Beruflich Dokumente
Kultur Dokumente
Objetivos
Objetivo geral Ao final do semestre o aluno dever ser capaz para os sistemas operacionais corporativos de: compreender a arquitetura; efetuar a instalao, configurao e gerenciamento; manipular os sistemas de arquivos; efetuar manuteno de contas de usurios; configurar redes TCP/IP; configurar os principais servios Internet; administrar servio de diretrio. Objetivos especficos Para os sistemas operacionais Linux e Windows: entender a arquitetura dos sistemas operacionais; estudar o processo de instalao e configurao; compreender o Armazenamento e sistema de arquivos incluindo o processo de boot, o gerenciamento do sistema de arquivos e o compartilhamento de arquivos; estudar o gerenciamento dos sistemas operacionais; efetuar a manuteno de contas de usurios; estudar a configurao da rede TCP/IP efetuando instalao, configurao e testes da rede; estudar a administrao e configurao dos principais servios Internet: DHCP; o servio de resoluo de nomes (DNS, WINS E LLMNR); Web incluindo as solues Apache e IIS; e Email incluindo Postfix; estudar servio de diretrio abordando as solues OpenLDAP e ActiveDirectory.
Contextualizao
A administrao de sistemas operacionais e seus servios atualmente tm se pautado pela necessidade crescente de capacitao e profissionalismo, sobretudo pela necessidade de prestar um servio de qualidade, com grande disponibilidade e a um custo razovel. Neste cenrio dois sistemas operacionais tm se destacado, os consagrados Linux e Windows. Ambos possuem ampla penetrao no mercado. A diferena entre eles, alm das questes estruturais do sistema operacional, reside no fato de que o primeiro de cdigo aberto, mantido por organizaes, empresas e comunidades de usurios. O segundo proprietrio, mantido pela Microsoft. Questes filosficas parte, o fato que os dois, cada um a seu modo, tem trabalhado para que os sistemas computacionais, cada vez mais presente na vida das pessoas, cumpram o seu papel. Os sistemas operacionais corporativos so bem atuantes na vida das pessoas e organizaes. Seja diretamente no controle e organizao de processos internos nas empresas, seja pela prestao de servios aos clientes
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
externos. Clientes estes que podem ser desde grandes empresas, passando por mdias e pequenas empresas, at usurios domsticos cada qual com suas demandas. No somente a evoluo tecnolgica dos equipamentos e software tem tornado os sistemas operacionais cada vez mais presentes em nossas vidas. O grande desenvolvimento da infra-estrutura de telecomunicaes tem permitido uma maior utilizao de muitos servios, e tambm a disponibilizao de muitos outros. Provocando uma integrao e convergncias cada vez maiores. Para permitir esta situao necessrio uma estrutura de servios conectados via rede, que permitem aos usurios acessar servios na rede local, na Internet, ou mesmo estando em qualquer ponto da Internet acessar os dados presentes em sua rede de origem. Entre os servios mais utilizados esto os de pginas web e de correio eletrnico, que permitem a disponibilizao de uma ampla gama de aplicaes e servios. Estes se apiam em outros que viabilizam o funcionamento das redes, tais como os servios de resoluo de nomes e os servios de diretrio. Neste contexto estudaremos nesta disciplina os principais servios que suportam estas novas demandas. Desde a instalao e configurao do sistema operacional, passando pelas configurao da rede e de servios bsicos como DHCP, at chegar aos servios Internet propriamente ditos, tais como: DNS, Web, Email e servio de diretrio.
Contedo
Aula 1 Arquitetura de Sistemas Operacionais Corporativos
1.1 Introduo 1.2 Arquitetura Linux 1.3 Arquitetura Windows
2.2 Estudo de Caso (Windows) 2.2.1 Introduo 2.2.2 Preparao para a Instalao 2.2.3 Instalao do Sistema Operacional
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
4.2 Estudo de Caso (Windows) 4.2.1 4.2.2 4.2.3 4.2.4 Utilizando as Ferramentas Administrativas Configuraes Iniciais do Sistema Gerenciamento do Computador Gerenciamento do Servidor
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
8.1.2 Etapa 2 Configurao Bsica do Servidor Apache 8.1.3 Etapa 3 Utilizando Servidores Virtuais no Apache 8.1.4 Etapa 4 Configurao de um Servidor Apache Seguro 8.2 Servio Web IIS 8.3 Servio de Email Postfix 8.3.1 8.3.2 8.3.3 8.3.4 8.3.5 Etapa Etapa Etapa Etapa Etapa 1 2 3 4 5 - Instalao do servidor Postfix - Configurao Bsica do Servidor Postfix Testando o Envio e Recebimento de Mensagens Via Telnet Testando o Envio e Recebimento de Mensagens Configurando a Modalidade de Entrega Maildir
1.1 Introduo
Ao chegar a esta disciplina, voc j deve ter estudado a teoria de sistemas operacionais; em especial, os itens de gerenciamento de processos, memria, sistema de arquivos e de entrada/sada. Apresentamos ainda algumas das caractersticas do kernel do Linux e do kernel do Windows. A idia desta aula sintetizar esses itens, dando a voc uma viso ampla dos sistemas Linux e Windows. Gerenciamento de processos Inicialmente, faz-se necessrio definirmos o que um processo. O entendimento que voc deve ter que um processo nada mais do que um programa em execuo. No computador que voc possa estar utilizando podem estar em execuo, simultaneamente, vrios programas, como: editor de textos; uma planilha eletrnica; um navegador; um mensageiro instantneo e um reprodutor de msicas ou vdeo. Alm destes, outros programas presentes no sistema operacional tambm podem estar em execuo. Entre estes, podemos citar os que controlam: o relgio que aparece na tela; a otimizao no consumo
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
de energia; a interao com outros dispositivos que possam vir a ser conectados pelo usurio. Logo, um processo um programa que est sendo executado. Um sistema operacional deve lidar com muitos processos, ou seja, deve executar vrios deles, inclusive, ao mesmo tempo. O processo como vimos um programa em execuo. Todavia, para que ele seja executado adequadamente pelo sistema operacional, fazem-se necessrios trs elementos: contexto de hardware; contexto de software; espao de endereamento, conforme se v na Figura 1.1. estrutura composta por esses trs contextos dado o nome de bloco de controle do processo. A seguir veremos cada um desses elementos.
O contexto de hardware armazena o contedo dos registradores da CPU, como: contador de programas (program counter); pilha (stack pointer); status. Quando em execuo, o contedo do contexto de hardware est armazenado nos registradores do processador. Assim que saem do processador, essas informaes so salvas no contexto de hardware. O processador ao trocar um processo pelo outro, estar efetuando uma troca de contexto. O que feito salvando as informaes do processo que esta saindo do processador e carregando as relativas ao processo que esta entrando. O contexto de software consiste de informaes relativas s caractersticas e limites de recursos que podem ser alocados pelo processo. Entre as informaes disponveis, esto: nome; identificador de processo ou PID (Process Identifier); identificador de grupo ou UID (User Identifier); prioridade de execuo; data e hora de criao; tempo de processador; quotas; privilgios. Os identificadores (PID ou UID) permitem ao sistema operacional ou outros processos fazerem referncia ao processo em questo. As quotas impem um limite de uso como: a quantidade de arquivos que podem abrir; nmero mximo de operaes de entrada ou de sada; tamanho de buffers; nmero mximo de subprocessos que podem ser criados. O espao de endereamento a rea de memria associada ao processo. Nesse espao so alocados os endereos de memria utilizados. Gerenciamento de memria
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Faremos agora uma breve reviso dos conceitos de gerenciamento de memria, um assunto sempre presente no estudo dos sistemas operacionais. A memria considerada um recurso escasso e caro e, mesmo com a reduo de preos que temos atualmente, ainda um recurso disponvel em quantidade limitada na mquina. Ento, em razo dessas limitaes, temos que ter um gerenciamento adequado de seu uso. Esse fato se torna ainda mais importante medida que os sistemas operacionais atuais lidam com uma quantidade cada vez maior de programas em execuo simultaneamente. No tpico anterior, vimos que os processos precisam alocar reas na memria para que possam funcionar. Veremos ento como feita essa alocao, alm de outras aes, como: swapping (troca), paginao, segmentao e memria virtual. Quais os tipos de memria presentes em um computador? Em um sistema computacional, existem dois tipos de memria: a principal a ser tratada aqui; e a secundria que cuida do armazenamento de dados em dispositivos auxiliares, como discos rgidos, memrias flash ou fitas. Existem algumas caractersticas importantes que voc deve saber neste momento. A primeira, que o processador somente executa instrues que estejam armazenadas na memria principal. A segunda, que o tempo de acesso memria secundria muito mais alto do que o de acesso memria principal. Assim, interessante que a memria principal seja suficiente para todos os processos em execuo. Caso contrrio, o sistema ter que descarregar para a memria secundria os dados referentes a um processo que no esteja mais em execuo, de modo a permitir que os dados de outro processo sejam carregados na memria principal. Esta ao denominada swapping (troca) e ser abordada mais adiante. No gerenciamento da memria, o sistema operacional deve fazer o melhor uso possvel da memria principal, inclusive minimizando o nmero de operaes de entrada e sada de dados na memria secundria. Recomendamos que voc faa uma reviso dos assuntos mais importantes relacionados ao gerenciamento de memria. Entre eles: troca de processos (swap); fragmentao; memria virtual; paginao. Gerenciamento de sistema de arquivos O sistema de arquivos um dos componentes do sistema operacional com que interagimos quando utilizamos o sistema operacional. ele que nos d a viso de parties, pastas e arquivos que temos ao manipular um sistema operacional. Desse modo, ao criar uma pasta, inserir arquivos e mover arquivos de uma pasta a outra voc est, na verdade, relacionando-se com o sistema de arquivos. Alm disso, o sistema de arquivos cuida de outras tarefas no to visveis ao usurio, como cuidar do relacionamento das aplicaes com o sistema de arquivos lgico, com o sistema de arquivos bsico, com o controle de E/S (entrada/sada) e com os dispositivos. Entre os dispositivos, podemos mencionar os discos rgidos, leitores/gravadores de CD/DVD, pendrive etc. Comecemos ento pela viso que o usurio tem do sistema de arquivos e como interage com ele, passando, em seguida, pelos conceitos de arquivos, diretrios, proteo e sistema de arquivos. Conceitos de arquivo Um arquivo a representao para o usurio de um grupo de bytes (ou bits) relacionados de alguma forma.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Desse modo, um arquivo pode ser um conjunto de dados alfanumricos que tem um significado para o seu criador ou usurio. Como exemplo de um arquivo, temos: um cdigo fonte de um programa; um programa executvel; um texto; uma planilha; uma gravao de som ou udio; animaes etc. Desse modo, tudo que temos armazenado no computador um arquivo. Assim, um arquivo um arquivo, um programa um arquivo, uma imagem um arquivo, e assim por diante. Um arquivo possui uma estrutura definida, sobre a qual temos vrios atributos, e sobre o qual podemos realizar vrias atividades. Entre os atributos de um arquivo, temos: nome identifica o arquivo para o usurio; identificador identifica o arquivo dentro do sistema de arquivos; tipo informao para os sistemas de arquivos que identificam tipos; local um ponteiro que indica uma posio relativa do arquivo; tamanho tamanho do arquivo, pode ser em bytes, palavras ou blocos; proteo informao de controle de acesso; data e hora informao de data e hora de criao e /ou ltimo acesso. As atividades que podemos realizar sobre um arquivo envolvem: criar; escrever; ler; alterar; movimentar e excluir. Tipos de arquivo Os sistemas operacionais, de modo geral, classificam os arquivos tambm por tipo. Desse modo, temos arquivos que so executveis, enquanto outros so reconhecidos como bibliotecas pelo sistema operacional, alm dos vrios tipos de arquivos manipulados pelo usurio e seus programas. A forma como os tipos de arquivos so manipulados varia entre os sistemas operacionais. No sistema operacional Linux, por exemplo, as extenses no so obrigatrias. Considere os seguintes exemplos de extenses para os arquivos no ambiente Windows: Cdigo fonte - c; .java. Objeto - obj; .o. Executvel - .exe; .com; .bin. Lote - .bat; .sh. Texto - .txt; .doc; rtf. Biblioteca - .lib; .dll. Multimdia - .mpeg; .rm. Compresso - .tar; .zip. Estrutura de diretrio O sistema de arquivos em um computador pode conter centenas de pastas, com dezenas, centenas ou mesmo milhares de arquivos em cada um. essencial que possua uma forma de organiz-los. Inicialmente, temos o disco (rgido) utilizado pelo computador. Nesse disco, temos pelo menos uma partio. Cada partio organizada em uma estrutura que se chama diretrio. Assim, para cada diretrio, temos as pastas, com seus arquivos dentro de cada uma. Considere ainda que um diretrio possa conter vrios nveis. A esta estrutura podem ser aplicadas permisses de acesso.
Proteo
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Pode-se permitir que determinados usurios possam acessar somente algumas pastas. Outra forma de restrio quanto s operaes que o usurio pode fazer sobre determinados arquivos. Entre essas operaes esto a leitura, modificao ou execuo do arquivo. O controle do acesso visa permitir que somente usurios autorizados tenham acesso ao arquivo. Esse controle pode ser implementado de duas maneiras: listas de controle de acesso; controle em cada arquivo. O controle feito atravs de listas de controle de acesso, ou ACL (Access Control List), permite a elaborao de uma lista com regras de acesso to sofisticadas quanto se deseje. Isso, medida que o tempo passa, pode se tornar ainda mais complicado. As tcnicas mais recentes consideram trs fatores: proprietrio; grupo; outros. Assim, todo o controle de acesso, seja de uma pasta ou dos arquivos, baseado nesses fatores. A cada um desses fatores podem-se associar trs possveis permisses: leitura, escrita e execuo. Estrutura do sistema de arquivos Como mencionamos anteriormente, os dados esto armazenados em dispositivo estruturado; no caso, um disco rgido que possui cilindros, trilhas e setores. Voc j viu, inclusive quando estudou arquitetura de computadores, que os dados podem ser lidos em blocos a partir do disco rgido. Podendo ser, inclusive, modificados e salvos no mesmo lugar. Viu ainda que o acesso aos dados direto, ou seja, o dispositivo manipulado de modo a permitir que esse dado seja acessado diretamente de onde esteja atravs do deslocamento (giro) do disco e da movimentao das cabeas de leitura do disco. Isso permite que os dados sejam recuperados a partir de cada bloco e seus setores. Para efetuar essas operaes corretamente, duas aes devem ser implementadas pelo sistema de arquivos: definir como o sistema de arquivos aparecer para o usurio; mapear o sistema de arquivos lgico para o armazenamento no dispositivo fsico. No sistema de arquivos bsico so emitidos comandos genricos, independentes de dispositivos, os quais sero interpretados pelo driver de dispositivo que tomar as aes apropriadas. O mdulo de organizao de arquivo relaciona os arquivos, blocos lgicos e blocos fsicos. Pode traduzir os endereos de bloco lgico em endereos de bloco fsico. Esse mdulo controla ainda os espaos livres e pode alocar esses blocos quando necessrio. J o sistema de arquivos lgico organiza os metadados. Os metadados so as informaes sobre os dados, e incluem a estrutura do sistema de arquivos, mas no os dados. Essas informaes sobre propriedade, permisses e local do arquivo so armazenadas no denominado bloco de controle de arquivo (file control block). Existem atualmente muitos sistemas de arquivos em uso pelos sistemas operacionais. Entre eles convm citar: FAT, FAT32, NTFS, EXT2, EXT3, ReiserFS, JFS etc. Os sistemas de arquivos FAT, FAT32 e NTFS so utilizados pelos sistemas operacionais Windows. Os sistemas operacionais EXT2, EXT3 e ReiserFS so utilizados nas vrias distribuies Linux. Anteriormente a preferncia era pelo EXT2; todavia, atualmente, pelo EXT3 que, por utilizar um recurso denominado journaling, permite uma melhor recuperao caso ocorra alguma corrupo nos arquivos. Por exemplo, quando h desligamento brusco de uma mquina. Algumas distribuies utilizam ReiserFS, que tem uma maior estabilidade no controle dos metadados caso ocorram problemas de corrupo no sistema de arquivos. O JFS foi desenvolvido pela IBM e disponibilizado aos sistemas Unix/Linux. Logo, uma estrutura em camadas permite aos diversos sistemas operacionais utilizarem seus prprios sistemas de arquivos, com as suas particularidades associadas organizao e controle de acesso.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Gerenciamento de entrada/sada O gerenciamento de dispositivos de entrada e sada (E/S) uma atividade bem importante em um sistema operacional. Cuida dos aspectos relacionados com os dispositivos de E/S de um modo transparente ao usurio. Oferece assim uma interface mais simples para o usurio. Os equipamentos associados ao processo de E/S so os mais diversos possveis: teclado, mouse, monitor, impressora, pendrive etc. Tm caractersticas bem diversas velocidade, formato dos dados porm, so todos muito mais lentos do que o processador e a memria. O gerenciamento de dispositivos de E/S, em razo de sua complexidade, dividido em camadas. Nas camadas inferiores feito o controle dos dispositivos, enquanto as camadas superiores oferecem uma interface mais simples para que os usurio ou aplicaes possam interagir com os dispositivos. De outro modo, pode-se raciocinar que as camadas inferiores dependem dos dispositivos que controlam. J as camadas superiores funcionam independentes dos dispositivos. Cabe ao sistema operacional facilitar o acesso a estes dispositivos. So utilizadas para isso rotinas de entrada e sada, que permitem aos usurios e aplicaes efetuar as operaes de entrada e sada independentemente do dispositivo que esta sendo acessado. Assim o usurio ou aplicativo pode ler ou gravar em um dado dispositivo por exemplo: um disco, um CDROM ou pendrive, sem se preocupar com detalhes no dispositivo, tal como o local no disco em que isso ser feito ou informaes de formatao (trilha, setor). Drivers Voc j deve ter em algum momento ouvido falar de drivers. Isso ocorre geralmente quando vamos conectar um novo perifrico ao computador. Entre estes equipamentos esto: impressora; monitor; placa de rede, vdeo ou outra; gravador de CD ou DVD, entre outros. Mas o que so drivers? Drivers so programas que tm por funo possibilitar a comunicao entre o subsistema de E/S e o controlador do dispositivo. A Figura 1.3 ilustra a relao entre eles.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 1.3 Interao entre Subsistema de E/S, Drivers e Controladoras Fonte: Machado (2004, p. 61).
