Sei sulla pagina 1di 92

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

ADMINISTRACION
DE SISTEMAS
SOLARIS 2.x

Manual De Unix Solaris

Pg. 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

1. INTRODUCCION A UNIX

1.1 POR QU UNIX?


Escrito en su mayor parte en lenguaje C, lo que implica PORTABILIDAD y
ADAPTABILIDAD. Su uso se extiende desde PCs a grandes ordenadores.

GENERICO: Se pueden desarrollar y ejecutar todo tipo de aplicaciones.

POTENTE: Es multiusuario y multiproceso. Tiene un conjunto de funciones y utilidades


que lo hacen tan potente como cualquier S.O. (sobre todo para el desarrollo
de aplicaciones).

1.2 QU ES UNIX?
Programas
de utilidad
Shell

Kernel

Kernel

Programa que controla los recursos del ordenador y los asigna


entre usuarios. Gestiona los procesos, gestiona unidades y
proporciona un sistema de ficheros.

Manual De Unix Solaris

Pg. 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Shell

Programa que interpreta los comandos tecleados por un


usuario. Es la interfaz entre el usuario y el S.O. Es un lenguaje
de programacin con directivas como los lenguajes de alto nivel, permitiendo bucles, saltos condicionales, asignaciones,
etc. ). Existen varios tipos: Bourne shell, C shell de Berkeley,
Korn shell, y System V shell.

Programas de utilidad

Editores, compiladores, procesadores de texto (vi, ed), filtros


(sed, awk, grep, fgrep, egrep, tr, sort, uniq, comm, etc. ) programas para desarrollo de programas, etc.

1.3 RESPONSABILIDADES DEL ADMINISTRADOR DEL


SISTEMA

PROPORCIONA UN
ENTORNO SEGURO EN
UNA COMUNIDAD UNIX

CONTROLAR EL
ACCESO DE
LOS USUARIOS
AL SISTEMA

RESOLUCION DE
PROBLEMAS

SYSTEM MANAGER
"SUPERUSUARIO"

INSTALAR
SOFTWARE
DEL SISTEMA

OBTENER INFORMACION
DE ACCOUNTING DEL
SISTEMA

MANTENER ARCHIVOS

Manual De Unix Solaris

Pg. 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

2. CREACION DE CUENTAS DE
USUARIO

2.1 USO DE LA HERRAMIENTA DE ADMINISTRACION


ADMINTOOL
La herramienta de administracin Admintool (corre bajo entorno OpenWindows).es
una utilidad de la administracin del sistema con una interfaz grfica que permite a los
administradores mantener:
q

Ficheros de la base de datos del sistema

Impresoras

Cuentas de Usuarios

Otras mquinas (Hosts)

2.1.1 Inicializacin del entorno OpenWindows


Se debe de establecer el entorno de superusuario de modo que el entorno OpenWindows
sea lanzado automticamente cuando se accede al sistema operativo como superusuario.

1. Conectarse como superusuario


2. Copiar el fichero local.profile del directorio /etc/skel en el directorio de acceso del
superusuario
# cd
# cp /etc/skel/local.profile .profile

Manual De Unix Solaris

Pg. 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

3. Aadir los directorios /usr/openwin, /usr/sbin, y /sbin al valor de la variable PATH de


root en el .profile. Asegrese que el directorio /usr/sbin precede al directorio /usr/ucb.
PATH=/usr/openwin/bin:/usr/sbin:/sbin:/usr/bin:/usr/ucb:/etc:.
4. Ejecutar .profile para comenzar el entorno OpenWindows.
# . /.profile
(aparecer un mensaje informativo sobre el arranque de OpenWindows)

2.1.2 Arranque de Admintool


1. Ejecutar la Herramienta de administracin Admintool en la ventana Shell Tool o
Command Tool
# admintool &
(aparece la ventana de herramienta de administracin admintool)
2. Seleccionar el icono Database Manager para acceder a los ficheros de la base de
datos del sistema.

2.1.3 Carga de la Base de Datos Group


Aparece la ventana de gestin de la base de datos del sistema (Load Database)

1. Seleccionar Group de la lista.


2. Seleccionar None entre las opciones de Naming Service para utilizar los ficheros
/etc de la mquina local.
3. Pulsar el botn Load

2.1.4 Creacin de una nueva entrada


Aparece la ventana Group Database
1. Seleccionar Add Entry del men Edit

Manual De Unix Solaris

Pg. 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

2.1.5 Creacin de un nuevo grupo


Se visualiza la ventana Add Entry
1. Introducir la informacin siguiente:
a. El nombre de grupo sysadmin
b. El nmero de identificacin del grupo (GID) es 14
1. Pulsar en Add
2. Aadir otro grupo llamado Students con GID de 110
3. Abandonar la ventana Add Entry
4. Salir de la ventana Group Database

2.1.6 Arranque del gestor de Cuentas de Usuario


1. Para crear un usuario nuevo seleccionar el icono User Account Manager de la
ventana principal Administration Tool
2. Establecer el nombre de servicio None para utilizar los ficheros /etc almacenados en
el sistema local. Pulsar Apply

2.1.7 Acceso al a ventana de Creacin de Ususario


Se visualiza la ventana User Account Manager

1. Seleccionar la opcin Add User del men Edit

2.1.8 Creacin de un nuevo usuario


Aparece el formulario Add User

1. Especificar los valores de identificacin de usuario para las siguientes variables.

Manual De Unix Solaris

Pg. 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

a. Utilizar el nombre propio como nombre de usuario


b. Utilizar el UID asignado por el instructor
c. Utilkizar 110 como grupo primario
d. Especificar 14 como grupo secundario
e. Utilizar el nombre completo como comentario

Estado de la Contrasea

Descripcin

Inexistente hasta la primera

La cuenta no tendr contrasea y el usuario deber

conexin

introducir una contrasea la primera vez que


accede al sistema (por defecto)

Cuenta bloqueada

La cuenta est bloqueada y el usuario no podr


conectarse hasta que le administrador le asigne una
contrasea

Sin contrasea, slo setuid

Esta curenta nopermite conectarse a ella, pero


permite ejecutar programas como lp o uucp

Contrasea normal

Permite al administrador poner una contrasea


mientras aade al usuario.

1. Especificar los valores de seguridad de la cuenta para las variables mostradas.


a. Utilizar el submen del botn Password para poner una contrasea de usuario
normal
b. Rellenar la informacin de contrasea
a. Dejar las opciones de seguridad de cuenta en blanco
1. Especificar los valores del directorio d acceso para las variables siguientes
a.

Pulsar el cuadro Create Home Dir para crear el directorio de acceso de


usuario

b.

Manual De Unix Solaris

Especificar la variable PATH como /export/home/ nomber_usuario

Pg. 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

c.

Introducir el nombre del sistema propio como servidor

d.

Introducir /etc/skel como Skeleton Path

e.

No pulsar sobre el cuadro AutoHome Setup

f.

Localizar la matriz de permisos de lectura, escritura y ejecucin del Propietario, Grupo y Otros. Esta matriz permite al administrador establecer los
permisos del directorio de acceso al usuario.

g.

Cambiar los permisos de acceso seleccionados en los cuadros adecuados.

1. Pulsar Add para crear la cuenta de usuario


2. Abandonar la ventana Add User
3. Abandonar la ventana Admintool

2.1.9 Verificacin de la nueva cuenta


1. Desconectarse y conectarse como el usuario que se acaba de crear
2. Visualizar el contenido del directorio de acceso (ls a)
3. Si se quiere utilizar el entorno OpenWindows automticamente una vez realizada la
conexin teclear lo siguiente:
$ mv local.profile .profile

2.2 EL FICHERO /etc/passwd


La base de datos de contraseas est implementada en el fichero /etc/passwd para
cuentas locales de usuario.

En la ventana del Command Tool es posible visualizar ste fichero que consiste en varios
registros de una sola lnea. Para separa los campos se utiliza el carcter (:) dos puntos.

Manual De Unix Solaris

Pg. 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Sus campos son los siguientes:


Nombre_acceso:contrasea:UID:GID:nombre_real(comentario):directorio_acceso:
tipo_shell

El fichero password es de slo lectura para todo el mundo. Slo el SU puede editar ste
fichero. Los usuarios normales pueden modificar parte de la informacin, como su
contrasea o el tipo de shell inicial, usando el comando passwd.

La x en el campo de la contrasea ocupa el mismo lugar dnde se pona la contrasea


antiguamente. La contrasea real esta almacenada en el fichero /etc/shadow junto con
otra informacin relacionada con ella.

2.3 EL FICHERO /etc/group


La base de datos de grupos est implementada en el fichero /etc/group para cuentas
locales de usuarios

El fichero de grupos consiste en registros de una sola lnea. Para separa los campos se
utiliza el carcter (:) dos puntos.

Sus campos son los siguientes:


Nombre_de_grupo:contrasea:GID:lista_de_usuarios_del_grupo

Cuando hay mas de un usuario se utilizan coas para separarlos.

Manual De Unix Solaris

Pg. 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

2.4 CREACIN MANUAL DE CUENTAS DE USUARIO


Las cuentas de usuario pueden ser aadidas manualmente en caso de utilizar un terminal
ASCII como consola del sistema.

Los pasos a seguir son los siguientes:


1. Utilizar el comando groupadd para crear el grupo de usuario (si es necesario)
# groupadd g 100 explorer
2. Utilizar el comando useradd para aadir un usuario y crear el directorio de acceso al
usuario
# useradd u 115 g 100 c Lt. Ripley \ -d /export/home/ripley m s /bin/sh
ripley
3. Ejecutar el comando passwd para la nueva cuenta de usuario y asignar la contrasea
de usuario
# passwd ripley
4. Aadir ficheros de inicializacin al directorio de acceso al usuario (como .profile)

2.5 EL COMANDO su
El comando su (switch user) se utiliza para trabajar como un usuario diferente sin salir de
la cuenta. Por defecto se cambia a Super Usuario

Sintaxis:
#su [nombre_usuario]

Realizar los siguientes ejercicios en la ventana del Command Tool:


1. Visualizar el actual UID, nombre de usuario, GID, y nombre de grupo con el comando
id
2. Cambiar de usuario a SU introduciendo el comand su

Manual De Unix Solaris

Pg. 1 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

3. Mostrar el actual UID, nombre de usuario, GID, y nombre de grupo con el comando id
4. Visualizar los procesos asociados con la ventana actual tecleando el comando ps
5. Salir con exit de la nueva shell

Manual De Unix Solaris

Pg. 1 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

3. MANTENIMIENTO DE CUENTAS DE
USUARIO

3.1 CONTRASEAS (PASSWORDS)

3.1.1 Requisitos de Contrasea


Las contraseas deben de tener stos requisitos:
q

Tener al menos seis caracteres (solo los primeros 8 son significativos)

Contener al menos dos caracteres alfabticos y un carcter especial o numrico

Ser diferente del nombre de conexin

Ser diferente de la contrasea previa en al menos tres caracteres

3.1.2 Caractersticas de limitacin de la contrasea


Los parmetros de limitacin de la contrasea estaban incluidos en la seccin Seguridad
de la Cuenta de la ventana Add User del Gestor de Cuentas de Usuarios como vimos
anteriormente.

Las contraseas que no se cambiaron o que permanecen activas una vez que su tiempo
de validez ha finalizado son un peligro para la seguridad. Solaris 2.x provee varios
parmetros para controlar las contraseas que pueden ser activadas utilizando Admintool.

Manual De Unix Solaris

Pg. 1 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Parmetro
Min. Change

Significado
El nmero mnimo de dias requeridos para poder cambiar la
contrasea

Max. Change

El nmero mximo de dias que la contrasea es vlida

Max. Inactive

Nmero de dias de inactividad permitido para ese usuario

Expiration Date

Una fecha concreta a partir de la cual la conexin no podr


volver a ser utilizada

Warning

El nmero de das antes de que la contrasea expire el


usuario recibir un aviso

3.2 MODIFICACIN DE UNA CUENTA DE USUARIO


EXISTENTE
1. Se debe de iniciar Admintool tecleando lo siguiente
# admintool &
2. Arrancar el Gestor de Cuentas de Usuario seleccionando su icono en la ventana de
Herramienta de Administracin
3. Seleccionar None para la opcin nombre de servicio ya que la cuenta a modifivcar es
local
4. Pulsar Apply. Aparecer una ventana del Gestor de Cuentas de Usuario que lista
todas las cuentas de usuario definidas actualmente en el sistema.
5. Pulsar MENU en el botn Edit para visualizar el men Edit.
6. Seleccionar el nombre de conexin de la cuenta de usuario que se cre cion el Gestor
de Cuentas de Usuario
7. Escoger Modify/View User del men Edit. Esta ventana se visualiza con los valores
rellenados.

Manual De Unix Solaris

Pg. 1 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

3.3 EL FICHERO /etc/shadow


Como se vio una x en el campo contrasea de la base de datos passwd indica que la
contrasea se encuentra almacenada en el fichero /etc/shadow, el cual tambien almacena
informacin relacionada con dicha contrasea.

La informacin de seguridad ya especificada (Password, Min. Change, Max. Change,


Max. Inactive, Expiratio Date y Warning) est alamacenada en ste fichero, el cual slo
puede ser leida por el superusuario.

Este fichero consiste en registros de una sola lnea. Para separar los campos se utiliza el
carcter (:) dos puntos.

Sintaxis:
Nombre_usuario:contrasea:ult_cambio:min:max:aviso:inactivo:caducidad

3.4 BLOQUEO DE UNA CUENTA


Cuando un usuario no necesita por alguna razn acceder al sistema, el administrador
podr hacer inaccesible esa cuenta.

