LINUX DEBIAN I concetti base delle reti informatiche e i servizi di rete Dott. Ing. Ivan Ferrazzi V1.3 del 27/02/2013

Transcript

1 LINUX DEBIAN I concetti base delle reti informatiche e i servizi di rete Dott. Ing. Ivan Ferrazzi V1.3 del 27/02/2013 1/64

2 Copyright 2013 Dott.Ing. Ivan Ferrazzi Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. 2/64

3 Indice generale Concetti base del TCP/IP...5 Che cosa è il TCP/IP?...5 Il modello OSI...5 Gli indirizzi IP...7 Configurazione della scheda di rete...11 Configurazione manuale della scheda...11 Configurazione manuale del routing...12 Configurazione automatica mediante Init-script...13 Altri file di configurazione...14 Programmi utili in rete...16 INETD e TCPWrapper...19 Inetd...19 Il demone TCP (tcpwrapper)...20 Installare stampanti con CUPS...22 Il logsystem di LINUX...23 Introduzione...23 Il file di configurazione /etc/syslog.conf...23 Configurare syslog come Log-Server remoto...26 NFS Network File System...27 Installazione di NFS...27 Configurazione base lato server...28 Configurazione base lato client...29 Samba...31 Installazione di Samba...31 Configurazione base di Samba...31 Configurazione di Samba lato client...34 Server DHCP...35 Installazione di dhcp Configurazione di dhcp Configurazione di indirizzi ip statici...37 Configurazione di più sottoreti...37 Server FTP...39 Installazione di pure-ftpd...39 Configurazione di pure-ftpd...39 Server di posta...42 Installazione di postfix...42 Configurazione di postfix...42 Utilizzare /etc/aliases...43 Installazione di popa3d...44 Proxyserver Squid...45 Installazione di squid...46 Configurazione base di squid...46 Configurazione delle regole...46 Definire i permessi di accesso e di caching...47 Configurazione di accesso con nome utente e password...48 Registrazione dei log /64

4 DansGuardian...50 Installazione di dansguardian...50 Configurazione base di dansguardian...51 Configurazione dei filtri...52 Virtual Private Network...53 VPN con OpenSWAN...53 Installazione di OpenSWAN...53 Creazione di chiave RSA...54 Configurazione di OpenSWAN...54 VPN con OpenVPN...56 Installazione di OpenVPN...56 Creazione delle chiavi secret...56 Configurazione di OpenVPN...56 Configurazione di OpenVPN...57 Server di backup con Rsync...59 Installazione di Rsync...59 Configurazione di Rsync...61 Esempio di sistema di backup /64

5 Concetti base del TCP/IP Che cosa è il TCP/IP? Il termine TCP/IP identifica due protocolli di rete utilizzati in Internet: il Transmission Control Protocol e l' Internet Protocol. I protocolli TCP e IP sono solamente due dei tanti protocolli che appartengono alla grande famiglia dei protocolli TCP/IP. La famiglia dei protocolli TCP/IP viene utilizzata per effettuare collegamenti tra sistemi operativi diversi e componenti di reti informatiche. Infatti identifica il metodo sistematico per il trasferimento dei dati non solo attraverso l'internet, ma anche all'interno di reti informatiche locali. Questi protocolli permetto quindi a molti servizi utilizzati dall'utente finale il trasferimento dei dati necessari allo svolgimento delle operazioni richieste. Alcuni di questi servizi sono: Trasferimento dati (es. FTP) Servizi di messaging Accesso al mondo WWW Il modello OSI Il modello OSI (Open System Interconnection, Connessione di sistemi aperti) è stato realizzato come descrizione standard delle tecnologie di rete. I suoi sette livelli rappresentano l'architettura dei protocolli utilizzati 5/64

