Secuencia de arranque - PowerPoint PPT Presentation

1 / 21
About This Presentation
Title:

Secuencia de arranque

Description:

que mira /etc/passwd, o la mapa de NIS de passwd, etc. y/o /etc/login.defs ... passwd, gshadow, shadow, aliases, ethers, bootparams, hosts, networks, protocols, ... – PowerPoint PPT presentation

Number of Views:29
Avg rating:3.0/5.0
Slides: 22
Provided by: peterb147
Category:

less

Transcript and Presenter's Notes

Title: Secuencia de arranque


1
Secuencia de arranque
  • "Bootloader" - lilo
  • /etc/lilo.conf
  • boot/dev/hda
  • root/dev/hda1
  • image/boot/vmlinuz
  • init
  • /etc/inittab
  • /etc/rcX.d/
  • aqui se encuentra los scripts de arranque

2
Login
  • Autentificación del usuario
  • Autoridad para usar recursos
  • ficheros
  • servicios
  • login mediante
  • console (getty)
  • red (telnet, ssh, ftp)
  • modem, linea serie (ppp, slip, mgetty)

3
Datos para la autentificacion
  • Console (getty)
  • arranca /bin/login
  • mira /lib/pam.d/login
  • que mira /etc/passwd, o la mapa de NIS de passwd,
    etc.
  • y/o /etc/login.defs
  • comportamiento general del programa login
  • y/o /etc/securetty
  • prohibe la entrada de root
  • y/o /etc/environment
  • proporciona mas variables de por defecto en el
    entorno

4
PAM
  • Pluggable Authentification Modules
  • arquitectura general para autentificación
  • la herramienta (login, getty, ...) debe ser
    compilado contra libpam
  • /etc/pam.conf y/o /etc/pam.d/login

5
Configuración en pam.d
  • Autentificación
  • por cuenta (account)
  • caducado? Acceso permitido al servicio?
  • Tipo de mecanismo (auth)
  • pregunta/respuesta, hardware
  • tipo de passwd (password)
  • unix crypt, md5, ...
  • control de la sesión (session)
  • traces, contabilidad, tareas al login y logout

6
Pam.d operadores
  • Servicio Tipo combinator Modulo
  • login auth required pam_nologin.so
  • debe tener exito aqui, pero tambien en los demás
  • if login auth pam_nologin.so then resto else
    resto fail fi
  • login auth requisite pam_securetty.so
  • debe tener exito, y es inmediatamente fatal si
    no
  • login auth pam_securetty.so resto

7
Pam.d más operadores
  • Login auth optional pam_group.so
  • solo contamos si no hay otro metódo de
    autentificación
  • if ! rest then login auth pam_group.so fi
  • login auth suficient pam_passwd.so
  • no hay que mirar más alla
  • if login auth pam_passwd.so then true else
    resto fi

8
Pam operadores - sumario
  • Sufficient esto resto
  • optional resto esto
  • requisite esto resto
  • required resto esto

9
Pam - ejemplo
  • Login
  • auth required pam_unix.so nullok passwd nis,
    etc.
  • account required pam_unix.so entrada en
    passwd
  • session required pam_unix.so
    .login/.logout
  • session optional pam_lastlog.o contabilidad
  • session optional pam_motd.so mensaje del
    dia
  • session optional pam_mail.so std noenv
    comprobar correo
  • password required pam_unix.so nullok passwd

10
/etc/securetty
  • Lista de consoles en lo cual root puede hacer
    login
  • no incluya la red (pty)
  • normalmente se lo restringe a un solo console
    virtual (tty6) en algunas "runlevel" particulares
    (1)

11
NIS
  • Network Information Service
  • Yellow Pages
  • el sistema normalmente esta configurado para
    coger datos adicionales desde NIS
  • passwd
  • nsswitch.conf
  • passwd compat
  • passwd files nis
  • passwd db files nis
  • se necesita una entrada final en el passwd

12
NIS cliente
  • Ypbind
  • -ypsetme es buena opcion
  • /etc/yp.conf
  • domain it.uc3m.es server arpa
  • domain it.uc3m.es broadcast
  • ypserver arpa
  • (cuidado! La ultima entrada gana!)
  • ypdomainname
  • debe haber sido configurado anteriormente

13
NIS servidor
  • Ypserv
  • sirve mapas (bases de datos) en
    /var/yp/domainname/
  • cuidado! Sirve cuantos dominios que hay
    subdirectorios
  • /etc/ypserv.securenets
  • host 127.0.0.1 necesario
  • 255.255.255.0 163.117.139.0 red local
  • /etc/hosts.allow
  • ypserv 163.117.139.
  • /etc/hosts.deny
  • ypserv all except 163.117.139. 127.

