1 / 156

autor: Aco Dmitrovi (@fpzg.hr @srce.hr)ilustracije: David Prajdi (@zg.hinet.hr)

mentor: Bojan drnja (@fer.hr)recenzent: eljko Boro (@ptfos.hr)

(c) 2001-04 - 2001-12, CARNet & SRCE. Sva prava pridrana.http://sistemac.carnet.hr/nts/copyright.html

Odravanje pomonih servisa

2 / 156

Programski alati za sistem-inenjere

Odravanje mree

Odravanje pomonih servisa

Osnovni teajevi za sistem-inenjere

Odravanje operacijskog sustava

Korisniki teajevi Unixa

Odravanje javnih servisa

3 / 156

Ciljevi teaja Upoznavanje s dopunskim servisima koji se

mogu ponuditi korisnicima LAN-a Poboljanje sigurnosti CARNetovih vorita

(firewall, antivirusna zatita ) Praktino pokazati konfiguracije servisa, s

naglaskom na sigurnost Razviti razumijevanje osnova i dati upute za

kasnije samoobrazovanje

4 / 156

Potrebno predznanje Znanja sa Osnovnih teajeva za sistem-

inenjere Razumijevanje funkcioniranja TCP/IP mrenih

protokola Osnovna znanja o MS Windows OS i

umreivanju Windows raunala Osnovna znanja o relacijskim bazama

podataka i SQL-u

5 / 156

Sadraj

Firewall

150 min

NFS

15 min

Samba

30 min

Print servisi

15 min

Antivirusna zatita

30 min

Baze podataka

30 min

6 / 156

FirewallSvrha firewalla

Primjena sigurnosne politike na mrenoj razini

Kontrola pristupa izmeu dvije mree Selektivno blokira/proputa odreeni promet Zadrava uljeze, a istovremeno omoguava

rad poeljnih servisa (E-mail, WWW ...) Restrikcijama smanjuje izloenost Nadzor i analiza logovi su na jednom

mjestu (auditing)

7 / 156

FirewallSigurnosna politika

Prva i nezaobilazna faza rjeavanja sigurnosnih problema

Izvodi se iz pravila poslovanja Popis neophodnih/nepotrebnih servisa Svijest o ranjivosti otvorenih servisa Liste pristupa (access list) Sigurnost mree zahtijeva specijalistika

znanja i poseban tim

8 / 156

Firewallto firewall ne moe?

Ne moe rijeiti sve samo je dio obrane! Ne moe zamijeniti lou fiziku sigurnost Ne brani od napada iznutra Proputa viruse, trojance... Ne pomae ako iza firewalla imate PC s

modemom Ne brani od socijalnog inenjeringa i korisnika

koji daju svoje passworde prijateljima Ne titi nita ako ga je cracker ve proao

9 / 156

FirewallSigurnost po slojevima

Fizika sigurnost

Sigurnost operacijskog sustavaMrena sigurnost

Aplikacijska sigurnost

10 / 156

Firewallto firewall ne smije?

Ometati redovno poslovanje Suvie ograniavati korisnike u LAN-u, jer e

oni tada posegnuti za svojim rjeenjima- modem + ukljuen routing- probijanje firewalla (firewall piercing)

Zabrana jest najbre rjeenje, no sistemactreba traiti sloenije metode obrane

11 / 156

FirewallOd ega se branimo?

Nekoliko metoda napada: Virusi, crvi (worms) DoS, DDoS (ping of death, WinNuke...) ICMP redirects, redirect bombs Session hijacking Source routing Greke u OS-u Greke u aplikacijama (npr. buffer overflow)

12 / 156

Firewallto uvamo?

Privatnost korisnika Povjerljivost podataka Integritet podataka Funkcioniranje sustava Ugled tvrtke/ustanove Ugled sysadmina Sigurnost Interneta kao cjeline

13 / 156

FirewallVrste firewalla

Na mrenoj razini (IP filteri)- odluuje na osnovi IP adrese poiljatelja/primatelja i broja porta- routeri znaju poneto od toga (access list)- moderni firewall zna vie: prati stanje otvorene veze, sadraj data streamova, logira informacije

Na aplikacijskoj razini (proxy servisi)- http proxy, ftp proxy, telnet proxy

14 / 156

FirewallLAN bez zatite

Svi paketi prolaze slobodno u oba smjera Obrana na razini hostova

15 / 156

FirewallLAN sa zatitom

Zaklonjena mrea (iza vatrozida) Ograniavanje prometa smanjuje rizik

16 / 156

FirewallOsnovni pojmovi

Vanjski svijet Internet, mjeavina sigurnih i nesigurnih mrea, untrusted network

Perimeter linija razdvajanja/obrane Firewall - zid izmeu dvije mree

17 / 156

FirewallBastion host

Maksimalno utvreno raunalo Obrana koncentrirana na jednom mjestu Jednostavna primjena Jeftino rjeenje (jedan PC) Laki nadzor (logovi su na jednom mjestu) Iskljuen ip_forwarding, nema rute izvana

prema lokalnoj mrei Promet ide preko aplikacija (proxy)

18 / 156

FirewallArhetipovi

Dual homed gateway Raunalo s dva mrena suelja Bastion host utvreno raunalo Jedini put imeu LAN-a i Interneta

19 / 156

FirewallArhetipovi (2)Screened host

Ispred utvrenog raunala je router koji filtrira promet

Dvije izloene toke

20 / 156

FirewallArhetipovi (3)Screened subnet

Farma servera na javnim adresama DMZ (demilitarizirana zona)

Zaklonjena mrea

21 / 156

FirewallSegmentiran LAN

Promet se moe ograniiti i unutar LAN-a

22 / 156

FirewallNAT/IPMasq/Proxy

Metode zatite LAN-a Treba osigurati da poeljni servisi rade kroz

gateway

23 / 156

FirewallNetwork Address Translation

RFC 1361 One-to-one/one-to-many NAT (PAT) Ekonomian pristup Internetu (SOHO) Minimalno troenje javnih IP adresa

(network, ISP router, va router, broadcast) LAN na privatnim adresama (npr.192.168.x.x) Packet header rewrite: gateway u zaglavlju paketa

zamijeni privatnu adresu svojom Vanjski svijet vidi samo firewall

24 / 156

FirewallIP Masquerade

Izraz za NAT na Linuxu, ali i za crackerske trikove Ukljuen IP forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

Dodatne mogunosti:- port redirection (npr. port 80 na 8080)- port forwarding (npr. 161.53.22.3:80 na 192.168.1.5:80)

Kernel moduli za pojedine servise/aplikacije/sbin/modprobe ip_masq_ftp/sbin/modprobe ip_masq_irc/sbin/modprobe ip_masq_raudio

25 / 156

FirewallProxy

Iskljuen IP forwarding! Jedini nain prolaska paketa je pomou aplikacije za

odreen servis - WWW/FTP/Telnet proxy Transparentan proxy je nevidljiv za korisnike Eksplicitan trai podeavanje klijenta Cache optimizira promet Prua anonimnost korisnicima Moe ograniavati promet (access list)

