Unix Pt.1

in german language/auf deutsch
Post Reply
User avatar
bad_brain
Site Owner
Site Owner
Posts: 11598
Joined: 06 Apr 2005, 16:00
16
Location: The zone.
Contact:

Unix Pt.1

Post by bad_brain »

TCP/IP Konfigurations-Dateien (im Verzeichnis etc)
hosts: liefert dem TCP/IP die Adressauflösung von Hostnamen in IPs
ethers: IP-Adressen werden Hardware-Adressen zugeordnet, liefert auch Infos über den RARP-Daemon.
networks: IPs der entfernten Netzwerke (Internet)
protocols: liefert Liste mit den bekannten DARPA Internet-Protokollen (nicht ändern!)
services: hier werden die Dienste die für den Host zur Verfügung stehen konfiguriert (z.B. ftp,telnet), Protokollnummern beziehen sich auf die Datei protocols, zum deaktivieren eines Services einfach die Zeile mit # in Kommentar umwandeln.
inetd.conf: zuständig für den Start der Daemonen bei eingehenden Verbindungsanforderungen

Netzwerk-Zugriffsdateien
hosts.equiv: eingetragene Hostnamen können Fernzugriff ohne Passwort(!!) erlangen (Host-Äquivalenz,vertraute Hosts), login erfolgt durch rlogin <name des Rechners>, jedoch hat auf dem Zielrechner nicht einmal der root Zugriff auf die Konten der Remote-User.
.rhosts:Zur Sicherheit wird für jeden Remote-User eine .rhosts-Datei im Stammverzeichnis des Users erstellt, nur der Besitzer hat Schreibzugriff. Dem Hostnamen wird hier noch der/die Nutzernamen zugeordnet und somit der Zugriff (Zahlenmässig) beschränkt.

TCP/IP Verwaltungsbefehle
ping: sendet unter Verwendung des Internet Control Message Protocols (ICMP) ein Datenpaket zu einem anderen Host.
Der ICMP-Befehl lautet ECHO_REQUEST, der angepingte Host antwortet mit ECHO_REPLY.
rwho: Listet die User auf die gerade den Server benutzen> Hostname,Anschlussname,Anmeldezeit/Datum
ruptime: Zeigt des Status des Rechners im Netzwerk an, hierzu wird rwhod-Daemon abgefragt welcher Infos zum Staus des Hosts sammelt.
ifconfig: hier wird die Netzwerkschnittstelle(n) beim Systemstart konfiguriert>Netzwerk-IP, Broadcast-Adresse,Netzmaske, Betriebszustand der Schnittstelle.
finger: gibt Infos über die aktuellen Benutzer im Netzwerk>Anmeldename, Terminalname, Terminal, Zeit im Leerlauf, Terminal Schreibstatus, Standort des Büros, Telefonnummer. (zusätzliche Infos werden durch Verwendung von finger Nutzername zum User angezeigt.
netstat: zeigt Netzwerkstatus an (Hostnamen anstatt IPs)
netstat -r zeigt Routingtabelle an.
netstat -m zeigt Speicherbelegung des Netzwerks an.
netstat -s zeigt Statistik zu den verwendeten Protokollen an.

traceroute: checkt die Route welche ein Paket nehmen würde um einen entfernten Host zu erreichen, dies hilft bei der Einschätzung der Übertragungsdauer der Daten.
arp: zeigt die entsprechende Hardware-Adresse für einen Hostname oder IP an.
arp -a zeigt die ARP-Tabelle an.
arp -s anlegen/ändern der Einträge in der Tabelle.
Eindringling könnte Tabelle ändern um Adressen umzuleiten!!
dig: holt Infos von den Nameservern.