Pasos a seguir:
1. Pulsar el icono User Account Manager
2. Seleccionar usuario
3. Seleccionar opcin Modify User del Menu Manager
4. Escoger Account is Locked del men Password
5. Pulsar Apply
6. Verificar que la cuenta est bloqueada visualizndola en /etc/shadow (LK)

Manual De Unix Solaris

Pg. 1 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

El administrador puede realizar lo mismo con el comando passwd l

3.5 ELIMINACIN DE UNA CUENTA


Seguir los pasos:
1. Visualizar la ventana User Account Manager
2. Seleccionar usuario
3. Seleccionar Delete User del men Menu Edit
4. Pulsar Delete
5. Salir de la ventana de Gestin de Cuentas de Usuario
6. Cerrar el icono de Herramienta de Administracin Admintool

3.6 EL COMANDO passwd


El superusuario puede mantener contraseas con el comando passwd

Sintaxis:
passwd [ -l | -d ] [- f ] [ -n min ] [ -x max ] nombre
passwd -s [ nombre | -a ]

Opciones:
-l

Bloquea la entrada de la contrasea para el usuario con ese nombre

-d

Elimina la contrasea para el usuario con ese nombre

-f

Fuerza a dicho usuario a cambiar su contrasea en la siguiente


conexin

-n min x max

Establecen el campo mnimo y mximo para el nombre del usuario

-s

Presenta las caractersticas de la contrasea para ese usuario

Manual De Unix Solaris

Pg. 1 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

-a

Visualiza las caractersticas de la contrasea para todas las entradas


de usuario

3.7 EL DIRECTORIO /etc/default


Existen varios ficheros ASCII de variables del sistema con valores or defecto que estn
ubicados en el directorio /etc/default.

3.7.1 Fichero /etc/default/su


El valor de la variable SULOG especifica el nombre de fichero donde van a parar todos
los intentos para cambiar a otro usuario con el comando su. Si no est definido, su es
rechazado.

Si el valor de la variable CONSOLE est definido como /dev/console, todos los intentos su
correctos para cambiar a superusuario quedan registrados en la consola.

3.7.2 El fichero /etc/default/passwd


Este fichero contiene tres variables importantes

El valor de la variable MAXWEEKS especifica el mximo nmero de semanas que una


contrasea es vlida antes de que sea cambiada para todos los usuarios normales. . Si
se define como cero, slo los usuarios que tienen un valor para MAX en el fichero
/etc/shadow deben de cambiar sus contraseas.

Sin embargo, un valor MAX en el fichero /etc/shadow se mide en dias.

Manual De Unix Solaris

Pg. 1 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

El valor de la variable MINWEEKS especifica el mnimo nmero de semanas entre


cambios de contrasea para todos los usuarios normales. Si se define como cero, slo
los usuarios que tienen un valor para MIN en el fichero /etc/shadow tienen limitado cundo
pueden cambiar sus contraseas.

Sin embargo, un valor MIN en el fichero /etc/shadow se mide en dias.

El objetivo de la variable PASSLENGTH es especificar una longitud mnima de contrasea para todos los usuarios normales. El comando passwd requiere una longitud superior a
5 caracteres.

3.7.3 El fichero /etc/default/login


Este fichero contiene dos parmetros importantes de seguridad.

La variable ALTSHELL se utiliza para situar la variable de entorno de la SHELL bajo


ciertas condiciones.
q

Si el campo de shell en el fichero /etc/passwd contiene un valor, y la variable


ALTSHELL est a YES, entonces el valor de SHELL se toma del fichero contrasea.

Si el campo de shell en /etc/passwd contiene un valor y la variable ALTSHELL se


encuentra comentada o est a NO, entonces el valor de SHELL no se establece como
una variable de entorno.

Si el valor de PASSREQ est a YES (por defecto) los usuarios con contraseas vacas
ser obligados a introducir una contrasea la prxima vez que se conecten al sistema. Por
otra parte las contraseas vacas estn permitidas.

La variable CONSOLE puede ser utilizada para especificar tres condiciones para la
conexin como superusuario.

Manual De Unix Solaris

Pg. 1 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Si la variable es definida como /dev/console (por defecto) la conexin como SU slo


es permitida desde la consola

Si la variable no est definida, no se permite la conexin como SU. (mdem, red, etc.)

Si la variable est definida como vaca (CONSOLE=), no se permite la conexin como


SU. En ste caso el modo de obtener los privilegios como SU es conectarse como
usuario normal y ejecutar el comando su

3.8 UTILIZACIN DE SHELLS RESTRINGIDAS


Solaris 2.x provee versiones restringidas de la Korn Shell (rksh) y de la Shell de Bourne
(rsh) para permitir a los administradores un mayor control sobre el entorno de ejecucin
del usuario. Esto es particularmente til para el acceso temporal con permisos restringidos en las sesiones de conexin.

Las acciones de rsh y rksh son idnticas a las de sh y ksh con restricciones. A los
usuarios se les impide:
q

Cambiar de directorio

Establecer el valor $PATH

Utilizar nombres de camino de comandos absolutos

Redireccionar la salida (> y >>)

Es importante no confundir la shell remota (/usr/bin/rsh) con la shell restringida (/usr/lib/rsh).

Es posible proveer al usuario con caractersticas de shell estndar, mientras se restringe


el acceso a todos los comandos. Esto significa que los administradores tienen que crear
tambin un conjunto limitado de comandos (como /usr/rbin) para un usuario restringido. El
siguiente paso ser restringir permisos en el directorio de acceso del usuario de modo
que el usuario no pueda cambiar ste entorno.

Manual De Unix Solaris

Pg. 1 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

El resultado de stas restricciones es que el script .profile ofrece el control sobre las
acciones del usuario ofreciendo un conjunto limitado de comandos y limitando al usuario a
un directorio especificado.

Manual De Unix Solaris

Pg. 1 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

4. SISTEMAS DE FICHEROS UNIX

4.1 PARTICIONES DE DISCO Y ETIQUETAS


Las particiones consisten en un offset (distancia) del borde exterior del disco y un tamao.
Los offsets y tamaos para las particiones del disco estn definidos por una tabla de
particin (partition table)

La etiqueta del disco tambin llamada Tabla de Contenidos de Volumen de Disco


(Volume Table of Contents VTOC)), contiene:
q

Tablas de particiones (Partitio Tables) para el disco

Un nombre de volumen (volume name) opcional que identifica el dispositivo de disco

Partition tags opcionales que nombran los puntos de montaje estndar de cada una
de las particiones

Partition Flags opcionales que determinan si cada particin se puede grabar y/o
montar
Particin 0
Particin 1

Etiqueta del
disco

Particin 2

Manual De Unix Solaris

Pg. 2 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

4.1.1 Las Particiones


Las particiones son divisiones lgicas de un disco.
q

Son grupos de sectores

Tienen tamaos por defecto, por tipo de disco, pero pueden ser alteradas por el
superusuario

Ayudan a equilibrar la carga del disco

Son etiquetadas desde la a hasta la h

Una particin puede contener a otra u Otras.

Por defecto la particin 0 es root y la particin 1 es swap (area de swapping)

4.1.2 Comandos para el uso de particiones


La utilidad format es una herramienta de mantenimiento de disco que se ejecuta desde
la lnea de comandos o desde un CD-ROM de instalacin si format se quiere utilizar para
modificar un disco que contiene los ficheros / (root) o /usr o una particin swap.

Las tareas bsicas para reparticionar el disco son:


q

Reparticionamiento de disco

Reetiquetado del disco con la nueva etiqueta de disco

Creacin de la interfaz del sistema de ficheros para la nueva particin. (Esta tarea
puede omitirse si se aade una particin de swap adicional)

Desde la utilidad format, el men partition se utiliza para ver y modificar las tablas de
particiones.

La opcin print desde el men partition permite visualizar la tabla de particiones


actual.

Manual De Unix Solaris

Pg. 2 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Las particiones debern de ser contiguas. La primera particin comenzar en el cilindro


0. La segunda inmediatamente despus de la primera, y as sucesivamente. Esto se
comprueba en la columna Cylinders

Para cambiar el tamao de una particin se debe de ejecutar el comando modify


dentro del menu partition. Y seguir los pasos que interactivamente el sistema va
preguntando.

Para verificar la nueva etiqueta del disco, introducir el comando verify desde el men
principal format

Desde el prompt el sistema es posible visualizar una tabla de contenidos de volumen de


disco. Con el comando prtvtoc (# prtvtoc /dev/rdk/c0t0d0s0)..

4.2 CREAR UN SISTEMA DE FICHEROS


Despus de utilizar la utilidad format para cambiar el tamao de una particin, el paso
siguiente es crear un sistema de ficheros para aadir nuevos datos. La informacin
almacenada en una particin se accede a travs del interfaz del sistema de ficheros.

El comando newfs es una implementacin ms amigable del comando mkfs que es


quien realmente crea el sistema de ficheros. (# newfs /dev/rdk/c0t0d0s0)

Este comando crea un sistema de ficheros por defecto incluyendo un inodo root, un
directorio lost+found que es utilizado por fsck para comprobar y reparar el sistema de
ficheros.

Posteriormente se repite el comando para cada particin del sistema de ficheros.

Manual De Unix Solaris

Pg. 2 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

4.3 SISTEMAS DE FICHEROS LOCALES Y DISTRIBUIDOS


Los dos sistemas de ficheros con los que trabajan la mayora de los administradores son
el tipo de sistema de ficheros de disco (o local) y de tipo remoto (o distribuido).

4.3.1 Sistemas de ficheros de disco (local)


Estos sistemas de ficheros estn almacenados en medios fsicos como discos, CD-ROM,
o disquetes.
ufs

Por defecto el sistema de ficheros de disco basado ene le sistema de


ficheros BSD Fat Fast

hsfs

Sistema de ficheros High Sierra y CD-ROM

pcfs

Sistema de ficheros que soporta accesos de lectura/escritura de datos de


disquetes del sistema operativo (DOS)

4.3.2 Sistemas de ficheros distribuidos (remotos)


El sistema de ficheros distribuido soporta el acceso a sistemas de ficheros incluidos en
otros sistemas de la red.
nfs

Sistema de ficheros de red

4.4 MONTAJE Y DESMONTAJE DE SISTEMAS DE FICHEROS


Montar es el proceso por medio del cual sistemas de ficheros separados se integran en
una nica jerarqua de directorios. Normalmente, se montan y desmontan durante el
encendido y apagado del sistema.

Manual De Unix Solaris

Pg. 2 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

No es frecuente que los administradores de sistemas hagan ste tipo de operaciones.


Adems, la reconfiguracin del disco requiere a veces que los admninistradores realicen
cambios en /etc/vfstab, que especifica como se montarn y desmontarn los sistemas
de ficheros automticamente durante el encendido y apagado del sistema.

El comando que se utiliza para montar todos los sistemas de ficheros locales cuando el
sistema est en nivel de ejecucin 2 dentro del fichero de comandos MOUNTFSYS, es el
comando mountall l (La opcin l indica los sistemas de ficheros locales)

Los elementos a ser ensamblados y donde el comando mountall los obtiene de la


informacin que le proporciona el fichero /etc/vfstab en ele campo mount at boot

Para identificar los sistemas de ficheros que han sido montados y las opciones que se
han utilizado en el montaje, teclear el comando mount sin argumentos

4.4.1 El fichero /etc/vfstab


Este fichero proporciona posiciones por defecto para el montaje de sistemas de ficheros.

El formato del fichero es un registro por lnea, siete campos por registro, con un guin (-)
indicando un valor nulo para un campo.

Manual De Unix Solaris

Pg. 2 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

4.5 MONITORIZACIN DE LA UTILIZACIN DE DISCO

4.5.1 El comando du
El comando du visualiza la cantidad de bloques de disco (de 512 bytes) utilizados por
directorios y ficheros. Sin opciones ni argumentos, el comando du muestra la cantidad de
bloques utilizados por cada subdirectorio del directorio actual y la suma total.

Si se suministra el camino de un directorio opcional, el comando lista el nmero de


bloques utilizado por cada directorio debajo de ese camino y la suma total.

Sintaxis:
# du [ -a] [ -s ] [-k ] [directory ]

Opciones:
-a

Visualiza el nmero de bloques utilizados por los ficheros y directorios dentro de la


jerarqua de directorio especificada

-s

Muestra slo el resumen

-k

Lo muestra en Kilobytes

4.5.2 El comando df
El comando df muestra la informacin de los sistemas de ficheros montados

Sintaxis:
# df [ -k ] [ directory ]

Manual De Unix Solaris

Pg. 2 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Opciones:
-k

Visualiza el espacio en Kbytes y resta el espacio reservado por el sistema operativo

4.5.3 El comando quot


El comando quot visualiza cunto espacio de disco (en Kbytes) es utilizado por los
usuarios.

Sintaxis:
# quot [ -af ] [filesystem ]

Opciones:
a
f

Informa de todos los sistemas de ficheros montados


Muestra la cantidad de ficheros, as como el nmero de Kbytes. que son propiedad
del usuario.

Manual De Unix Solaris

Pg. 2 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

5. ESTRUCTURA DEL SISTEMA DE


FICHEROS

5.1 SUPERBLOQUES Y BLOQUES DEL GRUPO DE


CILINDROS
Bajo ste apartado se describen las estructuras de los sistemas de ficheros.

Inodo
Un inodo es la representacin interna de un fichero que contiene informacin
sobre el UID y el GID del propietario, nmero bytes y punteros a los ficheros de
bloques de datos.