26 / 156

FirewallSocks

RFC 1928: SOCKS Protocol V5 NAT+PT Vee port s aplikacijskim socketom otud

ime Prevoenje protokola: IPv4 u IPv6 i obratno Standardizacija komunikacije za razliite

aplikacije koje pristupaju serveru kroz proxy firewall

SOCKS kompatibilni proxy serveri: Dante i DeleGate

27 / 156

FirewallLinux

Do kernela 2.0 ipfwadm Od kernela 2.1 ipchains Kernel 2.4 netfilter (IPSec) TIS Firewall Toolkit Socks Squid Apache Phoenix Adaptive Firewall (ICSA certifikat)

28 / 156

Firewallipchains

Blokira/proputa pakete ovisno o IP adresi izvora/cilja te /portu/interfaceu

Maskiranje (zamjena adresa, NAT) Port redirection/forwarding Kreiranje vlastitih lanaca pravila QoS routing Inverzna specifikacija ( ! WWW )

29 / 156

Firewallipchains - alati

ipchains - program za postavljanje pravilaipchains-save snima pravila u fileipchains-restore aktivira pravila iz

filea/etc/sysconfig/ipchains-rules /etc/init.d/ipchains {stop|start}

30 / 156

Firewallipchains - alati (2)

ipchains-save > /etc/ipchains.rules #/bin/sh

case $1 in start)ipchains-restore < /etc/ipchains-rulesecho 1 > /proc/sys/net/ipv4/ip_forward

stop)echo 0 > /proc/sys/net/ipv4/ip_forward/sbin/ipchains F/sbin/ipchains X/sbin/ipchains P input ACCEPT/sbin/ipchains P output ACCEPT/sbin/ipchains P forward ACCEPT

31 / 156

Firewallipchains - podeavanje kernela

Varijable koje treba podesiti pri kompiliranjuCONFIG_FIREWALL=yCONFIG_IP_FIREWALL=yCONFIG_IP_CHAINS=yCONFIG_IP_MASQ=y

Kako provjeriti?/proc/net/ip_fwchains/proc/net/ip_fwnames/proc/net/ip_masquerade

32 / 156

Firewallipchains - lanci

Tri ugraena lanca sadre liste pravilainput pravila za ulazne paketeforward pravila prosljeivanjaoutput pravila za izlaz paketa

Definiranje vlastitih lanacaipchains N my_chain

33 / 156

Firewallipchains - kako paketi prolaze filtere?Pri dolasku paketa kernel1. provjeri pravila input lanca2. ako paket preivi, odluuje o ruti:

- ako je namijenjen drugom raunalu,provjerava forward pravila- u protivnom ide na slijedei lanac

3. provjerava output pravilaAko proe sve lance, paket nastavlja put.

34 / 156

Firewallipchains - operacije s lancima

Napravi novi lanac ipchains N Brii korisnikov lanac ipchains X Zadaj politiku ipchains P Izlistaj pravila ipchains L Isperi pravila (flush) ipchains F Nuluj brojae (zero) ipchains Z

35 / 156

Firewallipchains - operacije s pravilima

Dodaj novo (add) ipchains A Umetni novo (insert) ipchains I Zamijeni (replace) ipchains R Izbrii (delete) ipchains D Provjeri (check) ipchains -C

36 / 156

Firewallipchains - argumenti pravila

Protokol -p {TCP|UDP|ICMP} Interface -i {ppp|eth+} Adresa izvora -s 192.168.0.1 Adresa odredita -d 192.168.0.1 Bidirectional -b 192.168.0.1 Blokiraj SYN paket -y Detaljan ispis -v Logiraj paket -l

37 / 156

Firewallipchains - argumenti (2)

Jump-to-Target to uraditi s paketom?

-j ACCEPT propusti paket-j REJECT blokiraj paket-j DENY blokiraj paket kao da nije ni stigao-j MASQ IP Masquerade-j REDIRECT preusmjeri UDP/TCP paket -j RETURN skok na kraj lanca (politika)

38 / 156

Firewallipchains - politika lanca

Ako ponaanje filtera nije odreeno pojedinim pravilom, primijeni opu politiku za taj lanac

-P ACCEPT prihvati paket-P DENY odbaci paket-P REJECT odbaci paket uz obavijest-P MASQ samo za forward lanac

39 / 156

Firewallipchains - grananje

Filtriranje se odigrava poput grananja u programu:if [cond1] then j ACCEPTelse if [cond2] then j DENYelse if [cond3] then j MOJ_LANACelse if [cond4] then j RETURN

else apply chain policy

Filtriranje se nastavlja kroz slijedei lanac pravila

40 / 156

Firewallipchains - primjeri

Blokiraj ping- ping alje ICMP tip 8 (echo request)- vraa se ICMP tip 0 (echo reply)

# ipchains -A input s 127.0.0.1 p icmp j DENY

# ping c 1 127.0.0.1

--- 127.0.0.1 statistics ---

1 packets transmited,0 packets received,100% packets \lost

41 / 156

Firewallipchains - primjeri (2)

Zabrani sve TCP servise osim WWW# ipchains -A input p tcp d 0.0.0.0/0 j DENY ! www

Servis se moe odrediti i brojem porta# ipchains -A input p tcp d 0.0.0.0/0 j DENY ! 80

42 / 156

Firewallipchains - primjeri (3)

Dozvoli surfanje po Webu za svoje korisnike, zabrani pristup izvana na svoj Web server (Intranet)

- problem: TCP trai da paketi idu u oba smjera- rjeenje: zabrani SYN pakete za uspostavljenje vezeipchains -A input p tcp s ! 161.53.122.0/24 y www

Posve zabrani surfanje!?ipchains -A input p tcp s 0.0.0.0/0 y www

iliipchains A input p tcp j DENY www

43 / 156

Firewallipchains - primjeri (4)

Logiraj sav promet s odreene adrese# ipchains -A input s 161.53.2.130 p any l

kernel log:

Packet log: input DENY eth0 PROTO=17 161.53.2.130:53 \161.53.2.100:1054 L=34 S=0X00 I=18 F=0x000 T=254 (#6)

.... PROTO=17 je UDP paket na port 53, znai DNS upit, source/destination adresa, L

byte lenght,#6 je broj pravila u lancu

44 / 156

Firewallipchains - primjeri (5)

Dozvoli Ssh pristup samo s povjerljiva hosta# ipchains -A input s 161.53.2.100 p TCP j ALLOW 22

Anti spoofing# ipchains -A input p all j DENY s 161.53.122.0/24 i eth1# ipchains -A input p all j DENY s 127.0.0.0/8 i eth1

