LINUX (livello avanzato)

Transcript

1 Università degli Studi di Pavia Prima edizione del corso su LINUX (livello avanzato) Luigi Santangelo

2 Server del corso

3 Programma del corso Network configuration Firewall NAT SSH Web Server MySQL Squid

4 Obiettivi Fornire al corsista l'abilita' nell'uso degli strumenti Esame Facoltativo (fortemente consigliato) Scritto ma consentito uso PC 20 domande a risposta multipla (tre risposte) da svolgere in un'ora

5 Network

6 Concetti teorici

7 Il modello OSI/ISO Livello applicativo: utilizzato da sviluppatori di sofware (http, smtp, pop); Livello di trasporto: si occupa del trasferimento di pacchetti, garantendo eventuali servizi (es, trasferimento affidabile). Protocolli TCP e UPD Livello di rete: instradamento e indirizzamento (Ipv4 e Ipv6) Livello DataLink: trasmissione e ricezione dati, dipendente da hw. Protocolli Ethernet, PPP, ARP Livello fisico: fenomeni fisici di trasmissione (wireless, wired)

8 Protocollo ARP E' un protocollo di livello DataLink Le schede sono identificate da 48 bit rappresentati da codici esadecimali: Mac Address (00:11:22:33:44:55) 16^12= schede di rete In una rete LAN, ogni host mantiene una corrispondenza tra IP e Mac. Tale tabella è visionabile tramite il comando arp In caso di assenza di entry in tabella, viene mandato un indirizzo in broadcast (FF:FF:FF:FF:FF:FF) E' possibile fissare queste associazioni tramite /etc/ethers

9 Protocollo IP A livello di rete, i PC vengono identificati tramite indirizzo IP IPv4: 4 byte nella forma x.y.w.z con x, y, w, z appartententi a [0, 255] Indirizzi riservati: primo byte 0 e 255 primo byte 127 (indirizzo di loopback) reti private: da a ( /8) da a ( /12) da a ( /16)

10 Protocollo IPv4 Differenti classi di indirizzi con differenti netmask predefinite Classe Classe Classe Classe Classe A: 8 bit per la rete, 24 per gli host B: 16 bit per la rete, 16 bit per gli host; C: 24 bit per la rete, 8 bit per gli host D: indirizzi multicast (da 224.x.x.x a 239.x.x.x) E: indirizzi per uso futuro (240.x.x.x. a 254.x.x.x.) Per evitare lo spreco di indirizzi IP, oggi si usa il classless (NetMask) L'unipv, tra gli altri, possiede tutti gli indirizzi indirizzi x.x e x.x ovvero x.x/16 e x.x/16, pertanto può indirizzare fino a 2^17= host

11 Protocollo IPv6 L'ARIN (American Registry for Internet Number) ha reso noto il completo esaurimento degli indirizzi IP entro il Soluzioni: CIDR: classless NAT: consente a un numero di host dietro un server NAT di uscire a Internet con un solo Ipv4; DHCP: Assegna Ipv4 per connessioni temporanee; Ipv6: Indirizzo esadecimale a 128 bit.

12 Protocollo IPv6 Il protocollo IPv6 utilizza 128 bit (contro i 32 dell'ipv4) pertanto può indirizzare fino a 2^128 = 16^32 host, cioè 3.4 x 10^38. Con un semplice calcolo (numero avogadro della terra moltiplicato la sua massa = numero di atomi della terra), si può notare come esiste un indirizzo IP per ogni atomo della terra!!!! Gli indirizzi IPv6 sono rappresentati da 8 gruppi di 4 cifre esadecimali: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344

13 Compatibilità IPv4/IPv6 Le ultime 32 cifre possono essere scritte in decimale rendendo così la sintassi di IPv6 retrocompatibile con Ipv4 Ad esempio l'indirizzo Ipv sarà convertito in IPv6 in: 0000:0000:0000:0000:0000:0000:874B:2B34 o più brevemente ::874B:2B34 Essendo che gli ultimi 32 bit possono essere rappresentati anche in decimale si ha che l'ipv6 diventa: ::

