1.     Цель работы

Вспомнить основные команды UNIX. Научиться управлять правами доступа и учетными записями пользователей. Научиться устанавливать сервер NFS. Познакомится с основными механизмами администрирования серверов и клиентов NFS.

2.     Методические указания

Лабораторная работа направлена на изучение механизмов управления правами доступа и учетными записями пользователей, а так же основных механизмов администрирования серверов и клиентов NFS.

Требования к результатам выполнения лабораторного практикума:

1. при выполнении задания необходимо сопровождать все проделанные действия скриншотами и описаниями к ним
2. также необходимо придерживаться строгой последовательности действий, при выполнении заданий
3. сделать небольшие выводы по каждой части лабораторной работы
4. особо обратить внимание:

-       на факт установки NFS сервера

-       на то, что ресурсы были открыты для общего доступа

-       на факт разделения прав доступа и ресурсов для разных пользователей

-       на работу суперпользователей в среде NFS

5. Привести протокол доступа

-       сделать анализ протокола, указав доступность ресурсов различными пользователями

При составлении и оформлении отчета следует придерживаться рекомендаций, представленных на странице http://unesco.kemsu.ru/student/rule/rule.html.

3.     Теоретический материал

Команда справки man

Для получения справки по той или иной команде воспользуйтесь командой man. В ответ открывается несколько, сменяющих друг друга экранов описание нужной команды. Если не помните точно имени нужной команды, введите команду man с параметром -k, затем ключевое слово для поиска нужной команды. Система выполнит поиск в своих файлах справки, содержащей это ключевое слово.

Например, если ввести команду man ls, выведется на экран справка о команде Is, в том числе обо всех ее параметрах. По команде man -k ls выводится список всех команд, в справке, о которых есть слово ls.

Смена текущего каталога с помощью команды cd

В Unix, как и в DOS, файлы хранятся в каталогах, организованных в древовидные структуры. Файл можно указывать в виде пути из корневого каталога, обозначаемого символом /, до файла. Таким образом, полное имя конфигурационного файла .emacs, при­надлежащего пользователю jack, может иметь вид /home/ jack/.emacs.

В Unix есть понятие рабочего каталога пользователя. Рабочий каталог обычно обозначается символом ~ (тильда). Например, команда копирования файла из текущего каталога в рабочий может иметь вид ср .emacs ~

Для перемещения по дереву каталогов Unix применяется команда cd. Для перехода в рабочий каталог эта команда вводится без параметров. Для перехода из одного каталога в другой формат команды тот же, что и DOS: cd new-directory, где new-directory — новый каталог, в который следует перейти.

Вывод информации о файлах и каталогах с помощью команды ls

ls — сокращение от list (список). В Unix по этой команде на экран выводится список файлов. Это аналог команды dir из DOS для вывода списка файлов в каталоге.

Чтобы указать, как именно выводить список файлов, каких файлов и с какой информацией о файлах, придется ввести команду ls с параметрами. Чаще всего применяется параметр -lа, по которому выводится полная информация о каждом файле каталога. По команде ls -la выводится подробная информация о файлах текущего каталога. По команде Is emacs выводится только имя этого файла, по команде же Is -la emacs — полная информация о нем.

Создание каталога с помощью команды mkdir

Поскольку структура каталогов составляет основу файловой системы, в Unix имеется также команда создания каталога mkdir. В отличие от DOS, где можно воспользоваться псевдонимом данной команды MD, в Unix надо вводить ее полное имя. В качестве пара­метра указывается имя создаваемого каталога, как в следующем примере: mkdir backup

Удаление каталогов с помощью команды rmdir

Каталоги в Linux удаляются с помощью команды rmdir, в качестве параметра которой указывается удаляемый каталог. Unix может удалить только пустой каталог. Например, если в каталоге /backup есть два подкаталога, команда rmdir /backup выполнена не будет. Чтобы удалить один из подкаталогов — /jack, — сначала по команде rmdir /backup/jack/* из него удаляются все файлы, затем с помощью команды rmdir /backup/jack — он сам.

Создание файлов с помощью команды touch

Синтаксис команды:  touch new-filename

где new-filename — создаваемый файл

Копирование файлов с помощью команды ср

Команда ср аналогична команде copy из DOS. Она применяется для копирования одного или нескольких файлов из одного каталога в другой.

Синтаксис команды:  ср from-filename to-filename

где from-filename — исходный файл; to-filename — файл, в который происходит копирование.

Чтобы команда была выполнена, надо указать оба параметра. Чтобы скопировать файл с тем же именем в качестве второго параметра, ставится точка (.).

