewność i ochrona danych
Podstawowa strukturaPodstawowa struktura
•• Komputery Komputery stacjonarnestacjonarne
•• Komputery przenośne Komputery przenośne (laptop, (laptop, palmtoppalmtop, , telefon)telefon)
•• Sieć komputerowa Sieć komputerowa personalna (PAN) personalna (PAN) lokalna (LAN) i rozległa WANlokalna (LAN) i rozległa WAN
•• Nośniki informacji, sieci kablowe, radiowe, Nośniki informacji, sieci kablowe, radiowe, pamięci przenośnepamięci przenośne
Ramy prawne dotyczące administracji Ramy prawne dotyczące administracji systemami komputerowymisystemami komputerowymi
• Ustawa z 22 stycznia 1999r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95)
• Rozporządzenie Prezesa Rady Ministrów z • Rozporządzenie Prezesa Rady Ministrów z dnia 25 lutego 1999r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych.
• Międzynarodowe standardy - DoD, USA „The Orange Book” 1985.
Ramy prawne dotyczące administracji Ramy prawne dotyczące administracji systemami komputerowymi, c.d.systemami komputerowymi, c.d.
•• Ustawa o ochronie danych osobowych Ustawa o ochronie danych osobowych (Dz. U. z(Dz. U. z 2002 r. Nr 101, poz. 926) 2002 r. Nr 101, poz. 926) Generalny Inspektorat Ochrony Danych Generalny Inspektorat Ochrony Danych OsobowychOsobowych (http://www.giodo.gov.pl)(http://www.giodo.gov.pl)
•• Ustawa z dnia 18 września 2001 o Ustawa z dnia 18 września 2001 o podpisie elektronicznym (podpisie elektronicznym (DzDz U. z 2001 r. U. z 2001 r. Nr 130, poz. 1450)Nr 130, poz. 1450)
Podstawowe wymagania bezpieczeństwa Podstawowe wymagania bezpieczeństwa teleinformatycznegoteleinformatycznego
• Jasna i dobrze zdefiniowana polityka bezpieczeństwa.
• Opis obiektów: poziom ochrony, prawa dostępu.
• Identyfikacja wszystkich podmiotów.
• Pełny audyt umoŜliwiający weryfikację.
• Pewność sprzętu i oprogramowania.
• Ciągła ochrona - 24 godziny / 7 dni w tygodniu.
Podstawowe elementy systemu Podstawowe elementy systemu bezpieczeństwabezpieczeństwa
• Ochrona fizyczna.
• Ochrona elektromagnetyczna.
• Ochrona kryptograficzna.
• Bezpieczeństwo transmisji.
• Kontrola dostępu do urządzeń.
Ochrona fizycznaOchrona fizyczna
Ochrona fizycznaOchrona fizyczna
• Wydzielenie stref bezpieczeństwa -lokalizacja, wielkość, klasyfikacja.
• Mechanizmy kontroli dostępu - hasła, metody biometryczne.metody biometryczne.
• Zasady transportu informacji na nośnikach wymiennych.
Ochrona elektromagnetycznaOchrona elektromagnetyczna
• Emisja elektromagnetyczna.
• Ekranowanie i filtrowanie linii filtrowanie linii sygnałowych i zasilających.
• Ekranowanie urządzeń i pomieszczeń.
• Rodzaje nośników - linie: kablowe, światłowodowe, radiowe, optyczne.
Ochrona kryptograficznaOchrona kryptograficzna
• Przydatność algorytmów kryptograficznych określają słuŜby ochrony państwa.
• Identyfikacja uŜytkowników - hasła jednorazowe, metody biometryczne
• Szyfrowanie: klucze tajne i publiczne, podpis elektroniczny.
Metody kryptograficzneMetody kryptograficzne
•• Jednokierunkowe Jednokierunkowe funkcje skrótufunkcje skrótu–– CRC, MD5, SHA1CRC, MD5, SHA1
•• Szyfrowanie symetryczne Szyfrowanie symetryczne •• Szyfrowanie symetryczne Szyfrowanie symetryczne –– DES, 3DES, AES: DES, 3DES, AES: RindaelRindael
•• Szyfrowanie niesymetryczne Szyfrowanie niesymetryczne –– RSA, IDEARSA, IDEA
Jednokierunkowe funkcje skrótuJednokierunkowe funkcje skrótu
•• CRCCRC -- (ang. (ang. CyclicCyclic RedundancyRedundancy CheckCheck –– cykliczny kod nadmiarowy) cykliczny kod nadmiarowy) -- matematyczna suma kontrolna wykorzystywana do wykrywania matematyczna suma kontrolna wykorzystywana do wykrywania uszkodzonych danych binarnychuszkodzonych danych binarnych
•• MD5MD5 (z ang. (z ang. MessageMessage--DigestDigest algorithmalgorithm 5 5 -- Skrót wiadomości wersja Skrót wiadomości wersja 5) 5) -- popularna kryptograficzna funkcja skrótu, która z dowolnego popularna kryptograficzna funkcja skrótu, która z dowolnego ciągu danych generuje 128ciągu danych generuje 128--bitowy skrót.bitowy skrót.ciągu danych generuje 128ciągu danych generuje 128--bitowy skrót.bitowy skrót.
–– Przykład: Przykład: MD5("Ala ma kota") = 91162629d258a876ee994e9233b2ad87MD5("Ala ma kota") = 91162629d258a876ee994e9233b2ad87
•• SHA1SHA1 ((SecureSecure HashHash AlgorithmAlgorithm) ) -- rodzina powiązanych ze sobą rodzina powiązanych ze sobą kryptograficznych funkcji skrótu zaprojektowanych przez NSA kryptograficznych funkcji skrótu zaprojektowanych przez NSA (National Security (National Security AgencyAgency) i publikowanych przez ) i publikowanych przez National National InstituteInstituteof of StandardsStandards and Technologyand Technology–– Uwaga: Ataki! W 2004 zgłoszono udane ataki na funkcje skrótu mające strukturę Uwaga: Ataki! W 2004 zgłoszono udane ataki na funkcje skrótu mające strukturę
podobną do SHApodobną do SHA--1 co podniosło kwestię długotrwałego bezpieczeństwa SHA1 co podniosło kwestię długotrwałego bezpieczeństwa SHA--1. 1. NIST ogłosił, Ŝe do 2010 zaprzestanie stosować SHANIST ogłosił, Ŝe do 2010 zaprzestanie stosować SHA--1 na rzecz róŜnych 1 na rzecz róŜnych wariantów SHAwariantów SHA--2.2.
Szyfrowanie symetryczneSzyfrowanie symetryczne
•• DES DES -- (ang. Data (ang. Data EncryptionEncryption Standard Standard -- standardstandard szyfrowania szyfrowania danych) danych) -- szeroko uŜywany algorytm kryptograficzny. Stworzony szeroko uŜywany algorytm kryptograficzny. Stworzony przez IBM na podstawie szyfru przez IBM na podstawie szyfru LuciferLucifer, został zmodyfikowany przez , został zmodyfikowany przez amerykańską NSA. Zaakceptowany jako amerykański standard w amerykańską NSA. Zaakceptowany jako amerykański standard w roku 1976.roku 1976.–– SS--BoxBox::
Szyfrowanie symetryczneSzyfrowanie symetryczne
•• 3DES3DES to algorytm polegający na to algorytm polegający na zaszyfrowaniu wiadomości zaszyfrowaniu wiadomości algorytmem DES trzy razy:algorytmem DES trzy razy:–– 1. szyfrujemy pierwszym kluczem1. szyfrujemy pierwszym kluczem
–– 2. deszyfrujemy drugim kluczem2. deszyfrujemy drugim kluczem
–– 3. szyfrujemy trzecim kluczem3. szyfrujemy trzecim kluczem–– 3. szyfrujemy trzecim kluczem3. szyfrujemy trzecim kluczem
•• AESAES (ang. (ang. AdvancedAdvanced EncryptionEncryption Standard, nazywany równieŜ Standard, nazywany równieŜ RijndaelRijndael) ) -- symetryczny szyfr blokowy przyjęty przez NIST jako standard FIPSsymetryczny szyfr blokowy przyjęty przez NIST jako standard FIPS--197[1] w wyniku konkursu ogłoszonego w roku 1997.197[1] w wyniku konkursu ogłoszonego w roku 1997.–– W 2006 opublikowana została praca, w której twierdzi się, Ŝe AES nie jest w pełni W 2006 opublikowana została praca, w której twierdzi się, Ŝe AES nie jest w pełni
odporny na atak XSL, ale oszacowanie ilości koniecznych obliczeń obarczone jest odporny na atak XSL, ale oszacowanie ilości koniecznych obliczeń obarczone jest duŜą niepewnością, w związku z tym oceny, na ile skuteczny jest ten atak, są duŜą niepewnością, w związku z tym oceny, na ile skuteczny jest ten atak, są róŜne[3].róŜne[3].
–– W 2009 opublikowany zostały dwa nowe ataki z uŜyciem kluczy pokrewnych (W 2009 opublikowany zostały dwa nowe ataki z uŜyciem kluczy pokrewnych (keykeyrelatedrelated attackattack) redukujące złoŜoność AES) redukujące złoŜoność AES--256 do 2119256 do 2119
Bezpieczeństwo transmisjiBezpieczeństwo transmisji• 1. Integralność danych
– Zabezpieczenia sprzętowe: odporność na zakłócenia (ekranowanie, światłowody)
– zabezpieczenia programowe: : TCP – Transfer Control Protocol)
• 2. Poufność transmisji– Zabezpieczenia sprzętowe: eliminacja emisji elektromagnetycznej – Zabezpieczenia sprzętowe: eliminacja emisji elektromagnetycznej
(ekranowanie, światłowody)
– zabezpieczenia programowe: SSL (Secure Socket Layer)
• Dopuszczalność certyfikatów innych państw NATO na urządzenia.
• Dopuszczalność podłączenia do sieci i urządzeń publicznych z zachowaniem właściwych mechanizmów kontroli dostępu.
Bezpieczeństwo Bezpieczeństwo -- podsumowaniepodsumowanie•• Osiągnięcie całkowitego bezpieczeństwa jest trudno osiągalne o ile w Osiągnięcie całkowitego bezpieczeństwa jest trudno osiągalne o ile w
ogóle moŜliwe.ogóle moŜliwe.
•• Decydujące znaczenie ma czynnik „ludzki” a nie „techniczny”.Decydujące znaczenie ma czynnik „ludzki” a nie „techniczny”.
•• Stwierdzenie: „bezpieczeństwo jest zadaniem, które zaczyna się i Stwierdzenie: „bezpieczeństwo jest zadaniem, które zaczyna się i kończy na administratorze“kończy na administratorze“
•• Nie ma bezpiecznych systemów w 100%. Bezpieczeństwo jest Nie ma bezpiecznych systemów w 100%. Bezpieczeństwo jest •• Nie ma bezpiecznych systemów w 100%. Bezpieczeństwo jest Nie ma bezpiecznych systemów w 100%. Bezpieczeństwo jest zawsze pewnym zawsze pewnym pradopodobieństwempradopodobieństwem zaufania.zaufania.
•• Typowe formy ataków:Typowe formy ataków:–– DOS DOS –– denialdenial of service (odmowa obsługi)of service (odmowa obsługi)
–– Uzyskanie do kont zwykłych uŜytkownikówUzyskanie do kont zwykłych uŜytkowników
–– Zdobycie uprawnień Zdobycie uprawnień rootaroota za pomocą dostępnych serwisówza pomocą dostępnych serwisów
–– Zdobycie uprawnień Zdobycie uprawnień rootaroota za pomocą konta uŜytkownikaza pomocą konta uŜytkownika
–– BackdoorBackdoor -- luka w zabezpieczeniach systemu utworzona umyślnie w celu luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystaniapóźniejszego wykorzystania
Systemy komputeroweSystemy komputerowe
•• Jako obiekty, którymi Jako obiekty, którymi •• Jako obiekty, którymi Jako obiekty, którymi administrujemyadministrujemy
System komputerowySystem komputerowy
•• UŜytkownicy (ludzie, maszyny, serwery, inne komputery)UŜytkownicy (ludzie, maszyny, serwery, inne komputery)
•• Aplikacje (programy: Aplikacje (programy: edytory, arkusze edytory, arkusze kalkulacyjne, bazy kalkulacyjne, bazy danych, gry, narzędzia danych, gry, narzędzia System komputerowy wg Andrew danych, gry, narzędzia danych, gry, narzędzia programistyczne)programistyczne)
•• System operacyjnySystem operacyjny
•• Sprzęt (procesor, Sprzęt (procesor, pamięć, urządzenia pamięć, urządzenia wejściawejścia--wyjścia)wyjścia)
System komputerowy wg Andrew Tanenbauma
Struktura systemu komputerowego Struktura systemu komputerowego --logikalogika
Szyny Szyny danychdanych
Sterowniki urządzeń Sterowniki urządzeń Przykład sterowania urządzeniemPrzykład sterowania urządzeniem
•• Przykładowy układ sterujący napędem stacji Przykładowy układ sterujący napędem stacji dyskietek NEC PD 765:dyskietek NEC PD 765:–– 16 rozkazów (116 rozkazów (1--9 bajtów przekazywanych 9 bajtów przekazywanych
do rejestrów urządzenia)do rejestrów urządzenia)
–– czytanie/zapisywanie danych: komendy czytania czytanie/zapisywanie danych: komendy czytania i zapisywania składają się z 13 parametrów i zapisywania składają się z 13 parametrów (sektory/ścieŜki, tryb zapisu lub tryb fizyczny, (sektory/ścieŜki, tryb zapisu lub tryb fizyczny, (sektory/ścieŜki, tryb zapisu lub tryb fizyczny, (sektory/ścieŜki, tryb zapisu lub tryb fizyczny, odległość między sektorami itp.)odległość między sektorami itp.)
–– sterowanie głowicąsterowanie głowicą
–– formatowanie ścieŜekformatowanie ścieŜek
–– inicjalizacja, resetowanie, inicjalizacja, resetowanie, rekalibracjarekalibracja
–– Śledzenie stanu włączenia/wyłączeniaŚledzenie stanu włączenia/wyłączenia
•• Systemy operacyjne / komputerowe zwalniają uŜytkowników z Systemy operacyjne / komputerowe zwalniają uŜytkowników z potrzeby znajomości powyŜszych szczegółów działania potrzeby znajomości powyŜszych szczegółów działania róŜnorodnych urządzeń przyłączanych do komputera.róŜnorodnych urządzeń przyłączanych do komputera.
Przegląd typowych systemów Przegląd typowych systemów komputerowych komputerowych -- definicjedefinicje•• MainframeMainframe -- komputer (ew. kilka) o duŜej wydajności komputer (ew. kilka) o duŜej wydajności
przetwarzania danych i większych moŜliwościach niŜ komputer przetwarzania danych i większych moŜliwościach niŜ komputer domowy, którego celem jest świadczenie usług duŜej liczbie domowy, którego celem jest świadczenie usług duŜej liczbie uŜytkowników. W odróŜnieniu od superkomputera uŜytkowników. W odróŜnieniu od superkomputera MainframeMainframenie posiada duŜej mocy obliczeniowej, a specjalizuje się w nie posiada duŜej mocy obliczeniowej, a specjalizuje się w wydajnych operacjach I/O. (za wydajnych operacjach I/O. (za wikipediąwikipedią))
•• W popularnym znaczeniu W popularnym znaczeniu stacja robocza stacja robocza to kaŜdy komputer to kaŜdy komputer •• W popularnym znaczeniu W popularnym znaczeniu stacja robocza stacja robocza to kaŜdy komputer to kaŜdy komputer przeznaczony do bezpośredniej pracy (w odróŜnieniu od przeznaczony do bezpośredniej pracy (w odróŜnieniu od serwera, który tylko udostępnia zdalnie jakieś usługi). W serwera, który tylko udostępnia zdalnie jakieś usługi). W szczególności w sieciach komputerowych mianem tym określa szczególności w sieciach komputerowych mianem tym określa się kaŜdy komputer, który jest do tej sieci podłączony, a który się kaŜdy komputer, który jest do tej sieci podłączony, a który nie słuŜy wyłącznie do jej obsługi. Pokrywa się to z grubsza z nie słuŜy wyłącznie do jej obsługi. Pokrywa się to z grubsza z terminem komputer osobisty. (za terminem komputer osobisty. (za wikipediąwikipedią))
•• Wieloprocesorowy system komputerowy Wieloprocesorowy system komputerowy jest systemem, w jest systemem, w którym do dyspozycji jest więcej niŜ jeden procesor.którym do dyspozycji jest więcej niŜ jeden procesor.
