Okruhy otázek teoretické části zkoušky 2009

Transkript

1 Okruhy otázek teoretické části zkoušky Start a instalace systému. kernel, SMP, runlevely, zavaděče systému, diskové oddíly, swap, (softwarový) RAID, výběr filesystému, LVM, distribuce, dpkg/rpm/portage. a) Zavaděče: možnosti jejich instalace, konfigurace i. Jmenujte nějaké zavaděče schopné zavést Linux. [2] Lilo linux loader az 16 systemu, při zmene konfigurace nutne nahrat znovu do MBR, /etc/lilo.conf Grub Grand Unified Bootloader nejcasteji pouzivany, konfiguracni soubor cte az po spusteni, /boot/grub/menu.lst GRUB2 zatím nestabilni verze, bude rychlejsi a vykonejsi, pokracovatel GRUB/GNU XOSL (extendet operating system loader) graficky bootovaci manazer, pro windows EtherBoot bootovani pres sit ii. Nastiňte rozdíl mezi instalací zavaděče do MBR(v úvodních sektorech pevného disku (např. v MBR Master Boot Record)) a do prvního sektoru diskového oddílu. [3] Linux v primarnim oddilu - zavadec v disk. oddilu - partisnu Linux v logickem oddilu - zavadec v MBR - kdyz se pozdeji oddinstaluje system, tak se prijde o zavadec, musi se nahrat znova Skracene: Lepsi je mit zavadec v diskovem oddilu kazdeho OS, v MBR mit třeba GRUB. Pote hlavni zavadec spusti vždy sekundarni daneho os. Vyhodou je, ze při odstraneni jednoho OS se nemusi zavadec opetovne instalovat. Napr. Při instalaci windows si windows nainstaluji svůj zavadec do MBR bez ohledu na to co v nem je. (smazou to). Pote se nainstaluje chytry grub, ktery windows zavadec zkopiruje do 1. sektoru oddilu s windows a ten pak presmeruje BIOS na sekundarni. Proto nelze instalovat linux a pak windows. Hlavni zavadec musí byt nastaven, aby rozpoznal ostatní OS na oddilech. Instalací do kořenového oddílu žádným způsobem nenarušíte instalaci jakéhokoli stávajícího operačního systému. Jde o naprosto bezpečnou volbu, ale je nutné pamatovat na to, že musíte upravit stávající zavaděč tak, aby byl schopen spustit nově instalovaný Linux. iii. Uveďte, které důležité parametry je třeba zavaděči nastavit pro zavedení Linuxu. [3] Disk, oddil(root (hd0,7)- na kterém diskovém oddílu se nachází adresář /boot/), jadro(kernel /vmlinuz ro root=label=/),nastaveni jadra, initrd-nahrahje pocatecni ramdisk, parametry jadra, default=0(kterou položku vybere),timeout=30(jak dlouho bude čekat) b) Start systému: BIOS, průběh bootu, proces 1, runlevely. i. Co probíhá po provedení POSTu, odkud se načte OS? [2] BIOS vybere zaváděcí zařízení Ze zaváděcího zařízení BIOS zavede zaváděcí sektor (boot sektor) Boot sektor zavede spouštěcí a dekompresní rutiny a komprimované jádro Linuxu Jádro je dekomprimováno (v chráněném - protected módu) Nízkoúrovňová (low-level) inicializace kódem v assembleru Vysokoúrovňová (high-level) inicializace kódem v C Spuštění procesu init odpověď na přihlašovací prompt getty předána úloze login, ten spustí bash BIOS je v ROM, Flash na zakladovce. POST bios nacte info o HW do CMOS pameti, post udela zakladni testy, zda jsou pripojena vsechna potreba hw zarizeni a funguji spravne. Porovna vysledky s tim co dal bios do CMOSu.

2 BIOS vezme informace z MBR, kde se nachazi 1. cast zavadece. Tato cast zavadece spusti druhou cast, která nabidne definovane menu uzivateli. Každý zavadec ma k dispozici info o boot partition a lokalite jadra. Po zvoleni systemu je do RAM nahran obraz jadra (vmlinuz...) ( a initrd, ten se rozbali, zpristupni korenovy adresar, jadro z nej spusti init s PID 1) a je mu predano rizeni. Init pak spousti další v zavislosti na konfiguraci. ii. Co se zavádí do paměti, jak startuje kernel? [3] Jako kernel se v počítačové terminologii nazývá jádro operačního systému, tedy program, který koordinuje činnost ostatních programů a zprostředkovává jim prostředky počítače. Název pochází z angličtiny, kde kernel znamená obecně jádro. Hlavní úkol jádra spočívá v přidělovaní paměti a času procesoru (či procesorů) programům, ovládání zařízení počítače (pomocí ovladačů) a abstrakci funkcí (aby bylo např. možné načítat soubory z pevného disku a z jednotky CD-ROM stejným příkazem). Start: Do pameti se zavadi OS jako obrazovy soubor (a initrd). Start je pote proveden prikazem start_kernel(), který spusti spravu pameti, natahne ovladace a spusti planovac. Pote se spusti proces init, který je jiz ale spusten v uzivatelskem modu. Ten pak spusti další, dle konfigurace. iii. Co je proces 1, jak vzniká a co obstarává? [2] Proces s PID 1 se nazyva init. Jeho spusteni je 1. cinnost, kterou kernel provede po zavedeni do pameti. Tento proces slouzi jako korenovy a rodic všech dalsich spustenych procesu. Pokud je rodic nektereho procesu zabit, automaticky se stava jeho rodicem proces init. iv. Co jsou runlevely, kolik jich je a jak jsou definovány, co se při přepnutí děje? [3] Run level je bootovaci stav systemu. Obvykle je jich 7. Kde 0 znamena vypnuti pocitace, od 3 nahoru je plne funkcni systém s interakci s uzivateli. Pomoci runlevelu je také rozhodnuto, které procesy se budou zavadet. O zavadeni procesu se stara proces init. 0 vypnuti/zastaveni systemu 1 single user mode 2 multi user mode, bez podpory site 3 multi uset mode v konzolovem rezimu 4 GUI nebývá využitá 5 GUI-Spustí víceuživatelský režim s přístupem do sítě a grafickým přihlašovacím rozhraním 6 restart Prepnuti pomoci prikazu init. Pokud dojde k volani prikazu init s parametrem cisla run levelu, který chceme zavest, proces init zabije vsechny spustene procesy a spusti znovu procesy odpovidajici novemu runlevelu. --Příkaz telinit také může říci programu init, aby přepnul do jiné úrovně běhu. Init pak vyšle signál SIGTERM všem procesům, které nejsou v nové úrovni běhu definovány, pak čeká 5 vteřin (dobu možno změnit příkazem telinit) a pak neukončené procesy zlikviduje signálem SIGKILL. c) Diskové oddíly: swap, proč dělit, jak dělit, LVM. i. Jak se rozděluje disk na oddíly (MS/Solaris/BSD), jaké jsou typy? [2] gparted, fdisk...partiton magic... ii. Jaké jsou důvody pro dělení? Vysvětlete. [3] Instalace vice OS Organizace dat Pouziti vice souborovych systemu Bezpecnost iii. Co je swap? [1] Jádro si udržuje informace o tom, které stránky kterých procesů jsou nejvíce užívány. Stránky, které tak často užívány nejsou, mohou být přesunuty do odkládací (swap) diskové oblasti. Jiné nepoužité stránky mohou být

