Топалов
.pdffind список_каталогів [ключі].
Служить для пошуку файлів з відомим ім'ям і/або іншими атрибутами в дереві файлової системи.
Заданий каталог або декілька каталогів визначають частини файлової системи, в яких ведеться пошук. виконується перегляд підкаталогів усіх рівнів, починаючи із заданого каталога. Ключі визначають умови пошуку файлів і дії зі знайденими файлами. Деякі ключі подані в таблиці. Якщо задано більше за одну умову, перевіряється істинність усіх (кон'юнкція). На відміну від більшості інших команд, ключі задаються не однією буквою, а цілим словом.
-name ім'я_файла.
Істина, якщо ім'я файла (без шляху) співпадає із заданим.
-perm 8-сімкове_число.
Істина, якщо права доступу співпадають із заданими (см chmod)
-atime число_днів.
Істина, якщо до файла були звернення за останні дні.
-mtime число_днів.
Істина, якщо файл був змінений за останні дні.
-newer файл.
Істина, якщо файл «новіший», ніж вказаний файл, тобто був змінений пізніше.
-type символ.
Істина для усіх файлів вказаного типу (f - звичайний файл, d - каталог, b - блоковий пристрій, c - символьний пристрій, p - іменований канал, s - символічний зв'язок).
-user ім'я_користув.
Істина, якщо ім'я власника співпадає із заданим.
-group ім'я_групи.
Істина, якщо ім'я групи-власника співпадає із заданим.
-print.
Не перевіряє ніяких умов, а лише вказує, що треба видати на стандартний вивід повні імена знайдених файлів.
mkdir [ключі] каталог.
Створює каталог із вказаним ім'ям. Якщо ключі не задані, то вимагається, щоб вже існував батьківський каталог. При заданому ключі - p команда може створити відразу декілька вкладених каталогів.
61
rmdir [ключі] список_каталогів.
Видаляє перераховані каталоги. Каталог, що видаляється, має бути порожнім. При заданому ключі - p команда також видалятиме батьківські каталоги, якщо вони стають порожні.
Для видалення не порожнього каталогу разом з його файлами можна використовувати команду rm - r.
cat список_файлів.
Читає файли-параметри і копіює їх вміст на стандартний вивід. Якщо параметри не задані, просто передає стандартне введення на стандартний вивід.
4.6. Команди управління процесами
sleep час.
Виконує затримку на вказане число секунд. Час можна також вказати в хвилинах, записавши після числа суфікс m, в годиннику (суфікс h) або в днях (суфікс d).
logout.
Завершує виконання shell, запущеного при вході користувача, тобто виконує вихід користувача з системи.
exit [код_завершення].
Викликає завершення виконання скрипта і повертає заданий код завершення. Якщо код не заданий, повертає код завершення останньої команди перед exit. Якщо команда exit введена в інтерактивному режимі, вона завершує виконання shell, що, звичайно, означає вихід користувача з системи.
wait [процес / завдання].
В якості параметра може бути вказаний або числовий ідентифікатор процесу, або специфікація завдання.
Команда викликає очікування завершення вказаного процесу або усіх процесів вказаного завдання. Якщо параметр не заданий, shell чекає завершення усіх породжених процесів.
kill [- s сигнал] [процес / завдання].
Посилає вказаний сигнал процесу або завданню. Сигнал може бути заданий або його номером, або ім'ям (наприклад, SIGKILL - завершити процес). Список імен сигналів можна отримати по команді kill - l. Якщо сигнал не заданий, то за умовчанням посилається SIGTERM, який також завершує процес, проте, на відміну від SIGKILL, може бути проігнорований процесом.
В якості одержувача сигналу може бути вказаний або числовий ідентифікатор процесу, або специфікація завдання (см п.0).
62
jobs [ключі] [специфікація].
Видає список усіх завдань, що як призупинених, так і виконуються у фоновому режимі. Знаком + в списку виділяється поточне завдання (останнє із запущених або призупинених), знаком - - попереднє завдання. Якщо вказана специфікація завдання, видає інформацію тільки про це завдання. З ключем - l включає у видачу ідентифікатори процесів.
bg [специфікація] Продовжує виконання вказаного завдання у фоновому режимі.
fg [специфікація].