TCP/IP-Benutzerbefehle (Befehle mit "r" am Anfang werden als Berkeley r-Befehle zusammengefasst)
rlogin: zum einloggen eines Remote-Users in den entfernten Rechner, Syntax: rlogin <Name des entfernten Hosts>, zum abmelden wird .~ verwendet.
rcp: Dateien von einem Host zu einem anderen kopieren, Syntax: rcp <lokale Datei> <Name des entfernten Hosts:Dateiname>
rsh,rcmd,remsh: ausführen von Befehlen auf dem entfernten Host
rsh: rsh <-1 Benutzername> <-n> Hostname <Befehl> //-n leitet Eingabe in das Verzeichnis /dev/null um.
telnet: ähnelt rlogin, jedoch keine Host-Äquivalenz oder Konto auf dem entfernten Rechner nötig
ftp: zur Dateiübertragung,Syntax: ftp>open xxx.xxx.xxx.xxx>Anmeldung, Anmeldenamen und Passwort für jeden einzelnen ftp-user sind in der Datei .netrc im Stammverzeichnis jedes Users gespeichert.



UUCP (Unix to Unix copy) <ist ein Stapelbearbeitungs-Dienstprogramm
uucp: Kopiert Dateien von Quelle zum Ziel
uux: ermöglicht Aufruf von Befehl auf Remote-System, Ausgabe wird in temporärer Datei gesammelt und per uucp in das Verzeichnis LOGIN des Users übertragen.
uuto: überträgt lokale Datei in das öffentliche Verzeichnis des Remote-Users und informiert den Empfänger per email.
Durch die Ausführung jedes uucp-Befehls entsteht eine Auftragsdatei im Verzeichnis /usr/spool/uucp/sysname, anschliessend ruft das Programm uucico das Fernsystem auf und überträgt die Dateien nachdem es sich beim Fernsystem angemeldet hat. Danach werden die Abläufe im Fernsystem durch uuxqt beendet.
Für uucp muss die sogenannte "BANG-Adressierung verwendet werden:
cgeorg!nrex!jrifkind!/tmp/transfer
Leitet Datei vom Computer cgeorg an nrex und dort an Benutzer jrifkind als Datei /tmp/transfer weiter.
uucp kennt keine Domainnamen oder Internetadressen!