3 vysunuty a udělají jim místo, když jsou opět potřeba v RAM. Tento mechanismus se nazývá "správa virtuální paměti" (virtual memory management, VM). Swapovani je odkladani malo pouzivanych stranek pameti na disk. Vetsinou se swap vyuziva, když dojde fyzicka pamet. Existuji dva zpusoby: ukladani na partition (SWAP), nebo ukladani do souboru iv. Co je swap-partition, jaké má výhody oproti swap-file a proč? [2] Swap-partition je nekolikanasobne rychlejsi nez swap-file. Tyka se systemu s malou pameti. Odkládá se přímo do vyhrazeného oddílu na pevném disku (nejvýkonnější varianta, diskový oddíl neobsahuje souborový systém, stránkovací registry obsahují přímé adresy na disku). Swap partiton lze vyuzit vice OS pro odkaladni. Oproti swap file však nelze jednoduse menit jeho velikost. v. Co je LVM a k čemu je vhodný? [2] Řízení logických disků, neboli LVM ( zkratka z angl. "Logical Volume Management" ) je metoda správy diskového prostoru co dává mnohem větší možnosti než konvenční rozdělení pevných disků na diskové oddíly. Umožňuje přidávat jednotlivá fyzická zařízení nebo diskové oddíly do větších logických skupin svazků. Tyto skupiny lze přidáním, nebo odebráním fyzických zařízení podle potřeby zvětšovat či zmenšovat a za chodu přesouvat uložená data mezi jednotlivými fyzickými zařízeními aniž by bylo nutné běžící systém zastavit. Diskové oddíly se tvoří teprve v rámci těchto skupin svazků a lze je podle potřeby přidávat, nebo odebírat, podle toho kolik je k dispozici diskového prostoru. Pokud to zvládá souborový systém tak lze rovněž za chodu i měnit jejich velikost. Řízení logických disků je jen jeden z mnoha způsobů virtualizace diskového prostoru, a funguje jako vrstva mezi ovladačem pevného disku a operačním systémem. Umoznuje Snapshoty. Snapshoty lze využívat pro zálohování, zvláště u aplikací které neustále pracují s diskem, jako jsou např. databáze, nebo při aktualizacích operačního systému. d) Distribuce: typy, principy, základy dpkg/apt/rpm/urpmi/portage/ i. Definujte pojem unixová (linuxová) distribuce. [3] Distribuce je balik obsahujici jadro systemu a spoustu dalsich systemu. GNU/Linuxová distribuce je označení kompletu programových balíků provozovatelných na operačním systému GNU/Linux. Tzn. nejenom vlastního jádra operačního systému ale i dalších aplikací, které mohou být, ale většinou nejsou autorským dílem distributora. Tyto distribuce se liší například ve způsobu instalace programových balíků, integrací vlastních konfiguračních metod, atp. V angličtině to distribute znamená rozšířit, rozprostřít, rozdat ap. Microsoft Windows dodává jen jedna firma, Microsoft, tudíž neexistuje více distribucí. GNU/Linux může dodávat každý, a proto existuje spousta profesionálních nebo amatérských distribucí. Problémem pro začátečníka může být právě výběr distribuce. Všechny distribuce však mají stejný základ - jádro OS, knihovny a nástroje od GNU. Liší se však obalem (tzn. instalátorem) a složením (tzn. software, unikátní úpravy). Linuxová distribuce se někdy označuje ekvivalentem "distro". ii. Co je balíček? Jaké jsou vlastnosti a jak se používá? [3] Balicek je zabalena instalace programu v archivacnim formatu. Cela linuxova distribuce je rozdelena na balicky. Balicky je nutne ziskavat z repozitaru. iii. Uveďte vámi vybraný typ balíčkovacího systému a popište jej blíže (včetně nástrojů a nadstaveb). [4] APT advanced packaging tool. Jedna se o balickovaci systém

4 pouzivany distribucemi zalozenymi na debianu.pracuje s DEB balicky Apt-get, apt-file, apt-cache /etc/apt/sources.list Nadstavby: aptitude, pridat odebrat programy, synaptic Advanced Packaging Tool, neboli APT, je balíčkovací systém používáný v Debian GNU/Linuxu a jeho derivátech. APT usnadňuje správu softwaru na Unix - like operačních systémech, jako například automatizaci vyhledávání, konfigurace a instalaci softwarových balíčků, buďto z binárních balíčků anebo při kompilaci ze zdrojových kódů. APT bylo původně navrženo jako front-end dpkg pro práci s debianím formátem balíčků, ale od té doby bylo modifikováno pro práci s RPM balíčkovacím systémem skrz apt-rpm. Díky Fink projektu bylo APT portováno také na Mac OS X a APT je také dostupné v OpenSolarisu (v Nexenta OS distribuci). APT je svobodný software distribuovaný pod GNU General Public licencí. APT není jeden jedinný program. Je to souhrn několika programů (apt-get, apt-cache, apt-cdrom atd ), které využívají knihovnu naprogramovanou v jazyce C++ známou pod názvem libapt. Nacházejí se ve standardní instalaci operačního systému Debian. Tyto programy jsou víceméně využívány především dalšími nadstavbami např.: Synaptic Package Manager, správce balíčku s grafickým uživatelským rozhraním využívající knihovnu GTK+ aptitude, konzolový program (alternativa k dselect) KPackage, součást okeního manažera KDE Adept Package Manager, správce balíčků s grafickým rozhraním, je součástí KDE Nadstavby APT mohou balíčky: vyhledávat aktualizovat instalovat nebo naopak odebírat aktualizovat celý systém na novou verzi e) Virtualizace: možnosti, produkty, výhody a nevýhody i. Jmenujte typy virtualicací a krátce je charakterizujte. [4] Emulace, simulace Základním principem emulátoru je překlad strojových instrukcí hostovaného systému na strojové instrukce hostitelského stroje. Jinými slovy emuluje se i procesor včetně registrů a podobně. Dále se emuluje paměť ROM cílové platformy a zbytek hardware. Je to jediný způsob jak virtualizovat jinou architekturu. Lze i emulovat mnohaprocesorový stroj na počítači s jedním procesorem a podobně. Výhody: možnost na libovolné platformě spustit systém a aplikace libovolné jiné (danou aplikací podporované) platformy. Virtualizační software je obyčejnou aplikací, běží i bez administrátorských práv. Hostitelský ani hostovaný systém nemusí být nijak upraveny. Nevýhody: nízký výkon (pro představu- pro emulaci Amigy 500 s procesorem Motorola ,16 MHz + koprocesory bylo zapotřebí 200MHz Pentium), problémy s kompatibilitou emulovaného hardware. Virtualizace na urovni OS Koncepcí této metody virtualizace je využití jediného jádra operačního hostitelského systému několika izolovanými virtuálními stroji. Je tedy zřejmé, že hostitelský i hostované systémy musí být stejné (dokonce ve stejné verzi). Jedinou výhodou hostitelského stroje je, že má možnost přidělovat fyzické zdroje hostovaným systémům. V ostatních ohledech jsou stroje rovnoprávné- k přístupu k hardware využívají týž kernel. Díky tomu výkonnostní režie tohoto řešení prakticky nulová. Výhody: nejlepší výkon je

5 Nevýhody: hostitelský i hostované platformy i systémy musí být stejné, pád jednoho stroje způsobí pád všech ostatních. Plna virtualizace dnes nejcastejsi na desktopech. Hostovaný stroj je emulován pomocí virtualizačního hardware. Procesor se neemuluje (z toho plyne, že platformy musí být shodné). Problém nastane jen v situaci, kdy se hostovaný systém pokusí přistoupit k hardware. Takovy požadavek je odchycen, upraven (čtení z virtuálního disku je třeba převést na čtení určitého místa na disku fyzickém a podobně) a následně předán ke zpracování hostitelskému systému. Výsledek putuje stejně strastiplným způsobem zpět do hostitelského systému. To je největší slabinou plné virtualizace- veškeré vstupně-výstupní operace jsou obtěžkány značnou režii. Novější procesory Intelu a AMD mají speciální technologie (Vanderpool resp. Pacifica), které v tomto směru usnadňují programování virtualizačního software ale nepřenášejí téměř žádný nárust výkonu. Nejznámější aplikace využívající plné virtualizace: VMware, VirtualBox. Paravirtualizace Základem je speciálně upravené jádro hostujícího operačního systému s tzv. hypervisorem, který poskytuje hostovaným systémům přístup k hardware. Hostované operační systémy jsou taktéž upraveny- ví že nemají přístup k fyzickému hardware takže všechny přístupy k hardware jsou převedeny na volání hyperviosoru. Tím je odstraněna značná část režie spojené se vstupně-výstupními operacemi. Aplikace i samotný systém běží nativně na procesoru stejně jako v případě plné virtualizace. Nejznámějším softwarem s možnosti paravirtualizace je XEN. Výhody: lepší výkon než v případě plné virtualizace Nevýhody: hostitelský i hostované systémy musí být upraveny. Pokud k nim nemáte zdrojáky a výrobce neposkytne upravené jádro tak paravirtualizaci nelze použít. ii. Zhodnoťte výhody a nevýhody provozu serverů ve virtualizované podobě. [5] Vyhody: V případě dosažení určité zátěže fyzického serveru nebo hrozící poruchy, může virtualizační software přesunout některé virtuální servery na jiný - méně vytížený fyzický server. Smyslem virtualizace je lepší využití hardwaru a pro více účelů. Podstatně snižuje náklady na IT, zvyšuje využití hardware, optimalizuje síťovou strukturu a zvyšuje dostupnost serverů Dnes jsou běžně dostupné servery s takovým výkonem, že mohou spolehlivě zastat více serverových rolí, nicméně díky požadavkům na vysokou bezpečnost a spolehlivost je není vhodné implementovat v rámci jedné instance operačního systému. Každý uživatel měl mít pro svoji stránku či doménu samotný počítač, byly by náklady na provoz těchto domén mnohonásobně vyšší, než tomu tak skutečně je. Poměrně běžně se tedy stává, že jeden fyzický počítač obsluhuje i stovky virtuálních webových serverů jedná se o tzv. webhosting. Zjednodušuje se údržba takovýchto serverů - stačí spravovat pouze jediný počítač, při stěhování není nutné přesouvat desítky krabic. Na VM se vyborne testuji nove programy, pisou a testujou pravidla pro firewally apod. Procesu uvnitr virtual. Serveru bezi jako pravidelne procesy na systemu hostitele. To je o něco vice efektivni pro pamet a I/O, ucinejsi nez celkova emulace, kde se nemuze vratit nepouzita pamet. Procesy uvnitr virtualniho serveru jsou ve fronte na stejnem planovaci hostitele, to dovoluje procesum hostu bezet soucasne na SMP systemech. Vytvareni site je zalozeno spise na izolaci nez virtualizaci, tzn. Mensi rezie pro pakety. Nevyhody: Vyzaduje upravene jadro. Vsechny virtualni servery sdileji stejne jadro a stim souvisejici chyby a bezpecnosti trhliny. Vytvareni site je zalozeno na izolaci, ne virtualizaci. To zabranuje kazdemu