14 Configurazione di rete Per prima cosa occorre identificare i nomi delle interfacce di rete. Sono leggermente differenti a seconda delle diverse distribuzioni. Alcuni esempi: lo: interfaccia di loopback eth0,..., ethn: Interfacce ethernet ppp0,..., pppn: Interfacce ppp slip1,..., slipn: Interfacce seriali plip1,..., plinn: Interfacce parallele

15 Configurazione di rete Esempi di configurazione ifconfig eth netmask up ifconfig eth0 down ifconfig eth0 promisc ifconfig plip pointopoint /24

16 Esempio di Netmask IP /8 Netmask Start End IP /16 Netmask ( ) Start End IP /10 Netmask Start End IP /14 Netmask Start End

17 Instradamento dei pacchetti Route: Consente di definire l'instradamento dei pacchetti (agisce a livello IP) Senza alcun parametro visualizza la tabella di instradamento. Vedi esempi successivo

18 Esempio configurazione di rete

19 Esempio configurazione di rete # configurazione delle interfacce di rete ifconfig eth netmask ifconfig eth netmask ifconfig eth netmask ifconfig eth netmask # configurazione instradamento route add -net /24 dev eth1 route add -net /24 dev eth2 route add -net /24 dev eth3 route add default gw

20 Esempio configurazione di rete Dove mettere lo script di configurazione? Una soluzione è quella di inserirlo in /etc/init.d/network Infine è necessario indicare al kernel che deve agire come router. Pertanto è necessario inserire 1 nel file /proc/sys/net/ipv4/ip_forward

21 Altri file di configurazione /etc/hosts contiene le associazioni statiche tra indirizzi IP e nomi delle macchine. Utile per piccole reti, se le macchine non cambiano spesso il nome e risulta superfluo l'uso di un DNS Esempio file: pippo.unipv.it topolino.unipv.it pluto.unipv.it paperino.unipv.it

22 Altri file di configurazione /etc/host.conf Contiene informazioni necessarie alla risoluzione del nome. Contenuto order hosts, bind Indica l'ordine con cui vengono risolti i nomi. Prima fa riferimento al file hosts, in caso di assenza si ricorre al DNS. Modificato raramente.

23 Altri file di configurazione /etc/services Contiene l'elenco di tutti i servizi che si appoggiano al livello di trasporto TCP e UDP. Contiene l'elenco di tutte le porte utilizzate. /etc/protocols Lista di tutti i protocolli utilizzati

24 Altri file di configurazione /etc/resolv.conf File di configurazione per la risoluzione dei nomi. Contenuto: # Max 3 indirizzi DNS nameserver indirizzo1 nameserver indirizzo2 nameserver indirizzo3 # dominio a cui appartiene l'host (unipv.it) domain nomedominio # lista dei domini in cui ricercare i nomi dei computer senza dominio search listadomini Es search unipv.it Quando pingo pippo, viene pingato pippo.unipv.it

25 Strumenti GUI Ogni distribuzione utilizza degli strumenti grafici nativi per il management della rete. Ad esempio Mandriva utilizza il Centro di Controllo dove è possibile definire graficamente quanto è stato impostato tramite riga di comando: Menu K -> Sistema -> Configurazione -> Configura il tuo computer

26 netstat Visualizza le connessioni attive (TCP, UDP, socket unix) Opzioni: -n: non risolve i nomi -A tipo: restringe la ricerca alla famiglia di protocolli indiricata -a: visualizza tutti i socket in ascolto, o meno; -p: visualizza anche il PID del programma che controlla i socket -i nomeinterfaccia: ottiene statistiche sull'interfaccia -s: ottiene statistiche sui protocolli Esempio: netstat -A inet -a -->

