Unix Administracion Solaris

SEREM FORMACIN
Cliente : LUCENT TECHNOLOGIES
ADMINISTRACION DE SISTEMAS SOLARIS 2.x
Manual De Unix Solaris
Pg. 1
http://www.serem.com
SEREM FORMACIN
1. INTRODUCCION A UNIX
1.1 POR QU UNIX?

Escrito en su mayor parte en lenguaje C, lo que implica PORTABILIDAD y ADAPTABILIDAD. Su uso se extiende desde PCs a grandes ordenadores.
GENERICO: Se pueden desarrollar y ejecutar todo tipo de aplicaciones.
POTENTE: Es multiusuario y multiproceso. Tiene un conjunto de funciones y utilidades que lo hacen tan potente como cualquier S.O. (sobre todo para el desarrollo de aplicaciones).
1.2 QU ES UNIX?
Programas de utilidad Shell
Kernel
Kernel
Programa que controla los recursos del ordenador y los asigna entre usuarios. Gestiona los procesos, gestiona unidades y proporciona un sistema de ficheros.
Pg. 2
SEREM FORMACIN
Shell
Programa que interpreta los comandos tecleados por un usuario. Es la interfaz entre el usuario y el S.O. Es un lenguaje de programacin con directivas como los lenguajes de alto nivel, permitiendo bucles, saltos condicionales, asignaciones, etc. ). Existen varios tipos: Bourne shell, C shell de Berkeley, Korn shell, y System V shell.
Programas de utilidad
Editores, compiladores, procesadores de texto (vi, ed), filtros (sed, awk, grep, fgrep, egrep, tr, sort, uniq, comm, etc. ) programas para desarrollo de programas, etc.
1.3 RESPONSABILIDADES DEL ADMINISTRADOR DEL SISTEMA
PROPORCIONA UN ENTORNO SEGURO EN UNA COMUNIDAD UNIX
RESOLUCION DE PROBLEMAS
CONTROLAR EL ACCESO DE LOS USUARIOS AL SISTEMA
SYSTEM MANAGER "SUPERUSUARIO"
OBTENER INFORMACION DE ACCOUNTING DEL SISTEMA
INSTALAR SOFTWARE DEL SISTEMA
MANTENER ARCHIVOS
Pg. 3
SEREM FORMACIN
2. CREACION DE CUENTAS DE USUARIO
2.1 USO DE LA HERRAMIENTA DE ADMINISTRACION ADMINTOOL

La herramienta de administracin Admintool (corre bajo entorno OpenWindows).es una utilidad de la administracin del sistema con una interfaz grfica que permite a los administradores mantener:
q q q q
Ficheros de la base de datos del sistema Impresoras Cuentas de Usuarios Otras mquinas (Hosts)
2.1.1 Inicializacin del entorno OpenWindows

Se debe de establecer el entorno de superusuario de modo que el entorno OpenWindows sea lanzado automticamente cuando se accede al sistema operativo como superusuario.
1. Conectarse como superusuario 2. Copiar el fichero local.profile del directorio /etc/skel en el directorio de acceso del superusuario # cd # cp /etc/skel/local.profile .profile
Pg. 4
SEREM FORMACIN
3. Aadir los directorios /usr/openwin, /usr/sbin, y /sbin al valor de la variable PATH de root en el .profile. Asegrese que el directorio /usr/sbin precede al directorio /usr/ucb. PATH=/usr/openwin/bin:/usr/sbin:/sbin:/usr/bin:/usr/ucb:/etc:. 4. Ejecutar .profile para comenzar el entorno OpenWindows. # . /.profile (aparecer un mensaje informativo sobre el arranque de OpenWindows)
2.1.2 Arranque de Admintool

1. Ejecutar la Herramienta de administracin Admintool en la ventana Shell Tool o Command Tool # admintool & (aparece la ventana de herramienta de administracin admintool) 2. Seleccionar el icono Database Manager para acceder a los ficheros de la base de datos del sistema.
2.1.3 Carga de la Base de Datos Group

Aparece la ventana de gestin de la base de datos del sistema (Load Database)
1. Seleccionar Group de la lista. 2. Seleccionar None entre las opciones de Naming Service para utilizar los ficheros /etc de la mquina local. 3. Pulsar el botn Load
2.1.4 Creacin de una nueva entrada

Aparece la ventana Group Database 1. Seleccionar Add Entry del men Edit
Pg. 5
SEREM FORMACIN
2.1.5 Creacin de un nuevo grupo

Se visualiza la ventana Add Entry 1. Introducir la informacin siguiente: a. El nombre de grupo sysadmin b. El nmero de identificacin del grupo (GID) es 14 1. Pulsar en Add 2. Aadir otro grupo llamado Students con GID de 110 3. Abandonar la ventana Add Entry 4. Salir de la ventana Group Database
2.1.6 Arranque del gestor de Cuentas de Usuario

1. Para crear un usuario nuevo seleccionar el icono User Account Manager de la ventana principal Administration Tool 2. Establecer el nombre de servicio None para utilizar los ficheros /etc almacenados en el sistema local. Pulsar Apply
2.1.7 Acceso al a ventana de Creacin de Ususario

Se visualiza la ventana User Account Manager
1. Seleccionar la opcin Add User del men Edit
2.1.8 Creacin de un nuevo usuario

Aparece el formulario Add User
1. Especificar los valores de identificacin de usuario para las siguientes variables.
Pg. 6
SEREM FORMACIN
a. Utilizar el nombre propio como nombre de usuario b. Utilizar el UID asignado por el instructor c. Utilkizar 110 como grupo primario d. Especificar 14 como grupo secundario e. Utilizar el nombre completo como comentario
Estado de la Contrasea Inexistente hasta la primera conexin
Descripcin La cuenta no tendr contrasea y el usuario deber introducir una contrasea la primera vez que accede al sistema (por defecto)
Cuenta bloqueada
La cuenta est bloqueada y el usuario no podr conectarse hasta que le administrador le asigne una contrasea
Sin contrasea, slo setuid
Esta curenta nopermite conectarse a ella, pero permite ejecutar programas como lp o uucp
Contrasea normal
Permite al administrador poner una contrasea mientras aade al usuario.
1. Especificar los valores de seguridad de la cuenta para las variables mostradas. a. Utilizar el submen del botn Password para poner una contrasea de usuario normal b. Rellenar la informacin de contrasea a. Dejar las opciones de seguridad de cuenta en blanco 1. Especificar los valores del directorio d acceso para las variables siguientes a. Pulsar el cuadro Create Home Dir para crear el directorio de acceso de usuario b. Especificar la variable PATH como /export/home/ nomber_usuario
Pg. 7
SEREM FORMACIN
c. d. e. f.
Introducir el nombre del sistema propio como servidor Introducir /etc/skel como Skeleton Path No pulsar sobre el cuadro AutoHome Setup Localizar la matriz de permisos de lectura, escritura y ejecucin del Propietario, Grupo y Otros. Esta matriz permite al administrador establecer los permisos del directorio de acceso al usuario.
g.
Cambiar los permisos de acceso seleccionados en los cuadros adecuados.
1. Pulsar Add para crear la cuenta de usuario 2. Abandonar la ventana Add User 3. Abandonar la ventana Admintool
2.1.9 Verificacin de la nueva cuenta

1. Desconectarse y conectarse como el usuario que se acaba de crear 2. Visualizar el contenido del directorio de acceso (ls a) 3. Si se quiere utilizar el entorno OpenWindows automticamente una vez realizada la conexin teclear lo siguiente: $ mv local.profile .profile
2.2 EL FICHERO /etc/passwd

La base de datos de contraseas est implementada en el fichero /etc/passwd para cuentas locales de usuario.
En la ventana del Command Tool es posible visualizar ste fichero que consiste en varios registros de una sola lnea. Para separa los campos se utiliza el carcter (:) dos puntos.
Pg. 8
SEREM FORMACIN
Sus campos son los siguientes: Nombre_acceso:contrasea:UID:GID:nombre_real(comentario):directorio_acceso: tipo_shell
El fichero password es de slo lectura para todo el mundo. Slo el SU puede editar ste fichero. Los usuarios normales pueden modificar parte de la informacin, como su contrasea o el tipo de shell inicial, usando el comando passwd.
La x en el campo de la contrasea ocupa el mismo lugar dnde se pona la contrasea antiguamente. La contrasea real esta almacenada en el fichero /etc/shadow junto con otra informacin relacionada con ella.
2.3 EL FICHERO /etc/group

La base de datos de grupos est implementada en el fichero /etc/group para cuentas locales de usuarios
El fichero de grupos consiste en registros de una sola lnea. Para separa los campos se utiliza el carcter (:) dos puntos.
Sus campos son los siguientes: Nombre_de_grupo:contrasea:GID:lista_de_usuarios_del_grupo
Cuando hay mas de un usuario se utilizan coas para separarlos.
Pg. 9
SEREM FORMACIN
2.4 CREACIN MANUAL DE CUENTAS DE USUARIO

Las cuentas de usuario pueden ser aadidas manualmente en caso de utilizar un terminal ASCII como consola del sistema.
Los pasos a seguir son los siguientes: 1. Utilizar el comando groupadd para crear el grupo de usuario (si es necesario) # groupadd g 100 explorer 2. Utilizar el comando useradd para aadir un usuario y crear el directorio de acceso al usuario # useradd u 115 g 100 c Lt. Ripley \ -d /export/home/ripley m s /bin/sh ripley 3. Ejecutar el comando passwd para la nueva cuenta de usuario y asignar la contrasea de usuario # passwd ripley 4. Aadir ficheros de inicializacin al directorio de acceso al usuario (como .profile)
2.5 EL COMANDO su
El comando su (switch user) se utiliza para trabajar como un usuario diferente sin salir de la cuenta. Por defecto se cambia a Super Usuario
Sintaxis: #su [nombre_usuario]
Realizar los siguientes ejercicios en la ventana del Command Tool: 1. Visualizar el actual UID, nombre de usuario, GID, y nombre de grupo con el comando id 2. Cambiar de usuario a SU introduciendo el comand su
Pg. 1 0
SEREM FORMACIN
3. Mostrar el actual UID, nombre de usuario, GID, y nombre de grupo con el comando id 4. Visualizar los procesos asociados con la ventana actual tecleando el comando ps 5. Salir con exit de la nueva shell
Pg. 1 1
SEREM FORMACIN
3. MANTENIMIENTO DE CUENTAS DE USUARIO
3.1 CONTRASEAS (PASSWORDS)
3.1.1 Requisitos de Contrasea

Las contraseas deben de tener stos requisitos:
q q q q
Tener al menos seis caracteres (solo los primeros 8 son significativos) Contener al menos dos caracteres alfabticos y un carcter especial o numrico Ser diferente del nombre de conexin Ser diferente de la contrasea previa en al menos tres caracteres
3.1.2 Caractersticas de limitacin de la contrasea

Los parmetros de limitacin de la contrasea estaban incluidos en la seccin Seguridad de la Cuenta de la ventana Add User del Gestor de Cuentas de Usuarios como vimos anteriormente.
Las contraseas que no se cambiaron o que permanecen activas una vez que su tiempo de validez ha finalizado son un peligro para la seguridad. Solaris 2.x provee varios parmetros para controlar las contraseas que pueden ser activadas utilizando Admintool.
Pg. 1 2
SEREM FORMACIN
Parmetro Min. Change
Significado El nmero mnimo de dias requeridos para poder cambiar la contrasea
Max. Change Max. Inactive Expiration Date
El nmero mximo de dias que la contrasea es vlida Nmero de dias de inactividad permitido para ese usuario Una fecha concreta a partir de la cual la conexin no podr volver a ser utilizada
Warning
El nmero de das antes de que la contrasea expire el usuario recibir un aviso
3.2 MODIFICACIN DE UNA CUENTA DE USUARIO EXISTENTE

1. Se debe de iniciar Admintool tecleando lo siguiente # admintool & 2. Arrancar el Gestor de Cuentas de Usuario seleccionando su icono en la ventana de Herramienta de Administracin 3. Seleccionar None para la opcin nombre de servicio ya que la cuenta a modifivcar es local 4. Pulsar Apply. Aparecer una ventana del Gestor de Cuentas de Usuario que lista todas las cuentas de usuario definidas actualmente en el sistema. 5. Pulsar MENU en el botn Edit para visualizar el men Edit. 6. Seleccionar el nombre de conexin de la cuenta de usuario que se cre cion el Gestor de Cuentas de Usuario 7. Escoger Modify/View User del men Edit. Esta ventana se visualiza con los valores rellenados.
Pg. 1 3
SEREM FORMACIN
3.3 EL FICHERO /etc/shadow

Como se vio una x en el campo contrasea de la base de datos passwd indica que la contrasea se encuentra almacenada en el fichero /etc/shadow, el cual tambien almacena informacin relacionada con dicha contrasea.
La informacin de seguridad ya especificada (Password, Min. Change, Max. Change, Max. Inactive, Expiratio Date y Warning) est alamacenada en ste fichero, el cual slo puede ser leida por el superusuario.
Este fichero consiste en registros de una sola lnea. Para separar los campos se utiliza el carcter (:) dos puntos.
Sintaxis: Nombre_usuario:contrasea:ult_cambio:min:max:aviso:inactivo:caducidad
3.4 BLOQUEO DE UNA CUENTA

Cuando un usuario no necesita por alguna razn acceder al sistema, el administrador podr hacer inaccesible esa cuenta.
Pasos a seguir: 1. Pulsar el icono User Account Manager 2. Seleccionar usuario 3. Seleccionar opcin Modify User del Menu Manager 4. Escoger Account is Locked del men Password 5. Pulsar Apply 6. Verificar que la cuenta est bloqueada visualizndola en /etc/shadow (LK)
Pg. 1 4
SEREM FORMACIN
El administrador puede realizar lo mismo con el comando passwd l
3.5 ELIMINACIN DE UNA CUENTA