По команде ср fredl fredl.old создается резервная копия файла fredl с именем fredl.old. По команде же ср ~fredl.old /backup/jack файл fredl. old копируется из рабочего каталога в каталог /backup/jack. Рабочий каталог представлен символом ~.

Перемещение файлов с помощью команды mv

По команде mv, аналогичной команде move из DOS, файлы перемещаются из одного каталога в другой. Действие этой команды аналогично действию команды копирования с последующим удалением исходных файлов. Команда mv не создает копий файлов.

Синтаксис команды mv:   mv from-filename to-filename

где from-filename — исходный файл; to-filename — новый файл.

По команде mv fredl |redl.old создается резервная копия файла fredl с именем fredl.old, затем удаляется исходный файл |redl. По команде же mv -fredl.old /backup/jack файл fredl.old перемещается из рабочего ката-уга в каталог /backup/jack.

Удаление файлов с помощью команды rm

Файлы в Unix удаляются по команде rm. Это опасная команда, потому что удаленный файл восстановить невозможно. Для безопасной работы следует пользоваться следующим форматом этой команды:  rm -i filename

здесь filename — имя удаляемого файла; -i — параметр, указывающий на необходимость подтвердить удаление файла.

Например, по команде rm fredl файл fredl будет просто удален, по команде же rm -i il он будет удален только после подтверждения пользователем необходимости удаления.

Вывод содержимого файла с помощью команды more

По команде more на экран выводится содержимое текстового файла, при этом нет необходимости запускать текстовый редактор, распечатывать файл или нажимать клавишу паузы во время вывода текста на экран. Например, для вывода на экран содержимого конфигурационного файла emacs вводится команда:  more .emacs

Недостаток этой команды в том, что невозможно пролистать информацию в обратном направлении. Но, этот недостаток устранен в других командах, которые мы рассмотрим ниже.

Команда поиска файлов find

Если вы не можете найти требуемый файл с помощью команды ls, воспользуйтесь командой find.

Если вы знаете имя файла, но не знаете, где он находится в структуре каталогов UNIX, то самым простым способом использования команды find для поиска такого файла будет команда: find / -name filename -print

Будьте осторожными при поиске от корня — в больших системах такой поиск может занять слишком много времени, так как будет просматриваться каждый каталог, каждый диск, включая подключенные сетевые диски.

Возможно, более приемлемым будет поиск по нескольким каталогам. Например, если вы знаете, что файл, вероятнее всего, находится в каталогах /usr или /usr2, воспользуйтесь следующей командой:  find /usr /usr2 -name filename -print

В команде find можно использовать множество различных параметров. Список параметров команды можно получить с помощью man find .

 Управление правами доступа

Для файла  и каталога операционной системы UNIX назначаются 3 уровня полномочий доступа, предназначенных для управления доступом со стороны владельца данного файла, его группы или всех остальных пользователей.

Для отображения полномочий применяется команда ls –la.

Для  управления доступом к файлам и каталогам следует использовать следующие команды:

-       chmod – изменяет полномочия доступа к файлу

-       chown - изменяет принадлежность файла

-       chgrp – изменяет группу, владеющую файлом

 Управление пользователями

Команды управления учетными записями:

-       useradd - добавляет новую учетную запись пользователя

-       usermod – модифицирует учетную запись пользователя

-       userdel – удаляет учетную запись пользователя

-       groupadd – добавляет новую группу

-       groupdel – удаляет группу

-       groupmod – модифицирует группу

 Администрирование серверов и клиентов NFS

Среда NFS

Операционная система Solaris 9 предоставляет NFS (Network File System), чтобы разделять данные между системами через сетевое оборудование.

Серверы NFS разделяют ресурсы, чтобы они могли быть использованы клиентами NFS.

Операционная среда Solaris позволяет разделять каталоги и представлять их пользователям таким образом, как если бы эти каталоги были локальными на системах пользователей. Однако системный администратор должен обеспечить, чтобы только авторизованные пользователи имели бы доступ к совместно используемым ресурсам некоторого сервера.

Служба NFS позволяет компьютерам с различной архитектурой, работающим под управлением различных операционных систем, совместно использовать файловые системы через сеть.

Точно так же, как команда mount позволяет монтировать файловую систему на локальном диске, NFS позволяет монтировать файловую систему, находящуюся на Другой системе в любом месте сети.

Каждая ОС применяет модель NFS к семантике собственной файловой системы.

Операции над файловой системой, такие как чтение и запись, выполняются так же, как если бы это были операции доступа к какому-нибудь локальному файлу. Время реакции в данном случае может быть более медленным из-за сетевого трафика, однако соединение является прозрачным для пользователя вне зависимости от аппаратных средств или операционной системы.