Продовжує виконання вказаного завдання в режимі переднього плану. Ім'я команди bg може бути опущене, досить задати тільки специфікацію завдання.
true - Повертає код завершення 0 («істина»). Як правило, використовується в конструкціях вигляду «while true; do ... ; done»
false - Повертає код завершення 1 («брехня»).
eval [рядок].
Виконує усі покладені підстановки в рядку-аргументі (підстановку змінних, заміну за шаблонами, розкриття лапок та ін.), після чого виконує рядок, що вийшов, як команду. Кодом завершення eval буде код завершення виконаної команди. Таким чином, команда eval дозволяє динамічно формувати як ім'я команди, що підлягає виконанню, так і її параметри і ключі.
Якщо рядок-аргумент не заданий або при підстановках дає порожнє значення, то eval повертає код завершеня 0.
Виконання цих команд можливе через табличний інтерфейс програми
Midnight Commander (MC).
4.7.Текстовий двохпанельний файловий менеджер Midnight
Commander
Midnight Commander (MC) – текстовий двохпанельний файловий менеджер для UNIX/Linux. MC підтримує усі основні операції з файлами: копіювання, переміщення, архівація, зміна прав доступу, створення посилань, каталогів і інші. MC може працювати з файлами на видалених системах за допомогою FTP
іSSH.
УMidnight Commander вбудований текстовий редактор файлів з підсвічуванням синтаксису. Midnight Commander один із самих популярних файлових менеджерів під UNIX/Linux [2].
63
Рисунок 4.1 – Midnight Commander (MC)
За замовчуванням відображаються дві панелі каталога зі списками файлів. Ще один корисний режим – це коли праве вікно відображає інформацію про режим доступу до файла і ін. Далі описано декілька важливих клавішних комбінацій. З демоном gpm можна також використовувати мишу.
У MC використовуються клавіші клавіатури: вверх, низ, ліво, право, Виконати (Enter), від F1 до F10 для швидкого виконання команд нижнього меню (рис. 4.1). Escape послідовностями для функціональних клавіш є послідовності terminfo від kf1 до kf10. Якщо термінал не підтримує функціональні клавіші, то цього ж результату можна добитися шляхом натиснення Escape, а потім цифрової клавіші від 1 до 9 і 0 (аналогічно натисненню клавіш від F1 до F9 і F10 відповідно).
Меню File містить наступні команди (у дужках дані функціональні клавіші, що відповідають їм) :
Довідка (F1). Викликає вбудований гіпертекстовий редактор допомоги. Натиснення клавіші Tab призводить до вибору наступного посилання, а Enter - до переходу по цьому посиланню. Клавіші Space і Backspace дозволяють переміщатися вперед і назад. Для отримання довідки по використовуваних клавішах, натисніть F1 ще раз.
Меню (F2). Викликає меню користувача. Воно дозволяє створювати і додавати додаткові функції.
64
Перегляд (F3, Shift - F3). Показує поточний файл. За замовчуванням ця команда викликає внутрішній редактор файлів. Якщо опція "Use internal view" не встановлена, то викликається зовнішній редактор, вказаний в змінній PAGER. Якщо ця змінна не визначена, то викликається команда "view". При натисненні Shift - F3, редактор буде викликаний без форматування і попередньої обробки файла.
Перенаправлення перегляду (A -!). Ця функція просить команду з параметрами (аргумент до поточного вибраного файла) і результат перенаправляється у вбудований редактор файлів.
Редагування (F4). Звичайно, ця команда викликає редактор "vi" або будьякий інший, вказаний в змінній оболонці EDITOR.
Копіювання (F5). Видає діалогове вікно з каталогом призначення, яким за замовчуванням приймається каталог неактивної панелі, і копіює виділений файл або групу помічених файлів у каталог, вказаний в цьому вікні. Копіювання можна перервати у будь-який момент, натиснувши C - c або Escape. Для детальної інформації по установці маски копійованих файлів, (як правило, * або ^\(.*\)$, залежно від установки опції використання шаблонів оболонки) і можливих шаблонів каталога призначення, див. команду копіювання/перейменування за маскою.
Link (C - x l). Створення жорсткого посилання до поточного файла.
