Администрирование в среде unix/linux
После того как физическая сеть собрана, администратор должен собственноручно назначить на каждой машине адреса интерфейсам. Обычно это делается с консоли того компьютера, который настраивается для работы в сети. Существует возможность динамической настройки с одного рабочего места всех машин сети. Однако, кроме явных преимуществ, к такого подхода есть срытые недостатки. Главный из них – это учёт статистики работы с каждой из машин системы. При динамическом назначении адресов машина может в разное время получать разные адреса, что не позволяет по адресу проидентифицировать машину. Многие же системы анализа трафика основываются на том, что соответствие между адресом и компьютером неизменно. Именно на этом принципе построены многие системы защиты от несанкционированного доступа.
Другой причиной, заставляющей жёстко назначать адреса компьютерам сети, является необходимость организации информационных сервисов на серверах сети. TCP/IP не имеет механизма оповещения рабочих мест о месте нахождения сервиса. Широковещание вообще не очень распространено в сетях TCP/IP, в отличие от сетей Novell или Microsoft. Каждый хост знает о наличии того или иного сервиса из файла своей настройки (например, указываются шлюз в другие сети или сервер доменных имен), или из файлов настроек прикладного ПО. Так, например, сервер WWW не посылает никакого широковещательного сообщения о том, что он установлен на данном компьютере в данной сети. Преимущество такого подхода заключается в низком трафике, порождаемом сетью TCP/IP. Этот трафик иногда значительно отличается, например, от трафика Novell. Кроме этого практически любое оборудование позволяет фильтровать трафик TCP/IP, что сильно облегчает сегментацию сети и делает её легко структурируемой. Для монтирования удалённой файловой системы нет необходимости в использовать межсетевой протокол для доставки протоколов локальной сети, так как стек TCP/IP сам реализует этот межсетевой обмен.
В рамках организации сети TCP/IP уделяется внимание организации удалённых рабочих мест программистов и других сотрудников, использующих электронную связь для оперативного обмена информацией, доступа к информационным ресурсам, обмена электронной почтой и др. Организовать такие рабочие места в рамках сетей TCP/IP можно без особых проблем.
Подключение локальной сети TCP/IP к Интернет осуществляется через местного провайдера. Обычно это та же организация, у которой был получен блок адресов для локальной сети.
Назначение и функционирование брандмауэра
При всех достоинствах сети TCP/IP имеют один врожденный недостаток – в них отсутствуют встроенные способы защиты информации от несанкционированного доступа, поскольку информация при способе доступа – удалённый терминал – передаётся по сети открыто. Это означает, что кто-то может найти способ просмотреть передаваемые по сети пакеты, а значит получить коллекцию идентификаторов и паролей пользователей TCP/IP сети. Способов совершить подобные действия множество. Сходные проблемы возникают при организации доступа к архивам FTP и серверам WWW. Поэтому одним из основных принципов администрирования TCP/IP сетей является выработка общей политики безопасности: администратор определяет правила типа “кто, куда и откуда имеет право использовать те или иные информационные ресурсы”.
Эти проблемы в сетях обычно решаются путём установления специальных защитных программных и программно-технических средств – брандмауэров (FireWall – межсетевых фильтров, “стен”).
Управление безопасностью начинается с управления таблицей маршрутов. При статическом администрировании маршрутов включение и удаление последних производится вручную, в случае динамической маршрутизации эту работу выполняют программы поддержки динамической маршрутизации. Следующий этап – управление системой доменных имен, определение разрешений на копирование описания домена и контроля запросов на получение IP-адресов. Следующий барьер – системы фильтрации TCP/IP трафика. Наиболее распространённым средством такой борьбы являются системы FireWall. Используя эти программы можно определить номер протокола и номер порта, по которым можно принимать пакеты с определённых адресов и отправлять пакеты на определённые адреса. Наконец, последнее средство защиты – шифрация трафика. Для этой цели используется различное программное обеспечение, разработанное для организации защищённого обмена через общественные сети.
Unix и Linux. Руководство системного администратора.
Новое издание всемирно известной книги «Unix и Linux: руководство системного администратора» признанных авторитетов в области системного администрирования систем UNIX и Linux содержит точную и полную информацию о практически всех аспектах. Ясно и просто излагая важные факты, авторы сопровождают их реальными примерами. Справочник отличается от предыдущих изданий тем, что в нем рассмотрены современные версии систем UNIX и Linux — Solaris, HP-UX, AIX, Ubuntu Linux, openSUSE и Red Hat Enterprise Linux. Особое внимание авторы уделили администрированию сетей под управлением систем UNIX и Linux. Данное издание, появившееся в год, когда исполняется 20 лет со дня появления мирового бестселлера по системному администрированию UNIX, стало еще лучше благодаря описанию распространенных вариантов системы Linux: Ubuntu, openSUSE и RHEL. Системное администрирование в книге рассматривается с практической точки зрения. Она представляет собой бесценный справочник как для начинающих администраторов, так и для опытных профессионалов. В ней подробно описываются эффективные методы работы и рассматриваются все аспекты системного администрирования, включая: управление памятью, проектирование и управление сетями, электронную почту, веб-хостинг, создание сценариев, управление конфигурациями программного обеспечения, анализ производительности, взаимодействие с системой Windows, виртуализацию, DNS, безопасность, управление провайдерами IT-услуг и многое другое. В данной книге отражены текущие версии следующих операционных систем: Ubuntu Linux, openSUSE Linux, Red Hat Enterprise Linux, Oracle America SolarisTM (бывший Sun Solaris), HP HP-UX, IBM AIX. Книга будет чрезвычайно полезной всем системным администраторам, а также пользователям систем UNIX и Linux, студентам, преподавателям и специалистам по сетевым технологиям.