6 virtualnimu serveru vytvaret sve vlastni interni smerovani nebo nastaveni firewallu. Nektera systemova volani a casti /proc a /sys filesystemu jsou nedostupne. V provozu jediného stroje se spoustou služeb je tu mnohem větší riziko než v nevirtualizovaném prostředí neb při napadení právě tohoto stroje se útočník dostane ke spouste citlivych dat najednou. iii. Diskutujte rozšíření možností zálohování virtualizovaných serverů. [1] Možnost použít zálohy kdekoli i na strojích s odlišným hardware. Staci zalohovat obrazy. Možnost okamžité obnovy zálohy na čistý stroj (baremetal restore). 2. Souborové systémy obecně. obecná struktura filesystémů, i-uzel, adresář, tvrdý a symbolický odkaz, příkazy pro práci se soubory a s adresáři, žurnál, standardní unixový adresářový strom, kvóty, virtuální filesystémy. a) Filesystémy: typy, vlastnosti, i-uzel, formát adresáře, FHS (Filesystem Hierarchy Standard). i. Uveďte příklady filesystémů v Unixu. Co je žurnál? [2] ext2, ext3, ext4, RaiserFS, Raiser4, XFS, JFS, minix, sitove (samba), virtualni (procfs, sysfs), swap Zurnal specialni zanam, do ktereho jsou ukladany zmeny na FS, které mají byt provedeny. Jedna se o kruhovy buffer a slouzi k udrzeni integrity dat na disku v pripade havarie. Cinnost: 1. Zmeny se ulozi do zurnalu. 2. Zmeny se provedou na disku. 3. Do zurnalu je zapsana informace o dokonceni. 4. Data odstranena ze zurnalu. Umoznuje logovani všech cinnosti na mediu. ii. Jaká je struktura adresáře? [2] Adresar je specialni typ souboru, který obsahuje nazvy souboru v nem obsazenych a cisla jejich i-uzlu. iii. Co obsahuje i-uzel? [3] Základní jednotka, která nese metadata o souboru (přístupová práva, počet odkazů hard links, vlastník + skupina, délka) I-uzel je specialni datova struktura, která obsahuje metadata jako prava a vlastnik, dale obsahuje seznam bloku, na kt. Je ulozen soubor, pripadne další seznamy bloku. Dale také obsahuje cislo reprezentujici počet odkazu smerujicich na dany i-uzel. iv. Uveďte obecnou strukturu adresářů v Unixu. [2] /bin zakladni programy /boot soubory pro zavedeni systemu /dev specialni soubory zarizeni /etc konfiguracni soubory /home domovsky adresar uzivatelu /lib sdilene knihovny a moduly pro programy z /bin a /sbin /mnt docasne pripojene svazky /opt volitelne programove baliky (Freerapid) /root domovsky adresar roota /sbin systemove programy /tmp docasne soubory /usr sekundarni hierarchie (/usr/local/bin/symlink-free-rapid) /var promenna data v. Co znamená copy-on-write? [1] Princip spočívá v tom, že v okamžiku, kdy je vydán příkaz k pořízení kopie dat, se ve skutečnosti fyzická kopie nevytvoří, a aplikaci je předán toliko jiný odkaz na již existující data. Skutečná kopie je vytvořena teprve ve chvíli, kdy jedna z aplikací sdílejících společnou kopii vydá pokyn k zápisu dat. Postup copy-on-write se používá například v implementaci systémového volání fork na unixových systémech b) Odkazy a práce s nimi: typy, omezení, vlastnosti, ln, rm. i. Uveďte typy odkazů na unixovém FS. Jak jsou reprezentovány na FS? [3]

7 Pevny odkaz jedna se o odkaz primo na i-uzel. Pokud je odkaz vytvoren, v i-uzlu je inkrementovan citac. Při odstraneni je zase citac dekrementovan. Pokud se citac dostane na hodnotu 0, jsou data z disku odstranena. Omezeni pevneho odkazuje omezeno pouze na oddil na kterem se data nachazeji, nelze taky pouzit na adresare. Symbolický odkaz specialni soubor, který obsahuje cestu k danemu souboru na který je pripojen. Je mozne jej vytvorit i na jinych oddilech. Smazanim souboru, na kt. Odkaz odkazuje ma za nasledek neplatny link. ii. Jaké jsou vlastnosti odkazů (možnost vytvoření, vlastnictví, stav při neexistenci původního souboru)? [4] Pevny odkaz vytvorit lze na existujici soubor, ne adresar. Vlastnikem je vlastnik dat, na která se odkazujeme. Pro odstraneni dat je nejdrive nutne odstranit vsechny odkazy na ne. Proto nemuze nastat neplatny odkaz. Symbolický odkaz je mozne vytvorit na vsechny soubory. Odkaz dostane opravneni 777, ale pracovat se souborem, na který odkazuje, muze pouze vlastnik. Při odstraneni puvodniho souboru vznikne neplatny odkaz. iii. Uveďte příklad, jak vytvořit odkazy, ukažte stav po smazání. [3] ln soubor [nazev] pevny odkaz ln -s soubor [nazev] symbolický odkaz Chce tam symbolický RELATIVNÍ odkaz, což jsem si nejdřív přečetl blbě. Takže kdyby to někdo dostal taky: tvrdý odkaz: ln /etc/passwd uzivatele ověření: ls -l /etc/passwd uzivatele symbolický odkaz: ln -s../../etc/passwd users ověření: cat users c) Virtuální filesystémy: typy, použití, (udev, proc, sysfs, tmpfs, devpts apod.). i. Jaké znáte virtuální FS a k čemu slouží? [4] Virtualni FS nezabiraji místo na disku. Jsou vygenerovany jadrem v okamziku jeho pouziti. /proc pristup k informacim o procesech (procfs) /dev informace o pripojenych zarizenich /sys info o systemu, cpu atd (sysfs) /tmp systém pro docasne souboru (tmpfs) ii. Popište blíže tři typy. [3 2] /proc virtuální souborový systém, obsahuje soubory odrážející stav operačního systému. Většina souborů je jen pro čtení, některé soubory - typicky v adresáři "/proc/sys" - lze zapisovat - tak lze měnit charakteristiky a limity OS (např. max. počet otevřených souborů systému zápisem nové číselné hodnoty do "/proc/sys/fs/file-max", pro router povolit forwarding IP paketů napříč strojem zápisem jedničky do "/proc/sys/net/ipv4/ip_forward" apod.) Sysfs je v informatice virtuální systém souborů, který je zahrnut v jádře Linuxu od verze 2.6. Sysfs exportuje informace o zařízeních a ovladačích z jádra systému do uživatelského prostoru pomocí adresářového stromu umístěného v adresáři /sys a je používán i pro konfiguraci systému. Sysfs je podobný mechanismu sysctl, který je obsažen v BSD systémech, ale je implementován jako systém souborů namísto odděleného mechanismu. d) Žurnál: princip, podpora ze strany FS. i. Co je to žurnál? K čemu slouží? [2] Zurnal specialni zanam, do ktereho jsou ukladany zmeny na FS,