6 per il trasferimento dei dati. Ogni livello all'interno del modello OSI identifica una specifica funzione di rete. Il modello OSI può essere visto come una serie di casse messe una sopra l'altra. I servizi che vengono messi disposizione da un determinato livello vengono identificati dai protocolli del livello in questione. Capire il funzionamento del modello OSI e dei suoi livelli è molto importante per comprendere meglio come i vari componenti di una rete TCP/IP e le singole applicazioni interagiscono. I sette livelli del modello OSI sono: Livello 7: livello delle applicazioni. Questo livello specifica come le applicazioni di vari sistemi interagiscono attraverso la rete informatica. Livello 6: livello di visualizzazione. Questo livello contiene i protocolli che fanno parte del sistema operativo. Questo livello contiene le specifiche del come formattare i dati per una corretta visualizzazione. La codifica e decodifica dei dati avviene all'interno di questo livello. Livello 5: livello di sessione. Questo livello coordina la comunicazione tra punti terminali. Lo stato di una sessione utilizzato per funzioni di sicurezza, di amministrazione e per protocollare viene fatto partire e mantenuto all'interno di questo livello. Livello 4: livello di trasporto. Questo livello controlla il flusso dei dati, definisce la struttura dei dati utilizzati per il trasferimento di messaggi e effettua controlli per identificare eventuali errori. Livello 3: livello di rete. Questo livello definisce i protocolli utilizzati per il routing dei dati. In questo livello avviene l'indirizzamento finale; viene controllato che i dati siano arrivati a destinazione. Livello 2: livello di trasferimento dati. Questo livello contiene le regole necessarie per il trasferimento dei dati da un punto ad un altro punto all'interno di una rete informatica. Livello 1: livello fisico. Questo livello identifica i collegamenti hardware e la codifica del flusso dei dati. Questo è l'unico punto che identifica il trasferimento fisico dei dati attraverso la rete. Il TCP/IP è più vecchio del modello OSI e non è composto da così tanti livello come l'ultimo. I livelli rilevanti per il TCP/IP sono il livello delle applicazioni, il livello di trasporto, il livello di rete ed il livello di trasferimento dati. Per i vari livelli sono comuni i seguenti protocolli: livello delle applicazioni: HTTP (Hypertext Transfer Protocol) livello di trasporto: TCP, UDP livello di rete: IP livello di trasferimento dati: ARP (Address Resolution Protocol) Ogni livello utilizza dei protocolli effettuare lo scambio di informazioni in maniera corretta. 6/64

7 Protocolli all'interno del livello delle applicazioni. Questi protocolli sono visibili anche all'utente finale. Il protocollo HTTP, ad esempio, mette a disposizione i dati a trasferimento completato. Dati di questo tipo possono essere utilizzati infatti per il trasferimento di messaggi di errore o per identificare lo stato di un processo. Protocolli all'interno del livello di trasporto. I protocolli utilizzati all'interno del livello di trasporto sono il TCP e l'udp. La grossa differenza di questi due protocolli è che TCP lavora a connessione stabilita, mentre UDP non necessita di connessione fissa. Entrambi i protocolli utilizzano delle porte i cui numeri identificano un determinato servizio richiesto. Se non ci fossero le porte per identificare i servizi un computer potrebbe offrire solamente un servizio per volta su una rispettiva interfaccia di rete. Con questo sistema invece possiamo offrire più servizi come FTP, POP, SMTP, WWW, ecc. e tutti utilizzando lo stesso indirizzo dello stesso computer. I protocolli standard di Internet hanno dei numeri di porta ben definiti. La rispettiva lista la troviamo in /etc/services. Protocolli di rete. I protocolli che si trovano all'interno del livello delle reti vengono utilizzati per gestire il meccanismo di trasferimento dei dati. Le attività di questi protocolli non vengono di solito percepite dall'utente finale tranne che con l'utilizzo di appositi programmi (es. sniffer). Il protocollo IP, ad esempio, è un protocollo che trasmette i pacchetti contenenti dati tra un utente finale ed un computer remoto. Questo trasferimento avviene sulla base di diversi dati tra i quali troviamo anche l'indirizzo IP dei due computer coinvolti. I diversi dati utilizzati danno all'ip tutte le informazioni necessarie per mettere a disposizione dei servizi che permettono il giusto incanalamento dei dati da trasmettere. Durante l'intera operazione di trasferimento l'ip si mette in contatto con vari protocolli a livello di rete, che si occupano del trasferimento dei dati vero e proprio. Gli indirizzi IP Ogni computer all'interno di una rete informatica è provvisto di almeno un indirizzo IP. Infatti ad un computer vengono assegnati tanti indirizzi IP quante interfacce di rete esso utilizza. L'indirizzo IP è l'indirizzo utilizzato all'interno dei pacchetti IP per identificare il mittente ed il destinatario dei dati e occupa uno spazio pari a 32 bit. Per rappresentare un indirizzo IP non viene utilizzato il valore dei 32 bit, ma bensì quattro gruppi da 8 bit ciascuno, utilizzando i quattro valori in forma decimale e separati da punti (es ). Avendo quindi 8 bit per gruppo a disposizione sarebbe teoricamente possibile utilizzare un qualsiasi valore che va da 0 7/64