Служба NFS обеспечивает следующие преимущества:

-       Позволяет нескольким компьютерам использовать одни и те же файлы таким образом, чтобы любой пользователь сети мог бы получить доступ к одним и тем же данным. Это исключает необходимость хранения одинаковых данных на нескольких системах.

-       Уменьшает затраты на хранение информации за счет того, что компьютеры получают возможность совместного использования приложений и данных.

-       Обеспечивает целостность и достоверность данных, поскольку все пользователи могут читать один и тот же набор файлов.

-       Делает процесс монтирования файловых систем прозрачным для пользователей.

-       Делает доступ к дистанционным файлам прозрачным для пользователей.

-       Поддержка гетерогенной среды.

Серверы и клиенты NFS

В среде NFS системы поддерживают взаимоотношения по модели "клиент-сервер". Сервер NFS — это то место, где размещается конкретная файловая система. Любая система, имеющая какую-нибудь локальную файловую систему, может быть сервером NFS.

Системный администратор конфигурирует сервер NFS таким образом, чтобы сделать его файловые системы доступными другим системам и пользователям.

Системный администратор имеет полный контроль над тем, какие файловые системы могут быть смонтированы и кто может монтировать их.

Клиент NFS - это система, монтирующая какую-нибудь дистанционную файловую систему с некоторого сервера NFS.

Одна и та же система может быть как сервером, так и клиентом NFS.

Демоны службы NFS

Для обращения к своим службам NFS использует несколько демонов. Эти службы инициализируются при запуске из стартовых сценариев /etc/initd/nfs.server и /etc/init.d/ nfs.clients. Наиболее важные перечислены в таблице:

Таблица  SEQ Таблица \* ARABIC 1. Демоны службы NFS

Установка NFS

Серверы предоставляют другим системам доступ к размещенным на них файловым системам посредством разделения этих файловых систем через среду NFS. Совместно используемая файловая система в данном случае называется разделяемым ресурсом.

Определение, какие именно файловые системы будут разделяться, производится путем ввода соответствующей информации в файл, называемый /etc/dfs/dfstab. Объекты указанного файла разделяются автоматически всякий раз, когда вы запускаете команду данного сервера NFS. Если необходимо постоянное разделение одного и того же набора файловых систем, то необходимо установить их автоматическое разделение.

В  файле /etc/dfs/dfstab перечисляются все файловые системы, которые сервер NFS разделяет между его клиентами. Этот файл также управляет тем, какие клиенты могут монтировать некоторую файловую систему. Если вы хотите модифицировать файл /etc/dfs/dfstab для того, чтобы добавить или удалить какую-нибудь файловую систему, или для того, чтобы изменить способ разделения, отредактируйте данный файл. В следующий раз на уровне запуска 3 система считает обновленный файл /etc/dfs/dfstab, чтобы определить, какие именно файловые системы должны быть автоматически разделяемыми.

Каждая строка в файле /etc/dfs/dfstab содержит команду share, как показано в следующем примере:     more /etc/dfs/dfstab

Система отображает содержимое файла /etc/dfs/dfstab:

Команда /usr/sbin/share экспортирует некоторый ресурс или делает его доступным для монтирования. Команда share, будучи выдана без аргументов, отображает список всех разделяемых, или совместно используемых, файловых систем. Команда share  может быть запущена из командной строки для получения тех же самых результатов, что и при использовании файла /etc/dfs/dfstab, однако этим методом следует пользоваться только для целей тестирования.

Синтаксис команды share выглядит следующим образом: 

share -F <FSType> -o <options> -d <description> <pathname>

где аргумент <pathname> - это имя той файловой системы, которая будет разделяема.

Ниже приведена таблица с основными опциями команды share

Таблица  2. Основные опции команды share

Для совместного использования какой-нибудь файловой системы в режиме только для чтения всякий раз, когда начиная с запуска данной системы, следует добавить приведенную строку в файл /etc/dfs/dfstab:  share  -F nfs  -о rо /data

После редактирования файла /etc/dfs/dfstab перезапустите данный сервер NFS либо путем собственно его перезапуска, либо ввода следующей командной строки:  /etc/init.d/nfs.server  start

Необходимо запустить сценарий nfs.server только после того, как вы создали первый элемент в файле /etc/dfs/dfstab. Это обусловлено тем, что при запуске системы, когда она входит в уровень запуска 3, демоны mountd и nfsd не запускаются, если файл /etc/dfs/dfstab пуст.

