Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00278 008340 10493236 na godz. na dobę w sumie
100 sposobów na Linux Server. Wskazówki i narzędzia dotyczące integracji, monitorowania i rozwiązywania problemów - książka
100 sposobów na Linux Server. Wskazówki i narzędzia dotyczące integracji, monitorowania i rozwiązywania problemów - książka
Autor: , Liczba stron: 480
Wydawca: Helion Język publikacji: polski
ISBN: 83-246-0490-1 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> serwery internetowe >> inne
Porównaj ceny (książka, ebook, audiobook).

Linux zdobywa coraz większą popularność. Wszędzie, gdzie mamy do czynienia z zarządzaniem sieciami komputerowymi, bezpieczeństwem danych czy potrzebą nieprzerwanej, stabilnej pracy systemu, bardzo często będziemy mieli do czynienia z serwerem linuksowym. System Linux nieustannie rzuca wyzwanie największym producentom oprogramowania i stanowi bardzo poważną alternatywę wobec konkurencyjnych rozwiązań.

Autorzy książki '100 sposobów na Linux Server. Wskazówki i narzędzia dotyczące integracji, monitorowania i rozwiązywania problemów' przedstawiają ogrom praktycznej wiedzy z zakresu administracji serwerem Linux. Obaj pracowali jako administratorzy systemów, zatem doskonale wiedzą, z jakimi problemami spotykają się na co dzień użytkownicy Linuksa. Dzięki poradom zawartym w książce nawet zaawansowani użytkownicy odkryją wiele nowych sposobów usprawniających ich pracę. W przejrzystej formie przedstawiono instrukcje opisujące krok po kroku rozwiązania, dzięki którym Twój system będzie wydajny, bezpieczny i użyteczny. Wszystko krótko i na temat!

W książce znajdziesz między innymi:

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREœCI SPIS TREœCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOœCIACH O NOWOœCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Koœciuszki 1c 44-100 Gliwice tel. 032 230 98 63 e-mail: helion@helion.pl 100 sposobów na Linux Server. Wskazówki i narzêdzia dotycz¹ce integracji, monitorowania i rozwi¹zywania problemów Autorzy: William von Hagen, Brian K. Jones T³umaczenie: Ma³gorzata Czart, Piotr Maciejek, Leszek Sagalara ISBN: 83-246-0490-1 Tytu³ orygina³u: Linux Server Hacks, Volume Two: Tips Tools for Connecting, Monitoring, and Troubleshooting Format: B5, stron: 480 Linux zdobywa coraz wiêksz¹ popularnoœæ. Wszêdzie, gdzie mamy do czynienia z zarz¹dzaniem sieciami komputerowymi, bezpieczeñstwem danych czy potrzeb¹ nieprzerwanej, stabilnej pracy systemu, bardzo czêsto bêdziemy mieli do czynienia z serwerem linuksowym. System Linux nieustannie rzuca wyzwanie najwiêkszym producentom oprogramowania i stanowi bardzo powa¿n¹ alternatywê wobec konkurencyjnych rozwi¹zañ. Autorzy ksi¹¿ki „100 sposobów na Linux Server. Wskazówki i narzêdzia dotycz¹ce integracji, monitorowania i rozwi¹zywania problemów” przedstawiaj¹ ogrom praktycznej wiedzy z zakresu administracji serwerem Linux Obaj pracowali jako administratorzy systemów, zatem doskonale wiedz¹, z jakimi problemami spotykaj¹ siê na co dzieñ u¿ytkownicy Linuksa. Dziêki poradom zawartym w ksi¹¿ce nawet zaawansowani u¿ytkownicy odkryj¹ wiele nowych sposobów usprawniaj¹cych ich pracê. W przejrzystej formie przedstawiono instrukcje opisuj¹ce krok po kroku rozwi¹zania, dziêki którym Twój system bêdzie wydajny, bezpieczny i u¿yteczny. Wszystko krótko i na temat! W ksi¹¿ce znajdziesz miêdzy innymi: (cid:129) Kontrolowanie procesu uwierzytelniania w Linuksie (cid:129) Administrowanie pamiêci¹ masow¹ w sieci z u¿yciem kwot dyskowych, klonowania, snapshotów i systemów RAID (cid:129) Instalacja i konfiguracja serwera Kerberos (cid:129) Pod³¹czanie graficznego interfejsu u¿ytkownika do zdalnych systemów (cid:129) Odzyskiwanie danych z uszkodzonych systemów plików Twórcy książki ................................................................................................................................ 7 Wprowadzenie .............................................................................................................................. 11 Rozdział 1. Uwierzytelnianie w Linuksie .................................................................................... 19 1. Natychmiastowe wyłączanie kont użytkowników .................................................... 20 2. Edycja pliku haseł w celu zwiększenia kontroli dostępu ......................................... 22 3. Blokowanie dostępu dla wszystkich w mniej niż sekundę ...................................... 25 4. Dostosowanie uwierzytelniania za pomocą PAM ..................................................... 26 5. Uwierzytelnianie użytkowników Linuksa w kontrolerze domen Windows ........ 33 6. Scentralizowane logowanie z LDAP ............................................................................ 39 7. Kerberos, czyli jak zabezpieczyć swój system ............................................................ 46 8. Uwierzytelnianie w NFS za pomocą NIS .................................................................... 53 9. Synchronizacja danych LDAP i NIS ............................................................................. 57 Rozdział 2. Zdalne podłączanie graficznego interfejsu użytkownika ...................................... 61 10. Zdalny dostęp do systemu za pomocą VNC .............................................................. 62 11. Dostęp do serwera VNC przez WWW ........................................................................ 70 12. Bezpieczne połączenia VNC przez SSH ...................................................................... 72 13. Automatyczny start serwerów VNC na żądanie ....................................................... 76 14. Zmieniamy nasze komputery w uproszczone klienty .............................................. 84 15. Uruchamianie Windows poprzez sieć ......................................................................... 94 16. Lekkie i bezpiecznie połączenia graficzne przez FreeNX ......................................... 98 17. Bezpieczne połączenia VNC za pomocą FreeNX ..................................................... 104 18. Bezpieczne połączenia terminalowe Windows za pomocą FreeNX ..................... 107 19. Zdalna administracja za pomocą Webmin ................................................................ 109 Rozdział 3. Usługi systemowe ................................................................................................... 113 20. Szybka i prosta konfiguracja DHCP ........................................................................... 114 21. Integrowanie DHCP i DNS z dynamicznymi uaktualnieniami DNS ................... 118 22. Synchronizacja zegarów ............................................................................................... 123 23. Centralizacja zasobów czcionek X Window System ................................................ 125 24. Tworzenie serwera druku CUPS ................................................................................ 132 Spis treści | 3 25. Konfiguracja połączeń linuksowych ze zdalnymi drukarkami CUPS ................. 141 26. Integracja Windows i CUPS ......................................................................................... 144 27. Centralizowanie drukowania w systemach Mac OS X za pomocą CUPS ........... 146 28. Zabezpieczanie drukarek CUPS .................................................................................. 149 Rozdział 4. Narzędzia i wskazówki dla administratora systemu ............................................ 153 29. Jednoczesne wykonywanie poleceń na wielu serwerach ....................................... 153 30. Bezpieczna współpraca z bezpiecznym Wiki ........................................................... 155 31. Edycja pliku konfiguracyjnego GRUB za pomocą grubby ..................................... 