8 a 255, ma vedremo che in pratica non è sempre così. In pratica infatti non vengono utilizzati solamente degli indirizzi IP, ma abbiamo anche degli indirizzi che identificano la rete ed altri che identificano gli indirizzi da broadcasting. Come scegliere l'indirizzo IP. La scelta dell'indirizzo IP di un computer dipende principalmente dalla connessione del nostro computer ad un accesso Internet. Per dei computer che si trovano all'interno di una rete informatica priva di un accesso ad Internet possiamo utilizzare un qualsiasi tipo di indirizzo IP. Computer che dall'interno di una rete informatica hanno anche l'accesso ad Internet devono essere provvisti di indirizzi IP dedicate alle reti interne. Il motivo è molto semplice. Se all'interno della nostra rete informatica venisse utilizzato lo stesso indirizzo IP utilizzato ad esempio anche da un server web che si trova in Internet sarebbe impossibile raggiungerlo con un pacchetto IP. Il pacchetto IP verrebbe infatti riconosciuto subito dal computer che si trova all'interno della nostra rete senza permette un'uscita verso l'esterno. Per configurare quindi delle schede di rete di computer collegati ad una rete con accesso ad Internet possiamo utilizzare i seguenti indirizzi IP: a a a Non sarà quindi possibile trovare un server in Internet che utilizzi uno degli indirizzi IP visualizzati qui sopra. Per questo motivo possiamo utilizzarli tranquillamente per le nostre reti interne. Il centro che gestisce l'assegnazione degli indirizzi IP in Internet è il NIC (Network Information Center). Ogni paese del mondo ha un NIC che si coordina con gli altri NIC esistenti per evitare l'assegnazione di indirizzi uguali. Netmask. Abbiamo visto che per ogni computer all'interno di una rete informatica interna viene utilizzato uno degli indirizzi IP visualizzati precedentemente, ma anche qui bisogna fare un po' di attenzione. Gli indirizzi IP che utilizziamo all'interno di una rete informatica devono appartenere allo stesso gruppo di computer. All'interno di una rete è possibile comunicare solamente con i computer che appartengono allo stesso gruppo. Quello che viene utilizzato per identificare l'appartenenza di indirizzi IP è una maschera composta da 32 bit (netmask). Due indirizzi IP appartengono allo stesso gruppo se tutti i bit identificati dal valore 1 della netmask sono identici. Esempio: Indirizzo IP > > /64