Cabe aos drivers receber comandos de aes destinadas aos dispositivos, solicitaes de leitura ou escrita, e convert-los em comandos especficos a serem executados pelo controlador do dispositivo.
Um driver especfico para um tipo de dispositivo, ou dispositivos semelhantes. Por exemplo, podemos ter um driver para controlar o vdeo, outro para uma unidade de CDROM, outro para uma determinada impressora ou grupo de impressoras similares. A seqncia de funcionamento comea pelo processo, que encaminha a solicitao ao subsistema de E/S. A seguir, o driver envia a instruo especfica ao controlador do dispositivo que, finalmente, coordena o funcionamento do dispositivo. Considere que o dispositivo controlado seja um disco. Cabe ao driver receber do subsistema de E/S a solicitao de leitura de um bloco. A seguir o driver passa ao controlador a informao de qual disco, cilindro, trilha e setor. Nesse instante o processo, ou a thread associada, fica aguardando a interrupo que indica que a operao foi executada ou, na ocorrncia de falha, esta informada ao subsistema de E/S.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
grande a integrao entre os drivers e o kernel (ncleo) do sistema operacional. Desse modo, muitos drivers, depois de instalados, solicitam que o sistema operacional seja reiniciado.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
A estrutura dos sistemas operacionais Windows envolve algumas similaridades, entre elas a utilizao de modo kernel e modo usurio, incluindo, ainda, um subsistema protegido. Na Figura 1.6, apresentada a arquitetura do Windows 2000.
Figura 1.6 Arquitetura do Sistema Operacional Windows 2000 Fonte: Machado (2004, p.270).
Observe a presena do Hardware Abstraction Layer (HAL), uma biblioteca que incorpora o cdigo do sistema dependente do hardware como, por exemplo, endereamento de dispositivos e DMA. Acima do HAL, est o kernel, cuja funo tornar o sistema operacional independente do hardware, alm de controlar o acesso a este. A seguir vem o ncleo executivo, independente do hardware, que gerencia servios diversos. Fazem parte dele: Gerncia de Objetos (GO); Gerncia de Processos e Threads (GPT); Gerncia de Memria Virtual (GMV); Monitor de Segurana (MS); Gerncia de Cach (GC); Plug and Play (P&P); gerncia de energia; Configurao do Registry (CR); Local Procedure Call (LPC); Gerncia de E/S (GES); drivers de recursos grficos Graphics Device Interface (GDI). Em seguida, tm-se as APIs, implementadas com o uso de DLL e do subsistema Win32.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Na prxima aula, apresentaremos a voc as etapas envolvidas na instalao, a partir da qual voc comear a interagir, na prtica, com esses importantes sistemas operacionais.
EXERCCIOS
1. 2. 3. 4. O que voc entende por sistema operacional? Quais suas principais funes? O que um processo? Quais as partes que compem um processo? Considerando o gerenciamento de memria: a. O que swapping? b. O que memria virtual? c. O que paginao? 5. Considerando o sistema operacional atual de seu computador: a. Verifique se utiliza rea de troca. Qual o tamanho? b. Verifique se utiliza paginao. Qual o total de pginas utilizadas? 6. O que um arquivo? 7. Quais os atributos de um arquivo? 8. Qual sistema de arquivo utilizado no sistema operacional de seu computador? 9. Quais as parties presentes em seu computador? Qual o sistema de arquivos de cada partio? 10. Na prtica quais as diferenas e similaridades entre o kernel do Linux e o do Windows? Questes para Reflexo 1. Quais os sistemas operacionais que voc j utilizou ou utiliza? 2. Quais suas expectativas em relao utilizao do Linux ou Windows em ambientes corporativos?
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Nesta aula, nos dedicaremos forma tradicional, que a que voc ir utilizar com mais freqncia. Para as outras modalidades, sero dadas dicas e referncias ao longo desta disciplina.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
De modo prtico, uma instalao pode demorar a partir de trinta minutos, para uma instalao sem interface grfica, at algumas poucas horas, para instalaes mais completas. Uma observao se faz necessria para a distribuio Gentoo. Essa distribuio normalmente efetua a compilao de todos os componentes a serem instalados no computador. Isso, segundo seus desenvolvedores, melhora muito o desempenho da mquina, uma vez que o sistema operacional e todos os programas foram compilados especificamente para a mquina atual. Todavia, o processo de instalao extremamente demorado, quando comparado s outras distribuies, freqentemente levando um ou dois dias para instalar. Coexistncia com outros sistemas operacionais Uma primeira forma de coexistncia a utilizao de dois kernels, o que til em sistemas SMP e no SMP, ou em determinadas situaes, como melhoria de desempenho ou suporte a determinado hardware. Outra forma de coexistncia o dual-boot. O Linux pode ser o nico sistema operacional no servidor ou pode compartilh-lo com outro sistema operacional, utilizando o que se denomina dual-boot. A utilizao de dual-boot permite ter dois ou mais sistemas operacionais instalados no mesmo computador, embora no possam ser utilizados ao mesmo tempo. Convm ressaltar que a utilizao de dual-boot mais usual em ambientes de testes, e no em ambientes de produo. Recomenda-se efetuar a instalao do sistema operacional em mquinas virtuais, conforme explicao mais adiante nesta aula (Atividade Prtica 1 Opo 3). Viso geral da instalao A instalao pode ser feita de um modo mais simplificado; por exemplo: uma instalao padro em um computador ou notebook, no qual no se deseja dual-boot. Nesse caso, o usurio precisar somente que o computador possa dar boot a partir do CD/DVD inserido na unidade. O usurio pode ainda efetuar a atualizao para uma verso mais nova de uma mesma distribuio. Deve, para isso, somente estar de posse da mdia com a verso atualizada. Todavia, sempre bom lembrar que, para servidores, em especial aqueles com servios crticos, sempre desejvel instalar a nova verso, ao invs de simplesmente atualiz-la. Ainda conforme as boas prticas de administrao de sistema, a nova verso deve ser validada quanto compatibilidade com os programas em uso no servidor. Podemos resumir a instalao do Linux nas seguintes etapas: Preparao do sistema de arquivos Quando efetuado o particionamento do disco rgido e a formatao das parties. Instalao propriamente dita Transferncia do sistema operacional do CD/DVD para o disco rgido. Boot a partir do Linux recm instalado Inicializao do sistema operacional. Instalao de pacotes adicionais Instalao de programas e customizao do sistema operacional, que pode ser feita junto ou aps a instalao do sistema operacional. Nos tpicos que seguem, sero abordados os itens encontrados durante os processos de instalao mais comuns no dia-a-dia, em que voc deve decidir sobre: gerenciador de boot, mtodo de instalao, informaes de particionamento do(s) disco(s), configurao de rede e autenticao e seleo dos pacotes, entre outros elementos.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
conhecimento das configuraes do hardware a ser utilizado. Levantamento de informaes Antes de iniciar a instalao, efetue um levantamento das informaes de hardware e de rede que lhe sero extremamente teis durante o processo de instalao. A grande maioria das informaes de hardware ser detectada automaticamente durante a instalao; todavia, sempre vlido ter estas informaes mo, especialmente se o seu equipamento no for muito comum, o que acontece quando se tem uma controladora SCSI, monitor ou placa de vdeo recm lanados no mercado. A seguir esto listados alguns destes itens: Geral Tipo de processador; velocidade do processador; placa me e chipset; tipo do mouse; tipo de disco rgido (IDE, SCSI); tamanho de cada disco; quantidade de memria RAM; interfaces de rede (fabricante e modelo). Vdeo Placa de vdeo (modelo e fabricante); monitor (modelo, fabricante, taxa mxima de varredura). Controladora SCSI (se existir) Marca; modelo. Configuraes de rede Endereo IP (esttico, dinmico); se IP esttico endereo IP, mscara de rede, gateway, DNS primrio e secundrio.
64GB para sistemas 32 bits e 2TB para 64 bits. Essa verso somente pode ser adquirida em conjunto com um servidor homologado pela Microsoft que suporte adequadamente essa verso. Finalmente, a verso Web Server 2008 uma verso mais simplificada. Destina-se, sobretudo, a hospedar pginas e aplicaes web, tanto na Internet quanto na Intranet. Entre os recursos includos nela, esto o Internet Information Services (IIS) 7.0, ASP.NET e o .NET framework. Por ser uma verso mais leve, no inclui muitos dos recursos das outras verses, em especial o servio de diretrio Active Directory. As verses do Windows Server 2008 suportam vrias tecnologias de 64 bits, como AMD Opteron (AMD 64), Intel Xeon e Itanium 64. Outro recurso bem aguardado a capacidade de virtualizao. Desse modo, o Windows Server 2008 pode, utilizando a tecnologia Hyper-V, executar mltiplos sistemas operacionais simultaneamente, inclusive Unix e Linux. A utilizao desse recurso bem semelhante ao Virtual PC.
E, por ltimo, mas no menos importante, teste a soluo antes de coloc-la em produo. Para isso, efetue uma prova de conceito. Monte um ambiente de testes, utilize ferramentas de benchmark para simulaes e testes de carga.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
sistemas operacionais Linux e Windows. Estudando e praticando sua instalao, configurao, utilizao e, finalmente, a administrao do sistema e principais servios.
EXERCCIOS
1. Crie uma planilha para planejamento do sistema a ser instalado e inclua os seguintes dados: Processador Tipo, velocidade, quantidade de processadores, placa me e chipset. Disco rgido Tipo (IDE, SCSI), quantidade, tamanho. Memria RAM Tipo e quantidade. Interfaces de rede Fabricante e modelo. Vdeo Placa de vdeo (modelo e fabricante), monitor (modelo e fabricante), taxas de varredura e resolues suportadas pelo monitor. Controladora SCSI (se existir) Marca e modelo Configuraes de rede Se DHCP ou esttico. Caso seja esttico: endereo IP, mscara de rede, gateway, DNS primrio e secundrio. Se o sistema for dual boot Informaes sobre os outros sistemas operacionais: parties, tamanho, sistema de arquivos. Atividade Prtica 1 Efetue a instalao da distribuio Linux Debian, conforme descrito ao longo desta aula. Essa instalao poder ser feita de trs maneiras diferentes. Escolha uma.
1. Opo 1 Instalao ocupando todo o disco rgido. Essa primeira opo est de acordo com o que foi visto ao longo desta aula: o sistema operacional a ser instalado ocupar todo o espao disponvel em disco. 2. Opo 2 Instalao dual-boot. Essa opo permite a convivncia entre o sistema operacional a ser instalado e outro que, porventura, j exista na mquina como, por exemplo, o Windows. Nesse caso, recomenda-se efetuar o backup dos dados do sistema operacional original e, em seguida, uma ferramenta de particionamento para criar um espao livre de, pelo menos, 2GB (para instalaes sem interface grfica) ou de pelo menos 4GB (para instalaes com interface grfica). Em seguida, efetue a instalao do Linux, tomando cuidado para no formatar as parties em uso pelo sistema operacional j presente no computador. 3. Opo 3 Instalao em mquinas virtuais. Essa opo tem se tornado cada vez mais atraente, uma vez que permite a instalao e mesmo a execuo simultnea de vrios sistemas operacionais, o que tem se revelado til para situaes de estudo, em ambientes de desenvolvimento e mesmo em ambientes de produo. Para isso, necessria a instalao de um software no sistema operacional hospedeiro que efetuar o gerenciamento das mquinas virtuais. Cada novo sistema operacional instalado em uma mquina virtual, podendo ser executados ao mesmo tempo, inclusive interagindo entre elas como mquinas em rede. Existem inclusive solues de virtualizao que podem ser instaladas diretamente sobre o hardware, sem a necessidade de um sistema operacional hospedeiro.
Recomendaes: Entre as solues de virtualizao mais utilizadas, esto: VirtualBox soluo de virtualizao
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
para ambientes Linux, Windows e Macintosh, que suporta sistemas Linux e Windows; VMware solues de virtualizao para servidores e desktops, inclusive sem a necessidade de sistema operacional hospedeiro; XEN soluo de virtualizao nativa no Linux para execuo de Linux, podendo executar Unix e algumas verses de Windows; VirtualPC soluo de virtualizao da Microsoft que suporta Linux, Unix e Windows. Recomenda-se um teste com o VirtualBox ou uma verso livre do VMware (Server ou Workstation). Efetue o download a partir do site, instale o produto e, em seguida, dedique-se a instalar o Linux. Em um momento posterior, voc pode instalar o XEN no Linux e instalar outros sistemas Linux nele. Atividade Prtica 2 Efetue a instalao do Windows Server 2008, conforme j descrito ao longo desta aula. Essa instalao poder ser feita de trs maneiras diferentes (ocupando todo o disco; dual-boot; virtualizao). Escolha uma. Questes para Reflexo 1. Nesta aula, voc foi orientado a praticar a instalao do Windows. Qual a diferena mais significativa entre as instalaes Full e Core? 2. Como voc compararia as opes de instalao Full e Core do Windows com o Linux?