Basic Networking Utilities (BNU) <neue uucp-Version, auch bez. als HDB (HoneyDanBer) UUCP
Verzeichnisse von BNU uucp:
/usr/bin
/usr/lib/uucp
/usr/spool/uucp
Zum Einrichten müssen diese Konfigurations-Dateien modifiziert werden:
-Geräte
Hier sind die Geräte angegeben die zum Einrichten der uucp-Verbindung verfügbar sind.
Name:Name oder Art des Gerätes. Jedes Feld muss einen Wert oder einen Bindestrich als Platzhalter enthalten. Im Feld „Name“ muss der Name oder die Art des Gerätes stehen, ist die Art des Gerätes angegeben sind die erlaubten Werte ACU (Automatic Call Unit=Modem), sysname (Verbindung zu einem bestimmten System) oder Direct (Direkte Verbindung zum Fernsystem). Das Feld „Wählport“ ist optional, es wird verwendet wenn die Art des Gerätes ACU ist und der Dialer als Bell 801 Dialer angegeben ist. Wenn das Modem einen eingebauten Dialer hat muss man einen Bindestrich angeben. Im Feld „Geschwindigkeit“ werden die Werte angegeben mit denen eine Verbindung zustande kommen können, dies kann ein einzelner Wert, mehrere Werte durch Bindestriche getrennt oder „any“ sein was bedeutet dass die Geschwindigkeit jede in der Datei „systeme“ angegebene Geschwindigkeit sein kann.
Das Feld „Dialer-Token-Paare“ gibt das Wählprogramm an das mit einem bestimmten Modem-Dialer verwendet werden muss.
-Systeme
Enthält die Namen der UUCP-Systeme die für eine Verbindung mit dem Computer in einem UUCP-Netzwerk zur Verfügung stehen. Es ist nicht nötig hier Computer einzutragen die unter Verwendung einer anonymen UUCP-Verbindung mit dem Rechner Kontakt aufnehmen können. Jeder Eintrag besteht aus 6 Feldern:
- system_name: Namen der Ferncomputer, die ersten 7 Zeichen müssen bereits den eindeutigen Namen ergeben, da UUCP-System-Namen auf 7 Zeichen beschränkt sind.
-zeitplan: enthält die Uhrzeit und Datum wann das System verfügbar sein soll, es gibt ausserdem ein Unterfeld in dem die Dauer der Verbindungs-Bereitschaft festgelegt werden kann. „any“=immer.
-name: Name des Gerätes, hier sind nur die Einträge im Feld „name“ der Datei „geräte“ gültig.
-geschwindigkeit: hier wird die Übertragungsgeschwindigkeit für die Verbindung mit dem angegeben System festgelegt (in Baud).
-telefon_nummer: Hier wird die Nummer festgelegt die das Modem wählen soll, sie kann auch englische Wörterwählcodes enthalten die in der Datei „Wählcodes“ aufgeführt sind, UUCP wnadelt dann die Wörterwählcodes in numerische Codes um.
-anmeldescript: legt die Anmeldesequenz fest mit der auf das Fernsystem zugegriffen werden soll
-Berechtigungen
Hier werden die Berechtigungen für die Fernsysteme gesteuert, jedes Fernsystem erhält eine Feldergruppe. Es MUSS entweder LOGNAME oder MACHINE festgelegt werden, LOGNAME legt die Anmelde-ID für das zugreifende Fernsystem fest, MACHINE gibt Bedingungen an unter denen ein Fernsystem zugreifen darf. Es müssen 5 Standardfelder ausgefüllt werden:
-READ legt die Verzeichnisse fest aus denen UUCP lesen darf, default ist /usr/spool/uucppublic
-WRITE hier dürfen Daten abgelegt werden, default ist /usr/uucp/uucppublic
-REQUEST legt fest ob das Fernsystem UUCP-Übertragungen vom lokalen Rechner ausführen darf, erlaubte Werte sind „yes“ oder „no“.
-SENDFILES legt fest ob das aufgerufene System während der Sitzung lokale Aufträge ausführen darf, erlaubte Werte sind „yes“, „no“ oder „call“.
-COMMANDS legt fest welche Befehle das Fernsystem auf dem lokalen Rechner ausführen darf.

Anmeldesequenz (Datei L.sys in UUCP 2.0)
Diese Anmeldesequenz wird auch Chatscript genannt und macht es Hackern schwerer.
Die Anmeldesequenz wird in der Datei „systeme“ als letzter Eintrag für ein bestimmtes System erstellt.
Man benötigt UUCP-Anmeldenamen und Passwort die für den Zugriff auf das Fernsystem nötig sind.
Mit dem Befehl „cu“ nimmt man dann mit dem Fernsystem auf. Mit diesem Befehl kann man auch herausfinden was für das Chat-Script festgelegt werden muss. Mit diesen Informationen kann man dann das Script erstellen, jedes erwartet/senden-Paar wird durch eine Leerstelle getrennt.

Beispiel:

