Сетевые службы
in Сетевое окружение Solaris 09 15, 2009Сетевые службы обсуждались в главе 8. Программа inetd представляет собой сетевой демон, который запускается в системе и прослушивает сеть от имени целого ряда процессов сервера, которые не запускаются во время загрузки системы. Демон inetd, когда принимает запрос на выполнение конкретной службы, стартует соответствующий серверный процесс. Список сетевых служб, которые предоставляются демоном inetd, содержится в файле /etc/inetd.conf. Ниже приведен пример некоторого элемента файла /etc/inetd.conf:
ftp stream tcp6 nowait root /usr/sbin/in.ftpd in.ftpd
Синтаксис данного элемента выглядит следующим образом:
Операционная система Solaris использует модель клиент-сервер, известную как RPC (Remote Procedure Call - вызов дистанционных процедур). При использовании какой-нибудь службы RPC клиент подключается к специальному серверному процессу, rpcbind, который является хорошо известной, зарегистрированной службой Internet. Процесс rpcbind регистрирует номера портов, ассоциированные с каждой службой RPC, перечисленной в файле /etc/ грс. Процесс rpcbind принимает запросы на установление соединения от всех клиентских приложений, основанных на модели RPC, и посылает клиенту номер соответствующего порта на сервере. Например, демон mountd, с которым вы познакомитесь в главе 17, описывается в файле следующим элементом:
mountd 100005 mount showmount
Демон mountd имеет программный номер 100005 и известен также под именами mount и showmount.
Для просмотра зарегистрированных программ RPC, запущенных в некоторой системе, следует воспользоваться утилитой rpcinfo с опцией -р. Например, можно проверить процессы на другой системе:
rpcinfo -р 192.168.1.21
Система отвечает списком всех зарегистрированных служб RPC, которые обнаружены выполняющимися на заданной системе. Этот листинг отображает программный номер, версию, протокол, порт и имя службы. Одна из перечисленных - служба mountd, может выглядеть следующим образом:
program vers proto port service 100005 1 udp 32784 mountd
Вы также можете использовать утилиту rpcinfo, чтобы убрать какую-нибудь RPC-программу из числа зарегистрированных. С помощью опции -d вы можете удалить регистрацию некоторой службы. Например, в локальной системе запущена программа sprayd. Чтобы отметить ее регистрацию, введите следующую командную строку:
rpcinfo -d sprayd 1
Служба sprayd остановится. В главе 9 описывалось, как послать какой-нибудь сигнал процессу. Можно перезапустить sprayd, послав демону inetd сигнал HUP (hangup - "зависание"), как показано в следующем примере:
pkill -HUP inetd
read comments (0)Системный журнал
in Обеспечение безопасности системы 09 15, 2009Критически важной составной частью работы системного администратора является мониторинг системы. Для решения этой задачи Solaris использует средство сообщений под названием syslog. Программа syslogd - это демон, отвечающий за регистрацию системных сообщений. Такими сообщениями могут быть предупреждения, извещения или просто информационные сообщения. В качестве системного администратора вам предстоит настраивать системный журнал syslog для определения того, где и как будут храниться системные сообщения.
Демон syslogd принимает сообщения от приложений на локальном хосте или от дистанционных хостов и направляет эти сообщения в специальный файл протоколирования -системный журнал. К каждому сообщению, которое регистрируется в системном журнале, этот демон добавляет временную метку, ключевое слово типа сообщения в начале данного сообщения и новую строку в конце данного сообщения. Например, в файле /var/adm/ messages было зарегистрировано следующее сообщение:
May 12 06:50:36 ultra5 unix: NOTICE: alloc: /opt: file system full
Причем syslog позволяет вам регистрировать сообщения по оборудованию (часть системы, которая сгенерировала данное сообщение) и по уровню важности. Оборудование в данном контексте рассматривается как сервисная область, генерирующая данное сообщение (такая как печать, электронная почта или сеть), тогда как уровень можно представить себе как степень важности сообщения (например, уведомление, предупреждение, ошибка или аварийная ситуация). Системный журнал также позволяет вам пересылать сообщения на другую машину для того, чтобы все сообщения могли бы протоколироваться в одном месте. Демон syslogd считывает и протоколирует сообщения в некотором наборе файлов, описанных в конфигурационном файле /etc/syslng.cnnf. Элемент файла /etc/sy4log.conf состоит ия двух полей-selector action
Поле selector содержит список спецификаций приоритетов, разделенных символами точки с запятой, в следующем формате:
facility.level [ ; facility.level ]
Поле action определяет, куда следует переслать данное сообщение.