159 32. Lepsze wykorzystanie klawisza tabulacji .................................................................. 160 33. Utrzymywanie działających procesów po wyjściu z powłoki ............................... 162 34. Odłączanie konsoli bez kończenia sesji ..................................................................... 164 35. Zastosowanie polecenia script do zaoszczędzenia sobie czasu i szkolenia innych .167 36. Zautomatyzowana instalacja Linuksa po uruchomieniu komputera .................... 169 37. Zmiana laptopa w prowizoryczną konsolę ............................................................... 174 38. Dokumentacja przydatna dla leniwych ..................................................................... 177 39. Wykorzystanie potęgi Vima ........................................................................................ 180 40. Jak przenieść swoje umiejętności pisania skryptów PHP do wiersza poleceń ... 183 41. Szybkie połączenia przez telnet (SSH) z pulpitu ..................................................... 185 42. Szybsza kompilacja ....................................................................................................... 188 43. Unikanie pospolitych pomyłek ................................................................................... 190 44. Jak wprowadzić Linuksa do firmy ............................................................................. 193 45. Priorytety w pracy ......................................................................................................... 196 Rozdział 5. Zarządzanie pamięcią masową i kopiami bezpieczeństwa ................................. 203 46. Elastyczne pamięci masowe z LVM ........................................................................... 204 47. Połączenie LVM i programowego RAID ................................................................... 212 48. Tworzenie migawek woluminu LVM z kopiowaniem przy zapisie .................... 219 49. Szybkie i łatwe klonowanie systemów ...................................................................... 223 50. Kopie bezpieczeństwa typu dysk-na-dysk dla dużych dysków ............................... 230 51. Zwalnianie miejsca na dysku ...................................................................................... 236 52. Współdzielenie plików za pomocą grup Linuksa .................................................... 237 53. Ulepszone uprawnienia z ACL ................................................................................... 241 54. Łatwiejsze odnajdywanie plików za pomocą atrybutów rozszerzonych ............ 248 55. Nakładanie przydziałów dyskowych ........................................................................ 254 Rozdział 6. Standaryzowanie, współdzielenie oraz synchronizowanie zasobów ................. 259 56. Centralizacja zasobów przy użyciu NFS ................................................................... 259 57. Automatyczne montowanie katalogów domowych użytkowników przez NFS za pomocą autofs ..................................................................................... 265 4 | Spis treści 58. Łatwo dostępne i funkcjonalne zewnętrzne systemy plików ................................ 268 59. Synchronizacja środowisk użytkownika root z użyciem rsync ................................ 272 60. Współdzielenie plików pomiędzy platformami z użyciem Samby ............................. 273 61. Szybki i banalny NAS ................................................................................................... 279 62. Współdzielenie plików oraz katalogów poprzez WWW ........................................ 286 Rozdział 7. Bezpieczeństwo ...................................................................................................... 291 63. Zwiększanie bezpieczeństwa poprzez wyłączenie niepotrzebnych serwisów ... 292 64. Przyznawanie lub odmowa dostepu według adresów IP ...................................... 294 65. Wykrywanie ataków przy użyciu snort .................................................................... 297 66. Poskramianie Tripwire ................................................................................................. 305 67. Weryfikowanie integralności systemu plików z użyciem narzędzia Afick ......... 311 68. Wyszukiwanie programów typu rootkit oraz innych śladów ataków ................ 315 Rozdział 8. Rozwiązywanie problemów oraz poprawianie wydajności ................................. 323 69. Wyszukiwanie niedoborów zasobów z użyciem poleceń standardowych ......... 323 70. Skracanie czasu restartu poprzez użycie systemów plików z kroniką ................ 328 71. Grok oraz optymalizacja systemu z użyciem sysctl ................................................ 333 72. Uzyskanie „dużego” ekranu przy wykorzystaniu wielu monitorów .................. 335 73. Maksymalizowanie zasobów poprzez korzystanie z minimalistycznego menedżera okien ................................................................... 339 74. Analizowanie systemu przy użyciu /proc ................................................................ 344 75. Odpowiedni sposób kończenia procesów ................................................................. 348 76. Scentralizowany dostęp do systemu za pomocą konsoli szeregowej ................... 351 77. Czyszczenie NIS po odejściu użytkowników ........................................................... 355 Rozdział 9. Dzienniki i monitorowanie ...................................................................................... 359 78. Unikanie katastrofalnych awarii dysków .................................................................. 359 79. Monitorowanie ruchu sieciowego za pomocą MRTG ............................................. 364 80. Stałe monitorowanie hostów ....................................................................................... 367 81. Zdalne monitorowanie i konfigurowanie różnych urządzeń sieciowych ........... 368 82. Zmuszanie aplikacji do używania syslog .................................................................. 374 83. Monitorowanie plików dziennika .............................................................................. 376 84. Wysyłka wiadomości dziennika do klienta Jabbera ................................................ 380 85. Monitorowanie dostępności serwisu za pomocą Zabbiksa .................................... 382 86. Dostrajanie demona syslog .......................................................................................... 387 87. Bezpieczna centralizacja dzienników systemowych ............................................... 390 88. Zarządzanie systemami i serwisami .......................................................................... 394 Spis treści | 5 Rozdział 10. Operacje ratowania, odzyskiwania oraz naprawiania systemu ........................ 399 89. Rozwiązywanie najczęstszych problemów z uruchomieniem systemu .............. 400 90. Ratuj Mnie! ...................................................................................................................... 407 91. Pomijanie standardowej sekwencji startowej w celu dokonania szybkiej naprawy ..................................................................................410 92. Odnajdywanie powodu, dla którego nie można odmontować partycji ................ 411 93. Odzyskiwanie utraconych partycji ............................................................................. 415 94. Odzyskiwanie danych z uszkodzonych dysków ..................................................... 419 95. Naprawa oraz odzyskiwanie systemu plików ReiserFS ......................................... 427 96. Przywracanie danych z lost+found ............................................................................ 