- Администрирование в среде unix/linux
- Назначение и функционирование брандмауэра
- Unix и Linux. Руководство системного администратора.
- Лекции Технотрека. Администрирование Linux
- Лекция 1. Основы
- Лекция 2. Пользовательское окружение Linux
- Лекция 3. Linux и сеть (основы)
- Лекция 4. Управление пользовательским окружением
- Лекция 5. Веб-сервисы
- Лекция 6. Хранение данных
- Лекция 7. Сервисы инфраструктуры
- Лекция 8. Резервное копирование
- Лекция 9. Резервное копирование (часть 2)
- Лекция 10. Инфраструктура электронной почты
- Лекция 11. Распределение ресурсов системы
Администрирование в среде unix/linux
После того как физическая сеть собрана, администратор должен собственноручно назначить на каждой машине адреса интерфейсам. Обычно это делается с консоли того компьютера, который настраивается для работы в сети. Существует возможность динамической настройки с одного рабочего места всех машин сети. Однако, кроме явных преимуществ, к такого подхода есть срытые недостатки. Главный из них – это учёт статистики работы с каждой из машин системы. При динамическом назначении адресов машина может в разное время получать разные адреса, что не позволяет по адресу проидентифицировать машину. Многие же системы анализа трафика основываются на том, что соответствие между адресом и компьютером неизменно. Именно на этом принципе построены многие системы защиты от несанкционированного доступа.
Другой причиной, заставляющей жёстко назначать адреса компьютерам сети, является необходимость организации информационных сервисов на серверах сети. TCP/IP не имеет механизма оповещения рабочих мест о месте нахождения сервиса. Широковещание вообще не очень распространено в сетях TCP/IP, в отличие от сетей Novell или Microsoft. Каждый хост знает о наличии того или иного сервиса из файла своей настройки (например, указываются шлюз в другие сети или сервер доменных имен), или из файлов настроек прикладного ПО. Так, например, сервер WWW не посылает никакого широковещательного сообщения о том, что он установлен на данном компьютере в данной сети. Преимущество такого подхода заключается в низком трафике, порождаемом сетью TCP/IP. Этот трафик иногда значительно отличается, например, от трафика Novell. Кроме этого практически любое оборудование позволяет фильтровать трафик TCP/IP, что сильно облегчает сегментацию сети и делает её легко структурируемой. Для монтирования удалённой файловой системы нет необходимости в использовать межсетевой протокол для доставки протоколов локальной сети, так как стек TCP/IP сам реализует этот межсетевой обмен.
В рамках организации сети TCP/IP уделяется внимание организации удалённых рабочих мест программистов и других сотрудников, использующих электронную связь для оперативного обмена информацией, доступа к информационным ресурсам, обмена электронной почтой и др. Организовать такие рабочие места в рамках сетей TCP/IP можно без особых проблем.
Подключение локальной сети TCP/IP к Интернет осуществляется через местного провайдера. Обычно это та же организация, у которой был получен блок адресов для локальной сети.
Назначение и функционирование брандмауэра
При всех достоинствах сети TCP/IP имеют один врожденный недостаток – в них отсутствуют встроенные способы защиты информации от несанкционированного доступа, поскольку информация при способе доступа – удалённый терминал – передаётся по сети открыто. Это означает, что кто-то может найти способ просмотреть передаваемые по сети пакеты, а значит получить коллекцию идентификаторов и паролей пользователей TCP/IP сети. Способов совершить подобные действия множество. Сходные проблемы возникают при организации доступа к архивам FTP и серверам WWW. Поэтому одним из основных принципов администрирования TCP/IP сетей является выработка общей политики безопасности: администратор определяет правила типа “кто, куда и откуда имеет право использовать те или иные информационные ресурсы”.
Эти проблемы в сетях обычно решаются путём установления специальных защитных программных и программно-технических средств – брандмауэров (FireWall – межсетевых фильтров, “стен”).
Управление безопасностью начинается с управления таблицей маршрутов. При статическом администрировании маршрутов включение и удаление последних производится вручную, в случае динамической маршрутизации эту работу выполняют программы поддержки динамической маршрутизации. Следующий этап – управление системой доменных имен, определение разрешений на копирование описания домена и контроля запросов на получение IP-адресов. Следующий барьер – системы фильтрации TCP/IP трафика. Наиболее распространённым средством такой борьбы являются системы FireWall. Используя эти программы можно определить номер протокола и номер порта, по которым можно принимать пакеты с определённых адресов и отправлять пакеты на определённые адреса. Наконец, последнее средство защиты – шифрация трафика. Для этой цели используется различное программное обеспечение, разработанное для организации защищённого обмена через общественные сети.