8 které mají byt provedeny. Jedna se o kruhovy buffer a slouzi k udrzeni integrity dat na disku v pripade havarie. Cinnost: 1. Zmeny se ulozi do zurnalu. 2. Zmeny se provedou na disku. 3. Do zurnalu je zapsana informace o dokonceni. 4. Data odstranena ze zurnalu. Umoznuje logovani všech cinnosti na mediu. ii. Jak funguje žurnál? Co se žurnáluje a jak? [3] predchozi text iii. Jak probíhá kontrola FS po jeho pádu? [2] kontrola probiha pomoci prikazu fsck iv. Které FS podporují žurnál? [2] ext3, RaiserFS V3, Raiser4, xfs, jfs, ntfs v. Existuje jiná metoda zachování konzistence dat po pádu systému? [1] snapshoty Některé implementace LVM umožňují tzv. snapshoty Snapshoty lze využívat pro zálohování, zvláště u aplikací které neustále pracují s diskem, jako jsou např. databáze, nebo při aktualizacích operačního systému. Některá linuxová Live CD využívají snapshotů pro simulaci zápisu pro zařízení, která to neumožňují (CD disky). 3. Uživatelé na systému UNIX. vytváření účtů, skupin, správa uživatelů, práva a manipulace s nimi, autentizace (Kerberos, PAM), monitorování činnosti uživatelů, LDAP, NIS/YP apod. a) Vytváření/rušení uživatelů, skupin: přidání uživatele do skupin. i. Kde je uložena informace o účtech, heslech a skupinách? [3] /etc/passwd informace o uživatelských účtech, /etc/shadow zašifrovaná hesla uživatelů /etc/group informace o uživatelských skupinách ii. Jak nastavit uživateli heslo? Jaké jsou zásady tvorby hesel? [3] při vytvateni uzivatele adduser [jmeno] změna hesla: passwd jmeno_uzivatele minimalne 8 znaku male, velke cislici, interpunkce heslo nesmi byt odvoditelne, netrivialne, ale zapamatovatelne iii. Kde a jak lze nastavit kontrolu kvality hesla při změně? [2] -moznost pouziti knihovny cracklib, Stačí nastavit, aby se cracklib používal a pak jen vyladit přísnost jeho testů. apt-get install libpam-cracklib iv. Jak nastavit nové heslo správce (uživatele se sudo-oprávněním), pokud je zapomenuto? [2] sudo passwd // rootovi sudo passwd <uzivatel_s_pravy_sudo> // sudo se zadava heslo uzivatele s pravy sudo sudo adduser <uživatel> admin // da uzivateli pravo pouzivat sudo b) Práva v Unixu: ls -l, chmod, umask. i. Popište dlouhý výstup příkazu ls. [2] ls -l Zobrazuje dlouhy vystup z vypisu adresare. Tento vystup obsahuje: prava souboru, počet odkazu na i-node(na soubor), vlastnika, skupinu, velikost v bajtech, datum poslední modifikace, nazev souboru ii. Definujte způsob používání práv v Unixu (skupiny, práva). [6] V unixu jsou prava definovana oktalove. Pro vlastniku, skupinu a ostatní: rwx(x-spousteni, pristup do adr.) Pro adresare zacanaji prava na d, pro symbolicke odkazy na l Nastaveni prav, chmod, umask (sticky 1777) Sticky bit pokud je nastaven na adresari, muze soubor v adresari smazat pouze vlastnik, vlastnik adresare nebo root (chmod +t adresar) SUID program nebezi pod pravy otce, ale pod pravy vlastnika 4777 SGID program bezi pod pravy skupiny, které soubor patri

9 chmod [volby] práva soubor... př. chmod u-r radekpokus POPIS Příkaz chmod změní přístupová práva zadaných souborů podle parametru práva, který může být zadán buď pomocí symbolického zápisu změn nebo osmičkovým číslem udávajícím bitově nová práva. Formát symbolického zápisu změn práv je `[ugoa...][[+-=][rwxxstugo...]...][,...]'. Může být zadáno více symbolických operací oddělených čárkami. Kombinace písmen `ugoa' na začátku každého symbolického zápisu určuje,jaká kategorie práv má být změněna: `u' jsou práva vlastníka (user), `g' práva ostatních členů skupiny souboru (group), `o' práva ostatních uživatelů (others) a `a' práva všech uživatelů (all). Není-li zadáno žádné z těchto písmen, bude výsledek stejný, jako kdyby bylo zadáno `a', ale nebudou změněny bity nastavené v umask. Operátor `+' způsobí přidání zadaných práv ke stávajícím právům souboru, `-' odebrání zadaných práv, `=' způsobí nastavení zadaných práv. Písmena `rwxxstugo' udávají nová práva pro zadanou kategorii: `r' je právo čtení (read), `w' zápisu (write), `x' právo provádění programu nebo přístupu do adresáře (execute), `X' je totéž jako `x', ale nastavuje se pouze souborům, které pro některou kategorii už právo `x' mají, a adresářům. `s' je právo setuid nebo setgid (běžící program bude mít oprávnění svého vlastníka nebo skupiny, nikoli uživatele, který jej spustil) a `t' sticky bit. Písmena `u', `g' a `o' znamenají převzetí stávajících práv vlastníka, skupiny vlastníků souboru nebo ostatních. (Takže `chmod g-s soubor' odstraní set-group-id bit, `chmod ug+s soubor' nastaví bity set-user-id a set-group-id, zatímco `chmod o+s soubor' neudělá nic.) Název `sticky bit' je odvozem od jeho původního významu: podržet text programu ve swapu. Dnes, pokud je nastaven pro adresář, znamená, že pouze vlastník souboru a vlastník tohoto adresáře může odstranit soubor z adresáře. (To je běžně používáno u adresářů jako /tmp, které mají povolen zápis pro všechny.) Číselné zadání práv je tvořeno jednou až čtyřmi osmičkovými (0-7) číslicemi (pokud je číslic méně než čtyři, doplní se zleva nuly). Číslice jsou získány sečtením bitů s hodnotami 4, 2 a 1. První číslice má význam set-user-id (4), set-group-id (2) a sticky (1). Druhá číslice má význam práv pro vlastníka, 4 je čtení, 2 zápis, 1 provádění; třetí číslice stejných práv pro skupinu, čtvrtá pro ostatní. iii. Jaká se nastaví práva nově vzniklému souboru (adresáři)? [2] Nastavi se prava podle uzivatele, který soubor /adresar vytvoril. Mozne ovlivneni prikazem UMASK. (777 = , 000 = rw-rw-rw-) c) Autentizace: PAM, Kerberos, cracklib. i. Co je Kerberos a k čemu slouží? [3] Kerberos je autentizacni sitovy protokol, který umoznuje bezpecnou identifikaci na nezabezpecene siti. Byl vytvořen primárně pro model klient-server a poskytuje vzájemnou autentizaci klient i server si ověří identitu své protistrany. Kerberos je postavený na symetrické kryptografii a potřebuje proto důvěryhodnou třetí stranu. ii. K čemu slouží PAM a co to je? Uveďte nějaký příklad využití. [4] PAM je univerzalni autentizacni modul. Samotne aplikace se tedy nemuseji starat o autentizaci uzivatele. Modul PAM vse obstara. Systém PAM (Pluggable Authentication Modules) dává administrátorům počítačových systémů do ruky nástroj, který jim citelně usnadní řešení jejich problémů s přidělováním přístupových práv uživatelům. Mechanismus PAM "Pluggable Authentication Modules", který implementuje jednotné rozhraní pro autentizaci / autorizaci uživatelů. PAM je modulární a práci s