“ “-BREAK-login:uucp word:frog

Die doppelen Anführungszeichen zeigen an dass auf dem Fernsystem keine Eingabeaufforderung vorhanden ist. „-BREAK-ogin:“ bedeutet dass ein BREAK-Signal gesendet wird und die Eingabe von „ogin:“ erwartet wird.
Dämonen
Kennzeichen eines Dämons ist dass das Programm nicht der Terminalsitzung eines Benutzers zugeordnet werden darf und dass es auch dann aktiv bleibt wenn der Nutzer sich abmeldet.
Weiteres Merkmal ist dass der Dämon inaktiv ist und nur dann aktiv wird wenn er gebraucht und aufgerufen wird.
Beim Aufruf der Prozessliste mit ps erkennt man einen Dämonen daran dass in der TT-Spalte anstelle des Namens des steuernden Terminals ein“?“ steht.
-slinkd: stellt Komponenten bereit mit denen die STREAMS-Module für jedes Netzwerkgerät im System die für STREAMS-TCP/IP benötigt werden verknüpft werden. Ein STREAM-Modul enthält die Arbeitschritte die für die im Datenstrom fliessenden Daten ausgeführt werden sollen.
Ein Datenstrom ist ein bidirektionaler Datenübertragungs- und Verarbeitungspfad zwischen einem STREAMS-TCP/IP-Treiber im Betriebssystemkern-Speicherbereich und einem Verarbeitungsvorgang im Benutzerspeicherbereich. Konfig-Datei: ect/strcf STREAMS-TCP/IP gibt es nur bei Ableitungen von Unix System V.
-idsocketd: Initisalisiert die Netzwerk-Kompatibilitäts-Schnittstelle für System V STREAMS-TCP/IP Berkeley, auch nur bei System V bekannt, BSD-basierte Unix-Formen verwenden kein STREAMS-basiertes TCP/IP
-cpd: Copyright-Manager der sicherstellt dass alle Geräte im lokalen Netzwerk eindeutige Seriennummern haben. cpd gibt es nur in den SCO (Santa Cruz Operation)-Versionen von TCP/IP. Wenn Datagramme von einem Fernsystem empfangen werden überprüft der Dämon cpd ob sie eine eindeutige Seriennummer haben, ist dies nicht der Fall erzeugt der cpd-Dämon eine Warnmeldung.
-lpd: Der lpd-Drucker-Dämon bestätigt eingehende Druckaufträge an einen bestimmten TCP/IP-Port, danach reiht er diese in eine Warteschlange ein von der aus sie auf dem lokalen oder einem fernsystem ausgedruckt werden. Der lpd-Dämon wird beim Booten ausgeführt und wird auch als Spoolsbereich-Manager bezeichnet.
-rarpd: Antwortet auf Anfragen des Reverse Adress Resolution Protocols, indem er die IP-Adresse für eine angegebene Ethernet-Adresse bereitstellt (Hardware-Adresse). Zur beantwortung dieser Anfragen verwendet der rarpd-dämon die Informationen aus den Dateien hosts und ethers, dieser Dämon wird normalerweise beim Booten ausgeführt.

