Администратор Linux - Краткое руководство

CentOS, уникальная среди дистрибутивов Linux бизнес-класса, остается верной принципу открытого исходного кода, на котором была основана Linux. Первое ядро ​​Linux было разработано студентом колледжа Хельсинкского университета (Линус Торвальдс) и объединено с утилитами GNU, основанными и продвигаемыми Ричардом Столлманом. CentOS имеет проверенную систему лицензирования с открытым исходным кодом, которая может стать основой современного делового мира.

CentOS быстро стала одной из самых распространенных серверных платформ в мире. Любой администратор Linux, ища работу, обязательно встретит слова: «CentOS Linux Experience Preferred». CentOS - от стартапов до технологических титанов из списка Fortune 10 - заняла свое место среди высших эшелонов серверных операционных систем по всему миру.

Что отличает CentOS от других дистрибутивов Linux, так это отличное сочетание:

  • Лицензирование с открытым исходным кодом

  • Выделенная пользовательская база профессионалов Linux

  • Хорошая аппаратная поддержка

  • Безупречная стабильность и надежность

  • Сосредоточьтесь на безопасности и обновлениях

  • Строгое соблюдение стандартов упаковки программного обеспечения, необходимых в корпоративной среде.

Перед началом уроков мы предполагаем, что читатели имеют базовые знания в области Linux и основ администрирования, такие как:

  • Какой пользователь root?

  • Сила пользователя root

  • Базовая концепция групп безопасности и пользователей

  • Опыт использования эмулятора терминала Linux

  • Фундаментальные сетевые концепции

  • Базовое понимание интерпретируемых языков программирования (Perl, Python, Ruby)

  • Сетевые протоколы, такие как HTTP, LDAP, FTP, IMAP, SMTP

  • Ядра, составляющие операционную систему компьютера: файловая система, драйверы и ядро

Прежде чем изучать инструменты администратора CentOS Linux, важно отметить философию, лежащую в основе командной строки администрирования Linux.

Linux был разработан на основе философии Unix, заключающейся в том, что «небольшие точные инструменты, объединенные вместе, упрощают более крупные задачи». В корне Linux нет больших одноцелевых приложений для одного конкретного использования в большинстве случаев. Вместо этого существуют сотни базовых утилит, которые в сочетании предлагают большую мощность для эффективного выполнения больших задач.

Примеры философии Linux

Например, если администратору нужен список всех текущих пользователей в системе, для получения списка всех пользователей системы можно использовать следующие связанные команды. После выполнения команды пользователи, находящиеся в системе, перечислены в алфавитном порядке.

[root@centosLocal centos]# cut /etc/passwd -d":" -f1 | sort 
abrt 
adm 
avahi 
bin 
centos 
chrony 
colord 
daemon 
dbus

Этот список легко экспортировать в текстовый файл с помощью следующей команды.

[root@localhost /]# cut /etc/passwd -d ":" -f1 > system_users.txt        
[root@localhost /]# cat ./system_users.txt | sort | wc –l 
40       
[root@localhost /]#

Также можно сравнить список пользователей с экспортом позже.

[root@centosLocal centos]#  cut /etc/passwd -d ":" -f1 > system_users002.txt && 
   cat system_users002.txt | sort | wc -l 
41 
[root@centosLocal centos]# diff ./system_users.txt ./system_users002.txt  
evilBackdoor [root@centosLocal centos]#

При таком подходе небольших инструментов, связанных цепочкой для выполнения более крупных задач, проще создать сценарий, выполняющий эти команды, чем автоматически отправлять результаты по электронной почте через равные промежутки времени.

Основные команды, которыми должен владеть каждый администратор Linux:

  • vim
  • grep
  • более и менее
  • tail
  • head
  • wc
  • sort
  • uniq
  • tee
  • cat
  • cut
  • sed
  • tr
  • paste

В мире Linux администраторы используют filteringКоманды каждый день для анализа журналов, фильтрации вывода команд и выполнения действий с помощью интерактивных сценариев оболочки. Как уже упоминалось, сила этих команд заключается в их способности изменять друг друга посредством процесса, называемогоpiping.

Следующая команда показывает, сколько слов начинается с буквы a из основного пользовательского словаря CentOS.

[root@centosLocal ~]# egrep '^a.*$' /usr/share/dict/words | wc -l 
25192 
[root@centosLocal ~]#

Чтобы представить разрешения, которые применяются как к каталогам, так и к файлам в CentOS Linux, давайте посмотрим на следующий вывод команды.

[centos@centosLocal etc]$ ls -ld /etc/yum* 
drwxr-xr-x. 6 root root 100 Dec  5 06:59 /etc/yum 
-rw-r--r--. 1 root root 970 Nov 15 08:30 /etc/yum.conf 
drwxr-xr-x. 2 root root 187 Nov 15 08:30 /etc/yum.repos.d

Note - Вы увидите три основных типа объектов:

  • "-" - черточка для простого файла

  • "d" - для справочника

  • "l" - для символьной ссылки

Мы сосредоточимся на трех блоках вывода для каждого каталога и файла -

  • drwxr-xr-x: корень: корень
  • -rw-r - r--: корень: корень
  • drwxr-xr-x: корень: корень

Теперь давайте разберемся с этим, чтобы лучше понять эти строки -

d Означает, что тип объекта - это каталог
rwx Указывает права доступа к каталогу, примененные к владельцу
rx Указывает разрешения каталога, примененные к группе
rx Указывает права доступа к каталогу, примененные к миру
корень Первый экземпляр указывает владельца каталога.
корень Второй экземпляр указывает группу, к которой применяются разрешения группы.

Важно понимать разницу между владельцем , группой и миром . Непонимание этого может иметь серьезные последствия для серверов, на которых размещаются службы в Интернете.

Прежде чем привести реальный пример, давайте сначала разберемся с разрешениями, которые применяются к каталогам и файлам .

Взгляните на следующую таблицу и продолжайте выполнение инструкций.

Восьмеричный Символический Пермь. Каталог
1 Икс Выполнить Войдите в каталог и получите доступ к файлам
2 ш Написать Удалить или изменить файлы в каталоге
4 р Читать Список файлов в каталоге

Note- Когда файлы должны быть доступны для чтения в каталоге, обычно применяются разрешения на чтение и выполнение . В противном случае у пользователей возникнут трудности с работой с файлами. Отключение записи гарантирует, что файлы нельзя: переименовывать, удалять, копировать или изменять разрешения.

Применение разрешений к каталогам и файлам

При применении разрешений необходимо понимать две концепции:

  • Символические разрешения
  • Восьмеричные разрешения

По сути, все они одинаковы, но по-разному относятся и назначают права доступа к файлам. Чтобы получить краткое руководство, изучите и обратитесь к следующей таблице -

Читать Написать Выполнить
Octal 4 2 1
Symbolic р ш Икс

При назначении разрешений с помощью octalиспользуйте 3-байтовое число, например: 760. Число 760 переводится как: Владелец: rwx; Группа: rw; Других (или мировых) разрешений нет.

Другой сценарий: 733 будет переводить как: Владелец: rwx; Группа: wx; Другое: wx.

У разрешений, использующих восьмеричный метод, есть один недостаток. Существующие наборы разрешений изменить нельзя. Можно переназначить только весь набор разрешений объекта.

Теперь вы можете задаться вопросом, а что плохого в том, чтобы всегда повторно назначать разрешения? Представьте себе большую структуру каталогов, например / var / www / на производственном веб-сервере. Мы хотим рекурсивно убрать бит w или записи во всех каталогах для Other. Таким образом, вынуждая его активно добавлять только тогда, когда это необходимо для мер безопасности. Если мы повторно назначим весь набор разрешений, мы отнимем все другие настраиваемые разрешения, назначенные каждому подкаталогу.

Следовательно, это вызовет проблемы как для администратора, так и для пользователя системы. В какой-то момент человеку (или лицам) потребуется повторно назначить все настраиваемые разрешения, которые были уничтожены путем повторного назначения всего набора разрешений для каждого каталога и объекта.

В этом случае мы хотели бы использовать символьный метод для изменения разрешений -

chmod -R o-w /var/www/

Вышеупомянутая команда не «перезаписывает разрешения», а изменяет текущие наборы разрешений. Так что привыкайте использовать лучшие практики

  • Octal только для назначения разрешений
  • Символический для изменения наборов разрешений

Важно, чтобы администратор CentOS обладал как восьмеричными, так и символьными разрешениями, поскольку разрешения важны для целостности данных и всей операционной системы. Если разрешения неверны, конечным результатом будут как конфиденциальные данные, так и вся операционная система будет скомпрометирована.

После этого давайте рассмотрим несколько команд для изменения разрешений и владельцев / участников объекта:

  • chmod
  • chown
  • chgrp
  • umask

chmod: изменить биты разрешения файлового режима

Команда Действие
-c Как подробный, но будет сообщать только о внесенных изменениях
-v Подробно, выводит диагностику по каждому сделанному запросу
Рекурсивно применяет операцию к файлам и каталогам

chmod позволит нам изменять права доступа к каталогам и файлам, используя восьмеричные или символьные наборы разрешений. Мы будем использовать это, чтобы изменить наши назначения и каталоги загрузки.

chown: изменить владельца файла и группу

Команда Действие
-c Как подробный, но будет сообщать только о внесенных изменениях
-v Подробно, выводит диагностику по каждому сделанному запросу
Рекурсивно применяет операцию к файлам и каталогам

chown может изменять как владельца, так и группу объектов. Однако, если нет необходимости изменять оба одновременно, использование chgrp обычно используется для групп.

chgrp: изменить групповое владение файлом или каталогом

Команда Действие
-c Как подробный, но будет сообщать только об изменениях
-v Подробно, выводит диагностику для каждого сделанного запроса
Рекурсивно применяет операции к файлам и каталогам

chgrp изменит владельца группы на указанного.

Реальная практика

Давайте изменим все назначения подкаталогов в / var / www / student /, чтобы группа-владелец была группой студентов . Затем назначьте корень студентов группе профессоров. Позже сделайте д-ра Терри Томаса владельцем справочника студентов , поскольку ему поручено отвечать за все академические круги информатики в школе.

Как мы видим, при создании каталог остается довольно сырым.

[root@centosLocal ~]# ls -ld /var/www/students/ 
drwxr-xr-x. 4 root root 40 Jan  9 22:03 /var/www/students/

[root@centosLocal ~]# ls -l /var/www/students/ 
total 0 
drwxr-xr-x. 2 root root 6 Jan  9 22:03 assignments 
drwxr-xr-x. 2 root root 6 Jan  9 22:03 uploads 

[root@centosLocal ~]#

Как администраторы, мы никогда не хотим никому передавать наши корневые учетные данные. Но в то же время мы должны предоставить пользователям возможность выполнять свою работу. Итак, позвольте доктору Терри Томасу взять на себя больший контроль над файловой структурой и ограничить возможности студентов.

[root@centosLocal ~]# chown -R drterryt:professors /var/www/students/ 
[root@centosLocal ~]# ls -ld /var/www/students/ 
drwxr-xr-x. 4 drterryt professors 40 Jan  9 22:03 /var/www/students/

[root@centosLocal ~]# ls -ls /var/www/students/ 
total 0 
0 drwxr-xr-x. 2 drterryt professors 6 Jan  9 22:03 assignments 
0 drwxr-xr-x. 2 drterryt professors 6 Jan  9 22:03 uploads

[root@centosLocal ~]#

Теперь у каждого каталога и подкаталога есть владелец drterryt, а группа-владелец - профессора . Поскольку каталог заданий предназначен для студентов, которые могут сдавать назначенные им работы, давайте уберем возможность перечислять и изменять файлы из группы студентов .

[root@centosLocal ~]# chgrp students /var/www/students/assignments/ && chmod 
736 /var/www/students/assignments/

[root@centosLocal assignments]# ls -ld /var/www/students/assignments/ 
drwx-wxrw-. 2 drterryt students 44 Jan  9 23:14 /var/www/students/assignments/

[root@centosLocal assignments]#

Студенты могут копировать задания в каталог заданий . Но они не могут отображать содержимое каталога, копировать текущие файлы или изменять файлы в каталоге назначений . Таким образом, он просто позволяет студентам отправлять выполненные задания. Файловая система CentOS предоставит дату сдачи назначений.

Как владелец каталога заданий -

[drterryt@centosLocal assignments]$ whoami drterryt [drterryt@centosLocal assignments]$ ls -ld /var/www/students/assignment 
drwx-wxrw-. 2 drterryt students 44 Jan  9 23:14 /var/www/students/assignments/

[drterryt@centosLocal assignments]$ ls -l /var/www/students/assignments/ total 4 -rw-r--r--. 1 adama students 0 Jan 9 23:14 myassign.txt -rw-r--r--. 1 tammyr students 16 Jan 9 23:18 terryt.txt [drterryt@centosLocal assignments]$

Мы видим, что владелец каталога может отображать файлы, а также изменять и удалять файлы.

Команда umask: предоставляет режимы по умолчанию для прав доступа к файлам и каталогам по мере их создания

umask - важная команда, которая предоставляет режимы по умолчанию для разрешений для файлов и каталогов по мере их создания.

Разрешения umask используют унарную логику с отрицанием.

Разрешение Операция
0 Читать, писать, выполнять
1 Прочитайте и напишите
2 Прочтите и выполните
3 Только чтение
4 Прочтите и выполните
5 Только писать
6 Только выполнить
7 Нет разрешений
[adama@centosLocal umask_tests]$ ls -l ./ -rw-r--r--. 1 adama students 0 Jan 10 00:27 myDir -rw-r--r--. 1 adama students 0 Jan 10 00:27 myFile.txt [adama@centosLocal umask_tests]$ whoami 
adama

[adama@centosLocal umask_tests]$ umask 0022 [adama@centosLocal umask_tests]$

Теперь давайте изменим umask для нашего текущего пользователя и создадим новый файл и каталог.

[adama@centosLocal umask_tests]$ umask 077 [adama@centosLocal umask_tests]$ touch mynewfile.txt

[adama@centosLocal umask_tests]$ mkdir myNewDir [adama@centosLocal umask_tests]$ ls -l 
total 0 
-rw-r--r--. 1 adama students 0 Jan 10 00:27 myDir 
-rw-r--r--. 1 adama students 0 Jan 10 00:27 myFile.txt 
drwx------. 2 adama students 6 Jan 10 00:35 myNewDir 
-rw-------. 1 adama students 0 Jan 10 00:35 mynewfile.txt

Как мы видим, вновь созданные файлы имеют немного более строгие ограничения, чем раньше.

umask для пользователей необходимо изменить либо в -

  • /etc/profile
  • ~/bashrc
[root@centosLocal centos]# su adama 
[adama@centosLocal centos]$ umask 0022 [adama@centosLocal centos]$

Как правило, маска umask по умолчанию в CentOS подойдет. Когда у нас возникают проблемы со значением по умолчанию 0022 , обычно это происходит, когда разные отделы, принадлежащие к разным группам, должны сотрудничать над проектами.

Здесь появляется роль системного администратора, чтобы сбалансировать работу и дизайн операционной системы CentOS.

Обсуждая управление пользователями , нам нужно понять три важных термина:

  • Users
  • Groups
  • Permissions

Мы уже подробно обсудили разрешения применительно к файлам и папкам. В этой главе давайте обсудим пользователей и группы.

Пользователи CentOS

В CentOS есть два типа учетных записей:

  • System accounts - Используется для демона или другого программного обеспечения.

  • Interactive accounts - Обычно назначается пользователю для доступа к системным ресурсам.

Основное различие между двумя типами пользователей -

  • System accountsиспользуются демонами для доступа к файлам и каталогам. Обычно им запрещается интерактивный вход через оболочку или через физическую консоль.

  • Interactive accounts используются конечными пользователями для доступа к вычислительным ресурсам из оболочки или физической консоли.

С этим базовым пониманием пользователей давайте теперь создадим нового пользователя для Боба Джонса в бухгалтерском отделе. Новый пользователь добавлен сadduser команда.

Ниже приведены некоторые adduser общие переключатели -

Переключатель Действие
-c Добавляет комментарий к учетной записи пользователя
Создает домашний каталог пользователя в местоположении по умолчанию, если он не существует
Группа по умолчанию для назначения пользователя
-n Не создает частную группу для пользователя, обычно группу с именем пользователя
-M Не создает домашний каталог
-s Оболочка по умолчанию, кроме / bin / bash
-u Задает UID (в противном случае назначается системой)
Дополнительные группы для назначения пользователя

При создании нового пользователя используйте переключатели -c, -m, -g, -n следующим образом:

[root@localhost Downloads]# useradd -c "Bob Jones  Accounting Dept Manager" 
-m -g accounting -n bjones

Теперь посмотрим, создан ли наш новый пользователь -

[root@localhost Downloads]# id bjones 
(bjones) gid = 1001(accounting) groups = 1001(accounting)

[root@localhost Downloads]# grep bjones /etc/passwd 
bjones:x:1001:1001:Bob Jones  Accounting Dept Manager:/home/bjones:/bin/bash

[root@localhost Downloads]#

Теперь нам нужно включить новую учетную запись с помощью команды passwd -

[root@localhost Downloads]# passwd bjones 
Changing password for user bjones. 
New password:  
Retype new password:  
passwd: all authentication tokens updated successfully.

[root@localhost Downloads]#

Учетная запись пользователя не включена, позволяя пользователю войти в систему.

Отключение учетных записей пользователей

Есть несколько способов отключить учетные записи в системе. Они варьируются от редактирования файла / etc / passwd вручную. Или даже используя команду passwd с-lпереключатель. У обоих этих методов есть один большой недостаток: если у пользователя есть доступ по ssh и он использует ключ RSA для аутентификации, он все равно может войти в систему, используя этот метод.

Теперь воспользуемся командой chage , изменив срок действия пароля на более раннюю дату. Кроме того, может быть полезно сделать пометку в учетной записи о том, почему мы отключили ее.

[root@localhost Downloads]# chage -E 2005-10-01 bjones
 
[root@localhost Downloads]# usermod  -c "Disabled Account while Bob out of the country 
for five months" bjones

[root@localhost Downloads]# grep bjones /etc/passwd 
bjones:x:1001:1001:Disabled Account while Bob out of the country for four 
months:/home/bjones:/bin/bash

[root@localhost Downloads]#

Управление группами

Управление группами в Linux позволяет администратору объединять пользователей в контейнерах, применяя наборы разрешений, применимые ко всем членам группы. Например, всем пользователям Бухгалтерии может потребоваться доступ к одним и тем же файлам. Таким образом, мы делаем группу учета, добавляя пользователей учета.

По большей части все, что требует специальных разрешений, должно выполняться в группе. Такой подход обычно позволяет сэкономить время по сравнению с применением специальных разрешений только для одного пользователя. Например, Салли отвечает за отчеты, и только Салли нужен доступ к определенным файлам для составления отчетов. Однако что, если Салли однажды заболеет, а Боб отчитается? Или потребность в отчетности растет? Когда группа создана, администратору нужно сделать это только один раз. Добавление пользователей применяется по мере изменения или расширения потребностей.

Ниже приведены некоторые общие команды, используемые для управления группами.

  • chgrp
  • groupadd
  • groups
  • usermod

chgrp - Изменяет групповое владение файлом или каталогом.

Давайте создадим каталог для людей из бухгалтерской группы для хранения файлов и создания каталогов для файлов.

[root@localhost Downloads]# mkdir /home/accounting

[root@localhost Downloads]# ls -ld /home/accounting
drwxr-xr-x. 2 root root 6 Jan 13 10:18 /home/accounting

[root@localhost Downloads]#

Далее, давайте собственность группы к учетной группе.

[root@localhost Downloads]# chgrp -v  accounting /home/accounting/ 
changed group of ‘/home/accounting/’ from root to accounting

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxr-xr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

Теперь у всех в группе учета есть разрешения на чтение и выполнение для / home / Accounting . Им также потребуются права на запись.

[root@localhost Downloads]# chmod g+w /home/accounting/

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxrwxr-x. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

Поскольку бухгалтерская группа может иметь дело с конфиденциальными документами, нам необходимо применить некоторые ограничительные разрешения для других или других стран .

[root@localhost Downloads]# chmod o-rx /home/accounting/

[root@localhost Downloads]# ls -ld /home/accounting/ 
drwxrwx---. 2 root accounting 6 Jan 13 10:18 /home/accounting/

[root@localhost Downloads]#

groupadd - Используется для создания новой группы.

Переключатель Действие
Определяет GID для группы
-K Переопределяет спецификации для GID в /etc/login.defs
Позволяет переопределить запрет на использование неуникального идентификатора группы
-п Групповой пароль, позволяющий пользователям активировать себя

Создадим новую группу под названием secret. Мы добавим в группу пароль, позволяющий пользователям добавлять себя с известным паролем.

[root@localhost]# groupadd secret

[root@localhost]# gpasswd secret 
Changing the password for group secret 
New Password:  
Re-enter new password:

[root@localhost]# exit 
exit

[centos@localhost ~]$ newgrp secret Password: [centos@localhost ~]$ groups 
secret wheel rdc

[centos@localhost ~]$

На практике пароли для групп используются нечасто. Вторичные группы подходят, и обмен паролями между другими пользователями не является хорошей практикой безопасности.

В groupsКоманда используется, чтобы показать, к какой группе принадлежит пользователь. Мы будем использовать это после внесения некоторых изменений в нашего текущего пользователя.

usermod используется для обновления атрибутов учетной записи.

Ниже приведены общие переключатели usermod .

Переключатель Действие
Добавляет, добавляет пользователя в дополнительные группы, только с параметром -G
-c Комментарий, обновление значения комментария пользователя
-d Домашний каталог, обновляет домашний каталог пользователя.
Группирует, добавляет или удаляет вторичные группы пользователей
Группа, основная группа пользователя по умолчанию
[root@localhost]# groups centos 
centos : accounting secret

[root@localhost]#

[root@localhost]# usermod -a -G wheel centos

[root@localhost]# groups centos
centos : accounting wheel secret

[root@localhost]#

Дисковые квоты CentOS могут быть включены как; предупреждение системного администратора и отказ пользователя в дальнейшем доступе к дисковой памяти до того, как емкость диска будет превышена. Когда диск заполнен, в зависимости от того, что находится на нем, вся система может остановиться, пока не будет восстановлена.

Включение управления квотами в CentOS Linux в основном состоит из 4 этапов:

  • Step 1 - Включите управление квотами для групп и пользователей в / etc / fstab.

  • Step 2 - Перемонтировать файловую систему.

  • Step 3 - Создать базу данных квот и сгенерировать таблицу использования диска.

  • Step 4 - Назначьте политику квот.

Включите управление квотами в / etc / fstab

Во-первых, мы хотим сделать резервную копию нашего файла / etc / fstab -

[root@centosLocal centos]# cp -r /etc/fstab ./

Теперь у нас есть копия известного рабочего файла / etc / fstab в текущем рабочем каталоге.

# 
# /etc/fstab 
# Created by anaconda on Sat Dec 17 02:44:51 2016 
# 
# Accessible filesystems, by reference, are maintained under '/dev/disk' 
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
# 
/dev/mapper/cl-root        /         xfs     defaults                      0 0
UUID = 4b9a40bc-9480-4     /boot     xfs     defaults                      0 0

/dev/mapper/cl-home        /home     xfs     defaults,usrquota,grpquota    0 0

/dev/mapper/cl-swap        swap      swap    defaults                      0 0

Мы внесли следующие изменения в раздел параметров файла / etc / fstab для тома или метки, к которой будут применяться квоты для пользователей и групп.

  • usrquota
  • grpquota

Как видите, мы используем xfsфайловая система. При использовании xfs требуются дополнительные действия вручную./homeнаходится на том же диске, что и /. Дальнейшее исследование показывает, что / установлен на noquota , что является параметром монтирования на уровне ядра. Мы должны переконфигурировать наши параметры загрузки ядра.

root@localhost rdc]# mount | grep ' / ' 
/dev/mapper/cl-root on / type xfs (rw,relatime,seclabel,attr2,inode64,noquota)

[root@localhost rdc]#

Перенастройка параметров загрузки ядра для файловых систем XFS

Этот шаг необходим только при двух условиях:

  • Когда диск / раздел, на котором мы включаем квоты, использует файловую систему xfs
  • Когда ядро ​​передает параметр noquota в / etc / fstab во время загрузки

Step 1 - Сделайте резервную копию / etc / default / grub.

cp /etc/default/grub ~/

Step 2- Измените / etc / default / grub .

Вот файл по умолчанию.

GRUB_TIMEOUT=5 
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)" 
GRUB_DEFAULT=saved 
GRUB_DISABLE_SUBMENU=true 
GRUB_TERMINAL_OUTPUT="console" 
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=cl/root rd.lvm.lv=cl/swap rhgb quiet" 
GRUB_DISABLE_RECOVERY="true"

Мы хотим изменить следующую строку -

GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=cl/root rd.lvm.lv=cl/swap rhgb quiet"

к

GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=cl/root rd.lvm.lv 
=cl/swap rhgb quiet rootflags=usrquota,grpquota"

Note- Важно, что мы дословно копируем эти изменения. После перенастройки grub.cfg наша система не сможет загрузиться, если в конфигурации были сделаны какие-либо ошибки. Пожалуйста, попробуйте эту часть учебника на непроизводственной системе.

Step 3 - Сделайте резервную копию вашего рабочего grub.cfg

cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak

Создайте новый grub.cfg

[root@localhost rdc]# grub2-mkconfig -o /boot/grub2/grub.cfg 
Generating grub configuration file ... 
Found linux image: /boot/vmlinuz-3.10.0-514.el7.x86_64 
Found initrd image: /boot/initramfs-3.10.0-514.el7.x86_64.img 
Found linux image: /boot/vmlinuz-0-rescue-dbba7fa47f73457b96628ba8f3959bfd 
Found initrd image: /boot/initramfs-0-rescuedbba7fa47f73457b96628ba8f3959bfd.img 
done

[root@localhost rdc]#

перезагружать

[root@localhost rdc]#reboot

Если бы все изменения были точными, у нас не было бы возможности добавлять квоты в файловую систему xfs .

[rdc@localhost ~]$ mount | grep ' / ' 
/dev/mapper/cl-root on / type xfs (rw,relatime,seclabel,attr2,inode64,usrquota,grpquota)
 
[rdc@localhost ~]$

Мы передали параметры usrquota и grpquota через grub.

Now, again edit /etc/fstab to include / since /homeon the same physical disk.

/dev/mapper/cl-root/xfs
defaults,usrquota,grpquota        0 0

Now let's enable the quota databases.

[root@localhost rdc]# quotacheck -acfvugM

Make sure Quotas are enabled.

[root@localhost rdc]# quotaon -ap 
group quota on / (/dev/mapper/cl-root) is on 
user quota on / (/dev/mapper/cl-root) is on 
group quota on /home (/dev/mapper/cl-home) is on 
user quota on /home (/dev/mapper/cl-home) is on 
[root@localhost rdc]#

Remount the File System

If the partition or disk is separate from the actively booted partition, we can remount without rebooting. If the quota was configured on a disk/partition booted in the root directory /, we may need to reboot the operating system. Forcing the remount and applying changes, the need to remount the filesystem may vary.

[rdc@localhost ~]$ df 
Filesystem              1K-blocks     Used      Available      Use%     Mounted on
/dev/mapper/cl-root     22447404      4081860   18365544       19%         /
devtmpfs                903448        0         903448         0%          /dev
tmpfs                   919308        100       919208         1%          /dev/shm
tmpfs                   919308        9180      910128         1%          /run
tmpfs                   919308        0         919308         0%          /sys/fs/cgroup
/dev/sda2               1268736       176612    1092124        14%         /boot
/dev/mapper/cl-var      4872192       158024    4714168        4%          /var
/dev/mapper/cl-home     18475008      37284     18437724       1%          /home
tmpfs                   183864        8         183856         1%          /run/user/1000

[rdc@localhost ~]$

As we can see, LVM volumes are in use. So it's simple to just reboot. This will remount /home and load the /etc/fstab configuration changes into active configuration.

Create Quota Database Files

CentOS is now capable of working with disk quotas on /home. To enable full quota supprt, we must run the quotacheck command.

quotacheck will create two files −

  • aquota.user
  • aquota.group

These are used to store quota information for the quota enabled disks/partitions.

Following are the common quotacheck switches.

Switch Action
-u Checks for user quotas
-g Checks for group quotas
-c Quotas should be enabled for each file system with enables quotas
-v Displays verbose output

Add Quota Limits Per User

For this, we will use the edquota command, followed by the username −

[root@localhost rdc]# edquota centos

Disk quotas for user centos (uid 1000):  
Filesystem                   blocks       soft       hard     inodes     soft     hard 
/dev/mapper/cl-root              12          0          0         13        0        0  
/dev/mapper/cl-home            4084          0          0        140        0        0

Let's look at each column.

  • Filesystem − It is the filesystem quotas for the user applied to

  • blocks − How many blocks the user is currently using on each filesystem

  • soft − Set blocks for a soft limit. Soft limit allows the user to carry quota for a given time period

  • hard − Set blocks for a hard limit. Hard limit is total allowable quota

  • inodes − How many inodes the user is currently using

  • soft − Soft inode limit

  • hard − Hard inode limit

To check our current quota as a user −

[centos@localhost ~]$ quota 
Disk quotas for user centos (uid 1000):  
Filesystem             blocks     quota      limit grace    files   quota   limit   grace 
/dev/mapper/cl-home    6052604    56123456   61234568       475     0       0       [centos@localhost ~]$

Following is an error given to a user when the hard quota limit has exceeded.

[centos@localhost Downloads]$ cp CentOS-7-x86_64-LiveKDE-1611.iso.part ../Desktop/

cp: cannot create regular file ‘../Desktop/CentOS-7-x86_64-LiveKDE-
1611.iso.part’: Disk quota exceeded

[centos@localhost Downloads]$

As we can see, we are closely within this user's disk quota. Let's set a soft limit warning. This way, the user will have advance notice before quota limits expire. From experience, you will get end-user complaints when they come into work and need to spend 45 minutes clearing files to actually get to work.

As an Administrator, we can check quota usage with the repquota command.

[root@localhost Downloads]# repquota  /home  
                    Block limits                            File limits  
User            used     soft     hard     grace       used     soft     hard     grace 
----------------------------------------------------------------------------------------
root      --       0         0        0                   3        0        0        
centos    -+ 6189824  56123456 61234568                 541      520      540      6days 

[root@localhost Downloads]#

As we can see, the user centos has exceeded their hard block quota and can no longer use any more disk space on /home.

-+denotes a hard quota has been exceeded on the filesystem.

When planning quotas, it is necessary to do a little math. What an Administrator needs to know is:How many users are on the system? How much free space to allocate amongst users/groups? How many bytes make up a block on the file system?

Define quotas in terms of blocks as related to free disk-space.It is recommended to leave a "safe" buffer of free-space on the file system that will remain in worst case scenario: all quotas are simultaneously exceeded. This is especially on a partition that is used by the system for writing logs.

systemd is the new way of running services on Linux. systemd has a superceded sysvinit. systemd brings faster boot-times to Linux and is now, a standard way to manage Linux services. While stable, systemd is still evolving.

systemd as an init system, is used to manage both services and daemons that need status changes after the Linux kernel has been booted. By status change starting, stopping, reloading, and adjusting service state is applied.

First, let's check the version of systemd currently running on our server.

[centos@localhost ~]$ systemctl --version 
systemd 219 
+PAM +AUDIT +SELINUX +IMA -APPARMOR +SMACK +SYSVINIT +UTMP +LIBCRYPTSETUP 
+GCRYPT +GNUTLS +ACL     +XZ -LZ4 -SECCOMP +BLKID +ELFUTILS +KMOD +IDN

[centos@localhost ~]$

As of CentOS version 7, fully updated at the time of this writing systemd version 219 is the current stable version.

We can also analyze the last server boot time with systemd-analyze

[centos@localhost ~]$ systemd-analyze    
Startup finished in 1.580s (kernel) + 908ms (initrd) + 53.225s (userspace) = 55.713s 
[centos@localhost ~]$

When the system boot times are slower, we can use the systemd-analyze blame command.