10 jednotlivými zdroji dat - ať už se jedná třeba o soubor passwd nebo třeba o seznam uživatelů uložený v relační databázi - obstarávají specializované moduly. Pokud chceme doplnit další zdroj dat, jednoduše vytvoříme potřebý modul pro PAM a zbytek systému zůstatne beze změny. Dalším příjemným důsledkem používání PAMu je to, že aplikace, které potřebují provádět autentizaci / autorizaci uživatelů, již nemusejí být instalovány jako setuid root, což bez použití PAMu musely, jinak by nemohly se soubory passwd a shadow pracovat. Konfigurace PAMu je standardně uožena buď v souboru /etc/pam.conf (v případě starších distribucí) anebo nověji v jednotlivých souborech umístěných v adresáři /etc/pam.d. PAM modul pam_unix: tento modul PAMu pracuje se soubory /etc/passwd a /etc/shadow, podporuje šifrování hesel pomocí crypt() i algoritmu md5. Také je možné jej nakonfigurovat tak, aby si pamatoval dříve použitá hesla a nedovolil uživatelům je znovu použít (stará hesla jsou ukládána v souboru /etc/security/opasswd). Možnosti konfigurace modulu jsou popsány v souboru README.pam_unix, který je součástí programové dokumentace PAMu. iii. Co je to cracklib a jak se dá použít? [3] Rozšířený passwd knihovnou cracklib, který se snaží rozlomit heslo hned při zadání. Diky nemu musí uzivatele zadavat dostatecne silna hesla. PAM modul pam_cracklib: tento modul PAMu (viz příklad výše) umožňuje konfrontovat nově zadávaná hesla se slovníkem, také hodnotí jednoduchost ("simplicity") hesla. Možnosti konfigurace modulu jsou popsány v souboru README.pam_cracklib, který je součástí programové dokumentace PAMu. d) Monitorování činnosti uživatelů: procesy, logy. i. Odkud zjistíte, kdo se kdy přihlásil na systém? [2] Prikaz last, cte ze souboru /var/log/wtmp pripadne prikaz lastlog finger informace o uživateli sudo cat /var/log/auth.log činost uživatele, co dělal, co instaloval.. ii. Kam se ukládá informace o všech pokusech přihlásit se? [2] Prikaz lastb, cte ze souboru var/log/btmp iii. Co vše lze sledovat online? Jakými prostředky? [3] top poskytuje pohled na zatížení procesoru v reálném čase, sleduje procesy a zobrazuje info o procesech. Příkaz top zobrazuje info o linuxovém systému, běžící procesy a systémové prostředky, včetně CPU, RAM, swap a počet právě běžících úkolů. etc/toprc globální konfigurační soubor ~/.toprc uživatelský konfigurační soubor htop rozšířené zobrazení, funguje jako program, lze procesy zabíjet atd. who info o přihlášených uživatelech, runlevel atd. (man who) iv. Co je process accounting? Jaké informace lze zjistit zpětně? [3] Process accountung je metoda nahravani a sumarizace prikazu, které byly spusteny na linuxu. Moderni linuxove jadro kernel je schopne si nechavat proces. Acc. Zaznamy prikazu, které byly spusteny, kdo je spustil jejich CPU time a další. PA umoznuje ziskavat detailni informace a pouziti systemovych zdroju, celkove monitorovani systemu. Prikazy: ac - ukazuje záznamy o době připojení. lastcomm - příkaz ukazuje informace o všech dříve zpracovaných příkazech. last - příkaz last zobrazí v opačném chronologickém pořadí všechna předchozí přihlášení a odhlášení. sa - vypisuje informace o předchozích potvrzených příkazech. 4. Shelly a úprava textů (konfiguračních souborů). bash jako programovací jazyk admina,.profile,.bashrc, /etc/{shells,profile,bash.bashrc},.xsession, /etc/x11/xsession{,.d/*}; regulární výrazy, grep, editory ed, vi, sed; skripty v shellu, jazyky awk, perl.

11 a) Regulární výrazy: grep, sed, vi. (RE podle anglického regular expression) i. Definujte regulární výrazy a jejich účel. [2] Regularni vyraz slouzi k vyhledavani casti retezce, kterou predem uplne nezname, nebo muze mit vice podob. Regulární výrazy se nejčastěji používají v počítačových programech a skriptovacích jazycích pro vyhledávání a úpravu textu. V případě, že uživatel chce v textu vyhledat nějaký řetězec, který nezná přesně nebo který může mít více variant, může zadat regulární výraz, který postihne všechny chtěné varianty. Program tak nalezne všechny části textu, které danému výrazu odpovídají. Regulární výraz se skládá z literálů textu, které se mají shodovat, a speciálních znaků, které nejsou součástí hledaného textu, sloužících pro popis alternativ, množin, počtů výskytů a přepínačů. ii. Uveďte JRE. [2] iii. Uveďte konstrukci víceznakových RE (opakování). [3]? min 0 max 1 * - min 0 max neomezeno + - min 1 max neomezeno {1} presny počet vyskytu, {n,} n a vice vyskytu, {n,m} n az m v. [a-za-z] mnozina pouz. Znaku [^a-z] negace mnoziny, tzn mimo znaky a-z.* - libovolny počet libovol znaku. - jeden znak jakykoli iv. Uveďte konstrukci RE (hranice v textu). [2] ^ zacatek radku, $ konec radku v. Uveďte příklad. [1] echo "Martin Novak" sed 's/^\(.*\) \(.*\)$/\2 \1/' ls -l grep 'Do.*$' (grep tiskne řádky, které odpovídají zadanému vzoru) b) Shell: přesměrování vstupu/výstupu, kolony. i. Které vstupy/výstupu má každý proces k dispozici ihned po spuštění? [3] Standardni vstup < (0<) Standardni vystup > (1>) Standarni chybovy vystup 2> (2>) ii. Jak lze v shellu vstup/výstup přesměrovat ze/do souboru? Jak je to s přepisováním existujících souborů? [3] > presmerovani vystupu s prepisem, resp. vytvorenim noveho souboru >> presmerovani vystupu, pridan nakonec, resp. Vytvori 2> presmeruje chybovy vystup 1> to same co > &> presmerovani obou vystupu Přesměrování vstupu: příkaz n< soubor Soubor musí existovat iii. Co je to tzv. HERE DOCUMENT? Jak se používá? [1] Pokud je potreba vytisknout nejaky delsi text, tak jako pomucka je vhodne pouzit syntaxi tzv. Here-documentu. Priklad: $ cat << KONEC > jeden dva > tri ctyry > KONEC jeden dva tri ctyry iv. Objasněte pojmy pojmenovaná a nepojmenovaná roura. [2] Pojmenovana roura jedna se o standardni FIFO frontu. Fronta je

12 pernamentni a je nutne ji vytvorit a procesy do ni pripojit. Jedna se o standardni zpusob meziprocesove komunikace. Priklad: mknod trubka p # jeden shell man mknod > trubka cat trubka # druhy shell když už nepotřebujeme, tak rm trubka Nepojmenovaná roura lze vytvorit pouze mezi pribuznymi procesy a zanika okamzite po dokonceni prikazu cat soubor grep text -grep prohledává vstup(zadaný soubor) a hledá řádky obsahující zadaný text. Pak je vypíše. v. Jak napojit výstup jednoho procesu na vstup jiného procesu? [1] Pomoci pojmenovane nebo nepojmenovane roury. c) Skripty po přihlášení. i. Co je to skript? [1] Zdrojovy kod, který je interpretovan, cten a spousten programem interpretem. Skript je v informatice zdrojový kód programu, který je tzv. interpretován, tj. čten a spouštěn za běhu speciálním procesem, tzv. interpretem. Jakožto programový kód, je i skript vytvořen v programovacím jazyku (hovoří se o tzv. skriptovacím jazyku), který má přesně stanovenou formální gramatiku (tj. pravidla, syntaktické elementy, jazykové konstrukty atd). ii. Které skripty se provádějí při přihlášení uživatele na textovou konzoli? [4] Prihlaseni na textovou konzili je realizovano runlevelem 3. Po spusteni budou spusteny skrypty pro run level 3, tj. Z adresare /etc/rc3.d iii. Které skripty se provádějí při přihlášení uživatele na grafickou konzoli? [2] Graficka konzole = runlevel5, spusti se skripty z adresare /etc/rc5.d iv. Co se obvykle ve skriptech nastavuje? Uveďte nejaký konkrétnější příklad. [3] spusteni a nastaveni demona... skript se spusti napr. Interpretem #!/bin/bash d) Shell-skripty obecně. i. Co je to skript? [2] Zdrojovy kod, který je interpretovan, cten a spousten programem interpretem. ii. Jaký typ programovacího jazyka je shell? [2] Interpretovany programovací jazyk. iii. Jaké typy skriptů (dle iterpretru) znáte? Vyjemnujte. [2] Bourne shell (sh) C-shell (csh) Korn shell (ksh) Bourne-again shell (bash) iv. Jak vypadá první řádek skriptu? Co to pro jádro systému znamená při jeho spuštění? [2] #!/bin/bash jadro podle radku pozna, jaky interpret ma byt spusten v. Jaká musí mít skript práva, aby se dal přímo spouštět (tedy nikoliv jen jako parametr příkazu pro shell)? [2] musí mit prava pro spusteni. Standardne se skripty nastavuji 755. vi. Jak je to s bity SUID/SGID u skriptů? [2] SUID- Je-li nastaven na spustitelném souboru, pak při jeho spuštení bude efektivní UID procesu nastaveno na UID vlastníka souboru. Na nespustitelném souboru způsobí v Linuxu a Systém V systémech uzamčení souboru při jeho přístupu. SGID- Je-li nastaven na spustitelném souboru, pak při jeho spuštení bude efektivní GID procesu nastaveno na GID vlastníka souboru. Na nespustitelném souboru způsobí v Linuxu a Systém V systémech uzamčení souboru při jeho přístupu.