-bootpd: Bootet ein System auf Anfrage, wenn eine Anfrage eingeht startet der Superserver inetd den Dämon bootpd. Um Systemressourcen zu schonen wird der Dämon abgeschaltet wenn innerhalb von 15 Minuten nach einer Bootanfrage keine neue Anfrage eingeht. Der bootpd-Dämon stellt Informationen für den Client bereit:
-Client IP-Adresse
-Broadcastadresse
-Domain-Server Adresse
-Router Adresse
-routed: verwaltet die Internet-Routingtabellen. Er enthält die aktuellen Einträge in den Betriebssystemkern-Routingtabellen und stellt Routing-Dienste für Routing-Datenpakete bereit. Wenn es sich bei dem Host um einen Verbundnetzwerk-Router handelt sendet der Dämon routed in bestimmten Abständen Kopien der Routingtabellen an alle direkt angeschlossenen Hosts und Netzwerke. Er verwaltet auch das dynamische Routing, wenn sich eine Route ändert informiert er die angeschlossenen Hosts.
-named: Domänen-Namensservice, Internet Domain Name Service (DNS). Seine Hauptaufgabe ist die Auflösung des Hostnames in die IP-Adresse durchzuführen, Syntax: nslookup suck-o.com
Wenn die Datei hosts nicht verwendet wird und der DNS-Service konfiguriert ist fordert das System den DNS auf die IP-Adresse für den Host bereitzustellen. Enthält der abgefragte DNS nicht die gewünschte Information fragt er andere DNS-Server ab bis er die gesuchte Adresse enthält.
Wird durch dig oder host ersetzt in neueren Versionen.
-syslogd: Trägt System-Meldungen in Protokolldateien ein welche in der syslogd-Konfigurationsdatei syslog.conf festgelegt sind. Der syslogd-Dämon empfängt z.B. Authentifizierungfehler, von Dämonen hervorgerufene Fehler, eingehende ftp-Verbindungen, Status- und Debug-Meldungen, dies erleichtert das Auffinden von Sicherheitsproblemen.
-inetd: Internet-Superserver, erkennt eingehende Verbindungsanfragen welche an mehrere TCP/IP-Ports gerichtet sind. Wenn die Anfrage eingeht aktiviert inetd den geeigneten Dämon. Dadurch werden System-Ressourcen geschont, weil der Dämon nur aktiviert wird man er gerbraucht wird. Wird die Verbindung beendet wird auch der entsprechende Dämon gestoppt.
Dämonen welche mit inetd aktiviert werden:
-fingerd
-ftpd
-rexecd
-rlogind
inetd kann jedoch nicht für Dämonen wie named, routed, sendmail, rwhod, RFS-und NFS-Server verwendet werden.
-rwhod: Verwaltet eine Datenbank mit dem Status verschiedener Systeme im Netzwerk und sendet den Host-Status. Zum aktualisieren der Datenbank verwendet rwhod Meldungen die von den anderen Systemen gesendet werden. Die Datenbank rwhod stellt Informationen für die Befehle rwho und ruptime zur Verfügung, welche verwendet werden den Status eines Computers im lokalen Netzwerk und die aktuellen Benutzer auf jedem Server anzuzeigen.


Ein Unix-System kann eine Reihe von Betriebssystem-Dämonen haben, z.B.
-init
-Swapper
-Update und Bdflush
-Cron
-Syslog
-Sendmail
-Inetd
-Routed
-Nfsd
-lpd
-lpsched
-Cpd und Sco-cpd
-Getty
-Rlogind
-Deliver
-lockd, bzw. Rpc.lockd
-mountd
-Pcnfsd
-Statd, bzw. Rpc.statd