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
A inicializao do sistema passa por vrias etapas. Primeiramente, ao se ligar o computador, a BIOS procurar pela MBR (Master Boot Record). O cdigo constante nesse setor chamar um gerenciador de boot, em geral, o LILO ou o GRUB, j apresentados na aula anterior. Caber ao gerenciador de boot selecionar qual sistema operacional e kernel ser utilizado. Isso ocorre, sobretudo, em computadores com mais de um sistema operacional instalado ou quando se possui mais de um kernel disponvel. O kernel,aps iniciar sua execuo, monta seu sistema de arquivos raiz (diretrio/) e executa o processo init. Conforme mencionamos, existem dois tipos de init: System V init (ou SysV init); BSD init. O SysV possui mais recursos, enquanto o BSD mais simples. Abordaremos aqui o SysV init, que o mais utilizado. Aps a inicializao, o kernel efetua algumas tarefas que so executadas pelo processo init. A primeira ler o arquivo /etc/inittab, onde procura pela informao de nvel de execuo. Os nveis de execuo do Linux so: 0 halt Utilizado para desligar o computador. 1 monousurio Sistema operacional inicia com o mnimo de processos necessrio ao seu funcionamento. til em momentos de manuteno do sistema operacional ou na ocorrncia de problemas com drivers. 2 multiusurio em NFS Nvel multiusurio sem suporte a NFS e rede. 3 multiusurio com NFS Nvel multiusurio com suporte a NFS e rede. o nvel padro utilizado em servidores, pois tem todos os recursos em funcionamento, exceto os associados interface grfica. 4 reservado. 5 multiusurio com NFS e interface grfica Nvel multiusurio com suporte a NFS, rede e com a interface grfica em execuo. o nvel padro em computadores pessoais. 6 reboot Utilizado para reiniciar o computador. Em seguida, o processo init executa o script /etc/rc.d/rc.sysinit que, basicamente, contm uma lista de programas a serem colocados em execuo. Logo aps, o processo init executa o script /etc/rc.d/rc, que verificar o nvel de execuo e, em seguida, chama os scripts de inicializao. Os scripts de inicializao esto em geral localizados no diretrio /etc/rc.d/ ou em /etc. Nesses diretrios, existem subdiretrios denominados rc0.d/, rc1.d/, rc2.d/, rc3.d/, rc4.d/, rc5.d/ e rc6.d/, nos quais esto scripts que iro iniciar automaticamente os programas, conforme o nvel de execuo especificado em /etc/inittab. Por exemplo: caso o nvel de execuo estabelecido seja 3, ento todos os scripts de inicializao existentes em rc3.d/ sero executados. O processo init executa ento o script rc.local. Por ltimo, so inicializados os processos mingetty, responsveis pelas configuraes dos terminais. Veja que, nos subdiretrios, os scripts possuem uma denominao prpria, tendo o nome iniciado pela letra S (start) ou K (kill), scripts para iniciar ou parar programas quando a mquina est sendo ligada ou desligada, respectivamente. Aps a letra S ou K existe um nmero. Os scripts so executados de acordo com essa ordem numrica. Veja, na Tabela 3.1, exemplo de scripts presentes em uma instalao Fedora.
Tabela 3.1 Scripts Presentes em uma Instalao Fedora
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
K10microcode S12microcode K15postgresql K20rwalld K34yppasswdd K80nscd S11portmap S32gated S50inet S65dhcpd S85gpm S91smb
K10splash S12splash K20bootparamd K20rwhod K45arpwatch K88ypserv S15netfs S40atd S55named S72amd S85httpd S95innd
K21fbset S20single K20rstatd K25squid K50snmpd S05apmd S20random S40crond S60lpd S75keytable S85sound S99linuxconf
S01fbset
Voc pode ainda passar de um nvel de execuo a outro sem reiniciar o computador. Basta, nesse caso, digitar o comando apropriado. Por exemplo: # init 3. Ao passar de um nvel a outro, por exemplo, do nvel 1 ao nvel 3, sero executados todos os scripts iniciados por K presentes em rc1.d/ e, em seguida, todos os scripts S em rc3.d/. Caso voc deseje incluir alguns comandos adicionais, voc pode adicionar os comandos necessrios no script rc.local. Em resumo, o processo de boot pode ver visualizado na Figura 3.1, a seguir:
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Pela interface grfica, existem diversos utilitrios que esto presentes em uma ou mais distribuies. Todavia, explicaremos aqui a utilizao do fdisk, uma vez que o mesmo est presente em todas as distribuies, inclusive as que no possuem interface grfica. O gerenciador de sistema de arquivos pode ser acionado digitando-se na linha de comando # fdisk <dispositivo>. Por exemplo: # fdisk /dev/sda De dentro do utilitrio, podem ser digitados vrios comandos para visualizao e manipulao do sistema de arquivos. Para visualizar as opes, utilize a opo m para ajuda. A Figura 3.2 mostra um exemplo de tela no qual, aps acionado o utilitrio, foi listada a tabela de parties. Pode-se notar a presena de quatro parties do tipo ext3 (Linux 83) e uma partio do tipo swap (Linux 82).
Existem alguns outros utilitrios que podem criar diretamente sistemas de arquivos em parties j existentes, como: mkfs, mkfs.ext2, mkfs.ext3., mkfs.reiserfs. Consulte as opes dos mesmos utilizando o manual do Linux (man <nome do utilitrio>). Relembrando o que um sistema de arquivos (filesystem) O sistema de arquivos o conjunto de estruturas que o sistema operacional utiliza para administrar arquivos em um determinado hardware, ou seja, o mecanismo de organizao que oferece operaes como a leitura e/ou escrita em arquivos. O dispositivo mais comum para o armazenamento mais comum ainda o disco rgido, embora existam muitos outros, como disquetes, CD, DVD e pendrives. Cada dispositivo de armazenamento pode conter um ou mais sistemas de arquivos. Para que o contedo do disco seja visualizado pelo sistema operacional, o sistema de arquivos dever estar
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
du du (disk usage) mostra o espao ocupado no diretrio, varrendo os subdiretrios e mostrando valores nas unidades adequadas: Sintaxe: du <parmetros> Exemplo: $ du -h df df (disk free) mostra o espao ainda livre em cada partio. Observao: cada partio normalmente um sistema de arquivos independente. Sintaxe: df <parmetros> Exemplo: df -h
Hierarquia de diretrios A organizao lgica bsica dos sistemas de arquivos do Linux uma estrutura hierrquica iniciada no diretrio/(barra), o chamado diretrio raiz, ou root. Abaixo desse diretrio, vrios outros podem ser criados como subdiretrios. A estrutura de diretrios apresenta a estrutura hierrquica rgida definida pela Filesystem Hierarchy Standard (FHS), contida na Linux System Base (LSB), que o conjunto de padres definidos para a estrutura do Linux e a forma de manipular seus arquivos. Mesmo assim, algumas distribuies customizam essa hierarquia. Assim, possvel encontrar uma organizao dessa estrutura que difere do padro. Vale ressaltar que essa rvore de diretrios pode ser alocada em dispositivos, ou parties de dispositivos, diferentes no momento da instalao ou com ferramentas depois do sistema operacional instalado. O primeiro sistema de arquivos, raiz ou root filesystem, que contm o diretrio raiz (/), montado de forma automtica durante a inicializao do sistema e sempre estar disponvel. De outra forma, o sistema no poderia ser inicializado. O nome do sistema de arquivos, que montado como /, compilado juntamente com o kernel do sistema, ou configurado no gerenciador de boot, item visto na aula que tratava de instalao.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Clicando em opes avanadas (Advanced Options), na aba Boot, voc tem acesso aos recursos utilizados pelo sistema, conforme apresentado na Figura 3.4. A Figura 3.5 mostra ainda a aba Services, na qual voc pode desabilitar determinado servio que julgue estar causando algum problema.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Voc ver os discos e parties em uso pelo sistema. No exemplo apresentado existem duas parties, sendo uma de 20,05 GB com sistema de arquivos NTFS, onde est o Windows, alm de uma outra partio de 19,95 GB livre. Selecionando uma partio ou disco podem-se, utilizando o menu ou a tecla direita do mouse, efetuar vrias operaes, entre elas: criar ou remover parties; modificar o tamanho ou sistema de arquivos de uma partio; reunir vrias parties em uma.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
O gerenciador de sistema de arquivos pode ainda ser acessado por meio da linha de comando, digitando diskpart, o que especialmente til nas instalaes Core. Dentro do utilitrio diskpart, voc pode utilizar uma srie de comandos, entre eles: list disk; list volume; select disk <nmero>; select partition <nmero>; list partition. De dentro do utilitrio, voc pode digitar ? para visualizar todas as opes. As mesmas opes de manipulao disponveis na interface grfica podem ser utilizadas nesse utilitrio, como a criao, remoo ou modificao de parties. A Figura 3.8 mostra a tela com o utilitrio diskpart, onde em seguida foram listados os discos (list disk) e os volumes (list volume).
Nesta aula, apresentamos a voc alguns aspectos do gerenciamento de boot e do sistema de arquivos no Linux e no Windows. Voc pode agora visualizar onde esto e como manipular as configuraes nos dois ambientes. Recomendamos que voc procure praticar os assuntos abordados, visando adquirir a prtica necessria para a administrao desses sistemas. Bom proveito!
EXERCCIOS
1. No Linux, verifique os diretrios de /etc/rc.d.: a. Compare a quantidade de subdiretrios de rc0.d/ at b. Utilize o comando cat (a contedo de alguns desses $ cd /etc/rc.d/rc3.d/ scripts de inicializao e de interrupo de processos em cada um dos rc6.d/. ser explicado com mais detalhes na prxima aula) para visualizar o scripts. Por exemplo:
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
$ cat S75keytable Faa o mesmo com outros arquivos. Veja a estrutura do cdigo, veja os comandos. 2. No Windows, execute o utilitrio msconfig.exe e verifique os servios configurados para iniciar junto com a inicializao do sistema. Dedique um tempo a avaliar o que cada um faz. 3. No Windows, execute o gerenciador de discos e efetue algumas manipulaes no disco e parties atuais. Por exemplo: a. Tente dividir uma partio em duas. b. Crie uma partio nova e mude o sistema de arquivos para NTFS. Atividade Prtica
1. No Linux, insira uma mensagem na inicializao do sistema. Nesse exerccio, voc ir criar um script simples, em que ir somente colocar uma mensagem na tela quando for executado. Acesse o diretrio /etc/rc.d/rc3.d/ e crie o arquivo conforme os passos a seguir: # cd /etc/rc.d/rc3.d # vi S100mensagem No interior do arquivo mensagem digite echo Esta eh uma mensagem de teste Salve o arquivo mensagem V para o nvel 1 e, em seguida, retorne ao nvel 3, utilizando os comandos a seguir: # init 1 Aguarde que o sistema v para o nvel 1. V ao nvel 3 # init 3
Questes para Reflexo 1. No Linux: a. Qual a razo da existncia dos scripts iniciados com K em cada nvel? b. Caso o sistema operacional esteja no nvel 3, existem dois modos de passar ao nvel 5 (interface grfica), o que pode ser feito com o comando startx ou init 5. Qual a diferena entre os dois comandos? 2. No Windows: a. Como proceder caso haja um ou mais processos impedindo ou atrasando o processo de inicializao do Windows? b. Como fazer para otimizar o processo de inicializao do Windows?
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
4.1.1 Introduo
Nas aulas anteriores, voc estudou algumas caractersticas e funes dos sistemas operacionais. Pde ainda verificar como o processo de instalao do Linux. Nesta aula, voc ir iniciar a utilizao desse sistema, a comear pelo acesso ao mesmo e, em seguida, praticando alguns comandos teis na manipulao de diretrios e arquivos. O Linux um sistema multiusurio Isso significa que vrios usurios podem usar o sistema ao mesmo tempo e armazenar de forma separada seus dados. A conseqncia prtica disso que sempre estaremos usando o Linux e seus programas como um determinado usurio. Todos os componentes do sistema como arquivos, diretrios, dispositivos e programas sero controlados atravs de privilgios associados aos usurios existentes no sistema. Num sistema multiusurio, a informao pertencente a um determinado usurio deve ser protegida contra o acesso no autorizado por parte dos outros usurios, quer essa informao esteja em memria, quer esteja guardada num dos vrios dispositivos de armazenamento de dados (como o disco rgido, por exemplo). Como o kernel faz a gesto e proteo da memria e o intermedirio no acesso ao hardware, isso permite tambm proteger os dados de um usurio de sua consulta, adulterao e/ou remoo, involuntria ou intencional, por parte dos outros, a menos que isso seja expressamente autorizado pelo dono da informao. Por exemplo: os arquivos de texto de um usurio no podem ser modificados ou deletados por outros usurios. Normalmente, cada usurio tem um home directory. Esse um diretrio onde ele pode criar e alterar seus arquivos. Cada home directory de propriedade de seu usurio dono e somente ele pode executar operaes sobre os arquivos daquele diretrio. Relembrando ainda que ao utilizar o shell, podemos ter no prompt dois smbolos: # - inidicando que o usurio atual tem privilgios de administrador (root); $ - indicando que o usurio atual no tem privilgios de administrador, sendo portanto um usurio comum.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
login - Permite iniciar uma nova sesso. Exemplo: $ login logout - Permite encerrar a sesso atual. Exemplo: $ logout ou <CRTL>+D exit - Encerra o shell atual. Exemplo: $ exit
reboot Reinicia o computador. Exemplo: # reboot halt Desliga o computador. Exemplo: # halt shutdown Desliga o computador. Permite digitar alguns parmetros de temporizao, para, por exemplo, marcar uma hora para o desligamento. Exemplo: shutdown poweroff Desliga o computador. Esse comando no suportado em todo hardware. Exemplo: # poweroff
man Permite uma consulta sintaxe dos comandos disponveis. Para isso, deve ser digitado o comando man e, em seguida, o comando desejado. Por exemplo, para verificarmos as opes de sintaxe do
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Na utilizao do comando man, podem-se exibir tambm tpicos. Essa a forma mais direta de ter informaes sobre o que um determinado comando faz. Alm disso, podem-se checar todas as opes e argumentos que o comando pode aceitar. Toda distribuio do Linux vem com um grande conjunto de documentos que so acessveis pelo comando man. So as chamadas pginas de manual (man pages). Cada um dos tpicos das pginas do manual est organizado em sees, como captulos de um livro. Veja organizao abaixo: Seo 1 Comandos e aplicaes de usurio Seo 2 Cdigos de erro do kernel e chamadas ao sistema Seo 3 Chamadas de bibliotecas Seo 4 Protocolos de rede e drivers de dispositivos Seo 5 Formatos de arquivos padres Seo 6 Demonstraes Seo 7 Diversos Seo 8 Comandos de administrao do sistema A utilizao do parmetro seo importante, pois alguns nomes so comuns a comandos e chamadas de sistema. Um exemplo o comando kill. Se o usurio quiser verificar como a forma de utilizao da chamada de sistema kill, deve digitar man 2 kill (a seo 2 refere-se s chamadas ao sistema) e, para consultar o comando kill, deve digitar man 1 kill. Ao encontrar o tpico solicitado, o man apresenta o contedo na tela e aguarda comandos do teclado. Os principais comandos so apresentados a seguir: H ou h - Mostra o help do man q, :q ou :Q - Finaliza a execuo do comando man Z - Ir para a prxima janela W - Volta uma janela /texto - Procura pela ocorrncia do texto especificado, aps / Aproveite e teste checando a pagina de manual de todos os comandos citados anteriormente. Voc ver que eles possuem vrias outras opes.