Unix и Linux. Руководство системного администратора.
Новое издание всемирно известной книги «Unix и Linux: руководство системного администратора» признанных авторитетов в области системного администрирования систем UNIX и Linux содержит точную и полную информацию о практически всех аспектах. Ясно и просто излагая важные факты, авторы сопровождают их реальными примерами. Справочник отличается от предыдущих изданий тем, что в нем рассмотрены современные версии систем UNIX и Linux — Solaris, HP-UX, AIX, Ubuntu Linux, openSUSE и Red Hat Enterprise Linux. Особое внимание авторы уделили администрированию сетей под управлением систем UNIX и Linux. Данное издание, появившееся в год, когда исполняется 20 лет со дня появления мирового бестселлера по системному администрированию UNIX, стало еще лучше благодаря описанию распространенных вариантов системы Linux: Ubuntu, openSUSE и RHEL. Системное администрирование в книге рассматривается с практической точки зрения. Она представляет собой бесценный справочник как для начинающих администраторов, так и для опытных профессионалов. В ней подробно описываются эффективные методы работы и рассматриваются все аспекты системного администрирования, включая: управление памятью, проектирование и управление сетями, электронную почту, веб-хостинг, создание сценариев, управление конфигурациями программного обеспечения, анализ производительности, взаимодействие с системой Windows, виртуализацию, DNS, безопасность, управление провайдерами IT-услуг и многое другое. В данной книге отражены текущие версии следующих операционных систем: Ubuntu Linux, openSUSE Linux, Red Hat Enterprise Linux, Oracle America SolarisTM (бывший Sun Solaris), HP HP-UX, IBM AIX. Книга будет чрезвычайно полезной всем системным администраторам, а также пользователям систем UNIX и Linux, студентам, преподавателям и специалистам по сетевым технологиям.
Лекции Технотрека. Администрирование Linux
Представляем вашему вниманию очередную порцию лекций Технотрека. В рамках курса будут рассмотрены основы системного администрирования интернет-сервисов, обеспечения их отказоустойчивости, производительности и безопасности, а также особенности устройства ОС Linux, наиболее широко применяемой в подобных проектах. В качестве примера будут использоваться дистрибутивы семейства RHEL 7 (CentOS 7), веб-сервер nginx, СУБД MySQL, системы резервного копирования bacula, системы мониторинга Zabbix, системы виртуализации oVirt, балансировщика нагрузки на базе ipvs+keepalived. Курс ведёт Сергей Клочков, системный администратор в компании Variti.
- Основы.
- Пользовательское окружение Linux.
- Linux и сеть (основы).
- Управление пользовательским окружением.
- Веб-сервисы.
- Хранение данных.
- Сервисы инфраструктуры.
- Резервное копирование.
- Резервное копирование (часть 2).
- Инфраструктура электронной почты.
- Распределение ресурсов системы.
Лекция 1. Основы
В начале лекции вы узнаете об истории появления и развития Linux. Затем проводится экскурс по экосистеме Linux, рассказывается о некоторых различиях между дистрибутивами. Далее обсуждается иерархия файловой системы, рассматривается основной рабочий инструмент в этой ОС — командная строка. Подробно рассказывается о Bash-скриптах, о двух основных сущностях в системе — пользователях и группах. Затем обсуждаются регулирование прав доступа к файлам и директориям, рассматриваются привилегии пользователей и в завершение лекции затрагивается тема удалённого доступа.
Лекция 2. Пользовательское окружение Linux
Сначала подробно рассказывается об этапах загрузки системы и ОС, обсуждается ядро Linux. Объясняется, что собой представляет «процесс», как он использует оперативную память. Вы узнаете, что такое дескрипторы и для чего они нужны, как процессор потребляет ресурсы. Затем рассматриваются системные вызовы, сигналы, лимиты процессов, переменные окружения. Обсуждается вопрос размножения процессов и подробно анализируется работа процесса. В завершение вы узнаете о подсистеме perf и логах.
Лекция 3. Linux и сеть (основы)
Вы узнаете, что такое сетевой стек и модель OSI. Вспомните, что такое Ethernet и как с ним работает Linux. Дальше будут освежены ваши знания об использовании IPv4, особенностях IPv4-пакетов и сетей. Затем рассматривается ICMP, мультикаст в IPv4. Далее переходим к IPv6, обсуждаются заголовки IPv6-пакетов, UDP, TCP-соединения. Затрагивается тема TCP congestion control. Потом рассказывается о NAT, протоколах уровня приложения, DNS, NTP, HTTP и URL. Разбираются коды HTTP-ответа (успешные ответы и ошибки).