Seguir los pasos: 1. Visualizar la ventana User Account Manager 2. Seleccionar usuario 3. Seleccionar Delete User del men Menu Edit 4. Pulsar Delete 5. Salir de la ventana de Gestin de Cuentas de Usuario 6. Cerrar el icono de Herramienta de Administracin Admintool
3.6 EL COMANDO passwd

El superusuario puede mantener contraseas con el comando passwd
Sintaxis: passwd [ -l | -d ] [- f ] [ -n min ] [ -x max ] nombre passwd -s [ nombre | -a ]
Opciones: -l -d -f Bloquea la entrada de la contrasea para el usuario con ese nombre Elimina la contrasea para el usuario con ese nombre Fuerza a dicho usuario a cambiar su contrasea en la siguiente conexin -n min x max -s Establecen el campo mnimo y mximo para el nombre del usuario Presenta las caractersticas de la contrasea para ese usuario
Pg. 1 5
SEREM FORMACIN
-a
Visualiza las caractersticas de la contrasea para todas las entradas de usuario
3.7 EL DIRECTORIO /etc/default

Existen varios ficheros ASCII de variables del sistema con valores or defecto que estn ubicados en el directorio /etc/default.
3.7.1 Fichero /etc/default/su

El valor de la variable SULOG especifica el nombre de fichero donde van a parar todos los intentos para cambiar a otro usuario con el comando su. Si no est definido, su es rechazado.
Si el valor de la variable CONSOLE est definido como /dev/console, todos los intentos su correctos para cambiar a superusuario quedan registrados en la consola.
3.7.2 El fichero /etc/default/passwd

Este fichero contiene tres variables importantes
El valor de la variable MAXWEEKS especifica el mximo nmero de semanas que una contrasea es vlida antes de que sea cambiada para todos los usuarios normales. . Si se define como cero, slo los usuarios que tienen un valor para MAX en el fichero /etc/shadow deben de cambiar sus contraseas.
Sin embargo, un valor MAX en el fichero /etc/shadow se mide en dias.
Pg. 1 6
SEREM FORMACIN
El valor de la variable MINWEEKS especifica el mnimo nmero de semanas entre cambios de contrasea para todos los usuarios normales. Si se define como cero, slo los usuarios que tienen un valor para MIN en el fichero /etc/shadow tienen limitado cundo pueden cambiar sus contraseas.
Sin embargo, un valor MIN en el fichero /etc/shadow se mide en dias.
El objetivo de la variable PASSLENGTH es especificar una longitud mnima de contrasea para todos los usuarios normales. El comando passwd requiere una longitud superior a 5 caracteres.
3.7.3 El fichero /etc/default/login

Este fichero contiene dos parmetros importantes de seguridad.
La variable ALTSHELL se utiliza para situar la variable de entorno de la SHELL bajo ciertas condiciones.
q
Si el campo de shell en el fichero /etc/passwd contiene un valor, y la variable ALTSHELL est a YES, entonces el valor de SHELL se toma del fichero contrasea.
Si el campo de shell en /etc/passwd contiene un valor y la variable ALTSHELL se encuentra comentada o est a NO, entonces el valor de SHELL no se establece como una variable de entorno.
Si el valor de PASSREQ est a YES (por defecto) los usuarios con contraseas vacas ser obligados a introducir una contrasea la prxima vez que se conecten al sistema. Por otra parte las contraseas vacas estn permitidas.
La variable CONSOLE puede ser utilizada para especificar tres condiciones para la conexin como superusuario.
Pg. 1 7
SEREM FORMACIN
Si la variable es definida como /dev/console (por defecto) la conexin como SU slo es permitida desde la consola
q q
Si la variable no est definida, no se permite la conexin como SU. (mdem, red, etc.) Si la variable est definida como vaca (CONSOLE=), no se permite la conexin como SU. En ste caso el modo de obtener los privilegios como SU es conectarse como usuario normal y ejecutar el comando su
3.8 UTILIZACIN DE SHELLS RESTRINGIDAS

Solaris 2.x provee versiones restringidas de la Korn Shell (rksh) y de la Shell de Bourne (rsh) para permitir a los administradores un mayor control sobre el entorno de ejecucin del usuario. Esto es particularmente til para el acceso temporal con permisos restringidos en las sesiones de conexin.
Las acciones de rsh y rksh son idnticas a las de sh y ksh con restricciones. A los usuarios se les impide:
q q q q
Cambiar de directorio Establecer el valor $PATH Utilizar nombres de camino de comandos absolutos Redireccionar la salida (> y >>)
Es importante no confundir la shell remota (/usr/bin/rsh) con la shell restringida (/usr/lib/rsh).
Es posible proveer al usuario con caractersticas de shell estndar, mientras se restringe el acceso a todos los comandos. Esto significa que los administradores tienen que crear tambin un conjunto limitado de comandos (como /usr/rbin) para un usuario restringido. El siguiente paso ser restringir permisos en el directorio de acceso del usuario de modo que el usuario no pueda cambiar ste entorno.
Pg. 1 8
SEREM FORMACIN
El resultado de stas restricciones es que el script .profile ofrece el control sobre las acciones del usuario ofreciendo un conjunto limitado de comandos y limitando al usuario a un directorio especificado.
Pg. 1 9
SEREM FORMACIN
4. SISTEMAS DE FICHEROS UNIX
4.1 PARTICIONES DE DISCO Y ETIQUETAS

Las particiones consisten en un offset (distancia) del borde exterior del disco y un tamao. Los offsets y tamaos para las particiones del disco estn definidos por una tabla de particin (partition table)
La etiqueta del disco tambin llamada Tabla de Contenidos de Volumen de Disco (Volume Table of Contents VTOC)), contiene:
q q q
Tablas de particiones (Partitio Tables) para el disco Un nombre de volumen (volume name) opcional que identifica el dispositivo de disco Partition tags opcionales que nombran los puntos de montaje estndar de cada una de las particiones
Partition Flags opcionales que determinan si cada particin se puede grabar y/o montar
Particin 0 Particin 1 Particin 2 Etiqueta del disco
Pg. 2 0
SEREM FORMACIN
4.1.1 Las Particiones

Las particiones son divisiones lgicas de un disco.
q q
Son grupos de sectores Tienen tamaos por defecto, por tipo de disco, pero pueden ser alteradas por el superusuario
q q q
Ayudan a equilibrar la carga del disco Son etiquetadas desde la a hasta la h Una particin puede contener a otra u Otras.
Por defecto la particin 0 es root y la particin 1 es swap (area de swapping)
4.1.2 Comandos para el uso de particiones

La utilidad format es una herramienta de mantenimiento de disco que se ejecuta desde la lnea de comandos o desde un CD-ROM de instalacin si format se quiere utilizar para modificar un disco que contiene los ficheros / (root) o /usr o una particin swap.
Las tareas bsicas para reparticionar el disco son:

q q q
Reparticionamiento de disco Reetiquetado del disco con la nueva etiqueta de disco Creacin de la interfaz del sistema de ficheros para la nueva particin. (Esta tarea puede omitirse si se aade una particin de swap adicional)
Desde la utilidad format, el men partition se utiliza para ver y modificar las tablas de particiones.
La opcin print desde el men partition permite visualizar la tabla de particiones actual.
Pg. 2 1
SEREM FORMACIN
Las particiones debern de ser contiguas. La primera particin comenzar en el cilindro 0. La segunda inmediatamente despus de la primera, y as sucesivamente. Esto se comprueba en la columna Cylinders
Para cambiar el tamao de una particin se debe de ejecutar el comando modify dentro del menu partition. Y seguir los pasos que interactivamente el sistema va preguntando.
Para verificar la nueva etiqueta del disco, introducir el comando verify desde el men principal format
Desde el prompt el sistema es posible visualizar una tabla de contenidos de volumen de disco. Con el comando prtvtoc (# prtvtoc /dev/rdk/c0t0d0s0)..
4.2 CREAR UN SISTEMA DE FICHEROS

Despus de utilizar la utilidad format para cambiar el tamao de una particin, el paso siguiente es crear un sistema de ficheros para aadir nuevos datos. La informacin almacenada en una particin se accede a travs del interfaz del sistema de ficheros.
El comando newfs es una implementacin ms amigable del comando mkfs que es quien realmente crea el sistema de ficheros. (# newfs /dev/rdk/c0t0d0s0)
Este comando crea un sistema de ficheros por defecto incluyendo un inodo root, un directorio lost+found que es utilizado por fsck para comprobar y reparar el sistema de ficheros.
Posteriormente se repite el comando para cada particin del sistema de ficheros.
Pg. 2 2
SEREM FORMACIN
4.3 SISTEMAS DE FICHEROS LOCALES Y DISTRIBUIDOS

Los dos sistemas de ficheros con los que trabajan la mayora de los administradores son el tipo de sistema de ficheros de disco (o local) y de tipo remoto (o distribuido).
4.3.1 Sistemas de ficheros de disco (local)

Estos sistemas de ficheros estn almacenados en medios fsicos como discos, CD-ROM, o disquetes. ufs Por defecto el sistema de ficheros de disco basado ene le sistema de ficheros BSD Fat Fast hsfs pcfs Sistema de ficheros High Sierra y CD-ROM Sistema de ficheros que soporta accesos de lectura/escritura de datos de disquetes del sistema operativo (DOS)
4.3.2 Sistemas de ficheros distribuidos (remotos)

El sistema de ficheros distribuido soporta el acceso a sistemas de ficheros incluidos en otros sistemas de la red. nfs Sistema de ficheros de red
4.4 MONTAJE Y DESMONTAJE DE SISTEMAS DE FICHEROS

Montar es el proceso por medio del cual sistemas de ficheros separados se integran en una nica jerarqua de directorios. Normalmente, se montan y desmontan durante el encendido y apagado del sistema.
Pg. 2 3
SEREM FORMACIN
No es frecuente que los administradores de sistemas hagan ste tipo de operaciones. Adems, la reconfiguracin del disco requiere a veces que los admninistradores realicen cambios en /etc/vfstab, que especifica como se montarn y desmontarn los sistemas de ficheros automticamente durante el encendido y apagado del sistema.
El comando que se utiliza para montar todos los sistemas de ficheros locales cuando el sistema est en nivel de ejecucin 2 dentro del fichero de comandos MOUNTFSYS, es el comando mountall l (La opcin l indica los sistemas de ficheros locales)
Los elementos a ser ensamblados y donde el comando mountall los obtiene de la informacin que le proporciona el fichero /etc/vfstab en ele campo mount at boot
Para identificar los sistemas de ficheros que han sido montados y las opciones que se han utilizado en el montaje, teclear el comando mount sin argumentos
4.4.1 El fichero /etc/vfstab

Este fichero proporciona posiciones por defecto para el montaje de sistemas de ficheros.
El formato del fichero es un registro por lnea, siete campos por registro, con un guin (-) indicando un valor nulo para un campo.
Pg. 2 4
SEREM FORMACIN
4.5 MONITORIZACIN DE LA UTILIZACIN DE DISCO
4.5.1 El comando du
El comando du visualiza la cantidad de bloques de disco (de 512 bytes) utilizados por directorios y ficheros. Sin opciones ni argumentos, el comando du muestra la cantidad de bloques utilizados por cada subdirectorio del directorio actual y la suma total.
Si se suministra el camino de un directorio opcional, el comando lista el nmero de bloques utilizado por cada directorio debajo de ese camino y la suma total.
Sintaxis: # du [ -a] [ -s ] [-k ] [directory ]
Opciones: -a Visualiza el nmero de bloques utilizados por los ficheros y directorios dentro de la jerarqua de directorio especificada -s -k Muestra slo el resumen Lo muestra en Kilobytes
4.5.2 El comando df
El comando df muestra la informacin de los sistemas de ficheros montados
Sintaxis: # df [ -k ] [ directory ]
Pg. 2 5
SEREM FORMACIN
Opciones: -k Visualiza el espacio en Kbytes y resta el espacio reservado por el sistema operativo
4.5.3 El comando quot

El comando quot visualiza cunto espacio de disco (en Kbytes) es utilizado por los usuarios.
Sintaxis: # quot [ -af ] [filesystem ]
Opciones: a f Informa de todos los sistemas de ficheros montados Muestra la cantidad de ficheros, as como el nmero de Kbytes. que son propiedad del usuario.
Pg. 2 6
SEREM FORMACIN
5. ESTRUCTURA DEL SISTEMA DE FICHEROS
5.1 SUPERBLOQUES Y BLOQUES DEL GRUPO DE CILINDROS

Bajo ste apartado se describen las estructuras de los sistemas de ficheros.
Inodo Un inodo es la representacin interna de un fichero que contiene informacin sobre el UID y el GID del propietario, nmero bytes y punteros a los ficheros de bloques de datos.
Grupos de cilindros Los anteriores sistemas de ficheros UNIX agrupaban todos sus inodos al principio del sistema de ficheros, seguidos de todos los bloques de datos del sistema de ficheros.Para mejorar el rendimiento, el nuevo sistema de ficheros UNIX Fat Fast de Berkeley agrupa subconjuntos de inodos y bloques de datos juntos en cilindros consecutivos llamados grupos de cilindros. El sistema de ficheros intenta mantener el inodo del fichero y todos sus bloques en el mismo grupo de cilindro.
Bloques de Grupos de Cilindros El bloque de grupos de cilindros describe el nmero de inodos y de bloques de datos, as como los directorios, bloques e inodos libres, la lista de bloques libres y el mapa de inodos ocupados de ste grupo de cilindros.
Pg. 2 7
SEREM FORMACIN
Superbloques El superbloque contiene informacin sobre el sistema de ficheros: nmero de bloques y de grupos de cilindros, el tamao del bloque y de fragmanto, una descripcin del hardware (derivada de la etiqueta) y el nombre del punto de montaje. Dado que el superbloque contiene datos crticos, est duplicado en cada grupo de cilindros para protegerlo de prdidas accidentales. Esto se hace cuando se crea el sistema de ficheros. Si un fallo del disco hace que se dae el superbloque, se acceder a stas copias.
Etiqueta Bloque de carga inicial Superbloque
Copia de seguridad del superbloque Primer grupo de cilindros Bloque del grupo de cilindros Tabla de inodos
Bloques de datos
Segundo bloque de cilindros
Pg. 2 8
SEREM FORMACIN
5.2 FRAGMENTOS DE BLOQUES