Przegląd typowych systemów Przegląd typowych systemów komputerowych komputerowych -- definicjedefinicje•• System rozproszony System rozproszony (ang. (ang. distributeddistributed system) to zbiór system) to zbiór
niezaleŜnych urządzeń technicznych połączonych w jedną, niezaleŜnych urządzeń technicznych połączonych w jedną, spójną logicznie całość. Zwykle łączonymi urządzeniami są spójną logicznie całość. Zwykle łączonymi urządzeniami są komputery, rzadziej komputery, rzadziej -- systemy automatyki. Połączenie systemy automatyki. Połączenie najczęściej realizowane jest przez sieć komputerową, jednak najczęściej realizowane jest przez sieć komputerową, jednak moŜna wykorzystać równieŜ inne moŜna wykorzystać równieŜ inne -- prostsze prostsze -- magistrale magistrale komunikacyjne. Urządzenia są wyposaŜone w komunikacyjne. Urządzenia są wyposaŜone w komunikacyjne. Urządzenia są wyposaŜone w komunikacyjne. Urządzenia są wyposaŜone w oprogramowanie umoŜliwiające współdzielenie zasobów oprogramowanie umoŜliwiające współdzielenie zasobów systemowych.systemowych.
•• Jedną z podstawowych cech systemu rozproszonego jest jego Jedną z podstawowych cech systemu rozproszonego jest jego transparentnośćtransparentność (inaczej przezroczystość, ang. (inaczej przezroczystość, ang. transparencytransparency), ), która stwarza na uŜytkownikach systemu rozproszonego która stwarza na uŜytkownikach systemu rozproszonego wraŜenie pojedynczego i zintegrowanego systemu.wraŜenie pojedynczego i zintegrowanego systemu.
•• Definicja systemu rozproszonego ewoluowała wraz z Definicja systemu rozproszonego ewoluowała wraz z rozwojem komputerów i sieci komputerowych.rozwojem komputerów i sieci komputerowych.
Przegląd typowych systemów Przegląd typowych systemów komputerowych komputerowych -- definicjedefinicje
•• Klaster komputerowy Klaster komputerowy (ang. (ang. clustercluster) zwany takŜe gronem ) zwany takŜe gronem -- grupa grupa połączonych jednostek komputerowych, które współpracują ze sobą połączonych jednostek komputerowych, które współpracują ze sobą w celu udostępnienia zintegrowanego środowiska pracy.w celu udostępnienia zintegrowanego środowiska pracy.–– Komputery wchodzące w skład Komputery wchodzące w skład klastraklastra (będące członkami (będące członkami klastraklastra) nazywamy ) nazywamy
węzłamiwęzłami (ang. (ang. nodenode). W istniejących rozwiązaniach klastrowych moŜna wyodrębnić ). W istniejących rozwiązaniach klastrowych moŜna wyodrębnić dwie podstawowe klasy wynikające z celów budowy takich rozwiązań:dwie podstawowe klasy wynikające z celów budowy takich rozwiązań:
•• KlastryKlastry wydajnościowewydajnościowe: pracujące jako komputer równoległy. Celem : pracujące jako komputer równoległy. Celem ich budowy jest powiększenie mocy obliczeniowej. Wiele obecnych ich budowy jest powiększenie mocy obliczeniowej. Wiele obecnych superkomputerów działa na tej zasadzie.superkomputerów działa na tej zasadzie.
•• KlastryKlastry niezawodnościoweniezawodnościowe: pracujące jako zespół komputerów : pracujące jako zespół komputerów dublujących nawzajem swoje funkcje. W razie awarii jednego z dublujących nawzajem swoje funkcje. W razie awarii jednego z węzłów, następuje automatyczne przejęcie jego funkcji przez inne węzłów, następuje automatyczne przejęcie jego funkcji przez inne węzły.węzły.
Przegląd typowych systemów Przegląd typowych systemów komputerowych komputerowych -- definicjedefinicje
•• System czasu rzeczywistego System czasu rzeczywistego (ang. (ang. realreal--timetime system), to urządzenie system), to urządzenie techniczne, którego działanie jest ograniczone w czasie przez zjawiska techniczne, którego działanie jest ograniczone w czasie przez zjawiska zachodzące poza nim samym. Źródłem tych ograniczeń czasowych są zachodzące poza nim samym. Źródłem tych ograniczeń czasowych są zazwyczaj zjawiska fizyczne zachodzące w świecie rzeczywistym. zazwyczaj zjawiska fizyczne zachodzące w świecie rzeczywistym.
•• Systemy czasu rzeczywistego znajdują zastosowanie: w przemyśle do Systemy czasu rzeczywistego znajdują zastosowanie: w przemyśle do nadzorowania procesów technologicznych, do nadzorowania nadzorowania procesów technologicznych, do nadzorowania nadzorowania procesów technologicznych, do nadzorowania nadzorowania procesów technologicznych, do nadzorowania eksperymentów naukowych, w urządzeniach powszechnego uŜytku, eksperymentów naukowych, w urządzeniach powszechnego uŜytku, jak sterowniki układów ABS i ESP czy wtrysku paliwa do silników jak sterowniki układów ABS i ESP czy wtrysku paliwa do silników samochodowych, bądź teŜ urządzenia gospodarstwa domowego, w samochodowych, bądź teŜ urządzenia gospodarstwa domowego, w medycynie, w lotnictwie, zastosowaniach wojskowych i kosmicznych, medycynie, w lotnictwie, zastosowaniach wojskowych i kosmicznych, w kasach biletowych (na przykład sprzedaŜy biletów lotniczych), w kasach biletowych (na przykład sprzedaŜy biletów lotniczych), oprogramowaniu bibliotek i podobnych usługach realizowanych w oprogramowaniu bibliotek i podobnych usługach realizowanych w wielodostępnych systemach rozproszonych.wielodostępnych systemach rozproszonych.
Przegląd typowych systemów Przegląd typowych systemów komputerowych komputerowych -- definicjedefinicje
•• SuperkomputerSuperkomputer to to pojedynczypojedynczy komputer o bardzo wielkiej mocy komputer o bardzo wielkiej mocy obliczeniowej.obliczeniowej.
•• Superkomputery zwykle spina się w wielkie układy połączone sieciami o Superkomputery zwykle spina się w wielkie układy połączone sieciami o olbrzymich olbrzymich przepustowościachprzepustowościach, które tworzą , które tworzą klastryklastry. Klaster jest . Klaster jest samodzielną jednostką, której moŜna przypisać określone zadanie samodzielną jednostką, której moŜna przypisać określone zadanie obliczeniowe, albo który moŜna wirtualnie podzielić w celu równoległego obliczeniowe, albo który moŜna wirtualnie podzielić w celu równoległego obliczeniowe, albo który moŜna wirtualnie podzielić w celu równoległego obliczeniowe, albo który moŜna wirtualnie podzielić w celu równoległego zajmowania się więcej niŜ jedną złoŜoną kalkulacją.zajmowania się więcej niŜ jedną złoŜoną kalkulacją.
•• Najszybszym nierozproszonym geograficznie superkomputerem w Najszybszym nierozproszonym geograficznie superkomputerem w Polsce jest Holk z Centrum Informatycznego TASK w Politechnice Polsce jest Holk z Centrum Informatycznego TASK w Politechnice Gdańskiej. Maszyna zarządzana przez system GNU/Linux (dystrybucja Gdańskiej. Maszyna zarządzana przez system GNU/Linux (dystrybucja DebianDebian), której teoretyczna moc obliczeniowa sięga 1.5 TFLOPS jest ), której teoretyczna moc obliczeniowa sięga 1.5 TFLOPS jest wykorzystywana do obliczeń naukowych.wykorzystywana do obliczeń naukowych.
•• Centra superkomputerowe w Polsce: Centra superkomputerowe w Polsce: CyfronetCyfronet w Krakowie, ICM w w Krakowie, ICM w Warszawie, PCSS w Poznaniu, TASK w Gdańsku, WCSS we WrocławiuWarszawie, PCSS w Poznaniu, TASK w Gdańsku, WCSS we Wrocławiu
Przegląd typowych systemów Przegląd typowych systemów komputerowych komputerowych -- definicjedefinicje
•• Serwer plikówSerwer plików to komputer (serwer) lub program, który udostępnia to komputer (serwer) lub program, który udostępnia zasoby dyskowe danego komputera, w szczególności zapewnia zasoby dyskowe danego komputera, w szczególności zapewnia dostęp do plików.dostęp do plików.
•• Dwie zasadnicze kategorie serwerów aplikacji: Dwie zasadnicze kategorie serwerów aplikacji: –– Serwer w sieci komputerowejSerwer w sieci komputerowej, przeznaczony do zdalnego uruchamiania i , przeznaczony do zdalnego uruchamiania i
uŜytkowania aplikacji. (Praca terminal serwer)uŜytkowania aplikacji. (Praca terminal serwer)uŜytkowania aplikacji. (Praca terminal serwer)uŜytkowania aplikacji. (Praca terminal serwer)
–– ProgramProgram działający na zdalnej maszynie obsługujący Ŝądania kierowane do działający na zdalnej maszynie obsługujący Ŝądania kierowane do aplikacji, do której dostęp zapewnia. UŜytkownik łączy się za pośrednictwem aplikacji, do której dostęp zapewnia. UŜytkownik łączy się za pośrednictwem przeglądarki internetowej, kieruje Ŝądanie do wybranej aplikacji, a całość operacji przeglądarki internetowej, kieruje Ŝądanie do wybranej aplikacji, a całość operacji odbywa się po stronie komputera naleŜącego do organizacji, która udostępnia odbywa się po stronie komputera naleŜącego do organizacji, która udostępnia daną aplikację. Zestaw oprogramowania (platforma) wspierająca daną aplikację. Zestaw oprogramowania (platforma) wspierająca programistę/developera przy tworzeniu aplikacji. Do serwerów aplikacji naleŜą programistę/developera przy tworzeniu aplikacji. Do serwerów aplikacji naleŜą m.in.: m.in.: JBossJBoss, BEA , BEA WebLogicWebLogic, IBM , IBM WebSphereWebSphere oraz platforma .NET Microsoftoraz platforma .NET Microsoft--u.u.
Przegląd typowych systemów Przegląd typowych systemów komputerowych komputerowych -- definicjedefinicje
•• System Zarządzania Bazą DanychSystem Zarządzania Bazą Danych, SZBD (ang. Data , SZBD (ang. Data BaseBase Management Management System, DBMS) nazywany teŜ serwerem baz danych lub systemem baz System, DBMS) nazywany teŜ serwerem baz danych lub systemem baz danych, SBD to oprogramowanie bądź system informatyczny słuŜący danych, SBD to oprogramowanie bądź system informatyczny słuŜący do zarządzania komputerowymi bazami danych. Systemy baz danych do zarządzania komputerowymi bazami danych. Systemy baz danych mogą być sieciowymi serwerami baz danych lub udostępniać bazę mogą być sieciowymi serwerami baz danych lub udostępniać bazę danych lokalnie.danych lokalnie.–– Niezbędne mechanizmy: środki do gromadzenia, utrzymywania i administrowania Niezbędne mechanizmy: środki do gromadzenia, utrzymywania i administrowania
trwałymi i masowymi zbiorami danych, środki zapewniające spójność i trwałymi i masowymi zbiorami danych, środki zapewniające spójność i bezpieczeństwo danych, sprawny dostęp do danych (zwykle poprzez język zapytań, bezpieczeństwo danych, sprawny dostęp do danych (zwykle poprzez język zapytań, np. SQL), środki programistyczne słuŜące do aktualizacji/przetwarzania danych (API np. SQL), środki programistyczne słuŜące do aktualizacji/przetwarzania danych (API dla popularnych języków programowania), jednoczesny dostęp do danych dla wielu dla popularnych języków programowania), jednoczesny dostęp do danych dla wielu uŜytkowników (z reguły realizowany poprzez transakcje), środki pozwalające na uŜytkowników (z reguły realizowany poprzez transakcje), środki pozwalające na regulację dostępu do danych (autoryzację), środki pozwalające na odtworzenie regulację dostępu do danych (autoryzację), środki pozwalające na odtworzenie zawartości bazy danych po awarii, środki do zarządzania katalogami, schematami i zawartości bazy danych po awarii, środki do zarządzania katalogami, schematami i innymi innymi metadanymimetadanymi, środki optymalizujące zajętość pamięci oraz czas dostępu (np. , środki optymalizujące zajętość pamięci oraz czas dostępu (np. indeksy), środki do pracy lub współdziałania w środowiskach rozproszonych.indeksy), środki do pracy lub współdziałania w środowiskach rozproszonych.
Systemy operacyjne Systemy operacyjne –– media media instalacyjneinstalacyjne
•• Dyskietka (MS DOS), lub CD/DVDDyskietka (MS DOS), lub CD/DVD
•• Twardy dyskTwardy dysk
•• Pamięć nieulotna (ROM, EPROM)Pamięć nieulotna (ROM, EPROM)
•• LiveLive--CD (pionier: CD (pionier: KnoppixKnoppix))
•• Dysk Twardy + Pamięć Nieulotna (stary Dysk Twardy + Pamięć Nieulotna (stary MacOSMacOS))
•• Pamięć USB (Pamięć USB (PendrivePendrive))
•• Terminal sieciowy (X Terminal sieciowy (X WindowWindow, Terminal Server), Terminal Server)
•• Start bezdyskowyStart bezdyskowy
Stacje bezdyskowe Stacje bezdyskowe -- zaletyzalety
• Aplikacje są uruchamiane na serwerze, a terminal zajmuje się przekazywaniem do nich danych wejściowych i wyświetlaniem wyjściowych.
• Niski koszt bieŜącej administracji
• Brak przywiązania uŜytkownika do komputera• Brak przywiązania uŜytkownika do komputera
• Wspólna konfiguracja na wszystkich maszynach
• Szybsza praca 1G = 100MB/sek, 50uS
• Minimalne wymagania sprzętowe
• Redukcja nakładów finansowych na sprzęt
• Poprawione bezpieczeństwo (aktualizacje, skanowanie w czasie rzeczywistym)
System X System X WindowWindow ––przykład Terminala opartego na przykład Terminala opartego na -- GUIGUI
•• Często oprócz X Często oprócz X WindowWindow System stosuje się teŜ nazwę X, X11 lub System stosuje się teŜ nazwę X, X11 lub X11R6.X11R6.–– Cechą charakterystyczną jest jego sieciowy charakter.Cechą charakterystyczną jest jego sieciowy charakter.