info O comando info apresenta informaes mais detalhadas que o man. Pode-se utiliz-lo do mesmo
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
modo. Exemplo: # info shutdown find Utilizado para localizao de arquivos. Pode ser informado um padro ou critrios de busca, como diretrios, nome parcial etc. Sintaxe: find [caminho] [expresso] Exemplo: $ find / -name *.log whereis Utilizado para localizao de arquivos. Pode ser utilizado para localizar exclusivamente cdigos-fonte, ou arquivos binrios, ou manuais. Sintaxe: whereis [parmetro] <arquivo> Exemplo: $ whereis s apache2 pwd Indica qual o diretrio corrente. O comando pwd (present working directory) serve para indicar em qual diretrio se est no momento. Sintaxe: $ pwd cd Muda o diretrio corrente. O comando cd (change directory) serve para fazer a mudana entre os diretrios - como o prprio nome informa. O seu uso pode ser para entrar em um subdiretrio seu ou para entrar em qualquer diretrio local do sistema. Sintaxe: cd <destino> Exemplo: $ cd /etc cat - Oficialmente usado para concatenar arquivos. Tambm usado para exibir todo o contedo de um arquivo de uma s vez, sem pausa. O comando cat l cada arquivo em seqncia e exibe-o na sada padro (tela). Sintaxe: cat [parmetros] < arquivo1> <arquivo2> Exemplo: $ cat /etc/passwd file - Exibe o tipo de um arquivo. Alguns arquivos, como arquivos binrios e executveis, no podem ser visualizados na tela. O comando file pode ser til se no se tem certeza sobre o tipo do arquivo. Exemplo: $ file arquivo
grep - Exibe todas as linhas, dos arquivos especificados, que contenham um certo padro em texto. Comando muito til (principalmente em comandos do shell, a serem vistos adiante), sobretudo na anlise de arquivos de log e na localizao das palavras dentro de arquivos. Sintaxe: grep [parmetros] <arquivo1> <arquivo2> ... <arquivon> ] onde [padro] uma expresso regular, e arquivo1 at arquivon so os arquivos nos quais a procura ser feita. Exemplo: $ grep n dezembro /home/fulano/aniversarios
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
more - Exibe o contedo de arquivos nomeados, fazendo pausas a cada tela cheia. Ao teclar (Enter), ir exibir uma linha a mais. Ao teclar o caracter "espao", ele exibe outra tela cheia. O caracter "b" faz com que more exiba a tela anterior. O caracter "q" provoca a parada de execuo do comando more. Pode-se procurar por uma palavra (ou uma cadeia de caracteres) em um arquivo. Para isso, pressione o caracter "/", digite a palavra (ou a cadeia de caracteres), e tecle (Enter). Sintaxe: more <arquivo1> Exemplo: $ more /etc/passwd less Similar ao more. Permite melhor movimentao do texto apresentado, utilizando as teclas <pageup> e <pagedown>. Exemplo: $ more /etc/passwd head - Exibe as primeiras linhas de um arquivo. O parmetro n permite determinar a quantidade de linhas a serem mostradas. Sintaxe: head [opes] arquivo Exemplo: $ head n 10 /etc/passwd tail - Exibe as ltimas linhas de um arquivo. Algumas opes interessantes so: -n - quantidade de linhas a serem mostradas; -f manter a sada na tela. medida que so criadas novas linhas, elas so mostradas imediatamente na tela. Muito til para acompanhar sada de arquivos de log quando se est efetuando debug em aplicaes. Sintaxe: tail [parmetros] arquivo Exemplo: $ tail f /var/spool/mail/fulano
diff exibe as diferenas entre dois arquivos, linha a linha. Sintaxe: diff [opes] arquivo1 arquivo2 Exemplo: $ diff arquivo1 arquivo2 wc (word counter) Esse comando conta as ocorrncias de linhas, palavras e letras num arquivo de texto. Sintaxe: wc [parmetro] <arquivo> Exemplo: wc l /etc/passwd history Comando utilizado para apresentar o histrico dos comandos digitados. Sintaxe: history [parmetros] [arquivo] [argumento] [linha] Alguns parmetros: - n - nmero de linhas a serem apresentadas, contando o ltimo comando -c - limpa todo o histrico
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
-d linha - deleta a linha indicada -r arquivo - no registra a entrada do comando, utilizando o history existente. Exemplo: $ history
cp - Copia arquivos para um outro arquivo ou diretrio. Sintaxe: cp [caminho origem] <arquivo origem> [caminho destino] <arquivo destino> Exemplo: $ cp /etc/passwd /home/fulano/copia-passwd Nesse caso, o arquivo passwd da pasta /etc estar sendo copiado na pasta /home/fulano com o nome de copia-passwd Se o arquivo-destino no existe no diretrio destino, cp criar um arquivo com o nome especificado. Se o arquivo-destino j existia antes e no for um diretrio, cp escrever o novo contedo por cima do antigo.
mv - Move arquivos para um outro arquivo ou diretrio. Esse comando faz o equivalente a um copiar e em seguida deletar o arquivo original. Pode ser usado para renomear arquivos. Se o destino no existir, mv criar um arquivo com o nome especificado. Se o destino existir e no for um diretrio, seu contedo ser apagado e o novo contedo ser escrito no lugar do antigo. Se destino for um diretrio, o(s) arquivo(s) ser(o) movido(s) para esse diretrio. Permite confirmao antes de sobrescrever. Sintaxe: mv [parmetros] <arquivo origem> <arquivo destino> Exemplo: $ mv /home/fulano/arquivo1 /home/fulano/arquivo2 rm - Esse comando utilizado para apagar arquivos. importante lembrar que, quando os arquivos so apagados, no sistema Unix, impossvel recuper-los. No h comando undelete! A opo -r deleta recursivamente um diretrio e todo o seu contedo, incluindo quaisquer subdiretrios e seus arquivos. Sintaxe: rm [parmetros] <arquivo1> <arquivo2> ... <arquivon> Exemplo: $ rm arquivo mkdir - Usado para a criao de novos diretrios. A criao de um diretrio requer permisso de escrita no diretrio pai (superior). Sintaxe : mkdir [parmetros] <diretrio> rmdir - utilizado para apagar diretrios vazios. O comando rmdir se recusa a apagar um diretrio inexistente, exibindo a mensagem: No such file or directory. Quando se usa rmdir o diretrio de trabalho corrente no pode estar contido no(s) diretrio(s) a ser(em) apagado(s). Se voc tentar remover seu prprio diretrio corrente, ser exibida a seguinte mensagem: Operation not permited.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Se o diretrio ao qual se deseja remover no estiver vazio, deve-se utilizar o comando cd para acessar os arquivos dentro do diretrio e remov-los utilizando o comando rm. Sintaxe: rmdir [parmetros] <diretrio1> Exemplo: $ rmdir /pasta1 touch - Atualiza o ltimo tempo de acesso e/ou modificaco de um arquivo. Um arquivo vazio ser criado se o nome especificado ainda no existir. muito usado para criar um arquivo vazio. Sintaxe: touch [parmetros] [mmddhhMM[yy]] nome-do-arquivo sendo: mm ms dd dia hh hora MM minuto yy ano (ltimos dois dgitos) Exemplo: $ touch arquivo1
date Comando para visualizar a data atual. Permite visualizar em diferentes formatos. Sintaxe: date [parmetros] Exemplo: $ date MMDDHHmm cal Apresenta na tela o calendrio do ms atual. Sintaxe: cal [ms][ano] Exemplo: cal 10 2007
gzip Comando para compactar ou descompactar um ou mais arquivos. Sintaxe: gzip [parmetros] <arquivo> Exemplo: $ gzip arquivo $ gzip d arquivo.gz
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
tar Comando para empacotar vrios arquivos em um nico arquivo. Executa tambm o caminho inverso. Sintaxe: tar [parmetros] <arquivo ou pasta> Algumas opes de parmetros so: c x f v z Cria um arquivo .tar Extrai os arquivos do arquivo .tar Direciona os arquivos para o disco Mostra a manipulao dos arquivos Utiliza o comando gzip para compactar ou descompactar
split Comando para dividir uma arquivo em vrios arquivos menores. Utilizado quando se deseja dividir um grande arquivo para armazenar cada parte em uma mdia de pequena capacidade ou enviar cada parte separadamente. Sintaxe: split [parmetros] <arquivo> Exemplo: $ split b1400k arquivo arquivo. Observe que a palavra arquivo aparece duas vezes. A primeira indica o nome do arquivo de origem. A segunda seguida de um ponto indica o nome das partes. O exemplo apresentado dividir o arquivo em partes de 1400Kbytes para, por exemplo, armazenar cada uma em um disquete. Os arquivos criados sero nomeados como arquivo.1, arquivo.2 e assim por diante. Para reunir as partes deve-se salvar todas em uma mesma pasta e utilizar o comando a seguir: $ cat arquivo.?? > arquivo Obs.: Aps a palavra arquivo, h um ponto seguido de dois pontos de interrogao.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Os utilitrios em linha de comando a maior parte das ferramentas administrativas do Windows podem ser acessados por meio de linha de comando. Entre os utilitrios disponveis, convm citar: Appcmd Apresenta e gerencia configuraes do servidor IIS. Arp Apresenta e gerencia o mapeamento do endereo IP com o fsico. Bdcedit Apresenta e gerencia dados de configurao de boot do sistema local. Dnscmd Apresenta e gerencia configuraes do servio DNS. Diskpart Apresenta e gerencia parties de discos em sistemas locais e remotos. Ftp Inicia o cliente FTP. Hostname Apresenta o nome do computador no sistema local. Ipconfig Apresenta informaes relativas ao TCP/IP para as placas de redes instaladas. Nbtstat Apresenta estatsticas e conexes atuais para o NetBIOS sobre TCP/IP. Net Apresenta com conjunto de comandos para manipulao da rede. Netsh Apresenta e gerencia a configurao da rede no computador local e remoto. Netstat Apresenta as conexes TCP/IP atuais e estatsticas. Nslookup Verifica o status de um host ou endereo IP quando usado em conjunto com DNS. Pathping Apresenta a rota percorrida pelo pacote e informaes de perda de pacotes. Ping Testa a conexo com um computador remoto. Route Gerencia a tabela de rotas do sistema. Schtasks Apresenta e gerencia as tarefas agendadas para o sistema local e remoto. ServerManagerCmd Apresenta e gerencia tarefas e servios do server manager, alm de outras funcionalidades. Tracert Apresenta a rota percorrida pelo pacote at um sistema remoto.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Wbadmin Executa tarefas de backup e recuperao, retornando a estados especficos e efetuando a recuperao de qualquer disco para outra localidade. Apresenta informaes relativas ao disco tais como nome, identificador de grupo, espao disponvel e volumes relacionados. Wevtutil Apresenta e gerencia logs de eventos locais e em sistemas remotos. Assim como para as ferramentas administrativas grficas, recomenda-se que voc efetue um trabalho exploratrio em cada um desses comandos. Voc pode obter uma ajuda digitando, no prompt do terminal, o comando seguido de /?.
Entre os recursos disponveis esto: Add features Utilize essa opo para adicionar recursos no servidor. Add roles Utilize essa opo para adicionar funes ao servidor Windows. Por exemplo: DNS; AD; etc. Por padro o Windows no vem com nenhuma opo ativada. Configure networking Utilize essa opo para configurar as conexes de rede do sistema local.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Configure Windows firewall Utilitrio para configurao do firewall bsico do Windows. Download and install updates Utilitrio para habilitar atualizao automtica. Enable automatic updating and feedback Utilitrio para habilitar atualizao automtica e prover feedback automtico. Por padro o sistema vem com a opo de atualizao automtica desabilitada e o feedback habilitado. Enable remote desktop Apresenta a caixa de dilogo de propriedades do sistema, por onde voc pode selecionar a aba Remote e configurar o acesso remoto. Provide computer name and domain Apresenta a caixa de dilogo de propriedades do sistema, por onde voc pode selecionar a aba Computer Name, onde voc poder atualizar o nome do computador e o domnio. Set time zone Ajuste de data, hora e fuso horrio.
De modo geral, so administrados recursos associados ao sistema, ao armazenamento e a servios e aplicaes. Entre os recursos do sistema esto: o agendador de tarefas (Task Scheduler);
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
o visualizador de eventos (Event Viewer); o compartilhamento de pastas (Shared Folders); usurios locais e grupos (Local Users and Groups), lembrando que utilizado em computadores que no fazem parte do domain controller (DC); confiabilidade e desempenho (Reliability and Performance); gerenciador de dispositivos (Device Manager).
Entre os recursos do armazenamento esto: mdias removveis (Removable Storage), para gerenciar dispositivos removveis; gerenciamento de discos (Disk Management), para gerenciar discos e volumes, item j abordado em aula anterior. As ferramentas de administrao de servios e aplicaes se apiam no gerenciamento de servios e aplicaes instalados no sistema. Cada servio ou aplicao pode ser administrado utilizando o Server Manager (ver prximo item) ou clicando-se no item Services and Applications e, em seguida, em Services. Clicando-se em um servio, possvel modificar seu status (parar/iniciar) ou modificar para iniciar, ou no, junto com o sistema. A Figura 5.6 apresenta essa tela.
No item anterior, voc viu como gerenciar o sistema operacional do computador. Agora voc ver onde deve ser feito o gerenciamento dos servios disponveis. Observe a figura 4.7. Os recursos esto agrupados em cinco itens: Roles Conforme mencionamos, so os servios a serem disponibilizados. Exemplo: AD; IIS. Features Visualizao do status dos servios disponibilizados. Diagnstics Ferramentas de uso geral para log, desempenho e gerenciamento de dispositivos. Configuration Ferramentas de uso geral, como agendador de tarefas, firewall, servios, usurios locais e grupos. Alguns desses esto disponveis tambm no gerenciador do computador. Storage Recurso tambm acessvel por outros meios. Permite o gerenciamento de discos e volumes.
Assim como nos itens anteriores, recomendamos que voc explore sempre esses recursos do sistema operacional, com a finalidade de familiarizar-se com eles e, com isso, ir adquirindo prtica no gerenciamento de servios. Nas prximas aulas, voc ser orientado sobre como fazer isso para alguns dos servios mais utilizados. Nesta aula voc pde visualizar como executar o gerenciamento do sistema operacional e de servios nos sistemas operacionais Linux e Windows. Desse modo, teve condies de perceber que existem dois gerenciamentos. O primeiro do sistema operacional propriamente dito e que diz respeito ao funcionamento do computador. O segundo o gerenciamento dos servios disponibilizados. Nas prximas aulas, voc aprender como gerenciar alguns dos servios mais comuns atualmente, como servios de rede e Internet.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
EXERCCIOS
1. Nesta aula voc pde observar que a administrao de servidores Linux em geral feita em linha de comando, enquanto para servidores Windows feita em interface grfica. Em sua opinio, qual a razo pela qual tal fato ocorre? Em quais situaes isso pode ser diferente? Atividade Prtica 1. No Linux a. Verifique quais os processos em execuo no Linux. b. Quais as informaes que voc tem sobre cada um desses processos? Por exemplo: por quem foi criado; qual a prioridade; qual o consumo de processamento e memria. c. Como fazer para automatizar a execuo de determinado programa ou script? 2. No Windows a. Quais os trs itens disponveis na janela Computer Management (Gerenciamento do Computador)? O que faz cada um? b. Como fazer para agendar tarefas no Task Scheduler? c. Qual a finalidade prtica do visualizador de eventos? d. Quais so os cinco itens do Server Manager (Gerenciamento do Servidor)? O que faz cada um? As ferramentas administrativas grficas so um conjunto de ferramentas utilizadas para a instalao, configurao e ativao de diversos servios no Windows. A Figura 4.2 apresenta um exemplo de tela com as ferramentas administrativas grficas. Recomendamos que voc efetue um trabalho de explorao de cada uma dessas ferramentas administrativas grficas. Acesse, verifique, leia a documentao on-line disponvel no prprio ambiente ou na pgina da Microsoft.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Os wizards so ferramentas para automatizao de atividades de administrao, o que, em muitas situaes, facilita o processo de configurao e ativao de servios. Na Figura 4.3 pode ser visto um exemplo da tela onde podem ser localizados vrios wizards.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
w (write) x (execute)
Alguns comandos do sistema Linux requerem algumas permisses especficas para acessar programas ou arquivos. Por exemplo, para executar o comando cat num arquivo, a permisso de leitura necessria, pois esse comando deve ser capaz de ler o contedo do arquivo, para mostr-lo na sada padro. Da mesma maneira, o comando ls requer a permisso de leitura de um diretrio, para listar o seu contedo. Existem trs contextos aos quais essas permisses so aplicadas, como vimos em aula anterior, e se referem ao usurio, a outros do mesmo grupo, e demais usurios. A combinao entre os trs tipos de permisso (r, w, x) com cada classe de usurios denominada de modo do arquivo. O sistema de arquivos do Linux permite restringir o acesso aos arquivos e diretrios, no qual somente determinados usurios possam acess-los. Essas permisses determinam quais usurios podem ler, escrever ou alterar um arquivo. Cada arquivo pertence a um usurio e a um grupo. O comando chown modifica o proprietrio de um arquivo ou diretrio, cuja sintaxe :
O argumento "proprietrio" especifica o novo proprietrio do arquivo, esse argumento deve ser um nmero decimal especificando o userid do usurio ou o login name do usurio. Somente o dono do arquivo (ou o super-usurio) pode modificar o atributo proprietrio de um arquivo. O comando chgrp modifica o grupo de um arquivo ou diretrio, cuja sintaxe :
O comando chgrp modifica o identificador de grupo (GID) dos arquivos passados como argumentos. A opo gid pode ser um nmero decimal especificando o group id, ou um nome do grupo (encontrado no arquivo /etc/group). Somente o dono do arquivo e o usurio root podem modificar o grupo do arquivo. Cada arquivo possui atributos que se relacionam com a maneira pela qual o arquivo ser executado (no caso de ele ser um binrio executvel). Dessa forma, quando um usurio executa um programa (arquivo executvel), o processo de execuo ter como proprietrios o usurio que executou o arquivo e seu grupo atual. O processo de execuo do arquivo estar sujeito ainda aos mesmos privilgios impostos quele usurio e grupo correspondente. O comando chmod, por sua vez, modifica as permisses de um arquivo ou diretrio. importante informar que o usurio deve ser o proprietrio do arquivo ou diretrio, ou ter acesso ao root, para modificar as suas permisses. A sintaxe do comando :
diretrio cujas permisses sero afetadas. As permisses podem ser especificadas de vrias maneiras. Aqui est uma das formas mais simples: Modo 1 Uso de uma ou mais letras indicando os usurios envolvidos: u g o a (para (para (para (para o usurio) o grupo) "outros") todas as categorias acima)
Modo 2 Indicao se as permisses sero adicionadas (+) ou removidas (-). Modo 3 Uso de uma ou mais letras indicando as permisses envolvidas: r (para read - ler) w (para write - escrever) x (para execute - executar) s (para setuid/setgid em arquivos executveis) t (para sticky bit em arquivos executveis - obsoleto)
No exemplo a seguir, a permisso de escrita adicionada ao diretrio dir1 para usurios pertencentes ao mesmo grupo. (Portanto, o argumento "permisses" g+w e o argumento "nome" dir1).