SymLink (C - x s). Створення символічного посилання до поточного файла. Для тих, хто не знає, що таке посилання : створення жорсткого посилання до файла, це щось подібне до копіювання файла, при цьому отриманий файл є відображенням оригіналу. Наприклад, якщо відредагувати один з цих файлів, то зміниться вміст обох файлів. Жорстке посилання проявляється як реальний файл. Після її створення неможливо визначити де сам файл, а де посилання. Якщо видалити один з цих файлів, то інший залишиться цілим. Користуйтеся жорсткими посиланнями якщо для вас це не має значення. Символічне посилання – це посилання на ім'я файла-оригінала. Якщо цей файл видалити, то посилання стане порожнє. У MC файл відзначається символом "@", якщо він є символічним посиланням ( на відміну від каталогів, які відзначаються знаком "~" (тильда). Файл, на який вказує посилання, відображається в рядку міністатусу (якщо опція Show mini - status встановлена). Користуйтеся символічними посиланнями, якщо хочете уникнути неприємностей, пов'язаних з жорсткими посиланнями.
Перейменування-переміщення (F6). Видає діалогове вікно з каталогом призначення, яким за замовчуванням приймається каталог неактивної панелі, і переміщає виділений файл або групу помічених файлів у каталог, вказаний в цьому вікні. Переміщення можна перервати у будь-який момент, натиснувши C
- c або Escape.
Створити Каталог (F7). Видає діалогове вікно із запитом на назву каталога і створює каталог із вказаним ім'ям.
65
Видалення (F8). Видаляє поточний файл або групу помічених файлів з активної панелі. Видалення можна перервати натиснувши C - c або Escape.
Швидка зміна каталога (A - c) цю команду, звичайно, застосовують у разі, коли є необхідність в швидкій зміні каталога при заповненому командному рядку.
Помітити групу (+). Ця функція використовується для позначки групи файлів. Після натиснення клавіші '+' з'явиться запит для регулярного вираження, що описує групу файлів, що позначаються. Якщо встановлена опція використання шаблонів оболонки, то регулярне вираження повинне відповідати стандарту оболонки (тобто '*' використовується для вказівки нуля або більше за символи і '?' - для одного символу). Якщо ж ця опція не встановлена, то при позначці файлів використовуються стандартні регулярні вирази (див. ed (1)).
Для позначки каталогів, замість файлів, вираження повинне починатися або закінчуватися символом '/'.
Зняття позначки групи (\). Використовується для зняття позначки групи файлів. Її призначення назад команді позначки файлів.
Вихід (F10, Shift - F10). Завершує роботу MC. При виході за допомогою Shift - F10 поточним стає каталог, з якого був запущений MC, а не останній робочий каталог.
Швидка зміна каталога. Ця команда використовується у разі, якщо у вас заповнений командний рядок і вимагається змінити каталог без втрати даних в ньому. Він просить назву каталога, в який треба перейти. Тут слід вводити те, що вводять після команди cd в командному рядку.
4.8. Висновки
У даному розділі розглянуто основні команди операційних систем UNIX/Linux. Як для роботи з файлами, файловими системами, каталогами, процесами і так інше. Що дозволяє мати первинні навики роботи у операційних си-
стемах UNIX/Linux.
Подано текстовий двопанельний файловий менеджер (МС), який дозволяє більш наглядно та простіше виконати деякі команді, ніж з командного рядка. Це дозволяє більш наглядно та швидше виконувати команди у середовищі операційних систем UNIX/Linux.
Список посилань
1.Дж. Морис Архитектура операционной системы UNIX // Prentice-Hall. – 1995.
– 387 с.
2.Ф. Торчинский Практическое пособие администратора Unix // Символ-Плюс.
– 2003. – 352 с.
66
Розділ5
СТЕК ПРОТОКОЛІВ БЕЗПЕКИ ДАНИХ IPSEC (IP SECURITY)
5.1. Створення захищених мереж VPN за допомогою IPSec
Для підтримки VPN використовують набір протоколів IPSec, що є на сьогодні промисловим стандартом забезпечення широких можливостей VPN. IPSec пропонує механізм захищеної передачі даних в IP-мережах, забезпечуючи конфіденційність, цілісність і достовірність даних, які передаються через незахищені мережі типу Internet. IPSec забезпечує наступні можливості VPN:
конфіденційність даних. Відправник даних IPSec має можливість шифрувати пакети перед тим, як передавати їх мережею;
цілісність даних. Одержувач даних IPSec має можливість автентифікувати протилежні сторони (пристрої або програмне забезпечення, у яких починаються і закінчуються тунелі IPSec), що сполучаються з ними, і пакети IPSec, що посилаються цими сторонами, аби бути упевненим у тому, що дані не були змінені в дорозі;
автентифікація джерела даних. Одержувач даних IPSec має можливість автентифікувати джерело, яке отримує пакети IPSec. Цей сервіс залежить від сервісу цілісності даних;
захист від відтворення. Одержувач даних IPSec може виявляти і відкидати відтворені пакети, не допускаючи їх фальсифікації і проведення атак здійснених посередником.