13 SUID shell scripty představují vážnou bezpečnostní slabinu a mohou být crackery zneužity pro získání root přístupu do systému. Proto je jejich nastavení jádrem ignorováno a script běží vždy pod UID uživatele. Skript s SUID nebo s SGID muze zpusobit bezpecnostni problemy, nepouziva se to. Napr. Pokud uzivatel ziska na chvili pristup ke konzoli s rootem, tak ziska prava roota (ze svého uctu) temito prikazy: cp /bin/sh /tmp/break-acct chmod 4755 /tmp/break-acct acct 5. Nastavení sítě. protokoly IP, adresace, směrování, firewall, IPv6, sledování provozu, rozšířené směrování, QoS, bridge, tunely. a) Adresace v IPv4: typy adres, maska. i. Jak vypadá adresace v IP verze 4? [2] 4 tridy adres: A maska (0) B maska (10) C maska (110) D testovaci (1110) Lomitkova adresa za lomitkem se udava kolik bitu je vyuzito pro adresu site, /30 = 30 bitu pro sit, 2 bity pro hosty (2^2-2) ii. Definujte pojmy: netmask, broadcast, net address. [3] netmask=definuje zda adresa patri do dane site broadcast=vsesmerova adresa. Dorazi ke vsem hostum v siti. Vsechny bity v casti hosta jsou nastaveny na 1. net adress=adresa hosta v siti iii. Uveďte příklad adresy zařízení, masku, broadcast, adresu sítě a první a poslední použitelnou adresu. [3] Adresa AS = MASKA = BA = MIN = MAX = iv. Co je to brána (gateway)? [2] Gateway = sitove rozhrani mezi sitemi pouzivajici ruzne protokoly Default GW = sirove rozhrani (router), pres které se stanice dostanou do vnejsi site. Brána (gateway) je v počítačových sítích uzel, který spojuje dvě sítě s odlišnými protokoly. Brána musí vykonávat i funkci směrovače (routeru) a proto ji řadíme v posloupnosti síťových zařízení výše. Brána například přijme z mobilní GSM sítě SMS zprávu a odešle ji do Internetu jako . Pojem implicitní brána (anglicky default gateway) označuje směrovač (router), přes který se stanice dostanou do vnější sítě (tj. obvykle do Internetu). Oba významy jsou často nesprávně zaměňovány. b) Směrování v IPv4: směrovací tabulky, směrování dle zdrojové adresy. i. Jakým způsobem se směrují pakety? Popište to na příkladu. [3] Paket nese v IP hlavicce informaci o IP adrese cile ( ). Dorazi na router, ten si adresu vezme a porovna s maskou. Tim ziska adresu site do které ma paket smerovat. Zjisti, ze paket ma smerovat do site Podiva se do routovaci tabulky aby zjistil, na které rozhrani ma paket poslat. Tahle situace se opakuje na všech routerech dokud není poslan primo na cilovy pocitac. (cilova adresa se na kazdem radku routovaci tabulky nasobi bitove s maskou site v tabulce, pokud jich odpovida vic, resi se to metrikou, pokud neopovida zadny zaznam, paket je poslan na vychozi branu) ii. Co je to gateway? Co musí splňovat záznam pro gateway? [2] Gateway = sitove rozhrani mezi sitemi pouzivajici ruzne protokoly

14 Default GW = sirove rozhrani (router), pres které se stanice dostanou do vnejsi site. iii. Jak lze směrovat dle zdrojové adresy? [2] Mela by to umoznovat NAT. NAT je zkratka pro Network Address Translation ( překlad síťové adresy ) a je to metoda, pomocí které se mění hlavičky packetů procházejících síťovým routerem. Měnit se může jak zdrojová nebo cílová adresa, tak například i zdrojový nebo cílový port, ale i další parametry jako TTL apod. Byl vytvořen jako krátkodobé řešení problému nedostatku IPv4 adres. Změnou zdrojové adresy packetů z vnitřní sítě na adresu routeru docílíme toho, že se celá síť za routerem tváří jako jeden prvek - všechny odchozí packety mají zdrojovou adresu routeru. Aby toto mohlo fungovat, musí si router uchovávat tabulku spojení, aby dokázal navracející se packety nasměrovat na správnou adresu z vnitřní sítě. Pro celou síť tedy neni nutné mít unikátní adresy v rámci internetu, ale pouze jednu pro router. TZN. ze router si musí nejakym zpusobem ulozit zdrojovou adresu, která jde ven... a prichozi pakety, které mají DESTADDR routeru nastavit DESTADDR dle zdrojove adresy, která vyslala pozadavek. iv. Objasněte dynamické směrování. Které znáte protokoly pro dynamické směrování? [3] Dynamicke smerovani smerovani prubezne reaguje na zmeny na siti a prizpusobuje jim smerovaci tabulky. RIP velmi rychli, vhodne pro male site (do 15 skoku). Routery si periodicky vymenuji smerovaci tabulky. OSPF pouziva se pro autonomni systemy. Routery si v pravidelnych intervalech kontroluji spojeni se sousednimi servery (ECHO). Pokud zjisti nejakou zmenu, poslou informaci ostatnim routerum ve sve oblasti. O predavani informaci do dalsich oblasti se staraji hranicni routry. BGP c) Firewall: iptables (Linux) / ipfw (BSD) / ipf (Solaris), pravidla, řetězce, conntrack (stavový firewall). i. Jaké komponenty má firewall na Linuxu (iptables)? [3] Iptables je mocný nástroj, který umožňuje linuxovému nebo unixovému systému plně pracovat se síťovou komunikací. Pomocí něj si můžeme snadno postavit různé druhy firewallů (stavový, transparentní ) nebo sdílení internetu, zkrátka snadno řídit velkou síťovou dopravní křižovatku na serveru. Základními tabulkami jsou filter, nat a mangle. NAT - Network Address Translation ( překlad síťové adresy ) a je to metoda, pomocí které se mění hlavičky packetů procházejících síťovým routerem. Viz vyse. FILTER - Je to paketový filtr, tzn. prohlíží hlavičky paketů, jež prochází skrz síťové rozhraní počítače a rozhoduje o tom jak se s pakety naloží. Paket buď zahodí, propustí, nebo jej obslouží jiným způsobem (např. přepošle jinam do sítě). MANGLE - V této tabulce by nás mohlo zajímat hlavně nastavení TOS (Type of service) a TTL (Time to live). ii. Popište funkčnost iptables nebo ipf (ipfw). [2] iptables slouzi jako nastroj pro idetovani tabulek pro netfilter. Slouzi k nastaveni pruchodu paketu jadrem systemu. Soubor pravidel potom tvori firewall. Je mozne také nastavit tabulky nat a mangle. IP Tabulka je rozdelena na 3 casti, tzv. Chain. INPUT, OUTPUT, FORWARD. Je mozne si pridat vlastni pravidla. iii. Co je to restriktivní firewall? Uveďte příklad. [2] Firewall, který ma zakazanu vetsinu komunikace. Omezi se vse, a pak se povoluje. iv. Co je to NAT a kde se využívá? [3] NAT - Network Address Translation ( překlad síťové adresy ) a je to metoda, pomocí které se mění hlavičky packetů procházejících

15 síťovým routerem. Viz vyse. d) Omezování rychlosti provozu sítě, řízení provozu. i. Jmenujte dva typy algoritmů pro řízení provozu sítě. [2] ingress (incoming) policing omezování rychlosti na vstupním interface podporuje pouze classless disciplines potřebujeme-li classful, řešením je např. IMQ umožňuje pakety pouze propustit nebo zahodit egress (outgoing) shaping omezování rychlosti na odchozím interface použijeme-li classful strom, pak na listech můžeme nakonfigurovat libovolnou (obvykle classless) discipline (implicitní je pfifo_fast) HTB Hierarchical Token Bucket autorem cech PRIO prioritní FIFO ii. Pro každý typ jmenujte některé konkrétní algoritmy. [4] ingress IMQ egress - HTB, pfifo_fast, PRIO iii. Vyberte si dva konkrétní algoritmy a popište způsob jejich činnosti. [4] pfifo_fast - klasická fronta FIFO, implicitní má 3 pásma (bands) fronty pro 3 priority používá hodnotu TOS z paketu IP (4 bity) e) Sledování provozu sítě, monitorování dat, diagnostika nefunkčnosti sítě. i. Které údaje je vhodné na směrovači sledovat? [2] Základní datovou strukturou pro směrování je směrovací tabulka (routing table), takže její nastavení, pokud používáme statické směrování. Povolené porty. ii. Jaké nástroje pro sledování provozu lze použít? [3] Systém->Správa->Síťové nástroje -info o síťových zařízeních -ping -netstat - info o směr. tabulce, multicastu, aktiv. síťových službách -traceroute - ukáže cestu kterou pakety putují k zadanému počítači -skenování portů iptables Základní stavební kámen ke kontrole síťových spojení apod iproute2 Sada programů mezi nimiž je mj. program tc, který je nezbytný pro shaping. vnstat vnstat je další aplikací, která může být použita pro měření přenosů dat. Je trochu jednodušší a snadnější než ipac-ng. Jedna z výhod použití vnstatu je, že neběží na pozadí jako démon a tudíž nezabírá místo v paměti. Proces je vyvolán pomocí cronu a spouští se každých 5 minut. -program ip iii. Popište podrobněji vybraný nástroj pro sledování provozu. [2] iv. Jak postupovat při diagnostice nefunkčnosti sítě? Vyjmenujte nástroje a popište postupy odhalení nefunkční části sítě. [3] Pomocí programu ip: -příkaz: ip addr list - info o síťových zařízeních v systému (loopback, síťová karta) -příkaz: ip route ls - nastavení routovacích pravidel (kam a jak se mají packety směrovat) -test spojení příkazem ping -dále použití programu netstat: -příkaz: netstat -t zobrazí všechna TCP aktivní spojení -příkaz: netstat -i vypíše tabulku zařízení jádra Tuto tabulku si vysvětlíme trošku podrobněji. MTU znamená, jaký největší počet