$ ls -l dir1 drwxr-xr-x 3 dir1 drwxrwxr-x 3 dir1 <data> <hora> dir1 <data> <hora> dir1 $ chmod g+w dir1 | ls -l dir1
O hfen (-) no conjunto de caracteres para grupo foi modificado, adicionando-se a permisso de escrita (w) como resultado desse comando. Para saber mais sobre sticky bit SUID GUID, veja atentamente a Tabela 5.1.
Tabela 5.1 sticky bit SUID GUID
Ainda existem os chamados sticky bit, SUID e GUID, que so como bits extras. O primeiro associado aos diretrios e possui como identificao a letra t. Se esse bit estiver ativado com o valor 1, o diretrio no pode ser removido, mesmo que possua todas as permisses de acesso, o que implica que os arquivos criados dentro desse diretrio s podem ser apagados por seus donos. Um exemplo o diretrio /tmp. Para ativar essa opo, basta atribuir a opo 1777 ao diretrio, atravs do comando chmod. Por exemplo:
# chmod 1777 /tmp | ls -ld /tmp/ drwxrwxrwt 9 root root 45056 <data> <hora> /tmp/
O SUID muito til quando um usurio precisa alterar um arquivo atravs de alguma ferramenta, cujo dono o root, mas sem possuir demais acessos a esse arquivo. Por exemplo: para alterar sua senha, o usurio precisa alterar o arquivo /etc/password, cujo dono o root; assim, o usurio comum s conseguir escrever nesse arquivo atravs da ferramenta passwd. Essa ferramenta s pode alterar o arquivo porque ela possui o SUID ligado, ou seja, com valor igual a 1. Assim, o usurio comum roda a ferramenta como
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
#chmod 4755 teste | ls -l teste -rwsr-xr-x 1 usuario usuario 0 <data> <hora> teste
Por ltimo, o GUID permite que o arquivo seja executado com os privilgios do grupo ao qual ele pertence, no com os privilgios do seu dono. Por exemplo:
#chmod 2755 teste | ls -l teste -rwxr-sr-x 1 usuario usuario 0 <data> <hora> teste
O comando umask define a mscara de criao de novos arquivos. Essa mscara so trs nmeros que definem as permisses iniciais, aplicadas no arquivo para o seu do dono, grupo e para os outros usurios, quando esse for criado ou copiado. Seus valores so baseados no valor 666, ou seja, a sada e a entrada do comando umask so subtradas desse valor. No UNIX a mscara padro 022, isto , 666-022=644, que indica permisses de leitura e escrita para o usurio, e a apenas a permisso de leitura para o grupo e para outros usurios. A permisso pode ser ainda alterada na forma de nmeros que acompanham o comando chmod. Por exemplo:
Embora algumas bibliografias mencionem tratar-se de um sistema binrio, trata-se na verdade de um sistema octal no qual, diga-se de passagem, os algarismos vo de 0 (zero) a 7 (sete). Aqui vai a explicao. Considere as permisses de um arquivo qualquer. Cada tipo de usurio pode ter permisses de leitura e/ou escrita e/ou execuo. So necessrios trs bits _ _ _ para determinar isso numericamente. O valor de cada posio respectivamente 4, 2 e 1. Considere ainda que determinado arquivo possua as seguintes permisses: o dono pode ler, escrever e executar; outros usurios do grupo podem ler e executar; demais usurios podem somente executar. Assim, a permisso fica (considerando somente as nove posies de permisso):
rwx r-x --x, logo verificando-se os bits ativados tem-se: 7 (r w x), 5 (r - x), 1 ( - - x)
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Usurios e grupos no sistema Um usurio algum que pode ser identificado de maneira nica pelo sistema. Quando o sistema usado por algum identificvel possvel ser utilizado um controle de acesso para controlar a ao desses usurios e tambm dar privilgios, como a possibilidade de usar uma determinada aplicao. A informao do usurio composta de atributos que tm o objetivo de identific-lo no sistema: Login Nome de login do usurio, deve ser nico. Senha Senha que permite o acesso ao sistema. UID User Identification. Nmero de identificao do usurio, esse atributo dado automaticamente na criao do usurio. GID Group Identification. Nmero de identificao do grupo principal o qual o usurio integrante. Comentrios Informaes detalhadas do usurio como, por exemplo, seu nome completo, sala e telefone. Diretrio home Diretrio pertencente ao usurio quando ele acessa o sistema. Nesse diretrio, o usurio pode criar, alterar, ou remover seus arquivos. o diretrio onde ele comea logo aps se logar no sistema. Shell Programa executando quando o usurio acessa o sistema, por exemplo: bash (/bin/bash). Os grupos compreendem um conjunto de usurios que possuem algumas atividades em comum dentro do sistema; por esse motivo, os administradores de sistema utilizam os grupos para limitar e monitorar o acesso de determinados usurios. Eles tambm possuem uma nica identificao para o sistema, dada por um nmero. O grupo tambm possui alguns atributos que definem sua identificao para o sistema, so eles: Nome Nome do grupo, deve ser nico no sistema. Senha Senha de acesso para o grupo, se for necessria. GID (Group Identification) Nmero de identificao do grupo. Lista de usurios Lista dos usurios que compe o grupo. Dessa forma, fica fcil estabelecer regras para os usurios. Por exemplo: existe um usurio que membro do grupo de administradores do sistema, o usurio root. Esse usurio padro a qualquer sistema Linux. Conforme vimos, seus privilgios abrangem a administrao do sistema inteiro, ou seja, o usurio root capaz de executar qualquer script ou programa dentro do sistema de arquivos e a mudar qualquer configurao do Linux. Quando um novo usurio criado, automaticamente um grupo com o mesmo nome tambm criado. Dessa forma, o usurio passar a ser integrante desse grupo que foi criado juntamente com ele. No entanto, essa caracterstica pode ser alterada, se for do interesse do administrador do sistema. Nas sesses seguintes trataremos a criao e alterao com mais detalhes. Todas essas informaes que compe grupos e usurios esto armazenadas em arquivos. Assim, todas as ferramentas ou programas que fazem a gerncia de grupos e usurios manipulam as informaes contidas nesses arquivos. Os arquivos que contm as informaes dos usurios no sistema so:
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
/etc/passwd /etc/shadow (opcional) O arquivo que contm os usurios reconhecidos localmente no sistema o passwd. Abra esse arquivo e comprove que cada linha estabelece um usurio no sistema. A linha contm vrias informaes na forma de campos separados por dois pontos (:). Veja o exemplo abaixo: joao:x:1000:1000:Joo Santos,ucb,33560000:/home/joao:/bin/bash Aqui o usurio Joo Santos possui as seguintes informaes: Nome de login joo Senha x (isso significa que a senha est armazenada em outro arquivo, chamado /etc/shadow) UID 1000 GID 1000 Comentrios Itens descritivos com nome completo, localizao e telefones Home directory /home/mauro Shell /bin/bash O arquivo /etc/shadow uma precauo do Linux. Ao invs de deixar as senhas de usurios gravadas no passwd (que pode ser lido por todos), o sistema guarda as senhas num outro arquivo que somente pode ser lido pelo usurio root. Alguns comandos relacionados com informaes de usurio e grupos so: id Mostra o UID do usurio e os GIDs de cada grupo ao qual ele pertence. finger Relata vrias informaes sobre um usurio. who Mostra quem est logado no sistema no momento w Mostra quem est logado no sistema e o que est fazendo (o que est executando). Verifique a sintaxe desses comandos utilizando o comando man. Acessando o sistema como root O superusurio (root) j foi apresentado anteriormente. Ele a conta administrativa do sistema e tem poderes de alterar qualquer item do sistema operacional. O UID do usurio root sempre 0. Veremos que os diretrios e arquivos executveis do sistema sero de posse dele. possvel que um usurio logado mude sua identidade. Isso feito pelo comando su (switch user). Por exemplo:
$ su roberto
Pede a senha do usurio roberto e, caso a senha esteja correta, faz com que o usurio anterior seja reconhecido como roberto. possvel se mudar para o usurio root, por exemplo, para efetuar aes de administrao. No preciso se logar no sistema como root para trabalhar como root temporariamente. Para isso, usamos o mesmo comando sem argumentos:
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
$ su Password: #
Note a mudana do prompt para o #. Para sair da nova personalidade, basta dar o comando:
# exit
Para saber mais sobre o comando sudo, veja atentamente a tabela abaixo:
Tabela 5.3 O Comando Sudo
Outra maneira de permitir atividades administrativas ao usurio comum o comando sudo. Esse comando permite ao usurio executar aes como outro usurio, inclusive o root. Essa uma maneira mais elegante de controlar o sistema, pois o acesso como root utilizando o comando su, d plenos poderes ao usurio que est caracterizado como root. Com o comando sudo, o usurio somente poder executar um conjunto definido de comandos, por exemplo, para parar um processo de sistema. O controle feito pelo sudo est configurado no arquivo /etc/sudoers. Esse arquivo, por sua vez, somente pode ser editado pelo usurio root atravs do comando visudo. Adio, modificao e remoo de usurios e grupos no sistema A lista de usurios e grupos no sistema pode ser alterada com privilgios de root. A seguir, alguns comandos que permitem o gerenciamento de grupos e usurios:
passwd Cria ou altera a senha de um usurio. Sintaxe: passwd <usuario>. userdel Elimina um usurio do sistema. Sintaxe: userdel [opes] <usuario>
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
usermod Modifica caractersticas de um usurio. Sintaxe: usermod [opes] <usuario> groupadd Adiciona grupos ao sistema. Sintaxe: groupadd [opes] <grupo> gpasswd Cria ou altera a senha de um grupo. Sintaxe: gpasswd <grupo> groupdel Elimina um grupo do sistema Sintaxe: groupdel <grupo> groupmod Modifica caractersticas de um grupo. Sintaxe: groupmod [opes] <grupo>
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Utilizao do controle de contas de usurio A utilizao de dois nveis de contas de usurio visa aumentar a segurana do sistema. Desse modo, usurios comuns somente executaro tarefas associadas desse tipo de usurio, como j dissemos. Os administradores do
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
sistema, por sua vez, necessitam de acesso total, para que possam executar as tarefas de instalao, configurao e gerenciamento do sistema e dos usurios. A recomendao, mesmo para um administrador do sistema, utilizar uma conta de usurio para atividades rotineiras, acessando o sistema como administrador somente nos momentos em que for realizar atividades relacionadas com essa funo. Isso aumenta a segurana do sistema, evitando que um usurio fique todo o tempo como Administrador do sistema o que, em uma eventual falha ou engano, mesmo que de digitao, pode comprometer a segurana do sistema. Logo, ao administrador do sistema recomendado manter-se como usurio comum, somente galgando do nvel de administrador quando necessrio. A Figura 5.2 mostra a caixa de dilogo resultante quando um usurio comum tenta executar tarefas restritas ao administrador. No caso uma tentativa de mudana de configuraes do sistema (Change Settings).
De todo modo, seja como usurio comum ou como administrador, o sistema utilizar o UAC (User Account Control), que lhe solicitar permisso para prosseguir caso a atividade por padro requeira senha de administrador. O UAC possui cinco opes de segurana que podem ser utilizadas. Essas opes gerenciam como o sistema lidar com o controle de permisses. Por exemplo: se, como citado, os administradores receberam uma solicitao de permisso para prosseguir em atividades administrativas ou mesmo se usurios comuns receberam essa caixa de dilogo para inserir a senha de administrador, o que, convenhamos, bem conveniente. Considere ainda que, no ambiente do domnio, voc pode utilizar Group Policy do Microsoft Active Directory para
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
lidar com a configurao de segurana para um conjunto de computadores. Em uma aula mais adiante, voc ir estudar o que o Active Directory e como utiliz-lo. As configuraes para grupos (workgroups) muitas vezes requerem uma configurao individual em cada computador. Para acessar as polticas de segurana para usurios locais, modificando as configuraes do UAC, voc pode utilizar o Local Security Policy Console, o qual pode ser acessado por meio do caminho Start/All Programs/Administrative Tools/Local Security Policy, conforme indicado na Figura 5.3. A Figura 5.4 mostra onde desabilitar a apresentao da caixa de dilogo de atividades administrativas que apresentada aos usurios. Para isso, clique com a tecla direita do mouse, modificando o item selecionado.
Observe que, se voc desabilitar a elevao de usurios comuns para que executem atividades administrativas, eles sero incapazes de utilizar tambm o assistente para configurao remota, na qual podem estar tentando ajudar outros usurios remotamente.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Alm disso, voc deve considerar que existem trs nveis de execuo para aplicaes: RunAsInvoker A aplicao executada como os mesmos privilgios de um usurio. RunAsHighest A aplicao executada com os privilgios mais altos possveis para aquele usurio. Se o usurio for um usurio comum, os privilgios sero os normalmente concedidos a ele. Para um usurio com privilgios parciais de administrador, como o caso de usurios responsveis pelo backup, por determinado servidor, ou por administrar contas de usurio, a aplicao ir executar com os maiores privilgios que possua. RunAsAdmin A aplicao executada com privilgios de administrador. Para usurios com privilgios parciais de administrador, somente alcanaro o privilgio de administrador se puderem receber a caixa de dilogo para que possam informar a senha de administrador. Nesta aula, voc viu como lidar com o usurio e suas permisses, tanto no ambiente Linux quanto no Windows. Como se trata de um assunto extenso, no o objetivo aqui esgotar todo o assunto, e sim dar a voc condies para utilizar e progredir na utilizao desses sistemas. Nas demais aulas, voc ir estudar os principais servios da Internet associados a esses sistemas.