•• System X tworzy okna, na których program moŜe tworzyć obraz, oraz System X tworzy okna, na których program moŜe tworzyć obraz, oraz zajmuje się obsługą urządzeń wejściowych (myszki, klawiatury, zajmuje się obsługą urządzeń wejściowych (myszki, klawiatury, tabletu). Serwer X moŜe rysować tylko najprostsze obiekty (odcinki, tabletu). Serwer X moŜe rysować tylko najprostsze obiekty (odcinki, tabletu). Serwer X moŜe rysować tylko najprostsze obiekty (odcinki, tabletu). Serwer X moŜe rysować tylko najprostsze obiekty (odcinki, wielokąty, elipsy, wyświetlać bitmapy, stawiać pojedyncze piksele), nie wielokąty, elipsy, wyświetlać bitmapy, stawiać pojedyncze piksele), nie dostarcza natomiast Ŝadnego dostarcza natomiast Ŝadnego intefejsuintefejsu uŜytkownika, czyli przycisków, uŜytkownika, czyli przycisków, rozwijanych menu, pasków przewijania itp. Rysowaniem i obsługą tych rozwijanych menu, pasków przewijania itp. Rysowaniem i obsługą tych elementów musi zająć się program, najczęściej jest to biblioteka elementów musi zająć się program, najczęściej jest to biblioteka widgetówwidgetów. System X nie zajmuje się równieŜ obsługą okien, nie . System X nie zajmuje się równieŜ obsługą okien, nie dostarcza Ŝadnych wbudowanych mechanizmów do ich przesuwania, dostarcza Ŝadnych wbudowanych mechanizmów do ich przesuwania, zmiany rozmiaru, zamykania i uruchamiania programów itd., nie rysuje zmiany rozmiaru, zamykania i uruchamiania programów itd., nie rysuje takŜe pasków tytułowych dla okien takŜe pasków tytułowych dla okien –– tym wszystkim musi zająć się tym wszystkim musi zająć się osobny program, tzw. menedŜer okien (ang. osobny program, tzw. menedŜer okien (ang. windowwindow manager).manager).
System X System X WindowWindow –– Model KlientModel Klient--SerwerSerwer
•• X Server moŜe być:X Server moŜe być:–– Aplikacją rysującą w oknie znajdującym się Aplikacją rysującą w oknie znajdującym się
w innym systemie graficznym (X Serwer z w innym systemie graficznym (X Serwer z pakietu pakietu cygwincygwin).).
–– Programem systemowym obsługującym Programem systemowym obsługującym bezpośrednio kartę graficzną danego PC.bezpośrednio kartę graficzną danego PC.
–– Zintegrowanym urządzeniem.Zintegrowanym urządzeniem.
•• Protokół komunikacyjny:Protokół komunikacyjny:–– Komunikacja między serwerem a klientami Komunikacja między serwerem a klientami
jest realizowana za pomocą wymiany jest realizowana za pomocą wymiany pakietów przez połączenie sieciowe.pakietów przez połączenie sieciowe.
•• OknaOkna–– W Systemie X W Systemie X WindowWindow to co w innych systemach to co w innych systemach
określane jest mianem okna (określane jest mianem okna (windowwindow), tutaj nazywa się ), tutaj nazywa się toptop--levellevel--windowwindow. W X okna znajdują się . W X okna znajdują się wewnątrz innych okien (okna potomne i macierzyste). wewnątrz innych okien (okna potomne i macierzyste). Wszystkie elementy graficzne (przyciski, menu, suwaki Wszystkie elementy graficzne (przyciski, menu, suwaki itpitp) ) są realizowane w postaci okien potomnych.są realizowane w postaci okien potomnych.
–– W X jest jedno okno korzeń W X jest jedno okno korzeń (roo(root t windowwindow), które ma rozmiar ekranu. Wszystkie ), które ma rozmiar ekranu. Wszystkie pozostałe okna są jego potomkami.pozostałe okna są jego potomkami.
Jak to działa?Jak to działa?
•• KaŜdy X klient (czyli KaŜdy X klient (czyli aplikacja graficzna) aplikacja graficzna) odczytuje wartość odczytuje wartość zmiennej środowiskowej zmiennej środowiskowej DISPLAY, która definiuje DISPLAY, która definiuje z jakim X Serwerem ma się skontaktować. Typowe wartości to:z jakim X Serwerem ma się skontaktować. Typowe wartości to:
KDE – menadŜer okien dla X Window
•• export DISPLAY=localhost:1export DISPLAY=localhost:1
•• export DISPLAY=localhost:2export DISPLAY=localhost:2
•• export DISPLAY=server.iem.pw.edu.pl:1export DISPLAY=server.iem.pw.edu.pl:1
•• Jak bezpiecznie przesyłać dane? Protokół komunikacyjny X Jak bezpiecznie przesyłać dane? Protokół komunikacyjny X WindowWindowjest nieszyfrowany!jest nieszyfrowany!
•• Najłatwiej jest połączyć się konsolą tekstową i tunelować Najłatwiej jest połączyć się konsolą tekstową i tunelować połączenie.połączenie.
X X WindowWindow–– jest systemem wieloplatformowymjest systemem wieloplatformowym
•• Przykład: X Serwer Przykład: X Serwer w pakiecie w pakiecie CygwinCygwin
Linux Terminal Server Linux Terminal Server Project (LTSP)Project (LTSP)
•• Linux Terminal Server Project (LTSP) Linux Terminal Server Project (LTSP) ––pakiet dla systemu Linux umoŜliwiający pakiet dla systemu Linux umoŜliwiający podłączenie wielu komputerówpodłączenie wielu komputerów--terminali, terminali, nazywanych często Xnazywanych często X--terminalami, terminalami, w roli cienkiego klienta do serwera w roli cienkiego klienta do serwera linuksowego. linuksowego.
•• Dla uŜytkownika wizualnie nie ma róŜnicy, Dla uŜytkownika wizualnie nie ma róŜnicy, czy pracuje na "normalnym" stanowisku czy pracuje na "normalnym" stanowisku czy na terminalu bezdyskowym. W obydwu przypadkach po czy na terminalu bezdyskowym. W obydwu przypadkach po włączeniu komputera wczytuje się jądro oraz system włączeniu komputera wczytuje się jądro oraz system operacyjny. Prędkość uruchamiania jak i praca samych operacyjny. Prędkość uruchamiania jak i praca samych programów pozostaje równieŜ bez zmian (zaleŜne od programów pozostaje równieŜ bez zmian (zaleŜne od wydajności serwera LTSP). Sieć jest budowana w taki sam wydajności serwera LTSP). Sieć jest budowana w taki sam sposób, czyli wszystkie komputery połączone są z sposób, czyli wszystkie komputery połączone są z przełącznikiem (lub przełącznikami).przełącznikiem (lub przełącznikami).
Alternatywy dla X Alternatywy dla X WindowWindow: VNC i NX: VNC i NX
•• VNCVNC (ang. (ang. VirtualVirtual Network Network ComputingComputing) ) -- system przekazywania obrazu z system przekazywania obrazu z wirtualnego, bądź fizycznego środowiska graficznego.wirtualnego, bądź fizycznego środowiska graficznego.
–– Prosty pakiet Prosty pakiet serwer+klientserwer+klient jest dostępny pod najpopularniejsze systemy jest dostępny pod najpopularniejsze systemy operacyjne z trybem graficznym, jak: Linux, Windows, BSD, operacyjne z trybem graficznym, jak: Linux, Windows, BSD, MacOSMacOS, OS/2, Solaris, , OS/2, Solaris, Amiga, SCO i wiele innych. Amiga, SCO i wiele innych. KlientyKlienty VNC są dostępne nawet dla urządzeń typu PDA i VNC są dostępne nawet dla urządzeń typu PDA i niektórych telefonów komórkowych.niektórych telefonów komórkowych.
–– Jego wielką zaletą jest uŜycie licencji GPL, dzięki czemu VNC jest darmowe, bardzo Jego wielką zaletą jest uŜycie licencji GPL, dzięki czemu VNC jest darmowe, bardzo –– Jego wielką zaletą jest uŜycie licencji GPL, dzięki czemu VNC jest darmowe, bardzo Jego wielką zaletą jest uŜycie licencji GPL, dzięki czemu VNC jest darmowe, bardzo rozwinięte, dostosowane do róŜnych potrzeb i bardzo wydajny. rozwinięte, dostosowane do róŜnych potrzeb i bardzo wydajny.
–– http://www.realvnc.com/, http://www.tightvnc.com/ http://www.realvnc.com/, http://www.tightvnc.com/
•• PowaŜnym konkurentem staje się system PowaŜnym konkurentem staje się system NXNX, który działa z jeszcze większą , który działa z jeszcze większą wydajnością. wydajnością. -- Jego autorem jest Jego autorem jest GianGian Filippo Filippo PinzariPinzari, który oparł NX o , który oparł NX o istniejący protokół X11, przykładając jednak znacznie większą wagę do istniejący protokół X11, przykładając jednak znacznie większą wagę do kompresji danych przepływających między maszynami i uwzględniając kompresji danych przepływających między maszynami i uwzględniając charakterystykę współczesnych programów. W efekcie NX jest bardzo wydajny charakterystykę współczesnych programów. W efekcie NX jest bardzo wydajny i działa skutecznie nawet przez łącza modemowe (czyli o przepustowości do i działa skutecznie nawet przez łącza modemowe (czyli o przepustowości do 56,6 56,6 kbkb/s)./s).
–– http://www.nomachine.com/developers.php, http://www.nomachine.com/developers.php, http://www.linuxjournal.com/article/8342 http://www.linuxjournal.com/article/8342
Sieci lokalne LANSieci lokalne LAN
• Sieci Ethernet –propagacja sygnałów, adres MAC.
• Typy urządzeń –• Typy urządzeń –koncentratory, przełączniki, routery.
• Stacje bezdyskowe.
Sieć lokalnaSieć lokalna
•• Sieć lokalna Sieć lokalna (ang. (ang. LocalLocal AreaArea Network stąd Network stąd uŜywany takŜe w języku polskim skrót LAN) to uŜywany takŜe w języku polskim skrót LAN) to najmniej rozległa postać sieci komputerowej, najmniej rozległa postać sieci komputerowej, zazwyczaj ogranicza się do jednego budynku, zazwyczaj ogranicza się do jednego budynku, lub kilku pobliskich budynków (np. bloków na lub kilku pobliskich budynków (np. bloków na osiedlu). Technologie stosowane w sieciach osiedlu). Technologie stosowane w sieciach lokalnych moŜna podzielić na rozwiązanie oparte lokalnych moŜna podzielić na rozwiązanie oparte na przewodach (kable miedziane, światłowody) na przewodach (kable miedziane, światłowody) lub komunikacji radiowej (bezprzewodowe). W lub komunikacji radiowej (bezprzewodowe). W lub komunikacji radiowej (bezprzewodowe). W lub komunikacji radiowej (bezprzewodowe). W sieciach lokalnych przewodowych najczęściej sieciach lokalnych przewodowych najczęściej uŜywaną technologią jest Ethernet (za uŜywaną technologią jest Ethernet (za pośrednictwem kart sieciowych). Czasem są to pośrednictwem kart sieciowych). Czasem są to bardziej egzotyczne urządzenia jak np. port bardziej egzotyczne urządzenia jak np. port szeregowy (szeregowy (nullnull--modemmodem), port równoległy czy ), port równoległy czy port podczerwieni. W sieciach lokalnych port podczerwieni. W sieciach lokalnych bezprzewodowych najczęściej uŜywaną bezprzewodowych najczęściej uŜywaną technologią jest WLAN zwany takŜe technologią jest WLAN zwany takŜe WiFiWiFiokreślony standardami ETSI 802.11 Sieci lokalne określony standardami ETSI 802.11 Sieci lokalne podłączone są często do Internetu wspólnym podłączone są często do Internetu wspólnym łączem, takim jak SDI, łączem, takim jak SDI, NeostradaNeostrada, DSL itp. , DSL itp. Zasięg sieci lokalnej ogranicza się do ok 2km.Zasięg sieci lokalnej ogranicza się do ok 2km.
Sieci KomputeroweSieci Komputerowe
•• Sieć miejska MAN Sieć miejska MAN (ang. (ang. MetropolitanMetropolitan AreaArea Network) to duŜa sieć Network) to duŜa sieć komputerowa której zasięg obejmuje aglomerację lub miasto. Tego typu sieci komputerowa której zasięg obejmuje aglomerację lub miasto. Tego typu sieci uŜywają uŜywają najcześciejnajcześciej połączeń światłowodowych do komunikacji pomiędzy połączeń światłowodowych do komunikacji pomiędzy wchodzącymi w jej skład rozrzuconymi sieciami LAN. Wiele duŜych sieci wchodzącymi w jej skład rozrzuconymi sieciami LAN. Wiele duŜych sieci rozpoczęło swoją działalność jako sieci miejskie. rozpoczęło swoją działalność jako sieci miejskie.
•• WAN, Sieć rozległa WAN, Sieć rozległa (ang. (ang. WideWide AreaArea Network, WAN) Network, WAN) -- sieć łącząca sieci sieć łącząca sieci lokalne, inne (mniejsze) sieci rozległe, jak równieŜ pojedyncze komputery. lokalne, inne (mniejsze) sieci rozległe, jak równieŜ pojedyncze komputery. Odbywa się to przy pomocy urządzeń sieciowych takich jak routery oraz Odbywa się to przy pomocy urządzeń sieciowych takich jak routery oraz Odbywa się to przy pomocy urządzeń sieciowych takich jak routery oraz Odbywa się to przy pomocy urządzeń sieciowych takich jak routery oraz urządzeń dostępowych takich jak modemy. Doskonałym przykładem sieci urządzeń dostępowych takich jak modemy. Doskonałym przykładem sieci rozległych jest Internet. Protokoły stosowane w sieciach rozległych to rozległych jest Internet. Protokoły stosowane w sieciach rozległych to npnp: : X.25, X.25, FrameFrame RelayRelay, Point to Point , Point to Point ProtocolProtocol i ATM.i ATM.
•• Sieć szkieletowa Sieć szkieletowa backbonebackbone networknetwork -- sieć komputerowa, przez którą sieć komputerowa, przez którą przesyłana jest największa liczba informacji. Łączy zwykle mniejsze sieci przesyłana jest największa liczba informacji. Łączy zwykle mniejsze sieci ((siecisieci lokalne), grupy robocze, lokalne), grupy robocze, przelącznikiprzelączniki, sieci rozległe. Urządzenia , sieci rozległe. Urządzenia wchodzące w wchodzące w strukturestrukture sieci szkieletowej z sieci szkieletowej z regulyreguly odpowiedzialne są za odpowiedzialne są za funkcjonowanie całej sieci na funkcjonowanie całej sieci na okreslonymokreslonym obszarze.obszarze.
Topologie SiecioweTopologie Sieciowe
•• MagistralaMagistrala
•• Pierścień (Pierścień (TokenToken Ring)Ring)
•• GwiazdaGwiazda
•• P2P P2P –– PeerPeer To To PeerPeer
•• Sieci bezprzewodoweSieci bezprzewodowe
•• PPP (Point To Point PPP (Point To Point ProtocolProtocol) ) –– połączenia modemowe.połączenia modemowe.
Elementy sprzętowe, urządzeniaElementy sprzętowe, urządzenia
Sieci globalne WAN, InternetSieci globalne WAN, Internet
• Systemy zapór (ang. fire-wall).
• Sieci wydzielone • Sieci wydzielone i wirtualne, VPN, PPTP.
• Sieci wyeksponowane i wewnętrzne.
Częściowa mapa internetu
Model sieci TCP/IPModel sieci TCP/IP7 WARSTW
Teoria
4 WARSTWYPraktyka
Protokoły i systemy siecioweProtokoły i systemy sieciowe
• Rodzina protokołów – IP - TCP/IP - model warstwowej struktury protokołów
komunikacyjnych; został stworzony w latach 70. XX wieku w DARPA, aby pomóc w tworzeniu odpornych na atak sieci komputerowych; stał się podstawą struktury Internetu.
– IPX/SPX - zestaw protokołów sieciowych firmy Novell (protokół warstwy sieciowej IPX i warstwy transportowej SPX). UŜytkowany w sieciach lokalnych. Rozwiązanie to dostępne jest w systemach: NetWare, MS-DOS, MS Windows i OS/2. Obecnie protokoły te są wycofywane i zastępowane zestawem protokołów TCP/IP.