Программа SUDO
in Обеспечение безопасности системы 09 15, 2009Программа SUDO (аббревиатура слов "SUperuser DO" - "суперпользователь делает") представляет собой свободно распространяемый пакет программного обеспечения, который позволяет системному администратору предоставлять конкретным пользователям (или группам пользователей) возможность запускать некоторые (или все) команды с привилегиями суперпользователя или от имени другого пользователя с протоколированием выдаваемых команд и их аргументов в журнале для целей аудита. Программа SUDO позволяет системному администратору разрешать доступ к определенным командам суперпользователя, а также отслеживать их без фактического предоставления кому-либо пароля суперпользователя. Для предоставления какому-нибудь пользователю доступа к некоторой команде, которая требует наличия привилегий суперпользователя, системный администратор конфигурирует список доступа, или файл sudoers.
Службы сетевой защиты
in Обеспечение безопасности системы 09 15, 2009Solaris - это мощная операционная система с множеством полезных служб. Однако некоторые из этих служб не являются необходимыми и могут представлять собой потенциальную опасность для защиты информации, особенно в системе, подключенной к сети Internet.
Начнем с файла /etc/inetd.conf. Этот файл определяет, какие службы будет прослушивать демон /usr/sbin/inetd. Программа inetd - это демон, предоставляющий множество служб, связанных с сетью Internet. По умолчанию файл /etc/inetd.conf сконфигурирован для тридцати или более служб, однако вам, вероятно, потребуются только две из них: ftp и telnet. Для исключения остальных служб, которые не являются необходимыми, закомментируйте их. Ниже показано, как запретить регистрации в службе telnet, отключив ее в файле /etc/inetd.conf:
fttelnet stream tcp nowait root /usr/sbin/in.telnetd in.telnatd
Аналогичным способом могут быть отключены службы Internet- ftpd, tftpd, fingerd и многие другие. После этого вы должны перезапустить демон inetd, как показано ниже:
# kill -HUP
Важно отключить все сетевые службы, которые не являются необходимыми, поскольку многие службы, запускаемые демоном inetd, такие как rexd, представляют собой серьезную угрозу безопасности. Программа rexd - это демон, отвечающий за дистанционное исполнение программ. В системе, соединенной с остальным миром через Internet, этот демон может создать потенциальную точку входа для какого-нибудь хакера. Обязательно должна быть отключена служба протокола TFTP, если только у вас нет бездисковых клиентов, которые имеют бесспорные преимущества от использования этой службы. Многие сайты также будут отключать службу finger, чтобы внешние пользователи не смогли бы узнать имена внутренних пользователей. Все остальное в большой степени зависит от потребностей вашего сайта.
Суперблок
in Введение в файловые системы 09 15, 2009Хранит основную информацию о данной файловой системе. Ниже перечислены некоторые наиболее важные объекты, входящие в суперблок:
Ф Размер и статус файловой системы
Ф Метка (имена файловой системы и тома)
ф Размер логического блока файловой системы
Ф Дата и время последнего обновления
Ф Размер группы цилиндров
Ф Количество информационных блоков в группе цилиндров
Ф Блок итоговой информации
Ф Состояние файловой системы (чистая, стабильная или активная)
ф Имя маршрута последней точки монтирования Без суперблока файловая система становится недоступной для чтения. Суперблок размещается в начале соответствующей части диска и дублируется в каждой группе цилиндров. Поскольку суперблок содержит критически важные данные, при создании файловой системы формируется множество суперблоков.
Копия суперблока каждой файловой системы поддерживается актуальной в оперативной памяти. Если система остановилась прежде, чем была обновлена копия суперблока на диске, самые последние изменения теряются и данная файловая система становится несогласованной. Команда sync инициирует запись данных каждого суперблока, находящегося в оперативной памяти системы, на диск. Программа проверки файловой системы под названием fsck может обнаружить и исправить проблемы, возникающие в тех случаях, когда команда sync не была применена перед закрытием системы.