[centos@localhost ~]$ systemd-analyze blame 
   40.882s kdump.service 
   5.775s NetworkManager-wait-online.service 
   4.701s plymouth-quit-wait.service 
   3.586s postfix.service 
   3.121s systemd-udev-settle.service 
   2.649s tuned.service 
   1.848s libvirtd.service 
   1.437s network.service 
   875ms packagekit.service 
   855ms gdm.service 
   514ms firewalld.service 
   438ms rsyslog.service
   436ms udisks2.service 
   398ms sshd.service 
   360ms boot.mount 
   336ms polkit.service 
   321ms accounts-daemon.service

When working with systemd, it is important to understand the concept of units. Units are the resources systemd knows how to interpret. Units are categorized into 12 types as follows −

  • .service
  • .socket
  • .device
  • .mount
  • .automount
  • .swap
  • .target
  • .path
  • .timer
  • .snapshot
  • .slice
  • .scope

For the most part, we will be working with .service as unit targets. It is recommended to do further research on the other types. As only .service units will apply to starting and stopping systemd services.

Each unit is defined in a file located in either −

  • /lib/systemd/system − base unit files

  • /etc/systemd/system − modified unit files started at run-time

Manage Services with systemctl

To work with systemd, we will need to get very familiar with the systemctl command. Following are the most common command line switches for systemctl.

Switch Action
-t Comma separated value of unit types such as service or socket
-a Shows all loaded units
--state Shows all units in a defined state, either: load, sub, active, inactive, etc..
-H Executes operation remotely. Specify Host name or host and user separated by @.

Basic systemctl Usage

systemctl [operation]
example: systemctl --state [servicename.service]

For a quick look at all the services running on our box.

[root@localhost rdc]# systemctl -t service 
UNIT                       LOAD     ACTIVE      SUB     DESCRIPTION

abrt-ccpp.service          loaded   active   exited     Install ABRT coredump   hook 
abrt-oops.service          loaded   active   running    ABRT kernel log watcher 
abrt-xorg.service          loaded   active   running    ABRT Xorg log watcher 
abrtd.service              loaded   active   running    ABRT Automated Bug  Reporting Tool 
accounts-daemon.service    loaded   active   running    Accounts Service 
alsa-state.service         loaded   active   running    Manage Sound Card State (restore and store) 
atd.service                loaded   active   running    Job spooling tools 
auditd.service             loaded   active   running    Security Auditing Service 
avahi-daemon.service       loaded   active   running    Avahi mDNS/DNS-SD Stack 
blk-availability.service   loaded   active   exited     Availability of block devices 
bluetooth.service          loaded   active   running    Bluetooth service 
chronyd.service            loaded   active   running    NTP client/server

Stopping a Service

Let's first, stop the bluetooth service.

[root@localhost]# systemctl stop bluetooth

[root@localhost]# systemctl --all -t service | grep bluetooth      
bluetooth.service   loaded    inactive dead    Bluetooth service

[root@localhost]#

As we can see, the bluetooth service is now inactive.

To start the bluetooth service again.

[root@localhost]# systemctl start bluetooth

[root@localhost]# systemctl --all -t service | grep bluetooth 
bluetooth.service  loaded    active   running Bluetooth     service

[root@localhost]#

Note − We didn't specify bluetooth.service, since the .service is implied. It is a good practice to think of the unit type appending the service we are dealing with. So, from here on, we will use the .service extension to clarify we are working on service unit operations.

The primary actions that can be performed on a service are −

Start Starts the service
Stop Stops a service
Reload Reloads the active configuration of a service w/o stopping it (like kill -HUP in system v init)
Restart Starts, then stops a service
Enable Starts a service at boot time
Disable Stops a service from automatically starting at run time

The above actions are primarily used in the following scenarios −

Start To bring a service up that has been put in the stopped state.
Stop To temporarily shut down a service (for example when a service must be stopped to access files locked by the service, as when upgrading the service)
Reload When a configuration file has been edited and we want to apply the new changes while not stopping the service.
Restart In the same scenario as reload, but the service does not support reload.
Enable When we want a disabled service to run at boot time.
Disable Used primarily when there is a need to stop a service, but it starts on boot.

To check the status of a service −

[root@localhost]# systemctl status network.service 
network.service - LSB: Bring up/down networking 
Loaded: loaded (/etc/rc.d/init.d/network; bad; vendor preset: disabled) 
Active: active (exited) since Sat 2017-01-14 04:43:48 EST; 1min 31s ago 
Docs: man:systemd-sysv-generator(8)

Process: 923 ExecStart = /etc/rc.d/init.d/network start (code=exited, status = 0/SUCCESS)

localhost.localdomain systemd[1]: Starting LSB: Bring up/down networking... 
localhost.localdomain network[923]: Bringing up loopback interface:  [  OK  ] 
localhost.localdomain systemd[1]: Started LSB: Bring up/down networking.

[root@localhost]#

Show us the current status of the networking service. If we want to see all the services related to networking, we can use −

[root@localhost]# systemctl --all -t service | grep -i network 
network.service                       loaded    active    exited    LSB: Bring up/ 
NetworkManager-wait-online.service    loaded    active    exited    Network Manager  
NetworkManager.service                loaded    active    running   Network Manager 
ntpd.service                          loaded    inactive  dead      Network Time  
rhel-import-state.service             loaded    active    exited    Import network      

[root@localhost]#

For those familiar with the sysinit method of managing services, it is important to make the transition to systemd. systemd is the new way starting and stopping daemon services in Linux.

systemctl is the utility used to control systemd. systemctl provides CentOS administrators with the ability to perform a multitude of operations on systemd including −

  • Configure systemd units
  • Get status of systemd untis
  • Start and stop services
  • Enable / disable systemd services for runtime, etc.

The command syntax for systemctl is pretty basic, but can tangle with switches and options. We will present the most essential functions of systemctl needed for administering CentOS Linux.

Basic systemctl syntax: 
systemctl [OPTIONS] COMMAND [NAME]

Following are the common commands used with systemctl

  • start
  • stop
  • restart
  • reload
  • status
  • is-active
  • list-units
  • enable
  • disable
  • cat
  • show

We have already discussed start, stop, reload, restart, enable and disable with systemctl. So let's go over the remaining commonly used commands.

status

In its most simple form, the status command can be used to see the system status as a whole −

[root@localhost rdc]# systemctl status 
 ● localhost.localdomain 
  State: running 
  Jobs: 0 queued
  Failed: 0 units 
  Since: Thu 2017-01-19 19:14:37 EST; 4h 5min ago 
CGroup: / 
       ├─1 /usr/lib/systemd/systemd --switched-root --system --deserialize 21 
       ├─user.slice 
       │ └─user-1002.slice 
       │   └─session-1.scope 
       │     ├─2869 gdm-session-worker [pam/gdm-password] 
       │     ├─2881 /usr/bin/gnome-keyring-daemon --daemonize --login 
       │     ├─2888 gnome-session --session gnome-classic 
       │     ├─2895 dbus-launch --sh-syntax --exit-with-session

The above output has been condensed. In the real-world systemctl status will output about 100 lines of treed process statuses.

Let's say we want to check the status of our firewall service −

[root@localhost rdc]# systemctl status firewalld 
● firewalld.service - firewalld - dynamic firewall daemon 
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) 
Active: active (running) since Thu 2017-01-19 19:14:55 EST; 4h 12min ago 
 Docs: man:firewalld(1) 
Main PID: 825 (firewalld) 
CGroup: /system.slice/firewalld.service 
       └─825 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

As you see, our firewall service is currently active and has been for over 4 hours.

list-units

The list-units command allows us to list all the units of a certain type. Let's check for sockets managed by systemd

[root@localhost]# systemctl list-units --type=socket 
UNIT                         LOAD     ACTIVE     SUB     DESCRIPTION     
avahi-daemon.socket          loaded   active  running    Avahi mDNS/DNS-SD Stack Activation Socket 
cups.socket                  loaded   active  running    CUPS Printing Service Sockets 
dbus.socket                  loaded   active  running    D-Bus System Message Bus Socket 
dm-event.socket              loaded   active  listening  Device-mapper event daemon FIFOs 
iscsid.socket                loaded   active  listening  Open-iSCSI iscsid Socket
iscsiuio.socket              loaded   active  listening  Open-iSCSI iscsiuio Socket 
lvm2-lvmetad.socket          loaded   active  running    LVM2 metadata daemon socket 
lvm2-lvmpolld.socket         loaded   active  listening  LVM2 poll daemon socket 
rpcbind.socket               loaded   active  listening  RPCbind Server Activation Socket 
systemd-initctl.socket       loaded   active  listening  /dev/initctl Compatibility Named Pipe 
systemd-journald.socket      loaded   active  running    Journal Socket 
systemd-shutdownd.socket     loaded   active  listening  Delayed Shutdown Socket 
systemd-udevd-control.socket loaded   active  running    udev Control Socket 
systemd-udevd-kernel.socket  loaded   active  running    udev Kernel Socket 
virtlockd.socket             loaded   active  listening  Virtual machine lock manager socket 
virtlogd.socket              loaded   active  listening  Virtual machine log manager socket

Теперь давайте проверим текущие запущенные службы -

[root@localhost rdc]# systemctl list-units --type=service 
UNIT                      LOAD     ACTIVE     SUB     DESCRIPTION 
abrt-ccpp.service         loaded   active   exited    Install ABRT coredump hook 
abrt-oops.service         loaded   active   running   ABRT kernel log watcher 
abrt-xorg.service         loaded   active   running   ABRT Xorg log watcher 
abrtd.service             loaded   active   running   ABRT Automated Bug Reporting Tool 
accounts-daemon.service   loaded   active   running   Accounts Service 
alsa-state.service        loaded   active   running   Manage Sound Card State (restore and store) 
atd.service               loaded   active   running   Job spooling tools 
auditd.service            loaded   active   running   Security Auditing Service

активен

Команда is-active - это пример команд systemctl, предназначенных для возврата информации о состоянии объекта.

[root@localhost rdc]# systemctl is-active ksm.service 
active

Кот

cat - одна из редко используемых команд. Вместо использования cat в оболочке и ввода пути к файлу модуля просто используйте systemctl cat .

[root@localhost]# systemctl cat firewalld 
# /usr/lib/systemd/system/firewalld.service
[Unit] 
Description=firewalld - dynamic firewall daemon 
Before=network.target 
Before=libvirtd.service 
Before = NetworkManager.service 
After=dbus.service 
After=polkit.service 
Conflicts=iptables.service ip6tables.service ebtables.service ipset.service 
Documentation=man:firewalld(1)

[Service] 
EnvironmentFile = -/etc/sysconfig/firewalld 
ExecStart = /usr/sbin/firewalld --nofork --nopid $FIREWALLD_ARGS ExecReload = /bin/kill -HUP $MAINPID 
# supress to log debug and error output also to /var/log/messages 
StandardOutput = null 
StandardError = null

Type = dbus 
BusName = org.fedoraproject.FirewallD1

[Install] 
WantedBy = basic.target 
Alias = dbus-org.fedoraproject.FirewallD1.service

[root@localhost]#

Теперь, когда мы исследовали как Systemd и systemctl более подробно, давайте использовать их , чтобы управлять ресурсами в контрольных групп или контрольных групп .

cgroups или группы управления - это функция ядра Linux, которая позволяет администратору выделять или ограничивать системные ресурсы для служб, а также для групп.

Чтобы вывести список активных групп управления, мы можем использовать следующую команду ps -

[root@localhost]# ps xawf -eo pid,user,cgroup,args 
8362 root     -                            \_ [kworker/1:2] 
1 root        -                           /usr/lib/systemd/systemd --switched-
   root --system --    deserialize 21 
507 root     7:cpuacct,cpu:/system.slice  /usr/lib/systemd/systemd-journald 
527 root     7:cpuacct,cpu:/system.slice  /usr/sbin/lvmetad -f 
540 root     7:cpuacct,cpu:/system.slice  /usr/lib/systemd/systemd-udevd 
715 root     7:cpuacct,cpu:/system.slice  /sbin/auditd -n 
731 root     7:cpuacct,cpu:/system.slice   \_ /sbin/audispd 
734 root     7:cpuacct,cpu:/system.slice       \_ /usr/sbin/sedispatch 
737 polkitd  7:cpuacct,cpu:/system.slice  /usr/lib/polkit-1/polkitd --no-debug 
738 rtkit    6:memory:/system.slice/rtki  /usr/libexec/rtkit-daemon 
740 dbus     7:cpuacct,cpu:/system.slice  /bin/dbus-daemon --system --
   address=systemd: --nofork --nopidfile --systemd-activation

Управление ресурсами, начиная с CentOS 6.X, было переопределено с помощью реализации systemd init . Когда вы думаете об управлении ресурсами для сервисов, главное, на что нужно обратить внимание, - это cgroups .cgroupsпродвинулись с systemd как в функциональности, так и в простоте.

Цель cgroups в управлении ресурсами - ни одна служба не может вывести систему из строя в целом. Или ни один процесс обслуживания (возможно, плохо написанный сценарий PHP) не нанесет вреда функциональности сервера, потребляя слишком много ресурсов.

cgroups позволяют управлять ресурсами юнитов для следующих ресурсов:

  • CPU - Ограничение задач с интенсивным использованием процессора, которые не являются критическими, как другие, менее интенсивные задачи

  • Memory - Ограничьте объем памяти, который может потреблять служба

  • Disks - Ограничить дисковый ввод / вывод

** Процессорное время: **

Задачи, требующие меньшего приоритета ЦП, могут иметь настраиваемые сегменты ЦП.

Давайте, например, рассмотрим следующие две службы.

Вежливая служба ЦП 1

[root@localhost]# systemctl cat polite.service 
# /etc/systemd/system/polite.service 
[Unit] 
Description = Polite service limits CPU Slice and Memory 
After=remote-fs.target nss-lookup.target

[Service] 
MemoryLimit = 1M 
ExecStart = /usr/bin/sha1sum /dev/zero 
ExecStop = /bin/kill -WINCH ${MAINPID} 
WantedBy=multi-user.target

# /etc/systemd/system/polite.service.d/50-CPUShares.conf 
[Service] 
CPUShares = 1024 
[root@localhost]#

Злой ЦП Сервис 2

[root@localhost]# systemctl cat evil.service 
# /etc/systemd/system/evil.service 
[Unit] 
Description = I Eat You CPU 
After=remote-fs.target nss-lookup.target

[Service] 
ExecStart = /usr/bin/md5sum /dev/zero 
ExecStop = /bin/kill -WINCH ${MAINPID} 
WantedBy=multi-user.target

# /etc/systemd/system/evil.service.d/50-CPUShares.conf 
[Service] 
CPUShares = 1024 
[root@localhost]#

Давайте установим Polite Service с меньшим приоритетом процессора -

systemctl set-property polite.service CPUShares = 20  
/system.slice/polite.service
1   70.5   124.0K        -        -  

/system.slice/evil.service
1   99.5   304.0K        -        -

Как мы видим, в течение периода обычного простоя системы оба незаконных процесса все еще используют циклы ЦП. Однако тот, у которого меньше временных интервалов, использует меньше процессорного времени. Имея это в виду, мы можем увидеть, как использование меньшего временного интервала позволит важным задачам лучше получить доступ к системным ресурсам.

Чтобы установить службы для каждого ресурса, метод set-property определяет следующие параметры:

systemctl set-property name parameter=value

Срезы ЦП CPUShares
Ограничение памяти MemoryLimit
Мягкий предел памяти MemorySoftLimit
Вес блока ввода-вывода БлокIOWeight
Ограничение заблокированного устройства (указано в / volume / path)) BlockIODeviceWeight
Читать ввод-вывод BlockIOReadBandwidth
Запись на диск IO BlockIOReadBandwidth

Чаще всего услуги будут ограничены использованием ЦП , ограничениями памяти и операций чтения / записи .

После изменения каждого необходимо перезагрузить systemd и перезапустить службу -

systemctl set-property foo.service CPUShares = 250 
systemctl daemon-reload 
systemctl restart foo.service

Настроить CGroups в CentOS Linux

Чтобы создать собственные контрольные группы в CentOS Linux, нам нужно сначала установить службы и настроить их.

Step 1 - Установите libcgroup (если она еще не установлена).

[root@localhost]# yum install libcgroup 
Package libcgroup-0.41-11.el7.x86_64 already installed and latest version 
Nothing to do 
[root@localhost]#

Как мы видим, по умолчанию в CentOS 7 установлена ​​libcgroup с установщиком всего . Использование минимального установщика потребует от нас установки утилит libcgroup вместе с любыми зависимостями.

Step 2 - Запустите и включите службу cgconfig.

[root@localhost]# systemctl enable cgconfig 
Created symlink from /etc/systemd/system/sysinit.target.wants/cgconfig.service to /usr/lib/systemd/system/cgconfig.service. 
[root@localhost]# systemctl start cgconfig 
[root@localhost]# systemctl status cgconfig 
● cgconfig.service - Control Group configuration service 
Loaded: loaded (/usr/lib/systemd/system/cgconfig.service; enabled; vendor preset: disabled) 
Active: active (exited) since Mon 2017-01-23 02:51:42 EST; 1min 21s ago 
Main PID: 4692 (code=exited, status = 0/SUCCESS) 
Memory: 0B 
CGroup: /system.slice/cgconfig.service  

Jan 23 02:51:42 localhost.localdomain systemd[1]: Starting Control Group configuration service... 
Jan 23 02:51:42 localhost.localdomain systemd[1]: Started Control Group configuration service. 
[root@localhost]#

Ниже приведены общие команды, используемые в Process Management: bg, fg, nohup, ps, pstree, top, kill, killall, free, uptime, nice.

Работа с процессами

Quick Note: Process PID in Linux

В Linux каждому запущенному процессу присваивается PID или идентификационный номер процесса. Этот PID определяет, как CentOS идентифицирует конкретный процесс. Как мы уже говорили, systemd - это первый запущенный процесс, которому в CentOS присвоен PID 1.

Pgrep используется для получения PID Linux для заданного имени процесса.

[root@CentOS]# pgrep systemd 
1 
[root@CentOS]#

Как видно, команда pgrep возвращает текущий PID systemd.

Базовый процесс CentOS и управление заданиями в CentOS

При работе с процессами в Linux важно знать, как основные процессы переднего и заднего плана выполняются в командной строке.

  • fg - Выводит процесс на передний план

  • bg - Отодвинуть процесс на задний план

  • jobs - Список текущих процессов, прикрепленных к оболочке

  • ctrl+z - Комбинация клавиш Control + z, чтобы засыпать текущий процесс

  • & - Запускает процесс в фоновом режиме

Начнем с использования команды оболочки sleep .sleepбудет просто делать то, что названо, спать в течение определенного периода времени: спать .

[root@CentOS ~]$ jobs [root@CentOS ~]$ sleep 10 & 
[1] 12454

[root@CentOS ~]$ sleep 20 & [2] 12479 [root@CentOS ~]$ jobs 
[1]-  Running                 sleep 10 & 
[2]+  Running                 sleep 20 &

[cnetos@CentOS ~]$

Теперь давайте выведем на передний план первую работу -

[root@CentOS ~]$ fg 1 
sleep 10

Если вы продолжите, вы заметите, что задание переднего плана застряло в вашей оболочке. Теперь давайте переведем процесс в спящий режим, а затем снова включим его в фоновом режиме.

  • Нажмите Ctrl + Z
  • Введите: bg 1, отправив первое задание в фоновый режим и запустив его.
[root@CentOS ~]$ fg 1 sleep 20 ^Z [1]+ Stopped sleep 20 [root@CentOS ~]$ bg 1 
[1]+ sleep 20 &

[root@CentOS ~]$

нету

При работе из оболочки или терминала стоит отметить, что по умолчанию все процессы и задания, прикрепленные к оболочке, завершаются, когда оболочка закрывается или пользователь выходит из системы. При использовании nohup процесс продолжит работу, если пользователь выйдет из системы или закроет оболочку, к которой прикреплен процесс.

[root@CentOS]# nohup ping www.google.com & 
[1] 27299 
nohup: ignoring input and appending output to ‘nohup.out’

[root@CentOS]# pgrep ping 
27299

[root@CentOS]# kill -KILL `pgrep ping` 
[1]+  Killed                  nohup ping www.google.com

[root@CentOS rdc]# cat nohup.out  
PING www.google.com (216.58.193.68) 56(84) bytes of data. 
64 bytes from sea15s07-in-f4.1e100.net (216.58.193.68): icmp_seq = 1 ttl = 128
time = 51.6 ms 
64 bytes from sea15s07-in-f4.1e100.net (216.58.193.68): icmp_seq = 2 ttl = 128
time = 54.2 ms 
64 bytes from sea15s07-in-f4.1e100.net (216.58.193.68): icmp_seq = 3 ttl = 128
time = 52.7 ms

Команда ps

В psКоманда обычно используется администраторами для исследования снимков определенного процесса. ps обычно используется с grep для фильтрации конкретного процесса для анализа.

[root@CentOS ~]$ ps axw | grep python 
762   ?        Ssl    0:01 /usr/bin/python -Es /usr/sbin/firewalld --nofork -nopid 
1296  ?        Ssl    0:00 /usr/bin/python -Es /usr/sbin/tuned -l -P 
15550 pts/0    S+     0:00 grep --color=auto python

В приведенной выше команде мы видим все процессы, использующие интерпретатор python . Также в результаты была включена наша команда grep, ищущая строку python .

Ниже приведены наиболее распространенные параметры командной строки, используемые с ps .

Переключатель Действие
а Исключает ограничения только процессов отчетности для текущего пользователя
Икс Показывает процессы, не прикрепленные к tty или оболочке
ш Форматы широкоформатного отображения вывода
е Показывает среду после команды
-e Выбирает все процессы
Пользовательский форматированный вывод
-u Показывает все процессы конкретного пользователя
-C Показывает все процессы по имени или идентификатору процесса
--Сортировать Сортирует процессы по определению

Чтобы увидеть все процессы, используемые пользователем nobody -

[root@CentOS ~]$ ps -u nobody PID TTY TIME CMD 1853 ? 00:00:00 dnsmasq [root@CentOS ~]$

Чтобы увидеть всю информацию о процессе firewalld -

[root@CentOS ~]$ ps -wl -C firewalld F S UID PID PPID C PRI NI ADDR SZ WCHAN TTY TIME CMD 0 S 0 762 1 0 80 0 - 81786 poll_s ? 00:00:01 firewalld [root@CentOS ~]$

Посмотрим, какие процессы потребляют больше всего памяти -

[root@CentOS ~]$ ps aux --sort=-pmem | head -10 USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND cnetos 6130 0.7 5.7 1344512 108364 ? Sl 02:16 0:29 /usr/bin/gnome-shell cnetos 6449 0.0 3.4 1375872 64440 ? Sl 02:16 0:00 /usr/libexec/evolution-calendar-factory root 5404 0.6 2.1 190256 39920 tty1 Ssl+ 02:15 0:27 /usr/bin/Xorg :0 -background none -noreset -audit 4 -verbose -auth /run/gdm/auth-for-gdm-iDefCt/database -seat seat0 -nolisten tcp vt1 cnetos 6296 0.0 1.7 1081944 32136 ? Sl 02:16 0:00 /usr/libexec/evolution/3.12/evolution-alarm-notify cnetos 6350 0.0 1.5 560728 29844 ? Sl 02:16 0:01 /usr/bin/prlsga cnetos 6158 0.0 1.4 1026956 28004 ? Sl 02:16 0:00 /usr/libexec/gnome-shell-calendar-server cnetos 6169 0.0 1.4 1120028 27576 ? Sl 02:16 0:00 /usr/libexec/evolution-source-registry root 762 0.0 1.4 327144 26724 ? Ssl 02:09 0:01 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid cnetos 6026 0.0 1.4 1090832 26376 ? Sl 02:16 0:00 /usr/libexec/gnome-settings-daemon [root@CentOS ~]$

Просматривайте все процессы по пользовательским centos и формату, отображая настраиваемый вывод -

[cnetos@CentOS ~]$ ps -u cnetos -o pid,uname,comm 
   PID    USER     COMMAND 
   5802  centos   gnome-keyring-d 
   5812  cnetos   gnome-session 
   5819  cnetos   dbus-launch 
   5820  cnetos   dbus-daemon 
   5888  cnetos   gvfsd 
   5893  cnetos   gvfsd-fuse 
   5980  cnetos   ssh-agent   
   5996  cnetos   at-spi-bus-laun

Команда pstree

pstreeпохож на ps, но используется не часто. Он отображает процессы в виде более аккуратного дерева.

[centos@CentOS ~]$ pstree 
  systemd─┬─ModemManager───2*[{ModemManager}] 
          ├─NetworkManager─┬─dhclient 
          │                └─2*[{NetworkManager}] 
          ├─2*[abrt-watch-log] 
          ├─abrtd 
          ├─accounts-daemon───2*[{accounts-daemon}] 
          ├─alsactl 
          ├─at-spi-bus-laun─┬─dbus-daemon───{dbus-daemon} 
          │                 └─3*[{at-spi-bus-laun}] 
          ├─at-spi2-registr───2*[{at-spi2-registr}] 
          ├─atd 
          ├─auditd─┬─audispd─┬─sedispatch 
          │        │         └─{audispd} 
          │        └─{auditd} 
          ├─avahi-daemon───avahi-daemon 
          ├─caribou───2*[{caribou}] 
          ├─cgrulesengd 
          ├─chronyd 
          ├─colord───2*[{colord}] 
          ├─crond 
          ├─cupsd

Общий вывод из pstree может превышать 100 строк. Обычно ps дает больше полезной информации.

верхняя команда

top- одна из наиболее часто используемых команд при устранении проблем с производительностью в Linux. Это полезно для статистики в реальном времени и мониторинга процессов в Linux. Ниже приводится вывод команды top по умолчанию из командной строки.

Tasks: 170 total,   1 running, 169 sleeping,   0 stopped,   0 zombie 
%Cpu(s):  2.3 us,  2.0 sy,  0.0 ni, 95.7 id,  0.0 wa,  0.0 hi,  0.0 si,  0.0 st 
KiB Mem :  1879668 total,   177020 free,   607544 used,  1095104 buff/cache 
KiB Swap:  3145724 total,  3145428 free,      296 used.  1034648 avail Mem 
 
PID    USER     PR   NI    VIRT     RES   SHR    S  %CPU  %MEM   TIME+   COMMAND
5404   root     20   0    197832   48024  6744   S   1.3   2.6  1:13.22   Xorg
8013   centos   20   0    555316   23104  13140  S   1.0   1.2  0:14.89   gnome-terminal-
6339   centos   20   0    332336   6016   3248   S   0.3   0.3  0:23.71   prlcc
6351   centos   20   0    21044    1532   1292   S   0.3   0.1  0:02.66   prlshprof

Общие горячие клавиши, используемые при запуске top (к горячим клавишам можно получить доступ, нажав клавишу, когда top запущен в вашей оболочке).

Команда Действие
б Включает / отключает выделение жирным шрифтом в верхнем меню
z Циклическое переключение цветовой схемы
л Циклически изменяет заголовок средней нагрузки
м Циклически отображает средний заголовок памяти
т Заголовок информации о задаче
час Меню помощи
Shift + F Настраивает поля сортировки и отображения

Ниже приведены общие переключатели командной строки для top .

Команда Действие
Сортировка по столбцу (можно поставить перед знаком - или + для сортировки по возрастанию или убыванию)
-u Показывает только процессы от указанного пользователя
-d Обновляет время задержки топа
-O Возвращает список столбцов, вверху которых можно применить сортировку

Сортировка экран опций в верхней части, представлены с помощью Shift + F . Этот экран позволяет настраивать верхний дисплей и параметры сортировки.

Fields Management for window 1:Def, whose current sort field is %MEM 
Navigate with Up/Dn, Right selects for move then <Enter> or Left commits, 
 'd' or <Space> toggles display, 's' sets sort.  Use 'q' or <Esc> to end!
 
* PID     = Process Id             TGID    = Thread Group Id      
* USER    = Effective User Name    ENVIRON = Environment vars     
* PR      = Priority               vMj     = Major Faults delta   
* NI      = Nice Value             vMn     = Minor Faults delta   
* VIRT    = Virtual Image (KiB)    USED    = Res+Swap Size (KiB)  
* RES     = Resident Size (KiB)    nsIPC   = IPC namespace Inode  
* SHR     = Shared Memory (KiB)    nsMNT   = MNT namespace Inode
* S       = Process Status         nsNET   = NET namespace Inode  
* %CPU    = CPU Usage              nsPID   = PID namespace Inode  
* %MEM    = Memory Usage (RES)     nsUSER  = USER namespace Inode 
* TIME+   = CPU Time, hundredths   nsUTS   = UTS namespace Inode  
* COMMAND = Command Name/Line 
PPID    = Parent Process pid
UID     = Effective User Id

вверху , показывая процессы для пользователя rdc и отсортированные по использованию памяти -

PID   USER  %MEM  PR  NI    VIRT    RES    SHR    S %CPU     TIME+    COMMAND
 6130  rdc    6.2  20   0  1349592  117160  33232  S  0.0   1:09.34    gnome-shell
 6449  rdc    3.4  20   0  1375872   64428  21400  S  0.0   0:00.43    evolution-calen
 6296  rdc    1.7  20   0  1081944   32140  22596  S  0.0   0:00.40    evolution-alarm
 6350  rdc    1.6  20   0   560728   29844   4256  S  0.0   0:10.16    prlsga
 6281  rdc    1.5  20   0  1027176   28808  17680  S  0.0   0:00.78    nautilus
 6158  rdc    1.5  20   0  1026956   28004  19072  S  0.0   0:00.20    gnome-shell-cal

Отображение действительных верхних полей (сжатое) -

[centos@CentOS ~]$ top -O 
PID 
PPID 
UID 
USER 
RUID 
RUSER 
SUID 
SUSER 
GID 
GROUP 
PGRP 
TTY 
TPGID

команда kill

В killКоманда используется для уничтожения процесса из командной оболочки через его PID. При убийстве процесса нам нужно указать сигнал для отправки. Сигнал сообщает ядру, как мы хотим завершить процесс. Наиболее часто используемые сигналы -

  • SIGTERMподразумевается, поскольку ядро ​​сообщает процессу, что он должен остановиться, как только это будет безопасно. SIGTERM дает процессу возможность корректно завершиться и выполнить безопасные операции выхода.

  • SIGHUPбольшинство демонов перезапускаются при отправке SIGHUP . Это часто используется в процессах, когда в файл конфигурации были внесены изменения.

  • SIGKILLпоскольку SIGTERM эквивалентен запросу на завершение процесса. Ядру нужна возможность завершить процесс, который не будет соответствовать запросам. Когда процесс зависает, опция SIGKILL используется для явного завершения процесса.

Для получения списка отключения всех сигналов , которые могут быть отправлены с убить -l опция может быть использована -

[root@CentOS]# kill -l 
1) SIGHUP           2) SIGINT         3) SIGQUIT        4) SIGILL         5) SIGTRAP
6) SIGABRT          7) SIGBUS         8) SIGFPE         9) SIGKILL       10) SIGUSR1
11) SIGSEGV        12) SIGUSR2       13) SIGPIPE       14) SIGALRM       15) SIGTERM
16) SIGSTKFLT      17) SIGCHLD       18) SIGCONT       19) SIGSTOP       20) SIGTSTP
21) SIGTTIN        22) SIGTTOU       23) SIGURG        24) SIGXCPU       25) SIGXFSZ
26) SIGVTALRM      27) SIGPROF       28) SIGWINCH      29) SIGIO         30) SIGPWR
31) SIGSYS         34) SIGRTMIN      35) SIGRTMIN+1    36) SIGRTMIN+2    37) SIGRTMIN+3
38) SIGRTMIN+4     39) SIGRTMIN+5    40) SIGRTMIN+6    41) SIGRTMIN+7    42) SIGRTMIN+8
43) SIGRTMIN+9     44) SIGRTMIN+10   45) SIGRTMIN+11   46) SIGRTMIN+12   47) SIGRTMIN+13 
48) SIGRTMIN+14    49) SIGRTMIN+15   50) SIGRTMAX-14   51) SIGRTMAX-13   52) SIGRTMAX-12 
53) SIGRTMAX-11    54) SIGRTMAX-10   55) SIGRTMAX-9    56) SIGRTMAX-8    57) SIGRTMAX-7
58) SIGRTMAX-6     59) SIGRTMAX-5    60) SIGRTMAX-4    61) SIGRTMAX-3    62) SIGRTMAX-2
63) SIGRTMAX-1     64) SIGRTMAX

[root@CentOS rdc]#

Использование SIGHUP для перезапуска системы.

[root@CentOS]# pgrep systemd 
1 
464 
500 
643 
15071

[root@CentOS]# kill -HUP 1

[root@CentOS]# pgrep systemd
1 
464 
500 
643 
15196 
15197 
15198

[root@CentOS]#

pkillпозволит администратору отправить сигнал об уничтожении по имени процесса.