432 97. Odzyskiwanie skasowanych plików .......................................................................... 441 98. Kasowanie plików bez możliwości odzyskania ....................................................... 444 99. Nieodwracalne kasowanie dysku twardego ............................................................. 446 100. Odzyskiwanie utraconych plików i wykonywanie analizy sądowej ................... 449 Skorowidz ................................................................................................................................... 459 6 | Spis treści Jednoczesne wykonywanie poleceń na wielu serwerach SPOSÓB 29. R O Z D Z I A Ł C Z W A R T Y Sposoby 29. – 45. Pod spokojną, opanowaną powierzchownością wytrawnego administratora systemu kryje się szalony naukowiec, który żyje i oddycha tylko po to, by być pierwszym, który od- kryje kolejny tajemniczy sekret dotyczący informacji lub metod działania nieznanych do tej pory nikomu poza wąską grupą uzależnionych od kofeiny hakerów. Przyczyną tej niepohamowanej żądzy nie jest chęć zdobycia uznania, lecz coś znacznie bardziej praktycznego: efektywność. Jeśli można wykonać coś lepiej, szybciej lub bez po- trzeby interwencji człowieka, administrator systemu będzie stale szukał okazji do wpro- wadzenia takiego rozwiązania. W niniejszym rozdziale przyjrzymy się niektórym narzędziom i technikom, jakie być może są nieznane Czytelnikom, a które mogą znacznie zwiększyć wydajność. Bez względu na to, czy będzie to skrót na pulpicie uruchamiający połączenie z komputerem centralnym, sposób wydawania poleceń na wielu komputerach jednocześnie czy metoda wpisywana krótszych poleceń lub mniejszej liczby znaków w edytorze Vim — przedstawimy tu na- rzędzia i techniki, które z niewolnika systemu uczynią prawdziwego Władcę Bitów. Sprawność techniczna to wspaniała sprawa, ale na dzisiejszym konkurencyjnym rynku pracy coraz bardziej liczą się tzw. „miękkie umiejętności”, takie jak komunikacja z ludźmi czy wielozadaniowość. Dlatego też przyjrzymy się również tej stronie administrowania systemem, omawiając kwestie związane z zarządzaniem czasem, a także metody rozma- wiania z zarządem. S P O S Ó B 29. Jednoczesne wykonywanie poleceń na wielu serwerach Uruchomienie tego samego polecenia w tym samym czasie w wielu systemach upraszcza zadania administracyjne i zmniejsza problemy związane z synchronizacją. Jeśli mamy wiele serwerów o podobnej lub identycznej konfiguracji (np. węzły klastra), często trudno jest sprawić, aby ich zawartość i konfiguracja pozostawały identyczne. Jeszcze trudniej jest wtedy, gdy trzeba zmodyfikować konfigurację z poziomu wiersza poleceń, wiedząc, że to samo polecenie trzeba będzie wykonać w większej liczbie systemów (lepiej najpierw napić się kawy). Można pokusić się o napisanie skryptu automatycznie Narzędzia i wskazówki dla administratora systemu | 153 SPOSÓB 29. Jednoczesne wykonywanie poleceń na wielu serwerach wykonującego to zadanie, ale czasem napisanie skryptu jest trudniejsze niż sama praca do wykonania. Na szczęście istnieje sposób umożliwiający jednoczesne wykonanie pole- ceń na wielu komputerach. Świetnym rozwiązaniem tego problemu jest wspaniałe narzędzie o nazwie multixterm, które umożliwia równoczesne otwarcie okien terminali xterm dowolnej liczby systemów, wpisanie polecenia w jednym głównym oknie i wykonanie go w każdym z otwartych okien programu xterm. Brzmi interesująco? Wpisujemy raz, wykonujemy wielokrotnie — brzmi jak nowy zestaw instrukcji potokowej. multixterm można pobrać ze strony http://expect.nist.gov/example/multixterm.man.html. Wyma- ga on do działania expect i tk. Najbardziej popularnym sposobem jego uruchomienia jest następujące polecenie: # multixterm -xc ssh n host1 host2 Polecenie to otwiera połączenie ssh do host1 i host2 (rysunek 4.1). Wszystko, co wpi- szemy w pole stdin window (które może mieć różne kolory w zależności od wybranego schematu kolorów), zostanie wysłane do obu widocznych na rysunku okien. Rysunek 4.1. Okna xterm i okno kontrolne multixterm 154 | Narzędzia i wskazówki dla administratora systemu Bezpieczna współpraca z bezpiecznym Wiki SPOSÓB 30. Jak widać na przykładzie polecenia, opcja -xc oznacza wykonanie polecenia, a po niej podajemy polecenie, które ma zostać wykonane na każdym komputerze, objęte znakami cudzysłowu. Jeśli określone polecenie zawiera symbol wieloznaczny n, wówczas każdy z wymienionych dalej komputerów zostanie tu kolejno podstawiony przy wykonywaniu polecenia. Tak więc w naszym przykładzie multixterm wykona dwa polecenia (ssh host1 i ssh host2) — każde z nich w osobnym oknie xterm. Zobacz również man multixterm · „Szybkie połączenia przez telnet (SSH) z pulpitu” [sposób 41] „Odłączanie konsoli bez kończenia sesji” [sposób 34] · · — Lance Tost S P O S Ó B 30. Bezpieczna współpraca z bezpiecznym Wiki Jak pozbyć się wszystkich spraw dotyczących kodowania, obsługi, wykrywania błędów i zarządzania witrynami, które związane są ze współpracą nad projektami, za pomocą narzędzia umożliwiającego użytkownikom utworzenie własnych witryn. Ostatnią rzeczą, jakiej potrzebuje zajęty administrator WWW próbujący zarządzać sys- temem, jest kolejny użytkownik żądający zbudowania i utrzymywania następnej witryny lub instalacji jeszcze jednego systemu zarządzania treścią. Zamiast tego można w ciągu kilku sekund uruchomić system oparty na Wiki, który będzie gotowy do tworzenia i edycji treści przez użytkowników bez naszej dalszej pomocy. Rozwiązania typu Wiki rozwinęły się wokół idei, że zawartość może być dostępna do edycji przez każdego, komu zdarzy się wejść na stronę i zauważy tam pomyłkę lub ma coś do dodania. Administratorzy WWW oraz administratorzy systemów byli nieufni wobec takiego pomysłu, który wydawał się tylko czekać na nadużycia spamerów, wandali komputerowych i im podobnych. Jeśli ktoś po raz ostatni zetknął się z rozwiązaniami Wiki, gdy było to jeszcze modne słówko na głównych stronach internetowych witryn in- formacyjnych, i uznał je za niemożliwe do zarządzania lub czekające tylko na zagrożenia dla bezpieczeństwa (jak ja), namawiam do przyjrzenia się temu ponownie. MediaWiki jest głównym oprogramowaniem Wiki, w oparciu o które działa witryna Wiki- pedii (http://wikipedia.org/). Wikipedia jest najsłynniejszą witryną Wiki na świecie i szczy- ci się tym, że jej zasoby są tworzone przez każdego1 i dla każdego. Czyż może być lep- sza rekomendacja dla aplikacji Wiki? Witryna Wiki musi być niezabezpieczona, dostępna dla wszystkich. Obecnie można skonfigurować MediaWiki do uwierzytelniania przez wewnętrzny serwer LDAP, cał- kowicie wyłączając możliwość anonimowej edycji, co ogranicza ewentualne zniszczenia, 1 Obecnie te możliwości zostały nieco ograniczone (2006 r.), przynajmniej w stosunku do niektórych fragmentów Wikipedii — przyp. red. Narzędzia i wskazówki dla administratora systemu | 155 SPOSÓB 30. Bezpieczna współpraca z bezpiecznym Wiki jakie można spowodować w witrynie. Oprócz tego MediaWiki bardzo ułatwia śledzenie zmian na stronach witryny i daje możliwość przywrócenia starszych kopii stron. Dlaczego więc używać Wiki, skoro zamierzamy zamknąć do niej dostęp? Otóż Wiki to przykład wspaniałego rozwiązania zarządzania treścią, z jednego powodu: nie ma tu absolutnie żadnych przyjętych założeń, jeśli chodzi o przeznaczenie naszej witryny. Wiele opartych na LAMP2 wolnodostępnych rozwiązań zarządzania treścią powstało głównie z myślą o witrynach informacyjnych — rozszerzenia umożliwiające inne zasto- sowania, takie jak blogi, fora, witryny pogodowe czy repozytoria plików, są dodawane później, często przez członków danych społeczności użytkowników. Jeżeli nie planuje- my utworzenia witryny informacyjnej, musimy znaleźć sposób na to, aby witryna na- szego systemu zarządzania treścią działała tak, jak chcemy. Jeśli korzystamy w tym celu z