27 netstat Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:776 *:* LISTEN tcp 0 0 *:mysql *:* LISTEN tcp 0 0 *:netbios-ssn *:* LISTEN tcp 0 0 *:sunrpc *:* LISTEN tcp 0 0 *:http *:* LISTEN tcp 0 0 *:x11 *:* LISTEN tcp 0 0 localhost:mysql localhost:32770 ESTABLISHED udp 0 0 *:770 *:* udp 0 0 *:773 *:* udp 0 0 *:netbios-ns *:* udp 0 0 *:netbios-dgm *:* udp 0 0 *:7741 *:* udp 0 0 *:sunrpc *:* raw *:icmp *:* 7 Consultare la pagina di manuale per la semantica

28 Utility host [opzioni] nomehost permette di effettuare query verso il DNS -l: elenco completo della macchine nel dominio, se il DNS lo permette ping [opzioni] nomehost whois nomehost traceroute host tcpdump Permette di visualizzare tutti i pacchetti in transito sulla rete

29 Utility GUI È possibile utilizzare alcune utility grafiche per ottenere lo stesso risultato che otteniamo con la riga di comando. Java Network Scanner è uno di questi. NB: Richiede la JVM 1.6 per lanciarlo: java -jar jnetscan.jar & Lo si può scaricare da sourceforge.net

30 File di Log /var/log/auth.log Fornisce informazioni sui tentativi di accesso locali (quelli negati e quelli andati a buon fine) /var/log/boot.log Forinisce informazioni sui riavvi della macchina /var/log/secure Fornisce informazioni sui tentativi di accesso remoti (quelli negati e quelli andati a buon fine) /var/log/message Forinisce informazioni sui messaggi inviati dal kernel

31 Simulatore di rete Lan oppure cercare NetAnimator 3.eseguire il download

32 Il firewall di Linux

33 Utilizzo di un Firewall Un sistema Linux può essere configurato come firewall Un firewall può intervenire in tre punti: 1. Nel transito di un pacchetto da una interfaccia a un'altra; 2. Nei pacchetti in entrata in una interfaccia (INPUT) 3. Nei pacchetti in uscita in una interfaccia (OUTPUT)

34 Sicurezza non è solo Firewall Accorgimenti di un amministratore di rete: Attivare sul server solo i servizi necessari (/etc/init.d) Evitare che un server fornisca informazioni riguardo la versione; Possibilmente cambiare la porta su cui un demone si pone in ascolto Evitare che i demoni vengano avviati con i privilegi di root Cercare tutti i programmi che hanno i privilegi di amministratore ed eliminare tale privilegio (nei limiti del possibile): find / -perm 400 Eliminare gli account inutilizzati; Evitare di usare password semplici (soprattutto per root) Utilizzare un ottimo antivirus (aggiornato)

35 iptables: il firewall di Linux Fino alla versione 2.4 del kernel, Linux utilizzava ipchain, un firewall stateless in grado di filtrare il pacchetto solo sulla base delle caratteristiche del pacchetto stesso. Con l'attuale versione 2.6, invece, ipchain è stato sostituito da iptables un firewall statefull in grado di riconoscere le connessioni e perfino i protocolli. Iptables è un firewall di livello IP. Esistono firewall di livello applicativo (ad esempio i server proxy) e di livello di data link (proxy arp). L'iptables si basa sul concetto di catena (chain). Di default iptables mette a disposizione tre catene: input, forward e output

36 iptables: il firewall di Linux Per ogni catena sono definite delle regole e ad ogni regola è associata un'azione: ACCEPT o DROP. Ogni volta che un pacchetto transita una catena, tutte le regole vengono confrontate in ordine. Appena che viene soddisfatta una regola, viene eseguita un'azione corrispondente. Se nessuna regola viene soddisfatta, viene eseguita la regola di default.