TCP i UDPTCP i UDP
•• UDPUDP: : UserUser DatagramDatagram ProtocolProtocol,,
•• Prostszy i wydajniejszyProstszy i wydajniejszy niŜ TCP, niŜ TCP,
•• Nie gwarantuje Nie gwarantuje dotarcia wiadomości,dotarcia wiadomości,
•• BezpołączeniowyBezpołączeniowy (nie ma sesji, kaŜdy (nie ma sesji, kaŜdy pakiet jest przesyłany osobno),pakiet jest przesyłany osobno),
•• UŜywany najczęściej UŜywany najczęściej przy komunikacji przy komunikacji StrumieniowejStrumieniowej(media, (media, VoIPVoIP))
Protokoły sieciowe z podziałem na Protokoły sieciowe z podziałem na Warstwy w których pracująWarstwy w których pracują
•• Warstwa aplikacjiWarstwa aplikacji: : DNS, ED2K, FTP, HTTP, HTTPS, DNS, ED2K, FTP, HTTP, HTTPS, IMAP, IRC, NCP, IMAP, IRC, NCP, NetBIOSNetBIOS, , NWLinkNWLink, NTP, POP3, RPC, SMTP, , NTP, POP3, RPC, SMTP, SMB, SSH, Telnet, X.500, SMB, SSH, Telnet, X.500,
•• Warstwa transportowaWarstwa transportowa: : •• Warstwa transportowaWarstwa transportowa: : NetBEUINetBEUI, IPX, SSL, TCP, UDP, IPX, SSL, TCP, UDP
•• Warstwa sieciowaWarstwa sieciowa: : ARP, IP, ICMP, ARP, IP, ICMP, IPsecIPsec, NAT, NAT
•• Warstwa dostępu do sieciWarstwa dostępu do sieci: : 10BASE10BASE--T, 802.11b/g T, 802.11b/g WiFiWiFi, ADSL, , ADSL, DHCP, Ethernet, ISDN, PPP, RSDHCP, Ethernet, ISDN, PPP, RS--232, SLIP, 232, SLIP, TokenToken RingRing
Warstwa Dostępu do Sieci: np.: DHCPWarstwa Dostępu do Sieci: np.: DHCP•• DHCP (ang. DHCP (ang. DynamicDynamic Host Host
ConfigurationConfiguration ProtocolProtocol) to protokół ) to protokół komunikacyjny umoŜliwiający komunikacyjny umoŜliwiający komputerom uzyskanie od serwera komputerom uzyskanie od serwera danych konfiguracyjnych, danych konfiguracyjnych, np. adresu IP hosta, np. adresu IP hosta, adresu IP bramy sieciowej, adresu IP bramy sieciowej, adresu serwera DNS, maski sieci, adresu serwera DNS, maski sieci, i innych.i innych.i innych.i innych.
•• Protokół DHCP opisuje trzy techniki Protokół DHCP opisuje trzy techniki przydzielania adresów IP:przydzielania adresów IP:
–– przydzielanie ręczne oparte na tablicy adresów MAC oraz odpowiednich dla nich adresów IP. przydzielanie ręczne oparte na tablicy adresów MAC oraz odpowiednich dla nich adresów IP. Jest ona tworzona przez administratora serwera DHCP. W takiej sytuacji prawo do pracy w Jest ona tworzona przez administratora serwera DHCP. W takiej sytuacji prawo do pracy w sieci mają tylko komputery zarejestrowane wcześniej przez obsługę systemu.sieci mają tylko komputery zarejestrowane wcześniej przez obsługę systemu.
–– przydzielanie automatyczne, gdzie wolne adresy IP z zakresu ustalonego przez administratora przydzielanie automatyczne, gdzie wolne adresy IP z zakresu ustalonego przez administratora są przydzielane kolejnym zgłaszającym się po nie klientom.są przydzielane kolejnym zgłaszającym się po nie klientom.
–– przydzielanie dynamiczne, pozwalające na ponowne uŜycie adresów IP. Administrator sieci przydzielanie dynamiczne, pozwalające na ponowne uŜycie adresów IP. Administrator sieci nadaje zakres adresów IP do rozdzielenia. Automatycznie pobierane nadaje zakres adresów IP do rozdzielenia. Automatycznie pobierane adresysąadresysą udostępniane udostępniane na określony czas: LEASE TIME PERIOD.na określony czas: LEASE TIME PERIOD.
Przykład SMTP: Simple Mail Transfer Przykład SMTP: Simple Mail Transfer ProtocolProtocol•• SMTPSMTP (ang. Simple Mail Transfer (ang. Simple Mail Transfer ProtocolProtocol) ) -- protokół komunikacyjny opisujący sposób protokół komunikacyjny opisujący sposób
przekazywania poczty elektronicznej w przekazywania poczty elektronicznej w internecieinternecie..
•• SMTP to względnie prosty, tekstowy protokół, w którym określa się SMTP to względnie prosty, tekstowy protokół, w którym określa się co najmniej jednego co najmniej jednego odbiorcęodbiorcę wiadomości (w większości przypadków weryfikowane jest jego istnienie), a wiadomości (w większości przypadków weryfikowane jest jego istnienie), a następnie przekazuje treść wiadomości. Łatwo przetestować serwer SMTP przy uŜyciu następnie przekazuje treść wiadomości. Łatwo przetestować serwer SMTP przy uŜyciu programu telnet.programu telnet.
•• Protokół ten nie radził sobie dobrze z plikami binarnymi, poniewaŜ stworzony był w Protokół ten nie radził sobie dobrze z plikami binarnymi, poniewaŜ stworzony był w oparciu o czysty tekst ASCII. W celu kodowania plików binarnych do przesyłu przez oparciu o czysty tekst ASCII. W celu kodowania plików binarnych do przesyłu przez SMTP stworzono standardy takie jak MIME. SMTP stworzono standardy takie jak MIME.
•• Przykład sesji SMTP:Przykład sesji SMTP:
POP POP –– Post Office Post Office ProtocolProtocol (POP3)(POP3)
•• RównieŜ protokół tekstowy. Przykładowa sesja:RównieŜ protokół tekstowy. Przykładowa sesja:
Protokół HTTPProtokół HTTP
Protokoły i systemy siecioweProtokoły i systemy sieciowe
•• Network Network InformationInformation Service (NIS) Service (NIS) -- pierwotnie pierwotnie YellowYellow PagesPages lub lub ypyp; protokół ; protokół typu klienttypu klient--serwer opracowany przez Sun Microsystems, słuŜący do śledzenia serwer opracowany przez Sun Microsystems, słuŜący do śledzenia uŜytkowników i nazw hostów w sieci. Pozwala na scentralizowane zarządzanie uŜytkowników i nazw hostów w sieci. Pozwala na scentralizowane zarządzanie kontami uŜytkowników w sieci, udostępnianie zasobów tekstowych takich jak kontami uŜytkowników w sieci, udostępnianie zasobów tekstowych takich jak listy hostów adresów email i inne podobne.listy hostów adresów email i inne podobne.KERBEROSKERBEROS
•• SSHSSH (ang. (ang. securesecure shellshell) ) -- to standard szyfrowanych protokołów to standard szyfrowanych protokołów komunikacyjnych uŜywanych w sieciach komputerowych TCP/IP, w komunikacyjnych uŜywanych w sieciach komputerowych TCP/IP, w komunikacyjnych uŜywanych w sieciach komputerowych TCP/IP, w komunikacyjnych uŜywanych w sieciach komputerowych TCP/IP, w architekturze klientarchitekturze klient--serwerserwer
•• TLS TLS ((angang. Transport Layer Security) . Transport Layer Security) –– przyjęteprzyjęte jakojako standard w standard w InternecieInternecierozwinięcierozwinięcie protokołuprotokołu SSLSSL ((angang. Secure Socket Layer), w . Secure Socket Layer), w swojejswojej pierwotnejpierwotnejwersjiwersji zaprojektowanegozaprojektowanego przezprzez firmęfirmę Netscape Communications Corporation. Netscape Communications Corporation. TLS ma TLS ma nana celucelu zapewnieniezapewnienie poufnościpoufności ii integralnościintegralności transmisjitransmisji danychdanych orazorazzapewnieniezapewnienie uwierzytelnieniauwierzytelnienia, , opieraopiera sięsię nana szyfrachszyfrach asymetrycznychasymetrycznych orazorazcertyfikatachcertyfikatach standardustandardu X.509.X.509.
Bezpieczeństwo siecioweBezpieczeństwo sieciowe
Bezpieczeństwo sieciowe Bezpieczeństwo sieciowe -- NATNAT•• NAT: inaczej maskarada (ang. NAT: inaczej maskarada (ang. MasqueradingMasquerading) ) -- technika translacji adresów technika translacji adresów
sieciowych.sieciowych.
•• Lokalne sieci komputerowe, korzystające z tzw. adresów prywatnych Lokalne sieci komputerowe, korzystające z tzw. adresów prywatnych (specjalna pula adresów tylko dla sieci lokalnych), mogą zostać podłączone (specjalna pula adresów tylko dla sieci lokalnych), mogą zostać podłączone do Internetu przez jeden komputer (lub router), posiadający mniej adresów do Internetu przez jeden komputer (lub router), posiadający mniej adresów internetowych niŜ komputerów w tej sieci.internetowych niŜ komputerów w tej sieci.
–– Wady: nie moŜna na własnym komputerze uruchomić serwera dostępnego w Internecie bez Wady: nie moŜna na własnym komputerze uruchomić serwera dostępnego w Internecie bez zmian wymagających interwencji administratora, utrudnione korzystanie z programów P2P i zmian wymagających interwencji administratora, utrudnione korzystanie z programów P2P i zmian wymagających interwencji administratora, utrudnione korzystanie z programów P2P i zmian wymagających interwencji administratora, utrudnione korzystanie z programów P2P i bezpośredniego wysyłania plików, zahamował wprowadzenie IPv6.bezpośredniego wysyłania plików, zahamował wprowadzenie IPv6.
Bezpieczeństwo Bezpieczeństwo –– Serwer Serwer pośredniczący Proxypośredniczący Proxy
•• Proxy Proxy -- oprogramowanie lub serwer z odpowiednim oprogramowaniem, które oprogramowanie lub serwer z odpowiednim oprogramowaniem, które dokonuje pewnych operacji (zwykle nawiązuje połączenia) w imieniu dokonuje pewnych operacji (zwykle nawiązuje połączenia) w imieniu uŜytkownika. Często utoŜsamiany z pośrednikiem HTTP (uŜytkownika. Często utoŜsamiany z pośrednikiem HTTP (HTTPHTTP proxyproxy).).
•• UŜytkownik zleca pośrednikowi zadania za pomocą odpowiedniego klienta. W UŜytkownik zleca pośrednikowi zadania za pomocą odpowiedniego klienta. W wypadku usług FTP i HTTP jest to klient FTP i przeglądarka internetowa.wypadku usług FTP i HTTP jest to klient FTP i przeglądarka internetowa.
•• UŜycie pośrednika wprowadza w sieci element zabezpieczający, poniewaŜ jego UŜycie pośrednika wprowadza w sieci element zabezpieczający, poniewaŜ jego praca realizowana jest w warstwie aplikacyjnej modeli ISO/OSI, i jako taka moŜe praca realizowana jest w warstwie aplikacyjnej modeli ISO/OSI, i jako taka moŜe praca realizowana jest w warstwie aplikacyjnej modeli ISO/OSI, i jako taka moŜe praca realizowana jest w warstwie aplikacyjnej modeli ISO/OSI, i jako taka moŜe analizować logiczną zawartość pakietów, a nie jedynie ich formalną zgodność ze analizować logiczną zawartość pakietów, a nie jedynie ich formalną zgodność ze standardem. UmoŜliwia to wykrywanie wirusów, lub nielegalnych tuneli danych.standardem. UmoŜliwia to wykrywanie wirusów, lub nielegalnych tuneli danych.
•• Podsumowując, dzięki Podsumowując, dzięki proxyproxy moŜna uzyskać:moŜna uzyskać:–– zmniejszenie czasu dostępu do danych z Internetuzmniejszenie czasu dostępu do danych z Internetu
–– zmniejszenie obciąŜenia łącz internetowychzmniejszenie obciąŜenia łącz internetowych
–– większe bezpieczeństwo i anonimowość uŜytkownikówwiększe bezpieczeństwo i anonimowość uŜytkowników
–– moŜliwość kontroli i wprowadzenia pewnych ograniczeńmoŜliwość kontroli i wprowadzenia pewnych ograniczeń
Bezpieczeństwo sieciowe Bezpieczeństwo sieciowe -- VPNVPN
•• VPN VPN ––VirtualVirtual PrivatePrivate NetworkNetwork
OpenSSHOpenSSH•• Oparte na kluczach niesymetrycznych, podczas Oparte na kluczach niesymetrycznych, podczas łaczeniałaczenia z serwerem musimy z serwerem musimy
zaakceptować klucz serwera.zaakceptować klucz serwera.
•• Klient i serwer Klient i serwer sshssh
•• Bezpieczne kopiowanie: Bezpieczne kopiowanie: scpscp
•• Generacja kluczy do automatycznego logowaniaGeneracja kluczy do automatycznego logowania
•• Tunelowanie Tunelowanie sshssh: (np.: bezpieczny dostęp do konta POP3, ominięcie : (np.: bezpieczny dostęp do konta POP3, ominięcie rygorystycznego firewalla)rygorystycznego firewalla)rygorystycznego firewalla)rygorystycznego firewalla)
Zaawansowane protokoły siecioweZaawansowane protokoły sieciowe
•• DCOMDCOM ((DistributedDistributed ComponentComponent ObjectObject Model Model -- rozproszony obiektowy model rozproszony obiektowy model komponentów) jest opracowanym przez Microsoft sposobem budowania komponentów) jest opracowanym przez Microsoft sposobem budowania komponentów programowych i zapewniania komunikacji między nimi w małej komponentów programowych i zapewniania komunikacji między nimi w małej sieci komputerowej. Rozwinięty z COM jako odpowiedź na CORBA, stał się sieci komputerowej. Rozwinięty z COM jako odpowiedź na CORBA, stał się później częścią COM+. Został przez Microsoft uznany za przestarzały na rzecz później częścią COM+. Został przez Microsoft uznany za przestarzały na rzecz platformy .NET.platformy .NET.
•• RPCRPC ((RemoteRemote ProcedureProcedure CallCall) to protokół zdalnego wywoływania procedur, ) to protokół zdalnego wywoływania procedur, •• RPCRPC ((RemoteRemote ProcedureProcedure CallCall) to protokół zdalnego wywoływania procedur, ) to protokół zdalnego wywoływania procedur, stworzony przez Suna i swego czasu dość popularny na Uniksach, obsługiwany stworzony przez Suna i swego czasu dość popularny na Uniksach, obsługiwany w bibliotekach języka Java, a współcześnie wypierany przez bardziej w bibliotekach języka Java, a współcześnie wypierany przez bardziej rozbudowane protokoły takie jak CORBA czy rozbudowane protokoły takie jak CORBA czy XMLXML--RPCRPC..
•• MPIMPI (Interfejs Transmisji Wiadomości, ang. (Interfejs Transmisji Wiadomości, ang. MessageMessage PassingPassing InterfeceInterfece) to ) to protokólprotokól komunikacji pomiędzy komputerami. Tak naprawdę jest to standard komunikacji pomiędzy komputerami. Tak naprawdę jest to standard komunikowania się działających na węzłach programów równoległych. MPI komunikowania się działających na węzłach programów równoległych. MPI tworzą biblioteki, które moŜna wywoływać w programach tworzonych w tworzą biblioteki, które moŜna wywoływać w programach tworzonych w językach Fortran, C, C++ i Ada.językach Fortran, C, C++ i Ada.
Zaawansowane protokoły siecioweZaawansowane protokoły sieciowe
•• SOAPSOAP (Simple (Simple ObjectObject Access Access ProtocolProtocol) to protokół wywoływania ) to protokół wywoływania zdalnego dostępu do obiektów, wykorzystujący XML do kodowania zdalnego dostępu do obiektów, wykorzystujący XML do kodowania wywołań i HTTP do ich przenoszenia. Dokument SOAP składa się z wywołań i HTTP do ich przenoszenia. Dokument SOAP składa się z trzech części: otoczki (trzech części: otoczki (envelopeenvelope) która określa szkielet opisujący co ) która określa szkielet opisujący co znajduje się w komunikacie i jak go przetwarzać, zbioru reguł znajduje się w komunikacie i jak go przetwarzać, zbioru reguł kodujących potrzebnych do rozszyfrowania typów danych (równieŜ kodujących potrzebnych do rozszyfrowania typów danych (równieŜ złoŜonych) zdefiniowanych wewnątrz aplikacji, reguł dotyczących złoŜonych) zdefiniowanych wewnątrz aplikacji, reguł dotyczących złoŜonych) zdefiniowanych wewnątrz aplikacji, reguł dotyczących złoŜonych) zdefiniowanych wewnątrz aplikacji, reguł dotyczących wywoływania zdalnych procedur i odczytu odpowiedzi.wywoływania zdalnych procedur i odczytu odpowiedzi.