# ipchains -A input p all j DENY s 192.168.0.0/16 i eth1

45 / 156

FirewallTIS Firewall Toolkit

Skup programa i konfiguracija Open source Ne nudi gotova rjeenja, ve alate Svaka mrea ima svoju topologiju, hardware,

zahtjeve poslovanja, administrativne postupke nema univerzalnih rjeenja

Verifikacija zatita od bugova u aplikaciji www.tis.com

46 / 156

FirewallTIS Firewall Toolkit (2)

Poboljani standardni servisi (chroot, nepriviligirani korisnik, liste pristupa, ne mogu pokrenuti shell)

Smap dostava pote Netacl: Telnet, Finger, Network Acess Control Ftp-Gw, Telnet-Gw, Rlogin-Gw, Plug-GwZa administriranje firewalla: Authd, Telnetd, Login, Syslogd (real time

scanning, alarmi), Ftpd

47 / 156

FirewallApache kao HTTP proxy

Jednostavan firewall za HTTP i FTP servise, - vanjski klijent kontaktira jedan port, unutarnji drugi- radi u oba smjera: forward proxy/reverse proxy

Cache efikasnije koritenje spore linije, rastereuje i udaljene servere

Kontrola pristupa (autentifikacija hosta/korisnika)

48 / 156

FirewallSquid

Apache zadovoljava za manje mree (CARNetove lanice), za velik promet efikasniji je Squid (proxy.carnet.hr)

Podrava vie protokola: HTTP, FTP, GOPHER, WAIS, SSL

Sve vrste Unixa i MacOS, nema verzije za Windowse

Troi dosta HW resursa squid.nlanr.net

49 / 156

FirewallSolaris

SunScreen- mrena kontrola pristupa i logging- komercijalan proizvod

SunScreen Lite- besplatan za Solaris 8- ogranienje na dva mrena interfacea

IP Filter - freeware alternativa koju preporuuje SUN

50 / 156

Firewallipfilter

Razvijen na BSD Unixu Radi na Free/Net/OpenBSD verzijama Prenesen na SunOS 4.1.1-4.1.4,

Solaris >2.3, IRIX 6.2, QNX, HP-UX 11.00 coombs.anu.edu.au/ipfilter HOWTO, dobri primjeri s objanjenjima

www.obfuscation.org/ipf CARNet paket na ftp.carnet.hr

51 / 156

Firewallipfilter - alati

ipf umee pravila u listu, brie ih (flush) ipfstat pokazuje statistiku prometa ipftest testira pravila slanjem paketa ipmon pokazuje sadraj buffera ipsend generira IP paket za eth LAN ipresend uita pakete (tcpdump) i vraa ih iptest provjerava obranu (moe sruiti OS) ipnat uspostavlja/brie pravila za NAT

52 / 156

Firewallipfilter - pravila

Konfiguracijska datoteka s pravilima Razumljiva sintaksa (block in from, pass out ...) Drugaije odluuje nego ipchains:

- provjerava sva pravila redom do kraja- kada nae pravilo koje odgovara za paket, digne zastavicu (prolazi/ne prolazi)- provjerava ostala pravila te odlui na osnovu zadnje zastavice, odnosno zadnjeg pravila koje odgovara

block in allpass in all #rezultat: prolazi sve!

53 / 156

Firewallipfilter - primjeri

Kljuna rije quick prijei provjeru preostalih pravilablock in quick allpass in all #svi paketi blokirani!!!

Blokiraj pakete s odreene adrese (npr. cookies iz doubleclick.com)block in quick form xxx.xxx.xxx.xxx/32pass in all

54 / 156

Firewallipfilter - primjeri (2)

Primjeri adresa koje bi trebalo blokirati:# privatne adreseblock in quick on tun0 from 192.168.0.0/24 to anyblock in quick on tun0 from 172.16.0.0/12 to anyblock in quick on tun0 from 10.0.0.0/8 to any# default gatewayblock in quick on tun0 from 0.0.0.0/8 to any# DHCP auto konfiguracijablock in quick on tun0 from 169.254.0.0/16 to any# rezervirano za pisce dokumentacijeblock in quick on tun0 from 192.0.2.0/24 to any

55 / 156

Firewallipfilter - primjeri (3)

Blokiranje nesigurnih servisa (portova)block in log quick proto tcp from any \to 161.53.122.0/24 port 513 #rloginblock in log quick proto tcp from any \to 161.53.122.0/24 port 514 #rshblock in log quick proto tcp from any \to 161.53.122.0/24 port 23 #telnetblock in log quick proto tcp/udp from \any to 161.53.122.0/24 111 #portmappass in all

56 / 156

Firewallipfilter - primjeri (4)

Fragmentirani paketi mogu biti maliciozni- blokiraj ih sveblock in all with frag- ili barem najsumnjivijeblock in proto tcp all with short

Pravila za prolaz stavi prije blokade:pass in quick on tun0 icmp-type 0pass in quick on tun0 icmp-type 8block in log quick on tun0 icmp from \any to any

57 / 156

Firewallipfilter - primjeri (5)

Keep state prati stanje, flags S - SYN, keep frags Blokiraj sve osim Sshblock out quick on tun0 allpass in quick on tun0 proto tcp from any to \161.53.122.3/32 port = 22 flags S keep state keep \frags

Zatiena radna stanicablock in quick on tun0 allpass out quick on tun0 proto tcp/udp from \161.53.122.13/32 to any keep state

pass out quick on tun0 proto icmp from \161.53.122.13/32 to any keep state

UDP je stateless protokol! Ipf prati stanje 60 sekundi.

58 / 156

Firewallipfilter - primjeri (6)

Pogled u neposrednu budunost:IPSec bitovi u zaglavlju paketa

# blokiraj pakete bez IP sec opcijeblock in all with no opt sec# propusti pakete na le1 s najviom sigurnosnom

klasomblock out on le1 allpass out on le1 all with opt sec-class topsecretblock in on le1 allpass in on le1 all with opt sec-class topsecret

59 / 156

Firewallipfilter skrivanje firewalla

Ako blokiramo pakete bez odgovora, otkrivamofirewall. Bolje je simulirati standardne Unix odgovorena upite koji stiu na neaktivan port.

TCP port - vrati RST (Reset) paket# vraamo poruku connection refused umjesto \

connection timed outblock return-rst in log proto tcp from any \to 161.53.122.0/24 port = 23

UDP port - vrati ICMP port unreachableblock return-icmp-as-dest(port-unr) in log \on tun0 proto udp from any to 161.53.122.0/24 \port = 111

60 / 156

Firewallipfilter skrivanje firewalla (2)

Kad firewall proputa paket, ponaa se kao router, umanjujui vrijednost TTL-a, te tako otkriva da je ovdje jedan hop. Traceroute e otkriti na firewall!

block in quick on xl0 fastroute proto udp from any to any port 33434>< 33465

Fastroute e sprijeiti slanje paketa u Unix IP stack radi usmjeravanja, te se TTL ne mijenja. Ipf e sam usmjeriti paket na odgovarajui interface, koristei sistemsku routing tabelu.