После того как вы создали начальный элемент в файле /etc/dfs/dfstab и запустили сценарий nfs.server, уже можно модифицировать файл /etc/dfs/dfstab без перезапуска указанных демонов. Просто выполняется команда shareall, после чего все новые элементы из файла /etc/dfs/dfstab становятся разделяемыми.

После того как имеется, по крайней мере, один элемент в файле /etc/dfs/dfstab и запущены демоны mountd и nfsd, можно сделать разделяемыми дополнительные файловые системы путем выдачи команды share непосредственно из командной строки. Следует, однако, иметь в виду, что если не добавлен соответствующий элемент в файл /etc/dfs/dfstab, то данная файловая система не станет автоматически разделяемой в следующий раз после перезапуска системы.

Команда dfshares отображает информацию о разделяемых ресурсах, доступных на данном хосте с некоторого сервера NFS. Синтаксис команды dfshares выглядит следующим образом: dfshares <servername>

Можно просмотреть разделяемые файловые системы на некотором дистанционном сервере NFS с помощью команды dfshares, как показано ниже:  dfshares apollo

Если аргумент servername не задан, то отображаются все ресурсы, разделяемые в данный момент времени на этом хосте сети. Еще одним местом, где можно найти информацию о разделяемых ресурсах, является файл /etc/dfs/sharetab данного сервера. Этот файл содержит перечень ресурсов, разделяемых в данный момент времени.

Защита информации от несанкционированного доступа в среде NFS

При использовании служб NFS необходимо побеспокоиться о защите информации от несанкционированного доступа. Когда выдается команда share, то с любой системы через сеть можно получить доступ к данной файловой системе. Весьма полезно указывать более конкретно, кто именно может монтировать данную файловую систему. Приведенные ниже примеры демонстрируют, как установить разделение ресурса с ограничением хостов, которые могут монтировать данный разделяемый ресурс:        share -F nfs -о ro=apollo:neptune:zeus /data

Файловая система, которая называется /data, совместно используется перечисленными клиентами только для чтения. Никакие другие системы не смогут получить доступ к /data. Другой возможный метод заключается в совместном использовании некоторыми хостами какой-нибудь файловой системы только для чтения, а другими хостами в режиме чтения-записи. Чтобы добиться такого результата, воспользуйтесь следующей командой: 

share -F nfs -о ro=apollo rw=neptune:zeus /data

В приведенном примере apollo разрешен доступ только для чтения, а системам neptune и zeus - в режиме чтения-записи.

Следующий пример определяет, что доступ с привилегиями суперпользователя предоставляется клиенту по имени zeus. Суперпользователь, который регистрируется на любой другой системе, распознается только как nobody и имеет ограниченные права доступа:

share -F nfs -о root=zeus  /data

Для удаления какой-нибудь совместно используемой файловой системы выполните на данном сервере команду unshare:  unshare /data

Файловая система /data более не является разделяемой, или совместно используемой. Можно проверить это, выдав команду share без опций:  share

Система отвечает следующим образом:  -  /home rо,апоп=0   "   "

Теперь только /home остается разделяемой файловой системой.

Монтирование дистанционной файловой системы

Синтаксис команды mount для монтирования файловых систем NFS выглядит следующим образом:

mount -F nfs <options><-о specific_options > <-0> <server>: <filesystem> <mount_point>

В приведенном примере аргумент server представляет собой имя сервера NFS, на котором находится данная файловая система, аргумент filesystem - это имя разделяемой файловой системы на сервере NFS, а mount_point - локальный каталог, служащий в качестве точки монтирования.

Таблица  3. Опции команды mount для среды NFS

Для просмотра ресурсов, которые могут быть смонтированы на локальной или дистанционной системе, применяется команда dfmounts:

dfmounts <servername>

Включение протоколирования сервера NFS

Для включения протоколирования сервера NFS необходимо выполнить следующие операции:

1.     В качестве суперпользователя установите возможность совместного использования файловой системы NFS, для чего выполняется следующая команда:

         share  -F nfs  -о ro,log=global <file system name>

Необходимо добавить данную строку к файлу /etc/dfs/dfstab, для того, чтобы она оказывала действие всякий раз при выполнении загрузки данного сервера.

2.     Если демон nfslogd еще не запущен, стартуйте его с помощью следующей команды:

         /usr/lib/nfs/nfslogd

Можно изменить установки в конфигурационном файле протоколирования сервера NFS, который называется /etc/nfs/nfslog.conf. Этот файл определяет маршрут, имена файлов и тип протоколирования, который будет использоваться демоном nfslogd. Каждое определение ассоциируется с каким-нибудь тегом. Тег global определяет значения по умолчанию, однако можно создать новые теги и задать их для каждой файловой системы, которую используете совместно. Операции NFS, которые будут протоколироваться демоном nfslogd, определяются в конфигурационном файле /etc/default/nfslogd.