-initd: dies ist der übergeordnete Prozess für alle Prozesse, er wird normalerweise verwendet um das System zu booten.
-swapperd: jeder Arbeitsvorgang im Betriebssystem benötigt Speicher, dieser wird von swapperd verwaltet, er teilt ein wann die verschiedenen Arbeitsvorgänge im System Speicher benutzen.
-updated oder bdflushed: leert den Festplattenpufferspeicher alle 30 Sekunden, ausserdem aktualisieren diese Dämonen im Falle eines Systemabsturzes das Dateisystem.
-lpd: Druckaufträge werden vom lpd-Dämon an einen angegebenen Drucker weitergeleitet, er erkennt und bestätigt TCP/IP-Verbindungen um Druckanfragen weiterzuleiten. Er verwendet das LPD-Protokoll um Aufträge zu bestätigen und an den jeweils angeforderten Drucker weiterzuleiten.
-lpsched: Die System V-Version des Drucker Spoolers, er führt die selben Aufgaben aus wie lpd, allerdings ohne das LPD-Protokoll direkt zu verwenden.
-cpd, bzw. sco_cpd: Die Copyright-Manager für SCO-Produkte, sie sorgen dafür dass alle Produkte im lokalen Netzwerk eine eindeutige Seriennummer haben.
-crond: Erstellt die Datei crontab, in der Aufträge (Befehle) festgelegt sind welche zu einer bestimmten Zeit oder in bestimmten Abständen ausgeführt werden sollen. Der Dämon crond ist der automatische Auftragsplaner und führt geplante Aufträge zur festgelegten zeit aus.
-syslogd: Registriert Systemmeldungen, wie z.B. Fehlermeldungen, Verwendung des Befehl su (root-Rechte), verweigerte Zugriffe und eingehende ftp-Verbindungsanfragen. Diese werden in verschiedene Logs geschrieben. Der Dämon syslogd wird von syslog.conf gesteuert. Ob die Meldungen an einen User weitergeleitet wird hängt von der Priorität der Meldung ab und von welchem System sie erzeugt wurde.
-sendmaild: Empfängt eingehende email-Verbindungen und Meldungen für lokale- und Fern-Benutzer an welche er sie weiterleitet. Ausserdem nimmt der sendmaild-Dämon TCP/IP-Verbindungen an Port 25 an.
-gettyd: Verfügt über eine Anmeldeaufforderung für Terminals und serielle Geräte, und ist ausserdem für die Anmeldeaufforderung auf der konsole zuständig.
-rlogind: Für den Nutzerbefehl rlogin (Fernanmeldung) gibt es in Form des rlogind-Dämons das Gegenstück auf dem Server. Er enthält die Funktion für die Fernanmeldung bei dem die Authentifizierung über privilegierte Ports und Hostname/Benutzername-Paare erfolgt. Bei einer rlogin-Anfrage von einem entfernten Host startet der Superserver inetd den rlogind-Dämonen auf dem in der Datei services spezifizierten Port.
-deliverd: Verwaltet die Verteilung der gesamten elektronischen Post mit dem Mailsystem MMDF (Multiple Memo Distribution Facility). Er unterhält ausserdem einen Cache-Speicher mit Host-Informationen, dadurch kann die elektronische Post zurückgehalten werden bis der Zielhost verfügbar ist.
-inetd: Der Internet-Superserver-Dämon inetd erkennt Verbindungsanfragen an den verschiedenen Ports und aktiviert dann den geeigneten Server(Dämon).
-nfsd: Aktiviert den Network File System-Server (NFS), durch NFS können Systeme Netzwerkressourcen gemeinsam nutzen. Er bietet für Benutzeranwendungen einen Zugangspunkt für einen betriebssystemkernbasierten NFS-Server.
-mountd: Ist ein RPC-Server (Remote Procedure Call) welcher Dateisystem-Aktivierungsanfragen bearbeitet. Um Aktivierungsanfragen zu bearbeiten verwendet der Server Informationen aus der Datei /etc/exports, hier wird bestimmt welche Dateisysteme welchen Benutzern und Systemen zur Verfügung stehen. Er verfügt auch über Informationen über Clients mit aktivierten Dateisystemen, diese können mit dem Befehl showmount ausgedruckt werden.
-pcnfsd: Ein RPC-Server welcher von PC-basierten NFS-Clients benutzt wird. Für PCs auf denen NFS-Client-Software installiert ist bietet er im Netzwerk eine Authentifizierung durch Name/Passwort, und ermöglicht ausserdem Drucker-Spooling.
-statd, bzw. rpc.statd: Sind RPC-Server welche als Netzwerk-Statusüberwachung fungieren, sie setzen den Dämonen lockd von Systemabstürzen und anschliessenden Systemwiederherstellungen in Kenntnis.
-lockd: Bearbeitet Sperranfragen welche entweder vom Betriebssystemkern oder vom lockd-Dämon des entfernten Clients gesendet werden. Sperranfragen für Ferndaten die sich auf einem NFS-Servers eines Servers befinden werden zum lockd-Dämon der Servers weitergeleitet. Die Antwort auf eine Sperranfrage wird erst dann zum Betriebssystemkern weitergeleitet wenn die Dämonen status und lockd des Servers geantwortet haben. lockd fordert daraufhin die Dämonen für die Statusanzeige statd, bzw. rpc.statd auf die gesperrten Daten während eines Systemabsturzes und der darauf folgenden Systemwiederherstellung zu überwachen. Danach informiert statd, bzw rpc.statd den Dämonen lockd darüber wann diese Ereignisse stattfanden.

Post Reply