37 Esempio di rete Un server che funge da firewall è dotato di 2 interfacce di rete: eth0: collegata alla rete interna con indirizzo ; eth1: Nella DMZ troveremo: un server web (interno ed esterno) porta 80 un mail server (interno ed esterno) porta 25, porta 110 un proxy server (interno) porta 8080 un DNS (interno ed esterno) porta 53

38 Configurazione (1/6) Applichiamo le policy di default (cancelliamo il pacchetto se non soddisfa alcuna regola): > iptables -F # Flush: cancella tutto > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP

39 Configurazione (2/6) Accettiamo il traffico proveniente dalla rete locale > iptables -A INPUT -s /24 -j ACCEPT A: Append nella catena di INPUT s: indirizzo sorgente

40 Configurazione (4/6) Consentiamo ai client locali di accedere ai server > iptables -A INPUT -s /24 -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -s /24 -p tcp --dport 25 -j ACCEPT > iptables -A INPUT -s /24 -i eth0 -p tcp --dport 110 -j ACCEPT > iptables -A INPUT -i eth0 -p tcp --dport j ACCEPT > iptables -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT p: protocollo d: indirizzo di destinazione dport: porta di destinazione (valido solo se usato con p)

41 Configurazione (5/6) Il server deve poter rispondere a qualsiasi connessione già stabilita (ESTABLISHED) ed esistente (RELATED) > iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A OUTPUT -m ipp2p --kazaa -j DROP -m: carica il modulo (in questo caso state) al quale gli passa i parametri seguiti dall'opzione state

42 Configurazione (6/6) Si possono filtrare anche i pacchetti in entrata o in uscita del firewall > iptables -A INPUT -p tcp --dport ssh -j ACCEPT > iptables -A INPUT -p icmp -j ACCEPT

43 NAT

44 Configurazione (6/6) NAT: Network Address Translation consente di modificare parti di un pacchetto (generalmente l'indirizzo del mittente o del destinatario), attraverso la realizzazione di una tabella che mappa il mittente / destinatario originale Utilizza tre catene differenti: PREROUTING OUTPUT POSTROUTING

45 Il NAT in teoria Per ogni catena è possibile utilizzare una azione (ad esempio nel caso del filtering, si usavano le azioni ACCEPT, DROP). In questo caso avremo: SNAT: consente di cambiare l'indirizzo IP sorgente (POSTROUTING) DNAT: consente di cambiare l'indirizzo IP destinazione (PREROUTING) REDIRECT: redireziona il pacchetto Es.: i client della rete hanno indirizzo locale ( x.x). Attraverso questi indirizzi è impossibile collegarsi a internet. Pertanto è necessario che i pacchetti spediti dai client vengano modificati, ovvero l'ip sorgente dovrà essere l'ip del firewall.

46 Configurazione > iptables t nat A prerouting p tcp i eth0 dport 80 j DNAT to :8080 > iptables t nat A postrouting o eth2 s 192, /24 j SNAT to

47 Ordine di attraversamento Pacchetti destinati al sistema locale: Un pacchetto entra da una interfaccia (es. eth0) Attraversa la catena nat / PREROUTING Viene fatta la decisione di routing sulla base dell'ip di destinazione Attraversa la catena filter / INPUT Viene processato da un programma in userspace

48 Ordine di attraversamento Pacchetti in uscita dal sistema locale: Il pacchetto viene generato da una applicazione; Il kernel decide dove routare, sulla base dell'ip destinazione; Attraversa la catena nat / OUTPUT Attraversa la catena filter / OUTPUT Attraversa la catena nat / POSTROUTING

49 Ordine di attraversamento Pacchetti che attraversano il firewall: Un pacchetto entra da una interfaccia (es. eth0); Attraversa la catena nat / PREROUTING Viene routato verso l'ip di destinazione; Attraversa la catena filter / FORWARD Attraversa la catena nat / POSTROUTING