16 bytů může být najednou poslán přes dané zařízení. Sloupec Met označuje metriku zařízení. Dále tam je několik sloupců, které začínají buď písmeny RX nebo TX. RX označuje příchozí packety, TX naproti tomu odchozí. Příchozí a odchozí packety jsou navíc děleny do skupin OK znamená, že byl packet přijat/odeslán bez problému, ERR označuje chybný packet, DRP počet zahozených packetů, OVR overrun. Poslední sloupec označuje příznaky, které v tomto případě u zařízení eth0 znamenají, že zařízení přijímá broadcast packety (B), je v promiskuitním režimu (M, to znamená, že všechny přijaté/odeslané packety jsou zaznamenávány), zařízení běží (R) a je aktivní (U). U lokální smyčky je navíc nastaven příznak, který určuje, že je zařízení lokální smyčka (L). Netstat se také dá velmi dobře použít na přehled služeb, které běží. Použijeme volby -n (IP nebudou překládány na názvy), -a (zobrazí vše), -t (TCP protokol), -u (UDP protokol) a -p (který program je zodpovědný za otevřený port). Tyto volby jsou sympatické, protože se dají poměrně dobře zapamatovat třeba jako -tupan. Další možností jak zjistit, které služby běží, je zobrazení služeb, které na nějakých portech poslouchají. K tomu slouží příkaz netstat --inet -l, v případě, že chcete vědět, který program je za otevřený port zodpovědný, použijte opět parametr -p. Tcpdump zachytává packety a zaznamenává jejich hlavičky. Spuštění potřebuje superuživatelské oprávnění a pro jeho příklad stačí tcpdump jednoduše spustit s parametrem, které že zařízení nás zajímá. root@hippo~# tcpdump -i eth0 Trasování - traceroute Skenování portů - Scanováním portů se obvykle rozumí testovaní, zda na daném portu běží nějaká služba. Díky tomu můžete otestovat nastavení svého firewallu a podobně. Jedním z nejznámějších programů je zřejmě nmap. př. nmap O -ss 6. Síťové služby. services, inetd, démoni, DNS, DHCP, NFS, web/ftp/ /news, databáze, Samba. a) DNS: princip, revers, konfigurace. i. Jak funguje DNS? Jaké jsou typy serverů? [3] DNS = domain name server, preklad IP adres na domenova jmena Systém DNS umožňuje efektivně udržovat decentralizované databáze doménových jmen a jejich překlad na IP adresy. Stejně tak zajišťuje zpětný překlad IP adresy na doménové jméno - PTR záznam. Typy DNS serveru: Primární server je ten, na němž data vznikají. Pokud je třeba provést v doméně změnu, musí se editovat data na jejím primárním serveru. Každá doména má právě jeden primární server. Sekundární server je automatickou kopií primárního. Průběžně si aktualizuje data a slouží jednak jako záloha pro případ výpadku primárního serveru, jednak pro rozkládání zátěže u frekventovaných domén. Každá doména musí mít alespoň jeden sekundární server. Pomocný (caching only) server slouží jako vyrovnávací paměť pro snížení zátěže celého systému. Uchovává si odpovědi a poskytuje je při opakování dotazů, dokud nevyprší jejich životnost. Odpověď pocházející přímo od primárního či sekundárního serveru je autoritativní, čili je brána za správnou. Z hlediska věrohodnosti odpovědí není mezi primárním a sekundárním serverem rozdíl, oba jsou autoritativní. Naproti tomu odpověď poskytnutá z vyrovnávací paměti není autoritativní. Klient může požádat o autoritativní odpověď, v běžných případech ale stačí jakákoli. ii. Jak je třeba nakonfigurovat unixového klienta pro používání DNS? [2] Každý koncový počítač má ve své konfiguraci síťových parametrů obsaženu i adresu lokálního DNS serveru, na nějž se má obracet s dotazy. V operačních systémech odvozených od Unixu je obsažena v souboru /etc/resolv.conf Pokud počítač hledá určitou informaci v DNS (např. IP adresu k danému jménu), obrátí se s dotazem na tento lokální server. Každý DNS server má ve své konfiguraci

17 uvedeny IP adresy kořenových serverů (autoritativních serverů pro kořenovou doménu). iii. Jak nakonfigurovat server pro zónu? Jaké jsou typy záznamů? [4] Celá problematika sa točí okolo DNS záznamov. Hlavný DNS záznam je A záznam A záznam určuje smerovanie domény (doména = logická adresa umiestnia stránky), na IP adresu (IP = číselná adresa umiestnenia), teda v DNS záznamoch najdete niečo ako domena - typ záznamu - odkaz. isol.cz - A MX záznam znamená umiestnenie mail serveru (Mail exchange) požíva sa v prípade, že je mail hostovaný na inom servery ako vaša webová stránka. MX záznam može obsahovať viac odkazov, využite v prípade záložného mail serveru. CNAME - určujte smerovanie subdomen teda napr domena - typ záznamu - odkaz. *.isol.cz - CNAME - isol.cz iv. Co je reverzní zóna? [1] reverzní zóna umožňuje DNS konverzi z adresy na jméno(zpětný překlad) b) Samba: princip, konfigurace, bezpečnost (způsoby autentizace). i. Co je to Samba a k čemu se používá? [3] Programovy balik, který slouzi k propojeni Linuxovych stanic do site Windows. Pouziva protokoly SMB(moznost pristupu ke sdilenym prostredkum) a CIFS (linuxove rozsireni, opravneni, UID, symb. Odkazy). ii. Uveďte možné způsoby autentizace. Vysvětlete. [3] User mode - autentizace na základě jména a hesla. Share mode Tento režim vybereme, pokud na serveru budou sdílené prostředky přístupně všem. Možno zaheslovat, jedním pro všechny stejným heslem. ADC mode - autentizace proti serveru s Active Directory (Microsoftí obdoba LDAP). Domain mode - Slouží k integraci Samba serveru do stávající sítě, založené na systémech Windows. Server mode - Umožňuje využití počítačů s levnějšími systémy Win NT Workstation či Win 2000 Professional v roli serverů poskytujících informace pro ověřování uživatelů. Konfigurace samby je v /etc/samba/smb.conf. Pridani uzivatele probiha prikazem: sudo smbpasswd -a jmeno_uzivatele (chyba-změna hesla) iii. Jaké parametry lze použít pro sdílené složky? Vyjmenujte a popište některé parametry. [4] comment - popis domovských adresářů browseable - nastavuje procházení adresáře writeable - nastavuje právo zápisu path - adresář, do kterého budou při tisku zapisovány soubory printable - určuje, zda jde o tiskárnu create mask jsou práva pro nově vytvořené soubory v adresáři. directory mask jsou práva na tento adresář. valid users seznam uživatelů s povoleným přístupem k adresáři. invalid users opět seznam uživatelů, ale s nedovoleným přístupem k dannému adresáři. hosts allow povolení přístupu pouze z těchto ip adres writable povolení/zakázání zápisu do adresáře write list seznam uživatelů, kteří budou moci z danného adresáře pouze číst