[root@CentOS]# pgrep ping 
19450 
[root@CentOS]# pkill -9 ping 
[root@CentOS]# pgrep ping 
[root@CentOS]#

killallубьет все процессы. Будьте осторожны, используя killall как root, так как он убьет все процессы для всех пользователей.

[root@CentOS]# killall chrome

бесплатная команда

free- довольно простая команда, часто используемая для быстрой проверки памяти системы. Он отображает общий объем используемой физической памяти и памяти подкачки.

[root@CentOS]# free 
             total       used      free      shared      buff/cache      available 
Mem:        1879668     526284    699796     10304        653588          1141412 
Swap:       3145724          0    3145724

[root@CentOS]#

хорошая команда

niceпозволит администратору установить приоритет планирования процесса с точки зрения использования ЦП. Удобство в основном заключается в том, как ядро ​​будет планировать отрезки времени процессора для процесса или задания. По умолчанию предполагается, что процессу предоставлен равный доступ к ресурсам ЦП.

Во-первых, давайте воспользуемся top, чтобы проверить удобство работы запущенных в данный момент процессов.

PID   USER   PR   NI    VIRT    RES    SHR   S  %CPU  %MEM     TIME+    COMMAND
28    root   39   19       0      0      0   S  0.0   0.0    0:00.17    khugepaged
690   root   39   19   16808   1396   1164   S  0.0   0.1    0:00.01    alsactl]
9598  rdc    39   19  980596  21904  10284   S  0.0   1.2    0:00.27    tracker-extract
9599  rdc    39   19  469876   9608   6980   S  0.0   0.5    0:00.04    tracker-miner-a
9609  rdc    39   19  636528  13172   8044   S  0.0   0.7    0:00.12    tracker-miner-f
9611  rdc    39   19  469620   8984   6496   S  0.0   0.5    0:00.02    tracker-miner-u
27    root   25    5       0      0      0   S  0.0   0.0    0:00.00    ksmd
637   rtkit  21    1  164648   1276   1068   S  0.0   0.1    0:00.11    rtkit-daemon
1     root   20    0  128096   6712   3964   S  0.3   0.4    0:03.57    systemd
2     root   20    0       0      0      0   S  0.0   0.0    0:00.01    kthreadd
3     root   20    0       0      0      0   S  0.0   0.0    0:00.50    ksoftirqd/0
7     root   20    0       0      0      0   S  0.0   0.0    0:00.00    migration/0
8     root   20    0       0      0      0   S  0.0   0.0    0:00.00    rcu_bh
9     root   20    0       0      0      0   S  0.0   0.0    0:02.07    rcu_sched

Мы хотим сосредоточиться на колонке NICE, изображенной NI . Диапазон приятности может быть от -20 до положительного 19. -20 представляет наивысший приоритет.

nohup nice --20 ping www.google.com &

Ренис

renice позволяет нам изменить текущий приоритет уже запущенного процесса.

renice 17 -p 30727

Вышеупомянутая команда понизит приоритет нашей команды процесса ping .

firewalld - это интерфейсный контроллер по умолчанию для iptables в CentOS. Интерфейс firewalld имеет два основных преимущества перед необработанными iptables:

  • Использует простые в настройке и реализации цепочки и правила абстрагирования зон.

  • Наборы правил являются динамическими, то есть соединения с отслеживанием состояния не прерываются при изменении и / или изменении настроек.

Помните, firewalld - это оболочка для iptables, а не замена. Хотя пользовательские команды iptables могут использоваться с firewalld , рекомендуется использовать firewalld, чтобы не нарушать функциональность брандмауэра.

Во-первых, давайте убедимся, что firewalld запущен и включен.

[root@CentOS rdc]# systemctl status firewalld 
● firewalld.service - firewalld - dynamic firewall daemon 
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) 
Active: active (running) since Thu 2017-01-26 21:42:05 MST; 3h 46min ago 
 Docs: man:firewalld(1) 
Main PID: 712 (firewalld) 
  Memory: 34.7M 
 CGroup: /system.slice/firewalld.service 
       └─712 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Мы видим, что firewalld активен (запускается при загрузке) и запущен в данный момент. Если неактивен или не запущен, мы можем использовать -

systemctl start firewalld && systemctl enable firewalld

Теперь, когда наша служба firewalld настроена, давайте убедимся, что она работает.

[root@CentOS]# firewall-cmd --state 
running 
[root@CentOS]#

Как видим, сервис firewalld полностью функционален.

Firewalld работает над концепцией зон . Зона применяется к сетевым интерфейсам через Network Manager. Мы обсудим это при настройке сети . Но пока по умолчанию изменение зоны по умолчанию приведет к изменению любых сетевых адаптеров, оставшихся в состоянии по умолчанию «Зона по умолчанию».

Давайте кратко рассмотрим каждую зону, которая поставляется с firewalld "из коробки" .

Sr.No. Зона и описание
1

drop

Низкий уровень доверия. Все входящие соединения и пакеты отбрасываются, и только исходящие соединения возможны через statefullness

2

block

На входящие соединения отправляется сообщение icmp, информирующее инициатора о том, что запрос запрещен.

3

public

Все сети ограничены. Однако выбранные входящие соединения могут быть явно разрешены

4

external

Настраивает firewalld для NAT. Внутренняя сеть остается частной, но доступной

5

dmz

Разрешены только определенные входящие соединения. Используется для систем в изоляции DMZ

6

work

По умолчанию доверять большему количеству компьютеров в сети, предполагая, что система находится в защищенной рабочей среде.

7

hone

По умолчанию больше сервисов не фильтруются. Предполагая, что система находится в домашней сети, где будут использоваться такие службы, как NFS, SAMBA и SSDP.

8

trusted

Все машины в сети являются доверенными. Большинство входящих соединений разрешены без ограничений.This is not meant for interfaces exposed to the Internet

Чаще всего используются следующие зоны: общественная, временная, рабочая и домашняя.

Некоторые сценарии, в которых будет использоваться каждая общая зона:

  • public- Это самая распространенная зона, используемая администратором. Это позволит вам применить пользовательские настройки и соблюдать спецификации RFC для операций в локальной сети.

  • drop- Хороший пример того, когда использовать drop, - это конференция по безопасности, общедоступный Wi-Fi или интерфейс, подключенный напрямую к Интернету. drop предполагает, что все незапрошенные запросы являются вредоносными, включая зонды ICMP. Таким образом, любой запрос за пределами штата не получит ответа. Обратной стороной отказа является то, что он может нарушить функциональность приложений в определенных ситуациях, требующих строгого соответствия RFC.

  • work- Вы находитесь в полузащищенной корпоративной локальной сети. Где весь трафик можно считать умеренно безопасным. Это означает, что это не Wi-Fi, и, возможно, у нас есть IDS, IPS и физическая безопасность или 802.1x. Мы также должны быть знакомы с людьми, использующими локальную сеть.

  • home- Вы находитесь в домашней сети. Вы несете личную ответственность за каждую систему и каждого пользователя в локальной сети. Вы знаете каждую машину в локальной сети, и ни одна из них не была взломана. Часто появляются новые службы для обмена мультимедиа среди доверенных лиц, и вам не нужно тратить дополнительное время из соображений безопасности.

Зоны и сетевые интерфейсы работают от одного до многих. К одному сетевому интерфейсу может быть применена только одна зона одновременно. В то время как зона может применяться ко многим интерфейсам одновременно.

Посмотрим, какие зоны доступны и какие зоны используются в данный момент.

[root@CentOS]# firewall-cmd --get-zones 
 work drop internal external trusted home dmz public block

[root@CentOS]# firewall-cmd --get-default-zone 
public
[root@CentOS]#

Готовы добавить настраиваемые правила в firewalld?

Во-первых, давайте посмотрим, как выглядит наша коробка для сканера портов снаружи.

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1
 
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:36 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00046s latency). 
Not shown: 1023 filtered ports 
PORT   STATE SERVICE 
22/tcp open  ssh


Nmap done: 1 IP address (1 host up) scanned in 3.71 seconds 
bash-3.2#

Разрешим входящие запросы на порт 80.

Сначала проверьте, какая зона применяется по умолчанию.

[root@CentOs]# firewall-cmd --get-default-zone 
public
[root@CentOS]#

Затем установите правило, разрешающее порт 80 для текущей зоны по умолчанию.

[root@CentOS]# firewall-cmd --zone=public --add-port = 80/tcp 
success
[root@CentOS]#

Теперь давайте отметим наш флажок после разрешения подключений к порту 80.

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1

Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:42 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00053s latency). 
Not shown: 1022 filtered ports 
PORT   STATE  SERVICE 
22/tcp open   ssh 
80/tcp closed http

Nmap done: 1 IP address (1 host up) scanned in 3.67 seconds 
bash-3.2#

Теперь он разрешает нежелательный трафик до 80.

Давайте соберем зону по умолчанию , чтобы упасть и посмотреть , что происходит сканирование портов.

[root@CentOS]# firewall-cmd --set-default-zone=drop 
success

[root@CentOS]# firewall-cmd --get-default-zone 
drop

[root@CentOs]#

Теперь просканируем хост с сетевым интерфейсом в более безопасной зоне.

bash-3.2# nmap -sS -p 1-1024 -T 5  10.211.55.1 
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-27 23:50 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00094s latency). 
All 1024 scanned ports on centos.shared (10.211.55.1) are filtered

Nmap done: 1 IP address (1 host up) scanned in 12.61 seconds 
bash-3.2#

Теперь все фильтруется извне.

Как показано ниже, хост даже не будет отвечать на запросы проверки связи ICMP при отключении .

bash-3.2# ping 10.211.55.1 
PING 10.211.55.1 (10.211.55.1): 56 data bytes 
Request timeout for icmp_seq 0 
Request timeout for icmp_seq 1 
Request timeout for icmp_seq 2

Давайте снова сделаем общедоступной зоной по умолчанию .

[root@CentOs]# firewall-cmd --set-default-zone=public 
success

[root@CentOS]# firewall-cmd --get-default-zone 
public

[root@CentOS]#

Теперь давайте проверим наш текущий набор правил фильтрации публично .

[root@CentOS]# firewall-cmd --zone=public --list-all 
public (active) 
target: default 
icmp-block-inversion: no 
interfaces: enp0s5 
sources:  
services: dhcpv6-client ssh 
ports: 80/tcp 
protocols:  
masquerade: no 
forward-ports:  
sourceports:  
icmp-blocks:  
rich rules:

[root@CentOS rdc]#

В соответствии с настройками наше правило фильтрации порта 80 действует только в контексте текущей конфигурации. Это означает, что после перезагрузки системы или перезапуска службы firewalld наше правило будет отменено.

Скоро мы будем настраивать демон httpd , поэтому давайте сделаем наши изменения постоянными -

[root@CentOS]# firewall-cmd --zone=public --add-port=80/tcp --permanent 
success

[root@CentOS]# systemctl restart firewalld

[root@CentOS]#

Теперь наше правило порта 80 в публичной зоне сохраняется при перезагрузках и перезапусках служб.

Ниже приведены общие команды firewalld, применяемые с firewall-cmd .

Команда Действие
брандмауэр-cmd --get-зоны Список всех зон, которые можно применить к интерфейсу.
firewall-cmd —status Возвращает текущий статус службы firewalld
брандмауэр-cmd - get-default-zone Получает текущую зону по умолчанию
firewall-cmd --set-default-zone = <зона> Устанавливает зону по умолчанию в текущий контекст
брандмауэр-cmd --get-active-zone Получает текущие зоны в контексте применительно к интерфейсу
брандмауэр-cmd --zone = <зона> --list-all Перечисляет конфигурацию поставляемой зоны
firewall-cmd --zone = <зона> --addport = <порт / транспортный протокол> Применяет правило порта к фильтру зоны
- постоянный Делает изменения в зоне постоянными. Флаг используется в командах модификации

Это основные концепции администрирования и настройки firewalld .

Настройка служб межсетевого экрана на основе хоста в CentOS может оказаться сложной задачей в более сложных сетевых сценариях. Расширенное использование и настройка firewalld и iptables в CentOS может занять целое руководство. Однако мы представили основы, которых должно хватить для выполнения большинства повседневных задач.

PHP - один из наиболее широко используемых сегодня веб-языков. Установка LAMP Stack в CentOS - это то, что должен будет выполнить каждый системный администратор, скорее всего, раньше, чем позже.

Традиционный стек LAMP состоит из (L) inux (A) pache (M) ySQL (P) HP.

Стек LAMP в CentOS состоит из трех основных компонентов:

  • Веб сервер
  • Платформа веб-разработки / язык
  • Сервер базы данных

Note- Термин LAMP Stack может также включать следующие технологии: PostgreSQL, MariaDB, Perl, Python, Ruby, NGINX Webserver.

В этом руководстве мы будем придерживаться традиционного стека LAMP для CentOS GNU Linux: веб-сервер Apache, сервер базы данных MySQL и PHP.

Фактически мы будем использовать MariaDB. Файлы конфигурации MySQL, базы данных и таблицы прозрачны для MariaDB. MariaDB теперь включен в стандартный репозиторий CentOS вместо MySQL. Это связано с ограничениями лицензирования и совместимости с открытым исходным кодом, поскольку Oracle взяла на себя разработку MySQL.

Первое, что нам нужно сделать, это установить Apache.

[root@CentOS]# yum install httpd
Loaded plugins: fastestmirror, langpacks
base
| 3.6 kB  00:00:00
extras
| 3.4 kB  00:00:00
updates
| 3.4 kB  00:00:00
extras/7/x86_64/primary_d
| 121 kB  00:00:00
Loading mirror speeds from cached hostfile
* base: mirror.sigmanet.com
* extras: linux.mirrors.es.net
* updates: mirror.eboundhost.com
Resolving Dependencies
--> Running transaction check
---> Package httpd.x86_64 0:2.4.6-45.el7.centos will be installed
--> Processing Dependency: httpd-tools = 2.4.6-45.el7.centos for package:
httpd-2.4.6-45.el7.centos.x86_64
--> Processing Dependency: /etc/mime.types for package: httpd-2.4.645.el7.centos.x86_64
--> Running transaction check
---> Package httpd-tools.x86_64 0:2.4.6-45.el7.centos will be installed
---> Package mailcap.noarch 0:2.1.41-2.el7 will be installed
--> Finished Dependency Resolution
Installed:
httpd.x86_64 0:2.4.6-45.el7.centos

Dependency Installed:
httpd-tools.x86_64 0:2.4.6-45.el7.centos
mailcap.noarch 0:2.1.41-2.el7

Complete!
[root@CentOS]#

Настройка Давайте HTTPD обслуживание.

[root@CentOS]# systemctl start httpd && systemctl enable httpd

Теперь убедимся, что веб-сервер доступен через firewalld.

bash-3.2# nmap -sS -p 1-1024 -T 5  -sV 10.211.55.1 
Starting Nmap 7.30 ( https://nmap.org ) at 2017-01-28 02:00 MST 
Nmap scan report for centos.shared (10.211.55.1) 
Host is up (0.00054s latency). 
Not shown: 1022 filtered ports 
PORT   STATE SERVICE VERSION 
22/tcp open  ssh     OpenSSH 6.6.1 (protocol 2.0) 
80/tcp open  http    Apache httpd 2.4.6 ((CentOS))

Service detection performed. Please report any incorrect results at 
https://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 10.82 seconds bash-3.2#

Как вы можете видеть с помощью зонда службы nmap, веб-сервер Apache прослушивает и отвечает на запросы на хосте CentOS.

Установить сервер базы данных MySQL

[root@CentOS rdc]# yum install mariadb-server.x86_64 && yum install mariadb-
devel.x86_64 && mariadb.x86_64 && mariadb-libs.x86_64

Мы устанавливаем следующие пакеты репозитория для MariaDB -

mariadb-server.x86_64

Основной пакет демона MariaDB Server.

mariadb-devel.x86_64

Файлы необходимо компилировать из исходного кода с совместимостью с MySQL / MariaDB.

mariadb.x86_64

Клиентские утилиты MariaDB для управления сервером MariaDB из командной строки.

mariadb-libs.x86_64

Общие библиотеки для MariaDB, которые могут понадобиться для других приложений, скомпилированных с поддержкой MySQL / MariaDB.

Теперь давайте запустим и включим службу MariaDB.

[root@CentOS]# systemctl start mariadb 
[root@CentOS]# systemctl enable  mariadb

Note- В отличие от Apache, мы не будем разрешать подключения к MariaDB через наш брандмауэр на основе хоста (firewalld). При использовании сервера базы данных наилучшей практикой безопасности считается разрешение только локальных подключений к сокетам, если только удаленный доступ к сокетам не требуется.

Убедитесь, что сервер MariaDB принимает соединения.

[root@CentOS#] netstat -lnt 
Active Internet connections (only servers) 
Proto     Recv-Q     Send-Q     Local Address        Foreign Address      State       
tcp            0          0     0.0.0.0:3306         0.0.0.0:*            LISTEN      
tcp            0          0     0.0.0.0:111          0.0.0.0:*            LISTEN      
tcp            0          0     192.168.122.1:53     0.0.0.0:*            LISTEN      
tcp            0          0     0.0.0.0:22           0.0.0.0:*            LISTEN      
tcp            0          0     127.0.0.1:631        0.0.0.0:*            LISTEN      
tcp            0          0     127.0.0.1:25         0.0.0.0:*            LISTEN 
     
[root@CentOS rdc]#

Как мы видим, MariaDB прослушивает порт 3306 tcp. Мы оставим наш брандмауэр на основе хоста (firewalld), блокирующий входящие подключения к порту 3306.

Установить и настроить PHP

[root@CentOS#]  yum install php.x86_64 && php-common.x86_64 && php-mysql.x86_64 
&& php-mysqlnd.x86_64 && php-pdo.x86_64 && php-soap.x86_64 && php-xml.x86_64

Я бы рекомендовал установить следующие пакеты php для общей совместимости -

  • php-common.x86_64
  • php-mysql.x86_64
  • php-mysqlnd.x86_64
  • php-pdo.x86_64
  • php-soap.x86_64
  • php-xml.x86_64
[root@CentOS]# yum install -y php-common.x86_64 php-mysql.x86_64 php-
mysqlnd.x86_64 php-pdo.x86_64 php-soap.x86_64 php-xml.x86_64

Это наш простой файл php, расположенный в корневом каталоге Apache по адресу / var / www / html /.

[root@CentOS]# cat /var/www/html/index.php  
<html> 
   <head> 
      <title>PHP Test Page</title> 
   </head>
   
   <body> 
      PHP Install 
      <?php 
         echo "We are now running PHP on GNU Centos Linux!<br />" 
      ?> 
   </body> 
</html>

[root@CentOS]#

Давайте изменим группу владельцев нашей страницы на системного пользователя, под которым работает наш демон http.

[root@CentOS]# chgrp httpd /var/www/html/index.php && chmod g+rx /var/www/html/index.php
---

При запросе вручную через ncat.

bash-3.2# ncat 10.211.55.1 80 
   GET / index.php 
   HTTP/1.1 200 OK 
   Date: Sat, 28 Jan 2017 12:06:02 GMT 
   Server: Apache/2.4.6 (CentOS) PHP/5.4.16 
   X-Powered-By: PHP/5.4.16 
   Content-Length: 137 
   Connection: close 
   Content-Type: text/html; charset=UTF-8
   
<html> 
   <head> 
      <title>PHP Test Page</title> 
   </head>
   
   <body> 
      PHP Install 
      We are now running PHP on GNU Centos Linux!<br />
   </body> 
</html>

bash-3.2#

PHP и LAMP - очень популярные технологии веб-программирования. Установка и настройка LAMP обязательно войдут в список ваших потребностей как администратора CentOS. Простые в использовании пакеты CentOS потребовали много работы от компиляции Apache, MySQL и PHP из исходного кода.

Python - широко используемый интерпретируемый язык, который привнес профессионализм в мир написания скриптовых приложений в Linux (и других операционных системах). Если Perl когда-то был отраслевым стандартом, Python во многих отношениях превзошел Perl.

Некоторые сильные стороны Python по сравнению с Perl:

  • Быстрый прогресс в совершенствовании

  • Библиотеки, стандартные для языка

  • Читаемость кода продумана определением языка

  • Множество профессиональных фреймворков для всего, от поддержки графического интерфейса до веб-разработки.

Python может делать все, что может делать Perl, и во многих случаях лучше. Хотя Perl по-прежнему занимает свое место среди инструментов администратора Linux, изучение Python - отличный выбор в качестве набора навыков.

Самые большие недостатки Python иногда связаны с его сильными сторонами. Исторически Python изначально создавался для обучения программированию. Иногда его основные принципы «легко читаемого» и «правильного поведения» могут вызывать ненужные сложности при написании простого кода. Кроме того, его стандартные библиотеки вызвали проблемы при переходе с версий 2.X на 3.X.

Скрипты Python фактически используются в ядре CentOS для функций, жизненно важных для функциональности операционной системы. По этой причине важно изолировать нашу среду разработки Python от основной среды Python CentOS.

Для начала, в настоящее время существует две версии Python: Python 2.X и Python 3.X.

Обе стадии все еще находятся в активном производстве, хотя версия 2.X быстро приближается к снижению стоимости (и так было уже несколько лет). Причина появления двух активных версий Python в основном заключалась в исправлении недостатков версии 2.X. Для этого потребовалось переделать некоторые основные функции версии 3.X, чтобы не поддерживать некоторые сценарии версии 2.X.

По сути, лучший способ преодолеть этот переход - разработать для 3.X и не отставать от последней версии 2.X для устаревших скриптов. В настоящее время CentOS 7.X полагается на полутекущую версию версии 2.X.

На момент написания этой статьи самыми последними версиями Python являются: 3.4.6 и 2.7.13.

Не позволяйте этому путать или делать какие-либо выводы о Python. Настроить среду Python действительно довольно просто. С помощью фреймворков и библиотек Python эту задачу действительно легко выполнить.

Перед настройкой среды Python нам нужна нормальная среда. Для начала давайте удостоверимся, что наша установка CentOS полностью обновлена, и установим некоторые строительные утилиты.

Step 1 - Обновите CentOS.

[root@CentOS]# yum -y update

Step 2 - Установить утилиты сборки.

[root@CentOS]# yum -y groupinstall "development tools"

Step 3 - Установите необходимые пакеты.

[root@CentOS]# yum install -y zlib-dev openssl-devel sqlite-devel bip2-devel

Теперь нам нужно установить текущие версии Python 2.X и 3.X из исходников.

  • Скачать сжатые архивы
  • Извлечь файлы
  • Скомпилировать исходный код

Начнем с создания каталога сборки для каждой установки Python в / usr / src /

[root@CentOS]# mkdir -p /usr/src/pythonSource

Теперь давайте загрузим архивы с исходным кодом для каждого -

[root@CentOS]# wget https://www.python.org/ftp/python/2.7.13/Python-2.7.13.tar.xz
[root@CentOS]# wget https://www.python.org/ftp/python/3.6.0/Python-3.6.0.tar.xz

Теперь нам нужно извлечь каждую из архива.

Step 1 - Установите xz-libs и распакуйте архивы.

[root@CentOS]# yum install xz-libs
[root@CentOS python3]# xz -d ./*.xz
[root@CentOS python3]# ls
Python-2.7.13.tar  Python-3.6.0.tar
[root@CentOS python3]#

Step 2 - Извлеките каждый установщик из архива.

[root@CentOS]# tar -xvf ./Python-2.7.13.tar
[root@CentOS]# tar -xvf ./Python-3.6.0.tar

Step 3 - Войдите в каждый каталог и запустите сценарий настройки.

[root@CentOS]# ./configure --prefix=/usr/local 
root@CentOS]# make altinstall

Note - Обязательно используйте altinstallа не установить. Это позволит разделить CentOS и разрабатываемые версии Python. В противном случае вы можете нарушить функциональность CentOS.

Теперь вы увидите, что начинается процесс компиляции. Возьмите чашку кофе и сделайте 15-минутный перерыв до конца. Поскольку мы установили все необходимые зависимости для Python, процесс компиляции должен завершиться без ошибок.

Убедитесь, что у нас установлена ​​последняя версия Python 2.X.

[root@CentOS Python-2.7.13]# /usr/local/bin/python2.7 -V 
Python 2.7.13
[root@CentOS Python-2.7.13]#

Note - Вам нужно добавить префикс к строке shebang, указывающей на нашу среду разработки для Python 2.X.

[root@CentOS Python-2.7.13]# cat ver.py  
#!/usr/local/bin/python2.7 
import sys 
print(sys.version)

[root@CentOS Python-2.7.13]# ./ver.py 
2.7.13 (default, Jan 29 2017, 02:24:08)
[GCC 4.8.5 20150623 (Red Hat 4.8.5-11)]

Точно так же у нас есть отдельные установки Python для версий 2.X и 3.X. Отсюда мы можем использовать все и такие утилиты, какpip и virtualenv для дальнейшего облегчения управления средами Python и установкой пакетов.

Ruby - отличный язык как для веб-разработки, так и для администрирования Linux. Ruby предоставляет множество преимуществ, которые можно найти на всех рассмотренных ранее языках: PHP, Python и Perl.

Чтобы установить Ruby, лучше всего выполнить загрузку через rbenv, что позволяет администраторам легко устанавливать среды Ruby и управлять ими.

Другой метод установки Ruby - стандартные пакеты CentOS для Ruby. Желательно использовать метод rbenv со всеми его преимуществами. Пакеты CentOS будут проще для тех, кто не разбирается в Ruby.

Во-первых, давайте получим некоторые необходимые зависимости для установщика rbenv.

  • git-core
  • zlib
  • zlib-devel
  • gcc-c++
  • patch
  • readline
  • readline-devel
  • libyaml-devel
  • libffi-devel
  • openssl-devel
  • make
  • bzzip2
  • autoconf
  • automake
  • libtool
  • bison
  • curl
  • sqlite-devel

Большинство этих пакетов могут быть уже установлены в зависимости от выбранных опций и ролей при установке CentOS. Хорошо установить все, в чем мы не уверены, поскольку это может уменьшить головную боль при установке пакетов, требующих зависимостей.

[root@CentOS]# yum -y install git-core zlib zlib-devel gcc-c++ patch readline 
readline-devel libyaml-devel libffi-devel openssl-devel make bzip2 autoconf 
automake libtool bison curl sqlite-devel

Метод 1: rbenv для динамических сред разработки Ruby

Теперь как пользователь, который будет использовать Ruby -

[rdc@CentOS ~]$ git clone https://github.com/rbenv/rbenv.git
[rdc@CentOS ~]$  https://github.com/rbenv/ruby-build.git

ruby-build предоставит возможности установки для rbenv -

Note- Нам нужно переключиться на пользователя root или администратора перед запуском install.sh

[rdc@CentOS ruby-build]$ cd ~/ruby-build
[rdc@CentOS ruby-build]# ./install.sh

Давайте настроим нашу оболочку для rbenv и убедимся, что мы установили правильные параметры.

[rdc@CentOS ~]$ source ~/rbenv/rbenv.d/exec/gem-rehash.bash [rdc@CentOS ruby-build]$ ~/rbenv/bin/rbenv  
rbenv 1.1.0-2-g4f8925a 
Usage: rbenv <command> [<args>]

Некоторые полезные команды rbenv:

Команды Действие
местный Устанавливает или показывает версию Ruby для локального приложения
Глобальный Устанавливает или показывает глобальную версию Ruby
оболочка Устанавливает или показывает версию Ruby для конкретной оболочки
установить Устанавливает версию Ruby с помощью ruby-build
удалить Удаляет определенную версию Ruby
перефразировать Перекрашивает прокладки rbenv (запустите после установки исполняемых файлов)
версия Показывает текущую версию Ruby и ее происхождение
версии Список всех версий Ruby, доступных для rbenv
который Отображает полный путь к исполняемому файлу
откуда Перечисляет все версии Ruby, содержащие данный исполняемый файл

Теперь установим Ruby -

[rdc@CentOS bin]$ ~/rbenv/bin/rbenv install -v 2.2.1

После завершения компиляции -

[rdc@CentOS ~]$ ./ruby -v 
ruby 2.2.1p85 (2015-02-26 revision 49769) [x86_64-linux] 
[rdc@CentOS ~]$

Теперь у нас есть рабочая среда Ruby с обновленной и рабочей версией ветки Ruby 2.X.

Метод 2: установка Ruby из пакетов CentOS

Это самый простой способ. Однако он может быть ограничен версией и гемами, упакованными из CentOS. Для серьезных разработок настоятельно рекомендуется использовать метод rbenv для установки Ruby.

Установите Ruby, необходимые пакеты разработки и некоторые распространенные гемы.

[root@CentOS rdc]# yum install -y ruby.x86_64 ruby-devel.x86_64 ruby-
libs.x86_64 ruby-gem-json.x86_64 rubygem-rake.noarch

К сожалению, у нас осталась несколько устаревшая версия Ruby.

[root@CentOS rdc]# ruby -v 
ruby 2.0.0p648 (2015-12-16) [x86_64-linux]
[root@CentOS rdc]#

Perlсуществует уже давно. Первоначально он был разработан как язык отчетов, используемый для анализа текстовых файлов. С ростом популярности Perl добавил поддержку модулей или CPAN, сокеты, многопоточность и другие функции, необходимые для мощного языка сценариев.

Самым большим преимуществом Perl перед PHP, Python или Ruby является то, что он выполняет работу с минимальными усилиями. Эта философия Perl не всегда означает, что все делается правильно. Однако для административных задач в Linux Perl считается лучшим выбором для языка сценариев.

Некоторые преимущества Perl перед Python или Ruby:

  • Мощная обработка текста

  • Perl делает написание сценариев быстрым и грязным (обычно сценарий Perl будет на несколько десятков строк короче, чем его эквивалент на Python или Ruby)

  • Perl может делать что угодно (почти)

Некоторые недостатки Perl -

  • Синтаксис может сбивать с толку

  • Стиль программирования на Perl может быть уникальным и мешать совместной работе

  • Perl на самом деле не объектно-ориентированный

  • Обычно при использовании Perl не уделяется много внимания стандартизации и передовой практике.

Когда решаете, использовать ли Perl, Python или PHP; следует задать следующие вопросы -

  • Потребуется ли когда-нибудь для этого приложения управление версиями?
  • Потребуется ли когда-нибудь другим людям изменять код?
  • Нужно ли будет другим людям пользоваться этим приложением?
  • Будет ли это приложение когда-либо использоваться на другой машине или архитектуре процессора?

Если ответ на все вышеперечисленное - «нет», Perl - хороший выбор и может ускорить процесс с точки зрения конечных результатов.

С учетом вышесказанного давайте настроим наш сервер CentOS для использования самой последней версии Perl.

Перед установкой Perl нам нужно понять поддержку Perl. Официально Perl поддерживается только в двух последних стабильных версиях. Итак, мы хотим быть уверены, что наша среда разработки изолирована от версии CentOS.

Причина изоляции: если кто-то выпустит инструмент на Perl для сообщества CentOS, более чем вероятно, что он будет изменен для работы на Perl, поставляемом с CentOS. Однако мы также хотим, чтобы в целях разработки была установлена ​​последняя версия. Как и Python, CentOS поставляет Perl, ориентированный на надежность, а не на передовые технологии.

Давайте проверим нашу текущую версию Perl на CentOS 7.

[root@CentOS]# perl -v 
This is perl 5, version 16, subversion 3 (v5.16.3) built for x86_64-linux-thread-multi

В настоящее время мы работаем на Perl 5.16.3. Самая последняя версия на момент написания: perl-5.24.0

Мы определенно хотим обновить нашу версию, чтобы иметь возможность использовать современные модули Perl в нашем коде. К счастью, есть отличный инструмент для поддержки среды Perl и изолирования нашей версии Perl для CentOS. Это называетсяperlbrew.

Установим Perl Brew.

[root@CentOS]# curl -L https://install.perlbrew.pl | bash 
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current 
                             Dload  Upload   Total   Spent    Left  Speed 
100   170  100   170    0     0    396      0 --:--:-- --:--:-- --:--:--   397 
100  1247  100  1247    0     0   1929      0 --:--:-- --:--:-- --:--:--  1929

Теперь, когда у нас установлен Perl Brew, давайте создадим среду для последней версии Perl.

Во-первых, нам понадобится текущая установленная версия Perl для начальной загрузки установки perlbrew. Итак, возьмем необходимые модули Perl из репозитория CentOS.

Note - Когда они доступны, мы всегда хотим использовать модули CentOS Perl вместо CPAN с нашей установкой CentOS Perl.

Step 1 - Установите модуль CentOS Perl Make :: Maker.

[root@CentOS]# yum -y install perl-ExtUtils-MakeMaker.noarch

Step 2 - Установите последнюю версию perl.