50 Tool di configurazione Sono disponibili diversi strumenti che rendono semplice la gestione e la configurazione di iptables: 1.Shorewall: Potente strumento di configurazione anche se non molto semplice; 2.FwBuilder: Ottimo tool grafico per la configurazione; 3.Firestarter: Semplice tool di configurazione grafico, gestione e monitoraggio del traffico; 4.Firehol: Molto simile a shorewall; 5.KmyFirewall: Tool per KDE 6.Lokkit: E' il tool di default di RedHad 7.WebMin: Richiede una buona conoscenza di iptables 8.IpTablesFE

51 Tool di configurazione - prova IpTablesFE: Applicativo Open Source (scritto in.net per piattaforme Windows) da un italiano. Purtroppo gira solo su Windows o su Wine. Si può scaricare da sourceforge.net fwbuilder: Ottimo applicativo Open Source multipiattaforma.

52 Distribuzioni dedicate Esistono varie distribuzioni esplicitamente dedicate per un firewall. Possono essere LiveCD o installate sul sistema e generalmente prevedono: - Kernel con iptables e a volta patch sperimentali - Interfaccia grafica di gestione (generalmente via web) - Server DHCP per assegnare IP alla rete interna - Software per VPN varie (IPSec, PPTP) - Software di Intrusion detection e monitoring della sicurezza - Proxy filtering e eventuali filtri sulla posta Astaro Security Linux SmoothWall Clark Connect IpCop DevilLinux - Monowall

53 SSH

54 SSH E' un software che consente di connettersi ad un'altra macchina in remoto ed eseguirvi comandi attraverso un canale sicuro. Esistono due versioni di questo protocollo (versione 1 e 2) e per ogni versione esistono diversi metodi di autenticazione.

55 SSHv1 metodo di autenticazione 1 Il modo più semplice per consentire l'accesso remoto di un utente su un server è quello di creare sul server medesimo un account (protetto da password) per quello specifico utente. Quest'ultimo dovrà utilizzare username e password per accedere alla macchina remota ed eseguire su di essa le azioni di cui gode dei privilegi. Tuttavia questo metodo dovrebbe essere evitato per questioni di sicurezza.

56 SSHv1 metodo di autenticazione 2 Un metodo di autenticazione alternativo (il cui uso è fortemente consigliato) si basa su RSA (Rivest Shamir Adelmann): cifratura a chiave pubblica. L'utente si genera una coppia di chiavi (pubblica e privata). La chiave privata viene mantenuta dall'utente mentre quella pubblica viene memorizzata sul server in $HOME/.ssh/authorized_keys. Quando un utente tenta di accedere al server, questo sceglie random un numero il quale viene cifrato attraverso la chiave pubblica dell'utente che ha tentato di connettersi. Viene quindi inviato il digest al client il quale dovrà dimostrare di essere in grado di decifrare il messaggio. Ovviamente la decifratura può avvenire se e solo se il client possiede la propria chiave privata.

57 Generazione delle chiavi Per generare una coppia di chiavi (pubblica e privata) si può usare l'utility sshkeygen (sul server) il quale crea una coppia di chiavi in $HOME/.ssh/id_rsa (privata) e $HOME/.ssh/id_rsa.pub (pubblica). La chiave privata dovrà essere messa nella home directory del client dal quale l'utente desidera accedere, mentre la chiave pubblica verrà rinominata e spostata in $HOME/.ssh/authorized_keys. Fatto ciò l'utente può accedere alla macchina server senza dover utilizzare username e password (Bisogna configurare l'opzione HostBaseAutentication).

58 SSHv2 La versione 2 di SSH utilizza le medesime modalità di autenticazione. Rispetto alla precedente versione, l'sshv2 utilizza, oltre all'rsa, anche il DSA quale algoritmo per la cifratura del numero random. Inoltre fornisce meccanismi aggiuntivi di segretezza (il traffico viene cifrato usando il 3DES)

59 Configurazione del server ssh Il file di configurazione del demone ssh è il file sshd_config ed è composto da direttive (una per ogni linea): DenyUsers AllowUsers DenyGroup AllowGroup Consente o nega l'accesso a utenti e/o gruppi. Di default tutti gli utenti/gruppi possono collegarsi da remoto. Le quattro direttive sono processate nell'ordine indicato sopra. E' possibile specificare anche l'host da cui un utente si collega tramite USER@HOST

60 Configurazione del server ssh ListenAddress Indirizzo su cui ssh si pone in ascolto LoginGraceTime Il server disconnette l'utente dopo un certo numero di secondi se l'utente non inserisce username e pwd (di default 120 secondi) LogLevel Livello di debug: QUIET, FATAL, ERROR, INFO,VERBOSE, DEBUG, DEBUG1, DEBUG2, e DEBUG3. Il default è INFO PasswordAuthentication Specifica se l'autenticazione con la password è permessa (yes di default)

61 Configurazione del server ssh PermitEmpytPasswords Di default no PermitRootLogin Di default yes Port Di default 22 PrintLastLogon Visualizza sullo schermo data e ora di ultimo login

62 Configurazione del server ssh HostbaseAuthentication Specifica se l'autenticazione basata su chiave pubblica è consentita. Default no X11Forwarding Di default no, consente di attivare da remoto l'interfaccia grafica

63 Utility basate su ssh scp: copia files tra host remoti su una rete. Esso usa l'ssh per trasferire dati, e usa la stessa autenticazione e offre la stessa sicurezza di ssh. scp -r miadir/ nomeutente@hostaname:/the/destination/path E' possibile utilizzare programmi grafici per la gestione remota di file: gftp

64 Web Server

65 Apache Apache è attualmente il più diffuso server web presente sulla rete internet. Il demone di apache è httpd che si pone in ascolto sulla porta 80. Il file di configurazione è httpd.conf. La sua configurazione di default si adatta bene a circostante generiche. Anche questo è composto da una serie di direttive suddivise in diverse sezioni. Alcune di queste direttive si applicano a tutti i siti web gestiti da Apache (quindi rappresentano impostazioni globali), altre invece possono essere generali o particolari. Di seguito esaminiamo per prima le direttive generali:

66 Apache ServerRoot /etc/httpd indica la directory radice nella quale si trovano tutti i file di apache PidFile /var/run/httpd.pid File nel quale viene memorizzato il pid di apache dopo che il demone è stato avviato KeepAlive On/off indica se il server deve o non deve mantenere connessioni persistenti. Ovviamente se posto su On bisogna considerare un rallentamento del servizio se le connessioni sono tante

67 Apache MaxKeepAliveRequests 100 Se le connessioni sono persistenti, indica il numero massimo di richieste che un client può fare sulla medesima connessione KeepAliveTimeout 15 indica il numero di secondi di attesa da parte del server prima di chiudere la connessione con un client. StartServers 8 Numero di istanze del demone httpd che verranno avviate MaxClients 10 Numero massimo di client che possono contemporaneamente connettersi al server

68 Apache Listen 80 Porta su cui si pone in ascolto il server. La porta 80 consente una comunicazione non sicura. In questi casi bisogna utilizzare la porta 443 che cifra i dati con il protocollo ssl (https) ServerAdmin @xxx.it Indirizzo dell'amministratore ServerName Indica il nome del server. E' necessario che sia registrato in hosts

69 Protezione di siti web Impedire l'accesso a un sito web consentendone l'accesso SOLO ai soli utenti aventi un indirizzo IP <Directory /var/www/html/miosito> order deny,allow deny from all allow from /29 </Directory>

70 Protezione di siti web L'autenticazione basata sull'utente è un modo avanzato per eseguire un controllo degli accessi via web a determinati file o directory sulla base di login e password configurabili. Apache viene fornito con parecchi moduli per eseguire l'autenticazione su: File di testo Database (Oracle, Mysql, MSQL) Ldap Kerberos Radius Windows ecc.

71 Protezione di siti web <Directory /var/www/html/statistica/private> AuthType Basic AuthName "Files Protetti" AuthUserFile /etc/httpd/passwords Require user pippo </Directory> Il file delle password viene creato tramite htpasswd L'autenticazione Basic è quella più usata poiché compatibile con tutti i browser

72 MySQL

73 MySQL MySQL è un Database Management System (DBMS) ovvero un database relazionale composto da una parte client (interfaccia a caratteri) e una parte server. È multipiattaforma (sia Windows che Linux) e supporta la maggior parte delle istruzioni SQL. La configurazione di MySQL è molto semplice. Il server legge la configurazione del file my.cnf presente nella directory di installazione /usr/local/mysql

74 my.cnf E' composto da diverse direttive, molte delle quali definiscono le performance di MySQL. Il più delle volte queste sono ottimali per configurazioni standard. port = 3306 socket = /tmp/mysql.sock default_storage_engine = INNODB

75 Tipi di storage InnoDB: motore principale per il salvataggio dei dati. La sua caratteristica è quella di supportare transazioni ACID: Atomicità: la transazione è indivisibile, deve essere interamente valida o interamente nulla; Consistenza: all'inizio della transazione il DB deve essere in uno stato consintente, ovvero non devono essere violati i i vincoli di integrità, e altrettando alla fine della transazione; Isolamento: Ogni transazione deve essere isolata e indipendente da qualsiasi altra. L'eventuale fallimento di una transazione non deve interferire con le altre; Durabilità o Persistenza: quando una transazione è andata a buon fine i dati devono essere resi permanenti. Un'eventuale fallimento della transazione deve rendere nulle le modifiche apportate.

76 Tipi di storage MyISAM: E' un motore di immagazzinamento veloce e richiede poche risorse, sia in RAM che in HD. NON supporta le transazioni. Altri motori: Memory (una volta si chiamava Heap) Merge NDB, o ClusterDB (introdotta nella 5.0) CSV (introdotta nella 5.1) Federated (introdotta nella 5.0) Archive (introdotta nella 5.0) Blackhole (introdotta nella 5.0) Falcon (transazionale, è ancora in sviluppo)

77 Sintassi SQL Il linguaggio SQL (Structured Query Language) è un linguaggio non procedurale che consente di operare su dati indicando COSA bisogna fare su di essi e non COME (tipico dei linguaggi procedurali). Sono tre i tipi di istruzioni SQL: 1.Linguaggio per la definizione dei dati (DDL) 2.Linguaggio per la manipolazione dei dati (DML) 3.Linguaggio per il controllo dei dati (DCL)

78 Istruzione CREATE > CREATE DATABASE iscritti; > USE iscritti; > CREATE TABLE anagrafica ( cognome VARCHAR(25) NOT NULL, nome VARCHAR(25) NOT NULL, tessera VARCHAR(7) PRIMARY KEY, data_nascita DATE, peso NUMERIC(3,1) );

79 Istruzione CREATE > CREATE TABLE corsi ( tessera CHAR(7), sport VARCHAR(20), data_iscrizione DATE, quota_iscrizione REAL, data_scadenza DATE, PRIMARY KEY id (tessera, sport), FOREIGN KEY fk (tessera) REFERENCES anagrafica(tessera) ON DELETE cascade );

80 Esempio tabella anagrafica cognome nome tessera età peso Lotti Daniela X1X23AB 23 54,5 Ferrari Claudia XX12T Feltri Guglielmo AA32X Feltri Daniela ER58GH

81 Esempio tabella corsi tessera corso data_iscr quota_iscr data_ scad X1X23AB nuoto 01/09/ /03/96 XX12T54 tennis 12/10/ /01/96 AA32X67 squash 05/11/ /01/96 ER58GH4 pallavolo 11/11/ /02/96 XX12T54 nuoto 01/12/ /03/96 X1X23AB scherma 15/12/ /03/96 INSERT INTO corsi VALUES ('tessera', 'corso', null, quota, null)