Вместе с суперблоком хранится блок итоговой информации. Этот блок не дублируется, но группируется с первым суперблоком, обычно в группе цилиндров 0. Этот блок регистрирует изменения, которые имели место в процессе использования файловой системы, а также хранит листинг количества индексных дескрипторов, каталогов, фрагментов и блоков хранения в файловой системе.
Использование утилиты format для создания частей диска
in Введение в файловые системы 09 15, 2009Прежде, чем вы сможете создать какую-нибудь файловую систему на некотором диске, этот диск должен быть отформатирован и разбит на части с помощью утилиты Solaris под названием format. Форматирование состоит из двух различных процессов:
Ф Запись информации форматирования на диск
Ф Выполнение анализа поверхности диска, и формирование актуального списка дефектов
Когда выполняется форматирование диска, на него наносится информация заголовков и трейлеров. Когда утилита format запускает процедуру анализа поверхности диска, контроллер сканирует диск в поисках дефектов. Необходимо отметить, что дефекты и информация, относящаяся к форматированию, уменьшают общее дисковое пространство, доступное для хранения данных. Вот почему после форматирования новый диск обычно содержит только 90-95% его емкости. Это процентное соотношение изменяется в зависимости от геометрии конкретного диска и уменьшается по мере старения диска и образования на нем большего количества дефектов.
Подчас не требуется выполнять анализ поверхности, так как многие изготовители поставляют свои дисковые накопители отформатированными и разбитыми на разделы. Вам нет необходимости использовать утилиту format при добавлении дискового накопителя к существующей системе, если только вы не предполагаете, что причиной возникновения проблем являются дефекты диска. Помимо вышеназванной причины, единственной причиной, по которой будет необходимо использовать утилиту format, является ваше желание изменить схему разбивки диска на части.
Утилита format выполняет поиск всех дисковых накопителей, присоединенных к данной системе, и сообщает о них следующую информацию:
ф Местоположение целевого диска
Ф Геометрические характеристики диска
Ф Является ли данный диск отформатированным
Ф Имеются ли на данном диске смонтированные разделы
Кроме того, утилита format применяется при проведении операций восстановления дисков для решения следующих задач:
ф Восстановление меток дисков
ф Исправление дефектных секторов
Ф Форматирование и проведение анализа дисков
ф Разбивка дисков на разделы
ф Нанесение меток на диски: запись имени диска и конфигурационной информации для последующего восстановления
Программа инсталляции операционной системы выполняет разбивку дисков и нанесение меток на них в процессе инсталляции конкретного программного обеспечения Solaris.
Однако у вас может возникнуть необходимость использования утилиты format для выполнения следующих операций:
Ф Отображение информации о частях диска
<$> Разбивка диска на части
<$> Форматирование дискового накопителя в случае возникновения проблем
<$> Восстановление дискового накопителя
Основной причиной, по которой системный администратор использует утилиту format, является разбивка диска на части.
Процесс инсталляции Solaris
in Установка программного обеспечения Solaris 8 09 15, 2009Программное обеспечение Solaris инсталлируется с использованием инструментальной программы Solaris Install, которая представляет собой графический интерфейс пользователя, дружественный и простой в применении. Этот раздел содержит обзор процесса инсталляции на некоторой вычислительной системе фирмы Sun с использованием интерактивной программы.
Интерактивная программа инсталляции выводит на экран различные меню и запрашивает от вас ввод данных. Программа Install позволяет вернуться назад к предшествующим экранам, если вы допустили ошибку; она в действительности ничего не делает на вашей системе до тех пор, пока программа инсталляции не дойдет до конца и не сообщит, что готова начать процесс загрузки. В процессе инсталляции через экранную кнопку Help всегда доступна справочная система.
Если вы намерены обновить программное обеспечение Solaris или установить его на работающей системе, выполните перечисленные ниже операции для закрытия системы, а затем приступайте к инсталляции.