9 Netmask > Questi indirizzi IP appartengono allo stesso gruppo. Esempio: Indirizzo IP > X > Netmask > Nel precedente esempio i due indirizzi non appartengono allo stesso gruppo, perché il settimo bit da sinistra non è uguale come invece definito dalla netmask. Attenzione! I bit con valore 1 all'interno della netmask devono essere continui. Non è quindi possibile avere una sequenza di valori 1, alcuni bit con valore 0 e dinuovo altri con valore 1. Una netmask come la seguente non è una netmask corretta: Netmask --> Come rappresentazione di una netmask si può utilizzare il formato che abbiamo appena visto (dotted quad), oppure una forma semplificata. La forma semplificata è un numero che identifica il numero dei bit all'interno della netmask che hanno il valore 1. La netmask avrebbe quindi il valore 24 che viene aggiunto all'indirizzo IP, ad esempio: /24 Netaddress e indirizzo di broadcasting. Possiamo ora dire che la netmask ci dà la possibilità di identificare il numero di indirizzi IP disponibili all'interno della nostra rete, ma per sapere esattamente quali indirizzi abbiamo bisogno di un'altra indicazione, la netaddress. La netaddress è l'indirizzo IP principale che non può essere utilizzato come indirizzo IP di un computer. L'indicazione della netaddress e la netmask ci danno quindi tutte le indicazioni sufficienti per identificare gli indirizzi IP che possiamo utilizzare. Se abbiamo ad esempio la seguente netaddress e netmask /24 9/64

10 possiamo dire di avere a disposizione tutti gli indirizzi IP che vanno da a Ci sono alcune situazioni dove non tutti i computer all'interno della stessa rete informatica conoscono esattamente tutti gli indirizzi IP utilizzati. Per questo motivo è necessario avere a disposizione un indirizzo IP unico che permette di raggiungere un qualsiasi computer all'interno della nostra rete. Questo indirizzo IP viene chiamato indirizzo di broadcasting. Un pacchetto spedito a questo indirizzo è un pacchetto che viene letto da tutti i computer della rete. L'indirizzo IP di broadcasting è l'ultimo indirizzo valido all'interno della nostra rete. Anche questo non può naturalmente essere assegnato ad un solo computer. Riprendendo quindi il precedente esempio /24 abbiamo i seguenti indirizzi > netaddress a > indirizzi IP utilizzabili per i computer > indirizzo di broadcasting Indirizzo del gateway. Ad computer all'interno della nostra rete informatica viene quindi assegnato un indirizzo IP che lo identifica univocamente. Utilizzando l'indirizzo IP di un determinato computer ci permette di inviare un pacchetto contenente delle informazioni dal nostro computer al computer prescelto. Precedentemente abbiamo spiegato che solamente computer con indirizzi IP appartenenti allo stesso gruppo hanno la capacità di scambiare delle informazioni. In questo caso non ci sarebbe possibile comunicare con un computer non appartenente alla nostra rete informatica. Tutti i servizi messi a disposizione di server che si trovano in Internet diventerebbero inaccessibili. In pratica le cose stanno proprio così. Per accedere a dei computer che si trovano al di fuori della nostra rete informatica abbiamo bisogno di un componente in grado di comunicare sia con la nostra che la rete di destinazione. Un computer (o componente hardware) in grade di svolgere questo compito viene chiamato gateway. Un gateway può essere configurato con una o più indirizzi IP diversi. Nel caso più semplice il gateway dovrà essere provvisto di indirizzo IP valida per la nostra rete interna e un indirizzo IP valido per la rete alla quale vogliamo inviare dei pacchetti. Il gateway ha quindi il compito di raccogliere tutti i pacchetti che non sono indirizzati a computer che si trovano all'interno della nostra rete e passarli verso la rete alla quale solamente lui ha accesso. Il gateway fa quindi da tramite tra due o più reti. 10/64