EXERCCIOS
1. No Linux a. Crie um usurio sem privilgios de administrador. b. Altere as permisses de acesso pasta home desse usurio, de modo que somente ele possa ler, editar ou executar arquivos dentro dessa pasta. 2. No Windows a. Crie um usurio sem privilgios administrativos.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
b. Modifique as permisses de modo que esse usurio no receba uma caixa de dilogo para alcanar privilgios de administrador.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
EXERCCIOS
Atividade Prtica 1. No Linux a. Configure uma estao Linux para obter as configuraes de rede automaticamente da rede. Obs.: Nesse caso necessrio que exista um servidor DHCP em funcionamento na rede. Teste o acesso rede. Caso no exista um servidor DHCP em sua rede, pule este item. Ele ser novamente refeito na prxima aula. b. Configure uma estao Linux fornecendo manualmente todas as informaes de que ela precise para acessar a rede. Teste o acesso rede. 2. No Windows a. Configure o computador com Windows Server 2008 fornecendo manualmente todas as informaes que precise para acessar a rede. Teste o acesso rede.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Assim, distribui endereos IP e parmetros de configurao de rede, como: mscara de sub-rede; endereo do roteador de sada (gateway) e informaes de domnio, entre outras. J o DHCP Client a parte do servio DHCP que fica presente nas estaes cliente. Convm ressaltar que os sistemas operacionais Windows e Linux possuem esse cliente em todas as suas verses. Existem protocolos que provem recursos utilizados pelo protocolo DHCP, como: BOOTP; RARP (Reverse Address Resolution Protocol), atravs do DRARP (Dynamic RARP); TFTP (Trivial File Transfer Protocol); ICMP (Internet Control Message Protocol). O BOOTP um mecanismo simples de transporte de informaes de configurao de rede. Permite que estaes com poucos recursos, por exemplo, estaes diskless, obterem um endereo IP e o endereo IP do servidor BOOTP de onde recebero um arquivo a ser carregado em memria para que possa dar boot. O RARP um protocolo que permite a obteno de um endereo IP a partir de um endereo MAC. Uma estao envia uma solicitao em broadcast na rede, informando seu endereo MAC com a finalidade que o servidor DHCP lhe fornea um endereo IP. O TFTP um protocolo de transferncia de arquivos, em que cada pacote confirmado automaticamente. O ICMP um protocolo utilizado para permitir que estaes localizem roteadores, servidores e outros equipamentos na rede. o protocolo do famoso comando ping, muito utilizado nos sistemas operacionais Windows e Linux. O DHCP suporta trs mecanismos para alocao de endereos IP: automtico; dinmico e manual. Automtico Um endereo IP atribudo permanentemente para uma estao. Dinmico Um endereo IP atribudo para uma estao por um perodo determinado de tempo. Manual Um endereo IP atribudo para uma estao pelo administrador da rede, o que feito por meio do arquivo de configurao do DHCP. A essa operao de fornecer um endereo IP para que a estao cliente a utilize por determinado tempo, denomina-se lease. Pode-se utilizar um ou mais desses mecanismos ao mesmo tempo, em uma determinada rede. Uma estao cliente deve ser capaz de descobrir os parmetros necessrios ao seu funcionamento, inserindo-os automaticamente em seu sistema sem interveno manual. Do mesmo modo o servidor deve funcionar de maneira automtica sem a necessidade de interveno manual do administrador para o funcionamento de cada estao cliente, exceto em casos especiais onde se deseja fixar determinado endereo a um cliente especfico. Deve ainda suportar estaes que utilizem o protocolo BOOTP (RFC 2132), IPv6 (RFC 4361), SIP (RFC 3319) e IEEE 1394 (RFC 2855). A Figura 7.1 apresenta os campos de uma mensagem DHCP e seus tamanhos em bytes:
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Durante a obteno dos parmetros de configurao necessrios, algumas mensagens so trocadas entre o servidor e o cliente DHCP. A figura 2 apresenta esta seqncia.
Detalhando um pouco mais cada uma dessas mensagens: 1. Cliente envia mensagem broadcast DHCPDISCOVER. Inclui o endereo MAC (fsico). Pode ainda incluir sugesto de endereo IP e durao do lease. 2. O servidor pode responder com uma mensagem DHCPOFFER que inclui um endereo IP disponvel no campo YIADDR e outros parmetros em OPTIONS. O servidor verifica disponibilidade do endereo IP antes de disponibiliz-lo. 3. O cliente envia uma mensagem DHCPREQUEST que inclui o identificador do servidor DHCP. Isso necessrio para o caso de o cliente receber respostas de mais de um servidor DHCP. 4. O servidor, aps receber a mensagem, salva as configuraes e responde com uma mensagem DHCPACK contendo as configuraes que foram ofertadas anteriormente. 5. O cliente efetua uma verificao utilizando o protocolo ARP com o endereo fornecido. Caso perceba que o endereo j est em uso, envia uma mensagem DHCPDECLINE. Caso o cliente receba um DHCPNACK o processo reinicia. O cliente pode ainda quando desejar liberar o endereo informando seu CHADDR.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Caso o cliente j saiba o endereo IP desejando apenas renov-lo enviar diretamente um DHCPREQUEST.
A estao cliente encaminha uma consulta DNS ao servidor. Isso ocorre em muitas situaes. Um exemplo tpico quando o usurio est acessando a Internet e o navegador precisa resolver um determinado endereo. O servidor DNS local informar o endereo IP associado quele endereo, caso possua o mesmo em sua base de dados ou, no caso de uma consulta repetida, em seu cache. Caso o servidor DNS no possua a informao desejada, ele ir procur-la efetuando consultas a um servidor DNS raiz da Internet e, a partir daquele, outros servidores, at obter a informao desejada.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Espao de nomes DNS O DNS fornece servio de nomes e diretrio em redes que implementam a pilha de protocolos TCP/IP. Pode ser considerado um sistema de banco de dados distribudo. O DNS essencial para cada site que se conecta diretamente Internet. Porm, mesmo para redes locais isoladas que utilizam protocolos da pilha TCP/IP, sempre faz sentido utiliz-lo. Domnio O rpido crescimento da Internet levou introduo dos conceitos de domnios e subdomnios DNS. Os domnios compem a estrutura bsica do DNS e podem ser comparados a diretrios em um sistema de arquivos, com cada domnio aparecendo como sub-rvores de informaes no espao de nomes de domnios. Um endereo simblico de estao em um domnio deve ser nico, porm, esse mesmo endereo simblico pode existir em outros domnios. Os domnios so implementados como uma hierarquia, que pode ser vista como uma rvore invertida, comeando no domnio-raiz, cujo endereo simblico real , ou seja, um rtulo (label) nulo. O domnio raiz implementado por um grupo de servidores de nomes chamados servidores raiz. Os servidores raiz s tm informaes completas a respeito dos domnios de topo, que se localizam imediatamente abaixo do domnio-raiz na rvore de hierarquia de domnios. Os domnios de topo, por sua vez, tm apontadores para os servidores em domnios de nveis inferiores. Nenhum servidor, nem mesmo os servidores raiz, tem informaes completas sobre todos os domnios, mas os seus apontadores podem indicar que outros servidores podem fornecer a informao desejada. Assim, os servidores raiz podem at no saber a resposta para uma pergunta, mas certamente sabero para quem direcion-la. Um domnio uma sub-rvore do espao de nomes DNS. Um domnio completo, tambm denominado FQDN (Fully Qualified Domain Name), consiste basicamente em: um nome de mquina, um nome de domnio e um domnio de topo. O endereo www.catolicavirtual.br um exemplo de FQDN em que: www o nome da mquina (ou host). catolicavirtual o nome do domnio. br o domnio de topo. Cada sub-rvore considerada parte de um domnio; nesse caso, catolicavirtual faz parte do domnio br. Uma outra situao a referente a sub-domnios dentro da prpria rede. Considere o endereo www.tsi.catolicavirtual.br, no qual tsi uma sub-rvore de catolicavirtual e faz parte desse domnio.
Exemplo domnio catolicavirtual: www.catolicavirtual.br Mquina www no domnio catolicavirtual.br. mail.catolicavirtual.br Mquina mail no domnio catolicavirtual.br. Zonas de autoridade Tambm denominadas SOA (Start of Authority). Cada nome de domnio possui um registro de zona de autoridade que apresenta informaes do domnio e da zona que o domnio est inserido. Entre essas informaes, podem-se citar: o o o o nome do servidor de nomes primrio; endereo eletrnico (e-mail) do responsvel pelo domnio; nmero de srie (serial number) da zona; intervalo de refresh, que indica o tempo, em segundos, que o servidor de nomes secundrio
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
deve verificar por atualizaes junto ao servidor de nomes primrio; o intervalo de retry, que indica o tempo, em segundos, que o servidor de nomes secundrio aguarda por uma resposta do servidor de nomes primrio antes de indicar uma falha; o tempo de expire, que informa o tempo, em segundos, aps o qual o servidor no mais responde por informaes daquela zona; o tempo de vida TTL (Time-To-Live), valor passado pelo servidor de nomes indicando, para a mquina que originou a pergunta, o tempo que a informao pode ser mantida em cache. Registro de recursos Considere que todos os domnios podem ter um conjunto de registro de recursos associado. Conforme mencionamos, uma zona de autoridade refere-se a um local em que os dados sobre as mquinas do domnio esto armazenados. Isso significa que todos os registros de um determinado domnio esto em uma zona de autoridade responsvel por aquele domnio. Nesse caso podemos ter, considerando os domnios df.rnp.br e rnp.br, duas zonas de autoridade. A primeira zona responsvel pelas informaes referentes aos servidores daquele domnio, e a segunda, responsvel pelas informaes dos servidores do outro domnio. Nesse caso, podemos ter: Servidor 1 SOA do domnio rnp.br, responsvel pelas informaes de DNS dessa rede. Servidor 2 SOA do domnio df.rnp.br, responsvel pelas informaes de DNS dessa rede. Esses servidores podem estar, inclusive, em localidades diferentes, e no tm relao direta (primrio e secundrio) um com o outro.
Os registros do banco de dados do DNS uma tupla de 5 campos: nome; TTL Time to Live; classe; tipo; dados. Assim: <nome><TTL><classe><tipo><dados> Exemplo: www 604800 IN A 200.199.204.58 Os tipos de dados definem o tipo de registro, o que, muitas vezes, permite identificar o tipo de servidor. SOA Identifica o servidor Start of Authority do domnio. A e PTR Identifica um servidor; utilizados, respectivamente, em mapeamento direto e reverso. MX Identifica um servidor de correio eletrnico do domnio. Deve ser acompanhado de um nmero de prioridade, caso exista mais de um servidor de correio eletrnico no domnio. NS Indica o servidor de nomes do domnio. CNAME Indica nome cannico, o que permite a um determinado servidor responder por mais de um nome. HINFO Indica informao sobre o hardware e software. Pouco utilizado na prtica. TXT Indica informaes de uso geral. Mapeamento direto O mapeamento direto utilizado na traduo de nomes em endereos IP, o qual ser utilizado como destinatrio do pacote a ser transmitido pela rede. Mapeamento reverso O mapeamento reverso utilizado na traduo de endereos IP em nomes. Nesse caso, a consulta encaminhada ao servidor DNS da rede local. O servidor DNS local consulta um servidor DNS raiz e, em seguida, o servidor DNS na rede de destino. O nome ento passado ao computador que efetuou a consulta. Esse tipo de consulta utilizado freqentemente em diagnsticos e na determinao de spam.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Servidor primrio o servidor a partir do qual os dados a respeito de um domnio so originados. O servidor primrio carrega as informaes a respeito do domnio diretamente a partir de um arquivo, no formato texto, criado pelo administrador. O servidor primrio a fonte autorizada a respeito de um domnio; isto , tem informaes completas e atualizadas a respeito de seus domnios. S pode existir um nico servidor primrio para um domnio.
Servidor(es) secundrio(s) So servidores para os quais uma base de dados completa, referente a um determinado domnio, obtida a partir do servidor primrio. Uma base de dados correspondente a um determinado domnio, replicada no servidor secundrio, chamada arquivo de zona. Copiar uma base de dados de um servidor primrio para um servidor secundrio garante que ele sempre ter informaes atuais sobre um domnio por meio de transferncias peridicas de arquivos de zona para este domnio. O servidor secundrio atende a consultas DNS mesmo que o servidor primrio esteja indisponvel, atuando, nesse caso, como um servidor de backup. Servidor cache Servidores cache recebem as respostas para todas as consultas de servios de nomes que venham de outros servidores de nomes. Quando um servidor cache recebe uma resposta para uma consulta, ele guarda essa informao para utiliz-la em outras consultas que venham a ocorrer. A maioria dos servidores de nomes armazena respostas em memria cache, consultando-o (o cache) freqentemente, o que torna os servidores de caching importantes que essa tcnica a nica utilizada na construo de sua base de dados para o domnio correspondente. Servidores cache so no-autorizados; isto , suas informaes podem estar incompletas ou desatualizadas, apesar de geralmente estarem coerentes, e atuam somente como armazenamento de consultas prvias. Sua principal fun, em uma determinada rede ou sub-rede, a de aumentar a confiabilidade e desempenho de consultas DNS, aliviando a carga sobre os servidores primrios e secundrios da rede. Uma boa prtica, em redes de grande porte, a utilizao de um servidor primrio apoiado por um ou dois servidores secundrios para toda a rede. Colocando servidores de cache em determinadas sub-redes para aumento de desempenho e confiabilidade, conforme mencionado. Servidores raiz da Internet O servio DNS essencial ao funcionamento dos principais protocolos utilizados na Internet. A Internet possui treze servidores raiz de DNS, os quais so na verdade clusters espalhados ao redor do globo. Como se trata de um ponto crtico para toda a rede municipal de computadores, esses treze servidores esto espalhados pelo planeta.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
legadas, o que ocorre com aplicaes que utilizam WINS para resoluo de nomes, nas verses Windows 95, Windows 98 e Windows NT. Isso ocorre tambm com aplicaes em Windows 2000 e Windows 2003 Server, que no utilizam o servio de diretrio Active Directory e, por conseguinte, no necessitaram de DNS. Uma observao importante que, se voc est montando uma nova rede, provavelmente no ir necessitar do WINS. Considere ainda que ambientes que possuam sistema operacional Windows nas verses 2000, XP e 2008 Server, no iro necessitar de WINS, pois utilizam somente DNS. O WINS uma aplicao de arquitetura cliente e servidor. Desse modo, tem-se um servio WINS em funcionamento em um servidor na rede para que usurios que utilizem o servio possam acess-lo. A arquitetura WINS plana, no possuindo estrutura hierarquizada como o DNS. Assim, cada computador ou recurso possui um nome NetBIOS. Esse nome possui tamanho de at 15 caracteres e deve ser nico na rede. O escopo NetBIOS pode ser includo no servio DHCP. Mas o que o escopo NetBIOS? um dcimo sexto caractere que atua como um sufixo para o nome NetBIOS. Sua finalidade limitar o escopo de comunicaes WINS para os clientes. Desse modo, somente clientes com o mesmo escopo podem se visualizar. A resoluo NetBIOS pode funcionar de quatro modos diferentes, a saber: Broadcast (B-node) No modo broadcast, cada computador que deseje resolver um nome na rede envia uma mensagem a todas as mquinas da rede, solicitando o endereo IP associado quele nome. Isso resulta em muito trfego na rede. Peer-to-peer (P-node) No modo peer-to-peer, cada computador que deseje resolver um nome na rede envia uma mensagem ao servidor WINS, o qual responde informando o endereo IP associado ao nome. Resulta em muito menos trfego; todavia, se o servidor WINS no estiver atualizado, o nome procurado no ser encontrado. Misto (M-node) O modo misto uma mistura do modo broadcast com o peer-to-peer. Nele, a mensagem enviada primeiramente em broadcast. Caso no haja resposta, uma consulta feita ao servidor WINS. O volume de trfego continua alto, porm, o nome sempre pode ser encontrado. Hbrido (H-node) O modo hbrido associa o modo peer-to-peer com o modo em broadcast. Uma consulta feita ao servidor WINS e, caso no haja resposta, feita uma solicitao em broadcast. Esse modo reduz bastante o trfego de mensagens na rede, e o nome sempre pode ser encontrado. LLMNR O LLMNR (Link Local Multicast Name Resolution) um servio que permite a resoluo de nomes, para equipamentos IPv4 e Ipv6, em redes Windows que no possuam WINS e nem DNS. Desse modo, as estaes podem se localizar na rede. O Windows Vista e o 2008 Server possuem suporte a LLMNR, habilitado por padro nessas verses. O MMMNR pode ser utilizado em duas situaes: Em pequenas redes Windows. Embora possa substituir o WINS, no deve ser considerado um substituto do DNS. Computadores com Windows Vista e 2008 Server podem utilizar o LLMNR caso o servidor DNS no esteja
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Neste item, estudaremos como deve ser feita a instalao e configurao dos servios DHCP, DNS e WINS no Windows. Utilizaremos como referncia o Windows Server 2008. No pretende aqui apresentar um guia que esgote todos os recursos dessas ferramentas. Nosso objetivo apresentar as etapas iniciais e alguns dos recursos mais importantes, permitindo a cada um experimentar e avaliar as solues. Importante! Caso voc no tenha acesso verso licenciada, poder obter uma verso trial neste endereo. Pode ser necessrio preencher algum cadastro para ter acesso ao download. Em geral, o prazo do perodo de avaliao de 60 dias, podendo ser prorrogado por trs vezes, totalizando 240 dias. Aps esse perodo, necessrio remover a instalao ou adquirir a licena. Veja as condies no site da Microsoft. Utilize somente software obtido de forma legal.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Nesta aula, voc estudou os servios mais utilizados nas redes. Independentemente de quais sistemas operacionais estejam presentes, sempre se faz necessria a utilizao de servios de resoluo de nomes e de distribuio de endereos IP. Espera-se que, com esta aula, voc possa a partir de agora se aprimorar na administrao dessas solues.