Grupos de cilindros
Los anteriores sistemas de ficheros UNIX agrupaban todos sus inodos al principio del sistema de ficheros, seguidos de todos los bloques de datos del sistema de ficheros.Para mejorar el rendimiento, el nuevo sistema de ficheros
UNIX Fat Fast de Berkeley agrupa subconjuntos de inodos y bloques de datos
juntos en cilindros consecutivos llamados grupos de cilindros. El sistema de
ficheros intenta mantener el inodo del fichero y todos sus bloques en el mismo
grupo de cilindro.

Bloques de Grupos de Cilindros


El bloque de grupos de cilindros describe el nmero de inodos y de bloques de
datos, as como los directorios, bloques e inodos libres, la lista de bloques
libres y el mapa de inodos ocupados de ste grupo de cilindros.

Manual De Unix Solaris

Pg. 2 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Superbloques
El superbloque contiene informacin sobre el sistema de ficheros: nmero de
bloques y de grupos de cilindros, el tamao del bloque y de fragmanto, una
descripcin del hardware (derivada de la etiqueta) y el nombre del punto de
montaje.
Dado que el superbloque contiene datos crticos, est duplicado en cada grupo
de cilindros para protegerlo de prdidas accidentales. Esto se hace cuando se
crea el sistema de ficheros. Si un fallo del disco hace que se dae el
superbloque, se acceder a stas copias.

Etiqueta
Bloque de carga inicial
Superbloque

Copia de seguridad del


superbloque
Bloque del grupo de
cilindros

Primer
grupo de
cilindros

Tabla de inodos

Bloques de datos

Segundo
bloque
de
cilindros

Manual De Unix Solaris

Pg. 2 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

5.2 FRAGMENTOS DE BLOQUES


El sistema de ficheros UNIX original utilizaba bloques de 512 bytes. En la versin 1 del
System V se expandi a 1024 bytes. La ventaja de un mayor tamao de bloque es que las
transferencias de disco son mucho ms rpidas cuando se tienen que transferir grandes
cantidades de informacin.

La desventaja de un tamao de bloque grande es que los ficheros pequeos desaprovechan espacio en disco. Cuando sta perdida se multiplica por muchos ficheros, la
cantidad de espacio desperdiciada puede ser bastante grande.

Un mtodo para aprovechar el espacio en disco perdido es dividir cada bloque de datos
en fragmentos. El fragmento o fragmentos pueden ser asignados en el momento en que el
fichero no ocupa un bloque entero. Los fragmentos no pueden ser mas pequeos que un
sector de disco. Lo habitual es dividir el bloque en ocho fragmentos.

El sistema Solaris 2.x utiliza por defecto un bloque de 8192 bytes y un fragmento de 1024
bytes.
Bloque del Sistema de Ficheros

8192 bytes

1024
bytes
Fragmento

5.3 EL PROGARAMA FSCK


El comando fsck utiliza parmetros conocidos e informacin redundante para revisar las
inconsistencias de disco.

Manual De Unix Solaris

Pg. 2 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Las inconsisencias, revisadas en orden, son las siguientes:


1. Bloques reclamados por uno o ms inodos y la lista de inodos libres
2. Bloques reclamados por un inodos de la lista de inodos libres
3. Contadores de enlaces incorrectos
4. Tamaos de directorios incorrectos
5. Fomato de inodo incorrecto
6. Bloques no contabilizados en nngn lugar
7. Comprobacin de directorios, punteros de ficheros no asignados a iodos y nmeros
de inodo fuera de rango.
8. Comprobacin de superbloques
9. Formato de lista de bloques libre errneo
10. Total de bloque libre y/o inodo incorrecto

Esta utilidad unicamente debe de ser ejecutada en modo monousuario o slamente en


sistemas de ficheros desmontados. Tener en cuenta que no se pueden desmontar / (root)
y /usr.

El programa fsck puede ejecutarse en modo interactivo y no interactivo (durante el


proceso normal de arranque).

Si no se utiliza ningn argumento, fsck comprueba aquellas entradas en el fichero


/etc/vfstab que tienen una entrada en el campo device to fsck, y tienen una entrada
numrica distinta de cero en el campo fsck pass.

Manual De Unix Solaris

Pg. 3 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

6. COPIAS SEGURIDAD Y
RECUPERACION

6.1 copias de seguridad


Hay tres principales razones para hacer copias seguridad:
1. Salaguardar la informacin contra un fallo del sistema o algn desastre natural
2. Proteger los ficheros de los usuarios contra borrados accidentales
3. Garantizar una transaccin de informacin cuando se reinstala o actualiza el sistema

6.1.1 Nombres de dispositivos de cinta


Todos los dispositivos de cinta, independientemente de su tipo, son refrenciados por sus
nombres lgicos de dispositivo. Tienen el siguiente formato:

/dev/rmt/xybn
x

Nmero de cinta lgico

Densidad de cinta (h:alta,m:media y l:baja)

Comportamiento BSD (cuando se especifica b, la unidad asume comportamiento

BSD)
n

Sin rebobinado (poniendo n al final, la cinta no se rebobinar cuando se haya


completado la accin)

Manual De Unix Solaris

Pg. 3 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

6.2 EL COMANDO UFSDUMP


El comando ufsdump se utiliza para hacer una copia de un sistema de ficheros, ya sea del
sistema completo o de ficheros y directorios individuales.

Sintaxis:
# ufsdump opciones [ argumentos ] ficheros_a_copiar

Opciones:
0-9

Especifica el nivel de copia. El nivel o es el mas bajo

Crea un fichero en lnea de nombres de ficheros volcados a cinta

Especifica el dispositivo donde se escriben los ficheros

Actualiza /etc/dumpdates con la fecha y nivel del volcado

Volcado a una cinta de cartucho y establece el factor de agrupamiento a 126


bloques

El factor de agrupamiento es el nmero de bloques de cinta (512 bytes) que se ha de


escribir antes de insertar una separacin entre bloques

Cuando ufsdump se utiliza para hacer copias de seguridad de ficheros o directorios


individuales, el nivel de copia se pondr a 0.

Es muy importante que las copias de seguridad se realicen en sistemas de ficheros


inactivos o desmontados. Por lo tanto el nivel de ejecucin debe de ser S, o por razones
de disponibilidad desmontar el sistema de ficheros. Posteriormente es recomendable
chequear el sistema de ficheros con fsck.

Manual De Unix Solaris

Pg. 3 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

6.3 EL COMANDO ufsrestore


El comando ufsrestore extrae ficheros de una copia de seguridad creada por el comando
ufsdump.
Sintaxis:
# ufsrestore opciones [ argumentos ] [ nombre_de_fichero ]

Opciones:
t

Lista el ndice de la copia de

Recupera slo los ficheros especificados

Recupera la copia de seguridad completa

Realiza una recuperacin interactiva

a fichero

Toma la informacin del ndice del fichero en lugar de la cinta

f fichero

Utiliza fichero como dispositivo de recuperacin

Presenta el camino donde son restaurados los ficheros

Manual De Unix Solaris

Pg. 3 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

7. EL PROCESO DE ARRANQUE

7.1 PROCEDIMIENTO DE ARRANQUE SOLARIS 2.X


La PROM ejecuta diagnsticos
de auto-chequeo
Fase PROM de
La PROM carga el programa

Arranque

primario de arranque (bootblk)

El prog. primario de arranque


carga el prog. secundario de
arranque (ufsboot)
El

programa

de

Fase
arranque

Programa

de Arranque

(ufsboot) carga el ncleo

Fase Inicializacin del

El nucleo se inicializa y comienza el


proceso init

nucleo

El proceso init lanza los ficheros de


comandos de control de ejecucin

Manual De Unix Solaris

Fase /sbin/init

Pg. 3 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

7.1.1 Fase PROM de Arranque


La PROM de arranque realiza los siguientes pasos durante la primera parte de la
secuencia de arranque:
1. Presenta la pantalla de identificacin del sistema. Se visualiza el modelo, tipo de
teclado, identificador de la mquina (host id), nmero de revisin de PROM, y direccin Ethernet.
2. La PROM ejecuta los diagnsticos de auto comprobacin para verificar el hardware
del sistema y la memoria.
3. La PROM de arranque lee un programa primario de arranque del sistema llamado
bootblk que contiene un lector de sistemas de ficheros ufs. La PROM puede ser programada para utilizar un dispositivo de arranque alternativo.
4. El lector del sistema de ficheros abre el dispositivo de arranque, encuentra el
programa secundario de arranque /ufsboot y lo carga en memoria

7.1.2 Fase Programa de Arranque


En este punto, el programa /ufsboot se encarga de todo
1. Despus de cargar el programa /ufsboot, la PROM de arranque carga el ncleo
(/kernel/unix).

7.1.3 Fase Inicializacin del nucleo


1. El ncleo comienza cargando mdulos utilizando el programa /ufsboot para leer los
ficheros tan pronto como se inicialice a si mismo. Cuando el ncleo ha ledo los mdulos que necesita para montar la particin root, descarga el programa /ufsboot de la
memoria, y contina inicializando el sistema utilizando recursos propios.

Manual De Unix Solaris

Pg. 3 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

7.1.4 Fase /sbin/init


1. El ncleo crea un proceso de usuario y lanza el programa /sbin/init. El programa
/sbin/init inicializa procesos utilizando informacin del fichero /etc/inittab. El proceso
init ejecuta uno o varios ficheros de comandos rc que ejecutan a su vez otros ficjheros
de comandos (/sbin/rc*).

7.2 NIVELES DE EJECUCIN DEL SISTEMA


Por defecto el sistema se ejecuta en nivel 3 (estado multiusuario completo) despus de
que el sistema ha sido arrancado correctamente.

El entorno Solaris 2.x tiene varios niveles de ejecucin que determinan varios modos de
operacin del sistema.

Nivel de

Funcin

Ejecucin
0

Nivel de monitor PROM

Modo administrativo (monousuario con varios sistemas de


ficheros montados y conexiones de usuario desactivadas)

Nivel multiusuario (sin recursos compartidos)

Nivel multiusuario (con recursos compartidos)

Actualmente no utilizado

Parada y arranque interactivo (boot a)

Rearranque oor defecto nivel de ejecucin 3

S,s

Monousuario con algunos sistemas de ficheros montados y


conexiones de usuario desactivadas

Manual De Unix Solaris

Pg. 3 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

El modo monousuario significa que el terminal de consola virtual es asignado a la consola


del sistema para ser utilizada por el superusuario. Se tiene que conocer la palabra de
paso de root para obtener el modo monousuario y ningn otro usuario podr entrar.

El modo multiusuario significa que todos los terminales definidos y demonios (daemons)
se estn ejecutando.

7.3 EL PROCESO /sbin/init


El programa /sbin/init tiene dos funciones importantes:
1. Crea procesos que tienen el efecto de llevar al sistema hasta el nivel de ejecucin por
defecto
2. Controla transacciones entre estados de ejecucin leyendo el fichero /etc/inittab

7.3.1 El fichero /etc/inittab


Las entradas de ste fichero indical al proceso int que procesos debe de crear para cada
nivel de ejecucin y qu acciones debe de tomar.

El fichero /etc/inittab define tres elementos importantes para el proceso /sbin/init


q

El nivel de ejecucin por defecto del sistema

Qu procesos hay que iniciar, monitorizar y relanzar cuando stos desaparecen

Qu acciones hay que llevar a cabo cuando un nuevo nivel de ejecucin se introduce
en el sistema.

Manual De Unix Solaris

Pg. 3 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

8. CAMBIO DEL NIVEL DE EJECUCION

8.1 PLANIFICACION DE PARADAS DEL SISTEMA


Es importante para los administradores del sistema planificar las tareas que afectan ala
capacidad de utilizacin del sistema por los usuarios.

Tareas como reemplazar hardware defectuoso o problemas que requieren una parada del
sistema no son facilmente predecibles. Las tareas rutinarias tales como mantenimiento de
los sistemas de ficheros y copias de seguridad (backups) deberan de ser programadas
de modo que los usuarios pudieran planificar su trabajo convenientemente.

Hay diferentes modos de notificar a los usuarios la ineludible parada del sistema:
q

Enviar mensajes a los usuarios que estn conectados al sistema con el comando
wall

Enviar mensajes aun grupo de usuarios con el comando rwall

Enviar mensajes por correo electrnico a los usuarios afectados.

Utilizar el fichero /etc/motd (message of the day) para enviar un mensaje a los usuarios
que van a conectarse al sistema durante el tiempo de parada.

Existen varios comandos para cambiar los niveles de ejecucin del sistema.
q

Shutdown

Init

Halt

reboot

Manual De Unix Solaris

Pg. 3 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

8.1.1 El comando shutdown


El comando /usr/sbin/shutdown es utilizado para cambiar el nivel de ejecucin del sistema.
Los procesos del sistema sern parados y los ficheros que sern desmontados, dependern del nivel de ejecucin del sistema al que se cambie. En la mayora de los casos, es
utilizado para pasar del nivel de ejecucin 3 al S. Es muy importante avisar a los usuarios
del cambio.

Si el comando shutdown es utilizado para cambiar el nivel de ejecucin del sistema al 0,


termina la ejecucin del sistema operativo. Esto significa que todos los procesos son
parados y todos los sistemas de ficheros desmontados.

Sintaxis: Shutdown [ -y] [-gseconds] [ -irun_level]

Opciones:
y

Utilizar sta opcin sirve para continuar la parada sin intervencin.. Si no se usa se
pedir confirmacin

Permite especificar el tiempo que transcurrir hasta la parada (en segundos). El


valor por defecto es 60 seg.

Permite poner el sistema en un nivel de ejecucin diferente del S.

Salir del entorno OpenWindows y cambiar al directorio / (root) antes de utilizar el comando
shutdown (como superusuario).

8.1.2 El comando init


El comando init se puede utilizar en lugar del comando shutdown para cambiar los niveles
de ejecucin del sistema. Sin embargo, el comando init no enva mensajes de aviso antes
de cambiar de nivel.

Manual De Unix Solaris

Pg. 3 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Ambos comandos shutdown e init sitan el sistema en el nivel de ejecucin especificado.

Se debe ser superusuario antes de utilizar el comando init para cambiar los niveles de
ejecucin

Opcin

Accin

Pasar el sistema a la PROM

Poner el sistema en modo monousuario donde algunos


sistemas de ficheros son montados y los usuarios desconectados

Poner el sistema en modo multiusuario (sin recursos


compartidos)

Poner el sistema en modo multiusuario (con recursos


compartidos)

Actualmente no utilizado

Parar el sistema y realizar un arranque interactivo (boot a)

Parar y rearrancar el sistema en nivel de ejecucin 3

S,s

Poner el sistema en modo monousuario donde algunos


sistemas de ficheros son montados y los usuarios desconectados

Q,q

Manual De Unix Solaris

Indicar al programa init que vuelva a leer el fichero /etc/inittab

Pg. 4 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

8.1.3 El comando halt


Utilizar el comando /usr/bin/halt es equivalente a utilizar ini 0, el cual detiene el sistema y
lleva a la PROM.

8.1.4 El comando reboot


El comando /usr/sbin/reboot detiene el sistema de forma limpia y lo lleva por defecto a
nivel de ejecucin 3, igual que el comando init 6.

Utilizar el comando reboot -- -r para rearrancar el sistema y realizar un arranque con


reconfiguracin.

8.2 LA PROM DE MONITOR


Una vez que el sistema es llevado a la PROM, utilizar el comando boot para cambiar a un
nivel de ejecucin diferente.

El comando boot requiere un argumento que represente el dispositivo de arranque, si no


hay dispositivo de arranque por defecto. El dispositivo de arranque se especifica de
diferentes formas, dependiendo de la versin de la PROM de la mquina.

8.2.1 La Open Boot PROM


El OBP (Open Boot PROM) hace referencia a la filisofia de SUN sobre sistemas abiertos.

Para identificar el nmero de versin de la PROM del sistema utilizar el comando banner.

Manual De Unix Solaris

Pg. 4 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

En funcin de la mquina la versin de OBP es diferente. Las mquinas nuevas utilizan la


versin OBP 2.0 y superiores, lo que significa que el dispositivo de arranque es especificado por su nombre fsico que se encuentra en la informacin jerrquica sobre dispositivos.

Sistemas mas antiguos utilizan la vesrsin OBP 1.x, la cual tiene caractersticas y sintaxis
diferentes a la versin de OBP 2.x

Para especificar el dispositivo de arranque en la versin de OBP 2.x, sin utilizar el nombre
de dispositivo fsico, utilizar el comando devalias para identificar posibles dispositivos de
arranque. El alias del nombre del dispositivo se especifica en el lado izquierdo de la
salida. Generalmente disk identifica el dispositivo de arranque por defecto del sistema.

Los nombres de dispositivo en el nivel de la PROM 1.x son especificados con el comando
boot utilizando un formato distinto del anterior.

Manual De Unix Solaris

Pg. 4 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

9. MANEJO DE IMPRESORAS

9.1 UTILIZACIN DE LA HERRAMIENTA DE


ADMINISTRACION DE IMPRESORAS
Si es necesario, lanzar OpenWindows
1. Arrancar la Herramienta de administracin Admintool y pulsar en el icono Printer
Manager
2. El icono Printer Manager tienen tres botones de men
q

View, el cual se utiliza para visualizar y buscar impresoras

Edit que se utiliza para aadir, modificar y borrar impresoras

Goto que se utiliza para cambiar el sistema al que pertenecen las impresoras a
visualizar o editar

9.2 COMANDOS BASICOS LP


No todas las tareas de administracin de impresoras se pueden realizar utilizando la
herramienta Printer Manager. A continuacin se describen los comandos necesarios para
manejar tareas de administracin de impresoras como:
q

Creacin de clases de impresoras

Manejo de colas de impresin y disponibilidad de impresoras

Parada e inicio del servicio de impresin LP

Manual De Unix Solaris

Pg. 4 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Los siguientes comandos son necesarios para realizar dichas tareas:

Nombre de Coman-

Descripcin

do
lp

Enva un fichero a la impresora

lpstat

Visualiza el estado del servicio de impresin

cancel

Cancela las peticiones de impresin

accept

Habilita las colas de peticiones de impresin

reject

Impide que las colas admitan mas peticiones de


impresin

enable

Permite a la impresora imprimir las peticiones

disable

Desactiva la impresin de las peticiones

lpmove

Mueve las peticiones de impresin

lpadmin

Realiza diversas tareas de administracin

Manual De Unix Solaris

Pg. 4 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10. FUNDAMENTOS TCP/IP

10.1 SERVICIOS INTERNET TCP/IP


No es posible apreciar los detalles tcnicos subyacentes de TCP/IP sin comprender los
servicios que proporciona Desde el punto de vista del usuario, TCP/IP es visto como un
conjunto de programas de aplicacin que usan la red para llevar a cabo tareas de
comunicacin.

10.1.1

Servicios Internet del nivel de Aplicacin

Los servicios mas populares del nivel de aplicacin son: el correo electrnico, la
transferencia de ficheros y la conexin remota
El correo electrnico TCP/IP permite al usuario componer memos y enviarlos a
individuos o grupos. Otra parte de la aplicacin de correo permite a los usuarios leer
memos que hayan recibido. Es posible inhabilitar la recepcin de mensajes.
Aunque existen muchos sistemas de correo electrnico, el utilizar TCP/IP hace que la
entrega de correo sea ms fiable porque no confa en que lo sistemas intermedios
retransmitan los mensajes de correo. La forma de trabajar es orientada a la conexin.
La transferencia de ficheros TCP/IP permite a los usuarios enviar o recibir grandes
ficheros de programas o datos. El sistema proporciona un modo de comprobar si el
usuario est autorizado e incluso de inhabilitar todos los accesos.
La conexin remota permite a los usuarios establecer una conexin desde su
maquina a otra maquina diferente, estableciendo una sesin interactiva.

Manual De Unix Solaris

Pg. 4 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.1.2

Servicios Internet del nivel de red

TCP/IP proporciona dos grandes tipos de servicio que todos los programas de aplicacin
utilizan: el servicio de entrega de paquetes no orientado a la conexin y el servicio de
transporte fiable de "streams" (o cadenas)

El servicio de entrega de paquetes no orientado a la conexin consiste en el


encaminamiento de pequeos mensajes de una mquina a otra basado en la informacin
de la direccin incluida en el mensaje.
Puesto que encamina cada paquete separadamente, no garantiza una entrega
"ordenada" fiable. Al tener una relacin directa de direcciones con el hardware subyacente, ste servicio es extremadamente eficiente. TCP/IP es adaptable a muchos
entornos hardware de red debido precisamente a que la entrega de paquetes no
orientada a la conexin es la base de todos sus servicios
El servicio de transporte fiable de streams o cadenas permite a una aplicacin en
un ordenador establecer una conexin con una aplicacin en otro ordenador y enviar un
gran volumen de datos, como si existiera una conexin hardware permanente entre
ambos. Este servicio garantiza la recuperacin automtica en caso de paquetes
perdidos o fallos de conmutadores intermedios existentes entre el emisor y receptor

10.1.3

Caractersticas de los servicios TCP/IP

1. Independencia de la tecnologa de red empleada. Puesto que TCP/IP se basa en la


tecnologa de conmutacin de paquetes convencional, es independiente del tipo de
hardware utilizado. A la unidad de transmisin de datos se la denomina "datagrama".

2. Interconexin universal. A cada ordenador le es asignada una direccin que es


universalmente reconocida como nica en toda la red. Cada datagrama contiene las

Manual De Unix Solaris

Pg. 4 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

direcciones fuente y destino. Los ordenadores de conmutacin intermedios usan la


direccin destino para tomar decisiones de encaminamiento.

3. Confirmacin extremo a extremo. Los protocolos TCP/IP proporcionan confirmaciones entre el fuente y el ltimo destino en vez de entre las sucesivas mquinas existentes
a lo largo del camino, incluso cuando las dos mquinas no estn conectadas a una red
fsica comn.

4. Estndares de protocolos de aplicacin. Adems de los servicios bsicos del nivel


de transporte (como la conexin fiable de cadenas), los protocolos TCP/IP incluyen
estndares para muchas aplicaciones comunes, tales como el correo electrnico, la
transferencia de ficheros o el login remoto

10.2 IENS Y RFCS DE INTERNET


La NSF (National Science Foundation) cre dentro de AT&T un grupo denominado
INTERNIC (Internet Network Information Center) para mantener y distribuir informacin sobre los protocolos TCP/IP y la Internet, as como para gestionar ciertos aspectos
administrativos de sta ltima. INTERNIC es una organizacin sucesora del NIC original
ubicado en el SRI (Stanford Research Institute)

Los resultados de los estudios de los grupos de trabajo e investigacin del IAB, las
propuestas para protocolos nuevos o revisados, as como los protocolos estndar TCP/IP,
se recogen en una serie de informes tcnicos llamados RFCs (Request For Comments). El editor de los RFCs es un miembro del IAB. Los RFCs se numeran secuencialmente en el orden cronolgico en el que se escriben.

Manual De Unix Solaris

Pg. 4 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Inicialmente tambin se publicaron una serie de informes referentes a la Internet denominados IENs (Internet Engineering Notes), ahora en desuso. Alguna informacin que
aparece en los IENs, no aparece en los RFCs.

Tanto los RFCs como los IENs pueden conseguirse a travs del correo electrnico, por
correo habitual, o a travs de la Internet

10.2.1

Como se puede obtener un RFC

Por E-MAIL indicar el nmero de RFC en el campo "subject" o una lnea que incluya la
lnea: "send rfcN.txt" y dirigir el correo a: mailserv@ds.internic.net

Por FTP hacer "login" en el dominio "ds.internic.net" (direccin IP 192.20.239.132) con


nombre de usuario "anonymous" y password "guest", posteriormente introducir el
comando "get rfc/rfcN.txt ficherolocal" (por ejemplo get /rfc/rfc821.txt rfc821.txt)

10.2.2

La pista de estndares

Cada paso adelante en la pista de estndares es propuesto por el IETF y ratificado por el
IAB. Algunos ejemplos de estndares son: SNMP cuyo RFC es el 1157 y STD es el 15,
SMI con RFC 1155 y STD 16, o MIB-II con RFC 1213 y STD 17.

Para llegar a obtener la calificacin de estndar (STD) son necesarios varios requisitos
que aparecen referenciados a continuacin:
(1)

Ser estable y bien comprendido

(2)

Ser tcnicamente competente

(3)

Estar ampliamente difundido

(4)

Ser reconocidamente til en algunas partes de la Internet o en su conjunto

Manual De Unix Solaris

Pg. 4 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

(5)

Acreditar una experiencia operacional en al menos dos implementaciones


independientes e interoperables (principal diferencia con los estndares ...............internacionales).
SE ELIMINAN LAS
DEFICIENCIAS
SE PUBLICA

ENTRADA

EXPERIMENTAL
CUMPLE (1) A (4)

PROPUESTO

6 MESES O MAS,
CUMPLE (5)

ESTADOS
TEMPORALES
ESTANDAR
BORRADOR
(DRAFT)

4 MESES O MAS, SE LE
ASIGNA UN NUMERO DE
STD

SE QUEDA
OBSOLETO

ESTANDAR
(STD)

HISTORICO

Organigrama de la pista de estndares

Manual De Unix Solaris

Pg. 4 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.3 INTERCONEXIN DE REDES EN INTERNET


La Internet est formada por un gran nmero de redes heterogneas y cooperantes
interconectadas entre s. La nica forma de conectar fsicamente dos redes heterogneas
es por medio de un ordenador que est conectado a ambas a la vez (denominados
Gateways IP o Routers IP).

La conexin fsica entre redes no garantiza la interconexin lgica entre ordenadores.


Para que dicha interconexin exista es necesario que el router se encargue de trasladar
los paquetes entre ellas

La figura muestra el esquema simple de interconexin de redes por medio de un router

RED 1

ROUTER 1

RED 2

Dos redes fsicas interconectadas por un router R

En el caso del dibujo anterior el router conecta las redes 1 y 2. La funcin de R es capturar
los paquetes de la red 1 que vayan dirigidos a la red 2 y transferirlos. De igual manera
debe capturar los paquetes de la red 2 con destino a algn ordenador de la red 1 y
transferirlos.

Los gateways IP o routers IP pueden ser ordenadores muy simples ya que intercambian
paquetes entre redes y no entre mquinas

En una gran red habitualmente los routers necesitan conocer la topologa de las redes
mas all de las cuales a las que se conectan.

Manual De Unix Solaris

Pg. 5 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Los routers IP suelen ser mquinas pequeas, con poco o ningn disco y con una
memoria muy limitada.

Su truco consiste en usar la red destino y no el host destino para encaminar un paquete.
Por lo tanto, la cantidad de informacin que un router necesita guardar es proporcional al
nmero de redes en la internet, no al nmero de ordenadores.

Son los nicos dispositivos que proporcionan conexiones entre las distintas redes fsicas
en una internet TCP/IP.

10.3.1

El punto de vista del usuario

Adems de los routers, en cada ordenador debe existir un software de acceso a la red
para permitir que las aplicaciones puedan utilizar la internet como si fuera una nica gran
red real.

Las ventajas de ofrecer la interconexin al nivel de red parecen evidentes. Puesto que los
aplicativos que se comunican por la internet no conocen los detalles de la interconexin
fsica, es posible su ejecucin en cualquier mquina de la red sin que el usuario tenga que
preocuparse por la forma en que su informacin es transportada hasta el lugar de destino.

En TCP/IP los aplicativos utilizados son los mismos en todos los nodos independientemente de la tecnologa de red utilizada o de su dimensin.

10.3.2

Todas las redes son iguales

Es importante entender un concepto fundamental: desde el punto de vista de TCP/IP,


cualquier sistema de comunicacin capaz de transferir paquetes cuenta como una nica

Manual De Unix Solaris

Pg. 5 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

red, independientemente de sus caractersticas de retraso y throughput, tamao de


paquete mximo, o escala geogrfica.

Es decir, los protocolos TCP/IP tratan todas las redes de igual manera, independientemente del soporte fsico subyacente. Una LAN como puede ser Ethernet, una WAN
como el backbone ANSNET, o un enlace punto a punto entre dos mquinas cuenta cada
una como una nica red.

Para alguien no acostumbrado a la arquitectura Internet puede encontrar algo difcil


aceptar tal visin de las redes de una manera tan simple. El concepto de red que TCP/IP
define es algo abstracto que oculta los detalles de las redes fsicas, hecho que hace a
TCP/IP extremadamente potente.

10.4 EL MODELO INTERNET TCP/IP


La segunda arquitectura de red ms importante no surgi de ningn organismo internacional de normalizacin y no es un estndar "de iure", pero si lo es "de facto".

Surgi de la investigacin de grupos privados y fue implantndose en todos los hosts que
actualmente pertenecen a lo que se denomina la Internet, sin menosprecio de mencionar
la gran cantidad de redes privadas que usan TCP/IP.

La arquitectura TCP/IP se basa en una visin de las comunicaciones de datos que


involucra tres agentes: procesos, hosts y redes

Las comunicaciones se realizan en torno a stos tres agentes en cuatro capas o niveles
relativamente independientes que se apoyan sobre un quinto nivel o hardware

Manual De Unix Solaris

Pg. 5 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

El Nivel de Aplicacin
Contiene las aplicaciones de programas de servicio de la red. Cada aplicacin
elige del nivel de inferior el estilo de transporte que necesita, bien una secuencia
de mensajes individuales o una cadena continua de bytes (streams)

El Nivel de Transporte
Tiene como misin principal el proporcionar la comunicacin entre un programa de
aplicacin y otro. Dicha comunicacin se conoce como "extremo a extremo" ("endto-end").
El nivel de transporte puede proporcionar un transporte fiable, asegurando que los
datos llegan sin error y en secuencia. La forma en que lo realiza es por medio de
"reconocimientos" (acknowledgments) y retransmisin de los paquetes perdidos.
Algunas veces ste nivel segmenta los streams del nivel superior en trozos ms
pequeos llamados paquetes y los enva al nivel inferior junto con su cabecera.

El Nivel Internet
Tiene como funcin encaminar paquetes entre distintas redes fsicas. Este nivel
est incluido tanto en los hosts como en los routers o gateways IP. Este nivel encapsula el paquete del nivel superior en un datagrama IP, rellena la cabecera que
aade al paquete, utiliza el algoritmo de routing para determinar si debe de enviar
el datagrama directamente o enviarlo a un router, y pasa el datagrama a la interfaz
de red apropiado para su transmisin.
Entre sus funciones tambin se encuentra el hacerse cargo de los datagrama
entrantes, comprobando su validez, y usar el algoritmo de routing para decidir si dicho datagrama debe de ser procesado locamente o reenviado ("forwarding").
Si el datagrama debe de ser procesado locamente, ste nivel quita la cabecera del
correspondiente nivel de la mquina remota, y elige un protocolo de nivel superior
al que enviarle el paquete.
Por ltimo, ste nivel enva mensajes de ICMP de error y control cuando es necesario y procesa todos los mensajes ICMP entrantes.

Manual De Unix Solaris

Pg. 5 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

El Nivel de Interfaz de Red o Nivel de Enlace


Est relacionado con el intercambio de datos entre un host y la red a la cual est
conectado.
El protocolo especfico que se usa en ste nivel depende del tipo de red utilizada.
Para redes de conmutacin de circuitos como por ejemplo X21, para redes de
conmutacin de paquetes como X25, para redes locales como los protocolos IEEE
802, etc. Acepta datagramas IP, pone su cabecera y los transmite a la red en forma
de tramas especficas de red
Puede consistir en un driver de dispositivo (cuando la mquina est directamente
conectado a una LAN) o en un subsistema complejo que usa su propio protocolo
de enlace de datos (por ejemplo: HDLC en redes de conmutacin de paquetes)

10.5 ALGUNOS PROTOCOLOS ESTNDAR TCP/IP


IP proporciona el servicio de envo de paquetes para TCP, UDP y ICMP
TCP est orientado a la conexin (el nico protocolo de toda la pila que lo es), es decir
facilita la transmisin full duplex de cadenas de bytes de un modo fiable.
UDP no es un protocolo fiable al no ser orientado a la conexin (connectionless)
ICMP maneja mensajes de error e informacin de control entre routers y ordenadores.
Sus mensajes son procesados por el sw. de red y no por los procesos de los usuarios
ARP asocia direcciones IP con direcciones fsicas
RARP asocia direcciones fsicas con direcciones IP

Manual De Unix Solaris

Pg. 5 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.6 DIRECCIONES INTERNET

10.6.1

Identificadores Universales

Un sistema de comunicaciones se dice universal: "si permite a cualquier host comunicarse con cualquier otro", para lo cual se necesita un mtodo universal de identificacin

Los identificadores de hosts se clasifican en: nombres, direcciones y rutas. Schoch


[1978] sugiere que el nombre - identifica lo que es el objeto, la direccin - identifica
donde est el objeto y la ruta - identifica cmo llegar hasta l.

En general la gente prefiere nombres "pronunciables" que identifiquen la mquina,


mientras que el software trabaja mas eficientemente con representaciones compactas de
identificadores que llamamos direcciones.

10.6.2

Clases de direcciones TCP/IP

Internet es una gran red fsica con estructura virtual, el formato y tamao de los paquetes,
las direcciones de los hosts, las tcnicas de entrega de paquetes, etc., son independientes del hardware.

Cada direccin IP consta de 32 bits que codifican tanto a la red como al host conectado a
la misma. Cada direccin IP es un par (netid, hostid)
Clases primarias:
Clase A -----> redes con mas de 2 16 hosts (65.536)
Clase B -----> redes con mas de 2 8 y menos de 2 16 hosts
Clase C -----> redes con menos de 2 8 hosts (256)

Manual De Unix Solaris

Pg. 5 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Puesto que los routers usan la parte netid de la direccin IP para decidir donde enviar el
paquete, dependen de la eficiencia de la extraccin para conseguir una velocidad alta.
Una de las mayores ventajas de codificar en direcciones IP es el encaminamiento
eficiente

Los routers y los hosts IP "multi-homed" poseen mas de una direccin IP. Cada direccin
IP corresponde a una de las conexiones de la maquina a la red (interfaz).

10.6.3

Direcciones de Broadcast y de Red

Otra ventaja de codificar en direcciones IP, es que stas pueden referirse tanto a redes
como a hosts. Por convencin un hostid = 0 codifica la red en si misma (ejemplo:
192.1.1.0)

Tercera ventaja significativa: incluye una direccin de "broadcast" para referirse a todos
los hosts de una red. Aunque no todas las redes soportan el broadcast.

La direccin de broadcast se obtiene a partir de la mscara de red. Segn el estndar


una direccin de broadcast tiene un hostid con todos los bits a 1.

El formato por defecto es: NUMERO DE RED + TODO 1s, aunque en versiones BSD 4.2
y ULTRIX 32 anterior a la versin 1.2 todos los 1s deben de ser cambiados por 0s.
Ejemplo:
Direccin IP: 128.50.100.100
Mscara de red: 255.2555.0.0
Direccin de broadcast: 128.50.255.255

Formalmente la direccin de broadcast estndar se obtiene de la siguiente manera, la


primera se refiere al estndar, la segunda a la versin de Berkeley citada:
1) DIRECCION BROADCAST = NOT (MASCARA RED) (DIRECCION IP)

Manual De Unix Solaris

Pg. 5 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

2) DIRECCION BROADCAST = (MASCARA DE RED) (DIRECCION IP)

10.6.4

Broadcast limitado y broadcast directo

El broadcast anteriormente descrito se denomina "directo" porque contiene tanto un


netid valido, como un hostid de broadcast. El broadcast directo permite a un sistema
remoto enviar un paquete que ser difundido en la red especificada por el netid. La
desventaja se encuentra en que se requiere conocer la direccin de la red

La direccin del "broadcast limitado" proporciona una direccin de broadcast para la


red local, independiente de la direccin IP asignada. La direccin de broadcast limitado
consta de 32 bits 1

Uno de los usos del broadcast limitado es cuando un host para conocer su direccin IP
propia, en el procedimiento de arranque hace un polling al resto de los hosts. Una vez que
conoce su direccin debe utilizar el broadcast directo.

10.6.5

Interpretacin de 1s y 0s

Un campo con todo 1s puede ser interpretado como "todos", el ejemplo: "todos hosts" en
una red al hacer broadcasting. En cambio, internet en general interpreta un campo todo a
0s como "este".

Una direccin IP con hostid = 0 se refiere a "este" host, y una direccin internet con un
valor de netid = 0 se refiere a "esta" red

El usar netid = 0 es especialmente til cuando un host que no conoce su direccin IP


quiere comunicarse por la red con otro host.

Manual De Unix Solaris

Pg. 5 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.6.6

Inconvenientes en el direccionamiento IP

Si una maquina cambia su ubicacin de una red a otra, su direccin IP debe cambiar.
Esto es un gran inconveniente para la gente que viaja con porttiles o para instalaciones
temporales como parte de una red

Cuando una red de clase C crece a mas de 255 hosts, la clase debe de cambiar, con la
perdida de tiempo que conlleva el proceso

El camino que toman los paquetes que se dirigen a un host con mas de una direccin IP,
depende de la direccin usada. No es suficiente con conocer tan solo una de las
direcciones IP en un host "multi-homed"

10.6.7

Notacin decimal punteada

Normalmente las direcciones IP se escriben como 4 enteros decimales separados por


puntos decimales (por ejemplo: 10000000 00001010 00000010 00011110, se escribe
128.10.2.30). Muchas funciones en UNIX utilizan esta notacin: NETSTAT, TELNET, FTP
y otras.

Clase

Direccin inferior

Direccin superior

0.1.0.0

126.0.0.0

128.0.0.0

191.255.0.0

192.0.1.0

223.255.255.0

224.0.0.0

239.255.255.255

240.0.0.0

247.255.255.255

La direccin de "loopback" nunca debe de aparecer por la red. Cuando un programa


utiliza la direccin de loopback como destino, el software del ordenador devuelve los
datos sin enviar por la red. La 127 realmente no es una direccin de red

Manual De Unix Solaris

Pg. 5 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

El esquema de direccionamiento internet expuesto en este tema se encuentra especificado en "Reynolds and Postel" [rfc 1700] y para mas informacin en "Stahl, Romano
and Decker" [rfc 1117]

10.6.8

IANA e INTERNIC

Para asegurar la unicidad de una direccin internet, esta debe de ser asignada por una
autoridad central "IANA" (Internet Assigned Number Authority) tiene la ultima palabra en la
asignacin de nmeros, adems de dictar la poltica a seguir en un futuro

Cuando una organizacin se une a internet puede obtener la direccin del "INTERNIC"
(Internet Network Information Center). Una vez que la organizacin obtiene el prefijo de su
red, se van asignando los nmeros segn la poltica de sta sin depender del organismo
central, por ejemplo: IBM tiene asignada la 9.0.0.0 (clase A) y AT&T la 12.0.0.0 (clase A)

INTERNIC normalmente otorga la clase C. Aunque la red sea privada, es muy recomendable, en prevencin de una conexin futura, pedir el prefijo a INTERNIC. La forma de
contactar: mailserv@ds.internic.net

10.7 EXTENSIONES DE DIRECCION DE SUBRED Y SUPER


RED

10.7.1

Minimizacin de los nmeros de red

En principio el esquema de direccionamiento original de IP parece muy bueno, pero tiene


un pequeo punto dbil: el imprevisible crecimiento desmesurado de la red.

Manual De Unix Solaris

Pg. 5 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Cuando se cre TCP/IP, el entorno en el que se trabajaba era de grandes mainframes y


los diseadores previeron una internet con cientos de redes y cientos de hosts.

Lo que no pudieron prever fue el auge espectacular que tuvo la red a partir de los ltimos
aos 80. Crecieron decenas de cientos de redes pequeas muy rpidamente.

El tamao de la red se ha duplicado cada aproximadamente 9 meses. Esto conlleva una


serie de cosas importantes a tener en cuenta.
1. Se requiere un trabajo adicional para gestionar las grandes cantidades de nmeros de
red distintos. Segundo, las tablas de routing aumentan considerablemente al aumentar
el nmero de redes. Tercero, el espacio de direcciones tarde o temprano terminar
agotndose.
2. Es importante saber que a mayor tamao de tabla de routing, mayor informacin de
control viajar por la red creando una disminucin en el trfico de datos de las
aplicaciones que utiliza el usuario. Adems el tiempo de proceso de los routers ser
bastante mayor.
3. El tercer problema es crucial porque el esquema original de direcciones es
insuficiente: Por ejemplo el nmero de clases B que quedan por asignar donde se
encuadran las redes de tipo medio, en la actualidad es muy bajo.

Por lo tanto la pregunta que surge es: "Cmo es posible minimizar el nmero de
direcciones de red asignadas, especialmente de clase B, sin destruir el esquema de
direccionamiento original?".

La solucin mas obvia es compartir el mismo prefijo de red IP por varias redes
fsicamente diferentes. Para minimizar el nmero de direcciones B se pueden usar en su
lugar clases C.

Manual De Unix Solaris

Pg. 6 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Por supuesto se deben de modificar los procedimientos de routing y todas las mquinas
conectadas a la red deben de tener conocimiento de ello a travs de las tablas de routing
y de sus ficheros de configuracin.

La idea de compartir una direccin de red entre mltiples redes no es nueva y ha


conducido a varios caminos posibles, uno de ellos es la creacin de subredes IP

10.7.2

Direccionamiento de subred

La tcnica usada para permitir que una nica direccin de red pueda ser utilizada por
varias direcciones fsicas es el direccionamiento de subred, encaminamiento, routing de
subred, o "subnetting"

El subnetting es las mas usada de las tcnicas porque es la mas general y porque ha sido
estandarizada. De hecho el subnetting es una parte del direccionamiento de IP. Es decir
de la porcin de direccin IP que corresponde a la identificacin del host, se toma una
parte para el nmero de subred.

En realidad la direccin IP se divide en dos, una porcin internet y otra de mbito local
(identificador de subred si existe e identificador de host).

El resultado es una forma de direccionamiento jerrquico. Su ventaja es que es flexible al


crecimiento puesto que un router no tiene porqu conocer tantos detalles de los destinos
remotos como lo hace de los locales. La desventaja de la estructura jerrquica es que una
vez establecida es difcil cambiarla por otra.

Manual De Unix Solaris

Pg. 6 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.7.3

Implementacin de subredes con mscaras

La forma de indicar el nmero de bits que van a ser asignados a la direccin IP es por
medio de la mscara de red.

Es sencillo, la mscara tendr tantos 1s como bits de direccin internet y bits asignados a
la subred. La colocacin de stos bits 1 en la mscara de subred ser la misma que los
bits de la direccin IP que se acaban de mencionar.

Por ejemplo, la mscara por defecto (sin subred) de una clase B sern 16 bits 1 seguido
por 16 bits cero (11111111

11111111

00000000

0000000)

Si en una direccin de clase B decidimos tener 8 bits para las subredes y otros 8 para los
posibles hosts existentes en cada subred, la mscara obtenida ser la siguiente:
11111111

11111111

11111111

0000000

Es interesante saber que la mscara de subred no exige que el nmero de bits 1 sean
contiguos, usando por ejemplo los 8 bits para la subred podramos de forma diferente a la
anterior establecer la siguiente mscara de subred: 11111111 11111111 10100011
1110010

No es muy recomendable que los bits sean no contiguos porque la asignacin de


direcciones de red y la comprensin de las tablas de routing pueden ser engaosas.

10.7.4

Representacin de la mscara de subred

El representar las mscaras de red en binario produce errores y es incmodo para los
humanos, por lo que la mayora del software permite representaciones alternativas.

Manual De Unix Solaris

Pg. 6 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

La notacin decimal tambin se usa para la representacin de las mscaras de subred y


funciona mejor cuando se elige una representacin de subnetting con lmites de octetos.
Por ejemplo en una instalacin con clase B, la mscara de subred sera la 255.255.255.0,
haciendo fcil su escritura y comprensin.

A lo largo de la literatura de Internet tambin existen ejemplos de direcciones de subred y


mscaras de subred representadas en un conjunto de tres elementos separados por
comas y entre llaves: {<nmero de red>, <nmero de subred>, <nmero de host>}.

En sta representacin el valor -1 significa "todo unos". Por ejemplo, si la mscara de


subred par una clase B es 255.255.255.0, puede escribirse {-1,-1,0}.

La principal desventaja de sta representacin es que no especifica exactamente se usan


para cada direccin.

La ventaja es la abstraccin de los detalles de los campos de bits y enfatiza los valores de
las tres partes de la direccin.

Un ejemplo para ver que algunas veces los valores son mas importantes que los campos
de bits, considrese el conjunto de tres elementos: {128.10,-1,0}, que denota una
direccin de red 128.10, todo 1s en el campo de subred y todo 0s en el campo del host.

Expresar el mismo valor de direccin usando otras representaciones requiere una


direccin IP de 32 bits y una mscara de 32 bits, y fuerza a los lectores a decodificar los
campos de bits antes de que puedan deducir los valores individuales de los campos.
Adems esta representacin es independiente de la direccin IP o del tamao del campo
de la subred.

En general puede expresarse para representar conjuntos de direcciones o ideas


abstractas, por ejemplo: {<nmero de red>,-1,-1}, denota "direcciones con un nmero

Manual De Unix Solaris

Pg. 6 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

vlido de red, un campo de subred con todo a 1s y un campo de host tambin con todo a
1s" (direccin de broadcast).

10.7.5

Mantenimiento de mascaras de subred

Cuando los responsables de la red planifican su instalacin deben de considerar cosas


como el tamao de las redes, nmero de redes fsicas, crecimiento esperado y facilidad
de mantenimiento.

Las dificultades comienzan cuando se utilizan mscaras de red no uniformes dando una
mayor flexibilidad a la red, aunque con sto se consigue que sean posibles asignaciones
que conduzcan a rutas ambiguas. O incluso peor, permiten asignaciones que llegan a ser
invlidas si se aaden mas hosts a las redes.

Con todo sto parece claro que es recomendable seguir polticas conservadoras a la hora
de elegir mscaras de subred. Tpicamente se seleccionan bits contiguos para la
direccin de subred y se utiliza la misma particin (es decir la misma mscara) para
todas las redes fsicas restantes. Por ejemplo, muchas instalaciones utilizan un octeto de
subred cuando la clase es la B.

10.7.6

Broadcast a subredes

El broadcast es mas difcil en la arquitectura de subred. En el esquema estndar todo 1s


en la parte del host de la direccin IP denotaba broadcast a todos los hosts de la red
especificada.

Desde el punto de vista del observador exterior a la subred, el broadcast a una subred
tambin tiene sentido.

Manual De Unix Solaris

Pg. 6 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

La direccin {red, -1,-1} significa "entrega una copia a todas las mquinas que tengan red
como su direccin de red, incluso si estn en redes fsicas separadas".

Operacionalmente, el broadcast tiene sentido si los routers que interconectan las


subredes permiten propagar el datagrama a todas las redes fsicas

Dentro de un conjunto de subredes, es posible hacer un broadcast a una subred


especfica. La direccin de broadcast sera: {red, subred,-1}

10.7.7

Direccionamiento de super red (Supernetting)

El direccionamiento de subred se invent al principio de los 80 como ayuda a la


conservacin del espacio de direcciones IP. Antes de 1993, ya era evidente que el
subnetting no solucionara el rpido crecimiento de la red y con ello la falta de espacio de
direcciones IP.

Se ha desarrollado para tal fin entre otros una nueva versin de protocolo IP, el IP versin
6 (IPv6). Sin embargo como solucin a corto plazo hasta la estandarizacin e
implantacin definitiva, se busco una nueva solucin, el supernetting.

El esquema del supernetting es el opuesto al del direccionamiento de subred. En vez de


usar una nica direccin de red IP para mltiples redes fsicas de una organizacin
determinada, el supernetting permite el uso de muchas direcciones de red IP para una
misma organizacin.

Para entender porqu se adopt el supernetting, es necesario conocer tres hechos.


1. IP no divide las direcciones de red en clases por igual. Se pueden asignar menos de
17 centenas de nmeros con clase B, existen mas de 2 millones de nmeros de red
con clase C.

Manual De Unix Solaris

Pg. 6 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

2. Las peticiones de clases C han sido muy pocas, por lo que se han asignado un
pequeo porcentaje del total.
3. Al ritmo que se estaban asignando las direcciones de clase B se hubieran acabado en
unos pocos aos. El problema lleg a ser conocido como el problema ROADS
(Running Out of ADdress Space).

Si se considera una organizacin de tamao medio que est conectada a la Internet, sta
preferir utilizar una clase B a una clase C puesto que el nmero de mquinas que puede
poner en cada red fsica es mayor, adems tiene un espacio apropiado para el
subnetting.

Para conservar las pocas direcciones de clase B existentes, el esquema de supernetting


asigna a una organizacin un bloque de direcciones de clase B en vez de un sola de clase
B.

El bloque debe de ser suficientemente grande como para numerar todas las redes que la
organizacin conecte a la Internet.

Por ejemplo supngase que una organizacin pide una direccin de clase B para as
poder utilizar un octeto para el subnetting. En vez de una nica clase B, el supernetting
asigna a la organizacin un bloque de 256 nmeros de clase C que la organizacin puede
luego asignar a sus redes fsicas.

Principalmente el esquema del supernetting se cre orientado a los proveedores de


servicio de la red Internet, de tal forma que fueran stos los que controlasen las
asignaciones del bloque de direcciones de clase C que daban a sus clientes.
login remoto y telnet

Manual De Unix Solaris

Pg. 6 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.7.8

Protocolo TELNET

El conjunto de protocolos TCP/IP incluye un sencillo protocolo de terminal remoto


denominado TELNET (emula un terminal local con todas sus funciones). Sigue el modelo
cliente-servidor.

TELNET permite a un usuario en una mquina A establecer una conexin TCP con un
servidor de login en otra mquina B. El servicio es transparente puesto que da la
apariencia que el teclado del usuario y la pantalla estn directamente conectados a la
mquina remota

Aunque TELNET no es tan sofisticado como otros protocolos de terminal remoto, se


encuentra disponible en todas las mquinas TCP/IP.

Normalmente el software de cliente TELNET permite al usuario especificar una mquina


remota mediante su direccin IP o mediante su nombre de dominio.

TELNET ofrece tres servicios:


1. Define un terminal virtual de red (NVT) que proporciona una interfaz estndar a
sistemas remotos. Los programas cliente no tienen que entender los detalles de todos
los sistemas remotos posibles, sino que estn construidos para entender la interfaz
estndar.
2. Incluye un mecanismo que permite al cliente y al servidor negociar opciones, y
proporciona un conjunto de opciones estndar (por ejemplo: una de las opciones
controla si los datos que pasan a travs de la conexin utilizan el conjunto de
caracteres ASCII de 7 bits estndar o el conjunto de caracteres de 8 bits).
3. Trata ambos finales de la conexin simtricamente. En particular, TELNET no obliga al
cliente a mostrar la salida en pantalla. Por lo tanto, TELNET permite a un programa
arbitrario ser un cliente. Adems cualquiera de los dos finales puede negociar las
opciones.

Manual De Unix Solaris

Pg. 6 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

La siguiente figura muestra como los programas de aplicacin implementan un cliente y


un servidor TELNET

cliente lee
del terminal

cliente
TELNET

servidor recibe del cliente

cliente enva al
servidor

Sistema OPerativo

servidor
TELNET

Sistema Operativo

Workstation

servidor enva
al pseudo terminal

dispositivo de E/S
del usuario

TCP/IP Internet

Las lneas muestran el camino de datos que se sigue en una sesin de terminal remoto
TELNET desde el teclado del usuario al sistema operativo remoto. El aadir un servidor
TELNET a un sistema de tiempo compartido normalmente requiere modificar dicho
sistema operativo.

Como muestra la figura, cuando un usuario invoca TELNET, un programa de aplicacin en


la mquina del usuario se convierte en el cliente. El cliente establece una conexin TCP
con el servidor con el que se va a comunicar.

Una vez que la conexin ha sido establecida el cliente acepta secuencias de caracteres
desde el teclado del usuario y las enva al servidor, mientras que concurrentemente acepta
caracteres que el servidor enva de vuelta y las muestra en pantalla del usuario.

Manual De Unix Solaris

Pg. 6 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

El servidor debe aceptar una conexin TCP del cliente y luego retransmitir los datos entre
la conexin TCP y el sistema operativo local.

En la prctica el servidor TELNET es mucho mas complejo de lo que muestra la figura


porque debe de manejar mltiples peticiones simultneamente.

Se utiliza el trmino pseudo terminal

para describir el punto de entrada al sistema

operativo que permite a un programa en ejecucin como el servidor TELNET transferir


caracteres al sistema operativo como si proviniesen del teclado.

Es imposible construir un servidor TELNET a menos que el sistema operativo proporcione


dicha facilidad. Si el sistema operativo soporta la abstraccin de pseudo terminal, el
servidor TELNET puede ser implementado con programas de aplicacin.

El hecho de que el servidor TELNET sea un programa del nivel de aplicacin tiene
ventajas e inconvenientes. La ventaja mas obvia es que puede es posible realizar
modificaciones y control del servidor mas fcilmente que con cdigo incluido en el
sistema operativo. La desventaja es la ineficiencia.

Otras caractersticas del protocolo TELNET:


El servidor TELNET tiene una puerta preestablecida (23) aunque pueden crearse
nuevas puertas.
Se establece un canal por sesin
Permite enviar caracteres de control especiales al servidor, para lo cual van
precedidos de un byte todo a 1s.
Utiliza la capacidad de envo fuera de banda.
La negociacin de las opciones es totalmente simtrica.

Manual De Unix Solaris

Pg. 6 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.7.9

Rlogin (UNIX BSD)

Los sistemas operativo derivados del BSD UNIX incluyen un servicio de login remoto
mediante el programa rlogin que da servicio a los trusted hosts .

Permite a los administradores de sistemas elegir un conjunto de mquinas en las cuales


se comparten protecciones de accesos a ficheros y a nombres de usuarios y se
establecen equivalencias de logins de usuario.

Los usuarios pueden controlar los accesos a sus cuentas desde mquinas remotas. En
funcin del host y del login. Por lo que es posible que un usuario con nombre de login X en
una mquina pueda acceder a otra en la que el nombre de login sea Y sin tener que volver
a introducir la password.

Una variante del comando rlogin es rsh . Este invoca un intrprete de comandos en la
mquina UNIX remota y pasa los argumentos de la lnea de comandos al intrprete de
comandos, saltndose el paso de login por completo. La sintaxis de ste comando es:
% rsh mquina comando

10.8 TRANSFERENCIA Y ACCESO A FICHEROS (FTP, TFTP,


NFS)

10.8.1

FTP, protocolo de transferencia de ficheros TCP/IP

La transferencia de ficheros ese encuentra entre las aplicaciones TCP/IP mas


frecuentemente utilizadas.

Antes de que TCP/IP estuviese operativo ya existan protocolos de transferencia de


ficheros para la ARPANET. Estas versiones de software de transferencia de ficheros

Manual De Unix Solaris

Pg. 7 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

iniciales evolucionaron al estndar actual conocido como el Protocolo de Transferencia


de Ficheros (FTP).

FTP ofrece las siguientes posibilidades:

Posibilita la transmisin de ficheros de texto y binarios entre dos mquinas

Posibilita una gestin bsica de ficheros y directorios (copiar, borrar, renombrar, etc.)

Seguridad de acceso mediante LOGIN y PASSWORD

Acceso interactivo (proporciona a los humanos el interactuar con los servidores


remotos de ficheros)

FTP permite al cliente especificar el tipo y formato de los datos almacenados.

Como otros servidores la mayora de las implementaciones de FTP permiten el acceso


concurrente a mltiples clientes. Los clientes utilizan TCP para conectarse al servidor
(FTP utiliza TCP para intercambiar informacin de control y datos).

FTP dispone de un conjunto estndar de comandos que permiten establecer la conexin,


manipular ficheros y directorios, definir el tipo de transferencia, etc. Los comandos se
suelen abreviar con tres o cuatro caracteres (GET, MODE, MKD, ...).

Las respuestas estn formadas por un cdigo numrico de tres dgitos y una cadena de
caracteres (por ejemplo: 200 PORT COMMAND OKAY)

10.8.2

Visin de FTP por el usuario

Los usuarios ven FTP como un sistema interactivo. Una vez invocado, el cliente ejecuta
las siguientes operaciones repetidamente: leer una lnea de entrada, analizar la lnea para
extraer un comando y sus argumentos, y ejecutar el comando con los argumentos
especificados.

Manual De Unix Solaris

Pg. 7 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.8.3

FTP annimo

La autorizacin de acceso necesaria para ejecutar FTP en una mquina remota prohiben
a un cliente arbitrario acceder a los ficheros de esa mquina y le obligan a obtener un
login y una password.

Para proporcionar acceso a ficheros pblicos, muchas mquinas TCP/IP permiten el FTP
annimo. El acceso FTP annimo implica que un cliente no necesita una cuenta o
password. En su lugar, el usuario especifica como login anonymous y password
guest.

El servidor permite logins annimos pero restringe los accesos a los ficheros pblicos del
sistema. En muchos sistemas UNIX el servidor crea un pequeo sistema de ficheros
pblico (p. ej. : /usr/ftp).

10.8.4

TFTP

Aunque FTP es el protocolo de transferencia de ficheros mas general en el conjunto de


protocolos TCP/IP, tambin es el mas complejo y difcil de programar.

Muchas aplicaciones no necesitan toda la funcionalidad que FTP ofrece. Por ejemplo FTP
requiere que los clientes y servidores manejen varias sesiones simultneas TCP, algo que
puede ser difcil o imposible para los ordenadores personales que no tienen sistemas
operativos sofisticados.

TCP/IP contiene un segundo protocolo de transferencia de ficheros que proporciona un


servicio barato y nada sofisticado. Se conoce como TFTP (Trivial File Transfer
protocol), y se utiliza para aplicaciones que no necesitan interacciones complejas entre
cliente y servidor.

Manual De Unix Solaris

Pg. 7 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

TFTP restringe las operaciones sencillas operaciones de transferencia de ficheros y no


proporciona autenticacin.

A diferencia de FTP, TFTP:

No dispone de seguridad de acceso (ni login, ni password)

Utiliza UDP en lugar de TCP para transmitir la informacin (a diferencia de FTP no


necesita un sistema fiable de entrega de paquetes, utiliza timeout y retransmisin)

No permite sesiones concurrentes desde una mquina a otra

Es un protocolo mucho mas sencillo y cuyo cdigo ocupa mucho menos espacio que FTP.
Es utilizado frecuentemente en mquinas que no poseen disco, en el proceso de
arranque, para ello los fabricantes pueden codificar TFTP en ROM y as obtener la imagen
inicial de memoria cuando la mquina arranca. El programa en ROM se denomina
bootstrap.

La parte emisora transmite un fichero en bloques de longitud fija (bloques de 512 bytes) y
espera un ACK para cada bloque antes de enviar el siguiente. El receptor reconoce cada
bloque bajo recibo.

Las reglas para TFTP son sencillas. El primer paquete enviado pide una transferencia de
fichero y establece una comunicacin entre el cliente y el servidor. En el paquete se
especifica un nombre de fichero y si el fichero va a ser ledo (transferido al cliente) o
escrito (transferido al servidor).

Los bloques se numeran consecutivamente comenzando en 1. Cada paquete de datos


contiene una cabecera que especifica el nmero del bloque que lleva, y cada ACK
contiene el nmero de bloque reconocido. Un bloque de menos de 512 bytes seala el fin
del fichero.

Manual De Unix Solaris

Pg. 7 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

10.8.5

NFS

NFS (Network File System) fue inicialmente desarrollado por SUN Microsystems.
Proporciona un acceso on-line a ficheros compartidos que es transparente e integrado.
Muchas mquinas TCP/IP utilizan NFS para interconectar los sistemas de ficheros de sus
ordenadores.

Desde el punto de vista del usuario, NFS es casi invisible, los nombres de los ficheros no
indican si son locales o remotos y el usuario puede integrar cualquier fichero en sus
aplicaciones.

El mecanismo de acceso al fichero acepta la peticin y automticamente lo pasa al


sistema de ficheros local o al cliente de NFS dependiendo de si el fichero se encuentra en
un disco de la mquina local o remota.

Manual De Unix Solaris

Pg. 7 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11. CONOCIMIENTOS BASICOS DE


SEGURIDAD UNIX

11.1 FUNDAMENTOS DE SEGURIDAD


Un ordenador es seguro cuando se puede depender de l, y su software se comporta tal
y como se espera

La seguridad abarca tres grandes reas:

Secreto: Proteger la informacin de revelar algo no autorizado.

Integridad: Proteger la informacin de modificacin no autorizada o destruccin.

Disponibilidad o continuidad de servicio: Preservar el ordenador de interrupciones el


100% del tiempo

11.1.1

Seguridad y Unix

"UNIX no fue diseado desde el principio para ser un sistema especialmente seguro sino
con las caractersticas necesarias para hacer a la seguridad servible" (Dennis Ritchie)

Durante sus 15 primeros aos UNIX fue utilizado en entornos entonces seguros como
eran las universidades y empresas industriales

Casi todos los fallos que se han encontrado en UNIX a lo largo de los aos se han debido
a programas individuales, o a interacciones entre ellos y no en conceptos bsicos UNIX

Manual De Unix Solaris

Pg. 7 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Desdichadamente, a causa de su diseo, una nica fisura en un programa del sistema


puede comprometer la seguridad del sistema operativo completo

11.1.2

Seguridad o funcionalidad?

Es mas difcil de conseguir un sistema seguro que un sistema que trabaje correctamente,
comparemos ambos tipos de errores de forma resumida.

Errores de funcionalidad:

Raramente son fatales para la operacin global del sistema

Tienden a ser localizados con funciones especficas del sistema

Errores de seguridad:

Un error cualquiera puede ser fatal para la seguridad de todo el sistema

Los intrusos no intentan evitarlos sino que los provocan an conocedores de ello

Tienden a afectar al funcionamiento del sistema en su totalidad

11.1.3

Seguridad externa

Los controles de la seguridad externa se dividen en tres clases principalmente:


q

Seguridad fsica - Espacios acristalados, cerraduras, guardias de seguridad, etc.

Seguridad personal - Comprobaciones de chequeo personal, tests de polgrafo,


chequeos electromagnticos, evaluaciones mdicas, etc.

Seguridad por procedimiento - Se trata de controlar varios factores:


1. El acceso humano y de mquinas
2. La entrada y salida electrnica y fsica
3. La administracin diaria del sistema

Manual De Unix Solaris

Pg. 7 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11.1.4

Seguridad interna

Los controles de la seguridad interna protegen la informacin de las amenazas contra el


sistema. Se dividen en dos categoras:
1. Los responsables de mantener la seguridad del sistema
2. El resto

Componentes de la seguridad interna:

El personal encargado (administradores del sistema, red y seguridad, y operadores)

El sistema operativo

Los ficheros y procesos del sistema

El hardware de seguridad (ordenadores con llave, cajas blindadas, etc. )

Los soportes de la informacin (cintas, discos pticos y otros medios)

11.1.5

Concepto de "trust"

Es el grado de confianza depositado en los diferentes elementos internos y externos al


sistema. Tpicamente existen dos figuras: la del usuario "trust" y la del sistema "trust". Es
criterio del Administrador del sistema o del administrador de seguridad el dar el carcter
de "trust" a un usuario a un sistema.

Usuario trust

Los usuarios deben de ser "Trustworthy" (Fiables)

Los sistemas no pueden proteger los datos de un usuario que los quiera revelar.

Identificacin - proceso de verificar que el usuario es quien dice que l es.

Tipos de identificacin del usuario:

Sobre lo que sabe (password, identif. de usuario, etc. )

Sobre lo que tiene (tarjeta de identificacin, tarjeta codificada, etc.)

Sobre lo que es (foto, huella, identificacin de retina, de voz, etc.)

Manual De Unix Solaris

Pg. 7 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Sistema trust

Los programas de ordenador no son completamente fiables

Los sistemas deben de restringir el acceso de incluso los programas de usuarios


confiables.

En cada ordenador de la red existe una tabla que contiene los sistemas y usuarios
"Trustworthy" (Fiables)

En un sistema puede coexistir software de distinta naturaleza que puede ser dividido en
tres categoras:
1. Software fiable: - Responsable de mantener la seguridad en el sistema
2. Software benigno - No es responsable de mantener la seguridad, pero tienen acceso
a informacin delicada
3. Software maligno - Software de origen desconocido, probable que afecte al sistema

11.2 AMENAZAS A UN SISTEMA


Hackers.

Personas dispuestas a burlar la seguridad del sistema o de la red.

Virus

Programas que modifican otros programas en un ordenador, insertando


copias de ellos mismos

Bombas

Cdigo oculto en un programa, que desencadena una indeterminada


reaccin en un momento determinado

Gusanos

Programas que se propagan de ordenador en ordenador en una red, sin


modificar necesariamente otros programas en las mquinas destino

Bacterias

Programas que hacen copias de ellos mismos para sobrecargar el sistema

Puertas traseras

Permiten un acceso no autorizado al sistema

Caballos de Troya

Programas que aparentan tener una funcin, pero que en


realidad tienen otra muy distinta

Manual De Unix Solaris

Pg. 7 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11.3 PROTECCION DE FICHEROS

11.3.1

Mascara de proteccin

La proteccin de ficheros se basa en los valores tomados por cada terna de elementos
(r,w,x) de los parmetros usuario, grupo y otros (u,g,o). Su representacin es en octal

Las protecciones se cambian con chmod, chown, umask, o mediante llamadas al sistema.

Existen adems modos especiales que pueden ser un agujero importante si no son
usados correctamente y con cuidado
1. Modo 1000: a 1 el STICKY bit
2. Modo 2000: a 1 el GROUP ID (GID) bit
3. Modo 4000: a 1 el USER ID (UID) bit

Modo 1000 - el Sticky bit

Usado para programas ejecutados frecuentemente

Guarda espacio de swap de un programa incluso cuando no est siendo


ejecutado

Mejora el tiempo de comienzo de un programa

Se reconoce con una t en el bit de permiso de ejecucin

Modo 2000 - el GID bit

Establece la ID de grupo efectivo igual a la identificacin de grupo del


propietario

Se usa con programas tales como /usr/bin/lpq (visualiza la cola de impresin)

Se conoce con una s en el bit de permiso de ejecucin de grupo

Manual De Unix Solaris

Pg. 7 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Modo 4000 - el UID bit

Establece la ID efectiva de usuario del proceso igual a la identificacin de


usuario del propietario

Necesario para programas tales como /bin/passwd o /bin/mail

Se reconoce con una s en el bit de permiso de ejecucin de usuario

A continuacin se muestra un ejemplo de lo peligroso que puede ser crear una shell con
SUID/SGID (set UID bit / set GID bit)

% su

Password:

# cp /bin/sh mish
# chmod 6755 mish
# ls -l mish
-rwsr-sr-x

root

45056 Sep 21 13:01 mish

# ^D
%
% ls -l seguro
-rw-------

root

63 Sep 19 17:41 seguro

% cat seguro
safe: Permission denied
% mish
$ cat seguro
Este fichero pertenece a root y no puede ser leido por nadie mas
$ ^D
%

Otro gran agujero se crea cuando existen ficheros suid con permiso de escritura. Todo lo
que un intruso necesita hacer es copiar su fichero en el fichero del mismo nombre o
realizar modificaciones sobre el ya existente y convertirlo en peligroso para el sistema
(!!!).

Manual De Unix Solaris

Pg. 8 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11.3.2

Directorios con Sticky bit y UID bit

Solamente el superusuario puede activar el sticky bit de los ficheros del sistema
# chmod mugo fichero

Un usuario puede activar el sticky bit de un directorio que le pertenezca


$ chmod 1754 directory_file

Si el sticky bit esta activado en un directorio, nicamente el propietario del fichero, el


propietario del directorio, o un usuario con los privilegios apropiados puede borrar los
ficheros que pertenecen al directorio

Para localizar todos los directorios de un usuario que contengan el sticky bit podemos
usar "find"
# find / -user usuario -perm 1000 -exec ls -ld {} \ ; | mail root

Si el UID bit esta activado en un directorio, el directorio es oculto

11.3.3

Algunos defectos de proteccin en

ficheros Unix

El acceso de escritura tambin permite el acceso de borrado

No existe proteccin para los errores del superusuario

Bajo nivel en general de detalle de proteccin

No existe mas de una versin para cada fichero

Manual De Unix Solaris

Pg. 8 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11.3.4

Caballos de Troya

Normalmente usan tcnicas de SUID y SGID para perpetrar sus acciones. El objetivo es
normalmente incluir el segmento troyano dentro de un programa o script que va a ser
ejecutado

Los juegos son un medio habitual puesto que es fcil pensar que el usuario este tentado a
probar un juego desconocido

Si un directorio no posee permiso de escritura, el intruso puede crear un fichero dentro de


l y esperar a que el usuario ejecute el fichero

Si adems de no protegido para escritura, el directorio est en el camino por defecto o


"casa" (home) del usuario, ste est mas que preparado para ser atacado por un caballo
de Troya

Los ficheros sin proteccin de escritura estn invitando a la modificacin total o parcial.

11.3.5

Precauciones con el fichero de passwords

Normalmente puede ser ledo por cualquier usuario. Es uno de los primeros lugares donde
mira el intruso

Aparecen en el todos los usuarios, con lo que el intruso tendr una buena informacin
para saber donde se mete

Con tiempo las palabras encriptadas pueden llegar a ser descubiertas

Manual De Unix Solaris

Pg. 8 2

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11.3.6

Programas mascarada

Simulan ser otro programa cualquiera, por lo general del sistema o de un servicio

Los programas "login" suelen ser un objetivo comn para este tipo de programas

Relativamente fciles de detectar y contra los que protegerse

Normalmente dejan huellas al ser auditados

11.4 PRECAUCIONES CON FICHEROS DE DISPOSITIVOS


UNIX trata los dispositivos como ficheros (discos, drivers, impresoras, consolas,
terminales, memoria principal, etc. ). Esto da a los usuarios y programadores flexibilidad y
potencia y a los responsables de la seguridad dolores de cabeza

Si los bits de la mascara de proteccin de alguno de estos dispositivos esta activada un


intruso puede tener fcil acceso a su informacin

Un objetivo de los Caballos de Troya podra ser eliminar las protecciones a un dispositivo
para ir preparando el camino

11.4.1

Los terminales

El comando stty puede ser usado para cambiar las caractersticas del terminal de otro
usuario.

Los usuarios pueden atacar o espiar los terminales de otros usuarios simplemente
mirando o escribiendo en ellos

Manual De Unix Solaris

Pg. 8 3

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Es muy difcil conseguir la seguridad en los terminales puesto que estn fuera del
permetro de seguridad. Sin embargo es posible tomar medidas para localizar el peligro

11.5 SEGURIDAD TCP/IP

11.5.1

El fichero /etc/hosts

Fichero ASCII que define los nodos en los cuales tu quieres tener acceso a tu sistema
(deja ser visto desde otros nodos). Contiene: direccin del nodo, nombre del nodo y alias.
Ejemplo:
99.1.0.11 NOSTROMO

nostromo

Cualquier usuario que pertenezca a uno de los nodos puede entrar en tu sistema
introduciendo un nombre y password conocidos o tan solo la password si el nombre del
usuario ya exista

A mayor numero de entradas en este fichero el riesgo aumenta

11.5.2

El fichero /etc/hosts.equiv

Lista de todos los nodos remotos desde donde los usuarios root pueden acceder sin
password (para acceder con root es necesario password). Es necesario que el usuario
tenga creada una cuenta en ambos nodos

Funciona con rsh y rlogin.

Manual De Unix Solaris

Pg. 8 4

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

A mayor numero de entradas en este fichero el riesgo aumenta considerablemente. Es


posible restringir el acceso a todos los usuarios de un nodo explcitamente sin mas que
aadir "-" delante del nombre del nodo

11.5.3

El fichero .rhosts

Suplemento del fichero /etc/hosts.equiv que trabaja como tal pero de forma
individualizada.

No puede eludir los permisos y restricciones de /etc/hosts.equiv

Debe de ser incluido en el directorio raz del usuario en los nodos donde tenga cuenta y
quiera conectarse remotamente

Creado para facilitar la labor de aquellos usuarios que tienen una cuenta en varios nodos

No se deben de tener permisos de escritura de "grupo" o de "otros" habilitados pues


seria una va para un intruso sin mas que modificando el fichero

11.5.4

El comando rlogin

Se usa para acceder remotamente a un nodo


% rlogin nostromo
nostromo>

Usa los siguientes ficheros:


/etc/hosts
/etc/hosts.equiv
.rhosts

Manual De Unix Solaris

Pg. 8 5

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11.5.5

Programa de Transferencia de Ficheros (FTP)

Permite a los usuarios abrir una conexin con un nodo remoto y transferir ficheros desde y
hacia l

Abierto a cualquier usuario de cualquier nodo conectado a la red, por lo que requiere
autenticacin (nombre de usuario y password)

Puede ser usado para abrir una shell en el nodo remoto

Se habilita introduciendo en el fichero /etc/inetd.conf la siguiente lnea:


ftp stream tcp

11.5.6

nowait /usr/etc/ftpd ftpd

El Programa Trivial de Transferencia de Ficheros (TFTP)

Permite a los usuarios abrir una conexin con un nodo remoto y transferir ficheros desde y
hacia el
%tftp nostromo
tftp >

Est abierto a cualquier usuario de cualquier nodo conectado a la red

No requiere autenticacin !!!

Es una puerta abierta a cualquier nodo remoto

Se habilita introduciendo en el fichero /etc/inetd.conf La siguiente lnea:


tftp dgram udp

Manual De Unix Solaris

nowait

/usr/etc/tftpd tftpd -r /tmp

Pg. 8 6

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11.5.7

La utilidad NFS (Network File System)

Ejemplos de control de seguridad deficiente:

Permitir acceso de escritura remota

Exportacin indiscriminada de sistemas de ficheros

Consentir el acceso a un superusuario

Exportar incorrectamente sistemas de ficheros

11.6 COMO MEJORAR LA SEGURIDAD EN SISTEMAS UNIX

11.6.1

Seguridad login

Aadiendo un mensaje de advertencia en el prompt del login:

Se anuncia que el sistema no es pblico

Se advierte de la proteccin legal

Se debe de modificar el fichero /etc/gettytab

Es recomendable eliminar cualquier mensaje de bienvenida ("welcome") en el login,


puesto que podra ser entendido como una invitacin abierta a usuarios no autorizados.

Algunos fabricantes han implementado la tecla de acceso seguro (SAK) con lo que se
obtiene un camino de entrada seguro a /etc/getty y as evitar los programas mascarada

La creacin de /etc/nologin evita todas las futuras entradas de usuarios, ste se crea
automticamente cuando se ejecuta /etc/shutdown

Podra llegar a ser necesario inhabilitar el login por una de las siguientes razones:

Mantenimiento del sistema

Manual De Unix Solaris

Pg. 8 7

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Sistema sobrecargado

Shutdown inminente

Sistema siendo atacado

El usuario al que le es impedido el acceso al sistema se le presentan los contenidos de


/etc/nologin

Es imprescindible tener cuidado con que alguien pueda escribir en /etc/nologin, podra
teclear cat > /etc/nologin y nadie seria capaz de entrar en el sistema desde ese momento

Se debe restringir el acceso como superusuario, para ello:


1. Editar /etc/ttys
2. Aadir la opcin "secure" tan solo a aquellos terminales desde los que se
vaya a poder entrar como superusuario (modos UPGRADE y ENHANCED)
3. Si la seguridad se encuentra en modo BSD no es posible restringir el acceso
por terminal

11.6.2 Lneas generales a seguir en la gestin de cuentas de


usuario
Medidas a tomar cuando un usuario no vaya a necesitar mas el acceso al sistema o
cuentas inactivas (conocidas en UNIX como "dormant accounts")
1.

Incluir un asterisco delante de la password en el fichero /etc/passwd, para


inhabilitar la cuenta

2.

Realizar una copia de sus ficheros

3.

Informar al resto de los usuarios que los ficheros van a ser a ser borrados

4.

Pedir que el usuario que elimine todos sus ficheros y directorios

5.

Cambiar la password

6.

Tomar nota del UID

Manual De Unix Solaris

Pg. 8 8

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

7.

Ejecutar /etc/removeuser para eliminar sus ficheros y directorios en la casa


del usuario

8.

Eliminar toda referencia del usuario en /etc/groups

9.

Borrar o cambiar de propietario todos los ficheros que no hayan sido


eliminados previamente, para hallar su ubicacin:

10. # find / - user UID_antiguo_usuario - print > alert

Recomendaciones sobre passwords:


q

Nunca dejar el fichero de passwords vaco

Nunca revelar la password a otra persona

No anotar las passwords, recordaras

Nunca mandar las passwords por correo o decirlas por telfono

Para un usuario normal, establecer la vida de la password entre 60 y 120 das

Para root establecer la vida del password muy corta

Usar una password diferente para cada cuenta de un nodo

Nunca usar passwords coincidentes con el apellido, matrcula del coche, palabras el
diccionario, etc.

Las passwords largas son mejores, y las "frase-passwords" son excelentes

Usar una mezcla de caracteres minscula y mayscula

Usar caracteres especiales

Crear una password fcil de recordar

Los ficheros de entorno de usuario ".profile (Bourne shell)" y ".login (C-shell)" tambin
son importantes para la seguridad
q

La primera lnea debe de contener la variable PATH con valores "trusted"

La segunda lnea debe de ser "mesg -n" para evitar que se enven mensajes directos
al terminal

La tercera "umask 027" para establecer una mscara de proteccin por defecto

Manual De Unix Solaris

Pg. 8 9

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

11.6.3

Proteccin del sistema de ficheros

Directorios de comandos
q

Deben de pertenecer a root

Solamente root debera de tener permiso de escritura

Es muy importante asegurarse de que todos los comandos son "trusted"

Normalmente poseen la mscara 755

Ficheros especiales
q

Incluidos: memoria principal, terminales, discos, cintas, etc.

Tener acceso a stos ficheros es tener acceso a cualquier cosa que contengan

Solamente root debe de tener permiso de lectura

Ficheros de cuentas de usuario


q

Ficheros tipo "log"

Ficheros de red

11.6.4 Lneas generales para montar un sistema de ficheros


La opcin "-o" de los comandos "/bin/mount" ofrece tres opciones relaccionadas con la
seguridad
q

nodev

Deniega el acceso a cualquier fichero de dispositivo en el

sistema que est siendo montado


q

nosuid

Deniega al usuario la posibilidad de ejecutar setuid y getuid

en el sistema de ficheros que est siendo montado


q

noexec

Deniega al usuario la posibilidad de ejecutar ficheros binarios

en el sistema de ficheros que est siendo montado

Usar "nodev" cuando se monte un sistema de ficheros distinto de que comienza en la raz.

Manual De Unix Solaris

Pg. 9 0

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

Usar "nosuid" y "nodev" cuando se monte un sistema de ficheros distinto de que comienza
en la raz y adems sea de usuario

Usar "noexec" y "nodev" cuando se monte un sistema de ficheros que no vaya a contener
ejecutables

Estas opciones se modifican en "/etc/fstab"


/dev/ra2e:/usr/public:rw:1:5:ufs:nodev,nosuid:

11.6.5

Montaje de sistemas de ficheros no "trusted"

Ejecutar /etc/fsck en el sistema importado

Crear un punto de anclaje del sistema de ficheros al que solamente tenga acceso root

Montarlo con las opciones nosuid y nodev

Comprobar todos los ficheros ejecutables existentes

11.6.6 Recomendaciones para restringir el acceso a TCP/IP


El acceso a TCP/IP es controlado mediante 4 ficheros
q

/etc/hosts (lista de nodos para los cuales ste nodo es visible)

/etc/hosts.equiv (lista de todos los nodos que son "trusted" al nodo)

.rhosts (suplemento personal del fichero anterior)

/etc/inetd ("Demonio" de la B.D. de configuracin de Internet)

/etc/hosts.equiv es un fichero muy peligroso, por lo que debera de estar vaco

No usar los ficheros .rhosts, Ya que son de usuario y deberan de estar siendo
monitorizados continuamente

Manual De Unix Solaris

Pg. 9 1

http://www.serem.com

Cliente: LUCENT TECHNOLOGIES

SEREM FORMACIN

/etc/hosts debe de tener acceso de escritura tan solo para root

Comprobar frecuentemente /etc/hosts

Si es posible eliminar telnet, ftp, tftp o rlogin. Para ello se debe acceder a /etc/inetd.conf
Y eliminar la lnea correspondiente.

Manual De Unix Solaris

Pg. 9 2

http://www.serem.com