El sistema de ficheros UNIX original utilizaba bloques de 512 bytes. En la versin 1 del System V se expandi a 1024 bytes. La ventaja de un mayor tamao de bloque es que las transferencias de disco son mucho ms rpidas cuando se tienen que transferir grandes cantidades de informacin.
La desventaja de un tamao de bloque grande es que los ficheros pequeos desaprovechan espacio en disco. Cuando sta perdida se multiplica por muchos ficheros, la cantidad de espacio desperdiciada puede ser bastante grande.
Un mtodo para aprovechar el espacio en disco perdido es dividir cada bloque de datos en fragmentos. El fragmento o fragmentos pueden ser asignados en el momento en que el fichero no ocupa un bloque entero. Los fragmentos no pueden ser mas pequeos que un sector de disco. Lo habitual es dividir el bloque en ocho fragmentos.
El sistema Solaris 2.x utiliza por defecto un bloque de 8192 bytes y un fragmento de 1024 bytes.
Bloque del Sistema de Ficheros
8192 bytes
1024 bytes Fragmento
5.3 EL PROGARAMA FSCK

El comando fsck utiliza parmetros conocidos e informacin redundante para revisar las inconsistencias de disco.
Pg. 2 9
SEREM FORMACIN
Las inconsisencias, revisadas en orden, son las siguientes: 1. Bloques reclamados por uno o ms inodos y la lista de inodos libres 2. Bloques reclamados por un inodos de la lista de inodos libres 3. Contadores de enlaces incorrectos 4. Tamaos de directorios incorrectos 5. Fomato de inodo incorrecto 6. Bloques no contabilizados en nngn lugar 7. Comprobacin de directorios, punteros de ficheros no asignados a iodos y nmeros de inodo fuera de rango. 8. Comprobacin de superbloques 9. Formato de lista de bloques libre errneo 10. Total de bloque libre y/o inodo incorrecto
Esta utilidad unicamente debe de ser ejecutada en modo monousuario o slamente en sistemas de ficheros desmontados. Tener en cuenta que no se pueden desmontar / (root) y /usr.
El programa fsck puede ejecutarse en modo interactivo y no interactivo (durante el proceso normal de arranque).
Si no se utiliza ningn argumento, fsck comprueba aquellas entradas en el fichero /etc/vfstab que tienen una entrada en el campo device to fsck, y tienen una entrada numrica distinta de cero en el campo fsck pass.
Pg. 3 0
SEREM FORMACIN
6. COPIAS SEGURIDAD Y RECUPERACION
6.1 copias de seguridad

Hay tres principales razones para hacer copias seguridad: 1. Salaguardar la informacin contra un fallo del sistema o algn desastre natural 2. Proteger los ficheros de los usuarios contra borrados accidentales 3. Garantizar una transaccin de informacin cuando se reinstala o actualiza el sistema
6.1.1 Nombres de dispositivos de cinta

Todos los dispositivos de cinta, independientemente de su tipo, son refrenciados por sus nombres lgicos de dispositivo. Tienen el siguiente formato:
/dev/rmt/xybn x y b BSD) n Sin rebobinado (poniendo n al final, la cinta no se rebobinar cuando se haya completado la accin) Nmero de cinta lgico Densidad de cinta (h:alta,m:media y l:baja) Comportamiento BSD (cuando se especifica b, la unidad asume comportamiento
Pg. 3 1
SEREM FORMACIN
6.2 EL COMANDO UFSDUMP

El comando ufsdump se utiliza para hacer una copia de un sistema de ficheros, ya sea del sistema completo o de ficheros y directorios individuales.
Sintaxis: # ufsdump opciones [ argumentos ] ficheros_a_copiar
Opciones: 0-9 a f u c Especifica el nivel de copia. El nivel o es el mas bajo Crea un fichero en lnea de nombres de ficheros volcados a cinta Especifica el dispositivo donde se escriben los ficheros Actualiza /etc/dumpdates con la fecha y nivel del volcado Volcado a una cinta de cartucho y establece el factor de agrupamiento a 126 bloques
El factor de agrupamiento es el nmero de bloques de cinta (512 bytes) que se ha de escribir antes de insertar una separacin entre bloques
Cuando ufsdump se utiliza para hacer copias de seguridad de ficheros o directorios individuales, el nivel de copia se pondr a 0.
Es muy importante que las copias de seguridad se realicen en sistemas de ficheros inactivos o desmontados. Por lo tanto el nivel de ejecucin debe de ser S, o por razones de disponibilidad desmontar el sistema de ficheros. Posteriormente es recomendable chequear el sistema de ficheros con fsck.
Pg. 3 2
SEREM FORMACIN
6.3 EL COMANDO ufsrestore

El comando ufsrestore extrae ficheros de una copia de seguridad creada por el comando ufsdump. Sintaxis: # ufsrestore opciones [ argumentos ] [ nombre_de_fichero ]
Opciones: t x r i Lista el ndice de la copia de Recupera slo los ficheros especificados Recupera la copia de seguridad completa Realiza una recuperacin interactiva Toma la informacin del ndice del fichero en lugar de la cinta Utiliza fichero como dispositivo de recuperacin
a fichero f fichero v
Presenta el camino donde son restaurados los ficheros
Pg. 3 3
SEREM FORMACIN
7. EL PROCESO DE ARRANQUE
7.1 PROCEDIMIENTO DE ARRANQUE SOLARIS 2.X

La PROM ejecuta diagnsticos de auto-chequeo Fase PROM de La PROM carga el programa primario de arranque (bootblk ) Arranque
El prog. primario de arranque carga el prog. secundario de arranque (ufsboot) El programa de arranque Fase Programa
de Arranque
(ufsboot) carga el ncleo
El nucleo se inicializa y comienza el proceso init
Fase Inicializacin del nucleo
El proceso init lanza los ficheros de comandos de control de ejecucin
Fase /sbin/init
Pg. 3 4
SEREM FORMACIN
7.1.1 Fase PROM de Arranque

La PROM de arranque realiza los siguientes pasos durante la primera parte de la secuencia de arranque: 1. Presenta la pantalla de identificacin del sistema. Se visualiza el modelo, tipo de teclado, identificador de la mquina (host id), nmero de revisin de PROM, y direccin Ethernet. 2. La PROM ejecuta los diagnsticos de auto comprobacin para verificar el hardware del sistema y la memoria. 3. La PROM de arranque lee un programa primario de arranque del sistema llamado bootblk que contiene un lector de sistemas de ficheros ufs. La PROM puede ser programada para utilizar un dispositivo de arranque alternativo. 4. El lector del sistema de ficheros abre el dispositivo de arranque, encuentra el programa secundario de arranque /ufsboot y lo carga en memoria
7.1.2 Fase Programa de Arranque

En este punto, el programa /ufsboot se encarga de todo 1. Despus de cargar el programa /ufsboot, la PROM de arranque carga el ncleo (/kernel/unix).
7.1.3 Fase Inicializacin del nucleo

1. El ncleo comienza cargando mdulos utilizando el programa /ufsboot para leer los ficheros tan pronto como se inicialice a si mismo. Cuando el ncleo ha ledo los mdulos que necesita para montar la particin root, descarga el programa /ufsboot de la memoria, y contina inicializando el sistema utilizando recursos propios.
Pg. 3 5
SEREM FORMACIN
7.1.4 Fase /sbin/init

1. El ncleo crea un proceso de usuario y lanza el programa /sbin/init. El programa /sbin/init inicializa procesos utilizando informacin del fichero /etc/inittab. El proceso init ejecuta uno o varios ficheros de comandos rc que ejecutan a su vez otros ficjheros de comandos (/sbin/rc*).
7.2 NIVELES DE EJECUCIN DEL SISTEMA

Por defecto el sistema se ejecuta en nivel 3 (estado multiusuario completo) despus de que el sistema ha sido arrancado correctamente.
El entorno Solaris 2.x tiene varios niveles de ejecucin que determinan varios modos de operacin del sistema.
Nivel de Ejecucin
0 1 Nivel de monitor PROM
Funcin
Modo administrativo (monousuario con varios sistemas de ficheros montados y conexiones de usuario desactivadas)
2 3 4 5 6 S,s
Nivel multiusuario (sin recursos compartidos) Nivel multiusuario (con recursos compartidos) Actualmente no utilizado Parada y arranque interactivo (boot a) Rearranque oor defecto nivel de ejecucin 3 Monousuario con algunos sistemas de ficheros montados y conexiones de usuario desactivadas
Pg. 3 6
SEREM FORMACIN
El modo monousuario significa que el terminal de consola virtual es asignado a la consola del sistema para ser utilizada por el superusuario. Se tiene que conocer la palabra de paso de root para obtener el modo monousuario y ningn otro usuario podr entrar.
El modo multiusuario significa que todos los terminales definidos y demonios (daemons) se estn ejecutando.
7.3 EL PROCESO /sbin/init

El programa /sbin/init tiene dos funciones importantes: 1. Crea procesos que tienen el efecto de llevar al sistema hasta el nivel de ejecucin por defecto 2. Controla transacciones entre estados de ejecucin leyendo el fichero /etc/inittab
7.3.1 El fichero /etc/inittab

Las entradas de ste fichero indical al proceso int que procesos debe de crear para cada nivel de ejecucin y qu acciones debe de tomar.
El fichero /etc/inittab define tres elementos importantes para el proceso /sbin/init

q q q
El nivel de ejecucin por defecto del sistema Qu procesos hay que iniciar, monitorizar y relanzar cuando stos desaparecen Qu acciones hay que llevar a cabo cuando un nuevo nivel de ejecucin se introduce en el sistema.
Pg. 3 7
SEREM FORMACIN
8. CAMBIO DEL NIVEL DE EJECUCION
8.1 PLANIFICACION DE PARADAS DEL SISTEMA

Es importante para los administradores del sistema planificar las tareas que afectan ala capacidad de utilizacin del sistema por los usuarios.
Tareas como reemplazar hardware defectuoso o problemas que requieren una parada del sistema no son facilmente predecibles. Las tareas rutinarias tales como mantenimiento de los sistemas de ficheros y copias de seguridad (backups) deberan de ser programadas de modo que los usuarios pudieran planificar su trabajo convenientemente.
Hay diferentes modos de notificar a los usuarios la ineludible parada del sistema:
q
Enviar mensajes a los usuarios que estn conectados al sistema con el comando wall
q q q
Enviar mensajes aun grupo de usuarios con el comando rwall Enviar mensajes por correo electrnico a los usuarios afectados. Utilizar el fichero /etc/motd (message of the day) para enviar un mensaje a los usuarios que van a conectarse al sistema durante el tiempo de parada.
Existen varios comandos para cambiar los niveles de ejecucin del sistema.
q q q q
Shutdown Init Halt reboot
Pg. 3 8
SEREM FORMACIN
8.1.1 El comando shutdown

El comando /usr/sbin/shutdown es utilizado para cambiar el nivel de ejecucin del sistema. Los procesos del sistema sern parados y los ficheros que sern desmontados, dependern del nivel de ejecucin del sistema al que se cambie. En la mayora de los casos, es utilizado para pasar del nivel de ejecucin 3 al S. Es muy importante avisar a los usuarios del cambio.
Si el comando shutdown es utilizado para cambiar el nivel de ejecucin del sistema al 0, termina la ejecucin del sistema operativo. Esto significa que todos los procesos son parados y todos los sistemas de ficheros desmontados.
Sintaxis: Shutdown [ -y] [-gseconds] [ -irun_level]
Opciones: y Utilizar sta opcin sirve para continuar la parada sin intervencin.. Si no se usa se pedir confirmacin g Permite especificar el tiempo que transcurrir hasta la parada (en segundos). El valor por defecto es 60 seg. i Permite poner el sistema en un nivel de ejecucin diferente del S.
Salir del entorno OpenWindows y cambiar al directorio / (root) antes de utilizar el comando shutdown (como superusuario).
8.1.2 El comando init

El comando init se puede utilizar en lugar del comando shutdown para cambiar los niveles de ejecucin del sistema. Sin embargo, el comando init no enva mensajes de aviso antes de cambiar de nivel.
Pg. 3 9
SEREM FORMACIN
Ambos comandos shutdown e init sitan el sistema en el nivel de ejecucin especificado.
Se debe ser superusuario antes de utilizar el comando init para cambiar los niveles de ejecucin
Opcin
0 1
Accin
Pasar el sistema a la PROM Poner el sistema en modo monousuario donde algunos sistemas de ficheros son montados y los usuarios desconectados
Poner el sistema en modo multiusuario (sin recursos compartidos)
Poner el sistema en modo multiusuario (con recursos compartidos)
4 5 6 S,s
Actualmente no utilizado Parar el sistema y realizar un arranque interactivo (boot a) Parar y rearrancar el sistema en nivel de ejecucin 3 Poner el sistema en modo monousuario donde algunos sistemas de ficheros son montados y los usuarios desconectados
Q,q
Indicar al programa init que vuelva a leer el fichero /etc/inittab
Pg. 4 0
SEREM FORMACIN
8.1.3 El comando halt