•• NFSNFS (Network File System) to oparty o UDP protokół zdalnego (Network File System) to oparty o UDP protokół zdalnego udostępniania systemu plików. NFS jest de facto standardowym udostępniania systemu plików. NFS jest de facto standardowym sieciowym systemem plików na Uniksach. Inne protokoły sieciowym systemem plików na Uniksach. Inne protokoły udostępniające taką usługę, jak np. Coda, nie zyskały duŜej udostępniające taką usługę, jak np. Coda, nie zyskały duŜej popularności. NFS został opracowany przez Sun Microsystems. Z popularności. NFS został opracowany przez Sun Microsystems. Z NFS wiąŜe się wiele problemów NFS wiąŜe się wiele problemów -- przede wszystkim bardzo trudno przede wszystkim bardzo trudno zapewnić Ŝe dana operacja została wykonana. zapewnić Ŝe dana operacja została wykonana.
Zaawansowane protokoły siecioweZaawansowane protokoły sieciowe•• LDAPLDAP ((LightweightLightweight DirectoryDirectory Access Access ProtocolProtocol). Jest to "lekki" protokół ). Jest to "lekki" protokół
przeznaczony do dostępu do usług katalogowych. Bazuje na usługach przeznaczony do dostępu do usług katalogowych. Bazuje na usługach katalogowych X.500. Wykorzystywany praktycznie w adresacji sieci katalogowych X.500. Wykorzystywany praktycznie w adresacji sieci Internet/Intranet w celu zapewnienia niezawodności, skalowalności i Internet/Intranet w celu zapewnienia niezawodności, skalowalności i bezpieczeństwa danych. W odróŜnieniu od X.500 nie potrzebuje ani bezpieczeństwa danych. W odróŜnieniu od X.500 nie potrzebuje ani szerokiego pasma (szerokiego pasma (lightweightlightweight), ani duŜej mocy obliczeniowej. LDAP ), ani duŜej mocy obliczeniowej. LDAP pracuje w oparciu o protokół TCP/IP lub inne połączeniowe usługi pracuje w oparciu o protokół TCP/IP lub inne połączeniowe usługi transportu. Dane grupowane są w strukturze przypominającej drzewo transportu. Dane grupowane są w strukturze przypominającej drzewo transportu. Dane grupowane są w strukturze przypominającej drzewo transportu. Dane grupowane są w strukturze przypominającej drzewo katalogów. KaŜdy obiekt jest jednoznacznie identyfikowany poprzez katalogów. KaŜdy obiekt jest jednoznacznie identyfikowany poprzez swoje połoŜenie na drzewie swoje połoŜenie na drzewie -- tzw. tzw. distinguisheddistinguished namename (DN).(DN).
•• NISNIS (Network (Network InformationInformation Service) Celem jego jest dostarczanie Service) Celem jego jest dostarczanie informacji, które muszą być dostępne w sieci (zwykle lokalnej) dla informacji, które muszą być dostępne w sieci (zwykle lokalnej) dla wszystkich komputerów. Informacje, które zwykle są dystrybuowane wszystkich komputerów. Informacje, które zwykle są dystrybuowane to: login/hasła/katalogi domowe, informacje o grupach. Jeśli na to: login/hasła/katalogi domowe, informacje o grupach. Jeśli na przykład informacja o twoim haśle jest zapisana w bazie haseł NIS, przykład informacja o twoim haśle jest zapisana w bazie haseł NIS, będziesz mógł się zalogować na wszystkich maszynach na sieci, które będziesz mógł się zalogować na wszystkich maszynach na sieci, które mają uruchomionego klienta NIS.mają uruchomionego klienta NIS.
Zaawansowane protokoły siecioweZaawansowane protokoły sieciowe•• ActiveActive DirectoryDirectory to usługi katalogowe dla Windows 2003 Server oraz Windows to usługi katalogowe dla Windows 2003 Server oraz Windows
2000. Katalog przechowuje informacje o obiektach dostępnych w sieci 2000. Katalog przechowuje informacje o obiektach dostępnych w sieci –– czy są czy są to udziały sieciowe, drukarki, komputery, czy teŜ wyspecjalizowane serwery to udziały sieciowe, drukarki, komputery, czy teŜ wyspecjalizowane serwery bazodanowe czy inne oprogramowanie serwerowe. Dzięki bazodanowe czy inne oprogramowanie serwerowe. Dzięki ActiveActive DirectoryDirectoryadministrator ma potęŜne narzędzie pozwalające na wprowadzenie porządku i administrator ma potęŜne narzędzie pozwalające na wprowadzenie porządku i określonej, hierarchicznej struktury w sieci.określonej, hierarchicznej struktury w sieci.
•• ActiveActive DirectoryDirectory zarządza domenami Windows, które łączą się w hierarchiczną zarządza domenami Windows, które łączą się w hierarchiczną strukturę drzew domen i lasów domen. Są one zintegrowane z serwerami DNS.strukturę drzew domen i lasów domen. Są one zintegrowane z serwerami DNS.strukturę drzew domen i lasów domen. Są one zintegrowane z serwerami DNS.strukturę drzew domen i lasów domen. Są one zintegrowane z serwerami DNS.
•• „To „To allowallow ActiveActive DirectoryDirectory to to gaingain popularitypopularity as an as an enterpriseenterprise repositoryrepository, , Microsoft Microsoft hadhad to make an to make an earlyearly commitmentcommitment to LDAP. to LDAP. TheThe Windows 2000 Windows 2000 implementationimplementation of of ActiveActive DirectoryDirectory isis an an LDAPLDAP--compliantcompliant directorydirectory supportingsupportingthethe corecore LDAP LDAP RFCsRFCs availableavailable atat thethe time of time of itsits releaserelease. . CurrentlyCurrently, Windows 2000 , Windows 2000 ActiveActive DirectoryDirectory reachesreaches LDAP LDAP compliancecompliance throughthrough supportsupport of of thethe followingfollowingRFCsRFCs.“.“(cytat z: “(cytat z: “ActiveActive DirectoryDirectory LDAP LDAP ComplianceCompliance, Microsoft Corporation, , Microsoft Corporation, PublishedPublished: : OctoberOctober 2003)2003)
SYSTEMY OPERACYJNESYSTEMY OPERACYJNE
System operacyjny jako Maszyna System operacyjny jako Maszyna WirtualnaWirtualna
•• System operacyjny udostępnia Maszynę Wirtualną, System operacyjny udostępnia Maszynę Wirtualną, która jest łatwiejsza w uŜyciu. (Fasada)która jest łatwiejsza w uŜyciu. (Fasada)–– Po co?Po co?
–– RóŜnorodność RóŜnorodność sprzętowa,sprzętowa,sprzętowa,sprzętowa,
–– Nowe wersje sprzętu,Nowe wersje sprzętu,
–– Błędy w sterownikach,Błędy w sterownikach,
–– NiŜsze koszty NiŜsze koszty
–– wytwarzaniawytwarzania
–– oprogramowania,oprogramowania,
–– itp.itp.
Składniki systemu operacyjnegoSkładniki systemu operacyjnego
•• System plików System plików (lub kilka (lub kilka systemów) pozwalający logicznie systemów) pozwalający logicznie organizować pliki.organizować pliki.
•• Podstawowy interfejs Podstawowy interfejs uŜytkownikauŜytkownika: : –– CLI CLI –– commandcommand lineline interfaceinterface lub lub
–– GUI GUI –– graphicalgraphical useruser interfaceinterface..–– GUI GUI –– graphicalgraphical useruser interfaceinterface..
•• Centralną częścią systemu jest Centralną częścią systemu jest JĄDROJĄDRO ((kernelkernel) odpowiedzialne ) odpowiedzialne za przydzielanie oraz za przydzielanie oraz synchronizację wykorzystania synchronizację wykorzystania zasobów między uruchomionymi zasobów między uruchomionymi procesami.procesami.
•• Warstwa techniczna Warstwa techniczna kontrolująca kontrolująca urządzenia za pomocą urządzenia za pomocą sterowników.sterowników.
Poziomy Uprawnień UŜytkownikówPoziomy Uprawnień UŜytkowników•• Konto uprzywilejowane: Konto uprzywilejowane:
–– Unix: Unix: rootroot (ma automatycznie dostęp do absolutnie wszystkiego)(ma automatycznie dostęp do absolutnie wszystkiego)
–– Windows: Administrator (musi mieć udostępnione prawo do danego obiektu, całe szczęście Windows: Administrator (musi mieć udostępnione prawo do danego obiektu, całe szczęście Administrator moŜe udostępniać prawa do absolutnie wszystkich obiektów)Administrator moŜe udostępniać prawa do absolutnie wszystkich obiektów)
•• Konta uprzywilejowane Konta uprzywilejowane NIGDY nie powinny NIGDY nie powinny być uŜywane podczas być uŜywane podczas normalnej pracy normalnej pracy normalnej pracy normalnej pracy uŜytkownika.uŜytkownika.
–– W Windows Vista W Windows Vista Microsoft wprowadził Microsoft wprowadził technologię UAC technologię UAC ––UserUser AccountAccount ControlControl, , aby zmniejszyć liczbę aby zmniejszyć liczbę programów programów wymagających wymagających uprawnień administratora.uprawnień administratora.
•• Aspekty socjologiczne. Aspekty socjologiczne.
Systemy operacyjne Systemy operacyjne --środowisko niejednorodneśrodowisko niejednorodne
• Unix (FreeBSD, Linux, Solaris)
• MS-Windows (2000/XP/2003/Vista/7)
• MS-DOS ?• MS-DOS ?
• Novell Netware
• Plan9, QNX, BeOS
• Wirtualizacja systemu (Vmware, Virtual-PC, Qemu, VirtualBox)
Systemy otwarte Systemy otwarte –– problem GPLproblem GPL
• FreeBSD 7.2, 8.x
• Linux 2.4.x, 2.6.x– Gentoo http://www.gentoo.org– Debian (Knoppix 3.4)– Debian (Knoppix 3.4)– Mandrake 10.0– Redhat (Fedora10/11)
Aplikacje a systemy Aplikacje a systemy –– optymalna optymalna wersja aplikacjiwersja aplikacji
• Wersje Unix a MS-Windows
• Emulacja (DOS, Wine, OpenDOS)
• Wirtualizacja systemu operacyjnego• Wirtualizacja systemu operacyjnego
Wirtualizacja systemów komputerowychWirtualizacja systemów komputerowych
•• JeŜeli chcemy eksperymentować z róŜnymi systemami, a JeŜeli chcemy eksperymentować z róŜnymi systemami, a boimy się stracić dane na aktualnym systemie, poniewaŜ boimy się stracić dane na aktualnym systemie, poniewaŜ instalacja nowego systemu wiąŜe się z partycjonowaniem instalacja nowego systemu wiąŜe się z partycjonowaniem dysku warto sięgnąć po oprogramowanie dysku warto sięgnąć po oprogramowanie wirtualizującewirtualizujące::–– VMwareVMware, ,
–– Microsoft Microsoft VirtualVirtual PC,PC,–– Microsoft Microsoft VirtualVirtual PC,PC,
–– BochsBochs..
–– Sun Sun xVMxVM VirtualVirtual BoxBox
•• Sugestia: Sugestia: –– VMwareVMware. . --> od 2006 roku dostępna wersja darmowa: > od 2006 roku dostępna wersja darmowa: VMwareVMware Server ora Server ora
VMwareVMware PlayerPlayer•• http://www.vmware.com/products/server/http://www.vmware.com/products/server/
–– Sun Sun xVMxVM VirtualVirtual BoxBox –– równieŜ oprogramowanie darmowe od firmy Sun równieŜ oprogramowanie darmowe od firmy Sun MicrosystemsMicrosystems
Maszyny Wirtualne Maszyny Wirtualne –– Zabawki czy Zabawki czy Zastosowania Profesjonalne?Zastosowania Profesjonalne?
•• Dla programistów jako środowiska testowe dla aplikacji Dla programistów jako środowiska testowe dla aplikacji na róŜnych systemach operacyjnych (często wersjach na róŜnych systemach operacyjnych (często wersjach systemów).systemów).
•• Dla twórców systemów operacyjnych.Dla twórców systemów operacyjnych.
•• Dla administratorów. Jedna maszyna fizyczna Dla administratorów. Jedna maszyna fizyczna współdzielona przez kilka maszyn logicznych, zwłaszcza współdzielona przez kilka maszyn logicznych, zwłaszcza przydatne przy nieregularnym obciąŜeniu.przydatne przy nieregularnym obciąŜeniu.
•• Dla akademików. Studenci mogą mieć własne Dla akademików. Studenci mogą mieć własne komputery w ramach infrastruktury uczelni.komputery w ramach infrastruktury uczelni.
Konfiguracja systemów komputerowychKonfiguracja systemów komputerowychWindows Windows –– Rejestr SystemowyRejestr Systemowy
•• Binarny rejestr systemowy rozbity na dwie części:Binarny rejestr systemowy rozbity na dwie części:
•• Część systemowa (Część systemowa (HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE))
•• Część uŜytkownika Część uŜytkownika ((HKEY_CURRENT_USERHKEY_CURRENT_USER))
Rejestr SystemowyRejestr Systemowy
•• Składa się z pięciu korzeni:Składa się z pięciu korzeni:
•• HKEY_CLASSES_ROOTHKEY_CLASSES_ROOT ––
•• informacje o typach plików informacje o typach plików
•• oraz skojarzeniach z oraz skojarzeniach z
•• odpowiednimi rozszerzeniami,odpowiednimi rozszerzeniami,
•• HKEY_CURRENT_USERHKEY_CURRENT_USER ––
•• zawiera konfigurację systemu oraz programów związaną z aktualnie zawiera konfigurację systemu oraz programów związaną z aktualnie zalogowanym uŜytkownikiem,zalogowanym uŜytkownikiem,
•• HKEY_LOCAL_MACHINEHKEY_LOCAL_MACHINE –– konfiguracja komputera oraz zainstalowanego konfiguracja komputera oraz zainstalowanego systemu operacyjnego,systemu operacyjnego,
•• HKEY_USERSHKEY_USERS –– informacje o profilach wszystkich uŜytkowników utworzonych informacje o profilach wszystkich uŜytkowników utworzonych na danym komputerze,na danym komputerze,
•• HKEY_CURRENT_CONFIGHKEY_CURRENT_CONFIG –– konfiguracja aktualnego profilu sprzętowego.konfiguracja aktualnego profilu sprzętowego.
Rejestr SystemowyRejestr Systemowy
•• Klucze, Klucze, podkluczepodklucze oraz ich wartości:oraz ich wartości:–– REG_SZREG_SZ –– napis,napis,
–– REG_MULTI_SZREG_MULTI_SZ –– tablica napisów,tablica napisów,
–– REG_EXPAND_SZREG_EXPAND_SZ –– napis wskazujący napis wskazujący ścieźkęścieźkę do pliku,do pliku,
–– REG_BINARYREG_BINARY –– wartości binarne,wartości binarne,
–– REG_DWORDREG_DWORD –– liczby całkowite.liczby całkowite.–– REG_DWORDREG_DWORD –– liczby całkowite.liczby całkowite.
•• Źródło podpowiedzi i ciekawostek związanych z rejestrem:Źródło podpowiedzi i ciekawostek związanych z rejestrem:http://www.winguides.com/registry/ http://www.winguides.com/registry/
Konfiguracja Windows Konfiguracja Windows –– Panel Panel SterowaniaSterowania
•• Wszyscy znamy panel sterowania.Wszyscy znamy panel sterowania.
–– W narzędziach administracyjnych znajdziemy Zarządzanie komputerem.W narzędziach administracyjnych znajdziemy Zarządzanie komputerem.