[root@CentOS build]# source ~/perl5/perlbrew/etc/bashrc
[root@CentOS build]# perlbrew install -n -j4 --threads perl-5.24.1

Для установки Perl мы выбрали следующие варианты:

  • n - Нет тестов

  • j4 - Выполнять 4 потока параллельно для процедур установки (мы используем четырехъядерный ЦП)

  • threads - Включить поддержку потоковой передачи для Perl

После того, как наша установка будет успешно выполнена, давайте переключимся на нашу новейшую среду Perl.

[root@CentOS]# ~/perl5/perlbrew/bin/perlbrew use perl-5.24.1

A sub-shell is launched with perl-5.24.1 as the activated perl. Run 'exit' to finish it.

[root@CentOS]# perl -v

This is perl 5, version 24, subversion 1 (v5.24.1) built for x86_64-linuxthread-multi

(with 1 registered patch, see perl -V for more detail)

Copyright 1987-2017, Larry Wall

Perl may be copied only under the terms of either the Artistic License or the GNU General
Public License, which may be found in the Perl 5 source kit.

Complete documentation for Perl, including FAQ lists, should be found on this system 
using "man perl" or "perldoc perl".  If you have access to the Internet, point your 
browser at http://www.perl.org/, the Perl Home Page.

[root@CentOS]#

Простой сценарий Perl для печати версии Perl, работающей в контексте нашей среды perlbrew -

[root@CentOS]# cat ./ver.pl  
#!/usr/bin/perl
print $^V . "\n";

[root@CentOS]# perl ./ver.pl  
v5.24.1 
[root@CentOS]#

После установки perl мы можем загружать модули cpan с помощью cpanm perl brew -

[root@CentOS]# perl-brew install-cpanm

Теперь давайте воспользуемся установщиком cpanm, чтобы создать модуль LWP с нашей текущей версией Perl 5.24.1 в perl brew.

Step 1 - Переключитесь на контекст нашей текущей версии Perl.

[root@CentOS ~]# ~/perl5/perlbrew/bin/perlbrew use perl-5.24.1

Подоболочка запускается с perl-5.24.1 в качестве активированного perl. Выполните exit, чтобы завершить его.

[root@CentOS ~]#

Step 2 - Установите модуль Perl агента пользователя LWP.

[root@CentOS ~]# ~/perl5/perlbrew/bin/cpanm -i LWP::UserAgent

Step 3 - Теперь давайте протестируем нашу среду Perl с новым модулем CPAN.

[root@CentOS ~]# cat ./get_header.pl  
#!/usr/bin/perl 
use LWP; 
my $browser = LWP::UserAgent->new(); my $response = $browser->get("http://www.slcc.edu/"); unless(!$response->is_success) { 
   print $response->header("Server"); 
}

[root@CentOS ~]# perl ./get_header.pl  
Microsoft-IIS/8.5 [root@CentOS ~]#

Вот и все! Perl Brew упрощает изоляцию сред Perl и может считаться лучшей практикой, как и в случае с Perl.

LDAP, известный как Light Weight Directory Access Protocol- это протокол, используемый для доступа к контейнерам служб X.500 на предприятии, известном из каталога. Те, кто знаком с администрированием Windows Server, могут думать, что LDAP очень похож по своей природе на Active Directory. Это даже широко используемая концепция объединения рабочих станций Windows в предприятие OpenLDAP CentOS. С другой стороны, рабочая станция CentOS Linux может совместно использовать ресурсы и участвовать с базовыми функциями в домене Windows.

Развертывание LDAP на CentOS в качестве агента сервера каталогов, агента системы каталогов или DSA (все эти аббревиатуры - одно и то же) аналогично более старым установкам Novell Netware с использованием структуры дерева каталогов с NDS.

Краткая история LDAP

LDAP был в основном создан как эффективный способ доступа к каталогам X.500 с корпоративными ресурсами. И X.500, и LDAP имеют одинаковые характеристики и настолько похожи, что клиенты LDAP могут обращаться к каталогам X.500 с помощью некоторых помощников. Хотя у LDAP также есть собственный сервер каталогов, называемыйslapd. Основное различие между LDAP и DAP заключается в том, что облегченная версия предназначена для работы через TCP.

Хотя DAP использует полную модель OSI. С появлением Интернета, TCP / IP и Ethernet в современных сетях редко можно встретить имплантацию служб каталогов с использованием корпоративных каталогов DAP и собственного X.500 вне определенных устаревших моделей вычислений.

Основные компоненты, используемые с openldap для CentOS Linux:

openldap Библиотеки поддержки LDAP
openldap-сервер Сервер LDAP
openldap-клиенты Утилиты клиента LDAP
openldap-devel Библиотеки разработки для OpenLDAP
compay-openldap Общие библиотеки OpenLDAP
шлепок Демон сервера каталогов OpenLDAP
чавкать Используется для репликации LDAP в корпоративном домене

Note - При наименовании вашего предприятия рекомендуется использовать .localTLD. Использование .net или .com может вызвать трудности при разделении сетевой и внутренней инфраструктуры домена. Представьте себе дополнительную работу для компании, использующей acme.com как для внешних, так и для внутренних операций. Следовательно, он может быть мудрым , чтобы иметь интернет - ресурсы называют acme.com или acme.net . Затем локальные сетевые ресурсы предприятия отображаются как acme.local . Это повлечет за собой настройку записей DNS, но заплатит простотой, красноречием и безопасностью.

Установите Open LDAP на CentOS

Установите openldap, openldap-серверы, openldap-клиенты и инструменты миграции из YUM .

[root@localhost]# yum -y install openldap openldap-servers openldap-clients
migration tools
 Loaded plugins: fastestmirror, langpacks
 updates
 | 3.4 kB  00:00:00
 updates/7/x86_64/primary_db
 | 2.2 MB  00:00:05
 Determining fastest mirrors
 (1/2): extras/7/x86_64/primary_db
 | 121 kB  00:00:01
 (2/2): base/7/x86_64/primary_db
 | 5.6 MB  00:00:16
 Package openldap-2.4.40-13.el7.x86_64 already installed and latest version
 Resolving Dependencies
 --> Running transaction check
 ---> Package openldap-clients.x86_64 0:2.4.40-13.el7 will be installed
 ---> Package openldap-servers.x86_64 0:2.4.40-13.el7 will be installed
 --> Finished Dependency Resolution
 base/7/x86_64/group_gz
 | 155 kB  00:00:00
 
 Dependencies Resolved
 
=============================================================================== 
=============================================================================== 
Package                                Arch
Version                             Repository                        Size 
=============================================================================== 
=============================================================================== 
Installing: 
openldap-clients                    x86_64
2.4.40-13.el7                    base                                 188 k 
openldap-servers                    x86_64
2.4.40-13.el7                    base                                 2.1 M  

Transaction Summary 
=============================================================================== 
===============================================================================
Install  2 Packages

Total download size: 2.3 M 
Installed size: 5.3 M 
Downloading packages:

Installed: 
openldap-clients.x86_64 0:2.4.40-13.el7                                       
openldap-servers.x86_64 0:2.4.40-13.el7                                       
Complete! 
[root@localhost]#

Теперь давайте запустим и включим сервис slapd -

[root@centos]# systemctl start slapd 
[root@centos]# systemctl enable  slapd

На этом этапе давайте убедимся, что наша структура openldap находится в / etc / openldap .

root@localhost]# ls /etc/openldap/ 
certs  check_password.conf  ldap.conf  schema  slapd.d
[root@localhost]#

Затем убедитесь, что наша служба slapd запущена.

root@centos]# netstat -antup | grep slapd
tcp        0      0 0.0.0.0:389            0.0.0.0:*              LISTEN      1641/slapd
tcp6       0      0 :::389                 :::*                   LISTEN      1641/slapd
 
[root@centos]#

Затем давайте настроим нашу установку Open LDAP .

Убедитесь, что был создан наш системный пользователь ldap .

[root@localhost]# id ldap 
uid=55(ldap) gid=55(ldap) groups=55(ldap)
[root@localhost]#

Создайте наши учетные данные LDAP.

[root@localhost]# slappasswd  
New password:  
Re-enter new password:  
{SSHA}20RSyjVv6S6r43DFPeJgASDLlLoSU8g.a10

[root@localhost]#

Нам нужно сохранить вывод slappasswd.

Настроить Open LDAP

Step 1 - Настройте LDAP для домена и добавьте администратора.

Во-первых, мы хотим настроить нашу среду openLDAP. Ниже приведен шаблон для использования с командой ldapmodify .

dn: olcDatabase={2}hdb,cn=config 
changetype: modify 
replace: olcSuffix 
olcSuffix: dc=vmnet,dc=local 
dn: olcDatabase = {2}hdb,cn=config 
changetype: modify 
replace: olcRootDN 
olcRootDN: cn=ldapadm,dc=vmnet,dc=local 
dn: olcDatabase = {2}hdb,cn=config 
changetype: modify 
replace: olcRootPW 
olcRootPW: <output from slap

Внесите изменения в: /etc/openldap/slapd.d/cn=config/olcDatabase = {1} monitor.ldif с помощью команды ldapmodify.

[root@localhost]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /home/rdc/Documents/db.ldif  
SASL/EXTERNAL authentication started 
SASL username: gidNumber = 0+uidNumber = 0,cn=peercred,cn=external,cn=auth 
SASL SSF: 0 
modifying entry "olcDatabase = {2}hdb,cn=config" 
modifying entry "olcDatabase = {2}hdb,cn=config" 
modifying entry "olcDatabase = {2}hdb,cn=config" 

[root@localhost cn=config]#

Проверим измененную конфигурацию LDAP.

root@linux1 ~]# vi /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif

[root@centos]# cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif
 # AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. 
 # CRC32 a163f14c
dn: olcDatabase = {2}hdb
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {2}hdb
olcDbDirectory: /var/lib/ldap
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
structuralObjectClass: olcHdbConfig
entryUUID: 1bd9aa2a-8516-1036-934b-f7eac1189139
creatorsName: cn=config
createTimestamp: 20170212022422Z
olcSuffix: dc=vmnet,dc=local
olcRootDN: cn=ldapadm,dc=vmnet,dc=local
olcRootPW:: e1NTSEF1bUVyb1VzZTRjc2dkYVdGaDY0T0k = 
entryCSN: 20170215204423.726622Z#000000#000#000000 
modifiersName: gidNumber = 0+uidNumber = 0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20170215204423Z

[root@centos]#

Как видите, наши модификации LDAP Enterprise оказались успешными.

Затем мы хотим создать самоподписанный ssl-сертификат для OpenLDAP. Это защитит связь между корпоративным сервером и клиентами.

Step 2 - Создайте самозаверяющий сертификат для OpenLDAP.

Мы будем использовать openssl для создания самозаверяющего ssl-сертификата. Перейти к следующей главе,Create LDAP SSL Certificate with opensslдля инструкций по обеспечению безопасности связи с OpenLDAP. Затем, когда ssl-сертификаты настроены, мы завершим нашу корпоративную настройку OpenLDAP.

Step 3 - Настройте OpenLDAP для использования безопасного обмена данными с сертификатом.

Создайте файл certs.ldif в vim со следующей информацией:

dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/yourGeneratedCertFile.pem

dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/youGeneratedKeyFile.pem

Затем снова используйте команду ldapmodify, чтобы объединить изменения в конфигурацию OpenLDAP.

[root@centos rdc]# ldapmodify -Y EXTERNAL  -H ldapi:/// -f certs.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber = 0+uidNumber = 0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

[root@centos]#

Наконец, давайте протестируем нашу конфигурацию OpenLADP.

[root@centos]# slaptest -u 
config file testing succeeded 
[root@centos]#

Step 4 - Настроить базу данных slapd.

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG && 
chown ldap:ldap /var/lib/ldap/*

Обновляет схему OpenLDAP.

Добавьте схемы LDAP косинус и nis.

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

Наконец, создайте схему предприятия и добавьте ее в текущую конфигурацию OpenLDAP.

Ниже приведено описание домена vmnet. local с администратором LDAP с именем ldapadm .

dn: dc=vmnet,dc=local
dc: vmnet
objectClass: top
objectClass: domain

dn: cn=ldapadm ,dc=vmnet,dc=local
objectClass: organizationalRole
cn: ldapadm
description: LDAP Manager

dn: ou = People,dc=vmnet,dc=local
objectClass: organizationalUnit
ou: People

dn: ou = Group,dc=vmnet,dc=local 
objectClass: organizationalUnit 
ou: Group

Наконец, импортируйте это в текущую схему OpenLDAP.

[root@centos]# ldapadd -x -W -D "cn=ldapadm,dc=vmnet,dc=local" -f ./base.ldif
 Enter LDAP Password:
adding new entry "dc=vmnet,dc=local"

adding new entry "cn=ldapadm ,dc=vmnet,dc=local"

adding new entry "ou=People,dc=vmnet,dc=local"

adding new entry "ou=Group,dc=vmnet,dc=local"

[root@centos]#

Step 5 - Настройте пользователей OpenLDAP Enterprise.

Откройте vim или ваш любимый текстовый редактор и скопируйте следующий формат. Это настройка для пользователя с именем "entacct" в домене LDAP "vmnet.local".

dn: uid=entacct,ou=People,dc=vmnet,dc=local 
objectClass: top
objectClass: account 
objectClass: posixAccount 
objectClass: shadowAccount 
cn: entacct 
uid: entacct 
uidNumber: 9999 
gidNumber: 100 
homeDirectory: /home/enyacct 
loginShell: /bin/bash 
gecos: Enterprise User Account 001 
userPassword: {crypt}x 
shadowLastChange: 17058 
shadowMin: 0 
shadowMax: 99999 
shadowWarning: 7

Теперь импортируйте указанные выше файлы в том виде, в котором они были сохранены, в схему OpenLdap.

[root@centos]# ldapadd -x -W -D "cn=ldapadm,dc=vmnet,dc=local" -f entuser.ldif 
 Enter LDAP Password:
adding new entry "uid=entacct,ou=People,dc=vmnet,dc=local" 

[root@centos]#

Прежде чем пользователи смогут получить доступ к LDAP Enterprise, нам нужно назначить пароль следующим образом:

ldappasswd -s password123 -W -D "cn=ldapadm,dc=entacct,dc=local" -x "uid=entacct 
,ou=People,dc=vmnet,dc=local"

-s указывает пароль для пользователя

-x это имя пользователя, к которому применяется обновленный пароль

-D * отличительное имя "для аутентификации по схеме LDAP.

Наконец, прежде чем войти в учетную запись Enterprise, давайте проверим нашу запись OpenLDAP .

[root@centos rdc]# ldapsearch -x cn=entacct -b dc=vmnet,dc=local
 # extended LDIF
 #
 # LDAPv3
 # base <dc=vmnet,dc=local> with scope subtree
 # filter: cn=entacct
 # requesting: ALL 
 # 
 # entacct, People, vmnet.local 
dn: uid=entacct,ou=People,dc=vmnet,dc=local 
objectClass: top 
objectClass: account 
objectClass: posixAccount 
objectClass: shadowAccount 
cn: entacct 
uid: entacct 
uidNumber: 9999 
gidNumber: 100 
homeDirectory: /home/enyacct 
loginShell: /bin/bash 
gecos: Enterprise User Account 001 
userPassword:: e2NyeXB0fXg= 
shadowLastChange: 17058 
shadowMin: 0 
shadowMax: 99999 
shadowWarning: 7

Преобразование таких вещей, как / etc / passwd и / etc / groups в аутентификацию OpenLDAP, требует использования инструментов миграции. Они включены в пакет migrationtools . Затем установите в / usr / share / migrationtools .

[root@centos openldap-servers]# ls -l /usr/share/migrationtools/
total 128
-rwxr-xr-x. 1 root root  2652 Jun  9  2014 migrate_aliases.pl
-rwxr-xr-x. 1 root root  2950 Jun  9  2014 migrate_all_netinfo_offline.sh
-rwxr-xr-x. 1 root root  2946 Jun  9  2014 migrate_all_netinfo_online.sh
-rwxr-xr-x. 1 root root  3011 Jun  9  2014 migrate_all_nis_offline.sh
-rwxr-xr-x. 1 root root  3006 Jun  9  2014 migrate_all_nis_online.sh
-rwxr-xr-x. 1 root root  3164 Jun  9  2014 migrate_all_nisplus_offline.sh
-rwxr-xr-x. 1 root root  3146 Jun  9  2014 migrate_all_nisplus_online.sh
-rwxr-xr-x. 1 root root  5267 Jun  9  2014 migrate_all_offline.sh
-rwxr-xr-x. 1 root root  7468 Jun  9  2014 migrate_all_online.sh
-rwxr-xr-x. 1 root root  3278 Jun  9  2014 migrate_automount.pl
-rwxr-xr-x. 1 root root  2608 Jun  9  2014 migrate_base.pl

Step 6 - Наконец, нам нужно разрешить доступ к сервису slapd, чтобы он мог обслуживать запросы.

firewall-cmd --permanent --add-service=ldap 
firewall-cmd --reload

Настроить клиентский доступ LDAP

Для настройки доступа клиента LDAP требуются следующие пакеты на клиенте: openldap, open-ldap clients и nss_ldap.

Настроить аутентификацию LDAP для клиентских систем немного проще.

Step 1 - Установить зависимые пакеты -

# yum install -y openldap-clients nss-pam-ldapd

Step 2- Настройте аутентификацию LDAP с помощью authconfig .

authconfig --enableldap --enableldapauth --ldapserver=10.25.0.1 --
ldapbasedn="dc=vmnet,dc=local" --enablemkhomedir --update

Step 3 - Перезапустите службу nslcd.

systemctl restart  nslcd

Фон TLS и SSL

TLS - это новый стандарт безопасности на уровне сокетов, использующий SSL. TLS предлагает лучшие стандарты шифрования с другими функциями безопасности и оболочки протокола, продвигающими SSL. Часто термины TLS и SSL используются как синонимы. Однако, как профессиональный администратор CentOS, важно отметить различия и историю, разделяющую каждого.

SSL идет до версии 3.0. SSL был разработан и продвигался как промышленный стандарт в компании Netscape. После того, как Netscape был куплен AOL (популярным в 90-х интернет-провайдером, также известным как America Online), AOL так и не продвинула изменений, необходимых для улучшения безопасности SSL.

В версии 3.1 технология SSL перешла в стандарты открытых систем и была заменена на TLS . Поскольку авторские права на SSL все еще принадлежали AOL, был придуман новый термин:TLS - Transport Layer Security. Поэтому важно признать, что TLS на самом деле отличается от SSL . Тем более, что старые технологии SSL имеют проблемы с безопасностью, и некоторые из них сегодня считаются устаревшими.

Note- В этом руководстве термин TLS будет использоваться, когда речь идет о технологиях 3.1 и выше. Затем SSL при комментировании, относящемся к технологиям SSL 3.0 и ниже.

SSL против версионирования TLS

В следующей таблице показано, как управление версиями TLS и SSL связано друг с другом. Я слышал, как некоторые люди говорят о версии SSL 3.2. Однако, вероятно, они получили терминологию, читая блог. Как профессиональный администратор, мы всегда хотим использовать стандартную терминологию. Следовательно, говоря, SSL следует ссылаться на прошлые технологии. Из-за простых вещей соискатель CentOS может выглядеть как опытный специалист по CS.

TLS SSL
- 3.0
1.0 3.1
1.1 3.2
1.2 3.3

TLS выполняет две основные функции, важные для пользователей Интернета сегодня: во-первых, он проверяет, кто является стороной, известной какauthentication. Во-вторых, он предлагаетend-to-end encryption на транспортном уровне для протоколов верхнего уровня, в которых отсутствует эта встроенная функция (ftp, http, протоколы электронной почты и т. д.).

Первый проверяет, кто является стороной , и это важно для безопасности как сквозное шифрование. Если у потребителя есть зашифрованное соединение с веб-сайтом, который не авторизован для приема платежей, финансовые данные все еще находятся под угрозой. Вот чего не будет на каждом фишинговом сайте:a properly signed TLS certificate verifying website operators are who they claim to be from a trusted CA.

Есть только два способа обойти отсутствие должным образом подписанного сертификата: обмануть пользователя, разрешив доверять веб-браузеру самозаверяющему сертификату, или надеяться, что пользователь не разбирается в технологиях и не будет знать важность доверенного сертификата. Власть (или ЦС).

В этом руководстве мы будем использовать так называемый самозаверяющий сертификат. Это означает, что без явного присвоения этому сертификату статуса доверенного в каждом веб-браузере, посещающем веб-сайт, будет отображаться ошибка, препятствующая посещению сайта пользователями. Затем он заставит пользователя выполнить несколько действий, прежде чем получить доступ к сайту с самоподписанным сертификатом. Помните, что ради безопасности это хорошо.

Установить и настроить openssl

openssl - это стандарт для реализаций TLS с открытым исходным кодом. openssl используется в таких системах, как Linux, дистрибутивы BSD, OS X и даже поддерживает Windows.

openssl важен, поскольку он обеспечивает безопасность транспортного уровня и абстрагирует подробное программирование аутентификации и сквозного шифрования для разработчика. Вот почему openssl используется почти во всех приложениях с открытым исходным кодом, использующих TLS. Он также установлен по умолчанию во всех современных версиях Linux.

По умолчанию openssl должен быть установлен на CentOS начиная с версии 5 и выше. На всякий случай попробуем установить openssl через YUM. Просто запустите установку, поскольку YUM достаточно умен, чтобы сообщить нам, установлен ли уже пакет. Если мы запускаем старую версию CentOS по соображениям совместимости, выполнение yum -y install гарантирует, что openssl будет обновлен от недавней уязвимости Heart-bleed.

При запуске установщика выяснилось, что на самом деле есть обновление для openssl .

[root@centos]# yum -y install openssl
Resolving Dependencies
--> Running transaction check
---> Package openssl.x86_64 1:1.0.1e-60.el7 will be updated
---> Package openssl.x86_64 1:1.0.1e-60.el7_3.1 will be an update
--> Processing Dependency: openssl-libs(x86-64) = 1:1.0.1e-60.el7_3.1 for 
package: 1:openssl-1.0.1e-60.el7_3.1.x86_64
--> Running transaction check
---> Package openssl-libs.x86_64 1:1.0.1e-60.el7 will be updated
---> Package openssl-libs.x86_64 1:1.0.1e-60.el7_3.1 will be an update
--> Finished Dependency Resolution 
Dependencies Resolved

===============================================================================
=============================================================================== 
 Package                               Arch
 Version                            Repository                        Size 
=============================================================================== 
=============================================================================== 
Updating: 
openssl                               x86_64                          
1:1.0.1e-60.el7_3.1                 updates                           713 k
Updating for dependencies:

Создать самоподписанный сертификат для OpenLDAP

Это метод создания самозаверяющей копии для нашей предыдущей установки OpenLDAP .

Чтобы создать самоподписанный сертификат OpenLDAP.

openssl req -new -x509 -nodes -out /etc/openldap/certs/myldaplocal.pem -keyout
/etc/openldap/certs/myldaplocal.pem -days 365

[root@centos]# openssl req -new -x509 -nodes -out /etc/openldap/certs/vmnet.pem 
-keyout /etc/openldap/certs/vmnet.pem -days 365 
Generating a 2048 bit RSA private key
.............................................+++
................................................+++
writing new private key to '/etc/openldap/certs/vmnet.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:Califonia
Locality Name (eg, city) [Default City]:LA
Organization Name (eg, company) [Default Company Ltd]:vmnet
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:centos
Email Address []:[email protected]
[root@centos]#

Теперь наши сертификаты OpenLDAP должны быть помещены в / etc / openldap / certs /

[root@centos]# ls /etc/openldap/certs/*.pem 
/etc/openldap/certs/vmnetcert.pem  /etc/openldap/certs/vmnetkey.pem
[root@centos]#

Как видите, у нас есть и сертификат, и ключ, установленные в каталогах / etc / openldap / certs / . Наконец, нам нужно изменить разрешения для каждого, поскольку в настоящее время они принадлежат пользователю root.

[root@centos]# chown -R  ldap:ldap /etc/openldap/certs/*.pem
[root@centos]# ls -ld /etc/openldap/certs/*.pem
-rw-r--r--. 1 ldap ldap 1395 Feb 20 10:00 /etc/openldap/certs/vmnetcert.pem 
-rw-r--r--. 1 ldap ldap 1704 Feb 20 10:00 /etc/openldap/certs/vmnetkey.pem
[root@centos]#

Создать самозаверяющий сертификат для веб-сервера Apache

В этом руководстве мы предполагаем, что Apache уже установлен. Мы установили Apache в другом руководстве (настройка брандмауэра CentOS) и перейдем к расширенной установке Apache для будущего руководства. Итак, если вы еще не установили Apache, следуйте инструкциям.

После того, как Apache HTTPd можно установить, выполнив следующие действия:

Step 1 - Установите mod_ssl для httpd-сервера Apache.

Сначала нам нужно настроить Apache с помощью mod_ssl. Используя менеджер пакетов YUM, это довольно просто -

[root@centos]# yum -y install mod_ssl

Затем перезагрузите демон Apache, чтобы убедиться, что Apache использует новую конфигурацию.

[root@centos]# systemctl reload httpd

На этом этапе Apache настроен для поддержки TLS-соединений на локальном хосте.

Step 2 - Создайте самозаверяющий сертификат ssl.

Во-первых, давайте настроим наш личный каталог ключей TLS.

[root@centos]# mkdir /etc/ssl/private 
[root@centos]# chmod 700 /etc/ssl/private/

Note- Убедитесь, что только корень имеет доступ для чтения / записи к этому каталогу. Имея общий доступ для чтения / записи, ваш закрытый ключ можно использовать для расшифровки перехваченного трафика.

Создание файлов сертификата и ключей.

[root@centos]# sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout 
/etc/ssl/private/self-gen-apache.key -out /etc/ssl/certs/self-sign-apache.crt 
Generating a 2048 bit RSA private key
..........+++
....+++
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:xx
Locality Name (eg, city) [Default City]:xxxx
Organization Name (eg, company) [Default Company Ltd]:VMNET
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:centos.vmnet.local
Email Address []:

[root@centos]#

Note - Вы можете использовать публичный IP-адрес сервера, если у вас нет зарегистрированного доменного имени.

Взглянем на наш сертификат -

[root@centos]# openssl x509 -in self-sign-apache.crt -text -noout
Certificate:
   Data:
      Version: 3 (0x2)
      Serial Number: 17620849408802622302 (0xf489d52d94550b5e)
   Signature Algorithm: sha256WithRSAEncryption
   Issuer: C=US, ST=UT, L=xxxx, O=VMNET, CN=centos.vmnet.local
   Validity
      Not Before: Feb 24 07:07:55 2017 GMT
      Not After : Feb 24 07:07:55 2018 GMT
   Subject: C=US, ST=UT, L=xxxx, O=VMNET, CN=centos.vmnet.local
   Subject Public Key Info:
      Public Key Algorithm: rsaEncryption
         Public-Key: (2048 bit)
            Modulus:
               00:c1:74:3e:fc:03:ca:06:95:8d:3a:0b:7e:1a:56:
               f3:8d:de:c4:7e:ee:f9:fa:79:82:bf:db:a9:6d:2a:
               57:e5:4c:31:83:cf:92:c4:e7:16:57:59:02:9e:38:
               47:00:cd:b8:31:b8:34:55:1c:a3:5d:cd:b4:8c:b0:
               66:0c:0c:81:8b:7e:65:26:50:9d:b7:ab:78:95:a5:
               31:5e:87:81:cd:43:fc:4d:00:47:5e:06:d0:cb:71:
               9b:2a:ab:f0:90:ce:81:45:0d:ae:a8:84:80:c5:0e:
               79:8a:c1:9b:f4:38:5d:9e:94:4e:3a:3f:bd:cc:89:
               e5:96:4a:44:f5:3d:13:20:3d:6a:c6:4d:91:be:aa:
               ef:2e:d5:81:ea:82:c6:09:4f:40:74:c1:b1:37:6c:
               ff:50:08:dc:c8:f0:67:75:12:ab:cd:8d:3e:7b:59:
               e0:83:64:5d:0c:ab:93:e2:1c:78:f0:f4:80:9e:42: 
               7d:49:57:71:a2:96:c6:b8:44:16:93:6c:62:87:0f:
               5c:fe:df:29:89:03:6e:e5:6d:db:0a:65:b2:5e:1d:
               c8:07:3d:8a:f0:6c:7f:f3:b9:32:b4:97:f6:71:81:
               6b:97:e3:08:bd:d6:f8:19:40:f1:15:7e:f2:fd:a5:
               12:24:08:39:fa:b6:cc:69:4e:53:1d:7e:9a:be:4b:

Вот объяснение для каждого варианта мы использовали с OpenSSL команды -

Команда Действие
req -X509 Используйте стандарт PKI управления CSR X.509 для управления ключами.
-узлы Не защищайте наш сертификат парольной фразой. Apache должен иметь возможность использовать сертификат без прерывания парольной фразы.
-дней 2555 Сообщает срок действия справки 7 лет или 2555 дней. Период времени может быть изменен по мере необходимости.
-newkey rsa: 2048 Предназначен для генерации ключа и сертификата с использованием RSA длиной 2048 бит.

Затем мы хотим создать группу Диффи-Хелимана для согласования PFS с клиентами.

[centos#] openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Это займет от 5 до 15 минут.

Perfect Forward Secrecy- Используется для защиты данных сеанса в случае взлома закрытого ключа. Это сгенерирует ключ, используемый между клиентом и сервером, уникальный для каждого сеанса.

Теперь добавим в наш сертификат конфигурацию Perfect Forward Secrecy.

[root@centos]# cat /etc/ssl/certs/dhparam.pem | tee -a /etc/ssl/certs/self-sign-apache.crt

Настройте Apache для использования файлов ключей и сертификатов

Мы будем вносить изменения в /etc/httpd/conf.d/ssl.conf -

Мы внесем следующие изменения в ssl.conf . Однако, прежде чем мы это сделаем, мы должны создать резервную копию исходного файла. При внесении изменений в рабочий сервер в расширенном текстовом редакторе, таком как vi или emcas , рекомендуется всегда создавать резервные копии файлов конфигурации перед внесением изменений.

[root@centos]# cp /etc/httpd/conf.d/ssl.conf ~/

Теперь продолжим редактирование после копирования заведомо рабочей копии ssl.conf в корень нашей домашней папки.

  • Locate
  • Измените как DocumentRoot, так и ServerName следующим образом.
\\# General setup for the virtual host, inherited from global configuration
DocumentRoot "/var/www/html"
ServerName centos.vmnet.local:443

DocumentRootэто путь к вашему каталогу apache по умолчанию. В этой папке должна быть страница по умолчанию, которая будет отображать HTTP-запрос, запрашивающий страницу по умолчанию вашего веб-сервера или сайта.

ServerName- это имя сервера, которое может быть либо IP-адресом, либо именем хоста сервера. Для TLS рекомендуется создать сертификат с именем хоста. В нашем руководстве по OpenLdap мы создали имя хоста centos в локальном корпоративном домене: vmnet.local

Теперь мы хотим закомментировать следующие строки.

SSLProtocol

#   SSL Protocol support:
# List the enable protocol levels with which clients will be able to
# connect.  Disable SSLv2 access by default:
 ~~~~> #SSLProtocol all -SSLv2
 
#   SSL Cipher Suite:
#   List the ciphers that the client is permitted to negotiate.
#   See the mod_ssl documentation for a complete list.
 ~~~~> #SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA

Затем сообщите Apache, где найти наш сертификат и пару закрытого / открытого ключей.

Укажите путь к нашему файлу самоподписанного сертификата

#   Server Certificate:
# Point SSLCertificateFile at a PEM encoded certificate.  If
# the certificate is encrypted, then you will be prompted for a
# pass phrase.  Note that a kill -HUP will prompt again.  A new
# certificate can be generated using the genkey(1) command.
~~~~> SSLCertificateFile /etc/ssl/certs/self-sign-apache.crt
specify path to our private key file
#   Server Private Key:
#   If the key is not combined with the certificate, use this
#   directive to point at the key file.  Keep in mind that if
#   you've both a RSA and a DSA private key you can configure
#   both in parallel (to also allow the use of DSA ciphers, etc.)
~~~~> SSLCertificateKeyFile /etc/ssl/private/self-gen-apache.key

Наконец, нам нужно разрешить входящие подключения к https через порт 443.

В этой главе мы немного узнаем об истории возникновения HTTP-сервера Apache, а затем установим самую последнюю стабильную версию на CentOS Linux 7.