Utilizar el comando /usr/bin/halt es equivalente a utilizar ini 0, el cual detiene el sistema y lleva a la PROM.
8.1.4 El comando reboot

El comando /usr/sbin/reboot detiene el sistema de forma limpia y lo lleva por defecto a nivel de ejecucin 3, igual que el comando init 6.
Utilizar el comando reboot -- -r para rearrancar el sistema y realizar un arranque con reconfiguracin.
8.2 LA PROM DE MONITOR

Una vez que el sistema es llevado a la PROM, utilizar el comando boot para cambiar a un nivel de ejecucin diferente.
El comando boot requiere un argumento que represente el dispositivo de arranque, si no hay dispositivo de arranque por defecto. El dispositivo de arranque se especifica de diferentes formas, dependiendo de la versin de la PROM de la mquina.
8.2.1 La Open Boot PROM

El OBP (Open Boot PROM) hace referencia a la filisofia de SUN sobre sistemas abiertos.
Para identificar el nmero de versin de la PROM del sistema utilizar el comando banner.
Pg. 4 1
SEREM FORMACIN
En funcin de la mquina la versin de OBP es diferente. Las mquinas nuevas utilizan la versin OBP 2.0 y superiores, lo que significa que el dispositivo de arranque es especificado por su nombre fsico que se encuentra en la informacin jerrquica sobre dispositivos.
Sistemas mas antiguos utilizan la vesrsin OBP 1.x, la cual tiene caractersticas y sintaxis diferentes a la versin de OBP 2.x
Para especificar el dispositivo de arranque en la versin de OBP 2.x, sin utilizar el nombre de dispositivo fsico, utilizar el comando devalias para identificar posibles dispositivos de arranque. El alias del nombre del dispositivo se especifica en el lado izquierdo de la salida. Generalmente disk identifica el dispositivo de arranque por defecto del sistema.
Los nombres de dispositivo en el nivel de la PROM 1.x son especificados con el comando boot utilizando un formato distinto del anterior.
Pg. 4 2
SEREM FORMACIN
9. MANEJO DE IMPRESORAS
9.1 UTILIZACIN DE LA HERRAMIENTA DE ADMINISTRACION DE IMPRESORAS

Si es necesario, lanzar OpenWindows 1. Arrancar la Herramienta de administracin Admintool y pulsar en el icono Printer Manager 2. El icono Printer Manager tienen tres botones de men
q q q
View, el cual se utiliza para visualizar y buscar impresoras Edit que se utiliza para aadir, modificar y borrar impresoras Goto que se utiliza para cambiar el sistema al que pertenecen las impresoras a visualizar o editar
9.2 COMANDOS BASICOS LP

No todas las tareas de administracin de impresoras se pueden realizar utilizando la herramienta Printer Manager. A continuacin se describen los comandos necesarios para manejar tareas de administracin de impresoras como:
q q q
Creacin de clases de impresoras Manejo de colas de impresin y disponibilidad de impresoras Parada e inicio del servicio de impresin LP
Pg. 4 3
SEREM FORMACIN
Los siguientes comandos son necesarios para realizar dichas tareas:
Nombre de Comando
lp lpstat cancel accept reject
Descripcin
Enva un fichero a la impresora Visualiza el estado del servicio de impresin Cancela las peticiones de impresin Habilita las colas de peticiones de impresin Impide que las colas admitan mas peticiones de impresin
enable disable lpmove lpadmin
Permite a la impresora imprimir las peticiones Desactiva la impresin de las peticiones Mueve las peticiones de impresin Realiza diversas tareas de administracin
Pg. 4 4
SEREM FORMACIN
10. FUNDAMENTOS TCP/IP
10.1 SERVICIOS INTERNET TCP/IP

No es posible apreciar los detalles tcnicos subyacentes de TCP/IP sin comprender los servicios que proporciona Desde el punto de vista del usuario, TCP/IP es visto como un conjunto de programas de aplicacin que usan la red para llevar a cabo tareas de comunicacin.
10.1.1
Servicios Internet del nivel de Aplicacin
Los servicios mas populares del nivel de aplicacin son: el correo electrnico, la transferencia de ficheros y la conexin remota El correo electrnico TCP/IP permite al usuario componer memos y enviarlos a individuos o grupos. Otra parte de la aplicacin de correo permite a los usuarios leer memos que hayan recibido. Es posible inhabilitar la recepcin de mensajes. Aunque existen muchos sistemas de correo electrnico, el utilizar TCP/IP hace que la entrega de correo sea ms fiable porque no confa en que lo sistemas intermedios retransmitan los mensajes de correo. La forma de trabajar es orientada a la conexin. La transferencia de ficheros TCP/IP permite a los usuarios enviar o recibir grandes ficheros de programas o datos. El sistema proporciona un modo de comprobar si el usuario est autorizado e incluso de inhabilitar todos los accesos. La conexin remota permite a los usuarios establecer una conexin desde su maquina a otra maquina diferente, estableciendo una sesin interactiva.
Pg. 4 5
SEREM FORMACIN
10.1.2
Servicios Internet del nivel de red
TCP/IP proporciona dos grandes tipos de servicio que todos los programas de aplicacin utilizan: el servicio de entrega de paquetes no orientado a la conexin y el servicio de transporte fiable de "streams" (o cadenas)
El servicio de entrega de paquetes no orientado a la conexin consiste en el encaminamiento de pequeos mensajes de una mquina a otra basado en la informacin de la direccin incluida en el mensaje. Puesto que encamina cada paquete separadamente, no garantiza una entrega "ordenada" fiable. Al tener una relacin directa de direcciones con el hardware subyacente, ste servicio es extremadamente eficiente. TCP/IP es adaptable a muchos entornos hardware de red debido precisamente a que la entrega de paquetes no orientada a la conexin es la base de todos sus servicios El servicio de transporte fiable de streams o cadenas permite a una aplicacin en un ordenador establecer una conexin con una aplicacin en otro ordenador y enviar un gran volumen de datos, como si existiera una conexin hardware permanente entre ambos. Este servicio garantiza la recuperacin automtica en caso de paquetes perdidos o fallos de conmutadores intermedios existentes entre el emisor y receptor
10.1.3
Caractersticas de los servicios TCP/IP
1. Independencia de la tecnologa de red empleada. Puesto que TCP/IP se basa en la tecnologa de conmutacin de paquetes convencional, es independiente del tipo de hardware utilizado. A la unidad de transmisin de datos se la denomina "datagrama".
2. Interconexin universal. A cada ordenador le es asignada una direccin que es universalmente reconocida como nica en toda la red. Cada datagrama contiene las
Pg. 4 6
SEREM FORMACIN
direcciones fuente y destino. Los ordenadores de conmutacin intermedios usan la direccin destino para tomar decisiones de encaminamiento.
3. Confirmacin extremo a extremo. Los protocolos TCP/IP proporcionan confirmaciones entre el fuente y el ltimo destino en vez de entre las sucesivas mquinas existentes a lo largo del camino, incluso cuando las dos mquinas no estn conectadas a una red fsica comn.
4. Estndares de protocolos de aplicacin. Adems de los servicios bsicos del nivel de transporte (como la conexin fiable de cadenas), los protocolos TCP/IP incluyen estndares para muchas aplicaciones comunes, tales como el correo electrnico, la transferencia de ficheros o el login remoto
10.2 IENS Y RFCS DE INTERNET

La NSF (National Science Foundation) cre dentro de AT&T un grupo denominado INTERNIC (Internet Network Information Center) para mantener y distribuir informacin sobre los protocolos TCP/IP y la Internet, as como para gestionar ciertos aspectos administrativos de sta ltima. INTERNIC es una organizacin sucesora del NIC original ubicado en el SRI (Stanford Research Institute)
Los resultados de los estudios de los grupos de trabajo e investigacin del IAB, las propuestas para protocolos nuevos o revisados, as como los protocolos estndar TCP/IP, se recogen en una serie de informes tcnicos llamados RFCs (Request For Comments). El editor de los RFCs es un miembro del IAB. Los RFCs se numeran secuencialmente en el orden cronolgico en el que se escriben.
Pg. 4 7
SEREM FORMACIN
Inicialmente tambin se publicaron una serie de informes referentes a la Internet denominados IENs (Internet Engineering Notes) , ahora en desuso. Alguna informacin que aparece en los IENs, no aparece en los RFCs.
Tanto los RFCs como los IENs pueden conseguirse a travs del correo electrnico, por correo habitual, o a travs de la Internet
10.2.1
Como se puede obtener un RFC
Por E-MAIL indicar el nmero de RFC en el campo "subject" o una lnea que incluya la lnea: "send rfcN.txt" y dirigir el correo a: mailserv@ds.internic.net
Por FTP hacer "login " en el dominio "ds.internic.net" (direccin IP 192.20.239.132) con nombre de usuario "anonymous" y password "guest", posteriormente introducir el comando "get rfc/rfcN.txt ficherolocal" (por ejemplo get /rfc/rfc821.txt rfc821.txt)
10.2.2
La pista de estndares
Cada paso adelante en la pista de estndares es propuesto por el IETF y ratificado por el IAB. Algunos ejemplos de estndares son: SNMP cuyo RFC es el 1157 y STD es el 15, SMI con RFC 1155 y STD 16, o MIB-II con RFC 1213 y STD 17.
Para llegar a obtener la calificacin de estndar (STD) son necesarios varios requisitos que aparecen referenciados a continuacin: (1) (2) (3) (4) Ser estable y bien comprendido Ser tcnicamente competente Estar ampliamente difundido Ser reconocidamente til en algunas partes de la Internet o en su conjunto
Pg. 4 8
SEREM FORMACIN
(5)
Acreditar una experiencia operacional en al menos dos implementaciones independientes e interoperables (principal diferencia con los estndares ...............internacionales).
SE ELIMINAN LAS DEFICIENCIAS SE PUBLICA
ENTRADA
CUMPLE (1) A (4)
EXPERIMENTAL
PROPUESTO
ESTADOS TEMPORALES ESTANDAR BORRADOR (DRAFT)
6 MESES O MAS, CUMPLE (5)
4 MESES O MAS, SE LE ASIGNA UN NUMERO DE STD
SE QUEDA OBSOLETO
ESTANDAR (STD)
HISTORICO
Organigrama de la pista de estndares
Pg. 4 9
SEREM FORMACIN
10.3 INTERCONEXIN DE REDES EN INTERNET

La Internet est formada por un gran nmero de redes heterogneas y cooperantes interconectadas entre s. La nica forma de conectar fsicamente dos redes heterogneas es por medio de un ordenador que est conectado a ambas a la vez (denominados Gateways IP o Routers IP).
La conexin fsica entre redes no garantiza la interconexin lgica entre ordenadores. Para que dicha interconexin exista es necesario que el router se encargue de trasladar los paquetes entre ellas
La figura muestra el esquema simple de interconexin de redes por medio de un router
RED 1
ROUTER 1
RED 2
Dos redes fsicas interconectadas por un router R
En el caso del dibujo anterior el router conecta las redes 1 y 2. La funcin de R es capturar los paquetes de la red 1 que vayan dirigidos a la red 2 y transferirlos. De igual manera debe capturar los paquetes de la red 2 con destino a algn ordenador de la red 1 y transferirlos.
Los gateways IP o routers IP pueden ser ordenadores muy simples ya que intercambian paquetes entre redes y no entre mquinas
En una gran red habitualmente los routers necesitan conocer la topologa de las redes mas all de las cuales a las que se conectan.
Pg. 5 0
SEREM FORMACIN
Los routers IP suelen ser mquinas pequeas, con poco o ningn disco y con una memoria muy limitada.
Su truco consiste en usar la red destino y no el host destino para encaminar un paquete. Por lo tanto, la cantidad de informacin que un router necesita guardar es proporcional al nmero de redes en la internet, no al nmero de ordenadores.
Son los nicos dispositivos que proporcionan conexiones entre las distintas redes fsicas en una internet TCP/IP.
10.3.1
El punto de vista del usuario
Adems de los routers, en cada ordenador debe existir un software de acceso a la red para permitir que las aplicaciones puedan utilizar la internet como si fuera una nica gran red real.
Las ventajas de ofrecer la interconexin al nivel de red parecen evidentes. Puesto que los aplicativos que se comunican por la internet no conocen los detalles de la interconexin fsica, es posible su ejecucin en cualquier mquina de la red sin que el usuario tenga que preocuparse por la forma en que su informacin es transportada hasta el lugar de destino.
En TCP/IP los aplicativos utilizados son los mismos en todos los nodos independientemente de la tecnologa de red utilizada o de su dimensin.
10.3.2
Todas las redes son iguales
Es importante entender un concepto fundamental: desde el punto de vista de TCP/IP, cualquier sistema de comunicacin capaz de transferir paquetes cuenta como una nica
Pg. 5 1
SEREM FORMACIN
red, independientemente de sus caractersticas de retraso y throughput, tamao de paquete mximo, o escala geogrfica.
Es decir, los protocolos TCP/IP tratan todas las redes de igual manera, independientemente del soporte fsico subyacente. Una LAN como puede ser Ethernet, una WAN como el backbone ANSNET, o un enlace punto a punto entre dos mquinas cuenta cada una como una nica red.
Para alguien no acostumbrado a la arquitectura Internet puede encontrar algo difcil aceptar tal visin de las redes de una manera tan simple. El concepto de red que TCP/IP define es algo abstracto que oculta los detalles de las redes fsicas, hecho que hace a TCP/IP extremadamente potente.
10.4 EL MODELO INTERNET TCP/IP