–– Panel sterowania zbudowany jest z apletów:Panel sterowania zbudowany jest z apletów:•• System System PropertiesProperties: : sysdm.cplsysdm.cpl
•• Display Display PropertiesProperties: : desk.cpldesk.cpl
•• Network Network ConnectionsConnections:: ncpa.cplncpa.cpl
•• AddAdd oror removeremove programsprograms:: appwiz.cplappwiz.cpl•• AddAdd oror removeremove programsprograms:: appwiz.cplappwiz.cpl
•• AddAdd Hardware Hardware WizardWizard: : hdwwiz.cplhdwwiz.cpl
•• Internet Internet PropertiesProperties:: Inetcpl.cplInetcpl.cpl
•• Region and Region and LanguageLanguage OptionsOptions:: intl.cplintl.cpl
•• SoundSound and Audio Devices:and Audio Devices: mmsys.cplmmsys.cpl
•• UserUser AccountsAccounts:: nusrmgr.cplnusrmgr.cpl
•• ODBC Data ODBC Data SourceSource Administrator:Administrator: odbccp32.cplodbccp32.cpl
•• Power Power OptionsOptions PropertiesProperties:: Powercfg.cplPowercfg.cpl
•• PhonePhone and Modem and Modem OptionsOptions:: telephon.cpltelephon.cpl
Konfiguracja UnixKonfiguracja Unix
•• Szereg rozproszonych plików tekstowych:Szereg rozproszonych plików tekstowych:–– /etc/etc
–– //usrusr//locallocal/etc/etc
•• Zmienne środowiskoweZmienne środowiskowe–– export export EDITOR=viEDITOR=vi
•• Konfiguracja uŜytkownika w katalogu domowym w plikach Konfiguracja uŜytkownika w katalogu domowym w plikach ropoczynającychropoczynających się od kropki (czyli plikach ukrytych):się od kropki (czyli plikach ukrytych):–– /hom/home/e/useruser/./.configrcconfigrc
•• Problem: bak standardu. KaŜdy program przechowuje Problem: bak standardu. KaŜdy program przechowuje konfigurację we własny sposób. Stosowane są jedynie pewne konfigurację we własny sposób. Stosowane są jedynie pewne zalecenia. Najpopularniejszym przykładem formatu jest tzw. zalecenia. Najpopularniejszym przykładem formatu jest tzw. format 'format 'iniini':':–– [Nazwa sekcji][Nazwa sekcji]
–– Zmienna=WartoscZmienna=Wartosc
Systemy PlikówSystemy Plików
•• Pliki i system plików to integralna część systemu Pliki i system plików to integralna część systemu operacyjnego! Praktycznie wszystkie czynności operacyjnego! Praktycznie wszystkie czynności administracyjne wymagają modyfikacji w plikach.administracyjne wymagają modyfikacji w plikach.
•• Techniczne aspekty systemów plików, czyli fizyczna Techniczne aspekty systemów plików, czyli fizyczna reprezentacja danych na dyskach jest bardzo róŜnorodna.reprezentacja danych na dyskach jest bardzo róŜnorodna.–– UnixieUnixie: drzewo : drzewo ii--node'ównode'ów, , –– UnixieUnixie: drzewo : drzewo ii--node'ównode'ów, ,
–– Windows NT: podobnie jak w Unix, drzewoWindows NT: podobnie jak w Unix, drzewo
–– DOS, Windows 3.x: struktura tablicowa (tablica FAT DOS, Windows 3.x: struktura tablicowa (tablica FAT –– file file allocationallocationtabletable))
•• Systemy transakcyjne i nie transakcyjne:Systemy transakcyjne i nie transakcyjne:–– Nie transakcyjne: Linux: ext2, Windows: FAT32Nie transakcyjne: Linux: ext2, Windows: FAT32
–– Transakcyjne: Linux: ext3, Transakcyjne: Linux: ext3, ReiserFSReiserFS, Windows: NTFS, Windows: NTFS
Porównując Unix z WindowsPorównując Unix z Windows
Porównanie struktury katalogówPorównanie struktury katalogów
Struktura Katalogów Struktura Katalogów -- UnixUnix
•• //binbin -- podstawowe programy narzędziowe, wykorzystywane zarówno podstawowe programy narzędziowe, wykorzystywane zarówno podczas uruchamiania systemu w trybie single podczas uruchamiania systemu w trybie single useruser jak i jak i multimulti useruser. . Wykorzystywane są one do tworzenia otoczenia systemowego.Wykorzystywane są one do tworzenia otoczenia systemowego.
•• /etc /etc -- większość plików konfiguracyjnych, pliki z konfiguracją systemu większość plików konfiguracyjnych, pliki z konfiguracją systemu uŜywaną do procesu uŜywaną do procesu bootowaniabootowania, , tzntzn rc.confrc.conf, , rc.localrc.local. .
•• //usrusr -- większość aplikacji i programów uŜytkowych dla uŜytkowników. większość aplikacji i programów uŜytkowych dla uŜytkowników. Programy tutaj są mniej krytyczne dla działania systemu.Programy tutaj są mniej krytyczne dla działania systemu.–– //usrusr//binbin
–– //usrusr//sbinsbin
–– //usrusr//locallocal
•• //sbinsbin –– większość programów narzędziowych przeznaczonych dla większość programów narzędziowych przeznaczonych dla administratorów systemuadministratorów systemu
Struktura Katalogów Struktura Katalogów -- UnixUnix
•• //syssys lub lub //usrusr//srcsrc –– źródła jądra systemuźródła jądra systemu
•• //devdev -- bloki i pliki urządzeń wykorzystywane przez system. bloki i pliki urządzeń wykorzystywane przez system. –– W W UnixieUnixie, kaŜde urządzenie reprezentowane jest jako specjalny plik w , kaŜde urządzenie reprezentowane jest jako specjalny plik w
tym katalogu. Komunikacja z urządzeniami realizowana jest za pomocą tym katalogu. Komunikacja z urządzeniami realizowana jest za pomocą operacji zapisu i odczytu z pliku.operacji zapisu i odczytu z pliku.
•• /hom/home e –– zwyczajowa lokalizacja katalogów uŜytkowników zwyczajowa lokalizacja katalogów uŜytkowników •• /hom/home e –– zwyczajowa lokalizacja katalogów uŜytkowników zwyczajowa lokalizacja katalogów uŜytkowników systemusystemu
•• /roo/root t –– katalog domowy administratora systemu (pamiętajmy, katalog domowy administratora systemu (pamiętajmy, Ŝe Ŝe rootroot w w unixieunixie moŜe 'wszystko')moŜe 'wszystko')
•• //varvar –– katalog gdzie przechowywane są logi o pracy serwera, katalog gdzie przechowywane są logi o pracy serwera, bufory róŜnych kolejek itp.bufory róŜnych kolejek itp.–– //varvar/mail /mail –– skrzynki pocztowe uŜytkownikówskrzynki pocztowe uŜytkowników
–– //varvar/log /log –– logi róŜnych serwisów uruchomionych na serwerzelogi róŜnych serwisów uruchomionych na serwerze
Struktura Katalogów Struktura Katalogów -- UnixUnix
Acykliczny Graf KatalogówAcykliczny Graf Katalogów
•• WINDOWSWINDOWS -- skrót do programu lub katalogu, który jest skrót do programu lub katalogu, który jest interpretowany jedynie przez program Explorer. interpretowany jedynie przez program Explorer.
•• UNIXUNIX -- linki są zaimplementowane na poziomie systemu linki są zaimplementowane na poziomie systemu operacyjnego. W operacyjnego. W unixieunixie występują dwa typy linków:występują dwa typy linków:–– linki symboliczne linki symboliczne -- przechowują jedynie ścieŜkę oraz nazwę do pliku przechowują jedynie ścieŜkę oraz nazwę do pliku
oryginalnego. Przykład uŜycia: oryginalnego. Przykład uŜycia: oryginalnego. Przykład uŜycia: oryginalnego. Przykład uŜycia:
lnln --s ../jaki/s ../jaki/plik.txtplik.txt nowy_link.txtnowy_link.txt–– linki twarde linki twarde -- kopia wpisu struktury informacyjnej pliku do nowego kopia wpisu struktury informacyjnej pliku do nowego
miejsca (nowa struktura nadal miejsca (nowa struktura nadal odowoluejeodowolueje się do tego samego miejsca się do tego samego miejsca na dysku fizycznym) Przykład uŜycia: na dysku fizycznym) Przykład uŜycia:
lnln ../jaki/plik ../jaki/plik nowy_link_twardy.txtnowy_link_twardy.txt
Co nam pokazuje Co nam pokazuje lsls??
Rozpoznawanie typów plików WindowsRozpoznawanie typów plików Windows
•• na podstawie rozszerzenia nazwy pliku:na podstawie rozszerzenia nazwy pliku:
•• ..exeexe, .bat, ., .bat, .btmbtm, ., .syssys, ., .comcom, ., .txttxt, etc., etc.
•• struktura danych wewnątrz pliku:struktura danych wewnątrz pliku:–– ..comcom -- plik zawiera tylko kod programu w postaci plik zawiera tylko kod programu w postaci –– ..comcom -- plik zawiera tylko kod programu w postaci plik zawiera tylko kod programu w postaci
skompilowanej. Pierwszy bajt pliku to konkretna instrukcja skompilowanej. Pierwszy bajt pliku to konkretna instrukcja maszynowa.maszynowa.
–– ..exeexe -- plik jest w specjalnym formacie. Znakiem plik jest w specjalnym formacie. Znakiem rozpoznawczym pliku rozpoznawczym pliku exeexe dodatkowo są pierwsze dwa dodatkowo są pierwsze dwa bajty które są zawsze równe: MZ. Pliki bajty które są zawsze równe: MZ. Pliki exeexe zawierają zawierają oprócz kodu nagłówek, informacje o stosie, stercie oraz oprócz kodu nagłówek, informacje o stosie, stercie oraz pamięci operacyjnej która jest wymagana przez proces.pamięci operacyjnej która jest wymagana przez proces.
–– .bat .bat –– plik zawiera skrypt, stanowiący zbiór komendplik zawiera skrypt, stanowiący zbiór komend
Rozpoznawanie typów plików UnixRozpoznawanie typów plików Unix
•• Rozszerzenie ma znaczenie tylko umowne. System Rozszerzenie ma znaczenie tylko umowne. System nie rozpoznaje typu pliku po rozszerzeniu.nie rozpoznaje typu pliku po rozszerzeniu.
•• atrybuty plików:atrybuty plików:–– + + rr -- prawo do czytaniaprawo do czytania
–– + w + w -- prawo do zapisywaniaprawo do zapisywania–– + w + w -- prawo do zapisywaniaprawo do zapisywania
–– + x + x -- plik wykonywalnyplik wykonywalny
•• pierwsza linia w plikach tekstowych:pierwsza linia w plikach tekstowych:–– #!/#!/binbin//zshzsh -- oznacza Ŝe plik jest skryptem napisanym w języku oznacza Ŝe plik jest skryptem napisanym w języku
zshzsh..
–– pliki wykonywalne zapisywane są w specjalnych formatach. pliki wykonywalne zapisywane są w specjalnych formatach. NpNp w w linuxielinuxie obowiązuje standard ELF. obowiązuje standard ELF. WstandardzieWstandardzie tym tym piewszepiewszecztery bajty są zawsze takie same: [0x7f],cztery bajty są zawsze takie same: [0x7f],E,L,FE,L,F
Poziomy Uprawnień UŜytkownikówPoziomy Uprawnień UŜytkowników
•• Konto uprzywilejowane: Konto uprzywilejowane: –– Unix: Unix: rootroot (ma automatycznie dostęp do absolutnie wszystkiego)(ma automatycznie dostęp do absolutnie wszystkiego)
–– Windows: Administrator (musi mieć udostępnione prawo do danego Windows: Administrator (musi mieć udostępnione prawo do danego obiektu, całe szczęście Administrator moŜe udostępniać prawa do obiektu, całe szczęście Administrator moŜe udostępniać prawa do absolutnie wszystkich obiektów)absolutnie wszystkich obiektów)
•• Konta uprzywilejowane NIGDY nie powinny być uŜywane Konta uprzywilejowane NIGDY nie powinny być uŜywane •• Konta uprzywilejowane NIGDY nie powinny być uŜywane Konta uprzywilejowane NIGDY nie powinny być uŜywane podczas normalnej pracy uŜytkownika.podczas normalnej pracy uŜytkownika.
•• Otrzymanie uprzywilejowanego konta kojarzy się często z Otrzymanie uprzywilejowanego konta kojarzy się często z otrzymanie władzy nad innymi uŜytkownikami, tymczasem otrzymanie władzy nad innymi uŜytkownikami, tymczasem zostało ono stworzone poniewaŜ uŜytkownicy nie chcieli zostało ono stworzone poniewaŜ uŜytkownicy nie chcieli posiadać zbyt szerokich uprawnień ze względu na posiadać zbyt szerokich uprawnień ze względu na odpowiedzialność.odpowiedzialność.
Uprawnienia w UnixUprawnienia w Unix
•• W Unix kaŜdy proces (uruchomiony program) posiada trzy główne W Unix kaŜdy proces (uruchomiony program) posiada trzy główne identyfikatory: identyfikatory:
–– PID (PID (ProcessProcess ID) ID) –– liczba liczba integerinteger określająca identyfikator procesu, określająca identyfikator procesu,
–– UID (UID (UserUser ID) ID) –– liczba liczba integerinteger określająca właściciela procesu,określająca właściciela procesu,
–– GID (Group ID) GID (Group ID) –– liczba liczba integerinteger określająca grupę procesu.określająca grupę procesu.
•• Dostęp do zasobów jest określany na podstawie UID i GID.Dostęp do zasobów jest określany na podstawie UID i GID.
•• Zasoby w Unix posiadają trzy poziomy praw dostępu:Zasoby w Unix posiadają trzy poziomy praw dostępu:–– dla dla właścielawłaściela zasobu zasobu
((useruser lub lub ownerowner),),
–– dla grupy będącej dla grupy będącej właścicielem (group),właścicielem (group),
–– dla reszty (dla reszty (othersothers).).
Zarządzanie Uprawnieniami w UnixZarządzanie Uprawnieniami w Unix
Uprawnienia w Unix szczegółyUprawnienia w Unix szczegóły
Uprawnienia w Unix szczegółyUprawnienia w Unix szczegóły
Uprawnienia WindowsUprawnienia WindowsAccess Access ControlControl ListsLists
•• KaŜdy uŜytkownik i grupa mogą mieć indywidualne KaŜdy uŜytkownik i grupa mogą mieć indywidualne uprawnienia do danych plików.uprawnienia do danych plików.
•• W Unix ACL funkcjonują równolegle do standardowych W Unix ACL funkcjonują równolegle do standardowych uprawnień i ze względu na skomplikowaną obsługę i kontrolę uprawnień i ze względu na skomplikowaną obsługę i kontrolę nie zyskały popularności.nie zyskały popularności.