rozszerzeń, to nie można po prostu dokonać aktualizacji i założyć, że wszystko działa poprawnie. Używałem wielu wolnodostępnych systemów zarządzania treścią i mogę powiedzieć, że w zależności od potrzeb prawdopodobnie znajdziemy dla siebie coś odpowiedniego, ale jeżeli obsługujemy użytkowników uniwersyteckich, dział badawczo-rozwojowy czy wydziały wewnętrzne, wówczas każda grupa projektowa może mieć inne potrzeby. Prosta konstrukcja przekazująca możliwości kształtowania struktury i formatowania zawartości przez twórców treści i użytkowników jest potężnym narzędziem, a dzięki możliwości nakładania różnego rodzaju ograniczeń w zakresie dostępu i edycji możemy zapewnić spokój sobie i użytkownikom. Jeżeli użytkownicy będą się domagać całkowi- cie otwartej witryny, a my się na to zgodzimy, nie będzie z tym żadnego problemu. Lecz jeśli mamy inne wymagania w zakresie bezpieczeństwa, to z MediaWiki możemy je z łatwością wdrożyć. MediaWiki umożliwia uwierzytelnianie przez serwer LDAP lub połączenie z bazą da- nych, a dostępne są również poprawki umożliwiające zastosowanie innych metod uwie- rzytelniania występujących w naszym środowisku. Oprócz tego możemy zdecydować się na wprowadzenie ograniczeń dostępu, aby jedynie zarejestrowani i zalogowani użyt- kownicy mogli edytować strony, utworzyć więcej otwartych witryn, gdzie każdy będzie mógł edytować strony, lub zupełnie wyłączyć rejestrację dla witryny przeznaczonej na dokumentację personelu wewnętrznego. Instalacja MediaWiki Inną korzystną cechą MediaWiki jest łatwość instalacji. Nie wymaga ona PHP, a jej kre- ator usilnie zaleca stosowanie bazy danych MySQL. W zależności od opcji, z których chcemy korzystać (np. miniaturki obrazków czy uwierzytelnianie LDAP), może zajść ko- nieczność skompilowania PHP z określonymi bibliotekami, jednak wymagania niezbędne do uruchomienia prostej witryny są całkiem niewielkie. 2 LAMP — skrót oznaczający zestaw oprogramowania open source wykorzystywany w serwerach WWW, a pochodzący od pierwszych liter słów: Linux, Apache, MySQL, Perl (PHP, Pyton) — przyp. tłum. 156 | Narzędzia i wskazówki dla administratora systemu Bezpieczna współpraca z bezpiecznym Wiki SPOSÓB 30. Jeżeli utrzymujemy już własną witrynę (np. mamy uprawnienia użytkownika root), wów- czas instalacja zajmuje dosłownie sekundy. Wszystko, co trzeba zrobić, to rozpakować archiwum tar zawierające dystrybucję do głównego katalogu dokumentów naszego serwera WWW i przejść do witryny! MediaWiki rozpozna, że jest to nasza pierwsza wi- zyta i poprosi o przeprowadzenie instalacji. Po podaniu hasła administratora MySQL MediaWiki utworzy nowego użytkownika, nową bazę danych i wszystkie niezbędne tabele, co stanowi 90 procesu instalacji. Jeżeli jednak uruchamiamy witrynę MediaWiki, która utrzymywana będzie na zdalnym serwerze, wówczas nie trzeba będzie podawać hasła administratora ani hasła admini- stracyjnego MySQL. W tym przypadku tworzymy najpierw bazę danych MediaWiki, a na- stępnie wskazujemy przy instalacji tę bazę danych w celu utworzenia jej tabel. Niestety, nie mogę powiedzieć, jak to wykonać, gdyż każdy serwer prowadzący usługi WWW za- pewnia do tego inne narzędzia wspomagające. Po pomyślnie przeprowadzonej instalacji zostanie nam przedstawiony odnośnik prowa- dzący do naszej nowej witryny. Konfiguracja MediaWiki Instalacja była prosta, ale jak teraz zablokować witrynę? Istnieją na ten temat tony do- kumentacji, ale podsumuję tu niektóre z najważniejszych opcji dla administratorów. Przede wszystkim chodzi o dostęp do witryny. Często nie używa się Wiki z powodu błęd- nego przekonania, że takich witryn nie da się zabezpieczyć. Nieprawda! Już w wersji 1.4 MediaWiki można było za pomocą pliku konfiguracyjnego i (lub) instrukcji SQL zmieniać funkcje dostępne dla różnych typów użytkowników. Z kolei wersja 1.5 zawiera całkiem pokaźną kolekcję potencjalnych ról, jakie mogą zostać przydzielone użytkownikom za pomocą grup. Omawiamy tutaj wersję 1.5, gdyż prawdopodobnie będzie ona już wydana, gdy ta książka ukaże się w druku. Pracuję na wersji 1.5rc4, którą zarządza się głównie za pomocą przeglądarki internetowej. Są tu oddzielne strony służące do dodawania, usuwania i blokowania użytkowników. Istnieje też strona do zmiany grup, do których należą użytkownicy, co ma wpływ na ich uprawnienia podczas odwiedzania witryny. Oprócz tego dostępne są również wtyczki pomagające utworzyć zestawienie zawierające użytkowników i wszystkie znane adresy IP, jakich używają, oraz realizujące inne funkcje niedostępne w głównej dystrybucji. Nie ma jeszcze jednak interfejsu do zmiany uprawnień dla grup oraz usuwania i doda- wania grup. W tym celu należy mieć dostęp do powłoki poleceń serwera WWW lub utwo- rzyć lokalną kopię pliku LocalSettings.php, zmodyfikować go i skopiować z powrotem na swoje miejsce, aby zmiany odniosły skutek. Plik ten jest prosty w edycji, a dokumentacja omawiająca dokonywane zmiany jest więcej niż wystarczająca, ale pokażę na przykła- dach jedną czy dwie szybkie zmiany, jakie być może zechcemy wprowadzić. Narzędzia i wskazówki dla administratora systemu | 157 SPOSÓB 30. Bezpieczna współpraca z bezpiecznym Wiki Jeśli chcemy tylko zmienić grupę, do której należy dany użytkownik, logujemy się jako użytkownik o uprawnieniach administracyjnych i przechodzimy do odnośnika Strony spe- cjalne. W górnej części ekranu zobaczymy zastrzeżone strony specjalne, które będą wi- doczne jedynie wtedy, gdy zalogowany jest administrator. Ta sekcja zawiera odnośnik do strony zarządzania prawami użytkownika, która aktualnie jest tylko interfejsem do zmiany członkostwa grupy dla określonego użytkownika. Jeśli chcemy utworzyć grupę, musimy poddać edycji plik LocalSettings.php i ustawić upraw- nienia dostępne dla grupy. Żeby zobaczyć ustawienia grup domyślnych, musimy spraw- dzić dokumentację lub otworzyć plik includes/DefaultSettings.php w katalogu instalacyjnym. Do pliku LocalSettings.php dodajemy poniższe wiersze w celu utworzenia grupy o na- zwie nowagrupa z uprawnieniami do odczytu i edycji, ale nie do usuwania: $wgGroupPermissions[ nowagrupa ][ edit ] = true; $wgGroupPermissions[ nowagrupa ][ read ] = true; $wgGroupPermissions[ nowagrupa ][ delete ]= false; Jak widać, nie ma tu jawnej funkcji „utwórz grupę”. Przypisanie praw nieistniejącej grupie, co właśnie zrobiłem, spowoduje jej utworzenie. Gdy przejdziemy teraz do strony zarzą- dzania prawami użytkownika, grupa ta będzie wymieniona na liście dostępnych grup. Pamiętajmy, że istnieją też ustawienia globalne, dotyczące wszystkich grup (reprezento- wanych w konfiguracji przez *). Oto kilka domyślnych ustawień dla grup z pliku Default- Settings.php: $wgGroupPermissions[ * ][ createaccount ] = true; $wgGroupPermissions[ * ][ read ] = true; $wgGroupPermissions[ * ][ edit ] = true; Jeśli chcemy nadpisać te ustawienia, wystarczy umieścić podobne wiersze w pliku Local- Settings.php, ustawiając według własnego uznania odpowiednie wartości na true lub false. Plik LocalSettings.php unieważnia wszystkie odpowiadające ustawienia znajdujące się w pliku DefaultSettings.php. Taki model zapewnia nam elastyczność, możemy na przykład całkowicie wyłączyć możli- wość tworzenia kont przez anonimowych użytkowników lub pozwolić im jedynie na odczyt bądź wprowadzić wymóg logowania w celu dokonania jakichkolwiek edycji. Ist- nieją też dodatkowe uprawnienia, jakie możemy nadać użytkownikom, czyniąc z nich quasi-administratorów, co pozwoli im tworzyć konta dla innych użytkowników, usuwać pliki czy przywracać poprzednie edycje. Struktura danych Skoro mamy już rozwiązaną sprawę dostępu użytkowników, prawdopodobnie najważ- niejszą decyzją dotyczącą uruchomienia Wiki będzie organizacja zawartości w witrynie oraz wynalezienie najlepszego sposobu na odwzorowanie w zawartości witryny ele- mentów organizacyjnych dostępnych w MediaWiki. Istnieje wiele przydatnych narzędzi, z jakich możemy skorzystać, a wszystkie one mają charakter dość ogólny — bez założeń dotyczących przeznaczenia witryny. 