IPSec є заснованим на стандартах набором протоколів і алгоритмів захисту. Технологія IPSec і пов'язані з нею протоколи захисту відповідають відкритим стандартам, які підтримуються групою IETF (Internet Engineering Task Force – проблемна група проектування Internet) і описані в специфікаціях RFC (Request for Comments – запит коментарів) і проектах IETF. IPSec діє на мережному рівні, забезпечуючи захист і автентифікацію пакетів IP, що пересилаються між пристроями (сторонами) IPSec, – такими як маршрутизатори, брандмауери, клієнти і концентратори VPN, а також багато інших продуктів, що підтримують IPSec. Засоби підтримки IPSec допускають масштабування від найменших до дуже великих мереж.
67
5.2. Асоціація захисту
IPSec пропонує стандартний спосіб автентифікації і шифрування між сторонами IPSec, що з’єднуються. Аби забезпечити захист зв'язків, засоби IPSec використовують стандартні алгоритми (тобто математичні формули) шифрування і автентифікації, що називаються перетвореннями. В IPSec використовуються відкриті стандарти узгодження ключів шифрування і управління з'єднаннями, що забезпечує можливість взаємодії між сторонами. Технологія IPSec пропонує методи, що дозволяють сторонам IPSec "домовитися" про узгоджене використання сервісів. Аби вказати параметри, що узгоджуються, в IPSec використовуються асоціації захисту.
SA (Security Association – асоціація захисту) є узгодженою політикою або способом обробки даних, обмін якими передбачається між двома пристроями сторін, які передають один одному дані. Однією із складових такої політики може бути алгоритм, використовуваний для шифрування даних. Обидві сторони можуть використовувати один і той же алгоритм, як для шифрування, так і для дешифрування.
Параметри SA, що діють, зберігаються в SAD (Security Association Database – база даних асоціацій захисту) обох сторін.
Кожна асоціація захисту складається з таких значень, як, наприклад, адреси одержувача, індекс SPI (Security Parameter Index – індекс параметрів захисту), перетворення IPSec для даного сеансу, ключі захисту і додаткові атрибути максимального часу існування зв'язку IPSec. Конфігурація параметрів асоціації захисту вибирається системним адміністратором, ці параметри узгоджуються у швидкому режимі другої фази IKE і зберігаються в базі даних асоціацій захисту.
Протокол IKE (Internet Кеу Exchange – обмін Internet-Ключами) є гібрид-
ним протоколом, що забезпечує спеціальний сервіс для IPSec, а саме автентифікацію сторін IPSec, узгодження параметрів асоціацій захисту IKE і IPSec, а також вибір ключів для алгоритмів шифрування, використовуваних у рамках
IPSec. Протокол IKE спирається на протоколи ISAKMP (Internet Security Association and Кеу Management Protocol – протокол управління асоціаціями і ключами захисту в мережі Internet) і Oakley (The OAKLEY Кеу Determination
Protocol– перевірка аутентичності ключа), які застосовуються для управління процесом створення і обробки ключів шифрування, використовуваних у перетвореннях IPSec. Протокол IKE застосовується також для формування асоціацій захисту між потенційними сторонами IPSec.
Як IKE, так і IPSec використовують асоціації захисту, щоб вказати параметри зв'язку.
5.3. Режими IPSec
IPSec діє або в тунельному, або в транспортному режимі.