Komendy do zarządzania procesami w Komendy do zarządzania procesami w UnixieUnixie
Zarządzanie plikami UnixZarządzanie plikami Unix
Konfiguracja środowiska pracy Konfiguracja środowiska pracy uŜytkownikauŜytkownika
Przetwarzanie PotokowePrzetwarzanie Potokowe
Przykłady Przetwarzania PotokowegoPrzykłady Przetwarzania Potokowego
–– psps --auxaux | | grepgrep ziutekziutek
–– lsls --la | la | moremore
–– findfind . | . | grepgrep txttxt
–– make 2>&1 | make 2>&1 | teetee PLIK_LOGPLIK_LOG
•• Z ilu róŜnych hostów zostały zrejestrowane odpytania naszego Z ilu róŜnych hostów zostały zrejestrowane odpytania naszego serwera serwera wwwwww::serwera serwera wwwwww::–– tailtail --10000 /10000 /varvar/log//log/wwwwww | | cutcut --d ' ' d ' ' --f 1 | sort | f 1 | sort | uniquniq | | wcwc
•• Wyświetlanie fragmentów plików:Wyświetlanie fragmentów plików:–– od początku: od początku: headhead --20 /20 /varvar/log//log/messagesmessages
–– od końca: od końca: tailtail --20 /20 /varvar/log//log/messagesmessages
•• Sortowanie wyników zwracanych przez program:Sortowanie wyników zwracanych przez program:–– sortsort
Dalsze Elementy Linii KomendDalsze Elementy Linii Komend•• Pliki ukryte rozpoczynają się od Pliki ukryte rozpoczynają się od
kropki:kropki:–– .nazwa.nazwa
•• Zmienna systemowa PATH definiuje Zmienna systemowa PATH definiuje listeliste katalogów, które są katalogów, które są przeszukiwane w celu znalezienia przeszukiwane w celu znalezienia
•• Kontrola zadań:Kontrola zadań:–– zawieszenie zadania: zawieszenie zadania: CTRL+ZCTRL+Z
–– przerwanie zadania: przerwanie zadania: CTRL+CCTRL+C
–– przywrócenie na wierzch: przywrócenie na wierzch: fgfg
–– przywrócenie w tło: przywrócenie w tło: bgbg
•• Uruchamianie procesów w tle:Uruchamianie procesów w tle:przeszukiwane w celu znalezienia przeszukiwane w celu znalezienia pliku wykonywalnego.pliku wykonywalnego.
–– export export PATH=$PATHPATH=$PATH:.:.
–– export PATH=/export PATH=/optopt//fxfx//bin:$PATHbin:$PATH
•• Znaki specjalne:Znaki specjalne:–– .. -- bieŜący katalog,bieŜący katalog,
–– || -- strumieństrumień
–– $$ -- zmiennazmienna
–– ', ''', '' -- zmienne tekstowezmienne tekstowe
–– `̀ -- podstawienie komendypodstawienie komendy
•• Uruchamianie procesów w tle:Uruchamianie procesów w tle:–– Na końcu komendy dodać znak Na końcu komendy dodać znak &&..
Archiwizacja DanychArchiwizacja Danych
•• Kompresja pojedynczego pliku:Kompresja pojedynczego pliku:–– gzipgzip [[nazwa.txtnazwa.txt] ] (w wyniku powstanie (w wyniku powstanie nazwa.txt.gznazwa.txt.gz))
–– bzip2 [bzip2 [nazwa.txtnazwa.txt] ] (w wyniku powstanie nazwa.txt.bz2)(w wyniku powstanie nazwa.txt.bz2)
•• Dekompresja plików:Dekompresja plików:–– gzipgzip --d * lub d * lub gzipgzip --d [d [nazwa.txt.gznazwa.txt.gz]]
–– bzip2 bzip2 --d nazwa.txt.bz2d nazwa.txt.bz2–– bzip2 bzip2 --d nazwa.txt.bz2d nazwa.txt.bz2
•• Scalanie drzew folderów i plików w jeden plik:Scalanie drzew folderów i plików w jeden plik:–– tar tar --cvfcvf [[n_archiwum.tarn_archiwum.tar] [katalog]] [katalog]
•• Przywracanie drzewa z pliku:Przywracanie drzewa z pliku:–– tar tar --xvfxvf [[n_archiwum.tarn_archiwum.tar] [katalog docelowy]] [katalog docelowy]
•• Scalanie i przywracanie z kompresją:Scalanie i przywracanie z kompresją:–– tar tar --cvzfcvzf [[n_archiwum.tarn_archiwum.tar] [katalog docelowy] lub tar ] [katalog docelowy] lub tar --cvjfcvjf [[n_archiwum.tarn_archiwum.tar] ]
[katalog docelowy][katalog docelowy]
–– tar tar --xvzfxvzf [[n_archiwum.tarn_archiwum.tar]]
Edytory UnixEdytory Unix
Edytory UnixEdytory Unix
•• PrzykładPrzykład–– Utworzenie nowego dokumentu wpisanie jednego zdania, Utworzenie nowego dokumentu wpisanie jednego zdania,
zapisanie zmian i wyjście:zapisanie zmian i wyjście:•• max# vi max# vi nowy.txtnowy.txt
–– Rozpoczęcie dodawania tekstu:Rozpoczęcie dodawania tekstu:–– Rozpoczęcie dodawania tekstu:Rozpoczęcie dodawania tekstu:•• [Klawisz i]Pisanie w vi jest proste.[ESC][:][w][q][Klawisz i]Pisanie w vi jest proste.[ESC][:][w][q]
–– ObjasnienieObjasnienie::•• [Klawisz i] [Klawisz i] -- ropoczęcieropoczęcie wstawianiawstawiania
•• 'Pisanie w vi jest proste.' 'Pisanie w vi jest proste.' -- wpisane zdaniewpisane zdanie
•• [ESC] [ESC] -- powrót do trybu komendpowrót do trybu komend
•• [:][:] -- przejście do trybu komend wpisywanych na ekranieprzejście do trybu komend wpisywanych na ekranie
•• [w][w] -- zapisanie zmianzapisanie zmian
•• [q][q] -- wyjście z vi wyjście z vi
Edytory UnixEdytory Unix•• Jak wyjść z vi?Jak wyjść z vi?
–– [ESC]:q! [ESC]:q! -- wyjście z vi bez zapisywania zmianwyjście z vi bez zapisywania zmian
–– [ESC]:[ESC]:wqwq -- wyjście z vi z zapisaniem zmian (dokument musi mieć wyjście z vi z zapisaniem zmian (dokument musi mieć przyporządkowaną nazwę)przyporządkowaną nazwę)
•• Jak zapisać dokument pod inną nazwą?Jak zapisać dokument pod inną nazwą?–– [ESC]:w [ESC]:w nowa_nazwa.txtnowa_nazwa.txt -- zapisanie dokumentu pod nową nazwązapisanie dokumentu pod nową nazwą
•• Jak skopiować i wkleić fragment dokumentu?Jak skopiować i wkleić fragment dokumentu?•• Jak skopiować i wkleić fragment dokumentu?Jak skopiować i wkleić fragment dokumentu?–– [ESC][ESC]yyyy -- skopiowanie linii w której aktualnie skopiowanie linii w której aktualnie znjadujeznjaduje się kursorsię kursor
–– [ESC][ESC]dddd -- wycięcie linii wycięcie linii w której aktualnie w której aktualnie znjadujeznjadujesię kursorsię kursor
–– [ESC]p [ESC]p –– wklejenie wklejenie skopiowanego skopiowanego tesktutesktuza kursoremza kursorem
–– [ESC]P [ESC]P -- wklejenie wklejenie skopiowanego tekstu skopiowanego tekstu przed kursoremprzed kursorem
Automatyzacja Zadań: Automatyzacja Zadań: croncron
•• Zaplanowane zadania:Zaplanowane zadania:–– croncron
–– /etc//etc/crontabcrontab : ustawienia systemowe: ustawienia systemowe
–– crontabcrontab --e : zaplanowane zadania jednego uŜytkownika.e : zaplanowane zadania jednego uŜytkownika.
•• minuta, godzina, dzień, miesiąc, dzień tygodnia, komendaminuta, godzina, dzień, miesiąc, dzień tygodnia, komenda
•• Liczba oznacza wartość o której ma być uruchamiana komenda.Liczba oznacza wartość o której ma być uruchamiana komenda.•• Liczba oznacza wartość o której ma być uruchamiana komenda.Liczba oznacza wartość o której ma być uruchamiana komenda.
•• Konstrukcja: */5 oznacza: uruchamiaj co 5...Konstrukcja: */5 oznacza: uruchamiaj co 5...
Stacje Stacje robocze robocze –– waŜne waŜne wymagane cechywymagane cechy
• Sieć 1G, PXE, WOL, AMT
• Zdalne włączenie i wyłączenie (klaster)
• USB 2.0 + BOOT
• ACPI – auto-konfiguracja, sleep S3
• Ergonomia – LCD 20” 1280x1024, Ciche!
• Mysz optyczna z rolką
• Identyczne (jednorodność konfiguracji)
Serwery Serwery –– waŜne wymagane waŜne wymagane cechycechy• Wieloprocesorowość
• 64Bit (RAM > 4G) multi-CPU
• Szyna kart 64bit (PCI 64)
• Ethernet - multi 1G• Ethernet - multi 1G
• Modularne rakowe, 2U lub 3U
• Macierze RAID 0/1/5 lub SAN/NAS
Serwery Serwery –– wymagane serwisywymagane serwisy
• Usługi katalogowe – NIS, LDAP (OpenLDAP)
• Usługi plikowe – NFS3, NFS4, SMB/CIF
- oddzielnie pracownicy
- oddzielnie studenci
• Bezpieczeństwo – Kerberos (Heimdal)
• Składowanie – na dyskach ATA
Serwis nazw w sieciachSerwis nazw w sieciach
• Parametryzowalny – nsswitch.conf :# nsswitch.conf(5) - name service switch configuration file
group: files nis
group_compat: nis
hosts: files dns
networks: filesnetworks: files
passwd: cache files nis
passwd_compat: nis � mapowanie źródło1 źródło2 ……..shells: files
services: compat
services_compat: nis
protocols: files
NIS NIS –– konfiguracja klientakonfiguracja klienta
# # NISNIS--clientclient
nisdomainname=iem.pw.edu.plnisdomainname=iem.pw.edu.pl # domena NIS# domena NIS
nis_client_enable=YESnis_client_enable=YES # # We'reWe're an NIS an NIS clientclient
##nis_client_flags="nis_client_flags="--ss ––ypsetmeypsetme’’ # ’’ # securesecure + zezwolenie na + zezwolenie na ypsetypset z z localhostlocalhost
nis_client_flags="nis_client_flags="--ss --ypsetmeypsetme ––S $S $nisdomainname,voltnisdomainname,volt" # " # securesecure + stałe + stałe specyficzne serweryspecyficzne serweryspecyficzne serweryspecyficzne serwery
nis_ypset_enable=YESnis_ypset_enable=YES # wymuszenie konkretnego # wymuszenie konkretnego nisnis--serweraserwera..
# To lub # To lub powyŜszeszepowyŜszesze..
nis_ypset_flags=voltnis_ypset_flags=volt # ..# ..
NIS NIS –– konfiguracja serwerakonfiguracja serwera
# # NISNIS--serverserver
nis_server_enable=YESnis_server_enable=YES
Przygotowanie baz w katalogu /Przygotowanie baz w katalogu /varvar//ypypPrzygotowanie baz w katalogu /Przygotowanie baz w katalogu /varvar//ypyp
DNS DNS –– konfiguracja klientakonfiguracja klienta
•• ResolverResolver –– określenie źródeł mapowaniaokreślenie źródeł mapowania
grepgrep host /etc/host /etc/nsswitch.confnsswitch.confhostshosts: : filesfiles dnsdns
filesfiles -- /etc//etc/hostshosts
dnsdns -- /etc//etc/resolv.confresolv.conf
DNS DNS –– konfiguracja klienta konfiguracja klienta cdcd
•• /etc//etc/hostshosts –– mapowanie statyczne mapowanie statyczne –– plik:plik:
IP nazwa IP nazwa kononicznakononiczna alias1 alias2 ….alias1 alias2 ….
Np.:Np.:Np.:Np.:
194.29.146.3 volt 194.29.146.3 volt volvol smtpsmtp
DNS DNS –– konfiguracja klienta konfiguracja klienta cdcd
•• /etc//etc/resolv.confresolv.conf –– konfiguracja serwisu konfiguracja serwisu sieciowegosieciowego
•• Adresy (jako surowe IP!) serwerów:Adresy (jako surowe IP!) serwerów:
Główny i zapasowe Główny i zapasowe –– zwykle 2/3zwykle 2/3
Nazwa domeny standardowej, parametryNazwa domeny standardowej, parametry
DNS DNS –– konfiguracja klienta konfiguracja klienta cdcd
•• Przykładowy plik Przykładowy plik resolv.confresolv.conf::domaindomain iem.pw.edu.pliem.pw.edu.pl
searchsearch iem.pw.edu.pliem.pw.edu.pl pw.edu.plpw.edu.plsearchsearch iem.pw.edu.pliem.pw.edu.pl pw.edu.plpw.edu.pl
optionsoptions attempts:4attempts:4
nameservernameserver 127.0.0.1127.0.0.1
##nameservernameserver 194.29.146.6194.29.146.6 # amp2# amp2
nameservernameserver 194.29.146.10194.29.146.10 # # novnov
nameservernameserver 193.0.71.130193.0.71.130 # dns1.net.icm.edu.pl# dns1.net.icm.edu.pl
Podstawowe elementy Podstawowe elementy --bezpieczeństwobezpieczeństwo
• Strefy – grupy uŜytkowników(VLAN + separacja fizyczna)
• Powszechne uŜywanie podpisu elektronicznego – najlepiej przez karty
• Powszechne uŜywanie podpisu elektronicznego – najlepiej przez karty
• Zapora internetowa (fire-wall)
• Kamery sieciowe (IP)
Serwis DHCP Serwis DHCP –– konfiguracja klientakonfiguracja klienta
•• MSMS--Windows Windows –– pobierz dane z sieci w pobierz dane z sieci w panelu konfiguracji siecipanelu konfiguracji sieci
•• Systemy Systemy unixunix –– konfiguracja sieci /etc/*konfiguracja sieci /etc/*
•• WaŜne parametry WaŜne parametry –– czas licencjiczas licencji
DHCP DHCP –– podstawowe parametrypodstawowe parametry
•• Numer IP + maska sieci (CIDR!)Numer IP + maska sieci (CIDR!)
•• Bramka sieci (jako IP)Bramka sieci (jako IP)
•• Adresy (IP) serwerów DNSAdresy (IP) serwerów DNS•• Adresy (IP) serwerów DNSAdresy (IP) serwerów DNS
•• Nazwa domeny DNSNazwa domeny DNS
•• Nazwa domeny NISNazwa domeny NIS
DHCP DHCP –– podstawowe parametrypodstawowe parametry
•• Adresy serwerów WINSAdresy serwerów WINS
•• Typ mapowania WINS na stacjiTyp mapowania WINS na stacji
•• Inne dane:Inne dane:•• Inne dane:Inne dane:
-- serwery czasu, wydruku, serwery czasu, wydruku, proxyproxy
DHCP DHCP –– dialog sieciowydialog sieciowy
1) DHCP 1) DHCP discoverdiscover
2) DHCP 2) DHCP offeroffer
3) DHCP 3) DHCP requestrequest3) DHCP 3) DHCP requestrequest
4) DHCP 4) DHCP acknowledgeacknowledge
5) DHCP 5) DHCP releserelese
DHCP DHCP –– dialog sieciowy dialog sieciowy -- cdcd
•• Klient moŜe proponować numer IP Klient moŜe proponować numer IP ––przedłuŜenie, np. przy zerwaniu przedłuŜenie, np. przy zerwaniu połączenia modemowegopołączenia modemowego
•• Klient zobligowany jest do przestrzegania Klient zobligowany jest do przestrzegania •• Klient zobligowany jest do przestrzegania Klient zobligowany jest do przestrzegania czasu waŜności licencji i jej odnowieniaczasu waŜności licencji i jej odnowienia
DHCP DHCP –– bezpieczeństwobezpieczeństwo
•• serwis opiera się całkowicie na zaufaniu serwis opiera się całkowicie na zaufaniu do sieci LAN do sieci LAN –– brak brak uwieŜytelnieniauwieŜytelnieniaserwera i klientaserwera i klienta
•• Elementem uwierzytelniającym są adresy Elementem uwierzytelniającym są adresy •• Elementem uwierzytelniającym są adresy Elementem uwierzytelniającym są adresy MAC klienta MAC klienta –– redefiniowalne!redefiniowalne!