11 Configurazione della scheda di rete Ogni computer collegato ad una rete informatica ha almeno una scheda di rete. La configurazione di questa scheda si può effettuare manualmente oppure automaticamente utilizzando degli appositi script. Configurazione manuale della scheda. Le interfacce di rete vengono identificate all'interno di Linux con la sigla ethx dove x identifica il numero dell'interfaccia partendo dal valore 0. Il programma utilizzato per la configurazione di un'interfaccia è ifconfig. Il formato più semplice per utilizzare questo comando è il seguente: ifconfig eth Questo comando ci permette di effettuare una configurazione anche più complessa. Possiamo infatti aggiungere come parametri anche i valori di broadcasting, oppure della netmask. In questo caso possiamo scrivere: ifconfig eth broadcast netmask ifconfig può essere utilizzato anche con una serie di opzioni. Alcune delle opzioni sono: 11/64

12 down: Spegne bruscamente un'interfaccia di rete. Dopo aver lanciato il comando con questa opzioni il Kernel non sarà più in grado di riconoscere l'interfaccia di rete. up: Permette di riattivare un'interfaccia spenta precedentemente. promisc: Permette di attivare la scheda di rete in modalità promiscua. In questo caso non viene controllata l'appartenenza di un pacchetto alla propria interfaccia, ma vengono fatti passare tutti i pacchetti (anche quelli destinati ad altri computer). Configurazione manuale del routing. Dopo aver configurato l'interfaccia di rete bisogna dire al sistema cosa fare con i pacchetti che non appartengono alla nostra rete. Questo viene fatto creando le tabelle di routing utilizzando il programma route. La tabella di routing creata con il comando route non esiste come file, ma viene salvata temporaneamente nello spazio del kernel. Per questo motivo il programma route va fatto partire ad ogni avvio del computer. Nei nuovi sistemi di ifconfig gli inserimenti nella tabella di routing vengono creati automaticamente per ogni interfaccia configurata. Il comando route eseguito senza parametri visualizza la situazione attuale della tabella di routing. Per visualizzare la tabella di routing il programma cerca di risolvere tutti gli indirizzi IP che si trovano all'interno. Non essendo questo sempre possibile potrebbero esserci dei momenti di attesa tra l'esecuzione del programma e la visualizzazione. Questo perché il programma attende il timeout del segnale di risoluzione prima di mostrarci gli indirizzi IP. Per evitare questi momenti di attesa possiamo eseguire il comando con il parametro -n. In questo caso viene saltata la risoluzione degli indirizzi IP. Se non eseguito per visualizzare la tabella di routing il programma lo troviamo sempre nelle forme route add oppure route del. La prima forma ci permette di aggiungere delle nuove posizioni all'interno della tabella di routing route add [-net -host] XXXX [gw GGGG] [metric MMMM] netmask NNNN] [dev DDDD] oppure route del XXXX La sigla XXXX per il percorso di routing (Indirizzo di rete o indirizzo host), GGGG per l'indirizzo del gateway, MMMM per un valore numerico da utilizzare come valore metric, NNNN per la netmask e DDDD per un'interfaccia TCP/IP come ad esempio eth0. 12/64

13 Per un computer semplice all'interno di una rete informatica basterebbe scrivere: route add -net Con questa riga di comando abbiamo definito che tutti i pacchetti appartenenti alla nostra rete informatica vanno inviati utilizzando la nostra scheda di rete. I nuovi sistemi di ifconfig, avendo a disposizione tutti i dati necessari per la configurazione, eseguono automaticamente questo comando al momento della configurazione di un'interfaccia. In caso di collegamento ad Internet mediante gateway all'indirizzo IP i comandi da eseguire sarebbero i seguenti: route add -net route add default gw Il primo per indirizzare i pacchetti verso la nostra rete informatica interna, il secondo per definire che cosa fare con i pacchetti che non vengono spediti ad un indirizzo IP presente all'interno della nostra rete. La parola chiave default utilizzata all'interno della seconda riga di comando va a sostituire il -net Configurazione automatica mediante Init-script. Per effettuare la configurazione descritta precedentemente in maniera automatica possiamo utilizzare gli Init-script. Gli Init-script sono degli script che vengono fatti partire dal sistema quando viene raggiunto il runlevel che si occupa dell'attivazione della rete. Uno degli Init-script che si occupano dell'attivazione della rete è /etc/init.d/networking. Questo ha il compito di far partire i comandi ifconfig e route con i parametri trovati in determinati file di configurazione. Il file di configurazione utilizzato per la configurazione delle interfacce è /etc/network/interfaces. All'interno di questo file troviamo i parametri necessari per la configurazione con i comandi ifconfig e route. Questo file di configurazione può essere letto anche dai comandi ifup e ifdown, che come l'init-script, attiva o disattiva le interfacce di rete. Il contenuto del file di configurazione potrebbe essere: auto lo iface lo inet loopback auto eth0 iface eth0 inet static address netmask network /64

14 broadcast gateway Utilizzando queste informazione il programma ifup può attivare l'interfaccia di rete con il comando ifconfig e effettuare gli inserimenti necessari con il comando route. Altri file di configurazione. Oltre agli Init-script e ad altre impostazioni necessarie per avviare una rete ci sono dei file di configurazione presenti all'interno di ogni distribuzione Linux. /etc/hostname oppure /etc/hostname Questo file contiene il hostname del computer. Degli Init-script vanno a leggere il contenuto di questo file per configurare il nome del nostro computer. Il comando che viene utilizzato per settare il nome del nostro computer è hostname. Questo comando può essere utilizzato anche da riga di comando per interrogare o modificare il hostname. /etc/hosts Questo file contiene degli indirizzi IP con i relativi nomi associati. In un qualsiasi punto dove il sistema si aspetta un indirizzo IP può essere utilizzato il nome indicato all'interno di questo file vicino all'indirizzo IP specificato. La struttura di questo file è molto semplice. Ogni riga contiene l'indirizzo IP seguito dal nome che lo identifica ed eventuali aliases pinco.palla.it pinco ci permette quindi di utilizzare pinco.palla.it oppure pinco al posto dell'indirizzo IP /etc/networks Questo file è simile al file precedente con l'unica differenza che al posto degli indirizzi IP vengono inseriti gli indirizzi che identificano delle reti. Ufficio casa miarete /etc/host.conf La risoluzione degli hostname all'interno di una rete viene eseguita da una specifica libreria (resolv+). E' infatti questa libreria che va a leggere il contenuto del file /etc/hosts se al posto di un indirizzo IP viene indicato un hostname. Per effettuare la risoluzione di nomi (specialmente quelli presenti in Internet) questa libreria utilizza il nameserver. I nameserver indicati non sempre sono a conoscenza degli hostname utilizzati all'interno della nostra rete. Per questo motivo possiamo utilizzare questo 14/64

15 file nel quale indichiamo l'ordine di risoluzione dei nomi. All'interno di questo file possiamo scrivere: order hosts,bind Inserendo questa riga obblighiamo la libreria a risolvere i nomi utilizzando prima il file di configurazione /etc/hosts e se non trovato nulla passare alla richiesta dei nameserver. Altri parametri che si possono utilizzare all'interno di questo file sono: multi con i valori on o off. Il valore on viene indicato per far estrarre tutti gli indirizzi IP che rispecchiano il nome utilizzato, mentre il valore off si ferma dopo il primo indirizzo IP valido. nospoof con i valori on o off. Il valore on obbliga la libreria a risolvere prima l'indirizzo IP utilizzando il hostname trovato. Una volta trovato l'indirizzo IP effettua una ricerca del hostname per vedere se i due valori combaciano. Questo per evitare che un computer indirizzi in maniera non corretta pacchetti destinati ad un'altra macchina. spoofalert con i valori on o off. In caso di valore on e nospoof attivato questa opzioni protocolla eventuali messaggi con syslog. /etc/resolv.conf Questo file contiene gli indirizzi IP dei nameserver da utilizzare. Con le seguenti righe diciamo al sistema di utilizzare il nameserver come DNS primario e come DNS secondario: nameserver nameserver /etc/nsswitch.conf All'interno di questo file troviamo i riferimenti ai file di configurazione utilizzati dai vari servizi presenti all'interno del nostro sistema. I file di configurazione o le banche dati che contengono dati necessari al giusto funzionamento dei servizi gestiti all'interno di questo file sono i seguenti: aliases Mail aliases del programma sendmail (/etc/aliases) ethers Indirizzi Ethernet group Gruppi di utenti (/etc/group) hosts Hostname e indirizzi IP (/etc/hosts) netgroup Lista di utenti e hosts utilizzati in rete per la gestione dei diritti 15/64

16 network Nomi di reti e indirizzi di rete (/etc/networks) passwd Parole chiave degli utenti ed altre informazioni (/etc/passwd) protocols Protocolli di rete (/etc/protocols) publickey Chiavi pubbliche e private per l'utilizzo di Secure_RPC rpc Nomi e numeri delle porte utilizzate con Remote Procedure Call (/etc/rpc) services Numeri delle porte utilizzate per i servizi in rete (/etc/services) shadow Parole chiave con il sistema shadow (/etc/shadow) Programmi utili in rete Vedremo qui di seguito i programmi più noti utilizzati con sistemi di rete. ping Questo programma utilizza il protocollo ICMP per controllare se un computer è attualmente raggiungibile in rete oppure no. Il comando viene utilizzato come segue: ping foo.bar.com Questo comanda manda una serie di messaggi ICMP e aspetta la rispettiva risposta inviata dal computer richiesto. Per terminare l'invio dei messaggio possiamo premere CTRL+C. Per l'imitare l'invio di messaggi ICMP ad un numero ben preciso possiamo utilizzare il parametro -c. ping -c4 foo.bar.com Invia solamente quattro messaggi e poi si ferma. traceroute Questo comando viene utilizzato per identificare tutti i gateway attraversati da un pacchetto che deve raggiungere una destinazione ben precisa. Il sistema utilizzato da traceroute è molto semplice. All'interno dei pacchetti inviati è presente un numero, il TTL, che identifica quanto il pacchetto può ancora vivere. I pacchetti inviati di solito hanno come valore TTL (time to live) 255. Questo numero viene decrementato ad ogni passaggio di un gateway. Una volta raggiunto il valore 0 il rispettivo gateway invia un messaggio di errore (time-exceeded) al mittente. 16/64

17 Questo programma invia il primo pacchetto con TTL pari a 1. Arrivato al primo gateway il pacchetto muore e il programma riceve il segnale errore. Il secondo pacchetto viene spedito con TTL pari a 2, e via dicendo. A destinazione raggiunta il programma avrà una lista completa di tutti i gateway utilizzati per arrivare al punto desiderato. host Questo programma viene utilizzato per risolvere il hostname con l'indicazione dell'indirizzo IP, oppure viceversa. Se vogliamo visualizzare tutte le informazioni disponibili per un hostname oppure indirizzo IP possiamo utilizzare il parametro -a. telnet Questo programma può essere utilizzato per testare il funzionamento di servizi presenti su dei computer in rete. Se utilizzato solamente con l'indirizzo IP il programma cercherà di effettuare una connessione via telnet al computer desiderato. telnet Il programma telnet può essere utilizzato per effettuare delle richieste su servizi offerti su altre porte. Per verificare i servizi presenti su altre porte utilizziamo il comando come segue: telnet tcpdump Questo programma permette di attivare la modalità promiscua di un'interfaccia di rete. In questo caso abbiamo la possibilità di vedere tutti i pacchetti presenti sulla rete e non solamente quelli indirizzati al nostro computer. Questa procedura non funziona se i computer sono collegati ad una centrale SWITCH: tcpdump -i interfaccia shutdown Questo programma ci permette di spegnere il computer identificando anche l'ora esatta di spegnimento. Il programma viene utilizzato come segue: shutdown [opzioni] tempo Le opzioni che si possono utilizzare sono le seguenti: -r Reboot. Il sistema viene fatto ripartire. -h 17/64