4.     Порядок выполнения работы

1.     Изучить предлагаемый теоретический материал.

2.     Вспомните основные команды UNIX: создайте файлы, каталоги, учетные записи пользователей, назначьте права доступа на файлы и каталоги.

3.     Установка сервера NFS

При выполнении настоящего упражнения вам предстоит работать в парах по 2 компьютера – сначала один выступает в качестве сервера, а второй - клиента, затем наоборот.

Необходимо установить сервер NFS для организации совместного использования содержимого каталога /usr/share/man только для чтения.

3.1.                    Создайте следующий элемент в файле /etc/dfs/dfstab:

                   share  -F nfs  -о rо  /usr/share/man

3.2.                    Перезапустите сценарий /etc/init.d/nfs.server для запуска демонов nfsd и mountd:

                   /etc/init.d/nfs.server  start

3.3.                    Убедитесь, что оба указанных демона теперь выполняются, для чего введите следующую командную строку:

                   ps  -ef   | grep nfs

3.4.                    Убедитесь, что данный ресурс теперь доступен для совместного использования, для чего введите следующую команду: share

Система должна ответить следующим образом:

                   -  /usr/share/man rо   "   "

3.5.                    В системе клиента NFS переименуйте каталог /usr/share/man таким образом, чтобы страницы руководства более не были доступны, для чего введите следующие команды:

                   cd /usr/share

                   mv man man.bkup

3.6.                    Убедитесь в том, что страницы руководства более не доступны:

3.7.                    Создайте новый каталог man, который будет использоваться в качестве точки монтирования:

                  mkdir man

3.8.                    Убедитесь в том, что вы можете видеть разделяемый ресурс на сервере NFS:

                  dfshares <ip nfs_server> 

                   Система должна ответить сообщением, подобным следующему:

3.9.                    Смонтируйте каталог /usr/share/man, который располагается на сервере NFS, в каталог, который вы создали на предыдущем этапе, для чего введите следующую командную строку:

         mount <ip nfs_server>:/usr/share/man /usr/share/man

3.10.               Теперь проверьте еще раз, доступны ли страницы руководства:

3.11.               Проверьте список смонтированных ресурсов, предоставляемых данным сервером, для чего введите следующую командную строку:

                   dfmounts <nfs server name>

Система отображает подобную информацию:

3.12.               Демонтируйте каталог на системе клиента NFS:

                   umountall 

3.13.               Убедитесь в том, что данная файловая система более не является смонтированной, для чего введите следующую команду:

                   dfmounts <ip nfs_server>                      

3.14.               На системе сервера NFS отмените совместное использование каталога /usr/share/man:

                   unshare  /usr/share/man

3.15.               На системе клиента NFS попытайтесь смонтировать каталог /usr/share/man с данного сервера NFS:

                   mount <ip nfs_server>:/usr/share/man    /usr/share/man

Сервер на этот раз не должен разрешить вам монтирование этого каталога.

3.16.               Проверьте разделяемые ресурсы на данном сервере NFS, для чего введите следующую командную строку:

                   dfshares <ip nfs_ server>

Эта файловая система больше не может быть смонтирована, поскольку она уже не является разделяемым ресурсом.

4.     Работа в среде NFS

4.1.                    Включите протоколирование сервера NFS

4.2.                    Установите для совместного использования различные каталоги с опциями «только для чтения» и «чтения-записи» с ограничением доступа

4.3.                    Установите различный доступ с различных хостов

4.4.                    Настройте доступ суперпользователя.

5.     Содержание отчета

В отчете следует указать:

-       Цель работы

-       Введение

-       Программно-аппаратные средства, используемые при выполнении работы.

-       Основную часть (описание самой работы), выполненную согласно требованиям к результатам выполнения лабораторного практикума.

-       Заключение (выводы)

-       Список используемой литературы

6.     Литература:

1.Ф.И.Торчинский Организация UNIX-систем и ОС Solaris 9, 2005. -  www.intuit.ru/department/os/ossolaris

2.Ф.И.Торчинский Администрирование ОС Solaris 9, 2005. -  www.intuit.ru/department/os/adminsolaris

3. Г.В. Курячий Операционная система UNIX, 2004. - //www.intuit.ru/department/os/osunix

4. SA-239. Основы системного администрирования ОС Solaris 9