Краткая история Apache WebServer

Apache - это веб-сервер, который существует уже давно. Фактически, почти столько же, сколько существует сам http!

Apache начинался как довольно небольшой проект в Национальном центре суперкомпьютерных приложений, также известном как NCSA. В середине 90-х «httpd», как его называли, была самой популярной платформой веб-серверов в Интернете, занимая около 90% или более доли рынка.

В то время это был простой проект. Квалифицированный ИТ-персонал, известный как веб-мастер, отвечал за: обслуживание платформ веб-серверов и программного обеспечения веб-серверов, а также разработку как интерфейсных, так и внутренних веб-сайтов. В основе httpd была его способность использовать настраиваемые модули, известные как плагины или расширения. Веб-мастер также имел достаточно навыков, чтобы писать исправления для программного обеспечения главного сервера.

Где-то в конце середины 90-х старший разработчик и менеджер проекта httpd покинул NCSA, чтобы заняться другими делами. Это оставило самый популярный веб-демон в состоянии застоя.

Поскольку использование httpd было настолько распространенным, группа опытных веб-мастеров httpd созвала саммит, посвященный будущему httpd. Было решено скоординировать и применить лучшие расширения и патчи в текущем стабильном выпуске. Затем родился нынешний дедушка http-серверов, получивший имя Apache HTTP Server.

Little Known Historical Fact- Апачи не были названы в честь индейского племени воинов. На самом деле он был придуман и назван с изюминкой: он был сделан из множества исправлений (или патчей) от многих талантливых компьютерных ученых:patchy или же Apache.

Установить текущую стабильную версию в CentOS Linux 7

Step 1 - Установите httpd через yum.

yum -y install httpd

На этом этапе HTTP-сервер Apache будет установлен через yum.

Step 2 - Отредактируйте файл httpd.conf в соответствии с вашими потребностями httpd.

При установке Apache по умолчанию файл конфигурации для Apache называется httpd.conf и находится в / etc / httpd / . Итак, откроем его в vim .

Первые несколько строк httpd.conf открываются в vim -

# 
# This is the main Apache HTTP server configuration file.  It contains the 
# configuration directives that give the server its instructions.
# See <URL:http://httpd.apache.org/docs/2.4/> for detailed information. 
# In particular, see  
# <URL:http://httpd.apache.org/docs/2.4/mod/directives.html> 
# for a discussion of each configuration directive.

Мы внесем следующие изменения, чтобы наша установка CentOS могла обслуживать http-запросы с http-порта 80.

Прослушивание хоста и порта

# Listen: Allows you to bind Apache to specific IP addresses and/or
# ports, instead of the default. See also the <VirtualHost>
# directive.
#
# Change this to Listen on specific IP addresses as shown below to
# prevent Apache from glomming onto all bound IP addresses.
#
#Listen 12.34.56.78:80
Listen 80

Отсюда мы меняем Apache для прослушивания определенного порта или IP-адреса. Например, если мы хотим запускать службы httpd на альтернативном порту, таком как 8080. Или если у нас есть наш веб-сервер, настроенный с несколькими интерфейсами с отдельными IP-адресами.

Слушать

Не позволяет Apache подключаться к каждому слушающему демону на каждый IP-адрес. Это полезно, чтобы не указывать только трафик IPv6 или IPv4. Или даже привязка ко всем сетевым интерфейсам на многосетевом хосте.

#
# Listen: Allows you to bind Apache to specific IP addresses and/or
# ports, instead of the default. See also the <VirtualHost>
# directive.
#
# Change this to Listen on specific IP addresses as shown below to
# prevent Apache from glomming onto all bound IP addresses.
#
Listen 10.0.0.25:80
#Listen 80

DocumentRoot

«Корень документа» - это каталог по умолчанию, в котором Apache будет искать индексный файл для обслуживания запросов при посещении вашего сервера: http://www.yoursite.com/ будет извлекать и обслуживать индексный файл из корня вашего документа.

#
# DocumentRoot: The directory out of which you will serve your
# documents. By default, all requests are taken from this directory, but
# symbolic links and aliases may be used to point to other locations.
#
DocumentRoot "/var/www/html"

Step 3 - Запустите и включите службу httpd.

[root@centos rdc]# systemctl start httpd && systemctl reload httpd 
[root@centos rdc]#

Step 4 - Настройте брандмауэр, чтобы разрешить доступ к запросам порта 80.

[root@centos]# firewall-cmd --add-service=http --permanent

Как вкратце упоминалось при настройке CentOS для использования с Maria DB, в репозитории yum CentOS 7 нет собственного пакета MySQL . Чтобы учесть это, нам нужно будет добавить размещенный репозиторий MySQL.

MariaDB против MySQL в CentOS Linux

Следует отметить, что MySQL потребует другого набора базовых зависимостей от MariaDB. Кроме того, использование MySQL нарушит концепцию и философию CentOS: производственные пакеты, разработанные для максимальной надежности.

Поэтому, решая, использовать ли Maria или MySQL, следует взвесить два варианта: будет ли моя текущая схема БД работать с Maria? Какие преимущества дает мне установка MySQL перед Марией?

Компоненты Maria на 100% прозрачны для структуры MySQL с некоторой дополнительной эффективностью при лучшем лицензировании. Если не появится веская причина, рекомендуется настроить CentOS для использования MariaDB.

Основные причины, по которым Мария предпочитает CentOS:

  • Большинство людей будут использовать MariaDB. При возникновении проблем вы получите дополнительную помощь от Марии.

  • CentOS разработан для работы с Марией. Следовательно, Мария обеспечит лучшую стабильность.

  • Мария официально поддерживается CentOS.

Загрузите и добавьте репозиторий MySQL

Мы захотим загрузить и установить репозиторий MySQL из -

http://repo.mysql.com/mysql-community-release-el7-5.noarch.rpm

Step 1 - Загрузите репозиторий.

Репозиторий поставляется в виде пакета rpm, который упрощает установку. Его можно скачать с помощью wget -

[root@centos]# wget http://repo.mysql.com/mysql-community-release-el75.noarch.rpm
   --2017-02-26 03:18:36--  http://repo.mysql.com/mysql-community-release-el75.noarch.rpm
   Resolving repo.mysql.com (repo.mysql.com)... 104.86.98.130

Step 2 - Установите MySQL из YUM.

Теперь мы можем использовать менеджер пакетов yum для установки MySQL -

[root@centos]# yum -y install mysql-server

Step 3 - Запустите и включите службу демона MySQL.

[root@centos]# systemctl start mysql 
[root@centos]# systemctl enable  mysql

Step 4 - Убедитесь, что наша служба MySQL запущена и работает.

[root@centos]# netstat -antup | grep 3306 
tcp6       0       0 :::3306       :::*       LISTEN       6572/mysqld
[root@centos]#

Примечание. Мы не будем пропускать никакие правила брандмауэра. Обычно MySQL настроен на использованиеUnix Domain Sockets. Это гарантирует, что только веб-сервер стека LAMP, локально, может получить доступ к базе данных MySQL, исключая полное измерение вектора атаки в программном обеспечении базы данных.

Чтобы отправить электронное письмо с нашего сервера CentOS 7, нам потребуется настройка для настройки современного агента передачи почты (MTA). Агент передачи почты - это демон, отвечающий за отправку исходящей почты для пользователей системы или корпоративных Интернет-доменов через SMTP.

Стоит отметить, что в этом руководстве рассматривается только процесс настройки демона для локального использования. Мы не будем вдаваться в подробности расширенной конфигурации для настройки MTA для бизнес-операций. Это сочетание многих навыков, включая, помимо прочего: DNS, получение статического маршрутизируемого IP-адреса, не занесенного в черный список, и настройку дополнительных параметров безопасности и услуг. Короче говоря, это руководство предназначено для ознакомления вас с базовой конфигурацией. Не используйте это руководство для настройки MTA хоста с выходом в Интернет.

Сосредоточив внимание как на безопасности, так и на простоте администрирования, мы выбрали Postfixкак MTA для этого учебника. MTA по умолчанию, установленный в более старых версиях CentOS, - это Sendmail .Sendmailотличный MTA. Однако, по скромному мнению автора, Postfix попадает в золотую середину, обращаясь к следующим примечаниям для MTA. В самой последней версии CentOS Postfix заменил Sendmail в качестве MTA по умолчанию.

Postfix - это широко используемый и хорошо документированный MTA. Он активно поддерживается и развивается. Он требует минимальной настройки (это просто электронная почта) и эффективно использует системные ресурсы (опять же, это просто электронная почта).

Step 1 - Установите Postfix из диспетчера пакетов YUM.

[root@centos]# yum -y install postfix

Step 2 - Настроить конфигурационный файл Postfix.

Файл конфигурации Postfix находится в: /etc/postfix/main.cf

В простой конфигурации Postfix для конкретного хоста необходимо настроить следующее: имя хоста, домен, источник, inet_interfaces и место назначения.

Configure the hostname- Имя хоста - это полное доменное имя хоста Postfix. В главе об OpenLDAP мы назвали блок CentOS: centos в домене vmnet.local . Давайте придерживаться этого в этой главе.

# The myhostname parameter specifies the internet hostname of this
# mail system. The default is to use the fully-qualified domain name
# from gethostname(). $myhostname is used as a default value for many
# other configuration parameters.
#
myhostname = centos.vmnet.local

Configure the domain- Как указано выше, в этом руководстве мы будем использовать домен vmnet.local.

# The mydomain parameter specifies the local internet domain name.
# The default is to use $myhostname minus the first component. # $mydomain is used as a default value for many other configuration
# parameters.
#
mydomain = vmnet.local

Configure the origin - Для настройки одного сервера и домена нам просто нужно раскомментировать следующие разделы и оставить переменные Postfix по умолчанию.

# SENDING MAIL
#
# The myorigin parameter specifies the domain that locally-posted
# mail appears to come from. The default is to append $myhostname, # which is fine for small sites. If you run a domain with multiple # machines, you should (1) change this to $mydomain and (2) set up
# a domain-wide alias database that aliases each user to
# [email protected].
#
# For the sake of consistency between sender and recipient addresses,
# myorigin also specifies the default domain name that is appended
# to recipient addresses that have no @domain part. 
#
myorigin = $myhostname myorigin = $mydomain

Configure the network interfaces- Мы оставим Postfix прослушивать наш единый сетевой интерфейс и все протоколы и IP-адреса, связанные с этим интерфейсом. Для этого просто оставьте настройки по умолчанию для Postfix включенными.

# The inet_interfaces parameter specifies the network interface
# addresses that this mail system receives mail on.  By default,
# the software claims all active interfaces on the machine. The
# parameter also controls delivery of mail to user@[ip.address].
#
# See also the proxy_interfaces parameter, for network addresses that
# are forwarded to us via a proxy or network address translator.
#
# Note: you need to stop/start Postfix when this parameter changes. 
#
#inet_interfaces = all
#inet_interfaces = $myhostname #inet_interfaces = $myhostname, localhost
#inet_interfaces = localhost
# Enable IPv4, and IPv6 if supported
inet_protocols = all

Step 3 - Настроить поддержку SASL для Postfix.

Без поддержки аутентификации SASL Postfix позволит отправлять электронную почту только от локальных пользователей. Или он выдаст ошибку отказа в ретрансляции, когда пользователи отправят электронную почту из локального домена.

Note - SASL или же Simple Application Security Layer Framework- это структура, разработанная для аутентификации, поддерживающая различные методы среди разных протоколов уровня приложений. Вместо того, чтобы оставлять механизмы аутентификации протоколу прикладного уровня, разработчики (и потребители) SASL используют текущие протоколы аутентификации для протоколов более высокого уровня, которые могут не иметь встроенной удобной или более безопасной аутентификации (если говорить о доступе к защищенным службам).

Установите пакет cyrus-sasl *

[root@centos]# yum -y install  cyrus-sasl 
Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
 * base: repos.forethought.net 
 * extras: repos.dfw.quadranet.com 
 * updates: mirrors.tummy.com 
Package cyrus-sasl-2.1.26-20.el7_2.x86_64 already installed and latest version
Nothing to do

Настройте /etc/postfix/main.cf для аутентификации SASL

smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

Мои параметры SASL в main.conf

##Configure SASL Options Entries:
smtpd_sasl_auth_enable = yes
smptd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtp_sasl_type = dovecot
smtp_sasl_path = private/auth/etc

Step 4 - Настройте FirewallD, чтобы разрешить входящие службы SMTP.

[root@centos]# firewall-cmd --permanent --add-service=smtp 
success

[root@centos]# firewall-cmd --reload 
success

[root@centos]#

Теперь давайте проверим, разрешает ли наш хост CentOS и отвечает на запросы через порт 25 (SMTP).

Nmap scan report for 172.16.223.132 
Host is up (0.00035s latency). 
Not shown: 993 filtered ports 
PORT    STATE  SERVICE 
   20/tcp  closed ftp-data 
   21/tcp  open   ftp 
   22/tcp  open   ssh 
   25/tcp  open   smtp 
   80/tcp  open   http 
   389/tcp open   ldap 
   443/tcp open   https 
MAC Address: 00:0C:29:BE:DF:5F (VMware)

Как видите, SMTP прослушивает, а демон отвечает на запросы из нашей внутренней локальной сети.

Установите Dovecot IMAP и POP3 Server

Dovecot - это безопасный сервер IMAP и POP3, предназначенный для обработки входящей почты от небольших до крупных организаций. Из-за его активного использования с CentOS, мы будем использовать Dovecot в качестве примера установки и настройки сервера входящей почты для CentOS и MTA SASL Provider.

Как отмечалось ранее, мы не будем настраивать записи MX для DNS или создавать правила безопасности, позволяющие нашим службам обрабатывать почту для домена. Следовательно, простая установка этих служб на хосте, выходящем в Интернет, может оставить место для брешей в безопасности без записей SPF.

Step 1 - Установите Dovecot.

[root@centos]# yum -y install dovecot

Step 2 - Настроить голубятню.

Основной файл конфигурации dovecot находится по адресу: /etc/dovecot.conf . Сначала мы создадим резервную копию основного файла конфигурации. Перед внесением изменений рекомендуется всегда делать резервные копии файлов конфигурации. Таким образом, текстовый редактор уничтожает разрывы строк идентификатора (например) и теряет годы изменений. Вернуть назад просто, как скопировать текущую резервную копию в производство.

Включить протоколы и службу демона для dovecot

# Protocols we want to be serving. 
protocols = imap imaps pop3 pop3s

Теперь нам нужно включить демон dovecot для прослушивания при запуске -

[root@localhost]# systemctl start  dovecot 
[root@localhost]# systemctl enable dovecot

Убедитесь, что Dovecot локально прослушивает указанные порты для: imap, pop3, imap secure и pop3 secure.

[root@localhost]# netstat -antup | grep dovecot 
 tcp        0        0 0.0.0.0:110        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:143        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:993        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:995        0.0.0.0:*        LISTEN        4368/dovecot
 tcp6       0        0 :::110                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::143                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::993                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::995                :::*          LISTEN        4368/dovecot

[root@localhost]#

Как видно, dovecot прослушивает указанные порты для IPv4 и IPv4.

POP3 110
POP3s 995
IMAP 143
IMAP 993

Теперь нам нужно создать несколько правил брандмауэра.

[root@localhost]# firewall-cmd --permanent --add-port=110/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=143/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=995/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=993/tcp 
success
 
[root@localhost]# firewall-cmd --reload 
success
 
[root@localhost]#

Наш сервер входящей почты принимает запросы POP3 , POP3 , IMAP и IMAP к хостам в локальной сети.

Port Scanning host: 192.168.1.143

   Open TCP Port:   21          ftp 
   Open TCP Port:   22          ssh 
   Open TCP Port:   25          smtp 
   Open TCP Port:   80          http 
   Open TCP Port:   110         pop3 
   Open TCP Port:   143         imap 
   Open TCP Port:   443         https 
   Open TCP Port:   993         imaps 
   Open TCP Port:   995         pop3s

Прежде чем углубляться в установку FTP на CentOS, нам нужно немного узнать о его использовании и безопасности. FTP- действительно эффективный и хорошо отработанный протокол для передачи файлов между компьютерными системами. FTP используется и совершенствуется уже несколько десятилетий. FTP - отличный выбор для эффективной передачи файлов по сети с задержкой или просто для высокой скорости. Больше, чем SAMBA или SMB.

Однако у FTP есть некоторые проблемы с безопасностью. Собственно, серьезные проблемы с безопасностью. FTP использует очень слабый метод аутентификации с использованием обычного текста. По этой причине аутентифицированные сеансы должны полагаться на sFTP или FTPS, где TLS используется для сквозного шифрования сеансов входа и передачи.

С учетом вышеперечисленных предостережений, старый добрый FTP все еще используется в бизнес-среде. Основное использование - анонимные репозитории файлов FTP. Это ситуация, когда для загрузки или выгрузки файлов не требуется аутентификации. Некоторые примеры использования анонимного FTP:

  • Крупные софтверные компании по-прежнему используют анонимные ftp-репозитории, позволяющие пользователям Интернета загружать условно-бесплатные программы и исправления.

  • Разрешение пользователям Интернета загружать и скачивать общедоступные документы.

  • Некоторые приложения автоматически отправляют зашифрованные архивные журналы или файлы конфигурации в репозиторий через FTP.

Следовательно, для администратора CentOS возможность установки и настройки FTP по-прежнему является необходимым навыком.

Мы будем использовать демон FTP под названием vsFTP, или очень безопасный FTP-демон. vsFTP некоторое время использовался в разработке. Он имеет репутацию безопасного, простого в установке и настройке и надежного.

Step 1 - Установите vsFTPd с помощью диспетчера пакетов YUM.

[root@centos]# yum -y install vsftpd.x86_64

Step 2 - Настройте vsFTP для запуска при загрузке с помощью systemctl.

[root@centos]# systemctl start vsftpd 
[root@centos]# systemctl enable vsftpd 
Created symlink from /etc/systemd/system/multi-
user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.

Step 3 - Настройте FirewallD, чтобы разрешить сеансы управления и передачи по FTP.

[root@centos]# firewall-cmd --add-service=ftp --permanent 
success 
[root@centos]#

Убедитесь, что наш демон FTP запущен.

[root@centos]# netstat -antup | grep vsftp 
tcp6       0       0 :::21       :::*       LISTEN       13906/vsftpd         
[root@centos]#

Step 4 - Настройте vsFTPD для анонимного доступа.

Создайте корневой каталог FTP

[root@centos]# mkdir /ftp

Измените владельца и группу корня FTP на ftp

[root@centos]# chown ftp:ftp /ftp
Set minimal permissions for FTP root:

[root@centos]# chmod -R 666 /ftp/

[root@centos]# ls -ld /ftp/
drw-rw-rw-. 2 ftp ftp 6 Feb 27 02:01 /ftp/

[root@centos]#

В этом случае мы предоставили пользователям доступ для чтения / записи ко всему корневому дереву FTP.

Настройте /etc/vsftpd/vsftpd.conf "

[root@centos]# vim /etc/vsftpd/vsftpd.conf
# Example config file /etc/vsftpd/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.

Мы хотим изменить следующие директивы в файле vsftp.conf .

  • Включите анонимную загрузку, раскомментировав anon_mkdir_write_enable = YES

  • загруженные файлы, принадлежащие системному пользователю ftp

    chown_uploads = ДА

    chown_username = ftp

  • Измените системного пользователя, используемого vsftp, на пользователя ftp: nopriv_user = ftp

  • Установите настраиваемый баннер, который пользователь будет читать перед входом в систему.

    ftpd_banner = Добро пожаловать в наше анонимное FTP-репо. Все соединения отслеживаются и регистрируются.

  • Установим только соединения IPv4 -

    слушать = ДА

    listen_ipv6 = НЕТ

Теперь нам нужно перезапустить или HUP сервис vsftp, чтобы применить наши изменения.

[root@centos]# systemctl restart vsftpd

Давайте подключимся к нашему FTP-узлу и убедимся, что наш FTP-демон отвечает.

[root@centos rdc]# ftp 10.0.4.34 
Connected to localhost (10.0.4.34). 
220 Welcome to our Anonymous FTP Repo. All connections are monitored and logged. 
Name (localhost:root): anonymous 
331 Please specify the password. 
Password: 
'230 Login successful. 
Remote system type is UNIX. 
Using binary mode to transfer files. 
ftp>

Говоря об удаленном управлении в CentOS в качестве администратора, мы рассмотрим два метода:

  • Консольное управление
  • Управление графическим интерфейсом

Удаленное управление через консоль

Удаленное управление через консоль означает выполнение задач администрирования из командной строки через службу, например ssh. Чтобы эффективно использовать CentOS Linux, вам, как администратору, необходимо хорошо владеть командной строкой. По своей сути Linux был разработан для использования с консоли. Даже сегодня некоторые системные администраторы предпочитают мощь команды и экономят деньги на оборудовании, запуская простые Linux-системы без физического терминала и без установленного графического интерфейса.

Удаленное управление через графический интерфейс

Удаленное управление графическим интерфейсом обычно осуществляется двумя способами: удаленным X-сеансом или протоколом прикладного уровня графического интерфейса, например VNC. У каждого есть свои сильные и слабые стороны. Однако по большей части VNC - лучший выбор для администрирования. Он позволяет графическое управление из других операционных систем, таких как Windows или OS X, которые изначально не поддерживают протокол X Windows.

Использование удаленных X-сессий является естественным для оконных менеджеров X-Window и DesktopManager, работающих на X. Однако вся архитектура X-сессий в основном используется в Linux. Не каждый системный администратор будет иметь под рукой ноутбук с Linux для установки удаленного X-сеанса. Поэтому чаще всего используется адаптированная версия VNC Server.

Самыми большими недостатками VNC являются: VNC изначально не поддерживает многопользовательскую среду, такую ​​как удаленные X-сеансы. Следовательно, для доступа к графическому интерфейсу конечных пользователей удаленные сеансы XS будут лучшим выбором. Однако мы в основном занимаемся удаленным администрированием сервера CentOS.

Мы обсудим настройку VNC для нескольких администраторов по сравнению с несколькими сотнями конечных пользователей с удаленными X-сессиями.

Создание основы безопасности с помощью SSH для удаленного консольного доступа

ssh или же Secure Shellтеперь стандарт для удаленного администрирования любого сервера Linux. SSH, в отличие от telnet, использует TLS для проверки подлинности и сквозного шифрования связи. При правильной настройке администратор может быть уверен, что и его пароль, и сервер являются надежными удаленно.

Прежде чем настраивать SSH, давайте немного поговорим о базовой безопасности и наименее распространенном доступе. Когда SSH работает на своем порту по умолчанию 22; скорее рано, чем поздно, вы столкнетесь с атаками по словарю методом грубой силы против общих имен пользователей и паролей. Это просто связано с территорией. Независимо от того, сколько хостов вы добавляете в свои запрещенные файлы, они будут приходить с разных IP-адресов ежедневно.

Имея несколько общих правил, вы можете просто предпринять некоторые активные шаги и позволить плохим парням тратить свое время. Ниже приведены несколько правил безопасности, которым необходимо следовать при использовании SSH для удаленного администрирования на производственном сервере.

  • Никогда не используйте общее имя пользователя или пароль. Имена пользователей в системе не должны быть системными по умолчанию или связаны с адресом электронной почты компании, например:[email protected]

  • Доступ с правами root или административный доступ через SSH нельзя разрешать. Используйте уникальное имя пользователя и su для root или учетной записи администратора после аутентификации через SSH.

  • Политика паролей обязательна: сложные пароли пользователей SSH, например: «This & IS & a & GUD & P @ ssW0rd & 24 & me». Меняйте пароли каждые несколько месяцев, чтобы исключить уязвимость к атакам методом перебора.

  • Отключите заброшенные или неиспользуемые учетные записи в течение длительного времени. Если у менеджера по найму есть голосовая почта, в которой говорится, что он не будет давать интервью в течение месяца; Это может привести к тому, что, например, технически подкованные люди будут иметь много свободного времени.

  • Следите за своими журналами ежедневно. Как системный администратор, каждое утро посвящайте не менее 30-40 минут проверке журналов системы и безопасности. Если вас спросят, дайте всем знать, что у вас нет времени бездействовать. Эта практика поможет изолировать предупреждающие знаки до того, как проблема возникнет перед конечными пользователями и прибылями компании.

Note On Linux Security- Всем, кто интересуется администрированием Linux, следует активно следить за последними новостями и технологиями Cyber-Security. Хотя чаще всего мы слышим о взломе других операционных систем, незащищенный компьютер с Linux является желанным сокровищем для киберпреступников. Благодаря мощи Linux на высокоскоростном интернет-соединении опытный киберпреступник может использовать Linux для атак на другие операционные системы.

Установите и настройте SSH для удаленного доступа

Step 1 - Установите SSH-сервер и все зависимые пакеты.

[root@localhost]# yum -y install openssh-server 
'Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
* base: repos.centos.net 
* extras: repos.dfw.centos.com 
* updates: centos.centos.com 
Resolving Dependencies 
   --> Running transaction check 
   ---> Package openssh-server.x86_64 0:6.6.1p1-33.el7_3 will be installed 
   --> Finished Dependency Resolution 
Dependencies Resolved

Step 2 - Регулярно используйте безопасное добавление для доступа к оболочке.

[root@localhost ~]# useradd choozer 
[root@localhost ~]# usermod -c "Remote Access" -d /home/choozer -g users -G 
wheel -a choozer

Note- Мы добавили нового пользователя в группу wheel, что позволяет использовать su в качестве root после аутентификации доступа SSH. Мы также использовали имя пользователя, которого нет в обычных списках слов. Таким образом, наша учетная запись не будет заблокирована при атаке по SSH.

Файл с настройками конфигурации для sshd-сервера - это / etc / ssh / sshd_config .

Первоначально мы хотим отредактировать следующие части:

LoginGraceTime 60m
PermitRootLogin no

Step 3- Перезагрузите демон SSH sshd .

[root@localhost]# systemctl reload sshd

Рекомендуется установить период отсрочки выхода на 60 минут. Для некоторых сложных административных задач время по умолчанию может превышать 2 минуты. На самом деле нет ничего более неприятного, чем тайм-аут сеанса SSH при настройке или исследовании изменений.

Step 4 - Попробуем войти в систему, используя учетные данные root.

bash-3.2# ssh centos.vmnet.local 
[email protected]'s password:   
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).

Step 5- Мы больше не можем удаленно входить в систему через ssh с учетными данными root . Итак, давайте войдем в нашу непривилегированную учетную запись пользователя и su в учетную запись root .

bash-3.2# ssh [email protected]
[email protected]'s password:
[choozer@localhost ~]$ su root
Password:

[root@localhost choozer]#

Step 6- Наконец, давайте убедимся, что служба SSHD загружается при загрузке, а firewalld разрешает внешние SSH-соединения.

[root@localhost]# systemctl enable sshd

[root@localhost]# firewall-cmd --permanent --add-service=ssh 
success

[root@localhost]# firewall-cmd --reload 
success
 
[root@localhost]#

Теперь SSH настроен и готов к удаленному администрированию. В зависимости от границы вашего предприятия может потребоваться настройка пограничного устройства фильтрации пакетов, чтобы разрешить удаленное администрирование SSH за пределами корпоративной локальной сети.

Настроить VNC для удаленного администрирования CentOS

Есть несколько способов включить удаленное администрирование CentOS через VNC в CentOS 6-7. Самый простой, но наиболее ограничивающий способ - просто использовать пакет под названием vino .Vino- это приложение для подключения к виртуальному сетевому рабочему столу для Linux, разработанное на платформе Gnome Desktop. Следовательно, предполагается, что установка была завершена с помощью Gnome Desktop. Если рабочий стол Gnome не установлен, сделайте это, прежде чем продолжить. По умолчанию Vino будет установлен с графическим интерфейсом пользователя Gnome.

Чтобы настроить совместное использование экрана с Vino под Gnome, мы хотим перейти в системные настройки CentOS для совместного использования экрана.

Applications->System Tools->Settings->Sharing

Примечания к настройке общего доступа к рабочему столу VNC -

  • Disable New Connections must ask for access- Эта опция потребует физического доступа для подтверждения каждого соединения. Эта опция предотвратит удаленное администрирование, если кто-то не находится за физическим рабочим столом.

  • Enable Require a password- Отдельно от пароля пользователя. Он будет контролировать доступ к виртуальному рабочему столу и по-прежнему запрашивать пароль пользователя для доступа к заблокированному рабочему столу (это хорошо для безопасности).

  • Forward UP&P Ports: If available leave disabled- Переадресация портов UP&P будет отправлять запросы Universal Plug and Play для устройства уровня 3, чтобы разрешить VNC-соединения с хостом автоматически. Мы этого не хотим.

Убедитесь, что vino прослушивает порт VNC 5900.

[root@localhost]# netstat -antup | grep vino 
tcp        0        0 0.0.0.0:5900        0.0.0.0:*        LISTEN        4873/vino-server
tcp6       0        0 :::5900                :::*          LISTEN        4873/vino-server
   
[root@localhost]#

Теперь давайте настроим наш брандмауэр, чтобы разрешить входящие соединения VNC.

[root@localhost]# firewall-cmd --permanent --add-port=5900/tcp 
success

[root@localhost]# firewall-cmd --reload 
success

[root@localhost rdc]#

Наконец, как вы можете видеть, мы можем подключить наш CentOS Box и администрировать его с помощью клиента VNC в Windows или OS X.

Для VNC так же важно соблюдать те же правила, что и для SSH. Как и SSH, VNC постоянно сканируется по диапазонам IP-адресов и проверяется на наличие слабых паролей. Также стоит отметить, что оставление входа в CentOS по умолчанию с включенным тайм-аутом консоли действительно помогает с удаленной безопасностью VNC. Поскольку злоумышленнику понадобятся VNC и пароль пользователя, убедитесь, что ваш пароль для совместного использования экрана отличается и его так же трудно угадать, как и пароль пользователя.

После ввода пароля для совместного использования экрана VNC мы также должны ввести пароль пользователя для доступа к заблокированному рабочему столу.

Security Note- По умолчанию VNC не является зашифрованным протоколом. Следовательно, соединение VNC следует туннелировать через SSH для шифрования.

Настройка туннеля SSH через VNC

Настройка туннеля SSH обеспечит уровень шифрования SSH для туннелирования соединения VNC. Еще одна замечательная функция - это использование сжатия SSH для добавления еще одного уровня сжатия к обновлениям экрана графического интерфейса VNC. Более безопасный и быстрый - это всегда хорошо при администрировании серверов CentOS!

Итак, с вашего клиента, который будет инициировать соединение VNC, давайте настроим удаленный туннель SSH. В этой демонстрации мы используем OS X. Сначала нам нужно выполнить sudo -s для получения root-прав .

bash-3.2# sudo -s 
password:

Введите пароль пользователя, и теперь у нас должна быть корневая оболочка с приглашением # -

bash-3.2#

Теперь давайте создадим наш SSH-туннель .

ssh -f [email protected] -L 2200:192.168.1.143:5900 -N

Давайте разберем эту команду -

  • ssh - Запускает локальную утилиту ssh

  • -f - ssh должен работать в фоновом режиме после полного выполнения задачи

  • [email protected] - Удаленный пользователь ssh на сервере CentOS, на котором размещены службы VNC.

  • -L 2200:192.168.1.143:5900 - Создайте наш туннель [Локальный порт]: [удаленный хост]: [удаленный порт службы VNC]

  • -N сообщает ssh, что мы не хотим выполнять команду в удаленной системе

bash-3.2# ssh -f [email protected] -L 2200:192.168.1.143:5900 -N
[email protected]'s password:

После успешного ввода пароля удаленного пользователя ssh создается наш туннель ssh . А теперь самое интересное! Для подключения мы указываем нашему клиенту VNC на локальном хосте порт нашего туннеля, в данном случае порт 2200. Ниже приведена конфигурация клиента VNC для ноутбука Mac:

И, наконец, наше удаленное подключение к рабочему столу VNC!

Самое замечательное в SSH-туннелировании - это то, что его можно использовать практически для любого протокола. Туннели SSH обычно используются для обхода фильтрации исходящего и входящего портов интернет-провайдером, а также для обмана IDS / IPS на уровне приложений, избегая при этом другого мониторинга уровня сеанса.

  • Ваш интернет-провайдер может фильтровать порт 5900 для некоммерческих учетных записей, но разрешить SSH на порту 22 (или можно запустить SSH на любом порту, если порт 22 фильтруется).

  • IPS и IDS уровня приложения смотрят на полезную нагрузку. Например, обычное переполнение буфера или SQL-инъекция. Сквозное шифрование SSH будет шифровать данные прикладного уровня.