18 -c -k Halt. Il sistema viene fatto arrestare. Cancel. Per cancellare un comando di shutdown precedente. Permette di inviare un messaggio a tutti gli utenti attualmente connessi al computer in questione. Per identificare il tempo possiamo utilizzare il formato hh:mm dove hh è l'ora e mm i minuti, oppure +m dove m sono i minuti dopo i quali viene effettuata l'operazione richiesta. Come tempo si può utilizzare anche la parola chiave now che permette di eseguire l'operazione richiesta all'istante. shutdown -r now oppure shutdown -h now 18/64

19 INETD e TCPWrapper Inetd All'interno di un server possono esserci più servizi messi a disposizione. Ogni servizio all'interno del nostro server portano via delle risorse anche se il servizio non viene utilizzato. Il servizio infatti deve rimanere attivo per ascoltare eventuali richieste che giungono alla rispettiva porta di entrata. Questo potrebbe diventare un inutile spreco di risorse. Per questo motivo abbiamo la possibilità di utilizzare il servizio inetd. Questo servizio è una sorta di superserver che controlla le richieste in entrata su tutte le porte che gli diciamo di tenere sotto controllo. Appena viene ricevuta una specifica richiesta inetd fa partire il servizio che è in combinazione alla porta utilizzata. Questo sistema ci permette di avere attivi solamente i servizi che effettivamente vengono utilizzati. Il file di configurazione del demone inetd è /etc/inetd.conf. La struttura di questo file è abbastanza semplice. Di solito sono già presenti tutti i servizi l'unica cosa che dobbiamo eventualmente fare è togliere i simboli utilizzati per il commento per rendere attive le rispettive righe. Il formato del file è il seguente: nome servizio tipo socket protocollo flags utente programma argomenti I campi hanno il seguente significato: Nome servizio 19/64

20 Qui viene inserito il nome del servizio esattamente come da file /etc/services. Tipo socket Come punto di riferimento si può dire che si utilizza stream per protocolli TCP e dgram per protocolli UDP. Protocollo I protocolli fanno riferimento alla lista presente in /etc/protocols. Flags I valori possibili sono wait oppure nowait. Questi valori hanno senso solamente nell'utilizzo di protocolli UDP. Negli altri casi bisognerebbe inserire un nowait. Se un server che utilizza UDP cancella il socket dopo l'invio del pacchetto si parla di multithreaded Server perché liberano i socket per ulteriori richieste. Questa modalità si ha con l'utilizzo di nowait. In caso il server dovesse aspettare il rispettivo errore di timeout possiamo utilizzare il valore wait. User Identifica l'utente con il quale far partire il relativo servizio. Programma Identifica il percorso completo con nome del programma del programma che va fatto partire. In caso il servizio venga offerto direttamente da inetd al posto del programma possiamo trovare la voce internal. Argomenti Qui vengono elencati gli argomenti da utilizzare come parametri del programma stesso. Come primo argomento viene utilizzato il nome del programma seguito poi dai parametri necessari. La seguente riga indica che su richiesta del servizio ftp viene fatto partire il programma /usr/sbin/in.ftpd senza l'utilizzo di parametri aggiuntivi e sotto l'utente root: ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd Il demone TCP (tcpwrapper) All'interno del file inetd.conf possiamo trovare anche degli inserimenti come: klogin stream tcp nowait root /usr/sbin/tcpd rlogind -k eklogin stream tcp nowait root /usr/sbin/tcpd rlogind -k -x Queste righe fanno partire due servizi diversi utilizzando sempre lo stesso programma, ossia /usr/sbin/tcpd. Con l'assegnazione dei parametri vediamo che effettivo programma verrà fatto partire dal demone tcp. Questa situazione può sembrare assurda, ma naturalmente c'è una spiegazione plausibile. In questo modo abbiamo la possibilità di gestire i 20/64