158 | Narzędzia i wskazówki dla administratora systemu Edycja pliku konfiguracyjnego GRUB za pomocą grubby SPOSÓB 31. Jest wiele sposobów użycia różnych elementów organizacyjnych. Jeśli dysponujemy tylko jedną grupą projektową, może mieć ona własną Wiki poświęconą jej projektowi. Jednak potencjalnie możemy utworzyć kilka projektów współdzielących pojedynczą witrynę Wiki za pomocą oddzielnych przestrzeni nazw w witrynie. Przestrzeń nazw (ang. name- space) to element danych najwyższego poziomu, jaki jest dostępny w MediaWiki. W ob- rębie przestrzeni nazw występują kategorie, dzięki którym osoby zarządzające projek- tem mogą rozdzielić swoje witryny na rożne części odpowiadające ich potrzebom. Aby ktoś nie myślał, że strony witryny muszą być całkowicie statycznymi dokumentami, przyjrzyjmy się opcji szablonów MediaWiki, która pozwala osadzać dokumenty w obrębie różnych stron. Daje to dużą elastyczność, np. gdy strona główna ma być jedynie zbiorem innych dokumentów umieszczonym na stronie głównej. Osoby zarządzające różnymi stronami szablonów będą mogły następnie aktualizować ich zawartość, a zmiany zostaną odzwierciedlone na stronie głównej bez wpływu na szablony utworzone przez innych użytkowników. S P O S Ó B 31. Edycja pliku konfiguracyjnego GRUB za pomocą grubby Jak, korzystając z gotowego narzędzia do edycji pliku grub.conf, oszczędzić sobie sporo wpisywania (i pomyłek). System, który się nie uruchamia, będzie niezdolny do pracy, a jest wiele środowisk, w któ- rych plik grub.conf dostarczony z dystrybucją wymaga dostosowania. Gdy przeprowa- dzamy szybką instalację zespołu serwerów lub testujemy nowe wersje jądra w serwerze WWW, możemy odłożyć na bok swoje umiejętności pisania skryptów i skorzystać z grubby, prostego narzędzia uruchamianego z wiersza poleceń, które pomoże nam zmodyfikować definicje jądra. Oto przykład bardzo prostej definicji jądra z pliku grub.conf w serwerze Red Hat Enter- prise Linux: title Red Hat Enterprise Linux AS (2.4.21-32.0.1.EL) root (hd0.0) kernel /vmlinuz-2.4.21-32.0.1.EL ro root=LABEL=/initrd / initrd-2.4.21-32.0.1.EL.img Jest to dość standardowy wpis określany w dokumentacji programu GRUB mianem de- finicji systemu operacyjnego (ponieważ GRUB potrafi uruchomić niemal każdy istniejący system operacyjny). Czasami zachodzi konieczność dokonania zmian w pliku grub.conf w celu przesłania do jądra argumentów startowych. Na przykład uruchomiliśmy zespół serwerów i dodajemy do nich później konsolę szeregową, a GRUB nie dodaje automa- tycznie argumentów niezbędnych do przekierowania wyjścia na urządzenie terminala szeregowego. Omówione to zostało w [sposobie 76], „Scentralizowany dostęp do systemu za pomocą konsoli szeregowej”. Zwykle oznacza to konieczność ręcznej edycji pliku grub.conf w celu wstawienia argu- mentów — chyba że zdarzyło się nam zetknąć z grubby. Oto polecenie, które (wydane jako root) dodaje dla wszystkich jąder argumenty wymagane do przekierowania konsoli: # grubby --update-kernel=ALL --args=console=ttyS0,9600 Narzędzia i wskazówki dla administratora systemu | 159 SPOSÓB 32. Lepsze wykorzystanie klawisza tabulacji Słowo kluczowe ALL działa z kilkoma opcjami. W tym przypadku dodaje argumenty do każdego jądra w pliku konfiguracyjnym. Innym słowem kluczowym jest DEFAULT, które zmienia wyłącznie wiersz dotyczący domyślnego jądra, oznaczonego w pliku grub.conf parametrem default. grubby może również zmieniać opcje samego bootloadera grub. Za pomocą poniższych poleceń możemy dodać nowe jądro do pliku grub.conf i uczynić je domyślnym: # grubby --add-kernel=/boot/vmlinuz-2.4.21-new --make-default # grubby --set-default=/boot/vmlinuz-2.4.21-32.0.1.ELsmp Użyłem tu opcji --make-default, aby uczynić vmlinuz-2.4.21-new jądrem do- myślnym. Jeżeli za pomocą grubby nakażemy zmianę domyślnego jądra na takie, które nie występuje w pliku konfiguracyjnym, wówczas parametr default zostanie całkowicie usunięty z pliku bez żadnego ostrzeżenia. Dlatego, jeżeli polecenie dodania nowego jądra zakończy się niepowodzeniem, należy wydać kolejne polecenie przywracające poprzednio zdefiniowane jądro domyślne za pomocą parametru --set-default. Zatem w jaki sposób ma to nam oszczędzić wpisywania? Przecież zmiana domyślnego jądra jest równie prosta jak zmiana pojedynczej cyfry w pliku grub.conf, prawda? No cóż, zgadza się, zakładając że wykonujemy to na pojedynczym komputerze. Jednak jeśli za pomocą skryptu z trzeba zaktualizować plik grub.conf na wszystkich zarządzanych komputerach podczas instalacji, gdzie ustawiamy własne jądro jako domyślne, wówczas do wykonania takiej pracy o wiele bardziej wolę użyć programu grubby, niż korzystać z sed, awk, vi, ed i (lub) Perla. W takich przypadkach zaoszczędzi to nam wpisywania, nie wspominając o tym, że uchroni to nas przed ponownym odkrywaniem Ameryki! S P O S Ó B 32. Lepsze wykorzystanie klawisza tabulacji Programowalne uzupełnianie w powłoce bash może uzupełniać znacznie więcej niż tylko nazwy plików. Autouzupełnianie za pomocą klawisza tabulacji w powłoce bash nie jest niczym nowym i nie wyobrażam już sobie życia bez tego. Wpisuję na przykład ls fo tab tab i otrzy- muję listę pięciu czy sześciu plików rozpoczynających się na „fo” — to może być bardzo przydatne. Mamy skrypt o długiej nazwie, przy wpisywaniu której łatwo o pomyłkę? Wystarczy wpisać klika początkowych liter i nacisnąć dwukrotnie klawisz tabulacji, a bash spróbuje za nas dokończyć nazwę. Pozwala to wspaniale oszczędzić czas. Ja w każ- dym razie bardzo tęsknię za tym mechanizmem, gdy zaloguję się na inny komputer z Unik- sem, gdzie powłoką jest csh, w której domyślnie nie ma uzupełniania za pomocą klawisza tabulacji (zamiast nazw plików pojawiają się wtedy znaki kontrolne). W wersji 2.04 do powłoki bash wprowadzone zostało uzupełnianie „programowalne”. Umożliwia to wprowadzenie osobliwych i wspaniałych możliwości do procedury star- towej powłoki bash (która zapisana jest zwykle w plikach ~/.bashrc i ~/.bash_profile). Procedura startowa powłoki bash zależna jest od ustawień środowiska powłoki — bash swoje informacje startowe może pobierać z globalnego pliku /etc/bashrc, plików ~/.bash_profile, ~/.bashrc, ~/.profile i pliku ~/.login. 160 | Narzędzia i wskazówki dla administratora systemu Lepsze wykorzystanie klawisza tabulacji SPOSÓB 32. Oto krótki przykład: complete -f -X !*.@(sxw|stw|sxg|sg1|doc|dot|rtf|txt|htm|html|odt|ott|odm) oowriter Wygląda enigmatycznie, ale to naprawdę zupełnie proste. complete to wbudowane słowo kluczowe powłoki bash, które powoduje, że powłoka próbuje uzupełnić tekst przed kursorem w wierszu poleceń. Opcja -f oznacza, że chodzi o uzupełnianie nazw plików. Opcja -X określa wzorzec, jaki zostanie użyty do przeprowadzenia dopasowania. Ponieważ powłoka analizuje cały wiersz, należy zawsze pamiętać o objęciu wzorca znakami apostrofu, aby się upewnić, że nie nastąpi tu żadne rozwinięcie powłoki, powodując dziwne zachowania po naciśnięciu klawisza tabulacji. Sam wzorzec przyjmuje następującą postać: !*.@(rozszerzenie) Początkowy wykrzyknik wskazuje w tym kontekście, że przy przeprowadzaniu uzupeł- niania nazw plików elementy niepasujące do podanego wzorca zostaną pominięte. Ciąg *.