Sysadminium
Это первый урок большого курса по администрированию Linux серверов. В этой статье рассмотрим общие принципы администрирования серверов Linux.
Что такое Linux сервера
В этом цикле статей мы будем учится администрировать операционные системы на базе ядра Linux, а именно GNU/Linux системы.
GNU/Linux — это тип операционной системы на базе ядра Linux и других программ. Существует много разных Linux систем. Все они используют одно и тоже ядро, но каждый дистрибутив имеет свои особенности. В этом курсе будем изучать особенности Debian 11 и Ubuntu 22.04.
Linux — это ядро системы, оно отвечает за взаимодействие с железом, распределение ресурсов и подобные низкоуровневые задачи.
Система состоит не только из ядра, другая часть системы состоит из программ, многие из которых написаны проектом GNU или для проекта GNU. Поэтому такой тип операционных систем называют «GNU/Linux«.
Существуют операционные системы на базе ядра Linux, которые не являются GNU/Linux, например Android. Компания Google модифицировала ядро Linux, а поверх ядра создало виртуальное окружение ART. Собственно в виртуальной среде происходит вся работа Android. Поэтому Android систему можно называть ART/Linux.
Зачем нужны сервера
Понятие «Сервер» имеет множество определений, смотря с какой стороны посмотреть. В этом курсе сервером я называю компьютер на котором работают серверные приложения, которые получают запросы от клиентских приложений и выполняют какие-то действия.
Серверных приложений много и решать они могут разные задачи, например:
- файловый сервер — хранит файлы пользователей и позволяет по сети получать доступ к этим файлам;
- почтовый сервер — позволяет отправлять и принимать почту, а также хранит её. Обычно в качестве клиентских программ выступают почтовые клиенты, например Outlook, Thunderbird и другие;
- веб сервер — хранит сайты и позволяет просматривать их с помощью веб браузеров;
- сервер IP Телефонии — позволяет организовать офисную телефонию, а в качестве клиентов выступают IP телефоны;
- 1Ссервер — позволяет работать клиентским приложениям 1С. А сам этот сервер работает с сервером баз данных для хранения там своих баз;
- сервер баз данных — служит для хранения баз данных. Такие сервера могут понадобятся, например web-сайтам или серверу 1С;
- существует еще много разных задач которые решают серверные приложения.
Где искать приложения для Linux сервера
Для Windows приложения обычно скачиваются из интернета и устанавливаются. В Linux в принципе можно делать также, но есть более верный путь.
Обычно для каждой системы Linux создается свой репозиторий. Это такое хранилище программ, от куда можно их скачивать и устанавливать. При этом в официальных репозиториях эти программы протестированы и гарантировано работают.
Программы в репозиториях хранятся в так называемых пакетах. В таком пакете могут находиться сразу несколько исполняемых файлов (программ), их конфигурационные файлы и руководства.
Для установки таких пакетов из репозитория используют специальную программу «Пакетный менеджер«, с помощью него же можно и удалять приложения.
Как осуществляется настройка приложений?
После установки серверного приложения, его ещё нужно настроить. Так как, обычно, сервер на Linux не имеет графического интерфейса, то для настройки серверных приложений используются конфигурационные файлы. Это текстовые файлы, в которых прописаны настройки того или иного серверного приложения. После редактирования такого файла обычно нужно перезапустить это приложение, перезагружать же всю операционную систему Linux обычно не требуется.
Серверное приложение обычно запускается в системе как служба. Служба — это фоновая, не интерактивная программа, которая отвечает на запросы других программ (клиентов) через некоторый механизм (обычно по сети). Службу можно запускать, останавливать, перезапускать. При запуске службы происходит чтение её конфигурационных файлов, чтобы служба знала с какими настройками ей запускаться.
Получается, для работы с сервером на Linux нужно установить серверную программу из репозитория, настроить её используя конфигурационные файлы, и запустить службу этого приложения.
Администратору Linux сервера периодически приходится выполнять с ним какие-то действия. Например, создать новый почтовый ящик для нового сотрудника, если это почтовый сервер. Некоторые из этих действий требуют перезапуск службы, а некоторые нет.
Командная строка
Вся работа с сервером обычно происходит в командной строке. Там системный администратор редактирует конфигурационные файлы, запускает и останавливает службы и т.д.
Для удаленного подключения к командной строке сервера используется протокол SSH и одноименный сервер. Установив ssh сервер на Linux сервер, и ssh клиент себе на компьютер, системный администратор может управлять сервером со своего рабочего места по сети. SSH клиент может работать как на Linux, так и на Windows и даже на Android.
В этом курсе мы будем изучать администрирование GNU/Linux серверов на базе дистрибутивов Debian 11 bullseye и Ubuntu 22.04 LTS (Jammy Jellyfish). Работать будем только в командной строке подключаясь к серверу по SSH.