SSH Tunneling - отличный инструмент в наборе инструментов администратора Linux для выполнения задач. Однако, как администратор, мы хотим изучить возможность ограничения доступности менее привилегированных пользователей, имеющих доступ к SSH-туннелированию.

Administration Security Note- Ограничение туннелирования SSH - это то, что требует размышлений со стороны администратора. Оценка, зачем пользователям вообще нужно SSH-туннелирование; каким пользователям нужно туннелирование; наряду с практической вероятностью риска и воздействием наихудшего случая.

Это сложная тема, выходящая за рамки учебника среднего уровня. Рекомендуем изучить эту тему тем, кто хочет достичь высших эшелонов администрирования CentOS Linux.

Используйте SSH-туннель для удаленного X-Windows

Дизайн X-Windows в Linux действительно хорош по сравнению с Windows. Если мы хотим управлять удаленным Linux-сервером из другого Linux-бокса, мы можем воспользоваться механизмами, встроенными в X.

X-Windows (часто называемая просто «X») предоставляет механизм для отображения окон приложений, происходящих из одного блока Linux, в отображаемую часть X в другом блоке Linux. Таким образом, через SSH мы можем запросить перенаправление приложения X-Windows на дисплей другого Linux-сервера по всему миру!

Чтобы запустить приложение X удаленно через туннель ssh, нам просто нужно запустить одну команду -

[root@localhost]# ssh -X [email protected]

The syntax is - ssh -X [пользователь] @ [хост], и на хосте должен быть запущен ssh с допустимым пользователем.

Ниже приведен снимок экрана GIMP, запущенного на рабочей станции Ubuntu через удаленный ssh-туннель XWindows.

Довольно просто запускать приложения удаленно с другого сервера или рабочей станции Linux. Также можно запустить весь X-сеанс и управлять всей средой рабочего стола удаленно несколькими способами.

  • XDMCP

  • Безголовые программные пакеты, такие как NX

  • Настройка альтернативных дисплеев и рабочих столов в X и диспетчерах рабочего стола, таких как Gnome или KDE

Этот метод чаще всего используется для безголовых серверов без физического дисплея и действительно выходит за рамки учебного пособия среднего уровня. Тем не менее, полезно знать о доступных вариантах.

Есть несколько сторонних инструментов, которые могут добавить расширенные возможности для мониторинга трафика CentOS. В этом руководстве мы сосредоточимся на тех, которые упакованы в основные репозитории дистрибутивов CentOS и репозиторий Fedora EPEL.

Всегда будут ситуации, когда администратор (по той или иной причине) останется только с инструментами в основных репозиториях CentOS. Большинство обсуждаемых утилит предназначены для использования администратором с оболочкой физического доступа. При мониторинге трафика с доступным веб-интерфейсом использование сторонних утилит, таких как ntop-ng или Nagios, является лучшим выбором (по сравнению с воссозданием таких средств с нуля).

Для дальнейшего исследования обоих конфигурируемых решений для веб-интерфейса воспользуйтесь несколькими ссылками, чтобы начать исследование.

Мониторинг трафика для сценариев LAN / WAN

Nagios

Nagios существует уже давно, поэтому он опробован и протестирован. В какой-то момент все это было бесплатно и с открытым исходным кодом, но с тех пор оно превратилось в корпоративное решение с платными моделями лицензирования, чтобы удовлетворить потребности корпоративной сложности. Следовательно, прежде чем планировать какие-либо развертывания с Nagios, убедитесь, что лицензионные версии с открытым исходным кодом будут соответствовать вашим потребностям, или планируйте расходы с учетом корпоративного бюджета.

Большинство программ для мониторинга трафика Nagios с открытым исходным кодом можно найти по адресу: https://www.nagios.org

Краткую историю Nagious можно найти на официальной странице истории Nagios: https://www.nagios.org/about/history/

ntopng

Еще один отличный инструмент, позволяющий отслеживать пропускную способность и трафик через веб-интерфейс, называется ntopng . ntopng похож на утилиту Unix ntop и может собирать данные для всей LAN или WAN. Предоставление веб-интерфейса для администрирования, настройки и построения диаграмм упрощает использование для всех ИТ-отделов.

Как и Nagious, у ntopng есть как корпоративные версии с открытым исходным кодом, так и платные. Для получения дополнительной информации о ntopng посетите веб-сайт:http://www.ntop.org/

Установите Fedora EPEL Repository ─ Extra Packages for Enterprise Linux

Чтобы получить доступ к некоторым необходимым инструментам для мониторинга трафика, нам нужно будет настроить нашу систему CentOS для использования репозитория EPEL.

Репозиторий EPEL официально не поддерживается и не поддерживается CentOS. Тем не менее, он поддерживается группой добровольцев Fedora Core для решения пакетов, обычно используемых профессионалами Enterprise Linux, не входящих ни в CentOS, ни в Fedora Core, ни в Red Hat Linux Enterprise.

Caution -

Помните, что репозиторий EPEL не является официальным для CentOS и может нарушить совместимость и функциональность на производственных серверах с общими зависимостями. Имея это в виду, рекомендуется всегда тестировать на непроизводственном сервере с теми же сервисами, что и на производственном сервере, перед развертыванием на критически важном для системы блоке.

На самом деле, самое большое преимущество использования репозитория EHEL над любым другим сторонним репозиторием с CentOS заключается в том, что мы можем быть уверены, что двоичные файлы не испорчены. Не рекомендуется использовать репозитории из ненадежных источников.

С учетом всего сказанного, официальный репозиторий EPEL настолько распространен в CentOS, что его можно легко установить через YUM.

[root@CentOS rdc]# yum -y install epel-release
 Loaded plugins: fastestmirror, langpacks
 Loading mirror speeds from cached hostfile
 * base: repo1.dal.innoscale.net
 * extras: repo1.dal.innoscale.net
 * updates: mirror.hmc.edu
Resolving Dependencies
   --> Running transaction check
   ---> Package epel-release.noarch 0:7-9 will be installed
   --> Finished Dependency Resolution
Dependencies Resolved
--{ condensed output }--

После установки репозитория EPEL мы захотим его обновить.

[root@CentOS rdc]# yum repolist 
Loaded plugins: fastestmirror, langpacks 
epel/x86_64/metalink
|  11 kB  00:00:00      
epel
| 4.3 kB  00:00:00      
(1/3): epel/x86_64/group_gz
| 170 kB  00:00:00      
(2/3): epel/x86_64/updateinfo
| 753 kB  00:00:01      
(3/3): epel/x86_64/primary_db
--{ condensed output }--

На этом этапе наш репозиторий EPEL должен быть настроен и готов к использованию. Начнем с установки nload для мониторинга пропускной способности интерфейса.

Инструменты, на которых мы сосредоточимся в этом руководстве:

  • nload
  • ntop
  • ifstst
  • iftop
  • vnstat
  • чистые свиньи
  • Wireshark
  • Дамп TCP
  • Traceroute

Все это стандартно для мониторинга трафика в Linux Enterprises. Использование каждого диапазона от простого до продвинутого, поэтому мы только кратко обсудим такие инструменты, как Wireshark и TCP Dump.

Установите и используйте nload

Когда наши репозитории EPEL установлены и настроены в CentOS, теперь мы можем установить и использовать nload . Эта утилита предназначена для построения графика пропускной способности интерфейса в режиме реального времени.

Как и большинство других базовых установок, nload устанавливается через менеджер пакетов YUM.

[root@CentOS rdc]# yum -y install nload
Resolving Dependencies
--> Running transaction check
---> Package nload.x86_64 0:0.7.4-4.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
=============================================================================== 
=============================================================================== 
 Package                             Arch
 Version                           Repository                          Size 
=============================================================================== 
=============================================================================== 
Installing: 
 nload                               x86_64
 0.7.4-4.el7                        epel                                70 k  
Transaction Summary
=============================================================================== 
=============================================================================== 
Install  1 Package
Total download size: 70 k
Installed size: 176 k
Downloading packages:
--{ condensed output }--

Теперь у нас установлен nload , и пользоваться им довольно просто.

[root@CentOS rdc]# nload enp0s5

nload будет отслеживать указанный интерфейс. В этом случае enp0s5 - это интерфейс Ethernet, в режиме реального времени с терминала для загрузки сетевого трафика и общего использования полосы пропускания.

Как видно, nload будет отображать как входящие, так и исходящие данные из указанного интерфейса, а также предоставлять физическое представление потока данных с помощью решетки «#».

Изображенный снимок экрана представляет собой простую веб-страницу, загружаемую с некоторым фоновым трафиком демона.

Общие параметры командной строки для nload :

Команда Действие
Временной период
-t Интервал обновления времени в миллисекундах, по умолчанию - 500.
-u Устанавливает отображение измерения трафика h
-U Устанавливает единицы измерения общего входящего / исходящего трафика те же параметры, что и -u

Стандартный синтаксис для nload -

nload [options] <interface>

Если интерфейс не указан, nload автоматически захватит первый интерфейс Ethernet. Давайте попробуем измерить общий объем входящих / исходящих данных в мегабитах и ​​текущую скорость передачи данных в мегабитах.

[root@CentOS rdc]# nload -U M -u m

Входящие / исходящие данные текущего интерфейса измеряются в мегабитах в секунду, и каждая строка «Ttl», представляющая общий объем входящих / исходящих данных, отображается в мегабайтах.

nload полезен для администратора, чтобы увидеть, сколько данных прошло через интерфейс и сколько данных в настоящее время поступает / отправляется через указанный интерфейс.

Чтобы увидеть другие интерфейсы, не закрывая nload, просто используйте клавиши со стрелками влево / вправо. Это будет циклически перебирать все доступные интерфейсы в системе.

Можно контролировать несколько интерфейсов одновременно с помощью переключателя -m -

[root@CentOS rdc]# nload -u K -U M -m lo -m enp0s5

мониторинг нагрузки двух интерфейсов одновременно (lo и enp0s5) -

systemd изменил способ ведения системного журнала для CentOS Linux. Вместо того, чтобы каждый демон в системе размещал журналы в отдельных местах, вместо использования таких инструментов, как tail или grep, в качестве основного способа сортировки и фильтрации записей журнала,journald привнесла единый административный пункт для анализа системных журналов.

Основными компонентами ведения журнала systemd являются: journal, jounralctl и journald.conf.

journald является основным демоном ведения журнала и настраивается путем редактирования journald.conf, в то время как journalctl используется для анализа событий, регистрируемых journald .

События, регистрируемые journald, включают: события ядра, пользовательские процессы и службы демонов.

Установите правильный системный часовой пояс

Перед использованием journalctl нам нужно убедиться, что в нашем системном времени установлено правильное время. Для этого мы хотим использовать timedatectl .

Проверим текущее системное время.

[root@centos rdc]# timedatectl status 
Local time: Mon 2017-03-20 00:14:49 MDT 
Universal time: Mon 2017-03-20 06:14:49 UTC 
RTC time: Mon 2017-03-20 06:14:49 
Time zone: America/Denver (MDT, -0600) 
NTP enabled: yes 
NTP synchronized: yes 
RTC in local TZ: no 
DST active: yes 
Last DST change: DST began at 
              Sun 2017-03-12 01:59:59 MST 
              Sun 2017-03-12 03:00:00 MDT 
Next DST change: DST ends (the clock jumps one hour backwards) at 
              Sun 2017-11-05 01:59:59 MDT 
              Sun 2017-11-05 01:00:00 MST
              
[root@centos rdc]#

В настоящее время система соответствует местному часовому поясу. Если ваша система не работает, давайте установим правильный часовой пояс. После изменения настроек CentOS автоматически вычислит смещение часового пояса от текущего часового пояса, сразу же настроив системные часы.

Перечислим все часовые пояса с помощью timedatectl -

[root@centos rdc]# timedatectl list-timezones 
Africa/Abidjan
Africa/Accra
Africa/Addis_Ababa
Africa/Algiers
Africa/Asmara
Africa/Bamako
Africa/Bangui
Africa/Banjul
Africa/Bissau

Это предполагаемый результат работы timedatectl list-timezones . Чтобы найти конкретный местный часовой пояс, можно использовать команду grep -

[root@centos rdc]# timedatectl list-timezones | grep -i "america/New_York" 
America/New_York
[root@centos rdc]#

Метка, используемая CentOS, обычно - это Страна / регион с подчеркиванием вместо пробела (New_York по сравнению с New York).

Теперь установим наш часовой пояс -

[root@centos rdc]# timedatectl set-timezone "America/New_York"

[root@centos rdc]# date 
Mon Mar 20 02:28:44 EDT 2017

[root@centos rdc]#

Системные часы должны автоматически корректировать время.

Используйте journalctl для анализа журналов

Общие параметры командной строки при использовании journalctl -

Переключатель Действие
-k Перечисляет только сообщения ядра
-u Списки по конкретным единицам (httpd, sshd и т. Д.)
-b Загружает смещение этикетки
Регистрирует выходной формат
-п Фильтры по типу журнала (имя или номер)
-F Имя поля или имя поля значение
--универсальное глобальное время Время в UTC смещение
--поскольку Фильтр по таймфрейму

Изучите журналы загрузки

Сначала мы рассмотрим и настроим журналы загрузки в CentOS Linux. Первое, что вы заметите, это то, что CentOS по умолчанию не хранит журнал загрузки, который сохраняется после перезагрузки.

Чтобы проверить журналы загрузки для каждого экземпляра перезагрузки, мы можем выполнить следующую команду -

[root@centos rdc]# journalctl --list-boots 
-4 bca6380a31a2463aa60ba551698455b5 Sun 2017-03-19 22:01:57 MDT—Sun 2017-03-19 22:11:02 MDT
-3 3aaa9b84f9504fa1a68db5b49c0c7208 Sun 2017-03-19 22:11:09 MDT—Sun 2017-03-19 22:15:03 MDT
-2 f80b231272bf48ffb1d2ce9f758c5a5f Sun 2017-03-19 22:15:11 MDT—Sun 2017-03-19 22:54:06 MDT
-1 a071c1eed09d4582a870c13be5984ed6 Sun 2017-03-19 22:54:26 MDT—Mon 2017-03-20 00:48:29 MDT
 0 9b4e6cdb43b14a328b1fa6448bb72a56 Mon 2017-03-20 00:48:38 MDT—Mon 2017-03-20 01:07:36 MDT

[root@centos rdc]#

После перезагрузки системы мы видим еще одну запись.

[root@centos rdc]# journalctl --list-boots 
-5 bca6380a31a2463aa60ba551698455b5 Sun 2017-03-19 22:01:57 MDT—Sun 2017-03-19 22:11:02 MDT
-4 3aaa9b84f9504fa1a68db5b49c0c7208 Sun 2017-03-19 22:11:09 MDT—Sun 2017-03-19 22:15:03 MDT
-3 f80b231272bf48ffb1d2ce9f758c5a5f Sun 2017-03-19 22:15:11 MDT—Sun 2017-03-19 22:54:06 MDT
-2 a071c1eed09d4582a870c13be5984ed6 Sun 2017-03-19 22:54:26 MDT—Mon 2017-03-20 00:48:29 MDT
-1 9b4e6cdb43b14a328b1fa6448bb72a56 Mon 2017-03-20 00:48:38 MDT—Mon 2017-03-20 01:09:57 MDT
 0 aa6aaf0f0f0d4fcf924e17849593d972 Mon 2017-03-20 01:10:07 MDT—Mon 2017-03-20 01:12:44 MDT
 
[root@centos rdc]#

Теперь давайте рассмотрим последний экземпляр журнала загрузки -

root@centos rdc]# journalctl -b -5 
-- Logs begin at Sun 2017-03-19 22:01:57 MDT, end at Mon 2017-03-20 01:20:27 MDT. --
Mar 19 22:01:57 localhost.localdomain systemd-journal[97]: Runtime journal is using 8.0M 
(max allowed 108.4M
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpuset
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpu
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpuacct
Mar 19 22:01:57 localhost.localdomain kernel: Linux version 3.10.0514.6.2.el7.x86_64 
([email protected].
Mar 19 22:01:57 localhost.localdomain kernel: Command line: 
BOOT_IMAGE=/vmlinuz-3.10.0-514.6.2.el7.x86_64 ro
Mar 19 22:01:57 localhost.localdomain kernel: Disabled fast string operations
Mar 19 22:01:57 localhost.localdomain kernel: e820: BIOS-provided physical RAM map:

Выше представлен сжатый результат нашей последней загрузки. Мы также можем обращаться к журналу загрузки за часы, дни, недели, месяцы и даже годы. Однако по умолчанию CentOS не хранит постоянные журналы загрузки. Чтобы обеспечить постоянное хранение журналов загрузки, нам нужно внести несколько изменений в конфигурацию -

  • Сделайте центральные точки хранения для журналов загрузки
  • Предоставьте необходимые разрешения для новой папки журнала
  • Настройте journald.conf для постоянного ведения журнала

Настройка места загрузки для постоянных журналов загрузки

Первоначально journald будет хранить постоянные журналы загрузки в / var / log / journal . Поскольку по умолчанию этого не существует, давайте создадим его -

[root@centos rdc]# mkdir /var/log/journal

Теперь давайте дадим каталогу соответствующие права доступа для демона journald -

systemd-tmpfiles --create --prefix /var/log/journal

Наконец, скажем journald, что он должен хранить постоянные журналы загрузки. В vim или вашем любимом текстовом редакторе откройте /etc/systemd/jounrald.conf " .

# See journald.conf(5) for details.  
[Journal]=Storage=peristent

Нас интересует строка Storage = . Сначала удалите комментарий , затем измените его наStorage = persistentкак показано выше. Сохраните и перезагрузите вашу систему CentOS и позаботьтесь о том, чтобы при запуске journalctl list-boots было несколько записей .

Note- Постоянно меняющийся идентификатор машины, подобный тому, что предоставляется поставщиком VPS, может привести к сбою journald при сохранении постоянных журналов загрузки. Для такого сценария существует множество обходных путей. Лучше ознакомиться с текущими исправлениями, опубликованными на форумах администраторов CentOS, чем следовать надежным советам тех, кто нашел подходящие обходные пути VPS.

Чтобы изучить конкретный журнал загрузки, нам просто нужно получить каждое смещение с помощью journald --list-boots смещение с помощью переключателя -b . Итак, чтобы проверить второй журнал загрузки, мы будем использовать -

journalctl -b -2

Значение по умолчанию для -b без указания смещения журнала загрузки всегда будет текущим журналом загрузки после последней перезагрузки.

Анализируйте журналы по типу журнала

События из журнала пронумерованы и разделены на 7 отдельных типов:

0 - emerg   :: System is unusable 
1 - alert   :: Action must be taken immediatly    
2 - crit    :: Action is advised to be taken immediatly 
3 - err     :: Error effecting functionality of application 
4 - warning :: Usually means a common issue that can affect security or usilbity 
5 - info    :: logged informtation for common operations 
6 - debug   :: usually disabled by default to troubleshoot functionality

Следовательно, если мы хотим , чтобы все предупреждения следующей команда может быть выдана через journalctl -

[root@centos rdc]# journalctl -p 4
-- Logs begin at Sun 2017-03-19 22:01:57 MDT, end at Wed 2017-03-22 22:33:42 MDT. --
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: RSDP 00000000000f6a10 00024
(v02 PTLTD )
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: XSDT 0000000095eea65b 0005C
(v01 INTEL  440BX    06040000 VMW  01
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: FACP 0000000095efee73 000F4
(v04 INTEL  440BX    06040000 PTL  00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: DSDT 0000000095eec749 1272A
(v01 PTLTD  Custom   06040000 MSFT 03
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: FACS 0000000095efffc0 00040
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: BOOT 0000000095eec721 00028
(v01 PTLTD  $SBFTBL$ 06040000 LTP 00 Mar 19 22:01:57 localhost.localdomain kernel: ACPI: APIC 0000000095eeb8bd 00742 (v01 PTLTD ? APIC 06040000 LTP 00 Mar 19 22:01:57 localhost.localdomain kernel: ACPI: MCFG 0000000095eeb881 0003C (v01 PTLTD $PCITBL$ 06040000  LTP 00 
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: SRAT 0000000095eea757 008A8
(v02 VMWARE MEMPLUG  06040000 VMW  00 
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: HPET 0000000095eea71f 00038
(v01 VMWARE VMW HPET 06040000 VMW  00 
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: WAET 0000000095eea6f7 00028
(v01 VMWARE VMW WAET 06040000 VMW  00 
Mar 19 22:01:57 localhost.localdomain kernel: Zone ranges: 
Mar 19 22:01:57 localhost.localdomain kernel:   DMA      [mem 0x000010000x00ffffff] 
Mar 19 22:01:57 localhost.localdomain kernel:   DMA32    [mem 0x010000000xffffffff] 
Mar 19 22:01:57 localhost.localdomain kernel:   Normal   empty 
Mar 19 22:01:57 localhost.localdomain kernel: Movable zone start for each node 
Mar 19 22:01:57 localhost.localdomain kernel: Early memory node ranges 
Mar 19 22:01:57 localhost.localdomain kernel:   node   0: [mem 0x000010000x0009dfff] 
Mar 19 22:01:57 localhost.localdomain kernel:   node   0: [mem 0x001000000x95edffff] 
Mar 19 22:01:57 localhost.localdomain kernel:   node   0: [mem 0x95f000000x95ffffff] 
Mar 19 22:01:57 localhost.localdomain kernel: Built 1 zonelists in Node order,
mobility grouping on.  Total pages: 60 
Mar 19 22:01:57 localhost.localdomain kernel: Policy zone: DMA32 
Mar 19 22:01:57 localhost.localdomain kernel: ENERGY_PERF_BIAS: Set to
'normal', was 'performance'

Выше показаны все предупреждения в системе за последние 4 дня.

Новый способ просмотра и просмотра журналов с помощью systemd действительно требует небольшой практики и исследований, чтобы ознакомиться с ним. Однако, учитывая различные форматы вывода и особое внимание к тому, чтобы сделать все упакованные журналы демонов универсальными, это стоит принять. journald предлагает большую гибкость и эффективность по сравнению с традиционными методами анализа журналов.

Прежде чем исследовать методы развертывания стандартного плана резервного копирования, характерные для CentOS, давайте сначала обсудим типичные соображения для политики резервного копирования стандартного уровня. Первое, к чему мы хотим привыкнуть, это3-2-1 backup rule.

3-2-1 Стратегия резервного копирования

В отрасли часто встречается термин «модель резервного копирования 3-2-1». Это очень хороший подход к реализации плана резервного копирования. 3-2-1 определяется следующим образом:3копии данных; например, у нас может быть рабочая копия; копия, помещенная на сервер CentOS, предназначенная для резервирования с помощью rsync; и чередующиеся, внешние резервные копии USB создаются из данных на сервере резервного копирования.2различные носители резервного копирования. В этом случае у нас фактически будет три разных носителя резервного копирования: рабочая копия на твердотельном накопителе ноутбука или рабочей станции, данные сервера CentOS на массиве RADI6 и внешние резервные копии, размещенные на USB-накопителях.1копия данных за пределами сайта; мы меняем USB-накопители за пределами офиса каждую ночь. Еще одним современным подходом может быть поставщик облачного резервного копирования.

Восстановление системы

Голый металл плана восстановления просто план выложен администратором CentOS , чтобы получить жизненно важные системы онлайн все данные нетронутых. Предполагая 100% сбоев системы и потерю всего оборудования системы, администратор должен иметь план достижения безотказной работы с сохранением целостности пользовательских данных с минимальным временем простоя. Монолитное ядро, используемое в Linux, фактически делает восстановление с нуля с использованием системных образов намного проще, чем Windows. Где Windows использует архитектуру микроядра.

Полное восстановление данных и восстановление с нуля обычно выполняется с помощью комбинации методов, включая рабочие, сконфигурированные производственные образы дисков основных рабочих серверов, резервные резервные копии пользовательских данных в соответствии с правилом 3-2-1. Даже некоторые конфиденциальные файлы, которые могут храниться в безопасном, несгораемом сейфе с ограниченным доступом доверенного персонала компании.

Многофазное восстановление с нуля и план восстановления данных с использованием собственных инструментов CentOS может состоять из:

  • dd для создания и восстановления производственных образов дисков настроенных серверов

  • rsync для создания инкрементных резервных копий всех пользовательских данных

  • tar & gzip для хранения зашифрованных резервных копий файлов с паролями и заметками администраторов. Обычно его можно поместить на USB-накопитель, зашифровать и заблокировать в сейфе, к которому имеет доступ старший менеджер. Кроме того, это гарантирует, что кто-то еще будет знать важные учетные данные безопасности, если текущий администратор выиграет в лотерею и исчезнет где-нибудь на солнечном острове.

Если система выйдет из строя из-за аппаратного сбоя или аварии, следующие этапы восстановления будут следующими:

  • Создайте рабочий сервер с настроенным образом чистого металла

  • Восстановить данные на рабочий сервер из резервных копий

  • Иметь физический доступ к учетным данным, необходимым для выполнения первых двух операций.

Используйте rsync для резервного копирования на уровне файлов

rsync - отличная утилита для синхронизации каталогов файлов локально или с другим сервером. Системные администраторы уже много лет используют rsync , поэтому он очень усовершенствован для резервного копирования данных. По мнению автора, одна из лучших особенностей синхронизации - это возможность создания сценариев из командной строки.

В этом руководстве мы обсудим rsync по-разному -

  • Изучите и обсудите некоторые распространенные варианты
  • Создавать локальные резервные копии
  • Создавайте удаленные резервные копии через SSH
  • Восстановить локальные резервные копии

rsyncназван в честь своего назначения: удаленная синхронизация и одновременно является мощным и гибким в использовании.

Ниже приведено базовое удаленное резервное копирование rsync по ssh.

MiNi:~ rdc$ rsync -aAvz --progress ./Desktop/ImportantStuff/ 
[email protected]:home/rdc/ Documents/RemoteStuff/
[email protected]'s password:
sending incremental file list
   6,148 100%    0.00kB/s    0:00:00 (xfr#1, to-chk=23/25)
2017-02-14 16_26_47-002 - Veeam_Architecture001.png
   33,144 100%   31.61MB/s    0:00:00 (xfr#2, to-chk=22/25)
A Guide to the WordPress REST API | Toptal.pdf
   892,406 100%   25.03MB/s    0:00:00 (xfr#3, to-chk=21/25)
Rick Cardon Technologies, LLC..webloc
   77 100%    2.21kB/s    0:00:00 (xfr#4, to-chk=20/25)
backbox-4.5.1-i386.iso
   43,188,224   1%    4.26MB/s    0:08:29
sent 2,318,683,608 bytes  received 446 bytes  7,302,941.90 bytes/sec
total size is 2,327,091,863  speedup is 1.00
MiNi:~ rdc$

Следующая синхронизация отправила почти 2,3 ГБ данных по нашей локальной сети. Прелесть rsync в том, что он работает постепенно на уровне блоков для каждого файла. Это означает, что если мы изменим всего два символа в текстовом файле размером 1 МБ, только один или два блока будут переданы по локальной сети при следующей синхронизации!

Кроме того, инкрементную функцию можно отключить в пользу большей пропускной способности сети для меньшей загрузки ЦП. Это может оказаться целесообразным при постоянном копировании нескольких файлов базы данных размером 10 МБ каждые 10 минут на выделенной резервной локальной сети объемом 1 ГБ. Причина такова: они всегда будут меняться и будут передавать инкрементно каждые 10 минут и могут увеличивать нагрузку на удаленный ЦП. Поскольку общая нагрузка передачи не превышает 5 минут, мы можем просто синхронизировать файлы базы данных полностью.

Ниже приведены наиболее распространенные выключатели с Rsync -

rsync syntax:
rsync [options] [local path] [[remote host:remote path] or [target path

Переключатель Действие
Режим архивирования и предполагает -r, -p, -t, -g, -l
-d Синхронизировать только дерево каталогов, без файлов
Рекурсивно в каталог
-l Копировать символические ссылки как символические ссылки
-п Сохранить разрешения
Сохранить группу
-v Подробный вывод
-z Сжать по сетевой ссылке
-ИКС Сохранить расширенные атрибуты
Сохранить ACL
-t Сохранить отметки времени
-W Передавать файл целиком, а не отдельные блоки
-u Не перезаписывать файлы на цели
--прогресс Показать прогресс передачи
--удалять Удалить старые файлы на цели
--max-size = XXX Максимальный размер файла для синхронизации

Когда использовать rsync

Лично я предпочитаю rsync при резервном копировании файлов с исходного хоста на целевой хост. Например, все домашние каталоги для восстановления данных или даже удаленные и в облако для аварийного восстановления.

Локальное резервное копирование с помощью rsync

Мы уже видели, как передавать файлы с одного хоста на другой. Тот же метод можно использовать для локальной синхронизации каталогов и файлов.

Давайте вручную создадим инкрементную резервную копию / etc / в каталоге нашего корневого пользователя.

Во-первых, нам нужно создать каталог вне ~ / root для синхронизированной резервной копии -

[root@localhost rdc]# mkdir /root/etc_baks

Затем убедитесь, что на диске достаточно свободного места.

[root@localhost rdc]# du -h --summarize /etc/ 
49M    /etc/
 
[root@localhost rdc]# df -h 
Filesystem           Size     Used     Avail    Use%     Mounted on 
/dev/mapper/cl-root   43G      15G        28G    35%         /

Мы хороши для синхронизации всего нашего каталога / etc / -

rsync -aAvr /etc/ /root/etc_baks/

Наш синхронизированный каталог / etc / -

[root@localhost etc_baks]# ls -l ./
total 1436
drwxr-xr-x.   3 root root      101 Feb  1 19:40 abrt
-rw-r--r--.   1 root root       16 Feb  1 19:51 adjtime
-rw-r--r--.   1 root root     1518 Jun  7  2013 aliases
-rw-r--r--.   1 root root    12288 Feb 27 19:06 aliases.db
drwxr-xr-x.   2 root root       51 Feb  1 19:41 alsa
drwxr-xr-x.   2 root root     4096 Feb 27 17:11 alternatives
-rw-------.   1 root root      541 Mar 31  2016 anacrontab
-rw-r--r--.   1 root root       55 Nov  4 12:29 asound.conf
-rw-r--r--.   1 root root        1 Nov  5 14:16 at.deny
drwxr-xr-x.   2 root root       32 Feb  1 19:40 at-spi2
--{ condensed output }--

Теперь давайте сделаем инкрементный rsync -

[root@localhost etc_baks]# rsync -aAvr --progress  /etc/ /root/etc_baks/
sending incremental file list

test_incremental.txt 
   0 100%    0.00kB/s    0:00:00 (xfer#1, to-check=1145/1282)
   
sent 204620 bytes  received 2321 bytes  413882.00 bytes/sec
total size is 80245040  speedup is 387.77

[root@localhost etc_baks]#

Был скопирован только наш файл test_incremental.txt .

Удаленное дифференциальное резервное копирование с помощью rsync

Давайте сделаем наше первоначальное полное резервное копирование rsync на сервер с развернутым планом резервного копирования. В этом примере фактически выполняется резервное копирование папки на рабочей станции Mac OS X на сервер CentOS. Еще одним замечательным аспектом rsync является то, что его можно использовать на любой платформе, на которую был перенесен rsync.

MiNi:~ rdc$ rsync -aAvz Desktop/ImportanStuff/
[email protected]:Documents/RemoteStuff
[email protected]'s password:
sending incremental file list
./
A Guide to the WordPress REST API | Toptal.pdf
Rick Cardon Tech LLC.webloc
VeeamDiagram.png
backbox-4.5.1-i386.iso
dhcp_admin_script_update.py
DDWRT/
DDWRT/.DS_Store
DDWRT/ddwrt-linksys-wrt1200acv2-webflash.bin
DDWRT/ddwrt_mod_notes.docx
DDWRT/factory-to-ddwrt.bin
open_ldap_config_notes/
open_ldap_config_notes/ldap_directory_a.png
open_ldap_config_notes/open_ldap_notes.txt
perl_scripts/
perl_scripts/mysnmp.pl
php_scripts/
php_scripts/chunked.php
php_scripts/gettingURL.php
sent 2,318,281,023 bytes  received 336 bytes  9,720,257.27 bytes/sec
total size is 2,326,636,892  speedup is 1.00
MiNi:~ rdc$

Мы создали резервную копию папки с рабочей станции на сервере с томом RAID6 с повернутыми носителями для аварийного восстановления, хранящимися за пределами площадки. Использование rsync дало нам стандартное резервное копирование 3-2-1 только с одним сервером, имеющим дорогостоящий резервный дисковый массив и чередующимися дифференциальными резервными копиями.