La segunda arquitectura de red ms importante no surgi de ningn organismo internacional de normalizacin y no es un estndar "de iure", pero si lo es "de facto".
Surgi de la investigacin de grupos privados y fue implantndose en todos los hosts que actualmente pertenecen a lo que se denomina la Internet, sin menosprecio de mencionar la gran cantidad de redes privadas que usan TCP/IP.
La arquitectura TCP/IP se basa en una visin de las comunicaciones de datos que involucra tres agentes: procesos, hosts y redes
Las comunicaciones se realizan en torno a stos tres agentes en cuatro capas o niveles relativamente independientes que se apoyan sobre un quinto nivel o hardware
Pg. 5 2
SEREM FORMACIN
El Nivel de Aplicacin Contiene las aplicaciones de programas de servicio de la red. Cada aplicacin elige del nivel de inferior el estilo de transporte que necesita, bien una secuencia de mensajes individuales o una cadena continua de bytes (streams)
El Nivel de Transporte Tiene como misin principal el proporcionar la comunicacin entre un programa de aplicacin y otro. Dicha comunicacin se conoce como "extremo a extremo" ("endto-end"). El nivel de transporte puede proporcionar un transporte fiable, asegurando que los datos llegan sin error y en secuencia. La forma en que lo realiza es por medio de "reconocimientos" (acknowledgments) y retransmisin de los paquetes perdidos. Algunas veces ste nivel segmenta los streams del nivel superior en trozos ms pequeos llamados paquetes y los enva al nivel inferior junto con su cabecera.
El Nivel Internet Tiene como funcin encaminar paquetes entre distintas redes fsicas. Este nivel est incluido tanto en los hosts como en los routers o gateways IP. Este nivel encapsula el paquete del nivel superior en un datagrama IP, rellena la cabecera que aade al paquete, utiliza el algoritmo de routing para determinar si debe de enviar el datagrama directamente o enviarlo a un router, y pasa el datagrama a la interfaz de red apropiado para su transmisin. Entre sus funciones tambin se encuentra el hacerse cargo de los datagrama entrantes, comprobando su validez, y usar el algoritmo de routing para decidir si dicho datagrama debe de ser procesado locamente o reenviado ("forwarding"). Si el datagrama debe de ser procesado locamente, ste nivel quita la cabecera del correspondiente nivel de la mquina remota, y elige un protocolo de nivel superior al que enviarle el paquete. Por ltimo, ste nivel enva mensajes de ICMP de error y control cuando es necesario y procesa todos los mensajes ICMP entrantes.
Pg. 5 3
SEREM FORMACIN
El Nivel de Interfaz de Red o Nivel de Enlace Est relacionado con el intercambio de datos entre un host y la red a la cual est conectado. El protocolo especfico que se usa en ste nivel depende del tipo de red utilizada. Para redes de conmutacin de circuitos como por ejemplo X21, para redes de conmutacin de paquetes como X25, para redes locales como los protocolos IEEE 802, etc. Acepta datagramas IP, pone su cabecera y los transmite a la red en forma de tramas especficas de red Puede consistir en un driver de dispositivo (cuando la mquina est directamente conectado a una LAN) o en un subsistema complejo que usa su propio protocolo de enlace de datos (por ejemplo: HDLC en redes de conmutacin de paquetes)
10.5 ALGUNOS PROTOCOLOS ESTNDAR TCP/IP