Лекция 4. Управление пользовательским окружением
Вы узнаете о том, что такое менеджер пакетов RPM и как его использовать. Далее рассматривается классический init, системный менеджер systemd. Разбирается пример init-файла. Обсуждаются основные типы Unit’ов, рассказывается про системный логгер и ротацию логов. В заключение вы узнаете об основах конфигурации сетевых интерфейсов.
Лекция 5. Веб-сервисы
Сначала рассматривается типовая архитектура веб-сервиса. Рассказывается о том, что такое фронтенд, что такое сервер приложений. Разбирается вопрос хранения данных веб-приложениями. Подробно разбирается работа и использование протокола HTTP. Обсуждаются виды HTTP-запросов. Затрагивается тема создания шифрованных туннелей с помощью SSL. Затем рассматриваются примеры установки СУБД MySQL с созданием БД и пользователя. Разбирается работа с PHP-FPM, конфигурирование nginx, установка и настройка wiki-движка.
Лекция 6. Хранение данных
Перечисляются основные проблемы хранения данных, рассматриваются достоинства и недостатки разных устройств хранения, их интерфейсы. Затем вы узнаете, как определять состояние жёсткого диска, какова его производительность, что такое RAID, какие бывают RAID-массивы и как их создавать. Сравниваются разные типы RAID, а также программные и аппаратные массивы. Обсуждаются LVM-снепшоты, рассматриваются разные файловые системы. Затрагивается вопрос удалённого хранения данных и использование протокола ISCSI.
Лекция 7. Сервисы инфраструктуры
Рассматривается DNS-сервер bind, NTP-сервер. Обсуждается централизованная аутентификация на основе LDAP. Разбирается DHCP, задача установки ОС по сети с помощью kickstart, а в завершение рассматривается система управления конфигурацией Salt.
Лекция 8. Резервное копирование
Начало лекции посвящено продолжению рассказа о системе управления конфигурацией Salt. Рассказывается, как её установить, как осуществляется управление конфигурацией Linux, разбирается её пример. Вы узнаете, что такое «зёрна» и зачем они нужны. Далее переходим к теме резервного копирования: какие данные нужно копировать, каковы основные трудности, какие бывают виды резервных копий. Обсуждается задача резервного копирования ОС. Рассказывается об использовании системы резервного копирования bacula.
Лекция 9. Резервное копирование (часть 2)
В начале лекции рассказывается о резервном копировании БД. Обсуждаются различные стратегии резервного копирования — mysqldump, mylvmbackup. Вы узнаете, для чего нужен мониторинг и как его выполнять, какие есть средства мониторинга. Рассматриваются разные виды проверок. Обсуждаются шаблоны проверок. В заключение рассказывается об элементах данных, о выполнении веб-мониторинга.
Лекция 10. Инфраструктура электронной почты
Вы узнаете, что такое электронная почта, познакомитесь с основными понятиями. Затем рассматривается процесс доставки и выдачи почты. Обсуждается использование протоколов SMTP, POP3 и IMAP. Разбирается применение SMTP-сервера postfix, IMAP-сервера Dovecot. Рассказывается о том, как ходят письма по сети и что такое MX-записи. Наконец, обсуждается защита от спама, разбираются SPF-записи, DKIM и Spamassassin.
Лекция 11. Распределение ресурсов системы
Лекция посвящена продвинутым вопросам администрирования Linux. Сначала вы узнаете, как управлять параметрами ядра ОС. Затем рассматриваются модули ядра, как ими управлять. Обсуждается выделение ресурсов приложения. Далее рассказывается о планировщике задач, об алгоритмах шедулинга, о приоритетах процессов. Разбирается шедулер CFS, политики шедулинга. Вы узнаете, что такое NUMA и как с ней работать. Познакомитесь с планировщиками ввода/вывода. Далее рассказывается о контрольных группах, об управляемых ресурсах, об управлении контрольными группами и лимитами ввода/вывода.
Плейлист всех лекций находится по ссылке. Напомним, что актуальные лекции и мастер-классы о программировании от наших IT-специалистов в проектах Технопарк, Техносфера и Технотрек по-прежнему публикуются на канале Технострим.
Другие курсы Технотрека на Хабре:
Информацию обо всех наших образовательных проектах вы можете найти в недавней статье.