Теперь давайте сделаем еще одно резервное копирование той же папки с помощью rsync после добавления одного нового файла с именем test_file.txt .

MiNi:~ rdc$ rsync -aAvz Desktop/ImportanStuff/
[email protected]:Documents/RemoteStuff 
[email protected]'s password:  
sending incremental file list 
 ./ 
test_file.txt

sent 814 bytes  received 61 bytes  134.62 bytes/sec
total size is 2,326,636,910  speedup is 2,659,013.61
MiNi:~ rdc$

Как видите, через rsync на сервер был доставлен только новый файл . Дифференциальное сравнение производилось по каждому файлу.

Несколько замечаний: Копируется только новый файл: test_file.txt, так как это был единственный файл с изменениями. rsync использует ssh. Нам никогда не нужно было использовать нашу учетную запись root ни на одной из машин.

Простой, мощный и эффективный, rsync отлично подходит для резервного копирования целых папок и структур каталогов. Однако сам по себе rsync не автоматизирует этот процесс. Здесь нам нужно покопаться в нашем арсенале инструментов и найти лучший, небольшой и простой инструмент для работы.

Чтобы автоматизировать резервное копирование rsync с помощью cronjobs , важно, чтобы пользователи SSH были настроены с использованием ключей SSH для аутентификации. Это в сочетании с cronjobs позволяет автоматически выполнять rsync через определенные промежутки времени.

Используйте DD для поблочных образов восстановления на голый металл

DD - это утилита Linux, которая существует с момента зарождения ядра Linux, совпадающего с утилитами GNU.

Проще говоря, dd копирует образ выбранной области диска. Затем предоставляет возможность копировать выбранные блоки физического диска. Поэтому, если у вас нет резервных копий, после записи dd на диск все блоки заменяются. Потеря предыдущих данных превышает возможности восстановления даже для дорогостоящего восстановления данных профессионального уровня.

Весь процесс создания загрузочного образа системы с dd выглядит следующим образом:

  • Загрузитесь с сервера CentOS с помощью загрузочного дистрибутива Linux.
  • Найдите обозначение загрузочного диска для образа
  • Определите место, где будет храниться образ для восстановления
  • Найдите размер блока, используемого на вашем диске
  • Запустите операцию dd image

В этом руководстве для экономии времени и простоты мы создадим ISO-образ основной загрузочной записи с виртуальной машины CentOS. Затем мы сохраним это изображение за пределами сайта. В случае, если наша MBR повреждена и ее необходимо восстановить, тот же процесс можно применить ко всему загрузочному диску или разделу. Тем не менее, время и дисковое пространство, необходимые для этого урока, действительно выходят за рамки допустимого.

Администраторам CentOS рекомендуется научиться восстанавливать полностью загрузочный диск / раздел в тестовой среде и выполнять восстановление с нуля. Это снимет большое давление, когда в конечном итоге потребуется завершить практику в реальной жизненной ситуации с менеджерами и несколькими десятками конечных пользователей, считающих время простоя. В таком случае 10 минут раздумий могут показаться вечностью и заставить вспотеть.

Note- При использовании dd не путайте исходный и целевой тома. Вы можете уничтожить данные и загрузочные серверы, скопировав резервную копию на загрузочный диск. Или, что еще хуже, уничтожить данные навсегда, скопировав данные на очень низком уровне с помощью DD.

Ниже приведены общие параметры командной строки и параметры для дд -

Переключатель Действие
если = В файле или источнике для копирования
из = Выходной файл или копия входящего файла
bs Установите размер входного и выходного блока
Наблюдения Установить размер блока выходного файла
СРК Установить размер блока входного файла
считать Установите количество блоков для копирования
Конв Дополнительные параметры для создания изображений
Нет ошибки Не прекращайте обработку ошибки
синхронизировать Подкладывает неподходящие входные блоки в случае ошибки или несовпадения

Note on block size- Размер блока по умолчанию для dd составляет 512 байт. Это был стандартный размер блока для жестких дисков с меньшей плотностью. Сегодняшние жесткие диски с более высокой плотностью увеличены до 4096 байтов (4 КБ), что позволяет использовать диски размером от 1 ТБ. Таким образом, мы захотим проверить размер блока диска, прежде чем использовать dd с новыми жесткими дисками большей емкости.

В этом руководстве вместо работы на производственном сервере с dd мы будем использовать установку CentOS, работающую в VMWare. Мы также настроим VMWare для загрузки загрузочного ISO-образа Linux вместо работы с загрузочной USB-флешкой.

Во-первых, нам нужно загрузить образ CentOS под названием: CentOS Gnome ISO . Это почти 3 ГБ, и рекомендуется всегда хранить копию для создания загрузочных USB-накопителей и загрузки в виртуальные серверные установки для устранения неполадок и создания образов голого металла.

Другие загрузочные дистрибутивы Linux также будут работать. Linux Mint можно использовать для загрузочных ISO-образов, поскольку он имеет отличную аппаратную поддержку и полированные инструменты для обслуживания дисков с графическим интерфейсом пользователя.

Загрузочный образ CentOS GNOME Live можно загрузить с: http://buildlogs.centos.org/rolling/7/isos/x86_64/CentOS-7-x86_64-LiveGNOME.iso

Давайте настроим нашу установку VMWare Workstation для загрузки с нашего загрузочного образа Linux. Шаги относятся к VMWare в OS X. Однако они аналогичны для VMWare Workstation в Linux, Windows и даже Virtual Box.

Note- Использование решения для виртуального рабочего стола, такого как Virtual Box или VMWare Workstation, - отличный способ настроить лабораторные сценарии для изучения задач администрирования CentOS. Он обеспечивает возможность установки нескольких установок CentOS, практически без аппаратной конфигурации, что позволяет человеку сосредоточиться на администрировании и даже сохранять состояние сервера перед внесением изменений.

Сначала давайте настроим виртуальный cd-rom и подключим наш ISO-образ для загрузки вместо установки виртуального сервера CentOS -

Теперь установите загрузочный диск -

Теперь при загрузке наша виртуальная машина будет загружаться с загрузочного ISO-образа CentOS и разрешить доступ к файлам на виртуальном сервере CentOS, который был ранее настроен.

Давайте проверим наши диски, чтобы увидеть, откуда мы хотим скопировать MBR (сжатый вывод выглядит следующим образом).

MiNt ~ # fdisk -l
Disk /dev/sda: 60 GiB, 21474836480 bytes, 41943040 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Disk /dev/sdb: 20 GiB, 21474836480 bytes, 41943040 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes

Мы нашли оба наших физических диска: sda и sdb . Каждый имеет размер блока 512 байт. Итак, теперь мы запустим команду dd, чтобы скопировать первые 512 байтов для нашей MBR на SDA1.

Лучший способ сделать это -

[root@mint rdc]# dd if=/dev/sda bs=512 count=1  | gzip -c >
/mnt/sdb/images/mbr.iso.gz 
1+0 records in 
1+0 records out 
512 bytes copied, 0.000171388 s, 3.0 MB/s

[root@mint rdc]# ls /mnt/sdb/ 
   mbr-iso.gz
   
[root@mint rdc]#

Таким образом, у нас есть полный образ нашей основной загрузочной записи. Если бы у нас было достаточно места для образа загрузочного диска, мы могли бы так же легко создать полный загрузочный образ системы -

dd if=/dev/INPUT/DEVICE-NAME-HERE conv=sync,noerror bs=4K | gzip -c >
/mnt/sdb/boot-server-centos-image.iso.gz

Параметр conv = sync используется, когда байты должны быть выровнены для физического носителя. В этом случае dd может получить ошибку, если не считываются точные выравнивания 4K (скажем ... файл размером всего 3K, но должен занимать минимум один блок 4K на диске. Или просто есть ошибка чтения и файл не может быть прочитан дд.). Таким образом, dd с conv = sync, noerror добавит 3K тривиальных, но полезных данных на физический носитель при выравнивании блоков 4K. При этом не отображается ошибка, которая может привести к завершению большой операции.

При работе с данными с дисков мы всегда хотим включать: conv = sync, noerror параметр.

Это просто потому, что диски не являются потоками, как данные TCP. Они состоят из блоков определенного размера. Например, если у нас есть блоки по 512 байт, для файла размером всего 300 байт по-прежнему требуются полные 512 байт дискового пространства (возможно, 2 блока для информации inode, такой как разрешения и другая информация файловой системы).

Используйте gzip и tar для безопасного хранения

gzip и tar - две утилиты, к которым администратор CentOS должен привыкнуть. Они используются не только для распаковки архивов.

Использование Gnu Tar в CentOS Linux

Tar - это утилита для архивирования, похожая на WinRAR в Windows. Его название Tape Archive, сокращенно tar, в значительной степени описывает эту утилиту. tar будет брать файлы и помещать их в архив для логического удобства. Следовательно, вместо десятков файлов, хранящихся в / etc. мы могли бы просто поместить их в архив для удобства резервного копирования и хранения.

tar уже много лет является стандартом для хранения архивных файлов в Unix и Linux. Следовательно, использование tar вместе с gzip или bzip считается лучшей практикой для архивов в каждой системе.

Ниже приведен список общих переключателей и параметров командной строки, используемых с tar.

Переключатель Действие
-c Создает новый архив .tar
-C Выписки в другой каталог
-j Использует сжатие bzip2
-z Использует сжатие gzip
-v Подробно показать прогресс архивирования
-t Перечисляет содержимое архива
-f Имя файла архива
-Икс Извлекает tar-архив

Ниже приводится базовый синтаксис для создания tar- архива.

tar -cvf [tar archive name]

Note on Compression mechanisms with tar- При использовании tar рекомендуется придерживаться одной из двух распространенных схем сжатия: gzip и bzip2. Файлы gzip потребляют меньше ресурсов ЦП, но обычно имеют больший размер. Хотя сжатие bzip2 занимает больше времени, они используют больше ресурсов ЦП; но приведет к уменьшению конечного размера файла.

При использовании сжатия файлов мы всегда будем использовать стандартные расширения файлов, позволяющие всем, включая нас самих, знать (а не догадываться методом проб и ошибок), какая схема сжатия необходима для извлечения архивов.

bzip2 .tbz
bzip2 .tar.tbz
bzip2 .tb2
gzip .tar.gz
gzip .tgz

При необходимости извлечения архивов в ящик Windows или для использования в Windows рекомендуется использовать .tar.tbz или .tar.gz, так как большинство трехсимвольных одинарных расширений запутают Windows и только администраторов Windows (однако, это иногда желаемый результат)

Давайте создадим архив tar с gzip из наших удаленных резервных копий, скопированных с рабочей станции Mac -

[rdc@mint Documents]$ tar -cvz -f RemoteStuff.tgz ./RemoteStuff/ 
./RemoteStuff/
./RemoteStuff/.DS_Store
./RemoteStuff/DDWRT/
./RemoteStuff/DDWRT/.DS_Store
./RemoteStuff/DDWRT/ddwrt-linksys-wrt1200acv2-webflash.bin
./RemoteStuff/DDWRT/ddwrt_mod_notes.docx
./RemoteStuff/DDWRT/factory-to-ddwrt.bin
./RemoteStuff/open_ldap_config_notes/
./RemoteStuff/open_ldap_config_notes/ldap_directory_a.png
./RemoteStuff/open_ldap_config_notes/open_ldap_notes.txt
./RemoteStuff/perl_scripts/
./RemoteStuff/perl_scripts/mysnmp.pl
./RemoteStuff/php_scripts/
./RemoteStuff/php_scripts/chunked.php
./RemoteStuff/php_scripts/gettingURL.php
./RemoteStuff/A Guide to the WordPress REST API | Toptal.pdf
./RemoteStuff/Rick Cardon Tech LLC.webloc
./RemoteStuff/VeeamDiagram.png
./RemoteStuff/backbox-4.5.1-i386.iso
./RemoteStuff/dhcp_admin_script_update.py
./RemoteStuff/test_file.txt
[rdc@mint Documents]$ ls -ld RemoteStuff.tgz
-rw-rw-r--. 1 rdc rdc 2317140451 Mar 12 06:10 RemoteStuff.tgz

Note- Вместо того, чтобы добавлять все файлы прямо в архив, мы заархивировали всю папку RemoteStuff . Это самый простой способ. Просто потому, что при извлечении весь каталог RemoteStuff извлекается со всеми файлами внутри текущего рабочего каталога как ./currentWorkingDirectory/RemoteStuff/

Теперь распакуем архив в каталог / root / home.

[root@centos ~]# tar -zxvf RemoteStuff.tgz
./RemoteStuff/
./RemoteStuff/.DS_Store
./RemoteStuff/DDWRT/
./RemoteStuff/DDWRT/.DS_Store
./RemoteStuff/DDWRT/ddwrt-linksys-wrt1200acv2-webflash.bin
./RemoteStuff/DDWRT/ddwrt_mod_notes.docx
./RemoteStuff/DDWRT/factory-to-ddwrt.bin
./RemoteStuff/open_ldap_config_notes/
./RemoteStuff/open_ldap_config_notes/ldap_directory_a.png
./RemoteStuff/open_ldap_config_notes/open_ldap_notes.txt
./RemoteStuff/perl_scripts/
./RemoteStuff/perl_scripts/mysnmp.pl
./RemoteStuff/php_scripts/
./RemoteStuff/php_scripts/chunked.php
./RemoteStuff/php_scripts/gettingURL.php
./RemoteStuff/A Guide to the WordPress REST API | Toptal.pdf
./RemoteStuff/Rick Cardon Tech LLC.webloc
./RemoteStuff/VeeamDiagram.png
./RemoteStuff/backbox-4.5.1-i386.iso
./RemoteStuff/dhcp_admin_script_update.py
./RemoteStuff/test_file.txt
[root@mint ~]# ping www.google.com

Как видно выше, все файлы были просто извлечены в соответствующий каталог в нашем текущем рабочем каталоге.

[root@centos ~]# ls -l 
total 2262872 
-rw-------.   1   root   root       1752   Feb   1   19:52   anaconda-ks.cfg 
drwxr-xr-x. 137   root   root       8192   Mar   9   04:42   etc_baks 
-rw-r--r--.   1   root   root       1800   Feb   2   03:14   initial-setup-ks.cfg 
drwxr-xr-x.   6   rdc    rdc        4096   Mar  10   22:20   RemoteStuff 
-rw-r--r--.   1   root   root 2317140451   Mar  12   07:12   RemoteStuff.tgz 
-rw-r--r--.   1   root   root       9446   Feb  25   05:09   ssl.conf [root@centos ~]#

Используйте gzip для сжатия резервных копий файлов

Как отмечалось ранее, мы можем использовать либо bzip2, либо gzip из tar с -j или же -zпереключатели командной строки. Мы также можем использовать gzip для сжатия отдельных файлов. Однако использование только bzip или gzip не дает столько возможностей, сколько в сочетании с tar .

При использовании gzip действие по умолчанию - удалить исходные файлы, заменив каждый сжатой версией с добавлением расширения .gz.

Некоторые общие параметры командной строки для gzip:

Переключатель Действие
-c Сохраняет файлы после помещения в архив
-l Получить статистику по сжатому архиву
Рекурсивно сжимает файлы в каталогах
С -1 по 9 Определяет уровень сжатия по шкале от 1 до 9.

gzip более или менее работает для каждого файла, а не для архива, как некоторые утилиты Windows O / S zip. Основная причина этого в том, что tar уже предоставляет расширенные функции архивирования. gzip предназначен только для механизма сжатия.

Следовательно, думая о gzip , думайте об одном файле. Думая о нескольких файлах, подумайте об архивах tar . Давайте теперь исследуем это с нашим предыдущим tar- архивом.

Note - Опытные профессионалы Linux часто называют tar-архив tar-архивом.

Сделаем еще один tar- архив из нашей резервной копии rsync .

[root@centos Documents]# tar -cvf RemoteStuff.tar ./RemoteStuff/
[root@centos Documents]# ls
RemoteStuff.tar RemoteStuff/

В демонстрационных целях давайте запакуем только что созданный тарбол с помощью gzip и скажем gzip сохранить старый файл. По умолчанию, без опции -c , gzip заменяет весь tar-архив файлом .gz .

[root@centos Documents]# gzip -c RemoteStuff.tar > RemoteStuff.tar.gz
[root@centos Documents]# ls
RemoteStuff  RemoteStuff.tar  RemoteStuff.tar.gz
We now have our original directory, our tarred directory and finally our gziped tarball.

Попробуем протестировать ключ -l с помощью gzip .

[root@centos Documents]# gzip -l RemoteStuff.tar.gz  
     compressed        uncompressed        ratio uncompressed_name 
     2317140467          2326661120        0.4% RemoteStuff.tar
     
[root@centos Documents]#

Чтобы продемонстрировать, чем gzip отличается от утилит Windows Zip, давайте запустим gzip для папки с текстовыми файлами.

[root@centos Documents]# ls text_files/
 file1.txt  file2.txt  file3.txt  file4.txt  file5.txt
[root@centos Documents]#

Теперь давайте воспользуемся параметром -r, чтобы рекурсивно сжать все текстовые файлы в каталоге.

[root@centos Documents]# gzip -9 -r text_files/

[root@centos Documents]# ls ./text_files/
file1.txt.gz  file2.txt.gz  file3.txt.gz  file4.txt.gz  file5.txt.gz
 
[root@centos Documents]#

Видеть? Не то, что некоторые могли ожидать. Все исходные текстовые файлы были удалены, и каждый был сжат индивидуально. Из-за такого поведения лучше думать только о gzip, когда нужно работать с отдельными файлами.

Работа с тарболлами , давайте извлекать нашу rsynced тарболла в новый каталог.

[root@centos Documents]# tar -C /tmp -zxvf RemoteStuff.tar.gz
./RemoteStuff/
./RemoteStuff/.DS_Store
./RemoteStuff/DDWRT/
./RemoteStuff/DDWRT/.DS_Store
./RemoteStuff/DDWRT/ddwrt-linksys-wrt1200acv2-webflash.bin
./RemoteStuff/DDWRT/ddwrt_mod_notes.docx
./RemoteStuff/DDWRT/factory-to-ddwrt.bin
./RemoteStuff/open_ldap_config_notes/
./RemoteStuff/open_ldap_config_notes/ldap_directory_a.png
./RemoteStuff/open_ldap_config_notes/open_ldap_notes.txt
./RemoteStuff/perl_scripts/
./RemoteStuff/perl_scripts/mysnmp.pl
./RemoteStuff/php_scripts/
./RemoteStuff/php_scripts/chunked.php

Как видно выше, мы извлекли и распаковали наш архив в каталог / tmp.

[root@centos Documents]# ls /tmp 
hsperfdata_root
RemoteStuff

Зашифровать архивы TarBall

Шифрование архивов tarball для хранения защищенных документов, которые могут потребоваться другим сотрудникам организации в случае аварийного восстановления, может быть сложной задачей. Есть три основных способа сделать это: либо использовать GnuPG, либо использовать openssl, либо использовать стороннюю утилиту.

GnuPG в первую очередь разработан для асимметричного шифрования и имеет в виду идентификацию, а не парольную фразу. Правда, его можно использовать с симметричным шифрованием, но это не главная сила GnuPG. Таким образом, я бы не стал использовать GnuPG для хранения архивов с физической безопасностью, когда доступ может потребоваться большему количеству людей, чем исходный человек (например, корпоративный менеджер, который хочет защитить себя от администратора, который держит все ключи от королевства как рычаг).

Openssl, как и GnuPG, может делать то, что мы хотим, и поставляется с CentOS. Но опять же, он не предназначен специально для того, чтобы делать то, что мы хотим, и шифрование подвергалось сомнению в сообществе безопасности.

Наш выбор - это утилита под названием 7zip. 7zip - это утилита сжатия, аналогичная gzip, но с множеством других функций. Как и Gnu Gzip, 7zip и его стандарты находятся в сообществе разработчиков ПО с открытым исходным кодом. Нам просто нужно установить 7zip из нашего репозитория EHEL (в следующей главе будет подробно рассказано об установке расширенных корпоративных репозиториев).

Установите 7zip на Centos

7zip - это простая установка после загрузки и настройки наших репозиториев EHEL в CentOS.

[root@centos Documents]# yum -y install p7zip.x86_64 p7zip-plugins.x86_64
Loaded plugins: fastestmirror, langpacks
base
| 3.6 kB  00:00:00
epel/x86_64/metalink
|  13 kB  00:00:00
epel
| 4.3 kB  00:00:00
extras
| 3.4 kB  00:00:00
updates
| 3.4 kB  00:00:00
(1/2): epel/x86_64/updateinfo
| 756 kB  00:00:04      
(2/2):
epel/x86_64/primary_db
| 4.6 MB  00:00:18
Loading mirror speeds from cached hostfile
--> Running transaction check
---> Package p7zip.x86_64 0:16.02-2.el7 will be installed
---> Package p7zip-plugins.x86_64 0:16.02-2.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved

Все очень просто: 7zip установлен и готов к использованию с 256-битным шифрованием AES для наших архивов tarball.

Теперь давайте воспользуемся 7z, чтобы зашифровать наш сжатый архив с паролем. Синтаксис для этого довольно прост -

7z a -p <output filename><input filename>

Где, a: добавить в архив и -p: зашифровать и запросить парольную фразу

[root@centos Documents]# 7z a -p RemoteStuff.tgz.7z RemoteStuff.tar.gz

7-Zip [64] 16.02 : Copyright (c) 1999-2016 Igor Pavlov : 2016-05-21
p7zip Version 16.02 (locale=en_US.UTF-8,Utf16=on,HugeFiles=on,64 bits,1 CPU Intel(R)
Core(TM) i5-4278U CPU @ 2.60GHz (40651),ASM,AES-NI)
Scanning the drive:
1 file, 2317140467 bytes (2210 MiB)

Creating archive: RemoteStuff.tgz.7z

Items to compress: 1

Enter password (will not be echoed):
Verify password (will not be echoed) :

Files read from disk: 1
Archive size: 2280453410 bytes (2175 MiB)
Everything is Ok
[root@centos Documents]# ls
RemoteStuff  RemoteStuff.tar  RemoteStuff.tar.gz  RemoteStuff.tgz.7z  slapD
text_files

[root@centos Documents]#

Теперь у нас есть наш архив .7z, который зашифровывает сжатый архив с 256-битным AES.

Note- 7zip использует 256-битное шифрование AES с хешем пароля и счетчика SHA-256, который повторяется до 512 К раз для получения ключа. Это должно быть достаточно безопасно, если используется сложный ключ.

Процесс шифрования и повторного сжатия архива может занять некоторое время для больших архивов.

7zip - это расширенное предложение с большим количеством функций, чем gzip или bzip2. Однако это не стандартно для CentOS или для мира Linux. Таким образом, другие утилиты следует использовать как можно чаще.

Систему CentOS 7 можно обновить тремя способами:

  • Manually
  • Automatically
  • Обновите вручную для серьезных проблем безопасности и настройте автоматические обновления

В производственной среде рекомендуется обновлять производственные серверы вручную. Или, по крайней мере, составьте план обновления, чтобы администратор мог гарантировать услуги, жизненно важные для бизнес-операций.

Вполне вероятно, что простое обновление безопасности может вызвать рекурсивные проблемы с обычными приложениями, которые требуют обновления и перенастройки администратором. Итак, не стоит планировать автоматические обновления в производственной среде перед тестированием на серверах разработки и настольных компьютерах.

Обновите CentOS 7 вручную

Чтобы обновить CentOS 7, нам нужно познакомиться с командой yum .yumиспользуется для работы с репозиториями пакетов в CentOS 7. yum обычно используется для:

  • Обновите систему CentOS 7 Linux
  • Искать пакеты
  • Установить пакеты
  • Обнаружение и установка необходимых зависимостей для пакетов

Чтобы использовать yum для обновлений, ваш сервер CentOS должен быть подключен к Интернету. Большинство конфигураций устанавливают базовую систему, а затем используют yum для запроса основного репозитория CentOS для дополнительных функций в пакетах и ​​применения обновлений системы.

Мы уже использовали yum для установки нескольких пакетов. При использовании yum вам всегда нужно делать это как пользователь root. Или пользователь с root-доступом. Итак, давайте найдем и установим простой в использовании текстовый редактор под названием nano .

[root@centos rdc]# yum search nano
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.rackspace.com
 * epel: mirror.chpc.utah.edu
 * extras: repos.forethought.net 
 * updates: repos.forethought.net 
====================================================================== 
      N/S matched: nano 
======================================================================
nano.x86_64 : A small text editor
nodejs-nano.noarch : Minimalistic couchdb driver for Node.js
perl-Time-Clock.noarch : Twenty-four hour clock object with nanosecond precision
 Name and summary matches only, use "search all" for everything.
 
[root@centos rdc]#

Теперь давайте установим текстовый редактор nano .

[root@centos rdc]# yum install nano
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.keystealth.org
 * epel: pubmirror1.math.uh.edu
 * extras: centos.den.host-engine.com
 * updates: repos.forethought.net
Resolving Dependencies
--> Running transaction check
---> Package nano.x86_64 0:2.3.1-10.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
================================================================================  
Package                             Arch
Version                          Repository                            Size  
================================================================================  
 Installing: 
 nano                               x86_64
 2.3.1-10.el7                    base                                  440 k
 
Transaction Summary
Install  1 Package
Total download size: 440 k
Installed size: 1.6 M
Is this ok [y/d/N]: y
Downloading packages:
nano-2.3.1-10.el7.x86_64.rpm
| 440 kB  00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
 Installing : nano-2.3.1-10.el7.x86_64
1/1  
 Verifying  : nano-2.3.1-10.el7.x86_64
1/1  
Installed: 
 nano.x86_64 0:2.3.1-10.el7
 
Complete!

[root@centos rdc]#

Мы установили текстовый редактор nano. Этот метод, IMO, намного проще, чем поиск утилит на веб-сайтах и ​​запуск установщиков вручную. Кроме того, репозитории используют цифровые подписи для проверки пакетов, гарантируя, что они поступают из надежного источника с помощью yum. Администратор должен проверять подлинность при доверии к новым репозиториям. Вот почему считается хорошей практикой уставать от сторонних репозиториев.

Yum также можно использовать для удаления пакета.

[root@centos rdc]# yum remove nano 
Loaded plugins: fastestmirror, langpacks 
Resolving Dependencies 
--> Running transaction check 
---> Package nano.x86_64 0:2.3.1-10.el7 will be erased 
--> Finished Dependency Resolution

Dependencies Resolved

Теперь проверим обновления.

[root@centos rdc]# yum list updates
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.keystealth.org
 * epel: pubmirror1.math.uh.edu
 * extras: centos.den.host-engine.com
 * updates: repos.forethought.net
Updated Packages
NetworkManager.x86_64           1:1.4.0-17.el7_3       updates
NetworkManager-adsl.x86_64      1:1.4.0-17.el7_3       updates
NetworkManager-glib.x86_64      1:1.4.0-17.el7_3       updates
NetworkManager-libnm.x86_64     1:1.4.0-17.el7_3       updates
NetworkManager-team.x86_64      1:1.4.0-17.el7_3       updates
NetworkManager-tui.x86_64       1:1.4.0-17.el7_3       updates
NetworkManager-wifi.x86_64      1:1.4.0-17.el7_3       updates
audit.x86_64                    2.6.5-3.el7_3.1        updates
audit-libs.x86_64               2.6.5-3.el7_3.1        updates
audit-libs-python.x86_64

Как показано, у нас есть несколько десятков обновлений, ожидающих установки. На самом деле, всего обновлений около 100, поскольку мы еще не настроили автоматические обновления. Итак, давайте установим все ожидающие обновления.

[root@centos rdc]# yum update
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.usc.edu
 * epel: pubmirror1.math.uh.edu
 * extras: repos.forethought.net
 * updates: repos.forethought.net
Resolving Dependencies
--> Running transaction check
---> Package NetworkManager.x86_64 1:1.4.0-14.el7_3 will be updated
---> Package NetworkManager.x86_64 1:1.4.0-17.el7_3 will be an update
 selinux-policy            noarch      3.13.1102.el7_3.15      updates     414 k
 selinux-policy-targeted   noarch      3.13.1102.el7_3.15      updates     6.4 M 
 systemd                   x86_64      21930.el7_3.7           updates     5.2 M 
 systemd-libs              x86_64      21930.el7_3.7           updates     369 k 
 systemd-python            x86_64      21930.el7_3.7           updates     109 k 
 systemd-sysv              x86_64      21930.el7_3.7           updates     63 k 
 tcsh                      x86_64      6.18.01-13.el7_3.1      updates     338 k 
 tzdata                    noarch      2017a1.el7              updates     443 k 
 tzdata-java               noarch      2017a1.el7              updates     182 k 
wpa_supplicant             x86_64      1:2.021.el7_3           updates     788 k  

Transaction Summary 
=============================================================================== 
  Install   2 Packages 
  Upgrade  68 Packages 
Total size: 196 M 
Total download size: 83 M 
Is this ok [y/d/N]:

После нажатия клавиши «y» начнется обновление CentOS 7. Общий процесс, через который yum проходит при обновлении, -

  • Проверяет текущие пакеты
  • Ищет в репозитории обновленные пакеты
  • Вычисляет зависимости, необходимые для обновленных пакетов
  • Загрузки обновлений
  • Устанавливает обновления

Теперь давайте удостоверимся, что наша система обновлена ​​-

[root@centos rdc]# yum list updates 
Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
 * updates: mirror.compevo.com

[root@centos rdc]#

Как видите, обновлений в списке нет.

Настроить автоматическое обновление для YUM

В корпоративной среде, как упоминалось ранее, автоматические обновления могут быть или не быть предпочтительным методом установки. Давайте рассмотрим шаги по настройке автоматических обновлений с помощью yum.

Сначала мы устанавливаем пакет под названием yum-cron .

[root@centos rdc]# yum -y install yum-cron
Install  1 Package
Total download size: 61 k
Installed size: 51 k
Downloading packages:
yum-cron-3.4.3-150.el7.centos.noarch.rpm
|  61 kB  00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : yum-cron-3.4.3-150.el7.centos.noarch
1/1
  Verifying  : yum-cron-3.4.3-150.el7.centos.noarch
1/1

Installed: 
 yum-cron.noarch 0:3.4.3-150.el7.centos
 
Complete!

[root@centos rdc]#

По умолчанию yum-cron загружает только обновления, но не устанавливает их. Возможность автоматической установки обновлений находится в компетенции администратора. Самая большая оговорка: для некоторых обновлений потребуется перезагрузка системы. Кроме того, для некоторых обновлений может потребоваться изменение конфигурации, прежде чем службы снова станут доступны.

Обновление зависимостей может создать рекурсивную проблему в следующей ситуации:

  • Yum рекомендует обновление для определенной библиотеки

  • Библиотека поддерживает только Apache Server 2.4, но у нас есть сервер 2.3.

  • Наш коммерческий сайт использует определенную версию PHP.

  • Новая версия Apache, установленная для библиотеки, требует обновления PHP.

  • Наши производственные веб-приложения еще не тестировались с новой версией PHP.

Yum может продолжить и автоматически обновлять Apache и PHP без уведомления, если не настроено.

Если все 5 сценариев будут реализованы, это может привести к чему угодно - от большой головной боли по утрам до возможной угрозы безопасности, связанной с раскрытием пользовательских данных. Хотя вышеупомянутый пример - своего рода идеальный шторм, мы никогда не хотим, чтобы такой сценарий разыгрывался.

Администратор должен получить доступ к возможным сценариям потенциальной потери дохода из-за времени, необходимого для восстановления услуг из-за возможного простоя из-за перезагрузки обновления и перенастройки. Эта практика может быть недостаточно консервативной, скажем, для сайта электронной коммерции с миллионом долларов в день с миллионами клиентов.

Теперь давайте настроим yum-cron для автоматической установки обновлений системы.

[root@centos rdc]# vim /etc/yum/yum-cron.conf
# Whether updates should be applied when they are available.  Note
# that download_updates must also be yes for the update to be applied.
apply_updates = yes

Мы хотим изменить apply_updates = no на apply_updates = yes . Теперь настроим интервал обновления yum-cron .

Опять же, использование автоматических обновлений и установка обновлений по требованию может быть палкой о двух концах, и администратор должен учитывать ее в каждой уникальной ситуации.