EXERCCIOS
1. No Linux a. Configure um servidor DHCP. Defina a faixa de endereos a serem distribudos e as demais informaes que sero repassadas aos computadores clientes. b. Teste o funcionamento do servidor DHCP configurando um ou mais clientes para utilizar seus servios. c. Configure um servidor DNS. Defina as zonas de endereamento direto e reverso. Crie algumas entradas do tipo A, PTR e CNAME, alm de alguns alias. 2. No Windows a. Configure um servidor DHCP. Defina a faixa de endereos a serem distribudos e as demais informaes que sero repassadas aos computadores clientes. b. Teste o funcionamento do servidor DHCP configurando um ou mais clientes para utilizar seus servios. c. Configure um servidor DNS. Defina as zonas de endereamento direto e reverso. Crie algumas entradas do tipo A, PTR e CNAME, alm de alguns alias.
A instalao do Apache pode ser efetuada de dois modos. O primeiro, mais fcil e intuitivo, atravs do gerenciador de pacotes, como o Synaptic, Apt etc. Nele, o administrador da mquina seleciona a verso do apache disponvel no repositrio e solicita a instalao. O segundo modo aqui apresentado mais complexo. Todavia, em muitas situaes, a soluo mais vivel. O que pode ocorrer por uma variedade de situaes. Um caso mais comum quando a verso do repositrio no a verso que deseja instalar no computador. Nesse caso, necessrio efetuar o download do cdigo fonte e compil-la adequadamente em seu sistema operacional. Download Em virtude de uma instalao compilada, permite uma melhor freqentemente estar mais atualizada que verses empacotadas. personalizao ao sistema, alm de
Extrair
Configurar
$ ./configure --prefix=PREFIX
Compilar e instalar
Personalizar
$ vi PREFIX/conf/httpd.conf
Obs.: Dedique um tempo para analisar o contedo do arquivo de configurao httpd.conf Testar
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
$ PREFIX/bin/apachectl -k start Abra o navegador e digite: http://localhost/ Obs.: A localizao da pgina visualizada esta na diretiva DocumentRoot no arquivo httpd.conf
// processo pai avisa aos filhos para // encerrar e criar novos baseado // nas novas configuraes
Configuraes bsicas do servidor As diretivas constantes no arquivo de configurao podem agir sobre todo servidor, determinadas pastas, arquivos, hosts ou URLs, como segue: Acesse a documentao do servidor apache e localizar o item Directive Quick Reference. Essa lista apresenta as diretivas e seus valores-padro. Localize no arquivo de configurao httpd.conf as diretivas listadas a seguir. Determine a finalidade de cada uma: DocumentRoot, DirectoryIndex, Listen, DefaultType, DeflateCompressionLevel, <Directory>, ErrorDocument, MaxRequestsPerChild MaxRequestsPerThread, RLimitCPU, RLimitMEM, RLimitNPROC, ThreadsPerChild Experimente modificar algumas delas. Recomenda-se modificar uma por vez e, em seguida, reiniciar o servidor. Veja o que muda no sistema. Obs: Para evitar erros, teste a configurao com o comando apachectl configtest.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Configure servidor DNS para responder s solicitaes destinadas aos sites www.example.com e www.example.org. Inclua a entrada CNAME no arquivo de zonas apropriado Servidores virtuais
Edite o arquivo de configurao httpd.conf modificando as diretivas a seguir: Listen 80 NameVirtualHost *:80 <VirtualHost *:80> DocumentRoot /www/example1 ServerName www.example.com # Other directives here </VirtualHost> <VirtualHost *:80> DocumentRoot /www/example2 ServerName www.example.org # Other directives here </VirtualHost> Teste as configuraes antes de aplic-las utilizando apachectl configtest. Em caso de erros utilize o commando: /usr/local/apache2/bin/httpd -S para efetuar um debug na configurao do servidor virtual
Obs: Para evitar que essa chave seja solicitada toda vez que se iniciar o servidor, pode-se utilizar o seguinte comando: $ /usr/sbin/openssl genrsa 1024 > /etc/apache2/conf/ssl.key/server.key $ chmod go-rwx /etc/apache2/conf/ssl.key/server.key Gerando um certificado prprio Acesse o diretrio /usr/share/ssl/certs e execute o comando para gerao do certificado: $ make testcert Ser solicitada uma chave. Essa frase a mesma digitada anteriormente. Em seguida, digitar as informaes cadastrais solicitadas: Reinicie o servidor web Abra o navegador e digite https://localhost/ Gerando um certificado prprio para registro junto a uma CA Acesse o diretrio /usr/share/ssl/certs e execute o comando para gerao do certificado: $ make certreq Ser solicitada uma chave. Essa frase a mesma digitada anteriormente. Em seguida, digitar as informaes cadastrais solicitadas.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 1
3. Em seguida iniciado um Wizard para auxili-lo no processo de instalao. Clique em Next. 4. Selecione a opo Web Server (IIS). Clique em Next (Figura 2).
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 2
5. Caso sejam necessrios recursos adicionais, surgir uma mensagem solicitando a instalao de recursos adicionais (Figura 3). Clique em Add Required Features (e instale os recursos adicionais).
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 3
6. Clique em Next duas vezes. 7. Em seguida voc deve selecionar os servios adicionais que desejar. Por exemplo, suporte aos seguintes recursos: CGI; ASP; Autenticao; FTP; entre outros. Por enquanto deixe como proposto. Clique em Next (Figura 4).
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 4
8. A seguir apresentado um resumo da instalao a ser feita. Clique em Install (Figura 5).
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 5
9. Aps a instalao clique em Close para fechar o wizard. 10. A instalao foi concluda (Figura 6).
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 6
11. Para gerenciar o IIS voc pode acessar o IIS Manager atravs do caminho Start / Administrative Tools / IIS Manager (Figura 7).
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 7
12. Para gerenciar as configuraes de um servidor em particular selecione o servidor (figura 8). Os itens a serem configurados aparecem na parte central da tela. Entre eles: Default Document (documento padro); Authentication (autenticao); Server Certificates (certificados do servidor); Error Pages (pginas de erro). Dedique um tempo a explorar estes itens de configurao. Procure determinar a finalidade de cada um deles. Coloque suas opinies e questionamentos no frum apropriado da disciplina.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 8
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Verificao das configuraes iniciais prvias: # echo $hostname # ps aux | grep syslog # ps aux | grep ntpd // verificando nome hostname // verificando se syslogd esta em execuo // verificando se ntpd esta em execuo
Obs.: Ative os daemons syslogd e ntpd, caso no estejam em execuo. Verifique o arquivo de configurao syslogd.conf, conforme orientaes anteriores. Configure a ative o servidor DNS do domnio: Ative o servidor DNS do domnio, caso no esteja em execuo. Inclua as entradas relativas ao servidor de e-mail nos arquivos de zonas, reiniciando o servidor DNS em seguida. Verifique se as entradas associadas aos tipos de registro A,PTR e MX esto adequadamente configuradas. Servidor email => mar.exemplo.com.br, tambm denominado mail.exemplo.ucb.br Teste o funcionamento do servidor DNS com o comando dig mail.linux.lan MX Editando o arquivo de configurao main.cf: $myhostname = mar.exemplo.com.br $mydestination = mar.exemplo.com.br, localhost, localhost.localdomain $myorigin = mail.exemplo.com.br $mynetworks_style = subnet $mynetworks = 127.0.0.0/8, 192.168.1.0/24 Recarregando o servidor Postfix: # /etc/init.d/postfix reload ou service postfix restart
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
$ telnet mail.exemplo.com.br smtp Envie um HELO: HELO mail.exemplo.com.br Informe o remetente da mensagem: MAIL From: usuario1@mail.exemplo.com.br Informe o destinatrio da mensagem: RCPT To: usuario2@mail.exemplo.com.br Digite o corpo da mensagem: DATA Isto eh um teste . // digite um linha somente com . para encerrar mensagem Encerre a conexo: QUIT
Iniciar console para usuario1, usuario2, root. No primeiro console logar como usuario1 e enviar mensagem: $ mail usuario2@mail.exemplo.com.br No segundo console logar como usuario2 e verificar mensagens: $ mail Verificar o arquivo de log: # tail -f /var/log/mail.log Verificar aplicativos em execuo:
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
# ps aux | grep postfix # ps aux | grep procmail Iniciar aplicativos que se fizerem necessrios: Verificar se postfix, procmail e named esto em execuo. Repetir itens 2 a 4 caso a mensagem enviada no tenha alcanado o destino.
Modifique o arquivo de configurao main.cf: $home_mailbox = Maildir/ Modifique a varivel de ambiente MAIL: Edite o arquivo /etc/profile modificando o valor da varivel MAIL para $HOME/Maildir
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Novas contas de usurio criadas a partir deste momento tero as pastas utilizadas pelo Maildir.
EXERCCIOS
1. Atividade 1 Servidor Web Apache Modifique as configuraes do servidor apache de modo que cada usurio com conta local no computador possa ter sua prpria pgina na Internet. 2. Atividade 2 Servidor Web IIS Modifique as configuraes do servidor web conforme solicitado: a. Coloque uma pgina html simples em uma pasta apropriada no servidor. Modifique a configurao para que essa pgina seja carregada por padro. b. Personalize as mensagens de erro do servidor. Por exemplo: para o erro 404 crie uma tela personalizada. c. Crie um certificado e as chaves para que seu servidor web possa ser acessado por meio de uma pgina segura. 3. Atividade 3 (desafio) Servidor Email Postfix Modifique as configuraes do servidor Postfix para que permita utilizao dos protocolos POP e IMAP. Dica: consulte a documentao do Postfix.
configurao, passando pela administrao do sistema e de seus usurios, at chegar configurao da rede e de vrios dos servios Internet. Nesta aula nos dedicaremos a estudar um ltimo assunto de extrema importncia no mbito das redes corporativas: o servio de diretrio. Presente na grande maioria das empresas: esse servio que possibilita controlar de modo organizado o acesso rede e aos servios nela disponibilizados. Determina quem pode fazer o que, quando e onde. Desde a autenticao do usurio na rede, at o acesso aos servios. Podendo liberar ou bloquear, ao usurio, o acesso a recursos na rede ou mesmo dentro de aplicativos. Logo o objetivo aqui que voc compreenda os aspectos tericos e prticos do gerenciamento de servio de diretrio.
9.1 Introduo
Nesta aula nos dedicaremos a estudar os tpicos e questes ligadas ao gerenciamento de servio de diretrio. Sero abordadas as definies ligadas : topologia; replicao; esquemas; listas de controle de acesso; implementaes de solues. A esta altura voc deve estar se perguntando: o que um servio de diretrio? Um servio de diretrio similar a uma base de dados. A informao num diretrio geralmente lida muito mais freqentemente que escrita. E, alm disso, diretrios podem ter habilidade para replicar informaes, obtendo confiabilidade e disponibilidade enquanto podem reduzir tempo de resposta. H diferentes maneiras de prover um servio de diretrios. Mtodos diferentes permitem diferentes tipos de informaes a serem armazenadas no diretrio, impem diferentes requisitos em como as informaes podem ser referenciadas, consultadas e atualizadas etc. O que ele faz? Atualmente temos vrios tipos de aplicaes que se utilizam de informaes adequadas para o armazenamento na forma de diretrios. Podemos encontrar vrios exemplos. Considere, por exemplo, programas utilizados para agendar compromissos pessoais, em que podemos ter armazenado inclusive informaes de contatos pessoais (como e-mails e telefones). Quando uma reunio agendada, essas informaes podem ser buscadas no diretrio. Mas o que um diretrio? Um diretrio um repositrio de informaes onde a quantidade de acessos para leitura bem maior do que a quantidade de operaes de escrita. Voc pode compar-lo a bancos de dados relacionais. A diferena que, em banco de dados, as operaes de escrita so to freqentes quanto as de leitura. Servios de diretrio so projetados para transaes simples que, em geral, envolvem uma nica solicitao, enquanto bancos de dados lidam com operaes complexas e bem diversificadas. Um diretrio permite o armazenamento de informaes de vrios modos diferentes, permitindo buscas especficas para a localizao dessas informaes.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Mas o que ele faz? Um servio de diretrio acessvel a todas as aplicaes em uma rede de extrema importncia para um bom funcionamento da infra-estrutura de informtica. O servio de diretrio prov uma maneira simples e lgica de abstrair usurios, recursos e outros objetos no mbito de uma rede. No final das contas, permite que os usurios e aplicaes acessem os recursos disponveis atravs da rede de uma maneira simples, direta e imperceptvel. Em outras palavras, os recursos disponveis na rede so vistos como um todo, ao invs de partes independentes que no se comunicam adequadamente. Os componentes de um servio de diretrio podem ser visualizados na Figura 9.1.
Para esclarecer bem a finalidade de um servio de diretrio, vamos considerar dois cenrios: o primeiro sem servio de diretrio; o segundo com servio de diretrio. Vejamos a seguir: Cenrio 1 sem servio de diretrio (Figura 9.2) Um determinado usurio acessa vrias aplicaes diferentes para poder exercer seu trabalho. Cada aplicao trabalha de forma isolada, mantendo sua prpria base de dados, inclusive informaes de login e senha. Nessa situao, ocorrem dois tipos de problemas. Um deles que o usurio precisa memorizar diversos logins e senhas para acessar as aplicaes. Um segundo problema, ainda mais grave, que as bases de dados dos aplicativos so independentes. Podendo neste caso ter informaes inconsistentes e desencontradas de uma base para outra. Em outras palavras, um sistema informa uma coisa e o outro informa outra.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Cenrio 2 com servio de diretrio (Figura 9.3) Do mesmo modo que no cenrio anterior, um usurio acessa vrias aplicaes diferentes para poder desenvolver suas atividades. Entretanto, as aplicaes trabalham de forma integrada, o que facilita o trabalho e mantm a consistncia das informaes. Na Figura 9.3, voc pode perceber que diferentes aplicaes se comunicam com um servio de diretrio, o qual mantm uma base de dados comum a todas as aplicaes.
Figura 9.3 Diferentes Aplicaes com Bases de Dados Integradas Fonte: Silberschatz (2004).
Para que voc possa entender bem o que um servio de diretrio, vamos compar-lo com outros tipos de servios: Banco de dados, sistema de arquivos e servidor web. Veremos cada um desses a seguir. Banco de dados Prove rpidas operaes de escrita e leitura. Difere de servio de diretrio tambm em termos de estrutura interna. O Banco de dados possui um atributo denominado chave primria, permitindo que as informaes sejam organizadas em funo dessa chave. Essa chave utilizada para manter a ligao entre os dados organizados em tabelas. J servio de diretrio possui os dados organizados na forma de uma rvore, os dados so hierarquizados e possuem um nome designando sua posio. Sistema de arquivos Lidam com arquivos de tamanho muito grande, enquanto que servio de diretrio lida com informaes de tamanho relativamente pequeno, denominados objetos. Para que voc tenha uma idia, sistemas de arquivos tratam com arquivos de at alguns gigabytes (GB) de tamanho, enquanto servios de diretrios lidam com objetos de alguns poucos kilobytes (KB). Sistemas de arquivos podem escrever arquivos quantas vezes necessrias, enquanto servio de diretrio, como j mencionamos, usualmente efetua operaes de busca. Servidor web semelhante a sistema de arquivos, pois pode lidar com arquivos de tamanho grande, transferindo-os aplicao que os solicitou. O servidor web consegue lidar com uma grande variedade de arquivos, inclusive imagens, transferindo-os para qualquer computador localizado na rede ou na Internet.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Como funciona o LDAP? O LDAP baseado em operaes de consulta e resposta. Uma solicitao LDAP feita ao servidor, que devolve uma resposta a quem efetuou tal solicitao. Cada operao LDAP consiste em vrias solicitaes e respostas em seqncia. A seguir so apresentadas duas operaes de busca: a primeira retorna um nico resultado (Figura 9.4); a segunda retorna mltiplos resultados (Figura 9.5).
Figura 9.4 Operao de Busca Simples com um nico Resultado Fonte: Silberschatz (2004).
Figura 9.5 Operao de Busca Simples com Mltiplos Resultados Fonte: Silberschatz (2004).