18 read list seznam uživetelů, kteří získají opravánění i k zápisu dat (i když bude nastaveno writeble=no) only guest adresář přístupný pouze pro guest c) Služby obecně: services, inetd, tcpd, démoni. i. Co je to démon? Jak a kdy se spouští? [2] Démon je v informatice označení programu, který je spuštěn dlouhodobě a není v přímém kontaktu s uživatelem (na rozdíl od běžných aplikací). Démon je součástí multitaskingových operačních systémů a obvykle se spouští při startu. Jeho úkolem je vyčkávat v nečinnosti na nějakou událost, tu posléze obsloužit a zajišťovat tak různé úkoly bez nutnosti interakce s uživatelem (obsluha počítačové sítě, tiskové fronty a podobně). ii. Jaké znáte services? Uveďte příklady a uveďte soubor s definicemi portů. [2] services - databáze služeb sítě Internet services je čitelný textový soubor poskytující převod mezi názvy služeb a jim příslušných čísel portů a protokolů. Každý síťový program by měl z tohoto souboru získat číslo portu a typ protokolu. /etc/services. Každý řádek obsahuje jeden záznam ve tvaru: service-name port/protocol [aliases...] Jednoduchý soubor services může vypadat nějak takto: netstat 15/tcp qotd 17/tcp quote msp 18/tcp # message send protoco msp 18/udp # message send protocol ftp 21/tcp telnet 23/tcp iii. Co je to (x)inetd? Popište účel a způsob fungování. [4] Server inetd je síťový daemon, který se specializuje na správu příchozích síťových spojení. Jeho konfigurační soubor mu říká, který program se má spustit při obdržení příchozího spojení. Každý port může být nastaven pro protokoly tcp nebo udp. inetd je často nazýván internetový superdémon, neboť spouští na požádání rozličné síťové služby a démony, kteří by jinak zbytečně museli běžet v systému nepřetržitě, např. ftpd, telnetd,atd. Často používanou alternativou k inetd se v poslední době stává xinetd, který má proti inetd řadu výhod. Xinetd nabízí například lepší kontrolu přístupu k službám (mimo jiné možnost omezení přístupu ke službám v určitých časových intervalech), ochranu proti útokům odepřením služeb (DoS), přesměrování služeb a lepší logování. inetd poslouchá na určených portech používaných internetových služeb, jako jsou FTP, POP3 a telnet. Když TCP paket nebo UDP paket přichází s konkrétní cílové číslo portu, inetd spustí odpovídající server program pro práci s připojením. Za služby, které se neočekává, že běží s vysokou zátěží, tento způsob využití paměti efektivnější, protože konkrétní servery provozovat jen v případě potřeby. soubor /etc/services se používá k mapování čísel portů a protokolů k názvům služeb soubor /etc/inetd.conf je použit na mapování názvů služeb na server jmen. Např., pokud je požadavek, který přijde TCP na portu 23, /etc/services ukazuje: telnet 23/tcp Další popis:( V operačním systému typu UNIX se používá celá řada serverů: telnetd pro protokol TELNET, ftpd pro protokol FTP atd. Tyto servery se zpravidla nespouští trvale po startu systému. Po startu systému se spouští tzv. superserver inetd, který očekává požadavky (naslouchá) na portech jednotlivých serverů. Přijde-li na nějaký port požadavek, pak pro vyřízení požadavku spustí příslušný server. Pro jaký port má spouštět jaký server má uvedeno na jednotlivých řádkách souboru /etc/inetd.conf. Příklad řádku souboru /etc/inetd.conf pro spouštění serveru telnetd má tvar:.. telnet stream tcp nowait root /usr/sbin/telnetd telnetd Kde telnet specifikuje číslo portu podle souboru /etc/services, stream specifikuje typ socketu (stream nebo dgram), tcp specifikuje protokol podle souboru /etc/protocols,

19 nowait určuje že se nemá čekat na uvolnění socketu, root specifikuje uživatele pod jehož UID se server spouští a konečně následuje jméno programu (serveru) a parametry. Jako server se tedy spouští program /usr/sbin/telnetd. Jako ochranu serverů spuštěných na našem počítači můžeme použít wrapper. Wrapper je program umožňující jednoduché ověření totožnosti klienta. Původní wrapper byl napsán na Eindhoven University of Technology a autorem je Wietse Venema. Program se jmenuje tcpd. Dnes existuje více podobných programů a hovorově se oznašují jako wrappery. Superserver inetd má ve svém konfiguračním souboru napsáno, pro jaký port má spouštět který server. Použije-li se wrapper, pak v témže konfiguračním souboru se místo jména serveru specifikuje wrapper a teprve parametrem wrapperu je název serveru. Řádek souboru /etc/inetd.conf pro spouštění serveru telnetd má tvar: telnet stream tcp nowait root /usr/sbin/tcpd telnetd Nejprve je superserverem spouštěn wrapper (např. wrapper tcpd), který autentizuje klienta. V případě, že výsledek autentizace je kladný, tak je spuštěn příslušný server. iv. Co je tcpd? Popište účel a způsob fungování. [2] Nejen v BSD balících je již dlouhou dobu úspěšně používán TCP_wrapper, který umí filtrovat a monitorovat příchozí TCP komunikaci a filtrovat příchozí požadavky ze sítě. Tento nástroj, běžně zvaný i TCPD, je standardní součástí mnoha UNIXů a svou úlohu plnil velmi zdatně. Klasický inetd spravuje síťová připojení k serveru. Když přijde dotaz na port serveru, který je administrován inet démonem, inetd jej pošle programu tcpd. Tcpd zkontroluje v souborech hosts.{allow, deny} pokud jsou splněny bezpečnostní podmínky a spustí korespondující proces (např. ftp). Tento mechanismus se též nazývá tcp_wrapper. Další definice: Program tcpd je velice užitečným doplňkem našich serverů. Umisťujete-li nějaký server na Internet a nepoužíváte jinou metodu autentizace klientů, pak určitě zvolte alespň program tcpd. Klient prokazuje svoji totožnost na základě své IP-adresy, případě jména svého počítače. Tj. v databázi programu tcpd jsou uvedeny IP-adresy nebo jména počítačů (případně skupin počítačů) jimž je přístup povolen. V případě, že je uvedeno jméno počítače, pak se vezme z příchozího IP-datagramu adresa odesilatele a provede se na ní reverzní překlad DNS. Takto získané jméno se porovnává s databází programu tcpd. d) DHCP: princip, konfigurace serveru a klienta i. Vysvětlete účel a možnosti služby DHCP? [2] Dynamic Host Configuration Protocol je v informatice aplikační protokol z rodiny TCP/IP. Používá se pro automatické přidělování IP adres jednotlivým osobním počítačům v počítačových sítích, čímž zjednodušuje jejich správu. ii. Jakým způsobem probíhá používání této služby? [2] Klienti žádají server o IP adresu, ten u každého klienta eviduje půjčenou IP adresu a čas, do kdy ji klient smí používat (doba zapůjčení, anglicky lease time). Poté co vyprší, smí server adresu přidělovat jiným klientům. Klient komunikuje na UDP portu 68, server naslouchá na UDP portu 67. Po připojení do sítě klient vyšle broadcastem DHCPDISCOVER paket. Na ten odpoví DHCP server paketem DHCPOFFER s nabídkou IP adresy. Klient si z (teoreticky několika) nabídek vybere jednu IP adresu a o tu požádá paketem DHCPREQUEST. Server mu ji vzápětí potvrdí odpovědí DHCPACK. Jakmile klient obdrží DHCPACK, může už IP adresu a zbylá nastavení používat. Klient musí před uplynutím doby zapůjčení z DHCPACK obnovit svou IP adresu. Pokud lhůta uplyne aniž by dostal nové potvrzení, klient musí IP adresu přestat používat. IP adresa může být stanici přidělena několika způsoby: Ruční nastavení V tomto případě správce sítě nevyužívá DHCP serveru a konfiguraci jednotlivých

20 stanic zapisuje jednotlivě přímo do konfigurace jednotlivých stanic. Statická alokace DHCP server obsahuje seznam MAC adres a k nim příslušným IP adres. Pokud je žádající stanice v seznamu, dostane vždy přidělenu stejnou pevně definovanou IP adresu. Dynamická alokace Správce sítě na DHCP serveru vymezí rozsah adres, které budou přidělovány stanicím, které nejsou registrovány. iii. Minimálně které parametry je třeba nastavit pro správné fungování klienta na síti IPv4? [4] IP adresa maska sítě brána (anglicky default gateway) DNS servery (seznam jedné nebo více IP adres DNS serverů) a další údaje, např. servery pro NTP, WINS, iv. Co se stane, jsou-li v lokální síti dva servery DHCP (nebo více)? [2] První odpověď, která dorazí ke klientovi z jednoho DHCP serveru, si veme klient jako platnou. Obvykle je lepší nastavit, který DHCP server se stará o které MAC adresy klientů. Případně nastavit u druhého DHCP serveru podávání opožděných nabídek klientům oproti DHCP serveru prvnímu. Můžete také prvnímu DHCP serveru nastavit jiný rozsah nabízených IP adres. Tj. první server bude například nabízet rozsah IP adres od do a druhý DHCP server bude nabízet rozsah IP adres od do