Введение в Bash Shell

Как и разновидности GNU Linux, оболочки бывают разных видов и различаются по совместимости. Оболочка по умолчанию в CentOS известна как Bash или Bourne Again Shell. Оболочка Bash - это современная модифицированная версия Bourne Shell, разработанная Стивеном Борном. Bash был прямой заменой исходной оболочки Thompson Shell в операционной системе Unix, разработанной в Bell Labs Кеном Томпсоном и Деннисом Ритчи (Стивен Борн также работал в Bell Labs)

У каждого есть любимый снаряд, и у каждого есть свои сильные стороны и трудности. Но по большей части Bash будет оболочкой по умолчанию для всех дистрибутивов Linux и наиболее общедоступной. Имея опыт, каждый захочет изучить и использовать оболочку, которая лучше всего подходит для него. Однако в то же время всем захочется освоить оболочку Bash.

Другие оболочки Linux включают: Tcsh, Csh, Ksh, Zsh и Fish.

Для администратора CentOS чрезвычайно важно развивать навыки использования любой оболочки Linux на экспертном уровне. Как мы уже упоминали ранее, в отличие от Windows, Linux по своей сути является операционной системой командной строки. Оболочка - это просто пользовательский интерфейс, который позволяет администратору (или пользователю) отдавать команды операционной системе. Если бы системный администратор Linux был пилотом авиакомпании, использование оболочки было бы похоже на снятие самолета с автопилота и взятие ручного управления для более маневренного полета.

Оболочка Linux, такая как Bash, известна в компьютерных науках как Command Line Interpreter. Microsoft Windows также имеет два интерпретатора командной строки, называемых DOS (не путать с исходной операционной системой DOS) и PowerShell.

Большинство современных оболочек, таких как Bash, предоставляют constructsпозволяя более сложным сценариям оболочки автоматизировать как общие, так и сложные задачи.

Конструкции включают -

  • Управление потоком скриптов (ifthen и else)
  • Логические операции сравнения (больше, меньше, равенство)
  • Loops
  • Variables
  • Параметры, определяющие работу (аналогично переключателям с командами)

Использование сценария оболочки и языка сценариев

Часто, думая о выполнении задачи, администраторы задают себе вопрос: следует ли мне использовать сценарий оболочки или язык сценариев, такой как Perl, Ruby или Python?

Здесь нет установленных правил. Есть только типичные различия между оболочками и языками сценариев.

Оболочка

Shell позволяет использовать такие команды Linux, как sed , grep , tee , cat и все другие утилиты командной строки в операционной системе Linux. Фактически, практически любая утилита командной строки Linux может быть написана в вашей оболочке.

Отличным примером использования оболочки может быть быстрый скрипт для проверки списка хостов на предмет разрешения DNS.

Наш простой сценарий Bash для проверки имен DNS -

#!/bin/bash 
for name in $(cat $1); do host $name.$2 | grep "has address" 
   done 
exit

небольшой список слов для проверки разрешения DNS -

dns 
www 
test 
dev 
mail 
rdp 
remote

Вывод для домена google.com -

[rdc@centos ~]$  ./dns-check.sh dns-names.txt google.com
-doing dns
dns.google.com has address 172.217.6.46
-doing www
www.google.com has address 172.217.6.36
-doing test
-doing dev
-doing mail
googlemail.l.google.com has address 172.217.6.37
-doing rdp
-doing remote

[rdc@centos ~]$

Используя простые команды Linux в нашей оболочке, мы смогли создать простой 5-строчный скрипт для аудита DNS-имен из списка слов. Это заняло бы значительное время в Perl, Python или Ruby даже при использовании хорошо реализованной библиотеки DNS.

Язык сценариев

Язык сценариев даст больше контроля за пределами оболочки. В приведенном выше сценарии Bash используется оболочка для команды хоста Linux . Что, если бы мы хотели сделать больше и создать собственное приложение, например host, для взаимодействия вне оболочки? Здесь мы будем использовать язык сценариев.

Кроме того, благодаря хорошо поддерживаемому языку сценариев мы знаем, что наши действия по большей части будут работать в разных системах. Python 3.5, например, будет работать в любой другой системе, на которой работает Python 3.5 с теми же установленными библиотеками. Не так, если мы хотим запустить наш BASH-скрипт как в Linux, так и в HP-UX.

Иногда границы между языком сценариев и мощной оболочкой могут быть размыты. Задачи администрирования CentOS Linux можно автоматизировать с помощью Python, Perl или Ruby. Это действительно обычное дело. Кроме того, богатые разработчики сценариев оболочки создали простой, но в остальном функциональный демон веб-сервера в Bash.

Имея опыт работы с языками сценариев и автоматизации задач в оболочках, администратор CentOS сможет быстро определить, с чего начать, когда необходимо решить проблему. Довольно часто проект запускается с помощью сценария оболочки. Затем переходите к языку сценариев (или компилируемому) по мере усложнения проекта.

Кроме того, для разных частей проекта можно использовать как язык сценариев, так и сценарий оболочки. Примером может служить Perl-скрипт для очистки веб-сайта. Затем используйте сценарий оболочки для анализа и форматирования с помощью sed , awk и egrep . Наконец, используйте сценарий PHP для вставки форматированных данных в базу данных MySQL с помощью веб-интерфейса.

Имея некоторую теорию оболочек, давайте начнем с основных строительных блоков для автоматизации задач из оболочки Bash в CentOS.

Вход, выход и перенаправление

Обработка stdout другой команде -

[rdc@centos ~]$ cat ~/output.txt | wc -l 
6039 
[rdc@centos ~]$

Выше мы прошли cat'sstoud в туалет для обработки с трубой характером. Затем wc обработал вывод cat , распечатав счетчик строк файла output.txt на терминал. Подумайте трубы характера , как «труба» , проходящей вывод из одной команды, должны быть обработаны следующей команды.

Ниже приведены ключевые концепции, которые следует помнить при работе с перенаправлением команд.

номер Дескриптор файла символ
0 стандартный ввод <
1 стандартный вывод >
2 стандартная ошибка
добавить стандартный вывод >>
назначить перенаправление &
конвейер из стандартного вывода в стандартный ввод |

Мы представили это в первой главе, особо не говоря о перенаправлении или назначении перенаправления. При открытии терминала в Linux ваша оболочка рассматривается как цель по умолчанию для -

  • стандартный ввод <0
  • стандартный вывод> 1
  • стандартная ошибка 2

Посмотрим, как это работает -

[rdc@centos ~]$ lsof -ap $BASHPID -d 0,1,2 COMMAND PID USER **FD** TYPE DEVICE SIZE/OFF NODE NAME bash 13684 rdc **0u** CHR 136,0 0t0 3 /dev/pts/0 bash 13684 rdc **1u** CHR 136,0 0t0 3 /dev/pts/0 bash 13684 rdc **2u** CHR 136,0 0t0 3 /dev/pts/0 [rdc@centos ~]$

/ dev / pts / 0 - это наш псевдотерминал. CentOS Linux смотрит на это и думает о нашем открытом терминальном приложении как о реальном терминале с клавиатурой и дисплеем, подключенными через последовательный интерфейс. Однако, как гипервизор абстрагирует оборудование до операционной системы, / dev / pts абстрагирует наш терминал от приложений.

Из приведенной выше команды lsof мы можем видеть подFDстолбец, что все три файловых дескриптора установлены на наш виртуальный терминал (0,1,2). Теперь мы можем отправлять команды, видеть вывод команды, а также любые ошибки, связанные с командой.

Ниже приведены примеры для STDIN и STDOUT -

STDOUT

[root@centosLocal centos]# echo "I am coming from Standard output or STDOUT." >
output.txt && cat output.txt
I am coming from Standard output or STDOUT. 
[root@centosLocal centos]#

Также можно отправлять как stdout, так и stderr в отдельные файлы -

bash-3.2# find / -name passwd 1> good.txt 2> err.txt
bash-3.2# cat good.txt
/etc/pam.d/passwd
/etc/passwd
bash-3.2# cat err.txt 
find: /dev/fd/3: Not a directory
find: /dev/fd/4: Not a directory
bash-3.2#

При поиске по всей файловой системе обнаружены две ошибки. Каждый из них был отправлен в отдельный файл для дальнейшего изучения, а полученные результаты были помещены в отдельный текстовый файл.

Отправка stderr в текстовый файл может быть полезна при выполнении операций, которые выводят большой объем данных на терминал, например, при компиляции приложений. Это позволит просматривать ошибки, которые могут быть потеряны из истории прокрутки терминала.

Одно замечание при передаче STDOUT в текстовый файл - это различия между >> и >. Двойной ">>" будет добавляться к файлу, в то время как форма единственного числа будет стирать файл и записывать новое содержимое (так что все предыдущие данные будут потеряны).

STDIN

[root@centosLocal centos]# cat < stdin.txt
Hello,
I am being read form Standard input, STDIN.

[root@centosLocal centos]#

В приведенной выше команде текстовый файл stdin.txt был перенаправлен на команду cat, которая отобразила свое содержимое в STDOUT .

Символ трубы "|"

Символ вертикальной черты принимает выходные данные первой команды, передавая их в качестве входных данных следующей команде, позволяя вторичной команде выполнять операции с выходными данными.

Теперь давайте "перенаправим" стандартный вывод cat другой команде -

[root@centosLocal centos]# cat output.txt | wc -l
2
[root@centosLocal centos]#

Выше, wc выполняет вычисления на выходе из cat, который был передан из трубы. Команда pipe особенно полезна при фильтрации вывода grep или egrep -

[root@centosLocal centos]# egrep "^[0-9]{4}$" /usr/dicts/nums | wc -l  
9000 
[root@centosLocal centos]#

В приведенной выше команде мы передали в wc каждое 4-значное число из текстового файла, содержащего все числа из 65535, прошедшие через фильтр egrep .

Перенаправление вывода с помощью &

Вывод можно перенаправить с помощью &персонаж. Если мы хотим направить вывод как STDOUT, так и STDERR в один и тот же файл, это можно сделать следующим образом:

[root@centosLocal centos]# find / -name passwd > out.txt 2>&1
[root@centosLocal centos]# cat out.txt  
find: /dev/fd/3: Not a directory 
find: /dev/fd/4: Not a directory 
/etc/passwd

[root@centosLocal centos]#

Перенаправление с помощью &символ работает так: сначала вывод перенаправляется в out.txt . Во-вторых, STDERR или файловый дескриптор 2 переназначается в то же место, что и STDOUT, в данном случае out.txt .

Перенаправление чрезвычайно полезно и пригодится при решении проблем, возникающих при манипулировании большими текстовыми файлами, компиляции исходного кода, перенаправлении вывода в сценариях оболочки и выполнении сложных команд Linux.

Несмотря на свою мощь, перенаправление может усложнить новым администраторам CentOS. Практика, исследования и случайные вопросы на форуме Linux (например, Stack Overflow Linux) помогут найти передовые решения.

Конструкции оболочки Bash

Теперь, когда у нас есть хорошее представление о том, как работает оболочка Bash , давайте изучим некоторые основные конструкции, обычно используемые для написания скриптов. В этом разделе мы рассмотрим -

  • Variables
  • Loops
  • Conditionals
  • Контроль цикла
  • Чтение и запись в файлы
  • Основные математические операции

Подсказки по устранению неполадок BASH

BASH может быть немного сложнее по сравнению со специальным языком сценариев. Некоторые из самых серьезных зависаний в сценариях BASH связаны с неправильным экранированием или невыполнением экранирования операций сценария, передаваемых в оболочку. Если вы просмотрели сценарий несколько раз и он не работает должным образом, не волнуйтесь. Это характерно даже для тех, кто ежедневно использует BASH для создания сложных скриптов.

Быстрый поиск в Google или регистрация на экспертном форуме Linux, чтобы задать вопрос, быстро помогут. Есть большая вероятность, что кто-то столкнулся с точной проблемой, и она уже решена.

Сценарии BASH - отличный метод быстрого создания мощных сценариев для всего, от автоматизации административных задач до создания полезных инструментов. Чтобы стать разработчиком BASH-скриптов экспертного уровня, нужно время и практика. Следовательно, по возможности используйте сценарии BASH, это отличный инструмент для вашего набора инструментов администрирования CentOS.

Управление пакетами в CentOS может осуществляться двумя способами: из терминала и из графического интерфейса пользователя.

Чаще всего администратор CentOS большую часть времени использует терминал. Обновление и установка пакетов для CentOS ничем не отличается. Имея это в виду, мы сначала рассмотрим управление пакетами в терминале, а затем коснемся использования графического инструмента управления пакетами, предоставляемого CentOS.

Менеджер пакетов YUM

YUM - это инструмент для управления пакетами в CentOS. Мы кратко затронули эту тему в предыдущих главах. В этой главе мы будем работать с чистой установкой CentOS. Сначала мы полностью обновим нашу установку, а затем установим приложение.

YUM значительно продвинул установку программного обеспечения и управление им в Linux. YUM «автоматически» проверяет наличие устаревших зависимостей в дополнение к устаревшим пакетам. Это действительно снизило нагрузку на администратора CentOS по сравнению с прежними днями компиляции каждого приложения из исходного кода.

ням проверить-обновление

Проверяет пакеты, которые могут обновлять кандидатов. В этом руководстве мы предположим, что это производственная система, которая будет выходить в Интернет без производственных приложений, которые должны быть протестированы DevOps перед обновлением пакетов. Давайте теперь установим обновленных кандидатов в систему.

[root@localhost rdc]# yum check-update
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.scalabledns.com
 * extras: mirror.scalabledns.com
 * updates: mirror.clarkson.edu
NetworkManager.x86_64                     1:1.4.0-19.el7_3              updates
NetworkManager-adsl.x86_64                1:1.4.0-19.el7_3              updates 
NetworkManager-glib.x86_64                1:1.4.0-19.el7_3              updates 
NetworkManager-libnm.x86_64               1:1.4.0-19.el7_3              updates 
NetworkManager-team.x86_64                1:1.4.0-19.el7_3              updates 
NetworkManager-tui.x86_64                 1:1.4.0-19.el7_3              updates 
NetworkManager-wifi.x86_64                1:1.4.0-19.el7_3              updates 
audit.x86_64                              2.6.5-3.el7_3.1               updates    
vim-common.x86_64                         2:7.4.160-1.el7_3.1           updates 
vim-enhanced.x86_64                       2:7.4.160-1.el7_3.1           updates 
vim-filesystem.x86_64                     2:7.4.160-1.el7_3.1           updates 
vim-minimal.x86_64                        2:7.4.160-1.el7_3.1           updates 
wpa_supplicant.x86_64                     1:2.0-21.el7_3                updates 
xfsprogs.x86_64                           4.5.0-9.el7_3                 updates

[root@localhost rdc]#

ням обновление

При этом будут установлены все обновленные кандидаты, что сделает вашу установку CentOS актуальной. При новой установке это может занять некоторое время в зависимости от вашей установки и скорости вашего интернет-соединения.

[root@localhost rdc]# yum update

vim-minimal                        x86_64    2:7.4.160-1.el7_3.1     updates    436 k 
wpa_supplicant                     x86_64    1:2.0-21.el7_3          updates    788 k 
xfsprogs                           x86_64    4.5.0-9.el7_3           updates    895 k  

Transaction Summary 
======================================================================================
Install    2 Packages 
Upgrade  156 Packages  
Total download size: 371 M

Is this ok [y/d/N]:

Установить программное обеспечение через YUM

Помимо обновления системы CentOS, менеджер пакетов YUM - это наш незаменимый инструмент для установки программного обеспечения. Все, от инструментов сетевого мониторинга, видеоплееров до текстовых редакторов, можно установить из центрального репозитория с помощью YUM .

Перед установкой некоторых программных утилит давайте рассмотрим несколько команд YUM . Для повседневной работы 90% использования YUM администратором CentOS будет примерно с 7 командами. Мы рассмотрим каждый в надежде познакомиться с управлением YUM на профессиональном уровне для повседневного использования. Однако, как и большинство утилит Linux, YUM предлагает множество дополнительных функций, которые всегда полезно изучить на странице руководства. Использование man yum всегда будет первым шагом к выполнению незнакомых операций с любой утилитой Linux.

Наиболее распространенные команды YUM

Ниже приведены наиболее часто используемые команды YUM.

Команда Действие
список установлен Список пакетов, установленных через YUM
перечислить все Список всех доступных в настоящее время пакетов
список групп Список сгруппированных пакетов
Информация Предоставляет подробную информацию о пакете
поиск Ищет описания и названия пакетов
установить Устанавливает пакет
localinstall Устанавливает локальный пакет rpm
удалять Удаляет и устанавливает пакет
очистить все Очищает / var / cache / yum, чтобы освободить место на диске
человек ням Как и все команды Linux, файл справки

Установить программное обеспечение с помощью YUM

Теперь мы установим текстовый веб-браузер под названием Lynx. Перед установкой мы должны сначала получить имя пакета, содержащего веб-браузер Lynx. Мы даже не на 100% уверены, что наш репозиторий CentOS по умолчанию предоставляет пакет для веб-браузера Lynx, поэтому давайте поищем и посмотрим -

[root@localhost rdc]# yum search web browser
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.scalabledns.com
 * extras: mirror.scalabledns.com 
 * updates: mirror.clarkson.edu 
=================================================================
N/S matched: web, browser
================================================================== 
icedtea-web.x86_64 : Additional Java components for OpenJDK - Java browser
plug-in and Web Start implementation
elinks.x86_64 : A text-mode Web browser
firefox.i686 : Mozilla Firefox Web browser
firefox.x86_64 : Mozilla Firefox Web browser
lynx.x86_64 : A text-based Web browser

Full name and summary matches only, use "search all" for everything.
 
[root@localhost rdc]#

Мы видим, CentOS действительно предлагает веб-браузер Lynx в репозитории. Давайте посмотрим еще немного информации о пакете.

[root@localhost rdc]# lynx.x86_64
bash: lynx.x86_64: command not found...
[root@localhost rdc]# yum info lynx.x86_64
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.scalabledns.com
 * extras: mirror.scalabledns.com
 * updates: mirror.clarkson.edu
Available Packages
Name        : lynx
Arch        : x86_64
Version     : 2.8.8
Release     : 0.3.dev15.el7
Size        : 1.4 M
Repo        : base/7/x86_64
Summary     : A text-based Web browser
URL         : http://lynx.isc.org/
License     : GPLv2
Description : Lynx is a text-based Web browser. Lynx does not display any images, 
            : but it does support frames, tables, and most other HTML tags. One 
            : advantage Lynx has over graphical browsers is speed; Lynx starts and
            : exits quickly and swiftly displays web pages.
            
[root@localhost rdc]#

Ницца! Версия 2.8 достаточно актуальна, поэтому давайте установим Lynx.

[root@localhost rdc]# yum install lynx
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirror.scalabledns.com
 * extras: mirror.scalabledns.com
 * updates: mirror.clarkson.edu 
Resolving Dependencies
--> Running transaction check 
---> Package lynx.x86_64 0:2.8.8-0.3.dev15.el7 will be installed 
--> Finished Dependency Resolution  
Dependencies Resolved  
===============================================================================
===============================================================================
Package                          Arch
Version                       Repository                    Size 
===============================================================================
===============================================================================
Installing: 
 lynx                           x86_64
2.8.80.3.dev15.el7              base                        1.4 M

Transaction Summary
===============================================================================
===============================================================================
Install  1 Package

Total download size: 1.4 M 
Installed size: 5.4 M 
Is this ok [y/d/N]: y 
Downloading packages: 
No Presto metadata available for base
lynx-2.8.8-0.3.dev15.el7.x86_64.rpm
| 1.4 MB  00:00:10      
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
   Installing : lynx-2.8.8-0.3.dev15.el7.x86_64
1/1
   Verifying  : lynx-2.8.8-0.3.dev15.el7.x86_64
1/1

Installed: 
   lynx.x86_64 0:2.8.8-0.3.dev15.el7
Complete!

[root@localhost rdc]#

Затем давайте убедимся, что Lynx действительно установился правильно.

[root@localhost rdc]# yum list installed | grep -i lynx

lynx.x86_64                   2.8.8-0.3.dev15.el7              @base     
[root@localhost rdc]#

Большой! Давайте воспользуемся Lynx и посмотрим, как выглядит Интернет без «лайков» и красивых картинок.

[root@localhost rdc]# lynx www.tutorialpoint.in

Отлично, теперь у нас есть веб-браузер для нашего рабочего сервера, который можно без особого беспокойства использовать для удаленных эксплойтов, запускаемых через Интернет. Это хорошо для производственных серверов.

Мы почти закончили, однако сначала нам нужно настроить этот сервер для разработчиков для тестирования приложений. Итак, давайте убедимся, что у них есть все инструменты, необходимые для их работы. Мы могли установить все по отдельности, но CentOS и YUM сделали это намного быстрее. Установим пакет группы разработки .

[root@localhost rdc]# yum groups list 
Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
 * base: mirror.scalabledns.com 
 * extras: mirror.scalabledns.com 
 * updates: mirror.clarkson.edu
 
Available Groups: 
   Compatibility Libraries 
   Console Internet Tools 
   Development Tools 
   Graphical Administration Tools
   Legacy UNIX Compatibility 
   Scientific Support 
   Security Tools 
   Smart Card Support 
   System Administration Tools 
   System Management 
Done

[root@localhost rdc]#

Это меньший список групп пакетов, предоставляемых CentOS. Посмотрим, что входит в «Девелоперскую группу».

[root@localhost rdc]# yum group info "Development Tools" 
Loaded plugins: fastestmirror, langpacks 
There is no installed groups file. 
Maybe run: yum groups mark convert (see man yum) 
Loading mirror speeds from cached hostfile 
 * base: mirror.scalabledns.com 
 * extras: mirror.scalabledns.com 
 * updates: mirror.clarkson.edu
 
Group: Development Tools 
Group-Id: development 
Description: A basic development environment. 
Mandatory Packages: 
autoconf 
automake 
binutils 
bison

Первый экран вывода показан выше. Весь этот список довольно обширен. Однако со временем эту группу обычно необходимо будет установить полностью. Установим всю группу разработки.

[root@localhost rdc]# yum groupinstall "Development Tools"

Это будет установка большего размера. По завершении на вашем сервере будет большинство библиотек для разработки и компиляторов для Perl, Python, C и C ++.

Графическое управление пакетами в CentOS

Gnome Desktop предоставляет графический инструмент управления пакетами под названием Software. Он довольно прост в использовании и понятен. Программное обеспечение, инструмент управления пакетами Gnome для CentOS можно найти, перейдя в: Приложения → Системные инструменты → Программное обеспечение.

Инструмент управления пакетами программного обеспечения разделен на группы, позволяющие администратору выбирать пакеты для установки. Хотя этот инструмент отлично подходит для простоты использования и простоты для конечных пользователей, YUM намного мощнее и, вероятно, будет больше использоваться администраторами.

Ниже приведен снимок экрана инструмента управления пакетами программного обеспечения, который на самом деле не предназначен для системных администраторов.

Logical Volume Management (LVM)- это метод, используемый Linux для управления томами хранения на разных физических жестких дисках. Не следует путать с RAID. Тем не менее, его можно рассматривать в той же концепции, что и RAID 0 или J-Bod. LVM позволяет иметь (например) три физических диска по 1 ТБ каждый, а затем логический том размером около 3 ТБ, такой как / dev / sdb. Или даже два логических тома по 1,5 ТБ, 5 томов по 500 ГБ или любую комбинацию. Один единственный диск можно использовать даже для моментальных снимков логических томов.

Note- Использование логических томов фактически увеличивает дисковый ввод-вывод при правильной настройке. Это работает аналогично чередованию данных RAID 0 на отдельных дисках.

Когда мы узнаем об управлении томами с помощью LVM, будет легче, если мы будем знать, что такое каждый компонент в LVM. Пожалуйста, изучите следующую таблицу, чтобы получить четкое представление о каждом компоненте. Если нужно, используйте Google для обучения. Понимание каждой части логического тома важно для управления ими.

PV Физический объем sda
PP Физический раздел sda1, sda2
VG Группа томов Объединенные физические ресурсы
LV Логический объем Рассматривается как хранилище для операционной системы

А physical volumeбудет отображаться как / dev / sda, / dev / sdb; физический диск, обнаруженный Linux.

А physical partitionбудет разделом диска, разбитым дисковой утилитой, такой как fdisk. Имейте в виду, что физический раздел не рекомендуется в большинстве распространенных конфигураций LVM. Пример: диск / dev / sda разбит на два физических раздела: / dev / sda1 и / dev / sda1

Если у нас есть два физических диска по 1 ТБ каждый, мы можем создать группу томов размером почти 2 ТБ из двух.

Из группы томов мы можем создать три логических тома, каждый из которых любого размера, не превышающего общий размер группы томов.

Традиционные инструменты для администрирования дисков Linux

Прежде чем познакомиться с последними и наиболее функциональными инструментами управления LVM в CentOS 7, мы должны сначала изучить более традиционные инструменты, которые использовались для управления дисками Linux. Эти инструменты пригодятся и по-прежнему используются с современными передовыми инструментами LVM, такими как System Storage Manager: lsblk, parted и mkfs.xfs.

Теперь, предполагая, что мы добавили еще один или два диска в нашу систему, нам нужно перечислить диски, обнаруженные Linux. Я всегда советую перечислять диски каждый раз перед выполнением операций, считающихся деструктивными.lsblk- отличный инструмент для получения информации о диске. Посмотрим, какие диски обнаруживает CentOS.

[root@localhost rdc]# lsblk
NAME         MAJ:MIN    RM    SIZE    RO    TYPE MOUNTPOINT
sda            8:0       0     20G     0        disk 
├─sda1         8:1       0      1G     0     part /boot
└─sda2         8:2       0     19G     0        part 
  ├─cl-root  253:0       0     17G     0      lvm  /
  └─cl-swap  253:1       0      2G     0      lvm  [SWAP]
    sdb       8:16       0      6G     0       disk 
    sdc       8:32       0      4G     0       disk 
    sr0       11:0       1   1024M     0       rom

Как видите, у нас в системе три диска: sda, sdb и sdc.

Disk sda содержит нашу рабочую установку CentOS, поэтому мы не хотим возиться с sda. И sdb, и sdc были добавлены в систему для этого руководства. Давайте сделаем эти диски пригодными для использования в CentOS.

Создать метку диска

[root@localhost rdc]# parted /dev/sdb mklabel GPT
Warning: The existing disk label on /dev/sdb will be destroyed and all data on this
   disk will be lost. Do you want to continue?
Yes/No? Yes                               
[root@localhost rdc]#

Теперь у нас есть помеченный диск. Просто запустите команду parted таким же образом на sdc .

Создайте разделы на диске

Мы создадим только один раздел на каждом диске. Для создания разделов, то пробор команда снова используется.

[root@localhost rdc]# parted -a opt /dev/sdb mkpart primary ext4 0% 100%

Warning - Вы запросили раздел от 0.00B до 6442MB (секторы 0..12582911).

Ближайшее местоположение, с которым мы можем работать, - от 17,4 КБ до 1048 КБ (секторы 34..2047).

Это все еще приемлемо для вас?

Да нет? Нет

[root@localhost rdc]# parted -a opt /dev/sdc mkpart primary ext4 0% 100%

Information - Возможно, вам потребуется обновить / etc / fstab.

[root@localhost rdc]# lsblk                                               
NAME        MAJ:MIN   RM    SIZE    RO    TYPE MOUNTPOINT
sda           8:0      0     20G     0        disk 
├─sda1        8:1      0      1G     0      part / boot
└─sda2        8:2      0     19G     0        part 
 ├─cl-root  253:0      0     17G     0       lvm  /
 └─cl-swap  253:1      0      2G     0       lvm  [SWAP]
sdb          8:16      0      6G     0        disk 
└─sdb1       8:17      0      6G     0        part 
 sdc         8:32      0      4G     0        disk 
└─sdc1       8:33      0      4G     0        part 
sr0          11:0      1   1024M     0        rom

[root@localhost rdc]#

Как видно из вывода lsblk, теперь у нас есть два раздела, каждый на sdb и sdc.

Сделайте файловую систему

Наконец, перед монтированием и использованием любого тома нам нужно добавить файловую систему. Мы будем использовать файловую систему XFS.

root@localhost rdc]# mkfs.xfs -f /dev/sdb1
meta-data = /dev/sdb1               isize = 512    agcount = 4, agsize = 393088 blks
            =                      sectsz = 512    attr = 2, projid32bit = 1
            =                         crc = 1      finobt = 0, sparse = 0
data        =                       bsize = 4096   blocks = 1572352, imaxpct = 25
            =                       sunit = 0      swidth = 0 blks
naming      = version 2             bsize = 4096   ascii-ci = 0 ftype = 1
log         = internal log          bsize = 4096   blocks = 2560, version = 2
            =                      sectsz = 512    sunit = 0 blks, lazy-count = 1
realtime    = none                  extsz = 4096   blocks = 0, rtextents = 0
[root@localhost rdc]# mkfs.xfs -f /dev/sdc1
meta-data   = /dev/sdc1             isize = 512    agcount = 4, agsize = 262016 blks
            =                      sectsz = 512    attr = 2, projid32bit = 1
            =                         crc = 1      finobt = 0, sparse = 0
data        =                       bsize = 4096   blocks = 1048064, imaxpct = 25
            =                       sunit = 0      swidth = 0 blks
naming      = version 2             bsize = 4096   ascii-ci = 0 ftype = 1
log         = internal log          bsize = 4096   blocks = 2560, version = 2
            =                      sectsz = 512    sunit = 0 blks, lazy-count = 1
realtime    = none                  extsz = 4096   blocks = 0, rtextents = 0

[root@localhost rdc]#

Давайте проверим, есть ли у каждого из них пригодная файловая система.

[root@localhost rdc]# lsblk -o NAME,FSTYPE
NAME           FSTYPE
sda         
├─sda1         xfs
└─sda2         LVM2_member
 ├─cl-root     xfs
 └─cl-swap     swap
sdb         
└─sdb1         xfs
sdc         
└─sdc1         xfs
sr0

[root@localhost rdc]#

Каждый теперь использует файловую систему XFS. Давайте смонтируем их, проверим монтирование и скопируем файл в каждый.

[root@localhost rdc]# mount -o defaults /dev/sdb1 /mnt/sdb
[root@localhost rdc]# mount -o defaults /dev/sdc1 /mnt/sdc

[root@localhost ~]# touch /mnt/sdb/myFile /mnt/sdc/myFile
[root@localhost ~]# ls /mnt/sdb /mnt/sdc
 /mnt/sdb:
  myFile

 /mnt/sdc:
  myFile

На данный момент у нас есть два рабочих диска. Однако их можно будет использовать, только если мы смонтируем их вручную. Чтобы смонтировать каждый из них при загрузке, мы должны отредактировать файл fstab . Кроме того, необходимо установить разрешения для групп, которым требуется доступ к новым дискам.

Создание групп томов и логических томов

Одним из величайших дополнений к CentOS 7 стало включение утилиты под названием System Storage Manager или ssm .System Storage Manager значительно упрощает процесс управления пулами LVM и томами хранения в Linux.

Мы рассмотрим процесс создания простого пула томов и логических томов в CentOS. Первым шагом является установка System Storage Manager.

[root@localhost rdc]# yum  install system-storage-manager

Посмотрим на наши диски с помощью команды ssm list .

Как видно выше, всего в системе установлено три диска.

  • /sdba1 - Размещает нашу установку CentOS

  • /sdb1 - Установлен в / mnt / sdb

  • /sdc1 - Установлен в / mnt / sdc

Мы хотим создать группу томов, используя два диска (sdb и sdc). Затем сделайте три логических тома по 3 ГБ доступными для системы.

Создадим нашу группу томов.

[root@localhost rdc]# ssm create -p NEW_POOL /dev/sdb1 /dev/sdc1

По умолчанию ssm создает единый логический том , занимающий все 10 ГБ пула. Мы этого не хотим, поэтому давайте удалим это.

[root@localhost rdc]# ssm remove /dev/NEW_POOL/lvol001
 Do you really want to remove active logical volume NEW_POOL/lvol001? [y/n]: y
 Logical volume "lvol001" successfully removed
[root@localhost rdc]#

Наконец, давайте создадим три логических тома.

[root@localhost rdc]# ssm create -n disk001 --fs xfs -s 3GB -p NEW_POOL
[root@localhost rdc]# ssm create -n disk002 --fs xfs -s 3GB -p NEW_POOL
[root@localhost rdc]# ssm create -n disk003 --fs xfs -s 3GB -p NEW_POOL

Теперь давайте проверим наши новые тома.

Теперь у нас есть три отдельных логических тома, распределенных по двум разделам физического диска.

Логические тома - это мощная функция, встроенная в CentOS Linux. Мы коснулись поверхности управления ими. Освоение пулов и логических томов связано с практикой и расширенным изучением из Tutorials Point. На данный момент вы изучили основы управления LVM в CentOS и обладаете способностью создавать базовые логические тома с чередованием на одном хосте.