@(rozszerzenie) oznacza „wszystkie elementy, po których następuje kropka, a na- stępnie dokładnie jedno spośród wszystkich podanych tu rozszerzeń”. Znaki | na liście rozszerzeń są odpowiednikiem operatora logicznego „lub”. Jeśli jakieś elementy będą pasować do wzorca, zostaną one wymienione na liście plików wygenerowanej po dwu- krotnym naciśnięciu klawisza tabulacji. Ostatnie słowo w tym wierszu (w tym przypadku oowriter) określa polecenie, którego dotyczy cały ten wiersz. Innymi słowy, instrukcje w wierszu complete będą wykony- wane tylko wtedy, gdy wykonywanym poleceniem będzie oowriter. Jeśli chcemy, możemy napisać tysiące takich wierszy, ale obmyślenie wszystkich rzeczy, jakie powinny być uzupełniane, prawidłowe wpisanie wszystkich wyrażeń regularnych, a następnie przetestowanie tego, aby się upewnić, czy zwracane są właściwe nazwy plików, zabrałoby nam wieczność. Zamiast tego możemy pobrać gotowy plik autorstwa Iana MacDonalda, twórcy pakietu bash-completion, dostępnego pod adresem http://www. caliban.org/bash/index.shtml#completion. Pakiet ten składa się głównie z prostej dokumentacji oraz pliku zawierającego olbrzymi zbiór „sztuczek” związanych z uzupełnianiem w po- włoce bash. Wersja, którą ostatnio pobrałem, zawierała ponad 200 skrótów! Wiele spośród tych skrótów to bardzo proste wzorce uzupełniania plików powiązane z określonymi aplikacjami, co jest bardziej przydatne, niż mogłoby się wydawać. Wpisanie tar xvzf f tab tab i otrzymanie tych plików z rozszerzeniem tar.gz to wspaniała sprawa, ale skróty umożliwiające po wpisaniu polecenia ssh uzupełnianie nazw hostów (z naszego pliku known_hosts) czy obiektów docelowych w pliku Makefile po wpisaniu polecenia make potrafią naprawdę oszczędzić sporo czasu administratorom, którzy często muszą zdalnie administrować lub budować oprogramowanie ze źródeł. Narzędzia i wskazówki dla administratora systemu | 161 SPOSÓB 33. Utrzymywanie działających procesów po wyjściu z powłoki Wspaniałe jest w tym rozwiązaniu to, że jedyną zależność stanowi tu sama powłoka bash — cała reszta zależy od nas! Jeśli mamy uprawnienia dostępu na poziomie administratora, możemy w katalogu /etc/profile.d utworzyć plik o nazwie bash_complete.sh i wkleić do niego kod ustawiający uzupełnianie powłoki bash w sensowny sposób. Kod ten pochodzi wprost z pliku dystrybucyjnego README powłoki bash: bash=${BASH_VERSION .*}; bmajor=${bash .*}; bminor=${bash#*.} if [ $PS1 ] [ $bmajor -eq 2 ] [ $bminor 04 ] [ -f /etc/bash_completion ]; then # interactive shell # Source completion code . /etc/bash_completion fi unset bash bmajor bminor Powyższy kod wykonuje proste sprawdzenie, aby się upewnić, że wersja powłoki bash obsługuje programowalne uzupełnianie, a następnie kontroluje, czy uruchomiona jest inte- raktywna powłoka, po czym wczytuje plik uzupełniania programowalnego powłoki bash. Umieszczenie tego kodu w katalogu /etc/profile.d lub pliku globalnym /etc/bashrc pozwoli wszystkim użytkownikom komputera czerpać korzyści z programowalnego uzupełnia- nia powłoki bash. Z drugiej strony, jeśli chcemy sami z tego korzystać lub przesłać to na swoje konto „po- włokowe” na serwerze WWW, możemy wkleić ten sam powyższy kod do swojego pliku ~/.bashrc. Zobacz również · http://www.caliban.org/bash/index.shtml#completion S P O S Ó B 33. Utrzymywanie działających procesów po wyjściu z powłoki Polecenia kontrolujące procesy, takie jak nohup i disown, ułatwiają uruchamianie długotrwałych procesów i utrzymywanie ich działania nawet po wylogowaniu. Przypuśćmy, że uruchomiliśmy na swoim serwerze narzędzie diagnostyczne lub moni- torujące, albo kompilujemy bardzo duży program, a proces ten musi trwać godziny, dni lub dłużej. A co, jeśli taki proces będzie musiał działać nawet po naszym wylogowaniu lub jeśli nasza sesja powłoki zakończy się niezależnie od nas? Można sobie z tym pora- dzić za pomocą poleceń nohup i disown. Po uruchomieniu sesji powłoki wszystkie procesy, jakie uruchamiamy z wiersza pole- ceń, są procesami potomnymi tej powłoki. Jeśli się wylogujemy lub nasza sesja zakończy się nieoczekiwanie na skutek awarii lub z innego powodu, wówczas sygnał zabicia pro- cesu SIGHUP (sygnał zerwania łączności) zostanie wysłany także do wszystkich procesów potomnych w celu ich zakończenia. 162 | Narzędzia i wskazówki dla administratora systemu Utrzymywanie działających procesów po wyjściu z powłoki SPOSÓB 33. Można to obejść przez nakazanie procesowi (procesom), którego działanie chcemy utrzymać, ignorowania sygnałów SIGHUP. Są na to dwa sposoby: użycie polecenia nohup (ang. no hangup) w celu uruchomienia polecenia w środowisku, gdzie będzie ono igno- rować pewne sygnały zakończenia, lub przez polecenie powłoki bash disown, aby uczy- nić określone zadanie działające w tle niezależnym od aktualnej powłoki. Wykonywanie poleceń przy użyciu nohup Polecenie nohup zapewnia szybki i łatwy mechanizm umożliwiający utrzymanie działania procesu bez względu na to, czy jego proces macierzysty jest wciąż aktywny. Aby skorzy- stać z tej możliwości, należy uruchomić polecenie, poprzedzając je poleceniem nohup: $ nohup polecenie Spowoduje to wykonanie określonego polecenia i utrzymanie jego działania nawet po zakończeniu jego sesji macierzystej. Jeżeli nie przekierujemy wyjścia tego procesu, wów- czas będzie ono — wraz z komunikatami o błędach (stout i sterr) — przesyłane do pliku o nazwie nohup.out w aktualnym katalogu. Jeśli taki plik nie będzie mógł zostać tam utworzony, wówczas zostanie utworzony w katalogu macierzystym użytkownika, który wydał to polecenie. Możemy monitorować informacje zapisywane do pliku nohup.out, stosując polecenie tail: $ tail -f ~/nohup.out Możemy też jawnie skierować wyjście naszego polecenia do określonego pliku. Na przy- kład poniższy wiersz polecenia uruchomi określone polecenie w tle, przesyłając jego wyj- ście do pliku o nazwie mój_tekst_wyjściowy.txt w naszym katalogu macierzystym i kon- tynuując jego działanie nawet po zakończeniu jego sesji macierzystej: $ nohup polecenie ~/mój_tekst_wyjściowy.txt Jeżeli nie chcemy zapisywać wyjścia określonego polecenia, możemy się go pozbyć (i nie tworzyć pliku nohup.out) przez przekierowanie wyjścia do /dev/null, będącego czymś w ro- dzaju linuksowego kosza na śmieci: $ nohup polecenie /dev/null Spowoduje to uruchomienie polecenia lub programu w tle, zignorowanie jego wyjścia przez wysyłanie go do /dev/null i kontynuację jego działania nawet po zakończeniu jego sesji macierzystej. Jeżeli użyliśmy polecenia nohup do utrzymania działania procesu po zakończeniu jego procesu macierzystego, wówczas nie będzie już można go ponownie podłączyć, jeśli zechcemy później go zamknąć. Jednak polecenie nohup chroni proces jedynie przed sygnałem SIGHUP. Wciąż można je zakończyć, używając „polecenia-młota” kill (kill -9 PID). Narzędzia i wskazówki dla administratora systemu | 163 SPOSÓB 34. Odłączanie konsoli bez kończenia sesji Użycie polecenia disown do zadań działających w tle Jeśli korzystamy z powłoki bash, możemy nakazać istniejącemu zadaniu ignorowanie sy- gnałów SIGHUP za pomocą disown, wbudowanego polecenia powłoki bash: $ disown -h numer_zadania Nakazuje ono zadaniu, które już działa w tle, utrzymanie działania po zamknięciu procesu macierzystego. Numer zadania można odszukać za pomocą polecenia powłoki job. Użycie wbudowanej opcji -h sprawi, że po wydaniu polecenia disown działające zadanie nie zostanie usunięte z tabeli zadań, lecz utrzyma swoje działanie po zakończeniu aktualnej powłoki. Możemy wciąż ponownie podłączyć się do procesu za pomocą standardowego mechanizmu bash numer-zadania. Jeżeli użyjemy disown bez opcji, wówczas dzia- łające zadanie zostanie usunięte z tabeli zadań: wciąż będzie kontynuować działanie po wylogowaniu, ale nie będziemy w stanie się do niego podłączyć. Możemy też użyć polecenia disown do utrzymywania działania wszystkich zadań uru- chomionych w tle: $ disown -ar Nakazuje to wszystkim uruchomionym zadaniom utrzymywanie działania nawet po zamknięciu bieżącej powłoki. Zobacz również man bash · man nohup · — Jon Fox S P O S Ó B 34. Odłączanie konsoli bez kończenia sesji Jak uruchomić długotrwałe zadanie w pracy i podłączyć się do niego zdalnie z domu lub w czasie podróży. Załóżmy taką sytuację: jesteśmy konsultantem systemów linuksowych, którego harmo- nogram pracy jest bardzo napięty. Jest