Um exemplo bem interessante para entender os dois tipos de consultas apresentados a consulta por um determinado nmero telefnico. A operao simples como um nico resultado o caso em que voc utiliza o auxlio lista para localizar o telefone de determinada pessoa; em geral, obtemos um nico nmero de telefone como resposta. J a operao de busca com mltiplos resultados quando voc efetua uma busca nas pginas amarelas, procurando por determinado tipo de servio. Nesse caso, em geral, obteremos mltiplos resultados. Operaes LDAP As operaes LDAP so dos seguintes tipos: Interrogao search, compare. Atualizao add, delete, modify, modify DN (rename). Autenticao e controle bind, unbind, abandon. A Figura 9.6 apresenta uma operao LDAP tpica:
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
A seqncia de solicitaes apresentadas : estabelecer uma conexo (open); efetuar autenticao junto ao servidor LDAP (bind); enviar solicitao (search); retorno dos resultados; desfazer autenticao (unbind); encerrar conexo (close). LDIF (LDAP Data Interchange Format) As informaes do servio de diretrio LDAP constam em um arquivo texto, que pode ser utilizado na importao ou exportao de dados. A seguir, apresentamos um exemplo de uma entrada no arquivo LDIF. As Figuras 9.7 e 9.8 apresentam outros exemplos, em forma grfica.
dn: uid=psilva, ou= hardware, dc= cesmic, dc= br objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Pedro Silva givenName: Pedro sn: Silva uid: psilva mail: pedro.silva@ucb.br telephoneNumber: +55 61 33569000
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Replicao O que replicao? A replicao consiste em manter uma rplica do servidor em outro ponto da rede, o que pode ser visualizado nas Figuras 9.11 e 9.12. Para que utilizada? O servio de diretrio um aspecto crtico na infra-estrutura de TI. Caso esteja fora do ar, muitas aplicaes no funcionaro. Em relao ao servidor, a disponibilidade sempre um assunto muito importante, assim como o desempenho; por isso, em muitas situaes, pode ser necessrio disponibilizar um segundo servidor em uma dada filial ou ponto da rede. Assim servidor localizado localmente alm de atender solicitaes mais rapidamente, tornam a infra-estrutura mais independente de falhas no link WAN.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Quando se fala em replicao, surgem dois termos: master e slave. O primeiro, master, refere-se ao servidor principal. J slave se refere a servidores secundrios. Em uma replicao single master, o caso mais comum, operaes de escrita no diretrio so realizadas somente por um servidor, o master, enquanto o slave realiza somente operaes de leitura.
Esquemas O que esquema? um conjunto de regras que especificam quais tipos de dados podem ser armazenados no diretrio. Alm disso, garantem que os dados esto apropriadamente localizados, evitam duplicao. Especificam o formato e tamanho dos dados. Podem estabelecer, por exemplo, uma hierarquia e critrios que relacionam a herana entre objetos (Figura 9.13). Define ainda atributos obrigatrios e opcionais.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
A Figura 9.14 apresenta os atributos obrigatrios sn, cn, object class e os atributos opcionais description, telephoneNumber, userPassword e seeAlso.
Aspectos de segurana e ACLs A segurana muito bem considerada nas implementaes de servio de diretrio. Impede aes como: acessos no autorizados; credenciais falsas; anlisadores de protocolos (sniffers); man-in-the-middle; ataque de negao de servio (denial-of-service). Como isso tratado? So utilizados recursos de autenticao e encriptao. Entre as tecnologias utilizadas pode-se citar: SSL, TLS, Kerberos, SASL e SSH. utilizado ainda o recurso de Access Control List (ACL), tambm denominada de Lista de Controle de Acesso. Nela, so especificadas regras gerais, que podem valer para a rvore inteira (diretrio), ou regras especficas, para determinadas partes. Podem ser concedidos privilgios de leitura ou leitura e escrita a determinados atributos. O que pode ser feito a indivduos, grupos de indivduos ou aplicaes. A Figura 9.15 apresenta uma lista de permisses considerando quem pode acessar quais atributos.
Observando a Figura 9.15, voc pode perceber que esto listados alguns dos atributos de um funcionrio, como: cn, sn, givenName, mail e salary. Os atributos cn, sn e givenName pode ser acessados para leitura por todos e sem necessidade de autenticao, enquanto somente o administrador pode efetuar operaes de escrita. J o atributo salrio somente pode ser visto pelo prprio, enquanto o gerente pode ler e modificar.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Workgroup Um grupo de trabalho um grupo de usurios agrupados conforme critrios do administrador. A incluso de uma dada mquina em um workgroup determina se ela poder vir a ser utilizada por um dado grupo de usurios. O banco de dados fica localizado na mquina e no centralizado. Deve ser utilizado somente em redes pequenas. Possui deficincias de segurana e no possui administrao centralizada. Tree Domnio inicial do AD, responsvel por gerenciar toda a estrutura de servios. De acordo com a estrutura organizacional ou geogrfica da organizao, outros domnios podem ser adicionados. Uma rvore de domnios consiste em vrios servidores que possuem uma relao de confiana entre si. Forest Significa um conjunto de uma ou mais trees e constitui o nvel mximo da organizao entre domnios.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
Figura 9.17 Exemplo de uma Floresta (Forest) com Mltiplas rvores Fonte: Howes, 2003
Organizacional unit Conceito que define uma estrutura composta de vrias unidades internas. Uma Organizational Unit (OU) pode representar um departamento ou mesmo uma funo. Definies iniciais Algumas perguntas devem ser respondidas antes do incio da implementao do AD. So elas: Existe um servidor DNS na rede? O diretrio a ser instalado um domnio raiz? Haver sub-domnios? Haver OUs (Organizacional Units)? Haver mais de um administrador? Quais grupos de trabalho e de usurios sero criados? Dispositivos de rede (impressoras, roteadores, etc) sero incorporados ao AD? Notebooks podero se conectar na rede? Quais polticas de segurana (Policy) sero aplicadas? No Guia resumido de instalao do Active Directory so apresentadas algumas observaes e dicas relacionadas instalao e configurao do Active Directory no Windows Server 2008. Esse guia no pretende ser um manual completo, mas sim dar dicas de como proceder na instalao dos servios de gerenciamento do domnio e de entidade certificadora (Certification Authority - CA) do Active Directory. Nesta aula, voc pde estudar os conceitos aplicados a servio de diretrio e como ele pode ajudar no gerenciamento de redes. Funcionando adequadamente em sua rede, permite uma administrao mais gil e segura dos elementos presentes nela. A autenticao dos usurios, o acesso aos aplicativos e servios de rede, a criptografia de VPN, LAN e SAN, tudo pode ser feito e atualizado sempre que necessrio. Esperamos que esta aula tenha dado subsdios para voc compreender algumas das situaes nas quais essencial a utilizao de servios de diretrios, bem como tenha facilitado seus estudos sobre o assunto, de agora em diante.
EXERCCIOS
1. Defina a estrutura da rvore de uma empresa hipottica XYZ. Defina o sufixo (da rede), CN (Common Name), DC (Domain Component) e algumas OU (Organizational Unit). 2. Crie o arquivo LDIF com um usurio fictcio atribuindo um DN (Distinguished Name) e as demais informaes.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
3. Crie um arquivo LDIF com um recurso fictcio de rede, por exemplo uma impressora de rede, atribua um DN e as informaes adicionais necessrias. Atividades Prticas 1. No Linux Efetue a instalao e configurao de um servidor OpenLDAP. Siga as dicas includas no Manual de instalao e configurao do OpenLDAP (Leitura23_edi). 2. No Windows Efetue a instalao do controlador de domnio do Active Directory. Siga as dicas includas no Guia resumido de instalao do Active Directory (Leitura24_edi). 3. (Desafio) No Windows efetue a instalao dos demais servios do AD: Lightweight; Federation; e Rights Management.
Referncias
APT Howto. Disponvel em: <http://www.debian.org/doc/manuals/apt-howto/index.en.html>. Acesso em: 26 de maio de 2008. ARKILLS, Brian. LDAP directories explained an introduction and analysis. Boston, Addison-Wesley, 2003. DEBIAN. Documentao. Disponvel em: <http://www.debian.org/doc/>. Acesso em: 26 de maio de 2008. DHCP (Request for Comments) RFC 5010. Disponvel em: <http://www.rfc-editor.org>. Acesso em: 26 de maio de 2008. FERREIRA, Rubem. E. Linux guia do administrador do sistema. So Paulo. Novatec, 2003. HILDEBRANDT, Ralf Postfix Start of the Art Message Transport. No starch press. San Francisco. No Starch Press, 2005. HOWES, T. Understanding and deploying LDAP directory services. 2nd 2003. edition. Boston: Addison-Wesley,
LANGFELDT, N. DNS HOWTO. Disponvel em: <http://www.tldp.org/HOWTO/DNS-HOWTO.html>. Acesso em: 26 de maio de 2008. LIU, C., ALBITZ P. DNS & BIND. 5th edition. Sebastopol. OReilly Media, 2006. MACHADO, Francis B.; MAIA, Luiz P. Arquitetura de sistemas operacionais. LTC, 2004. MICROSOFT TECHNET HOMEPAGE. Disponvel em: <http://technet.microsoft.com/pt-br/default.aspx>. Acesso em: 26 de maio de 2008. RFC 1034 (Request for Comments). Domain names concepts and facilities. Disponvel em:<http://www.rfceditor.org>. Acesso em: 26 de maio de 2008. RFC 1035 (Request for Comments). Domain names implementation and specification. Disponvel em:<http://www.rfc-editor.org>. Acesso em: 26 de maio de 2008. RFC 1180 (Request for Comments). TCP/IP tutorial. Disponvel em:<http://www.rfc-editor.org>. Acesso em: 26 de maio de 2008. RFC 1939 (Request for Comments). POP3 Post Office Protocol version 3. Disponvel em:<http://www.rfchttp://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
editor.org>. Acesso em: 26 de maio de 2008. RFC 3501 (Request for Comments). IMAPv4 Internet Message Access Protocol version 4rev1. Disponvel em:<http://www.rfc-editor.org>. Acesso em: 26 de maio de 2008. RFC 4511 (Request for Comments). Lightweight Directory Access Protocol (LDAP): the protocol. Disponvel em:<http://www.rfc-editor.org>. Acesso em: 26 de maio de 2008. RFC 821 (Request for Comments). SNMP Simple Mail Transfer Protocol. Disponvel em:<http://www.rfceditor.org>. Acesso em: 26 de maio de 2008. RFC2616 (Request for Comments). Hypertext Transfer Protocol HTTP/1.13. Disponvel em:<http://www.rfceditor.org>. Acesso em: 26 de maio de 2008. SILBERSCHATZ, Abraham. Sistemas operacionais: conceitos e aplicaes. Hoboken, Elsevier, 2004. STANEK, William R. Windows server 2008 inside out. Redmond: Microsoft Press, 2008. TANENBAUM, Andrew S. Sistemas operacionais modernos. Prentice Hall, 2003. THE IMAP CONNECTION. Disponvel em:<http://www.imap.org>. Acesso em: 26 de maio de 2008. THE LINUX DOCUMENTATION PROJECT. Disponvel em:<http://tldp.org/>. Acesso em: 26 de maio de 2008. THE LINUX KERNEL ARCHIVES. Disponvel em:<http://www.kernel.org/>. Acesso em: 26 de maio de 2008. THE POSTFIX HOMEPAGE. Disponvel em:<http://www.postfix.org>. Acesso em: 26 de maio de 2008.
Glossrio
A
Active Directory Implementao de servio de diretrio da Microsoft. Apache Servidor web de cdigo livre da The Apache Software Foundation.
B
Bit Torrent Protocolo utilizado para efetuar download de arquivos a partir de diversos sites simultneamente. BOOTP (Bootstrap Protocol) Protocolo utilizado por mquinas sem disco (diskless) para obteno de endereo IP a partir da rede.
D
DHCP (Dynamic Host Configuration Protocol) Procotolo para distribuio de endereos IP e outras informaes na rede. DLL (Dynamic-Link Library) Implementao de bibliotecas dinmicas utilizada pela Microsoft podendo conter aplicativos ou dados. DNS (Domain Name System ou Service)
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
E
EXT2 Sistema de arquivos utilizado no Linux. EXT3 Sistema de arquivos utilizado no Linux com recurso de journaling.
F
FAT (File Allocation Table) Sistema de arquivos utilizado no Windows at o verso Millenium. FAT32 Sistema de arquivos utilizado no Windows para sistemas 16 ou 32 bits. FTP (File Transfer Protocol) Protocolo para transferncia de arquivos entre computadores.
G
GRUB (Grand Unified Bootloader) Gerenciador de boot do Linux.
H
HTTP (Hypertext Transfer Protocol) Protocolo para transferncia de arquivos com hipertextos utilizado para acessar pginas na Internet.
I
IDE (Integrated Drive Eletronics) Protocolo para interconexo de discos rgidos, CDROM e outros dispositivos. IIS (Internet Information Services) Servidor Web da Microsoft. Itanium 64 Marca registrada da Intel utilizada em processadores com 64 bits.
J
JFS (Journaling Filesystem) Sistema de arquivos originalmente desenvolvido pela IBM. Jigdo Utilitrio do sistema operacional Debian para download de arquivos.
K
Kerberos Protocolo para transmisso segura de dados em redes inseguras.
L
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
LAN (Local Area Network) Rede de rea local. LDAP (Lightweight Directory Protocol) Protocolo de padro aberto para servio de diretrio. LDIF (LDAP Data Interchange Format) Arquivo texto com informaes LDAP em sintaxe prpria. LILO Gerenciador de boot do Linux. LLMNR (Link Local Multicast Name Resolution) Protocolo para resoluo de nomes presente no Windows Server 2008 e Vista.
M
MAC (Media Access Control) Endereo fsico de uma interface de rede. MAN (Metropolitan Area Network) Rede de alcance metropolitano. MBR (Master Boot Record) Primeiro setor da primeira partio do disco bootvel. Utilizado para arrancada de muitos sistemas operacionais.
N
NetBIOS Interface utilizada como um servio para resoluo de nomes simples em uma rede Microsoft. NFS (Network File System) Sistema de arquivos distribudo desenvolvido pela SUN. NTFS (NT Filesystem) Sistema de arquivos utilizado por sistemas operacionais da Microsoft.
O
OpenLDAP Implementao de cdigo livre do protocolo LDAP.
P
PID (Process Identifier) Nmero de identificao de um processo em execuo no sistema operacional. POP (Post Office Protocol) Protocolo para acesso remoto a uma caixa de email. POSIX (Portable Operating System Interface) Normas IEEE para padronizao de cdigo fonte entre sistemas operacionais.
R
RAM (Random Access Memory) Memria de acesso randmico utilizada, sobretudo, como memria voltil em computadores. ReiserFS Sistema de arquivos para Linux que possui journaling para os metadados. RFC Reques for Comments. ROM (Read Only Memory)
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]
S
SAN (Storage Area Network) Rede prpria para trfego e armazenamento de dados de vrios computadores. SASL (Simple Authentication and Security Layer) Framework para autenticao em diversos protocolos. SCSI (Small Computer System Interface) Tecnologia para conexo de discos rgidos e outros dispositivos em um computador. SMP (Symmetric Multi Processing) Multiprocessamento simtrico. Utilizado em sistemas operacionais com mais de um processador. SMTP (Simple Mail Transfer Protocol) Protocolo para transferncia de mensagens entre servidores de email. SSH (Secure Shell) Protocolo utilizado para transferncia de dados com segurana atravs da rede. SSL (Secure Socket Layer) Protocolo para comunicao segura na rede.
T
TCP/IP (Transmission Control Protocol/Internet Protocol) Conjunto de protocolos de comunicao padro da Internet. TLS (Transport Security Layer) Protocolo para comunicao segura na rede.
V
VirtualPC Soluo de virtualizao da Microsoft. VPN (Virtual Private Network) Rede privada virtual utilizada para acesso seguro de dados de empresas a partir de redes pblicas.
W
WAN (Wide Area Network) Rede de larga rea. WINS Protocolo para resoluo simples de nomes em redes Microsoft.
http://www.catolicavirtual.br/...c=%2Fconteudos%2Fgraduacao%2Fcursos%2Ftec_seguranca_informacao%2Fcss%2Fprint.css[26/08/2011 12:07:03]