Da smo umjesto block quick koristili pass, uz ukljuen IP forwarding, ipf bi se zbunio jer bi imao dvije mogue putanje za izlaz paketa.

61 / 156

Firewallipfilter - NAT

Jednostavna sintaksa za ukljuivanje NAT-amap tun0 192.168.1.0/24 -> 161.53.122.1/32

Ako ne znamo vanjsku adresu (DHCP)map tun0 192.168.1.0/24 -> 0/32# nakon prekida veze treba osvjeiti adresu:ipf y

Da bi svaki host u LAN-u dobio svoj portmap tun0 192.168.1.0/24 -> 0/32 portmap tcp/udp20000:30000

62 / 156

Firewallipfilter - podeavanje kernela

Podeavanje varijabli kernela na Solarisundd set /dev/ip ip_forwarding 1

ndd set /dev/tcp tcp_smallest_anon_port 25000

ndd set /dev/ip ip_forward_directed_broadcasts 0

ndd set /dev/ip ip_forward_src_routed 0

ndd set /dev/ip ip_respond_to_echo_broadcast 0

63 / 156

FirewallVjeba: dvije politike

Otvorena: sve je dozvoljeno to nije izriito zabranjeno.

Dozvoli sve osim NFS, Talk i Fingerservisa.

Paranoina: sve je zabranjeno to nije izriito dozvoljeno

Zabrani sve osim FTP, WWW, E-mail i DNS servisa.

Zadatak: napii input pravila po gornjim obrascima za ipchains ili ipfilter (po izboru).

64 / 156

FirewallVPN

Prividna privatna mrea (Virtual Private Network)

Simulacija privatne mree preko javne mree Prividna - privremena veza, neizvjesna ruta Privatna - skrivanje informacija, nevidljivost Ekonominost - umjesto skupe iznajmljene

linije koristimo Internet Upitan QoS - Internet ponekad zapinje!

65 / 156

FirewallVPN - privatnost

Internet je nesiguran! Kako osigurati privatnost?

- firewall- enkripcija- autentifikacija raunala/korisnika- skrivanje/maskiranje informacija o privatnoj mrei

66 / 156

FirewallVPN - metode

Metode enkripcije:- secret key (DES)- public key (PGP, RSA)- IPSec (enkripcija na IP razini)

Metode autentifikacije- CHAP (RFC 1994), RSA- obje strane izraunaju hash funkciju kljua- provjera na poetku i u proizvoljnim razmacima- checksum podataka radi provjere integriteta

67 / 156

FirewallVPN - tuneliranje

Kriptiran paket putuje unutar obinog Enkapsulacija - unutarnji paket moe biti

razliitog protokola (IPX)

68 / 156

FirewallVPN - mobilni korisnici

Tunel izmeu privatne mree i mobilnog raunala s promjenjivom IP adresom

69 / 156

FirewallVrste VPN-a

Zasnovan na HW- enkriptirajui router (poseban ip za enkripciju)- jednostavna konfiguracija, efikasnost, ali ograniena fleksibilnost

Zasnovan na firewallu- sigurnosni mehanizmi (filtriranje, liste pristupa, NAT, opsenologiranje, alarmi, autentifikacija, enkripcija ...)

- troi HW resurse

VPN aplikacije- tuneliranje na razini protokola ili IP adrese- primjenjivo u arenilu opreme, OS-ova (npr. razliite tvrtke)

70 / 156

FirewallPPTP

Protokol je razvio konzorcij nekoliko tvrtki, poznat je po Microsoftovoj implementaciji

Zamiljen kao enkapsulacijski mehanizam za transport drugih protokola (IPX) preko TCP/IP-a, koristei GRE (generic routing encapsulation)

Dozvoljava razliite mehanizme za autentifikaciju/enkripciju

71 / 156

FirewallPPTP (2)

PPTP server Win NT 4.0 ili 2000 Ukljuen IP forwarding i RAS Klijenti WfW, Win95/98/NT, Macintosh Autentifikacija na razini MS domena Pristup preko interneta Internet

Authentication Services, RADIUS

72 / 156

FirewallPPTP (3)

Sigurnosni problemi:- slaba enkripcija (klju je password, slabsession klju, 40 ili 128 bita - samo u USA)- lako je ukrasti passworde- nema autentifikacije na razini paketa, to omoguuje spoofing i DoS napade- MSCHAP je ranjiv (v. I0phtcrack)

73 / 156

FirewallIPSec

IP Security Protocol AH (Authentification Header) titi

informacije u zaglavlju paketa RFC 2402 ESP (Encapsulating Security Payload) titi

podatke u tijelu paketa RFC 2406- povjerljivost- integritet podataka- autentifikacija digitalni potpis- zatita od ponavljanja

74 / 156

FirewallIPSec i NAT

NAT prepisuje zaglavlja paketa, to onemoguava AH

Tuneliranjem se enkapsulira cijeli originalni paket, pa se kriptira. Na cilju se dekriptiraprije autentifikacije. NAT je mogu u vanjskom omotu.

Razmjena certifikata VPN gatewaya ne ide kroz NAT gatewaye!

CISCO: IPSec over UDP, doputa NAT

75 / 156

FirewallFirewall piercing

Firewall uobiajeno proputa E-mail Slanjem E-maila s PGP autentifikacijom

aktivira se procmail skripta koja otvara PPPlink enkapsulacijom kroz SMTP!

Nakon toga Telnet ili Ssh prolaze kroz firewall Trik koristan za udaljeno administriranje kroz

firewall, ali moe posluiti i korisnicima iza vrlo restriktivnog firewalla, odnosnocrackerima.

76 / 156

FirewallKomercijalni proizvodi

Tee integraciji Firewall VPN Antivirus IDS Centralni nadzor, upravljanje, praenje optereenja

Dogaaji okidaju programirane akcije: slanje E-maila, rekonfiguraciju firewalla

www.checkpoint.com

77 / 156

FirewallZakljuak

Internet sve vie postaje neprijateljska sredina to je firewall? Raznovrsan software, moe biti raspren na

vie raunala, ali i zatvoren u jednu kutiju. Osnovna namjena FW: ograniavanje i nadzor prometa, na

razliitim razinama TCP protokola (mreni/aplikacijski, ali i transportni interface)

CARNet: jedan sistemac - Katica za sve! Prva briga je funkcionalnost, o sigurnosti se misli tek kada se

pojave problemi Firewall trai sigurnosnu politiku (u protivnom - improvizacija,

prepravljanje, nezadovoljstvo korisnika ) Nemojte se uiti na ivom sistemu, jer ete se upucati u

nogu!

78 / 156

FirewallLiteratura

Building Internet FirewallsChapmanChapman & Zwicky, OReilly 1995

Professional ApachePeter Wainwright, Wrox Press 1999

www.interhack.net/pubs/fwfaq netfilter.kernelnotes.org www.linux-firewall-tools.com RFC 1918: adrese za nepovezane ili privatne mree www.linuxdoc.org/HOWTO/IP-Masquerade-

HOWTO.html firewall-HOWTO

79 / 156

NFSPovijest

SUN Microsystems 1985. Isprva se koristio za radne stanice bez

diskova Ubrzo je postao popularan i doivio mnoge

implementacije ( U*X, DOS, Windows ...) Standard za file sharing u mreama Unix

raunala U mjeovitim mreama prevladava Samba

80 / 156

NFSSvojstva

Dizajniran da se koristi u LAN-u i da bude brz Koristi UDP transportni protokol Klijent dobije magic cookie, koji preivi pad veze.

Brie ga umount naredba. Stateless, ne prati stanje otvorene veze

- nakon prekida klijent nastavlja raditi kao da se nita nije dogodilo- klijent ne smije jednostavno pretpostaviti da e server obaviti svoj dio posla- neefikasno u WAN okruenju, kroz router, preko Interneta

81 / 156

NFSSigurnosni problemi

Proizlaze iz koritenja UDP protokola:- nema dnevnika transakcija- nesigurne transakcije- slaba autentifikacija hosta

Nema uvjerljive autentifikacije na razini korisnika(samo UID i GID)

Opasnost od nemarne konfiguracijeaccess=lista, roFirewall neka brani NFS pristup preko Interneta

82 / 156

NFSKlijent/posluitelj

Posluiteljmountd - dodavanje mrenog diskanfsd - pristup datotekama na disku

Klijent Proirena mount naredbahostname:direktorij

biod cacheing daemon

83 / 156

NFSKonfiguracija

BSD verzije zovu dijeljenje diska export SYSV (ATT) verzije - share

Linux: /etc/exports/home/prj access=orah:ljesnjak,root=orah

Solaris: /etc/dfs/dfstab#!/bin/shshare F nfs o rw=orah:ljesnjak,\root=orah /home/prj

84 / 156

NFSKonfiguracija (2)

-ro, rw-bg-hard,soft,spongy-retrans=n-timeo=n

-intr-rsize=n, wsize=n

-access=lista -ro-rw-ro=lista-rw=lista

-root=lista

-anon=n

mount flagsatributi pristupa

85 / 156

NFSDodavanje NFS particija

Runomount host:share /mnt/nfs

Pri podizanju sustava#/etc/fstabas:/opt /mnt/opt nfs rw,bg,intr,hard 0 0

AutomatskiSUNov automountfreeware amd

86 / 156

NFSNFS daemon

Nfsd posreduje pri U/I operacijama na disku Pri pokretanju prima argument, broj procesa

nfsd n

- minimalan 4- maksimalan 8 (Linux) ili 10 (Solaris)- optimalan utvrdite eksperimentalnonetstat seliminirati UDP socket overflow

87 / 156

NFSAdministativne zavrzlame

Ne dozvolite anoniman pristup, popunite access liste Korisnici neka na NFS serveru imaju otvoren raun UID i GID moraju biti isti na svim raunalima!

(replicirajte korisnike i grupe NFS je zamiljen da radi uz NIS)

Shell moe biti /bin/false Mount direktorij kod klijenta neka se zove jednako

kao i NFS server (bor:/projekt na /bor/projekt)

88 / 156

NFSLiteratura

Unix System Administration HandbookNemeth, Snyder, Seebass, HeinPrentice Hall, 1995

www.linuxdoc.org/LDP/nag/node141.html

89 / 156

Samba

Unix file i print server za Windows klijente GPL licenca Open Source Pouzdanost Unixovih servisa dostupna

desktop raunalima Slogan razvojnog tima:

Samba opening Windows to a wider world!

90 / 156

SambaPovijest

BIOS (Basic Input Output System) dio DOS-a, definira kako aplikacije trae U/I operacije od OS-a

NetBIOS proirenja za U/I operacije preko mree NetBEUI (NetBIOS Extendeded User Interface)

- NetBIOS API- SMB (Session Message Block)- NBF (NetBIOS Frame protokol)

CIFS (Common Internet File System) koristi TCP/IP i NetBIOS over TCP/IP name service (NBT)

Od jednokorisnikog sistema, preko LAN protokola do WAN protokola

91 / 156

SambaInstalacija

Binarni paketidpkg i samba-2.2.2.pkgdpkg i samba-docs.2.2.2.pkgdpkg i smbfs-2.2.2.pkg #samo za Linux

Izvorni kod raspakira se u /usr/local/src# tar xzvf samba-2.2.2.tgz# cd samba-2.2.2# ./configure; make; make install

/etc/profilesPATH=$PATH:/usr/local/samba/binMANPATH=$MANPATH:/usr/local/samba/man

92 / 156

SambaOsnovni dijelovi

smbd samba daemon nmbd NetBIOS name server testparm provjera konfiguracije testprns provjera tiskaa smbstatus provjera statusa Sambe nmblookup traenje Windows raunala sa Unixa smbclient klijent za pristup dijeljenom resursu smbprint klijent za pristup SMB print serveru /etc/smb.conf /etc/smbpasswd /etc/smbusers

swat alat koji olakava konfiguraciju

93 / 156

SambaInetd

#/etc/servicesnetbios-ns 137/tcp nbnsnetbios-ns 137/udp nbnsnetbios-dgm 138/tcp nbdgnetbios-dgm 138/udp nbdgnetbios-ssn 139/tcp nbssn

#/etc/inetd.confnetbios-ssn stream tcp nowait root \

/usr/sbin/tcpd /usr/sbin/smbdnetbios-ns dgram udp wait root \

/usr/sbin/tcpd /usr/sbin/nmbd a /etc/init.d/samba start|stop|restart

94 / 156

Sambarc.samba

/etc/rc.d/rc.sambakoji se pokree iz /etc/rc.d/rc.local

#!/bin/sh/sbin/smbd D/sbin/nmbd D

95 / 156

SambaJednostavan test

Unix$ testparm$ smbclient //server/homes Uusername$ ls -l

Windows Network_Neighbourhood\Entire_Network\\Workgroupname\servername\homes

C:> net view \\moj_serverC:> net view /workgroup:workgroupnameC:> net use * \\moj_server\homes

Start,Find,Computer

96 / 156

SambaWindows name resolution

Metode nalaenja raunala u mrei: /etc/smb.confname resolve order=lmhosts host wins bcast /etc/lmhosts ili C:\WINNT\System32\Drivers\Etc\lmhosts

127.0.0.1 localhost192.168.1.1 moj_server

host NIS, DNS, /etc/hosts Windows Internet Name Service Broadcast NetBIOS name resolution, portovi 137-139

97 / 156

SambaMapiranje atributa

DOS UNIX smb.conf default+r u-w+a u+x archive=yes ++s g+x system=yes -+h o+x hidden=yes -

attrib +r file -> chmod u-w file Dotfiles .bashrc?

Skriveni, atribut ne moe mijenjati s DOS-a.

98 / 156

SambaUnix dozvole

Unix dozvole za datoteke preko Sambe podlijeu logikim operacijama nad bitovima

Za datoteke: logika operacijacreate mask= ANDforce create mode= OR

Za direktorije:directory mask= ANDforce directory mode= OR

U sluaju konflikta, force ima prednost. AND umanjuje, OR uveava Unix dozvole

99 / 156

SambaPodrazumijevane dozvole

Podrazumijevane dozvole za nove datoteke create mask=744 #default

Unix: -rwxr--r Win: rash? Samba napravi bitwise AND, stavite neparni broj!

create mask=755 # OKcreate mask=700 -> 711 # za home dir.create mask=770 -> 771 # za radne grupecreate mask=777 # svi Unix korisnici mogu raditi to hoe na Samba shareu!?

100 / 156

Sambasmb.conf

[global]netbios name=moj_serverworkgroup=moja_grupaprintcap name=/etc/printcapprinting=bsd

[homes]browsable=noread only=no

[printers]print ok=yespath=/var/spool/sambabrowsable=nowritable=noprintable=yes

101 / 156

SambaShare na Unixu

Grupa za izradu web stranica dijeli direktorij:mkdir /projects/webchown root.web /projects/webchmod 770 /projects/web

Napravi share u /etc/smb.conf[web]

path=/projects/webread only=no valid users=@webcreate mask=770directory mask=770force group=web

102 / 156

SambaShare za dvije grupe

Dvije grupe pristupaju direktoriju, recenzenti mogu samo itati.[web]

path=/projects/webread only=yesvalid users=@web,@recenzentiwrite list=@webcreate mask=770directory mask=770force group=web

103 / 156

SambaKriptirana zaporka

Podrazumijeva se u NT/2000, Win98, Win95 OSR3 /etc/smb.conf:encrypt passwords = yes

$ smbpasswd a username Win 95/98 Registry:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP\EnablePlainTextPassword=1

NT RegistryHKEY LOCAL_MACHINE\system\CurrentControlSet\Services\Rdr\Parameters\EnablePlainTextPassword=1

104 / 156

SambaKonfiguracija

[global]log file=/var/log/samba/log.%mmax log size=50security=user # ili sharepassword server=NTServerName # MDCpassword level=8

username level=8smb passwd file=/etc/smbpasswdusername map=/etc/smbusers # razl.imena

105 / 156

SambaEmulacija liste pristupa

[public]path=/home/projectXworkgroup=grupaXvalid users=admin users=markowrite list=marko, peroinvalid users=mrgudhosts allow=192.168.1. EXCEPT 192.168.1.111hosts deny=192.168.1.12guest ok=noguest only=no

106 / 156

SambaSinkronizacija zaporki

Istovremena promjena Unix i SAMBA zaporke s Windows klijenta

[global]unix password sync=yespassword program=/usr/bin/passwd %npasswd chat=*New*UNIX*password*%n\n \

*Retype*password* %n\n \*passwd:*update*successful*

107 / 156

SambaDijeljeni pisa

Na Unixu mora biti prijavljen kao jednostavan tekstualni pisa!

Provjera da li /dev/lp radi dobro:Na Unix prenesite FTP-om binarno c:\autoexec.bat$ lpr P lp autoexec.bat

S Windowsa:C:> net use lpt9: \\moj_server\lpC:> copy c:\autoexec.bat lpt9:C:> echo ^L > lpt9:

Nakon toga na Windowsima normalno prijavite pisa i instalirajte driver

108 / 156

SambaZakljuak

Nastoji pruiti najbolje iz dva svijeta Na slabijem raunalu prua pouzdane servise Nepotpuna funkcionalnost NT servera

Razlike OS Microsoftovi standardi nisu otvoreni

Samba moe biti PDC, ali ako elite biti 100% sigurni, neka NT server bude Domain kontroler!

Pazite na odnose vlasnitva i Unix/Samba dozvola za direktorije i datoteke!

Ne zaboravite: vidljivost nije isto to i pristup!

109 / 156

SambaLiteratura

Steve Litt Samba UnleashedSAMS 2000

NetBIOS RFC 1001, 1002 Dokumentacija u /usr/doc/samba-x.x.x www.samba.org

110 / 156

Print servisiUnix

Dvije inaice:

BSD koristi lpdpodrava mreni radBSD, Linux, SunOS, Digital Unix

SVR4 koristi lpshedisprva namijenjen lokalnom tiskanjuSolaris, HP-UX

111 / 156

Print servisiBSD

lpd line printing daemon lpr stavlja datoteku u red za ispis lpq izlista queue lprm uklanja datoteke iz liste lpc interaktivno upravljanje

pokree/zaustavlja lpd, status,kontrola liste

lptest ispie standardni test

112 / 156

Print servisi/etc/printcap

Definicije podranih pisaa nizom varijabli: graninik = pridruuje string

lp=/dev/ttyXX lf=log-filesd=spool-direktorij

# pridruuje numeriku vrijednostpw#page-width:pl=page-length (chars)py#page-width:px#page-length (pixels)true/false logika varijablaff:true:

113 / 156

Print servisiVrste pisaa

ASCII PS - PostScript PCL Printer Control Language GDI Windows Printing System

izbjegavati na Unixu, oslanja se na OS i pogonske programe za MS Windows

Da bismo mogli ispisivati ASCII na PS ili PCL itd. potrebni su nam filteri koji rade konverzije

114 / 156

Print servisiFilteri

if=input-filter-name Paket s filterima za razliite pisae:

APS Print Filtersftp://metalab.unc.edu/pub/Linux/system/\printing/aps-499.tgz

Napravite direktorij /usr/local/apsfilter# tar xzvf aps-499.tgz

./SETUP

115 / 156

Print servisiLokalni pisa

cert | Cert-Pr | Unix Cert Lab:\:lp=dev/edc:sd=/var/spool/cert:\:lf=/usr/adm/lpd_errs:\:af=/usr/adm/edcert.acct:\:if=/usr/local/bin/cert:\:pl#64:pw#80:px#300:py#300:\:br#9600:fc#0000010:fs#0000301

116 / 156

Print servisiMreni pisa

wcps | WC-PostScript | WC Machine Room:\:lp=:\:sd=/var/spool/wcps:\:lf=/usr/adm/lpd-errs:\:mx#0:\:rm=wclaser.srce.hr:\:rp=wclaser:

117 / 156

Print servisiSVR4

lpsched / lpshut - pokree/zaustavlja daemona lp / cancel - ispis/zaustavljanje lpstat - status poslova lpmove - preusmjeri ispis na drugi ureaj accept / reject - prihvaanje/odbijanje poslova enable / disable - omogui/zabrani rad pisaa lpadmin - dodavanje i konfiguracija pisaa

118 / 156

Print servisiSolaris

Lp naredba ima dva oblika

Zahtjev za ispislp d dest t title moj_rad.txt

Zahtjev za promjenu opcija ispisalp i reqId hold

119 / 156

Print servisiSolaris (2)

Opcije lp naredbe-d destination, ureaj-n number broj kopija-m mail posao obavljen-o opcije - nobanner,nofilebreak,

length, width-H special handling

hold, resume, immediate-P page list-lpi lines per inch-cpi characters per inch

120 / 156

Print servisiLiteratura

www.uwsg.indiana.edu/edcert/session2/peripheral/printer.html#svr4

Linux Documentation Projectwww.linuxdoc.org/HOWTO/Printing-HOWTO/index.html

121 / 156

Antivirusna zatitaObrana

Priprema (backup i boot diskete) Prevencija (koritenje licenciranog softvera,

prljavi PC, obuka korisnika, GW/firewall) Otkrivanje (antivirusni programi) Izolacija (karantena) Oporavak

- dezinfekcija (ako je mogua)- vraanje izgubljenih podataka

122 / 156

Antivirusna zatitaAntivirusne mjere

Priprema boot disketa za Win95/98 FORMAT A: /S HIMEM.SYS,EMM386.EXE,FDISK.EXE,SYS.COM,

DEBUG.EXE,SMARTDRV.EXE,SCANDISK.EXE,FORMAT.COM

REM AUTOEXEC.BATA:\SMARTDRV.EXESET TEMP=C:\SET TMP=C:\

REM CONFIG.SYSDEVICE=A:\HIMEM.SYSDEVICE=A:\EMM386.EXEDOS=HIGH,UMBFILES=15BUFFERS=4

123 / 156

Antivirusna zatitaAntivirusne mjere (2)

NT 4.0 - Emergency Repair Disk u kombinaciji s instalacijskim disketama

NTFSDOS - pristup NTFS filesistemu iz DOS-a, odnosno DOS boot diskete

NTFS for Windows 98 Freeware verzije daju read-only pristup Komercijalne verzije s punim pristupom

124 / 156

Antivirusna zatitaS|O|P|H|O|S

MZT koristi antivirusni software tvrtke Sophos sav.srce.hr www.qubis.hr www.sophos.com

125 / 156

Antivirusna zatitaInstalacija

Pojedinano na Windows klijente Peer-to-Peer Win95/98 mrea WinNT/2000 server Unix posluitelj (Solaris/Linux) Dokumentacija o instalaciji u .pdf formatu na

sav.srce.hr/Docs/doc.html

126 / 156

Antivirusna zatitaKljune rijei

IDE datoteka s identifikacijom virusa CID Central Instalation Directory SAVAdmin alat za administriranje instalacije

i dogradnje u LAN-u Rollout number redni broj instalacije, slui za

sinkronizaciju CID i radnih stanica SFG file konfiguracijska datoteka Template installation centralno

instaliranje na radne stanice

127 / 156

Antivirusna zatitaRazdioba posla

InterCheck - otkrivanje kod pristupa datoteci- usporava rad

Sweep - na zahtjev ili periodiki Dezinfekcija opcija koju tek treba ukljuiti!

disinfect boot sectordisinfect documentsinfected files: delete, move ...

- za uklanjanje nekih virusa treba skinuti sweba zaseban program i upute

128 / 156

Antivirusna zatitaSkeniranje

Brzo (quick) pregledava samo dijelove datoteka koji su vjerojatno zaraeni

Puno (full) pregledava cijeli sadraj datoteka - dobitak je mali, optereenje veliko

Provjera arhiviranih/komprimiranih datotekaZIP, GZIP, RAR, ARJ, CMZ, TARPklite, LZEXE, Diet

129 / 156

Antivirusna zatitaUnix

Unix moe biti prijenosnik virusa ako je datoteni posluitelj ako je posluitelj E-pote

Unix na PC platformi moe se inficirati virusom koji se naseli u boot sektor! primjer: Virus Michelangelo 6.4. (Michelangelov roendan) pobrie poetne

sektore diska, gdje su vitalni podaci (boot sektor, tabela particija, FAT tablice, direktoriji )

disk ostaje neupotrebljiv bez obzira na OS

130 / 156

Antivirusna zatitaAutorizacija datoteka

InterCheck vodi listu autoriziranih datoteka U trenutku pristupa provjerava listu, po

potrebi alje datoteku na skeniranje Ukoliko je ista, stavlja je u listu Ukoliko je inficirana, izvjetava o virusu i brani

pristup Ako je ukljuena dezinfekcija, dokument ili

boot sektor bit e oieni, datoteka se zatim ponovo skenira i stavlja na listu

131 / 156

Antivirusna zatitaInstalacija

Dodajte korisnika/grupu sweep,ljuska /bin/false dist.tar raspakirajte u /tmp/sweep# tar xvf dist.tar

Sadraj sav-install poddirektorijainstall.shsweep, icheckdlibsavi.so.2.2.03.???Readunix.txt, Install.txticheckd.1, icheck.conf.5, sweep.1vd1.dat

Sauvajte originalni /etc/sav.conf!

132 / 156

Antivirusna zatitaInstalacija (2)

# cd sav-install# ./install.sh

Instalira u /usr/local (bin,man,lib) Dijeljeni direktorij (Samba)/var/spool/intercheck

U njemu su dva poddirektorijachmod 0700 infectedchmod 1777 comms

133 / 156

Antivirusna zatitaInstalacija (3)

Time je instaliran InterCheck Server za centralno skeniranje i izvjetavanje u mrei klijenata koji nisu Unix radne stanice.

Opcije pri instalaciji:-ni instaliraj samo Sweep-idc instaliraj IC za klijente bez diska

Provjerite:je li /usr/local/bin ukljuen u PATHje li /usr/local/man ukljuen u MANPATHje li /usr/local/lib ukljuen u LIBPATH

134 / 156

Antivirusna zatitaInterCheck posluitelj

Pokretanje:# /usr/local/bin/icheckd

Opcije:-d radi kao daemon-nd ne radi kao daemon-c konfiguracijska datoteka-h upute

Zaustavljanje:# icheckd -stop

Konfiguracija u /etc/icheckd.conf

135 / 156

Antivirusna zatitaCentralno izvjetavanje

Na Windows klijente instalirajte SAV: skeniranje se obavlja lokalno, ali izvjetaji se alju InterCheck posluitelju

Pri instalaciji odaberite:- Central Installation- Enable InterCheck Client

136 / 156

Antivirusna zatitaKonfiguracijski program

DOS ICONTROL.EXE

Windows ICW.EXE

Unix lan grupe sweep moe pokrenuti ICONTROL

137 / 156

Antivirusna zatitaMrena instalacija

S Windows klijenata pomou programa Setup:\\Server\INTERCHK\W95inst\Setup -INL -A

pomou programa ICLOGIN:NET USE I: \\Server\INTERCHKI:\ICLOGIN -Aumjesto \\Server upiite ime vaeg posluiteljaumjesto \INTERCHK upiite ime dijeljene mape

138 / 156

Antivirusna zatitaDogradnja

Sophos:(izbriite sve definicije virusa iz CID direktorija)SGET http://www.sophos.com/downloads/ide/ides.zip

Ili napiite skriptu koju e aktvirati E-mail s naslovom:Sophos Anti-Virus IDE alert:

SRCE:wget -m -np -nH --cut-dirs=1 \

http://korisnik:lozinka@sav.srce.hr/Sophos.CD/

(uzima samo promijenjene datoteke)

139 / 156

Antivirusna zatitaAmavis

A Mail Virus Scanner Da bi radio zahtijeva AV software (npr. Sophos),

arhivere (zoo, arc...), GNU file naredbu, dodatne Perl module

/var/spool/mqamavis, dozvole kao za /var/spool/mqueue

Restartajte Sendmail Konfiguracija CARNetova paketa pregledava

dolazeu i odlazeu potu Podeavanje prioriteta (nice)

140 / 156

Antivirusna zatitaLiteratura

Informacije o virusima:www.sophos.comwww.datafellows.com/virus-info/www.securityfocus.comwww.antivirus.com

Popularne zablude o virusima:www.vmyths.com

141 / 156

Baze podatkaRaspoloivi programi

Kriteriji za odabir:- Open source, freeware- Podrka (online dokumentacija, mailing liste,newsgrupe)- Vitalnost (kontinuiran razvoj, ispravke, dogradnje ...)- iroka baza korisnika- Raspoloivost dodatnih alata i aplikacija- Integracija s Apache web serverom

142 / 156

Baze podatakaMySQL

Licenca: GPL OS: MacOS, Windows 95/98/NT/2000,

OS/2, AIX, HP-UX, IRIX, SCO, BSD,Solaris, Linux

www.mysql.com

143 / 156

Baze podatakaPostgres

Objektna relacijska baza podataka Istraivaki projekt sveuilita Berkeley Licenca: BSD OS: MacOS, Win NT/2000, BeOS, BSD,

Linux, AIX, Solaris, SCO, IRIX, HP-UX, Tru64

www.postgresql.org

144 / 156

Baze podatakaSybase

Licenca: komercijalan proizvod besplatna Linux verzija

OS: MacOS, Win NT/2000, BSD, Linux, AIX,Solaris, SCO, IRIX, HP-UX,Tru64

www.sybase.com

145 / 156

Baze podatakaIBM DB/2

Licenca: komercijalan proizvod, ali na Linuxu besplatan za nekomercijalu uporabu

OS: Windows, Linux, Solaris, HP-UX, AIX, OS/2, AS/400, OS/390, Windows CE, Palm

www.ibm.com/linux (slijedite link) iliww.ibm.com/db2/linux

146 / 156

Baze podatakaPHP

Programski jezik integriran u HTML(embedded)

Specijaliziran za rad s bazama podataka Apache modul (mod_php) Dinamike web stranice, korisnik unese

podatke od kojih se generira database querry www.php.org

147 / 156

Baze podatakaMySQL

Zamiljen kao brza baza za male korisnike Podskup SQL standarda Locking na razini tablice (ovisno o OS) Bri pri itanju nego pisanju Brzo i jeftino rjeenje ako:

nema previe podataka mali broj korisnika istovremeno pristupa podacima

148 / 156

Baze podatakaMySQL - instalacija

# tar xzvf mysql-x.xx.x.tgz# cd /usr/local/src/mysql-x.xx.x# ./configure prefix=/usr/local/mysql with-mysqld-

ldflags=-all-static enble-large-files with-charset-croat with-thread-safe-client with-berkeley-db

# make; make install# echo /usr/local/mysql/lib/mysql >> /etc/ld.so.conf# ldconfig# echo /usr/local/mysql/bin/safe_mysqld > /dev/null &

>> /etc/rc.d/rc.local# ln -s /usr/local/mysql/bin/mysql /usr/bin/mysql# ln -s usr/local/mysql/bin/mysqlshow /usr/bin/mysqlshowili# PATH=$PATH:/usr/local/mysql/bin; export PATH

149 / 156

Baze podatakaMySQL - post-instalacija

./scripts/mysql_install_dbcd mysql_installation_directory./bin/safe_mysqld user=mysql &

Time smo kreirali MySQL bazu koja e sadravati korisnike privilegije i testnu bazu, te pokrenuli mysql daemona

Testnu bazu moete kasnije izbrisati:mysqladmin u root drop test

150 / 156

Baze podatakaMySQL - post-instalacija (2)

Ako niste kreirali grant table, pri pokretanju dobijete poruku:# mysqld: Cant find file: host.frm

# BINDIR/mysqladmin versionMysqladmin Ver. 8.14 Distrib 3.23.32, for Linux i586

Server version 3.23.32Protocol version 10Connection Localhost via Unix socketTCP port 3306UNIX socket /tmp/mysql.sockUptime 20 sec

151 / 156

Baze podatakaMySQL - proba

Sputanje daemona# mysqladmin u root shutdown

Pokretanje# safe_mysqld log &

# mysqlshow+-----------+| Databases |+-----------+| mysql |+-----------+

152 / 156

Baze podatakaMySQL - prvi koraci

# mysqlshow mysqlDatabase: mysql+--------------+| Tables |+--------------+| columns_priv || db || func || host || tables.priv || user |+--------------+

153 / 156

Baze podatakaMySQL - vjeba

# mysql h localhost u p # create database CARNET# use CARNET# create table sistemci (id longint autoincrement,ime varchar(30) not null,prezime varchar(30) not null,ustanova varchar(60) ,adresa varchar(69) ,telefon varchar(20) ,email varchar(40) )

154 / 156

Baze podatakaMySQL - vjeba (2)

# show tables# describe sistemci# insert into table sistemci(ime,prezime,ustanova,adresa,telefon,email) values (Pero, Peri, Fakultet za prometne znanosti, Ilica 333, +385 1 3334444, Pero.Peric@fpz.hr )

# select * from sistemci# quit

155 / 156

Baze podatakaMySQL - administriranje korisnika

Dodavanje korisnika> INSERT INTO user VALUES

(localhost,admin,PASSWORD(h0moL2),Y,Y,Y,Y,Y,Y,Y,Y,Y,Y,Y, Y,Y,Y);

> FLUSH PRIVILEGES Dodjela prava> GRANT SELECT,INSERT,UPDATE,DELETE,CREATE,DROP

on sistemci.* to admin@localhost IDENTIFIED BYh0moL2);

Promjena lozinke> INSERT INTO user (Host,User,Password) VALUES

(localhost,admin,PASSWORD(h0moL2));

156 / 156

Baze podatakaLiteratura

www.php.net www.mysql.com www.linuxplanet.com/linuxplanet/tutorials/1046/1/

(kako napraviti Web site zasnovan na MySQL-u) www.weberdev.com (primjeri koda) www.wernhart.priv.at/php (primjeri MySQL+PHP) www.ca.postgresql.org/idocs/ www.sqlcourse.com (online prirunik)