dziewiąta rano, a my już od godziny siedzimy gdzieś nad instalacją bardzo dużej bazy danych, ale za godzinę musimy być w innym miejscu. Instalacja potrwa jeszcze na tyle długo, że nie zdążymy gruntownie wszystkie- go przetestować, utworzyć odpowiednich baz danych i ustawić właściwych ograniczeń w celach bezpieczeństwa. Co zrobimy? Możemy porozmawiać z naszym klientem i powiedzieć mu, że wrócimy później, aby wszystko dokończyć. Innym rozwiązaniem może być jednak uruchomienie zadania w sesji screen i późniejsze zalogowanie się z miejsca, w którym się znajdziemy, celem dokończenia pracy. Trzeba tu zaznaczyć, że nie wymaga to żadnej kompilacji dodatko- wego oprogramowania w komputerze, gdyż screen jest zazwyczaj instalowany lub łatwo 164 | Narzędzia i wskazówki dla administratora systemu Odłączanie konsoli bez kończenia sesji SPOSÓB 34. dostępny w postaci pakietów dla dowolnej używanej przez nas dystrybucji. Więcej in- formacji na temat programu screen, łącznie z informacją o możliwości jego pobrania, znajdziemy na stronie głównej projektu GNU poświęconej programowi screen: http://www. gnu.org/software/screen/. Rozpoczęcie pracy z programem screen jest nadzwyczaj proste. Wystarczy otworzyć swój ulubiony emulator terminala i wydać poniższe polecenie: $ screen Znajdziemy się w nowej powłoce, uruchomionej wewnątrz sesji screen. Wciąż możemy komunikować się z programem screen z wnętrza powłoki w podobny sposób jak komu- nikujemy się z wnętrza powłoki z dowolną aplikacją terminala konsoli. Kombinacją klawiszy używaną do wysłania sygnału wejściowego do programu screen, zamiast do powłoki uruchomionej wewnątrz sesji programu screen, jest Ctrl+A. W przypadku screen Ctrl+A przypomina w działaniu klawisz Escape w vi — zwraca on uwagę aplikacji, aby- śmy mogli nakazać jej jakieś działanie. Na przykład, aby uzyskać szybki dostęp do listy poleceń programu screen, należy nacisnąć Ctrl+A, a następnie ?. W efekcie powinna pojawić się lista wielu poleceń, jakie można przekazać do programu screen. Jeżeli taka lista się nie pojawi, należy się upewnić, czy rzeczywiście jesteśmy w sesji screen. Wykonujemy to przez wywołanie programu screen z opcją -list. Powinniśmy ujrzeć komunikat podobny do poniższego: $ screen -list There is a screen on: 28820.pts-2.willy (Attached) 1 Socket in /var/run/screen-jonesy Jak wynika z powyższego komunikatu, mamy tu uruchomioną sesję programu screen, do której jesteśmy aktualnie podłączeni. Identyfikator procesu (ID) to 28820 i jesteśmy przypi- sani do pseudoterminala o numerze 2. Spróbujmy teraz uruchomić nowe zadanie, które będziemy mogli kontynuować później z innego miejsca. Prostym sposobem na przete- stowanie tego jest otwarcie pliku np. w edytorze Vim. Po otwarciu pliku naciskamy Ctrl+A, a następnie d, co spowoduje odłączenie nas od sesji programu screen i powrót do poprzedniej powłoki. Teraz możemy już wyjść i udać się na następne spotkanie. Może w kolejnym miejscu przyjdzie nam zainstalować system operacyjny, co da nam trochę czasu podczas insta- lowania pakietów. Odpalamy laptopa, łączymy się za pomocą SSH z komputerem, na którym uruchomiona jest nasza sesja programu screen, i wpisujemy screen -r, aby ponownie podłączyć się do działającej sesji. Jeżeli mamy więcej niż jedną uruchomioną sesję programu screen, wpisujemy screen -r pid, gdzie pid jest identyfikatorem pro- cesu sesji programu screen, do której chcemy się podłączyć (można go odczytać z wyjścia polecenia screen -list, które było omawiane wcześniej). Oczywiście próba skojarzenia identyfikatora procesu sesji programu screen z tym, co się w danej sesji dzieje, może wydawać się nieco zniechęcająca, zwłaszcza przy wielu uru- chomionych sesjach. Zamiast tego możemy przy uruchamianiu nadać sesji jakąś znaczącą Narzędzia i wskazówki dla administratora systemu | 165 SPOSÓB 34. Odłączanie konsoli bez kończenia sesji nazwę. Jeśli np. uruchamiany program screen w celu rozpoczęcia długotrwałej kompila- cji oprogramowania, możemy wpisać po prostu screen -S make, wówczas przy na- stępnym podłączeniu wystarczy wpisać scren -r make, zamiast pamiętać o tym, do jakiego identyfikatora procesu musimy się podłączyć. Skrypty dla programu screen Jeżeli zarządzamy więcej niż kilkoma komputerami, pewnie znaleźliśmy już jakąś meto- dę automatyzacji procesu łączenia się z niektórymi podzbiorami naszych komputerów usługowych po zalogowaniu czy to za pomocą ikony na pulpicie, czy też w jakiś inny, bardziej zautomatyzowany sposób niż ręczne otwieranie okien terminala i wpisywanie poleceń w celu połączenia się z każdym z tych komputerów. Jeśli używamy kluczy SSH (sposób 66. w książce Serwer linuksowy okiem hakera), możemy utworzyć prosty skrypt po- włoki do zautomatyzowania za nas tego procesu. Oto przykład takiego skryptu powłoki: #!/bin/bash screen -d -m -S svr1 -t jonesy@svr1 ssh server1.linuxlabolatory.org screen -d -m -S svr2 -t jonesy@svr2 ssh server2.linuxlabolatory.org screen -d -m -S svr3 -t jonesy@svr3 ssh server3.linuxlabolatory.org Zapisujemy ten skrypt w swoim katalogu ~/bin i upewniamy się, że nadaliśmy mu atry- but wykonywalności. Skrypt działa przez wywołanie screen z opcjami -d -m, co nakazuje programowi screen rozpoczęcie sesji, ale nie podłączanie do niej. Zauważmy też, że użyta tu została opcja - S służąca do określenia nazwy sesji, więc kiedy zajdzie potrzeba podłączenia się np. do sesji svr1, wystarczy tylko wpisać screen -r svr1.Oprócz tego użyłem opcji -t do określenia tytułu powłoki, który widoczny będzie na pasku tytułowym emulatora ter- minala, co pomaga się zorientować, gdzie jesteśmy. Uruchomienie powyższego skryptu spowoduje otwarcie sesji SSH na (w tym przypadku) komputerach server1, server2 i server3. Kuszącym pomysłem może wydawać się umieszczenie tego w swoich skryptach startowych powłoki. Nie wolno tego robić! W środowiskach, gdzie katalogi macierzyste (a więc także skrypty startowe powłoki) są współdzielone pomiędzy komputerami, może to wywołać niekończący się strumień zapętlonych sesji SSH. Zobacz również · http://www.gnu.org/software/screen/ Rob Flickener, Serwer linuksowy okiem hakera, wydawnictwo RM, Warszawa, 2003. · · „Zastosowanie polecenia script do zaoszczędzenia sobie czasu i szkolenia innych” [sposób 35] 166 | Narzędzia i wskazówki dla administratora systemu Zastosowanie polecenia script do zaoszczędzenia sobie czasu i szkolenia innych SPOSÓB 35. S P O S Ó B 35. Zastosowanie polecenia script do zaoszczędzenia sobie czasu i szkolenia innych Standardowe polecenie script zapewnia powtarzalność i świetnie nadaje się do szkolenia początkujących administratorów. Studenci uczęszczający na zajęcia z informatyki pewnie spotkali się już z poleceniem script. Profesorzy często dają zadania wymagające dostarczenia zapisu całej interak- tywnej sesji powłoki, więc studenci wykonują to zazwyczaj przez wydanie na początku swojej sesji polecenia script. Powoduje to kopiowanie do pliku (o domyślnej nazwie typescript) wszystkich zachodzących operacji wejścia-wyjścia. Przy zakończeniu wystar- czy wpisać exit i można już zwrócić wykładowcy plik typescript. Jednak zastosowania polecenia script wykraczają poza salę lekcyjną. W niektórych ściśle produkcyjnych środowiskach wszystko, co zachodzi w rzeczywistych (nietestowych), w pełni produkcyjnych systemach, musi być „powtarzalne” — innymi słowy, zareje- strowane, gruntownie przetestowane i udokumentowane do takiego stopnia, aby osoba zarządzająca zmianami, bez przygotowania w zakresie Uniksa, była w stanie to zrobić. Na- rzędziem, które można wykorzystać do utworzenia dokumentacji, jest script. Wciąż trzeba będzie napisać procedurę poza procesem rejestracji, używając firmowego stan- dardu kodowania, ale potem można będzie zarejestrować sesję, gdzie zostało wywołane dane narzędzie, i przekazać zapis personelowi zarządzającemu zmianami, aby mógł on