14
Accesos a las mapas NIS
  • Usuario
  • mediante ypcat y ypmatch
  • ypmatch ptb passwd
  • ptb//4574150515.../usr/oboe/ptb/bin/tcsh
  • herramientas
  • parte de libc (getpwent, ..) hace llamadas a las
    mapas adecuadas cuando esta configurado el acceso
    en nsswitch.conf y /etc/passwd.

15
Que es una mapa de NIS?
  • Una base de datos, con clave primaria dato
  • Ej. ypmatch -k ptb passwd
  • ptb ptb/6754150515....
  • normalmente la clave forma parte del dato tambien
  • Estas bases existen de verdad, en el servidor, en
    el formato dbm, en /var/yp/domainname/
  • se puede mirar sus contenidos directamente
  • makedbm -u passwd.byname
  • se lo crean desde ficheros locales en la maquina
    con un Makefile en /var/yp/ que llama a dbmload
    para hacer su trabajo.

16
Más de los clientes NIS
  • Las mapas normalmente existen en dos formas, con
    dos claves distintos y los mismos datos
  • Ej passwd.byname y passwd.byuid
  • Se usa nombres abreviados (ej "passwd") para
    hace referencia a algunos de ellos (es
    passwd.byname en este caso)
  • los nombres abreviados se definen en
    /var/yp/nicknames
  • passwd passwd.byname
  • group group.byname
  • ...
  • Si no teneis los "nicknames" adecuados, causa
    problemas dificiles de localizar

17
El servidor NIS, otra vez
  • Despues de cambiar las mapas, hay que avisar el
    servidor
  • makedbm - c, o rerarncar el servodor
  • los clientes también hay que convencer a borrar
    sus caches, o esperar un timeout
  • mapas normalmente procedienets del servidor
  • group, passwd, gshadow, shadow, aliases, ethers,
    bootparams, hosts, networks, protocols,
    publickeys, rpc, services, netgroup, auto.home,
    auto.master, ...
  • se puede anadir cualquier otro!

18
Detalles del passwd por NIS
  • En el cliente
  • al final del fichero passwd
  • al final del fichero group
  • control fino
  • ptb...../bin/bash
  • cambia el shell a bash (desde tcsh!)
  • -ptb
  • deshabilita el login

19
Shadow NIS
  • Usando NIS para distribuir las mapas de shadow
    contradice el objetivo de shadow
  • Usando shadow (ficheros individuales en cada
    maquina) contradice el objetivo de NIS
  • sin embargo, algunos librerias modernas (libc6,
    glibc2) suportan mapas de shadow, restringiendo
    el acceso al usauario root.
  • Solo vale si se usa el codigo previsto. Es facil
    de hackear una ruta alrededor de este obstaculo.

20
Cambiando passwd por NIS
  • El cambio debe hacerse en el servidor, no en el
    cliente
  • Se usa una herramienta yppasswd (tambien, ypchsh,
    ypchfn, ..) en el cliente
  • Se usa un demonio yppasswdd en el servidor.
  • Las mapas de NIS contienen una entrada escondida
    que es el nombre del servidor maestro.
  • Yppasswd se conecta con el maestro (de maestroos)

21
Distribucion de mapas
  • Los servidores pueden tener servidores esclavos
    que actuan como ayudantes en una subred
  • El servidor principal usa yppush para advertirles
    de una mapa nueva
  • Los servidores esclavos usan yppull a intervalos
    regulares para pedir mapas nuevas
  • Las clientes se conectan directamente al servidor
    maestro para hacer cambios en las mapas
  • sino hubiera problemas de coherencia
Write a Comment
User Comments (0)
About PowerShow.com