IP proporciona el servicio de envo de paquetes para TCP, UDP y ICMP TCP est orientado a la conexin (el nico protocolo de toda la pila que lo es), es decir facilita la transmisin full duplex de cadenas de bytes de un modo fiable. UDP no es un protocolo fiable al no ser orientado a la conexin (connectionless) ICMP maneja mensajes de error e informacin de control entre routers y ordenadores. Sus mensajes son procesados por el sw. de red y no por los procesos de los usuarios ARP asocia direcciones IP con direcciones fsicas RARP asocia direcciones fsicas con direcciones IP
Pg. 5 4
SEREM FORMACIN
10.6 DIRECCIONES INTERNET
10.6.1
Identificadores Universales
Un sistema de comunicaciones se dice universal: "si permite a cualquier host comunicarse con cualquier otro", para lo cual se necesita un mtodo universal de identificacin
Los identificadores de hosts se clasifican en: nombres, direcciones y rutas. Schoch [1978] sugiere que el nombre - identifica lo que es el objeto, la direccin - identifica donde est el objeto y la ruta - identifica cmo llegar hasta l.
En general la gente prefiere nombres "pronunciables" que identifiquen la mquina, mientras que el software trabaja mas eficientemente con representaciones compactas de identificadores que llamamos direcciones.
10.6.2
Clases de direcciones TCP/IP
Internet es una gran red fsica con estructura virtual, el formato y tamao de los paquetes, las direcciones de los hosts, las tcnicas de entrega de paquetes, etc., son independientes del hardware.
Cada direccin IP consta de 32 bits que codifican tanto a la red como al host conectado a la misma. Cada direccin IP es un par (netid, hostid) Clases primarias: Clase A -----> redes con mas de 2 16 hosts (65.536) Clase B -----> redes con mas de 2 8 y menos de 2 16 hosts Clase C -----> redes con menos de 2 8 hosts (256)
Pg. 5 5
SEREM FORMACIN
Puesto que los routers usan la parte netid de la direccin IP para decidir donde enviar el paquete, dependen de la eficiencia de la extraccin para conseguir una velocidad alta. Una de las mayores ventajas de codificar en direcciones IP es el encaminamiento eficiente
Los routers y los hosts IP "multi-homed" poseen mas de una direccin IP. Cada direccin IP corresponde a una de las conexiones de la maquina a la red (interfaz).
10.6.3
Direcciones de Broadcast y de Red
Otra ventaja de codificar en direcciones IP, es que stas pueden referirse tanto a redes como a hosts. Por convencin un hostid = 0 codifica la red en si misma (ejemplo: 192.1.1.0)
Tercera ventaja significativa: incluye una direccin de "broadcast" para referirse a todos los hosts de una red. Aunque no todas las redes soportan el broadcast.
La direccin de broadcast se obtiene a partir de la mscara de red. Segn el estndar una direccin de broadcast tiene un hostid con todos los bits a 1.
El formato por defecto es: NUMERO DE RED + TODO 1s, aunque en versiones BSD 4.2 y ULTRIX 32 anterior a la versin 1.2 todos los 1s deben de ser cambiados por 0s. Ejemplo: Direccin IP: 128.50.100.100 Mscara de red: 255.2555.0.0 Direccin de broadcast: 128.50.255.255
Formalmente la direccin de broadcast estndar se obtiene de la siguiente manera, la primera se refiere al estndar, la segunda a la versin de Berkeley citada: 1) DIRECCION BROADCAST = NOT (MASCARA RED) (DIRECCION IP)
Pg. 5 6
SEREM FORMACIN
2) DIRECCION BROADCAST = (MASCARA DE RED) (DIRECCION IP)
10.6.4
Broadcast limitado y broadcast directo
El broadcast anteriormente descrito se denomina "directo " porque contiene tanto un netid valido, como un hostid de broadcast. El broadcast directo permite a un sistema remoto enviar un paquete que ser difundido en la red especificada por el netid. La desventaja se encuentra en que se requiere conocer la direccin de la red
La direccin del "broadcast limitado " proporciona una direccin de broadcast para la red local, independiente de la direccin IP asignada. La direccin de broadcast limitado consta de 32 bits 1
Uno de los usos del broadcast limitado es cuando un host para conocer su direccin IP propia, en el procedimiento de arranque hace un polling al resto de los hosts. Una vez que conoce su direccin debe utilizar el broadcast directo.
10.6.5
Interpretacin de 1s y 0s
Un campo con todo 1s puede ser interpretado como " todos", el ejemplo: "todos hosts" en una red al hacer broadcasting. En cambio, internet en general interpreta un campo todo a 0s como " este".
Una direccin IP con hostid = 0 se refiere a "este" host, y una direccin internet con un valor de netid = 0 se refiere a "esta" red
El usar netid = 0 es especialmente til cuando un host que no conoce su direccin IP quiere comunicarse por la red con otro host.
Pg. 5 7
SEREM FORMACIN
10.6.6
Inconvenientes en el direccionamiento IP
Si una maquina cambia su ubicacin de una red a otra, su direccin IP debe cambiar. Esto es un gran inconveniente para la gente que viaja con porttiles o para instalaciones temporales como parte de una red
Cuando una red de clase C crece a mas de 255 hosts, la clase debe de cambiar, con la perdida de tiempo que conlleva el proceso
El camino que toman los paquetes que se dirigen a un host con mas de una direccin IP, depende de la direccin usada. No es suficiente con conocer tan solo una de las direcciones IP en un host "multi-homed"
10.6.7
Notacin decimal punteada
Normalmente las direcciones IP se escriben como 4 enteros decimales separados por puntos decimales (por ejemplo: 10000000 00001010 00000010 00011110, se escribe 128.10.2.30). Muchas funciones en UNIX utilizan esta notacin: NETSTAT, TELNET, FTP y otras.
Clase A B C D E
Direccin inferior 0.1.0.0 128.0.0.0 192.0.1.0 224.0.0.0 240.0.0.0
Direccin superior 126.0.0.0 191.255.0.0 223.255.255.0 239.255.255.255 247.255.255.255
La direccin de "loopback " nunca debe de aparecer por la red. Cuando un programa utiliza la direccin de loopback como destino, el software del ordenador devuelve los datos sin enviar por la red. La 127 realmente no es una direccin de red
Pg. 5 8
SEREM FORMACIN
El esquema de direccionamiento internet expuesto en este tema se encuentra especificado en "Reynolds and Postel" [rfc 1700] y para mas informacin en "Stahl, Romano and Decker" [rfc 1117]
10.6.8
IANA e INTERNIC
Para asegurar la unicidad de una direccin internet, esta debe de ser asignada por una autoridad central " IANA" (Internet Assigned Number Authority) tiene la ultima palabra en la asignacin de nmeros, adems de dictar la poltica a seguir en un futuro
Cuando una organizacin se une a internet puede obtener la direccin del "INTERNIC" (Internet Network Information Center). Una vez que la organizacin obtiene el prefijo de su red, se van asignando los nmeros segn la poltica de sta sin depender del organismo central, por ejemplo: IBM tiene asignada la 9.0.0.0 (clase A) y AT&T la 12.0.0.0 (clase A)
INTERNIC normalmente otorga la clase C. Aunque la red sea privada, es muy recomendable, en prevencin de una conexin futura, pedir el prefijo a INTERNIC. La forma de contactar: mailserv@ds.internic.net
10.7 EXTENSIONES DE DIRECCION DE SUBRED Y SUPER RED
10.7.1
Minimizacin de los nmeros de red
En principio el esquema de direccionamiento original de IP parece muy bueno, pero tiene un pequeo punto dbil: el imprevisible crecimiento desmesurado de la red.
Pg. 5 9
SEREM FORMACIN
Cuando se cre TCP/IP, el entorno en el que se trabajaba era de grandes mainframes y los diseadores previeron una internet con cientos de redes y cientos de hosts.
Lo que no pudieron prever fue el auge espectacular que tuvo la red a partir de los ltimos aos 80. Crecieron decenas de cientos de redes pequeas muy rpidamente.
El tamao de la red se ha duplicado cada aproximadamente 9 meses. Esto conlleva una serie de cosas importantes a tener en cuenta. 1. Se requiere un trabajo adicional para gestionar las grandes cantidades de nmeros de red distintos. Segundo, las tablas de routing aumentan considerablemente al aumentar el nmero de redes. Tercero, el espacio de direcciones tarde o temprano terminar agotndose. 2. Es importante saber que a mayor tamao de tabla de routing, mayor informacin de control viajar por la red creando una disminucin en el trfico de datos de las aplicaciones que utiliza el usuario. Adems el tiempo de proceso de los routers ser bastante mayor. 3. El tercer problema es crucial porque el esquema original de direcciones es insuficiente: Por ejemplo el nmero de clases B que quedan por asignar donde se encuadran las redes de tipo medio, en la actualidad es muy bajo.
Por lo tanto la pregunta que surge es: "Cmo es posible minimizar el nmero de direcciones de red asignadas, especialmente de clase B, sin destruir el esquema de direccionamiento original?".
La solucin mas obvia es compartir el mismo prefijo de red IP por varias redes fsicamente diferentes. Para minimizar el nmero de direcciones B se pueden usar en su lugar clases C.
Pg. 6 0
SEREM FORMACIN
Por supuesto se deben de modificar los procedimientos de routing y todas las mquinas conectadas a la red deben de tener conocimiento de ello a travs de las tablas de routing y de sus ficheros de configuracin.
La idea de compartir una direccin de red entre mltiples redes no es nueva y ha conducido a varios caminos posibles, uno de ellos es la creacin de subredes IP
10.7.2
Direccionamiento de subred
La tcnica usada para permitir que una nica direccin de red pueda ser utilizada por varias direcciones fsicas es el direccionamiento de subred, encaminamiento, routing de subred, o "subnetting"
El subnetting es las mas usada de las tcnicas porque es la mas general y porque ha sido estandarizada. De hecho el subnetting es una parte del direccionamiento de IP. Es decir de la porcin de direccin IP que corresponde a la identificacin del host, se toma una parte para el nmero de subred.
En realidad la direccin IP se divide en dos, una porcin internet y otra de mbito local (identificador de subred si existe e identificador de host).
El resultado es una forma de direccionamiento jerrquico. Su ventaja es que es flexible al crecimiento puesto que un router no tiene porqu conocer tantos detalles de los destinos remotos como lo hace de los locales. La desventaja de la estructura jerrquica es que una vez establecida es difcil cambiarla por otra.
Pg. 6 1
SEREM FORMACIN
10.7.3
Implementacin de subredes con mscaras
La forma de indicar el nmero de bits que van a ser asignados a la direccin IP es por medio de la mscara de red.
Es sencillo, la mscara tendr tantos 1s como bits de direccin internet y bits asignados a la subred. La colocacin de stos bits 1 en la mscara de subred ser la misma que los bits de la direccin IP que se acaban de mencionar.
Por ejemplo, la mscara por defecto (sin subred) de una clase B sern 16 bits 1 seguido por 16 bits cero (11111111 11111111 00000000 0000000)
Si en una direccin de clase B decidimos tener 8 bits para las subredes y otros 8 para los posibles hosts existentes en cada subred, la mscara obtenida ser la siguiente: 11111111 11111111 11111111 0000000
Es interesante saber que la mscara de subred no exige que el nmero de bits 1 sean contiguos, usando por ejemplo los 8 bits para la subred podramos de forma diferente a la anterior establecer la siguiente mscara de subred: 11111111 11111111 10100011 1110010
No es muy recomendable que los bits sean no contiguos porque la asignacin de direcciones de red y la comprensin de las tablas de routing pueden ser engaosas.
10.7.4
Representacin de la mscara de subred
El representar las mscaras de red en binario produce errores y es incmodo para los humanos, por lo que la mayora del software permite representaciones alternativas.
Pg. 6 2
SEREM FORMACIN
La notacin decimal tambin se usa para la representacin de las mscaras de subred y funciona mejor cuando se elige una representacin de subnetting con lmites de octetos. Por ejemplo en una instalacin con clase B, la mscara de subred sera la 255.255.255.0, haciendo fcil su escritura y comprensin.
A lo largo de la literatura de Internet tambin existen ejemplos de direcciones de subred y mscaras de subred representadas en un conjunto de tres elementos separados por comas y entre llaves: {<nmero de red>, <nmero de subred>, <nmero de host>}.
En sta representacin el valor -1 significa "todo unos". Por ejemplo, si la mscara de subred par una clase B es 255.255.255.0, puede escribirse {-1,-1,0}.
La principal desventaja de sta representacin es que no especifica exactamente se usan para cada direccin.
La ventaja es la abstraccin de los detalles de los campos de bits y enfatiza los valores de las tres partes de la direccin.
Un ejemplo para ver que algunas veces los valores son mas importantes que los campos de bits, considrese el conjunto de tres elementos: {128.10,-1,0}, que denota una direccin de red 128.10, todo 1s en el campo de subred y todo 0s en el campo del host.
Expresar el mismo valor de direccin usando otras representaciones requiere una direccin IP de 32 bits y una mscara de 32 bits, y fuerza a los lectores a decodificar los campos de bits antes de que puedan deducir los valores individuales de los campos. Adems esta representacin es independiente de la direccin IP o del tamao del campo de la subred.
En general puede expresarse para representar conjuntos de direcciones o ideas abstractas, por ejemplo: {<nmero de red>,-1,-1}, denota "direcciones con un nmero
Pg. 6 3
SEREM FORMACIN
vlido de red, un campo de subred con todo a 1s y un campo de host tambin con todo a 1s" (direccin de broadcast).
10.7.5
Mantenimiento de mascaras de subred
Cuando los responsables de la red planifican su instalacin deben de considerar cosas como el tamao de las redes, nmero de redes fsicas, crecimiento esperado y facilidad de mantenimiento.
Las dificultades comienzan cuando se utilizan mscaras de red no uniformes dando una mayor flexibilidad a la red, aunque con sto se consigue que sean posibles asignaciones que conduzcan a rutas ambiguas. O incluso peor, permiten asignaciones que llegan a ser invlidas si se aaden mas hosts a las redes.
Con todo sto parece claro que es recomendable seguir polticas conservadoras a la hora de elegir mscaras de subred. Tpicamente se seleccionan bits contiguos para la direccin de subred y se utiliza la misma particin (es decir la misma mscara) para todas las redes fsicas restantes. Por ejemplo, muchas instalaciones utilizan un octeto de subred cuando la clase es la B.
10.7.6
Broadcast a subredes
El broadcast es mas difcil en la arquitectura de subred. En el esquema estndar todo 1s en la parte del host de la direccin IP denotaba broadcast a todos los hosts de la red especificada.
Desde el punto de vista del observador exterior a la subred, el broadcast a una subred tambin tiene sentido.
Pg. 6 4
SEREM FORMACIN
La direccin {red, -1,-1} significa "entrega una copia a todas las mquinas que tengan red como su direccin de red, incluso si estn en redes fsicas separadas".
Operacionalmente, el broadcast tiene sentido si los routers que interconectan las subredes permiten propagar el datagrama a todas las redes fsicas
Dentro de un conjunto de subredes, es posible hacer un broadcast a una subred especfica. La direccin de broadcast sera: {red, subred,-1}
10.7.7
Direccionamiento de super red (Supernetting)
El direccionamiento de subred se invent al principio de los 80 como ayuda a la conservacin del espacio de direcciones IP. Antes de 1993, ya era evidente que el subnetting no solucionara el rpido crecimiento de la red y con ello la falta de espacio de direcciones IP.
Se ha desarrollado para tal fin entre otros una nueva versin de protocolo IP, el IP versin 6 (IPv6). Sin embargo como solucin a corto plazo hasta la estandarizacin e implantacin definitiva, se busco una nueva solucin, el supernetting.
El esquema del supernetting es el opuesto al del direccionamiento de subred. En vez de usar una nica direccin de red IP para mltiples redes fsicas de una organizacin determinada, el supernetting permite el uso de muchas direcciones de red IP para una misma organizacin.
Para entender porqu se adopt el supernetting, es necesario conocer tres hechos. 1. IP no divide las direcciones de red en clases por igual. Se pueden asignar menos de 17 centenas de nmeros con clase B, existen mas de 2 millones de nmeros de red con clase C.
Pg. 6 5
SEREM FORMACIN
2. Las peticiones de clases C han sido muy pocas, por lo que se han asignado un pequeo porcentaje del total. 3. Al ritmo que se estaban asignando las direcciones de clase B se hubieran acabado en unos pocos aos. El problema lleg a ser conocido como el problema ROADS (Running Out of ADdress Space).
Si se considera una organizacin de tamao medio que est conectada a la Internet, sta preferir utilizar una clase B a una clase C puesto que el nmero de mquinas que puede poner en cada red fsica es mayor, adems tiene un espacio apropiado para el subnetting.
Para conservar las pocas direcciones de clase B existentes, el esquema de supernetting asigna a una organizacin un bloque de direcciones de clase B en vez de un sola de clase B.
El bloque debe de ser suficientemente grande como para numerar todas las redes que la organizacin conecte a la Internet.
Por ejemplo supngase que una organizacin pide una direccin de clase B para as poder utilizar un octeto para el subnetting. En vez de una nica clase B, el supernetting asigna a la organizacin un bloque de 256 nmeros de clase C que la organizacin puede luego asignar a sus redes fsicas.
Principalmente el esquema del supernetting se cre orientado a los proveedores de servicio de la red Internet, de tal forma que fueran stos los que controlasen las asignaciones del bloque de direcciones de clase C que daban a sus clientes.
login remoto y telnet
Pg. 6 6
SEREM FORMACIN
10.7.8
Protocolo TELNET
El conjunto de protocolos TCP/IP incluye un sencillo protocolo de terminal remoto denominado TELNET (emula un terminal local con todas sus funciones). Sigue el modelo cliente-servidor.
TELNET permite a un usuario en una mquina A establecer una conexin TCP con un servidor de login en otra mquina B. El servicio es transparente puesto que da la apariencia que el teclado del usuario y la pantalla estn directamente conectados a la mquina remota
Aunque TELNET no es tan sofisticado como otros protocolos de terminal remoto, se encuentra disponible en todas las mquinas TCP/IP.
Normalmente el software de cliente TELNET permite al usuario especificar una mquina remota mediante su direccin IP o mediante su nombre de dominio.
TELNET ofrece tres servicios: 1. Define un terminal virtual de red (NVT) que proporciona una interfaz estndar a sistemas remotos. Los programas cliente no tienen que entender los detalles de todos los sistemas remotos posibles, sino que estn construidos para entender la interfaz estndar. 2. Incluye un mecanismo que permite al cliente y al servidor negociar opciones, y proporciona un conjunto de opciones estndar (por ejemplo: una de las opciones controla si los datos que pasan a travs de la conexin utilizan el conjunto de caracteres ASCII de 7 bits estndar o el conjunto de caracteres de 8 bits). 3. Trata ambos finales de la conexin simtricamente. En particular, TELNET no obliga al cliente a mostrar la salida en pantalla. Por lo tanto, TELNET permite a un programa arbitrario ser un cliente. Adems cualquiera de los dos finales puede negociar las opciones.
Pg. 6 7
SEREM FORMACIN
La siguiente figura muestra como los programas de aplicacin implementan un cliente y un servidor TELNET
cliente lee del terminal
cliente TELNET
cliente enva al servidor
servidor recibe del cliente
servidor TELNET
Sistema OPerativo
Workstation
Sistema Operativo
servidor enva al pseudo terminal
dispositivo de E/S del usuario
TCP/IP Internet
Las lneas muestran el camino de datos que se sigue en una sesin de terminal remoto TELNET desde el teclado del usuario al sistema operativo remoto. El aadir un servidor TELNET a un sistema de tiempo compartido normalmente requiere modificar dicho sistema operativo.
Como muestra la figura, cuando un usuario invoca TELNET, un programa de aplicacin en la mquina del usuario se convierte en el cliente. El cliente establece una conexin TCP con el servidor con el que se va a comunicar.
Una vez que la conexin ha sido establecida el cliente acepta secuencias de caracteres desde el teclado del usuario y las enva al servidor, mientras que concurrentemente acepta caracteres que el servidor enva de vuelta y las muestra en pantalla del usuario.
Pg. 6 8
SEREM FORMACIN
El servidor debe aceptar una conexin TCP del cliente y luego retransmitir los datos entre la conexin TCP y el sistema operativo local.
En la prctica el servidor TELNET es mucho mas complejo de lo que muestra la figura porque debe de manejar mltiples peticiones simultneamente.
Se utiliza el trmino pseudo terminal
para describir el punto de entrada al sistema
operativo que permite a un programa en ejecucin como el servidor TELNET transferir caracteres al sistema operativo como si proviniesen del teclado.
Es imposible construir un servidor TELNET a menos que el sistema operativo proporcione dicha facilidad. Si el sistema operativo soporta la abstraccin de pseudo terminal, el servidor TELNET puede ser implementado con programas de aplicacin.
El hecho de que el servidor TELNET sea un programa del nivel de aplicacin tiene ventajas e inconvenientes. La ventaja mas obvia es que puede es posible realizar modificaciones y control del servidor mas fcilmente que con cdigo incluido en el sistema operativo. La desventaja es la ineficiencia.
Otras caractersticas del protocolo TELNET: El servidor TELNET tiene una puerta preestablecida (23) aunque pueden crearse nuevas puertas. Se establece un canal por sesin Permite enviar caracteres de control especiales al servidor, para lo cual van precedidos de un byte todo a 1s. Utiliza la capacidad de envo fuera de banda. La negociacin de las opciones es totalmente simtrica.
Pg. 6 9
SEREM FORMACIN
10.7.9
Rlogin (UNIX BSD)
Los sistemas operativo derivados del BSD UNIX incluyen un servicio de login remoto mediante el programa rlogin que da servicio a los trusted hosts .
Permite a los administradores de sistemas elegir un conjunto de mquinas en las cuales se comparten protecciones de accesos a ficheros y a nombres de usuarios y se establecen equivalencias de logins de usuario.
Los usuarios pueden controlar los accesos a sus cuentas desde mquinas remotas. En funcin del host y del login. Por lo que es posible que un usuario con nombre de login X en una mquina pueda acceder a otra en la que el nombre de login sea Y sin tener que volver a introducir la password.
Una variante del comando rlogin es rsh . Este invoca un intrprete de comandos en la mquina UNIX remota y pasa los argumentos de la lnea de comandos al intrprete de comandos, saltndose el paso de login por completo. La sintaxis de ste comando es: % rsh mquina comando
10.8 TRANSFERENCIA Y ACCESO A FICHEROS (FTP, TFTP, NFS)
10.8.1
FTP, protocolo de transferencia de ficheros TCP/IP
La transferencia de ficheros ese encuentra entre las aplicaciones TCP/IP mas frecuentemente utilizadas.
Antes de que TCP/IP estuviese operativo ya existan protocolos de transferencia de ficheros para la ARPANET. Estas versiones de software de transferencia de ficheros
Pg. 7 0
SEREM FORMACIN
iniciales evolucionaron al estndar actual conocido como el Protocolo de Transferencia de Ficheros (FTP).
FTP ofrece las siguientes posibilidades: Posibilita la transmisin de ficheros de texto y binarios entre dos mquinas Posibilita una gestin bsica de ficheros y directorios (copiar, borrar, renombrar, etc.) Seguridad de acceso mediante LOGIN y PASSWORD Acceso interactivo (proporciona a los humanos el interactuar con los servidores remotos de ficheros) FTP permite al cliente especificar el tipo y formato de los datos almacenados.
Como otros servidores la mayora de las implementaciones de FTP permiten el acceso concurrente a mltiples clientes. Los clientes utilizan TCP para conectarse al servidor (FTP utiliza TCP para intercambiar informacin de control y datos).
FTP dispone de un conjunto estndar de comandos que permiten establecer la conexin, manipular ficheros y directorios, definir el tipo de transferencia, etc. Los comandos se suelen abreviar con tres o cuatro caracteres (GET, MODE, MKD, ...).
Las respuestas estn formadas por un cdigo numrico de tres dgitos y una cadena de caracteres (por ejemplo: 200 PORT COMMAND OKAY)
10.8.2
Visin de FTP por el usuario
Los usuarios ven FTP como un sistema interactivo. Una vez invocado, el cliente ejecuta las siguientes operaciones repetidamente: leer una lnea de entrada, analizar la lnea para extraer un comando y sus argumentos, y ejecutar el comando con los argumentos especificados.
Pg. 7 1
SEREM FORMACIN
10.8.3
FTP annimo
La autorizacin de acceso necesaria para ejecutar FTP en una mquina remota prohiben a un cliente arbitrario acceder a los ficheros de esa mquina y le obligan a obtener un login y una password.
Para proporcionar acceso a ficheros pblicos, muchas mquinas TCP/IP permiten el FTP annimo. El acceso FTP annimo implica que un cliente no necesita una cuenta o password. En su lugar, el usuario especifica como login anonymous y password guest.
El servidor permite logins annimos pero restringe los accesos a los ficheros pblicos del sistema. En muchos sistemas UNIX el servidor crea un pequeo sistema de ficheros pblico (p. ej. : /usr/ftp).
10.8.4
TFTP
Aunque FTP es el protocolo de transferencia de ficheros mas general en el conjunto de protocolos TCP/IP, tambin es el mas complejo y difcil de programar.
Muchas aplicaciones no necesitan toda la funcionalidad que FTP ofrece. Por ejemplo FTP requiere que los clientes y servidores manejen varias sesiones simultneas TCP, algo que puede ser difcil o imposible para los ordenadores personales que no tienen sistemas operativos sofisticados.
TCP/IP contiene un segundo protocolo de transferencia de ficheros que proporciona un servicio barato y nada sofisticado. Se conoce como TFTP (Trivial File Transfer protocol) , y se utiliza para aplicaciones que no necesitan interacciones complejas entre cliente y servidor.
Pg. 7 2
SEREM FORMACIN
TFTP restringe las operaciones sencillas operaciones de transferencia de ficheros y no proporciona autenticacin.
A diferencia de FTP, TFTP: No dispone de seguridad de acceso (ni login, ni password) Utiliza UDP en lugar de TCP para transmitir la informacin (a diferencia de FTP no necesita un sistema fiable de entrega de paquetes, utiliza timeout y retransmisin) No permite sesiones concurrentes desde una mquina a otra
Es un protocolo mucho mas sencillo y cuyo cdigo ocupa mucho menos espacio que FTP. Es utilizado frecuentemente en mquinas que no poseen disco, en el proceso de arranque, para ello los fabricantes pueden codificar TFTP en ROM y as obtener la imagen inicial de memoria cuando la mquina arranca. El programa en ROM se denomina bootstrap.
La parte emisora transmite un fichero en bloques de longitud fija (bloques de 512 bytes) y espera un ACK para cada bloque antes de enviar el siguiente. El receptor reconoce cada bloque bajo recibo.
Las reglas para TFTP son sencillas. El primer paquete enviado pide una transferencia de fichero y establece una comunicacin entre el cliente y el servidor. En el paquete se especifica un nombre de fichero y si el fichero va a ser ledo (transferido al cliente) o escrito (transferido al servidor).
Los bloques se numeran consecutivamente comenzando en 1. Cada paquete de datos contiene una cabecera que especifica el nmero del bloque que lleva, y cada ACK contiene el nmero de bloque reconocido. Un bloque de menos de 512 bytes seala el fin del fichero.
Pg. 7 3
SEREM FORMACIN
10.8.5
NFS
NFS (Network File System) fue inicialmente desarrollado por SUN Microsystems. Proporciona un acceso on-line a ficheros compartidos que es transparente e integrado. Muchas mquinas TCP/IP utilizan NFS para interconectar los sistemas de ficheros de sus ordenadores.
Desde el punto de vista del usuario, NFS es casi invisible, los nombres de los ficheros no indican si son locales o remotos y el usuario puede integrar cualquier fichero en sus aplicaciones.
El mecanismo de acceso al fichero acepta la peticin y automticamente lo pasa al sistema de ficheros local o al cliente de NFS dependiendo de si el fichero se encuentra en un disco de la mquina local o remota.
Pg. 7 4
SEREM FORMACIN
11. CONOCIMIENTOS BASICOS DE SEGURIDAD UNIX
11.1 FUNDAMENTOS DE SEGURIDAD