z kolei zobaczyć, co dokładnie należy zrobić. Wyjątkowo przydatną cechą polecenia script jest możliwość zapisu informacji czaso- wych do oddzielnego pliku. Dzięki temu cała sesja terminala może zostać później od- tworzona za pomocą polecenia scriptreplay z wykorzystaniem tych samych przedzia- łów czasowych co oryginalna sesja! To świetne rozwiązanie dla nowych użytkowników mających trudności z zapamiętaniem sposobu wykonania zadań, których nie mieliśmy czasu im zapisać. Oto krótka sesja z użyciem tych dwóch poleceń: $ script -t 2 timing Script started, file is typescript $ ls Desktop hax hog.sh My Computer ostg src S pwd /home/jonesy $ file hax hax: empty $ exit exit Script done, file is typescript $ scriptreplay timing $ ls Desktop hax hog.sh My Computer ostg src S pwd /home/jonesy $ file hax hax: empty Narzędzia i wskazówki dla administratora systemu | 167 SPOSÓB 35. Zastosowanie polecenia script do zaoszczędzenia sobie czasu i szkolenia innych $ exit exit $ ls Desktop hax hog.sh My Computer ostg src S pwd /home/jonesy $ file hax hax: empty $ exit exit Użycie opcji -t nakazuje poleceniu script kierowanie informacji czasowych na stan- dardowe wyjście, więc przekierowujemy je do pliku (tutaj: timing) do wykorzystania póź- niej. Następnie wydajemy polecenie scriptreplay, wskazując mu plik timing. Nie trzeba tu wskazywać pliku z zapisem sesji, gdyż domyślnie polecenia to szuka pliku o nazwie typescript, który jest domyślnym plikiem zapisu dla polecenia script. Rejestrowane jest każde naciśnięcie klawisza, więc jeśli coś pomylimy i naciśniemy póź- niej klawisz backspace w celu skasowania kilku znaków, zostanie to odzwierciedlone przy odtwarzaniu sesji! Trzeba również pamiętać, że odtwarzanie sesji będzie działać poprawnie jedynie na terminalu, w którym został utworzony plik zapisu sesji. Jeśli chcemy komuś pokazać sposób wykonania jakiegoś zadania w czasie rzeczywistym, istnieje inny sposób, gdzie pomocne może być polecenie script. Należy utworzyć na- zwany potok i przekierować do niego wyjście. Ktoś inny, zalogowany zdalnie, może na- stępnie przyłączyć potok i zobaczyć, co się dzieje w trakcie danego procesu. Działa to tak, że najpierw należy utworzyć nazwany potok za pomocą polecenia mkfifo: $ mkfifo out a następnie wydać polecenie script z opcją -f, co spowoduje opróżnianie całego wyj- ścia do potoku przy każdym zapisie. Bez tej opcji to nie zadziała. Ostatnim argumentem polecenia script jest plik, do którego zostanie wysyłane wyjście: $ script -f out Jesteśmy teraz w sesji, która wygląda i zachowuje się całkiem zwyczajnie, ale inna osoba może się zalogować z dowolnego miejsca i uruchomić następujące polecenie, aby obser- wować nasze działania: $ cat out Wszystkie nasze działania będą widoczne dla tego użytkownika. Jest to nieco łatwiejsze od pamiętania, jak skonfigurować wieloużytkownikowe sesje programu screen! Zobacz również „Odłączanie konsoli bez kończenia sesji” [sposób 34] · 168 | Narzędzia i wskazówki dla administratora systemu Zautomatyzowana instalacja Linuksa po uruchomieniu komputera SPOSÓB 36. S P O S Ó B 36. Zautomatyzowana instalacja Linuksa po uruchomieniu komputera Jak za pomocą demonów serwera działających w naszym środowisku oraz prostej konfiguracji PXE uczynić instalację tak prostą jak włączenie komputerów docelowych. Wiele dystrybucji posiada jakąś formę automatycznej instalacji. W SUSE jest AutoYaST, Debian ma FAI (ang. Fully Automated Install), Red Hat ma kickstart itd. Narzędzia te działają zwykle na zasadzie analizy pliku konfiguracyjnego lub szablonu używającego słów kluczowych przekazujących programowi instalacyjnemu sposób skonfigurowania komputera. W większości z nich istnieje możliwość zastosowania własnych skryptów w celu przeprowadzenia zadań, które nie są wykonywane przez szablon instalacyjny. Ostateczny rezultat to ogromna oszczędność czasu. Choć przygotowanie i przetestowa- nie szablonu wymaga na początku poświęcenia pewnej ilości czasu, to gdy już się z tym uporamy, możemy za pomocą pojedynczego pliku szablonu przeprowadzić instalację na wszystkich komputerach tej samej klasy lub błyskawicznie zmodyfikować plik szablonu w celu dostosowania zautomatyzowanej instalacji do komputera stanowiącego „specjal- ny przypadek”. Przykładowo, szablon dla serwera WWW może zostać szybko zmodyfi- kowany przez usuniecie odniesień do Apache i zastąpienie ich na przykład Sendmailem. Jedynym minusem zautomatyzowanej instalacji jest to, że jeśli w miejscu, gdzie mają na- stąpić czynności automatyzujące, nie ma żadnej obsługiwanej infrastruktury, wówczas trzeba przeprowadzić rozruch z płyty CD lub innego nośnika i wykonać kilka poleceń w celu uruchomienia procesu instalacyjnego. Byłoby to naprawdę wspaniałe, gdyby in- stalacja Linuksa była tak prosta, że wymagałaby jedynie przejścia się po serwerowni (lub laboratorium czy dowolnym pomieszczeniu, w którym znajduje się wiele komputerów wymagających instalacji), włączenia wszystkich komputerów i wyjścia z pomieszczenia. Przyjrzyjmy się, w jaki sposób można to (i nie tylko to!) wykonać. W podanych tu przykładach do zautomatyzowania instalacji będę korzystał z mechani- zmu kickstart systemu Red Hat (Fedora), ale inne narzędzia mogą z powodzeniem dać podobne lub identyczne wyniki. Kroki przygotowawcze Lista składników, jakie należy skonfigurować, może nieco przerażać, ale jest to o wiele prostsze, niż wygląda, a gdy już raz to przeprowadzimy, wówczas automatyzacja procesu instalacyjnego i powtarzalność takiej instalacji to drobnostka. Jednak zanim cokolwiek zro- bimy, musimy się upewnić, że komputery, na których ma się odbywać instalacja, zaopa- trzone są w karty sieciowe obsługujące mechanizm PXE (ang. Preboot eXecution Environ- ment). Jest to standardowy mechanizm rozruchowy obsługiwany przez oprogramowanie sprzętowe wgrane do karty sieciowej naszego serwera. Większość kart sieciowych klasy serwerowej, a nawet najnowsze karty sieciowe komputerów biurkowych, obsługuje mecha- nizm PXE. Można to sprawdzić, wchodząc w ustawienia BIOS-u i szukając opcji włączającej Narzędzia i wskazówki dla administratora systemu | 169 SPOSÓB 36. Zautomatyzowana instalacja Linuksa po uruchomieniu komputera PXE lub uważnie obserwować komunikaty rozruchowe, aby zobaczyć, czy są tam usta- wienia dla rozruchu PXE. Na wielu systemach rozruch przez PXE można wykonać przez naciśnięcie klawisza funkcyjnego w czasie startu. Konfiguracja DHCP Jeżeli jesteśmy pewni, że nasze komputery obsługują PXE, możemy przystąpić do konfi- guracji naszego serwera DHCP (lub BOOTP). Usługa ta odpowiada na rozgłaszania PXE nadchodzące z węzłów docelowych przez dostarczenie adresów IP wraz z nazwą pliku rozruchowego oraz adresem komputera macierzystego, z którego może zostać pobrany plik rozruchowy. Oto typowy wpis dla komputera docelowego: host pxetest { hardware ethernet 0:b:db:95:84:d8; fixed-address 192.168.198.112; next-server 192.168.101.10; filename /tftpboot/linux-install/pxelinux.0 ; option ntp-servers 192.168.198.10, 192.168.198.23; } Wszystkie powyższe wiersze są doskonale przewidywalne dla wielu środowisk. Jedynie dwa wyróżnione wiersze odnoszą się to tego, co zamierzamy przeprowadzić. Po dostar- czeniu tych informacji do klienta, wie on, jakiego ma zażądać pliku oraz na jakim serwerze się on znajduje. W tym momencie jesteśmy już w stanie uruchomić klienta, nakazać mu rozruch PXE i zo- baczyć, czy pobierze adres IP oraz czy powiadomi nas o tym, jaki to adres. W przypadku implementacji PXE nieprzekazującej żadnych komunikatów możemy uzyskać potwierdze- nie, sprawdzając dzienniki DHCP serwera. Zakończone powodzeniem żą
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

100 sposobów na Linux Server. Wskazówki i narzędzia dotyczące integracji, monitorowania i rozwiązywania problemów
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: