Конфігурація мережі

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Від конкректної конфігурації мережі залежить її ефективна робота, надійність і безпека. На жаль набір параметрів, що визначають конфігурацію, сильно залежить від використовуваної операційної системи і конкретного мережевого програмного забезпечення. Більшість локальних мереж сьогодні будуються навколо серверів, які працюють під ОС UNIX (якщо не рахувати однорангових мереж MS Windows). З цієї причини нижче будуть описані конфігураційні файли саме цієї ОС. Назва конфігураційних файлів і їх призначення приведені в таблиці

Конфігураційні файли
Назва файлу Призначення
/etc/hosts База даних імен ЕОМ і їх IP-адрес (нею користуються такі утиліти, як ping та ipconfig)
/etc/networks База даних імен ЕОМ та їх MAC-адрес (адрес мережевих карт)
/etc/ethers Опціональний файл, який містить імена підмереж, їх мережеві маски або мережеві адреси доменів
/etc/protocols Конфігураційний файл, де міститься перелік імен підтримуваних протоколів та їх кодів. Перше поле містить офіційну назву протоколу, далі йде код протоколу, третє поле містить псевдонім протоколу
/etc/services Файл, що визначає взаємодію в системі клієнт-сервер. Перше поле містить назву процесу (Echo, tcpmux, systat, netstat, chargen, TFTP, NNTP, POP-3, login, talk і т.д.), друге поле зберігає номер порту і ім'я протоколу
/etc/syslog Визначає типи повідомлень і прохід до log-файлу
/etc/inetd.conf Містить послідовність записів, що визначають роботу протоколів Інтернет: ім'я послуги (з файлу / etc / services); тип сокета (stream, dgram, raw або rdm); протокол (з файлу / etc / protocols); статус очікування (wait-status); користувач; прохід до сервера
/etc/routed Використовується при завантаженні системи, визначає взаємодію з іншими машинами
/etc/passwd Містить інформація для ідентифікації користувачів і їх паролів
/etc/hosts.equiv Містить імена машин і користувачів, що дозволяє авторизованому користувачеві входити в інші машини, не вводячи пароль
/etc/bootptab Визначає адреси і завантажувальні файли
/etc/snmp.conf Визначає вміст поля community і допустимі адреси
/etc/resolv.conf Служба імен. Визначає ім'я локального домену та наступного вищого сервера імен
/etc/named.boot Визначає положення баз даних, інших серверів імен та доменів, що обслуговуються named
/usr/local/domain/named.fwd База даних імен для звичайних запитів. Прохід може бути й іншим, він вказується в named.boot
/usr/local/domain/named.rev База даних сервера імен для запитів в IN-ADDR.ARPA. Зауваження про прохід в попередньому пункті справедливо і тут
/usr/local/domain/named.ca База даних сервера імен для ініціалізації кеша. Зауваження про прохід для named.fwd справедливо і тут. Вміст файлу можна прочитати за допомогою процедури nslookup


Конфігурація мережі
Рис. 1. Конфігурація мережі
Заміна імені хосту
Рис. 2. Заміна імені хосту
Заміна імені хосту
Рис. 3. Заміна імені хосту

Файл /etc/passwd містить записи аутентифікаційних параметрів користувачів. Кожен запис містить 7 полів. У першому полі записано ім'я користувача (LOGIN ID) у представленні ASCII. Друге поле містить зашифрований пароль користувача. Шифрування здійснюється з додаванням символів, що робить зворотний дешифрування неможливою. Причому одне і те ж слово при такому методі може бути зашифрована різним способом. Третє поле є числовим номером користувача (UID). У четвертому полі записується код групи користувачів, до який належить даний клієнт. П'яте поле містить коментар адміністратора. У шостому полі зберігається ім'я базового каталогу користувача. У заключному поле записується ім'я командного інтерпретатора, який буде використовуватися за замовчуванням. У новітніх версіях UNIX файл / etc / passwd містить тільки "x" у другому полі запису для кожного користувача, що вказує на використання файлу /etc/shadow, де в зашифрованому вигляді містяться паролі користувачів. Доступ до цього файлу має тільки адміністратор. Інформація про членів груп користувачів зберігається у файлі /etc/group/.

Файл /usr/lib/ aliases використовується для створення поштових скриньок, яким не відповідають які-небудь аккоунти. Тут прописуються псевдоніми, якими система пересилає надходять поштові повідомлення. Рядок переадресації в цьому файлі має форму:
alias: ім’я_користувача або
alias: ім’я_користувача_1, ім’я_користувача_2,..., ім’я_користувача_N.
У першому випадку вся пошта яка приходить alias переадресується користувачу з вказаним ім'ям. У другому - всім користувачам, імена яких представлені в списку. Якщо список не вміщується в одному рядку, перед введенням "повернення каретки" слід надрукувати символ "/". Як акаунти можуть використовуватися як локальні так і стандартні поштові адреси. Для особливо довгих списків можна ввести спеціальну рядок у файл /usr/lib/aliases:
authors:":include:/usr/local/lib/authors.list", де authors - псевдонім, а authors.list - файл, який містить список адресатів, кому потрібно переслати повідомлення.

Файл named.boot, який служить для ініціалізації сервера імен, має наступну структуру. Рядки, що починаються з крапки з комою є коментарями. Рядок sortlist визначає порядок, в якому видаються адреси сервером, якщо їх кількість у відгуку перевищує 1. Запис directory, описує становище інформаційних файлів (ім'я прохід / каталогу). Рядок cashe, служить для ініціалізації кешу сервера імен з використанням файлу named.ca. Цей також як і інші файли повинні знаходитися в каталозі, зазначеному в записі directory. Записи primary вказують, в яких файлах розміщена інформація таблиць відповідності імен і IP-адрес. Останній запис primary містить інформацію для локальної ЕОМ. У записах secondary спеціалізуються дані, які повинні зчитуватися з первинного сервера і з локальних файлів.

У файлі named.local міститься локальний інтерфейс зворотного зв'язку сервера імен. Файл містить у собі тільки один запис SOA (Start of Authority) і два ресурсних записи. Запис SOA визначає початок зони. Символ @ на початку першого поля запису задає ім'я зони. Четверте поле цього запису містить ім'я первинного сервера імен даного субдомену, а наступне поле зберігає ім'я адміністратора, відповідального за даний субдомен (його поштова адреса). Запис SOA включає в себе список з 5 чисел, взятий в дужки.

  • Версія або серійний номер. Перше число в рядку збільшується кожного разу при актуалізації файлу. Вторинні сервери імен перевіряють і порівнюють номер версії первинного сервера з наявним у них кодом, для того щоб визначити, чи слід копіювати базу даних DNS.
  • Час оновлення (refresh time). Визначає час у секундах, що задає період запитів вторинного DNS до первинного.
  • Час повторної спроби. Задає час у секундах, коли вторинний сервер імен може повторити запит у разі невдачі попереднього.
  • Час закінчення придатності (expiration time). Верхня межа тимчасового інтервалу в секундах після якого база даних вторинного DNS вважається застарілою без проведення актуалізації.
  • Мінімум. Значення за замовчуванням для таймера TTL для експортованих ресурсних записів.


Файл /etc/hosts.equiv дозволяє скласти список ЕОМ, об'єднаних в групу. Користувач, що знаходиться в одній з ЕОМ цієї групи, може встановити зв'язок з іншою, не вводячи пароля. Зрозуміло, що застосування цього методу входу, викликає деякі зручності, створює і певні загрози з точки зору мережевої безпеки.

Файл .rhosts, який розміщується в кореневому каталозі користувача, дозволяє йому описати список ЕОМ, куди він має доступ. При цьому з'являється можливість увійти з даної ЕОМ в будь-яку з названих машин без введення пароля. Зауваження про використання файлу hosts.equiv в повному обсязі справедливі і в даному випадку.

Якщо до ЕОМ підключені модеми, необхідно застосування так званого dialup-пароля. Віддалений користувач крім свого ID і пароля повинен ввести ще і dialup-пароль, який є спільним для всіх працюючих на даній ЕОМ. Якщо всі три параметри аутентифікації коректні, доступ буде дозволений. При помилку в будь-якому з трьох компонентів ЕОМ попросить повторити їх введення, не вказуючи, де зроблена помилка. Файл /etc/dpasswd є виконуваним і може реалізувати ряд опцій.

  • a [список] характеризує список терміналів, який додається до /etc/dialups. Користувач при вході з такого терміналу повинен буде ввести пароль dialup. Елементи в списку обмежені лапками і розділяються пробілами або комами.
  • d [список] визначає список терміналів, які повинні бути видалені з /etc/dialups і користувачеві буде не потрібно в майбутньому вводити пароль dialup при вході з цих терміналів.
  • r [список] змінює login shell на /bin/sh для кожного з користувачів, перелічених у списку.
  • s [shell] модифікує запис у файлі /etc/d_passwd або додає новий запис.
  • u [список] створює нове ядро (shell) для імен, зазначених у списку. Додаються записи в etc/d_passwd для нового ядра, а пароль працює для всіх користувачів зі списку, якщо не обумовлено зворотного.
  • x [shell] видаляє shell і пароль з файлу /etc/d_passwd.