Un ordenador es seguro cuando se puede depender de l, y su software se comporta tal y como se espera
La seguridad abarca tres grandes reas: Secreto : Proteger la informacin de revelar algo no autorizado. Integridad: Proteger la informacin de modificacin no autorizada o destruccin. Disponibilidad o continuidad de servicio: Preservar el ordenador de interrupciones el 100% del tiempo
11.1.1
Seguridad y Unix
"UNIX no fue diseado desde el principio para ser un sistema especialmente seguro sino con las caractersticas necesarias para hacer a la seguridad servible" (Dennis Ritchie)
Durante sus 15 primeros aos UNIX fue utilizado en entornos entonces seguros como eran las universidades y empresas industriales
Casi todos los fallos que se han encontrado en UNIX a lo largo de los aos se han debido a programas individuales, o a interacciones entre ellos y no en conceptos bsicos UNIX
Pg. 7 5
SEREM FORMACIN
Desdichadamente, a causa de su diseo, una nica fisura en un programa del sistema puede comprometer la seguridad del sistema operativo completo
11.1.2
Seguridad o funcionalidad?
Es mas difcil de conseguir un sistema seguro que un sistema que trabaje correctamente, comparemos ambos tipos de errores de forma resumida.
Errores de funcionalidad: Raramente son fatales para la operacin global del sistema Tienden a ser localizados con funciones especficas del sistema
Errores de seguridad: Un error cualquiera puede ser fatal para la seguridad de todo el sistema Los intrusos no intentan evitarlos sino que los provocan an conocedores de ello Tienden a afectar al funcionamiento del sistema en su totalidad
11.1.3
Seguridad externa
Los controles de la seguridad externa se dividen en tres clases principalmente:

q q
Seguridad fsica - Espacios acristalados, cerraduras, guardias de seguridad, etc. Seguridad personal - Comprobaciones de chequeo personal, tests de polgrafo, chequeos electromagnticos, evaluaciones mdicas, etc.
Seguridad por procedimiento - Se trata de controlar varios factores: 1. El acceso humano y de mquinas 2. La entrada y salida electrnica y fsica 3. La administracin diaria del sistema
Pg. 7 6
SEREM FORMACIN
11.1.4
Seguridad interna
Los controles de la seguridad interna protegen la informacin de las amenazas contra el sistema. Se dividen en dos categoras: 1. Los responsables de mantener la seguridad del sistema 2. El resto
Componentes de la seguridad interna: El personal encargado (administradores del sistema, red y seguridad, y operadores) El sistema operativo Los ficheros y procesos del sistema El hardware de seguridad (ordenadores con llave, cajas blindadas, etc. ) Los soportes de la informacin (cintas, discos pticos y otros medios)
11.1.5
Concepto de "trust"
Es el grado de confianza depositado en los diferentes elementos internos y externos al sistema. Tpicamente existen dos figuras: la del usuario "trust" y la del sistema "trust". Es criterio del Administrador del sistema o del administrador de seguridad el dar el carcter de "trust" a un usuario a un sistema.
Usuario trust Los usuarios deben de ser "Trustworthy" (Fiables) Los sistemas no pueden proteger los datos de un usuario que los quiera revelar. Identificacin - proceso de verificar que el usuario es quien dice que l es.
Tipos de identificacin del usuario: Sobre lo que sabe (password, identif. de usuario, etc. ) Sobre lo que tiene (tarjeta de identificacin, tarjeta codificada, etc.) Sobre lo que es (foto, huella, identificacin de retina, de voz, etc.)
Pg. 7 7
SEREM FORMACIN
Sistema trust Los programas de ordenador no son completamente fiables Los sistemas deben de restringir el acceso de incluso los programas de usuarios confiables. En cada ordenador de la red existe una tabla que contiene los sistemas y usuarios "Trustworthy" (Fiables)
En un sistema puede coexistir software de distinta naturaleza que puede ser dividido en tres categoras: 1. Software fiable: - Responsable de mantener la seguridad en el sistema 2. Software benigno - No es responsable de mantener la seguridad, pero tienen acceso a informacin delicada 3. Software maligno - Software de origen desconocido, probable que afecte al sistema
11.2 AMENAZAS A UN SISTEMA

Hackers. Virus Personas dispuestas a burlar la seguridad del sistema o de la red. Programas que modifican otros programas en un ordenador, insertando copias de ellos mismos Bombas Cdigo oculto en un programa, que desencadena una indeterminada reaccin en un momento determinado Gusanos Programas que se propagan de ordenador en ordenador en una red, sin modificar necesariamente otros programas en las mquinas destino Bacterias Programas que hacen copias de ellos mismos para sobrecargar el sistema Permiten un acceso no autorizado al sistema Programas que aparentan tener una funcin, pero que en realidad tienen otra muy distinta
Puertas traseras Caballos de Troya
Pg. 7 8
SEREM FORMACIN
11.3 PROTECCION DE FICHEROS
11.3.1
Mascara de proteccin
La proteccin de ficheros se basa en los valores tomados por cada terna de elementos (r,w,x) de los parmetros usuario, grupo y otros (u,g,o). Su representacin es en octal
Las protecciones se cambian con chmod, chown, umask, o mediante llamadas al sistema.
Existen adems modos especiales que pueden ser un agujero importante si no son usados correctamente y con cuidado 1. Modo 1000: a 1 el STICKY bit 2. Modo 2000: a 1 el GROUP ID (GID) bit 3. Modo 4000: a 1 el USER ID (UID) bit
Modo 1000 - el Sticky bit Usado para programas ejecutados frecuentemente Guarda espacio de swap de un programa incluso cuando no est siendo ejecutado Mejora el tiempo de comienzo de un programa Se reconoce con una t en el bit de permiso de ejecucin
Modo 2000 - el GID bit Establece la ID de grupo efectivo igual a la identificacin de grupo del propietario Se usa con programas tales como /usr/bin/lpq (visualiza la cola de impresin) Se conoce con una s en el bit de permiso de ejecucin de grupo
Pg. 7 9
SEREM FORMACIN
Modo 4000 - el UID bit Establece la ID efectiva de usuario del proceso igual a la identificacin de usuario del propietario Necesario para programas tales como /bin/passwd o /bin/mail Se reconoce con una s en el bit de permiso de ejecucin de usuario
A continuacin se muestra un ejemplo de lo peligroso que puede ser crear una shell con SUID/SGID (set UID bit / set GID bit)
% su
Password:
# cp /bin/sh mish # chmod 6755 mish # ls -l mish -rwsr-sr-x # ^D % % ls -l seguro -rw------1 root 63 Sep 19 17:41 seguro 1 root 45056 Sep 21 13:01 mish
% cat seguro safe: Permission denied % mish $ cat seguro Este fichero pertenece a root y no puede ser leido por nadie mas $ ^D %
Otro gran agujero se crea cuando existen ficheros suid con permiso de escritura. Todo lo que un intruso necesita hacer es copiar su fichero en el fichero del mismo nombre o realizar modificaciones sobre el ya existente y convertirlo en peligroso para el sistema (!!!).
Pg. 8 0
SEREM FORMACIN
11.3.2
Directorios con Sticky bit y UID bit
Solamente el superusuario puede activar el sticky bit de los ficheros del sistema # chmod mugo fichero
Un usuario puede activar el sticky bit de un directorio que le pertenezca $ chmod 1754 directory_file
Si el sticky bit esta activado en un directorio, nicamente el propietario del fichero, el propietario del directorio, o un usuario con los privilegios apropiados puede borrar los ficheros que pertenecen al directorio
Para localizar todos los directorios de un usuario que contengan el sticky bit podemos usar "find" # find / -user usuario -perm 1000 -exec ls -ld {} \ ; | mail root
Si el UID bit esta activado en un directorio, el directorio es oculto
11.3.3 ficheros Unix
Algunos defectos de proteccin en
q q q q
El acceso de escritura tambin permite el acceso de borrado No existe proteccin para los errores del superusuario Bajo nivel en general de detalle de proteccin No existe mas de una versin para cada fichero
Pg. 8 1
SEREM FORMACIN
11.3.4
Caballos de Troya
Normalmente usan tcnicas de SUID y SGID para perpetrar sus acciones. El objetivo es normalmente incluir el segmento troyano dentro de un programa o script que va a ser ejecutado
Los juegos son un medio habitual puesto que es fcil pensar que el usuario este tentado a probar un juego desconocido
Si un directorio no posee permiso de escritura, el intruso puede crear un fichero dentro de l y esperar a que el usuario ejecute el fichero
Si adems de no protegido para escritura, el directorio est en el camino por defecto o "casa" (home) del usuario, ste est mas que preparado para ser atacado por un caballo de Troya
Los ficheros sin proteccin de escritura estn invitando a la modificacin total o parcial.
11.3.5
Precauciones con el fichero de passwords
Normalmente puede ser ledo por cualquier usuario. Es uno de los primeros lugares donde mira el intruso
Aparecen en el todos los usuarios, con lo que el intruso tendr una buena informacin para saber donde se mete
Con tiempo las palabras encriptadas pueden llegar a ser descubiertas
Pg. 8 2
SEREM FORMACIN
11.3.6
q q q q
Programas mascarada
Simulan ser otro programa cualquiera, por lo general del sistema o de un servicio Los programas "login" suelen ser un objetivo comn para este tipo de programas Relativamente fciles de detectar y contra los que protegerse Normalmente dejan huellas al ser auditados
11.4 PRECAUCIONES CON FICHEROS DE DISPOSITIVOS