ПРИМЕЧАНИЕ
Описанная здесь инсталляция ориентирована на вычислительную систему фирмы Sun. Чтобы начать инсталляцию на персональном компьютере архитектуры Intel, вставьте гибкий магнитный диск Device Configuration Assistant (Ассистент конфигурирования устройств) и загрузитесь с этого диска. Вы получите указание установить инсталляционный компакт-диск операционной системы Solaris после того, как будет выполнено конфигурирование устройств персонального компьютера.
Ядро операционной системы
in Запуск и закрытие системы 09 15, 2009Программа ufsboot, которая была описана в предыдущем разделе, загружает ядро операционной системы. Специфичное для данной компьютерной платформы ядро операционной системы, используемое программой ufsboot, называется /platform/' uname -m ' / kern el/u nix
Ядро операционной системы инициализирует само себя и начинает загружать модули, используя программу ufsboot для чтения файлов. После того, как ядро операционной системы загрузило достаточное количество модулей для монтирования корневой файловой системы, оно лишает управления программу ufsboot и продолжает работу, используя собственные ресурсы. Ядро создает пользовательский процесс и запускает процесс /sbin/ ink, который, в свою очередь, запускает другие процессы путем считывания файла /etc/ inittab. (Процесс /sbin/init описывается в главе 1.)
Ядро операционной системы Solaris 8 является динамически конфигурируемым. Оно состоит из небольшого статического ядра и множества динамически загружаемых модулей. Модуль ядра - это аппаратный или программный компонент, который используется для выполнения какой-нибудь конкретной задачи в данной системе. Типичным примером загружаемого модуля ядра служит драйвер устройства, который загружается, когда данное устройство становится доступным. Драйверы, файловые системы, модули STREAMS и другие модули загружаются автоматически по мере того, как в них возникает необходимость, либо в процессе запуска системы, либо во время выполнения. После того, как модули перестают использоваться, они могут быть выгружены из памяти. Модули сохраняются в памяти до тех пор, пока эта память не потребуется для других целей. Информацию о модулях, которые в настоящее время загружены в память системы, можно получить с помощью команды modinfo.
Когда ядро операционной системы загружается, оно считывает файл /etc/system, в котором сохраняется информация по системной конфигурации. Этот файл модифицирует параметры ядра и обращение с загружаемыми модулями.
Программа nvedit
in Запуск и закрытие системы 09 15, 2009На вычислительных системах, оснащенных PROM версии 1 .х или 2.x, команда nvalias может быть недоступна. На таких системах при создания пользовательских псевдонимов устройств вам придется использовать команду nvedit. Программа nvedit представляет собой построчный текстовый редактор, который непосредственно редактирует содержимое NVRAMRC, имеет набор команд редактирования и работает в некотором временном буфере. Ниже приведен пример сеанса работы с программой nvedit:
ok setenv use-nvramrc? true
Система отвечает следующим образом:
use-nvramrc? = true ok nvedit
0: devalias pgx24 /pci@lf,0/pci@l,l/SUNW,m64B
1: devalias diskO /pci@lf, 0/pci@l, l/ide@3/disk(l 0 ,0
2:
Resetting ......
ok boot diskO
В приведенном примере использовалась программа nvedit для создания постоянного псевдонима устройства с именем diskO. Для выхода из текстового редактора использовалась комбинация Ctrl+C. Команда nvstore позволила сделать данное изменение постоянно хранящимся в NVRAMRC. Была выдана команда reset для переустановки системы, которая затем была загружена при помощи команды boot с устройства diskO.
Задачи встроенного программного обеспечения OpenBoot
in Запуск и закрытие системы 09 15, 2009Далее перечислены основные задачи встроенного программного обеспечения OpenBoot: * Тестирование и инициализация аппаратных средств системы. * Определение конфигурации аппаратных средств.
В частности, OpenBoot будет исполнять следующие задачи, необходимые для инициализации ядра операционной системы:
1. Отображать на экране информацию системной идентификации, а затем запускать процедуры диагностического самотестирования для проверки оборудования и памяти вычислительной системы. Эти проверки известны под названием POST (Power-On Self Test - процедура самотестирования при включении питания).
2. Загружать первичную программу запуска под названием bootblk с принятого по умолчанию устройства.
3. Программа bootblk находит, загружает в память и исполняет вторичную программу запуска под названием ufsboot,.
Программа ufsboot загружает ядро операционной системы.