82 Istruzione SELECT > SELECT cognome, nome, data_nascita FROM anagrafica ORDER BY cognome ASC; > SELECT cognome, nome, sport, data_iscrizione FROM anagrafica a, corsi c WHERE a.tessera = c.tessera ORDER BY cognome, nome

83 Esempio select (2) Cognome Nome Corso data_iscr Feltri Daniela pallavolo 11/11/96 Feltri Guglielmo squash 05/11/96 Ferrari Claudia tennis 12/10/96 Ferrari Claudia nuoto 01/12/96 Lotti Daniela nuoto 01/09/96 Lotti Daniela scherma 15/12/96

84 Istruzione SELECT > SELECT cognome, nome, tessera FROM anagrafica WHERE tessera in (SELECT tessera FROM corsi WHERE quota_iscrizione BETWEEN AND ); > SELET cognome, nome, tessera FROM anagrafica WHERE tessera IN ('X1X23AB', 'XX12T54', 'ER58GH4');

85 Istruzione ALTER, DROP, INSERT > ALTER TABLE anagrafica ADD lavoro varchar(25); > DROP TABLE anagrafica; > INSERT INTO anagrafica VALUES ('Fontana', 'Giorgio', 'XYZ826K', null, null)

86 Istruzione UPDATE, DELETE > UPDATE anagrafica SET sport = 'pattinaggio' WHERE cognome = 'feltri' AND nome = 'Daniela'; > DELETE FROM anagrafica WHERE cognome = 'Feltri';

87 Client SQL - Squirrel Esistono diversi client grafici che supportano la connessione a molteplici piattaforme. Lo Squirrel è scritto in Java e consente la connessione a decide di databasa quale MySQL, Oracle e DB2

88 Squid Proxy

89 Squid Proxy server Squid è un Proxy Server è uno strumento che permette di condividere tra più client un singolo accesso ad Internet, gestendo una cache di informazioni precedentemente scaricate. Il suo comportamento è definito dal file di configurazione squid.conf. Tale file contiene, tra le altre, le seguenti direttive: http_port :8080 cache_access_log /var/logs/access.log cache_log /var/logs/cache.log cache_store_log /var/logs/squidstore.log logfile_rotate 7 logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A

90 Parametri di logformat >a Client source IP address >A Client FQDN >p Client source port <A Server IP address or peer name la Local IP address (http_port) lp Local port number (http_port) ts Seconds since epoch tu subsecond time (milliseconds) tl Local time. Optional strftime format argument default %d/%b/%y:%h:%m:%s %z tg GMT time. Optional strftime format argument default %d/%b/%y:%h:%m:%s %z tr Response time (milliseconds) >h Request header. Optional header name argument on the format header[:[separator]element] <h Reply header. Optional header name argument as for >h

91 Parametri di logformat un User name ul User name from authentication ui User name from ident us User name from SSL ue User name from external acl helper Hs HTTP status code Ss Squid request status (TCP_MISS etc) Sh Squid hierarchy status (DEFAULT_PARENT etc) mt MIME content type rm Request method (GET/POST etc) ru Request URL rp Request URL-Path excluding hostname rv Request protocol version et Tag returned by external acl ea Log string returned by external acl <st Reply size including HTTP headers <sh Reply high offset sent <ss Upstream object size % a literal % character

92 Squid Proxy server cache_mem cache_mgr 128 MB acl unipv_homepage url acl deny_download url_regex -i ^ src bat pif com sys reg ini inf)$ acl dominio_it url_regex -i ^ acl all src / acl localhost src / acl server src acl locallans src / http_access deny unipv_homepage http_access deny dominio_it http_access deny deny_download http_access allow localhost http_access allow locallans http_access allow server http_access deny all