UNIX trata los dispositivos como ficheros (discos, drivers, impresoras, consolas, terminales, memoria principal, etc. ). Esto da a los usuarios y programadores flexibilidad y potencia y a los responsables de la seguridad dolores de cabeza
Si los bits de la mascara de proteccin de alguno de estos dispositivos esta activada un intruso puede tener fcil acceso a su informacin
Un objetivo de los Caballos de Troya podra ser eliminar las protecciones a un dispositivo para ir preparando el camino
11.4.1
Los terminales
El comando stty puede ser usado para cambiar las caractersticas del terminal de otro usuario.
Los usuarios pueden atacar o espiar los terminales de otros usuarios simplemente mirando o escribiendo en ellos
Pg. 8 3
SEREM FORMACIN
Es muy difcil conseguir la seguridad en los terminales puesto que estn fuera del permetro de seguridad. Sin embargo es posible tomar medidas para localizar el peligro
11.5 SEGURIDAD TCP/IP
11.5.1
El fichero /etc/hosts
Fichero ASCII que define los nodos en los cuales tu quieres tener acceso a tu sistema (deja ser visto desde otros nodos). Contiene: direccin del nodo, nombre del nodo y alias. Ejemplo: 99.1.0.11 NOSTROMO nostromo
Cualquier usuario que pertenezca a uno de los nodos puede entrar en tu sistema introduciendo un nombre y password conocidos o tan solo la password si el nombre del usuario ya exista
A mayor numero de entradas en este fichero el riesgo aumenta
11.5.2
El fichero /etc/hosts.equiv
Lista de todos los nodos remotos desde donde los usuarios root pueden acceder sin password (para acceder con root es necesario password). Es necesario que el usuario tenga creada una cuenta en ambos nodos
Funciona con rsh y rlogin.
Pg. 8 4
SEREM FORMACIN
A mayor numero de entradas en este fichero el riesgo aumenta considerablemente. Es posible restringir el acceso a todos los usuarios de un nodo explcitamente sin mas que aadir "-" delante del nombre del nodo
11.5.3
El fichero .rhosts
Suplemento del fichero /etc/hosts.equiv que trabaja como tal pero de forma individualizada.
No puede eludir los permisos y restricciones de /etc/hosts.equiv
Debe de ser incluido en el directorio raz del usuario en los nodos donde tenga cuenta y quiera conectarse remotamente
Creado para facilitar la labor de aquellos usuarios que tienen una cuenta en varios nodos
No se deben de tener permisos de escritura de "grupo" o de "otros" habilitados pues seria una va para un intruso sin mas que modificando el fichero
11.5.4
El comando rlogin
Se usa para acceder remotamente a un nodo % rlogin nostromo nostromo>
Usa los siguientes ficheros: /etc/hosts /etc/hosts.equiv .rhosts
Pg. 8 5
SEREM FORMACIN
11.5.5
Programa de Transferencia de Ficheros (FTP)
Permite a los usuarios abrir una conexin con un nodo remoto y transferir ficheros desde y hacia l
Abierto a cualquier usuario de cualquier nodo conectado a la red, por lo que requiere autenticacin (nombre de usuario y password)
Puede ser usado para abrir una shell en el nodo remoto
Se habilita introduciendo en el fichero /etc/inetd.conf la siguiente lnea: ftp stream tcp nowait /usr/etc/ftpd ftpd
11.5.6
El Programa Trivial de Transferencia de Ficheros (TFTP)
Permite a los usuarios abrir una conexin con un nodo remoto y transferir ficheros desde y hacia el %tftp nostromo tftp >
Est abierto a cualquier usuario de cualquier nodo conectado a la red
No requiere autenticacin !!!
Es una puerta abierta a cualquier nodo remoto
Se habilita introduciendo en el fichero /etc/inetd.conf La siguiente lnea: tftp dgram udp nowait /usr/etc/tftpd tftpd -r /tmp
Pg. 8 6
SEREM FORMACIN
11.5.7
La utilidad NFS (Network File System)
Ejemplos de control de seguridad deficiente: Permitir acceso de escritura remota Exportacin indiscriminada de sistemas de ficheros Consentir el acceso a un superusuario Exportar incorrectamente sistemas de ficheros
11.6 COMO MEJORAR LA SEGURIDAD EN SISTEMAS UNIX
11.6.1
Seguridad login
Aadiendo un mensaje de advertencia en el prompt del login: Se anuncia que el sistema no es pblico Se advierte de la proteccin legal Se debe de modificar el fichero /etc/gettytab
Es recomendable eliminar cualquier mensaje de bienvenida ("welcome") en el login, puesto que podra ser entendido como una invitacin abierta a usuarios no autorizados.
Algunos fabricantes han implementado la tecla de acceso seguro (SAK) con lo que se obtiene un camino de entrada seguro a /etc/getty y as evitar los programas mascarada
La creacin de /etc/nologin evita todas las futuras entradas de usuarios, ste se crea automticamente cuando se ejecuta /etc/shutdown
Podra llegar a ser necesario inhabilitar el login por una de las siguientes razones: Mantenimiento del sistema
Pg. 8 7
SEREM FORMACIN
Sistema sobrecargado Shutdown inminente Sistema siendo atacado
El usuario al que le es impedido el acceso al sistema se le presentan los contenidos de /etc/nologin
Es imprescindible tener cuidado con que alguien pueda escribir en /etc/nologin, podra teclear cat > /etc/nologin y nadie seria capaz de entrar en el sistema desde ese momento
Se debe restringir el acceso como superusuario, para ello: 1. Editar /etc/ttys 2. Aadir la opcin "secure" tan solo a aquellos terminales desde los que se vaya a poder entrar como superusuario (modos UPGRADE y ENHANCED) 3. Si la seguridad se encuentra en modo BSD no es posible restringir el acceso por terminal
11.6.2 Lneas generales a seguir en la gestin de cuentas de usuario

Medidas a tomar cuando un usuario no vaya a necesitar mas el acceso al sistema o cuentas inactivas (conocidas en UNIX como "dormant accounts") 1. Incluir un asterisco delante de la password en el fichero /etc/passwd, para inhabilitar la cuenta 2. 3. 4. 5. 6. Realizar una copia de sus ficheros Informar al resto de los usuarios que los ficheros van a ser a ser borrados Pedir que el usuario que elimine todos sus ficheros y directorios Cambiar la password Tomar nota del UID
Pg. 8 8
SEREM FORMACIN
7.
Ejecutar /etc/removeuser para eliminar sus ficheros y directorios en la casa del usuario
8. 9.
Eliminar toda referencia del usuario en /etc/groups Borrar o cambiar de propietario todos los ficheros que no hayan sido eliminados previamente, para hallar su ubicacin:
10. # find / - user UID_antiguo_usuario - print > alert
Recomendaciones sobre passwords:

q q q q q q q q
Nunca dejar el fichero de passwords vaco Nunca revelar la password a otra persona No anotar las passwords, recordaras Nunca mandar las passwords por correo o decirlas por telfono Para un usuario normal, establecer la vida de la password entre 60 y 120 das Para root establecer la vida del password muy corta Usar una password diferente para cada cuenta de un nodo Nunca usar passwords coincidentes con el apellido, matrcula del coche, palabras el diccionario, etc.
q q q q
Las passwords largas son mejores, y las "frase-passwords" son excelentes Usar una mezcla de caracteres minscula y mayscula Usar caracteres especiales Crear una password fcil de recordar
Los ficheros de entorno de usuario ".profile (Bourne shell)" y ".login (C-shell)" tambin son importantes para la seguridad
q q
La primera lnea debe de contener la variable PATH con valores "trusted" La segunda lnea debe de ser "mesg -n" para evitar que se enven mensajes directos al terminal
La tercera "umask 027" para establecer una mscara de proteccin por defecto
Pg. 8 9
SEREM FORMACIN
11.6.3
Proteccin del sistema de ficheros
Directorios de comandos
q q q q
Deben de pertenecer a root Solamente root debera de tener permiso de escritura Es muy importante asegurarse de que todos los comandos son "trusted" Normalmente poseen la mscara 755
Ficheros especiales
q q q
Incluidos: memoria principal, terminales, discos, cintas, etc. Tener acceso a stos ficheros es tener acceso a cualquier cosa que contengan Solamente root debe de tener permiso de lectura
Ficheros de cuentas de usuario

q q
Ficheros tipo "log" Ficheros de red
11.6.4 Lneas generales para montar un sistema de ficheros

La opcin "-o" de los comandos "/bin/mount" ofrece tres opciones relaccionadas con la seguridad
q
nodev
Deniega el acceso a cualquier fichero de dispositivo en el
sistema que est siendo montado

q
nosuid
Deniega al usuario la posibilidad de ejecutar setuid y getuid
en el sistema de ficheros que est siendo montado

q
noexec
Deniega al usuario la posibilidad de ejecutar ficheros binarios
en el sistema de ficheros que est siendo montado
Usar "nodev" cuando se monte un sistema de ficheros distinto de que comienza en la raz.
Pg. 9 0
SEREM FORMACIN
Usar "nosuid" y "nodev" cuando se monte un sistema de ficheros distinto de que comienza en la raz y adems sea de usuario
Usar "noexec" y "nodev" cuando se monte un sistema de ficheros que no vaya a contener ejecutables
Estas opciones se modifican en "/etc/fstab" /dev/ra2e:/usr/public:rw:1:5:ufs:nodev,nosuid:
11.6.5
q q q q
Montaje de sistemas de ficheros no "trusted"
Ejecutar /etc/fsck en el sistema importado Crear un punto de anclaje del sistema de ficheros al que solamente tenga acceso root Montarlo con las opciones nosuid y nodev Comprobar todos los ficheros ejecutables existentes
11.6.6 Recomendaciones para restringir el acceso a TCP/IP

El acceso a TCP/IP es controlado mediante 4 ficheros
q q q q
/etc/hosts (lista de nodos para los cuales ste nodo es visible) /etc/hosts.equiv (lista de todos los nodos que son "trusted" al nodo) .rhosts (suplemento personal del fichero anterior) /etc/inetd ("Demonio" de la B.D. de configuracin de Internet)
/etc/hosts.equiv es un fichero muy peligroso, por lo que debera de estar vaco
No usar los ficheros .rhosts, Ya que son de usuario y deberan de estar siendo monitorizados continuamente
Pg. 9 1
SEREM FORMACIN
/etc/hosts debe de tener acceso de escritura tan solo para root
Comprobar frecuentemente /etc/hosts
Si es posible eliminar telnet, ftp, tftp o rlogin. Para ello se debe acceder a /etc/inetd.conf Y eliminar la lnea correspondiente.
Pg. 9 2

Unix Administracion Solaris

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Unix Administracion Solaris

Caricato da

Copyright:

Formati disponibili

SEREM FORMACIN

Cliente : LUCENT TECHNOLOGIES

ADMINISTRACION DE SISTEMAS SOLARIS 2.x

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

1.1 POR QU UNIX?

GENERICO: Se pueden desarrollar y ejecutar todo tipo de aplicaciones.

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

1.3 RESPONSABILIDADES DEL ADMINISTRADOR DEL SISTEMA

PROPORCIONA UN ENTORNO SEGURO EN UNA COMUNIDAD UNIX

CONTROLAR EL ACCESO DE LOS USUARIOS AL SISTEMA

SYSTEM MANAGER "SUPERUSUARIO"

OBTENER INFORMACION DE ACCOUNTING DEL SISTEMA

INSTALAR SOFTWARE DEL SISTEMA

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

2. CREACION DE CUENTAS DE USUARIO

2.1 USO DE LA HERRAMIENTA DE ADMINISTRACION ADMINTOOL

2.1.1 Inicializacin del entorno OpenWindows

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

2.1.2 Arranque de Admintool

2.1.3 Carga de la Base de Datos Group

2.1.4 Creacin de una nueva entrada

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

2.1.5 Creacin de un nuevo grupo

2.1.6 Arranque del gestor de Cuentas de Usuario

2.1.7 Acceso al a ventana de Creacin de Ususario

1. Seleccionar la opcin Add User del men Edit

2.1.8 Creacin de un nuevo usuario

1. Especificar los valores de identificacin de usuario para las siguientes variables.

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

Estado de la Contrasea Inexistente hasta la primera conexin

Sin contrasea, slo setuid

Permite al administrador poner una contrasea mientras aade al usuario.

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

Cambiar los permisos de acceso seleccionados en los cuadros adecuados.

2.1.9 Verificacin de la nueva cuenta

2.2 EL FICHERO /etc/passwd

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

Sus campos son los siguientes: Nombre_acceso:contrasea:UID:GID:nombre_real(comentario):directorio_acceso: tipo_shell

2.3 EL FICHERO /etc/group

Sus campos son los siguientes: Nombre_de_grupo:contrasea:GID:lista_de_usuarios_del_grupo

Cuando hay mas de un usuario se utilizan coas para separarlos.

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

2.4 CREACIN MANUAL DE CUENTAS DE USUARIO

Sintaxis: #su [nombre_usuario]

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

3. MANTENIMIENTO DE CUENTAS DE USUARIO

3.1 CONTRASEAS (PASSWORDS)

3.1.1 Requisitos de Contrasea

3.1.2 Caractersticas de limitacin de la contrasea

Manual De Unix Solaris

Cliente : LUCENT TECHNOLOGIES

Parmetro Min. Change