•• ImpersonalizacjaImpersonalizacja serwera i klientaserwera i klienta
DHCP DHCP –– metody poprawy metody poprawy bezpieczeństwabezpieczeństwa
•• Przełączniki sieciowe Przełączniki sieciowe zarządzalnezarządzalne
•• Okablowanie światłowodoweOkablowanie światłowodowe
•• Monitorowanie zmiany statusu portu Monitorowanie zmiany statusu portu •• Monitorowanie zmiany statusu portu Monitorowanie zmiany statusu portu (UP/DOWN) na przełączniku(UP/DOWN) na przełączniku
•• Najnowsza metoda Najnowsza metoda –– uwieŜytelnienieuwieŜytelnienie802.11x802.11x
Sieci radiowe w standardzie Sieci radiowe w standardzie WiFiWiFi
•• Standardy 802.11 a/b/g/n Standardy 802.11 a/b/g/n
•• 802.11a 802.11a –– 5GHZ 54Mbit5GHZ 54Mbit
•• 802.11b 802.11b –– 2.4GHz 10Mbit (najstarszy)2.4GHz 10Mbit (najstarszy)•• 802.11b 802.11b –– 2.4GHz 10Mbit (najstarszy)2.4GHz 10Mbit (najstarszy)
•• 802.11g 802.11g –– 2.4GHz do 100Mbit2.4GHz do 100Mbit
•• 802.11n (MINMO) 802.11n (MINMO) –– 2.4+5GHz 2.4+5GHz –– do do 300Mbit300Mbit
Sieci radiowe w standardzie Sieci radiowe w standardzie WiFiWiFi
• Punkt dostępowy WiFi 802.11b (g)
• Punkt dostępowy Bluetooth
Sprzęt jest – potrzebna decyzja.
Sieci radiowe w standardzie Sieci radiowe w standardzie WiFiWiFi
•• Rodzaje Rodzaje zapezpieczeńzapezpieczeń kryptograficznych:kryptograficznych:
WEP WEP –– najstarszy najstarszy –– złamanyzłamany
WPA WPA –– odporniejszy ale równieŜ złamanyodporniejszy ale równieŜ złamanyWPA WPA –– odporniejszy ale równieŜ złamanyodporniejszy ale równieŜ złamany
WPA2 WPA2 –– jedyny bezpiecznyjedyny bezpieczny
Szyfrowanie na 3 i wyŜszych warstwach Szyfrowanie na 3 i wyŜszych warstwach sieciowychsieciowych
Sieci radiowe w standardzie Sieci radiowe w standardzie WiFiWiFi
•• Tryby pracy:Tryby pracy:
-- równy z równy z rownymrownym (ad(ad--hoc, hoc, peerpeer to to peerpeer))
-- Infrastrukturalny Infrastrukturalny –– z punktem z punktem -- Infrastrukturalny Infrastrukturalny –– z punktem z punktem dostępowym (AP dostępowym (AP –– acessacess point)point)
-- tryb monitorującytryb monitorujący
Sieci radiowe w standardzie Sieci radiowe w standardzie WiFiWiFi --terminyterminy
•• BSS BSS –– Basic Service SetBasic Service Set
•• IBSS IBSS –– Independent Basic Service SetIndependent Basic Service Set
•• BSSID BSSID -- Basic service set Basic service set identifieridentifier•• BSSID BSSID -- Basic service set Basic service set identifieridentifier
•• SSID SSID -- Service Set Service Set identifieridentifier
Sieci radiowe w standardzie Sieci radiowe w standardzie WiFiWiFi ––alokacja pasma radiowegoalokacja pasma radiowego
•• Kanały Kanały –– standardy narodowestandardy narodowe
•• 802.11g 802.11g –– 14 kanałów14 kanałów
•• Dynamiczna alokacja kanałów przez Dynamiczna alokacja kanałów przez •• Dynamiczna alokacja kanałów przez Dynamiczna alokacja kanałów przez punkty dostępowepunkty dostępowe
•• Administracja alokacją w środowisku Administracja alokacją w środowisku gęstymgęstym
WIFI WIFI –– konfiguracja siecikonfiguracja sieci
•• Interfejs fizyczny a interfejs wirtualnyInterfejs fizyczny a interfejs wirtualny
-- Na jednym interfejsie fizycznym moŜemy Na jednym interfejsie fizycznym moŜemy zdefinowaćzdefinować kilka interfejsów wirtualnych kilka interfejsów wirtualnych pracujących jednocześnie pracujących jednocześnie pracujących jednocześnie pracujących jednocześnie ((multipleksacjamultipleksacja))
-- Interesy mogą być kreowane i kasowane Interesy mogą być kreowane i kasowane dynamiczniedynamicznie
WIFI WIFI –– konfiguracja sieci konfiguracja sieci -- PCMCIAPCMCIA
•• Załadownie sterownika i kreacja Załadownie sterownika i kreacja interfejsu interfejsu
# # kldloadkldload cbbcbb cardbuscardbus # karta PCMCIA# karta PCMCIA
# # kldloadkldload if_athif_ath
# # ifconfigifconfig wlanwlan createcreate wlandevwlandev ath0ath0
WIFI WIFI –– konfiguracja sieci USBkonfiguracja sieci USB
•• Załadownie sterownika i kreacja Załadownie sterownika i kreacja interfejsu interfejsu -- USBUSB
# # kldloadkldload uhciuhci ehciehci # sterowniki USB# sterowniki USB
# # kldloadkldload if_rumif_rum
# # ifconfigifconfig wlanwlan createcreate wlandevwlandev rum0rum0
WIFI WIFI –– skanowanie sieciskanowanie sieci
z2% z2% ifconfigifconfig wlan0 wlan0 scanscan | sort | sort --g g --k 5 k 5 ––rr # posortowane # posortowane w.gw.g. siły sygnału. siły sygnału
SSID BSSID CHAN RATE S:N INT CAPSSSID BSSID CHAN RATE S:N INT CAPS
ZETiISZETiIS 00:13:10:52:b0:12 1 54M 00:13:10:52:b0:12 1 54M --68:68:--96 100 EP WPA RSN96 100 EP WPA RSN
STERY 00:1a:70:a9:75:3e 5 54M STERY 00:1a:70:a9:75:3e 5 54M --77:77:--96 100 EPS WPA96 100 EPS WPA
katedra 00:17:9a:9f:79:cc 10 54M katedra 00:17:9a:9f:79:cc 10 54M --78:78:--96 100 EP WPA96 100 EP WPA
pwwifipwwifi 00:24:14:31:92:60 6 54M 00:24:14:31:92:60 6 54M --80:80:--96 102 ES HTCAP WME96 102 ES HTCAP WME
pwwifipwwifi 00:24:14:31:94:b0 1 54M 00:24:14:31:94:b0 1 54M --85:85:--96 102 ES HTCAP WME96 102 ES HTCAP WME
pwwifipwwifi 00:24:14:31:96:80 11 54M 00:24:14:31:96:80 11 54M --86:86:--96 102 ES HTCAP WME96 102 ES HTCAP WMEpwwifipwwifi 00:24:14:31:96:80 11 54M 00:24:14:31:96:80 11 54M --86:86:--96 102 ES HTCAP WME96 102 ES HTCAP WME
pwwifipwwifi 00:24:14:31:96:40 1 54M 00:24:14:31:96:40 1 54M --88:88:--96 102 ES HTCAP WME96 102 ES HTCAP WME
pwwifipwwifi 00:24:14:31:95:30 11 54M 00:24:14:31:95:30 11 54M --89:89:--96 102 ES HTCAP WME96 102 ES HTCAP WME
pwwifipwwifi 00:24:14:31:35:f0 6 54M 00:24:14:31:35:f0 6 54M --89:89:--96 102 ES HTCAP WME96 102 ES HTCAP WME
s228 00:1d:7e:ec:18:37 10 54M s228 00:1d:7e:ec:18:37 10 54M --90:90:--96 100 EP WPA96 100 EP WPA
pwwifipwwifi 00:24:14:31:8a:00 11 54M 00:24:14:31:8a:00 11 54M --90:90:--96 102 ES HTCAP WME96 102 ES HTCAP WME
pwwifipwwifi 00:24:14:31:89:40 1 54M 00:24:14:31:89:40 1 54M --90:90:--96 102 ES HTCAP WME96 102 ES HTCAP WME
pwwifipwwifi 00:24:14:31:33:a0 1 54M 00:24:14:31:33:a0 1 54M --90:90:--96 102 ES HTCAP WME96 102 ES HTCAP WME
nanonano--imioimio 00:0f:3d:af:73:29 6 54M 00:0f:3d:af:73:29 6 54M --91:91:--96 100 EP ATH TDMA96 100 EP ATH TDMA
biblioteka 00:1d:7e:ec:1d:f5 6 54M biblioteka 00:1d:7e:ec:1d:f5 6 54M --92:92:--96 100 EP WPA96 100 EP WPA
ZNELAB 00:18:f8:64:b4:30 9 54M ZNELAB 00:18:f8:64:b4:30 9 54M --92:92:--96 100 EPS WPA96 100 EPS WPA
WIFI WIFI –– konfiguracja punktu konfiguracja punktu dostępowegodostępowego
•• Tryby pracy punktu dostępowego:Tryby pracy punktu dostępowego:
-- mostek (ang. Bridge)mostek (ang. Bridge)
-- trasowniktrasownik (ang. Router)(ang. Router)-- trasowniktrasownik (ang. Router)(ang. Router)
Określenie sposobu Określenie sposobu uwieŜytelnieniauwieŜytelnienia::
Jeden klucz lub baza uŜytkownikówJeden klucz lub baza uŜytkowników
WIFI WIFI –– konfiguracja punktu konfiguracja punktu dostępowego dostępowego -- cdcd
•• UwierzytelnieUwierzytelnie zewnętrzne zewnętrzne –– RADIUSRADIUS
•• Uwierzytelnienie na podstawie własnej Uwierzytelnienie na podstawie własnej bazy (PAM)bazy (PAM)
•• Ochrona kryptograficzna procesu Ochrona kryptograficzna procesu uwierzytelnienia uwierzytelnienia –– certyfikaty serwerówcertyfikaty serwerów
Zdalna administracja serweramiZdalna administracja serwerami
•• Interfejs graficzny Interfejs graficzny –– MSMS--WindowsWindows
•• Interfejs linii polecenia Interfejs linii polecenia –– tradycyjnie Unix tradycyjnie Unix i nowsze wersje MSi nowsze wersje MS--Windows ServerWindows Server
•• Interfejs WWWInterfejs WWW
Zdalna administracja serwerami Zdalna administracja serwerami –– linia linia poleceńpoleceń
•• Ochrona sesji Ochrona sesji –– SSH1 / SSH2SSH1 / SSH2
•• Przywileje i role administracyjnePrzywileje i role administracyjne
•• Minimalizacja okna czasowego Minimalizacja okna czasowego •• Minimalizacja okna czasowego Minimalizacja okna czasowego zwiększonych uprawnień zwiększonych uprawnień –– su /su /sudosudo / / runasrunas
•• Audyt i logowanieAudyt i logowanie
Konfiguracja serwisu SSHKonfiguracja serwisu SSH
•• Architektura klient Architektura klient –– serwerserwer
•• Kryptografia hybrydowa Kryptografia hybrydowa –– metody metody symetryczne + metody niesymetrycznesymetryczne + metody niesymetryczne
•• Generacja kluczy i certyfikatów:Generacja kluczy i certyfikatów:
-- dla maszyndla maszyn
-- dla osób / róldla osób / ról
Serwis SSH Serwis SSH –– konfiguracja serwerakonfiguracja serwera
•• Włączenie serwisu:Włączenie serwisu:
volt% volt% grepgrep sshssh /etc//etc/rc.confrc.conf
sshd_enable=YESsshd_enable=YES
•• Start / stop serwisu:Start / stop serwisu:
/etc//etc/rc.drc.d//sshdsshd start/stopstart/stop
•• Generacja kluczy Generacja kluczy -- automatycznieautomatycznie
Serwis SSH Serwis SSH –– analiza procesu generacji analiza procesu generacji kluczy serwerakluczy serwera
•• Analiza szczegółowa skryptu Analiza szczegółowa skryptu shsh ((KornKornshellshell) )
volt% a2ps /etc/volt% a2ps /etc/rc.drc.d//sshdsshd | | lprlpr ––P510P510
•• W jaki sposób moŜna regenerować klucze W jaki sposób moŜna regenerować klucze •• W jaki sposób moŜna regenerować klucze W jaki sposób moŜna regenerować klucze
•• Ochrona kluczy prywatnych serweraOchrona kluczy prywatnych serwera
Serwis SSH Serwis SSH –– konfiguracja klientakonfiguracja klienta
•• Konfiguracja globalna /etc/Konfiguracja globalna /etc/sshdsshd dla dla wszystkich uŜytkownikówwszystkich uŜytkowników
•• Konfiguracja prywatna uŜytkownikaKonfiguracja prywatna uŜytkownika
pliki w katalogu ~/.pliki w katalogu ~/.sshssh
volt% a2ps /etc/volt% a2ps /etc/rc.drc.d//sshdsshd | | lprlpr ––P510P510
Serwis SSH Serwis SSH –– generacja kluczy generacja kluczy osobistych osobistych uŜytkowniauŜytkownia
•• sshssh--keygenkeygen
•• Wybór parametrów i algorytmów Wybór parametrów i algorytmów ––kryteriakryteria
•• Eksportowanie kluczy do innych maszynEksportowanie kluczy do innych maszyn
•• Postępowanie w przypadku utraty kluczaPostępowanie w przypadku utraty klucza
Serwis SSH Serwis SSH –– export klucza osobistegoexport klucza osobistego
#!/#!/binbin//shsh
# # UzycieUzycie::
# # sshssh--exportkeyexportkey host [host [keyfile|regexpkeyfile|regexp]]
# # exportujeexportuje klucz publiczny do maszyny docelowejklucz publiczny do maszyny docelowej
# Klucz podany jako nazwa pliku lub nazwa komentarza z # Klucz podany jako nazwa pliku lub nazwa komentarza z authorizedauthorized keyskeys
##
# Np.# Np.# Np.# Np.
# # sshssh--exportkeyexportkey v5v5
# # sshssh--exportkeyexportkey sk103 rsask103 rsa--keykey--2008031120080311--argoargo
# # grepgrep rsarsa--keykey--2008031120080311--argo ~/.argo ~/.sshssh//authorized_keysauthorized_keys >> /net/>> /net/vol/homvol/home/prac/e/prac/atoato/./.sshssh//authorized_keysauthorized_keys
Serwery plikowe NAS/SANSerwery plikowe NAS/SAN
• NAS (Network Area Storage) – serwowanie na poziomie plików
• SAN (Storage Area Network) – serwowanie na poziomie blokówna poziomie bloków
• Serwery nadmiarowe i klastrowe
Personel administracyjnyPersonel administracyjny
• Co najmniej dwie osoby administrujące jednym subsystemem
• Bezpieczeństwo = proces – ciągłość szkoleniaszkolenia
• Analiza ryzyka – scenariusze awaryjne
Bibliografia Bibliografia -- UnixUnix
•• M.Lucas „FreeBSD Podstawy administracji M.Lucas „FreeBSD Podstawy administracji systemem”, Helion 2004, ISBN: 83systemem”, Helion 2004, ISBN: 83--73617361--604604--77
•• R.W. Smith „FreeBSD Księga eksperta”, R.W. Smith „FreeBSD Księga eksperta”, •• R.W. Smith „FreeBSD Księga eksperta”, R.W. Smith „FreeBSD Księga eksperta”, Helion 2003, ISBN: 83Helion 2003, ISBN: 83--73617361--158158--44
Bibliografia Bibliografia –– adm. i bezp.adm. i bezp.
• M.Kutyłowski, W-B. Strothmann „Kryptografia teoria i praktyka zabezpieczania systemów komputerowych”, Wyd. RM, 1998, ISBN 83-7147-087-8
• A. Sadowski „Wybrane zagadnienia kryptologii i • A. Sadowski „Wybrane zagadnienia kryptologii i ochrony informacji”, Wyd. Helion 1999, ISBN 83-7197-117-6
• E. Amoroso „Sieci: wykrywanie intruzów”, Wyd. RM 1999, ISBN 83-7243-039-X
• S. Garfinkel, G.Spafford „Bezpieczeństwo w UNIXie i Internecie”, Wyd. RM 1997, ISBN 83-87216-06-2.