68
На рис. 2.1 показана схема реалізації тунельного режиму. У цьому режимі вся вихідна дейтаграма IP шифрується і стає корисним вантажем у новому пакеті IP з новим заголовком IP і додатковим заголовком IPSec (на рис. 2.1 заголовок позначений абревіатурою HDR(header)). Тунельний режим дозволяє мережному пристрою (наприклад, брандмауеру PIX Firewall) виступати в ролі шлюзу IPSec або проксі-сервера, що виконує шифрування для хостів, розміщених за брандмауером. Маршрутизатор джерела шифрує пакет і передає його по тунелю IPSec. Брандмауер PIX Firewall адресата дешифрує отриманий пакет IPSec, витягує вихідну дейтаграму IP і передає її системі адресата. Головна перевага тунельного режиму полягає в тому, що не потрібно модифікувати кінцеві системи, аби забезпечити їм можливість використання IPSec. Тунельний режим також не дозволяє противникові аналізувати потік даних. При обміні в тунельному режимі противник має можливість визначити лише кінцеві точки тунелю, але не дійсного джерела і адресата пакетів, що проходять через тунель, навіть якщо кінцеві точки тунелю знаходяться якраз у системах джерела і адресата.
|
|
|
|
|
|
|
|
|
|
|
IP |
Дані |
|
||
|
|
|
заголовок |
|
|||
|
|
|
|
|
|
||
Тунельний режим |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
Новий IP |
IPSec |
|
IP |
|
Дані |
|
|
заголовок |
заголовок |
|
заголовок |
|
|
||
|
|
|
|
||||
|
|
|
|
|
|
|
|
Шифрується
Рисунок 5.1 – Пакети тунельного режиму
Схема на рис. 5.2 ілюструє транспортний режим. Тут шифрується лише корисний вантаж IP, а вихідний заголовок IP залишається незайманим. Додається заголовок IPSec. Перевагою цього режиму є додавання лише декількох байтів до кожного пакета. Крім того, пристрої відкритої мережі можуть бачити дійсні адреси відправника і одержувача пакета. Це дозволяє використовувати спеціальні можливості проміжних мереж (наприклад, гарантована якість сервісу), засновані на інформації в заголовку IP. Проте, заголовок 4-го рівня шифрується, що обмежує можливості аналізу пакета. На жаль, передача заголовка IP у відкритому вигляді в транспортному режимі дозволяє порушникові до певної міри виконати аналіз потоку даних. Наприклад, порушник може з'ясувати, скільки пакетів було передано сторонами IPSec, що діють у транспортному режимі. Але порушник може дізнатися лише про те, що пакети IP пересилалися. Він не зможе визначити, чи були вони повідомленням електронної пошти або якимсь іншим застосуванням, якщо використовувався протокол ESP.
69
IP Дані заголовок
Транспортний режим
IPSec
IP заголовок Дані заголовок
Шифрується
Рисунок 5.2 – Транспортний режим
5.4. Принцип роботи IPSec
IPSec спирається на ряд технологічних рішень і методів шифрування, але дію IPSec загалом можна подати у вигляді наступних головних кроків (рис. 5.3).
Початок процесу IPSec. Тип трафіка, який повинен захищатися засобами IPSec, визначається в рамках політики захисту для VPN. Потім ця політика реалізується у вигляді команд конфігурації інтерфейсів пристроїв кожної сторони IPSec. Для визначення трафіка, який потрібно шифрувати, використовують списки доступу. Списки доступу реалізують політику шифрування.
Коли трафік, який підлягає шифруванню генерується клієнтом IPSec або проходить через нього, клієнт ініціює наступний крок процесу, починаючи першу фазу IKE.
Перша фаза IKE. Головною метою обміну даними, що відбувається в першій фазі IKE, є автентифікація сторін IPSec і створення захищеного каналу між сторонами, що дозволяє почати обмін IKE. У ході першої фази IKE виконуються наступні дії:
ведуться переговори про узгодження політики асоціацій захисту IKE між сторонами, аби забезпечити захист обміну IKE. Асоціація захисту IKE отримує узгоджені параметри IKE і є двосторонньою;
виконується автентифікований обмін Діффі-Хеллмана.
виконується автентифікація і забезпечується захист сторін IPSec;
встановлюється захищений тунель для ведення переговорів про параметри другої фази IKE.
Для першої фази IKE допустимі два режими: основний і енергійний: 1) основний режим першої фази IKE
У цьому режимі виконуються три двосторонні обміни між ініціатором і кореспондентом:
у ході першого обміну алгоритми, використовувані для захисту зв'язку IKE, узгоджуються до тих пір, поки не буде досягнута відповідність для всіх асоціацій захисту IKE сторін, що повідомляються;
у процесі іншого обміну виконується алгоритм Діффі-Хеллмана, для узгодження спільного секретного матеріалу, на основі якого створюються спі-
70