Linux系统管理(精选十篇)
Linux系统管理 篇1
关键词:Linux系统,权限管理
1 Linux文件权限简介
Linux是一个多用户和多多任务的操作系统, 在Linux系统中信息都存放在文件中, 系统里运行的程序都以文件的形式存储。不同的用户为了不同的目的使用操作系统是通过系统赋予用户对某个文件的特定权限来实现的。
Linux系统中文件或目录的访问权限分为读权限, 写权限和可执行权限三种, 分别用r、w和x表示。用户具有读权限可以使用cat、more等文件查看程序读取文件的内容, 这种方式仅仅是读取, 不能对文件进行修改;用户具有写权限可以在目录中创建新的文件或者修改已有的文件;用户具有执行权限可以执行一些可执行程序。在linux系统中, 有三种不同类型的用户可对对文件或者目录拥有不同的权限, 这三类用户是文件所有者, 同组用户、其他用户。
用户可以通过ls-l命令查看系统中目录或者文件的权限信息, 运行结果如下所示:
上述结果中第一列数据表示了文件或者目录的类型和权限信息, 其中第一位字符表示了该文件的类型;第二位到第十位字符表示了该文件所对应的系统中三类用户所具有的权限信息, 其中第二到四位表示该文件的所有者对该文件所具有的权限;第五到七位表示同组用户对该文件所具有的权限;第八到十位表示了系统中除了前两类用户以外的其他用户对该文件所具有的权限。这三组信息依次由r、w、x或者-组成, 如果在某个位置上的字符是-, 说明此类用户没有该位置上的某个权限。例如:rwx表示该用户具有读、写、执行的权限;r-x表示该用户具有读、执行权限, 而没有写权限。
2 Linux文件权限设置
确定了某个文件或者目录的访问权限以后, 用户可以使用linux系统提供的chmod命令来重新设置文件或者目录的访问权限, 达到控制不同用户对文件的不同的访问权限。该命令有两种用法。一是包含字母和操作符表达式的文字设定法;另一种是包含数字的数字设定法。
2.1 文字设定法
利用chmod设置文件权限的文字设定法的语法格式如下:
chmod[who][+|-|=][mode]文件名列表
选项Who的取值以及含义:u表示“属主 (user) ”, 即文件或者目录的所有者;g表示“所属组 (group) ”里的用户, 即组名或者组ID与文件中的组名或者组ID相同的用户;o表示既不属于属主 (user) , 也不属于group的其他用户;a表示“所有 (all) ”用户。它是系统默认值。选项中“+”表示添加某个权限;“-”表示取消某个权限;“=”表示赋予某个权限, 并取消原有的权限。Mode选项取值和含义:r表示可读权限;w表示可写权限;x表示可执行权限。命令中可以给出多种权限方式中间用逗号隔开。
应用实例1:为同组用户添加对文件a.txt的执行权限
应用实例2:取消其他用户对文件a.txt的写权限
应用实例3:重新赋予文件所有者对文件a.txt权限为读权限和写权限
应用实例4:为同组用户和其他用户添加对文件a.txt的写权限
应用实例5:取消同组用户对文件a.txt的写权限并添加其他用户对文件a.txt的写权限
2.2 数字设定法
数字设定法是与文字设定法功能等价的设定方法, 只不过比文字设定法更加简洁。数字设定法用3个二进制位来表示文件权限。第一位表示r权限 (可读) , 第二位表示w权限 (可写) , 也可以直接用十进制数计算。0表示没有权限, 1表示x权限, 2表示w权限, 4表示r权限, 然后将其相加。所以数字属性的格式应为3个从0到7的八进制数, 其顺序是 (u) 、 (g) 、 (o) 。其他的与文字设定法基本一致。
语法格式为:
其中mode由XXX三位数字组成, 第一位的数字表示所有者的权限, 第二位数字表示同组用户的权限, 第三位数字表示其他用户的权限, filename为设定权限的文件名称。
应用实例6:设置a.txt的文件权限使所有者具有读、写、执行权限;同组用户具有读、写权限;其他用户具有读、执行权限
分析:读权限用4表示, 写权限用2表示, 执行权限用1表示;所有者具有读、写、执行权限, 因此权限所代表的数字相加为4+2+1=7;同理同组用户权限为6, 其他用户权限为5, 综上所述, 字符数字设定法中的mode的应设置为765。
参考文献
[1]刘海涛, 等.Linux中文件权限管理的探讨[J].微型计算机信息, 2006 (3) .
[2]何明, 等.Linux培训教程[M].清华大学出版社, 2010.01.
[3]贺惠萍, 等.应用程序用户权限机制研究[J].微计算机信息, 2005, 9:19-21.
[4]罗琰, 等.Linux环境下访问控制列表机制的设计与实现.解放军理工大学学报 (自然科学版) , 2004.6.
[5]陈旭, 等.Linux系统网络安全问题分析及对策[J].合肥工业大学学报, 2002, 5 (3) .
Linux系统管理 篇2
chown命令的语法格式是:
chown [选项]用户或组文件1[文件2...]
用户可以是用户名或用户ID。文件是以空格分开的要改变权限的文件列表,可以用通配符表示文件名。如果改变了文件或目录的所有权,原文件主将不再拥有该文件或目录的权限。系统管理员经常使用chown命令,在将文件拷贝到另一个用户的目录下以后,让用户拥有使用该文件的权限。
在Linux下,每个文件又同时属于一个用户组。当你创建一个文件或目录,系统会赋予它一个用户组关系,用户组的所有成员都可以使用此文件或目录。文件用户组关系的标志是GID。文件的GID只能由文件主或超级用户(root)来修改。chgrp命令可以改变文件的GID,其语法格式为:
chgrp [选项] group文件名
其中group是用户组ID。文件名是以空格分开的要改变属组的文件列表,它支持通配符。
Linux系统中的每个文件和目录都有访问许可权限,用它来确定谁可以通过何种方式对文件和目录进行访问和操作。访问权限规定三种不同类型的用户:文件主(owner)、同组用户(group)、可以访问系统的其他用户(others)。
访问权限规定三种访问文件或目录的方式:读(r)、写(w)、可执行或查找(x)。
当用ls -l命令或l命令显示文件或目录的详细信息时,最左边的一列为文件的访问权限。其中各位的含义如下:
*文件访问权限
读权限(r)表示只允许指定用户读其内容,而禁止对其做任何的更改操作。将所访问的文件的内容作为输入的命令都需要有读的权限。例如:cat、more等;写权限(w)表示允许指定用户打开并修改文件。例如命令vi、cp等;执行权限(x)允许指定用户将该文件作为一个程序执行。
*目录访问权限
在ls命令后加上-d选项,可以了解目录文件的使用权限:
ls -d
读权限(r)可以列出存储在该目录下的文件,即读目录内容列表。这一权限允许shell使用文件扩展名字符列出相匹配的文件名;写权限(w)表示允许你从目录中删除或添加新的文件,通常只有目录主才有写权限;执行权限(x)允许你在目录中查找,并能用cd命令将工作目录改到该目录。
cat 命令主要作用可归为四种:
1.用来显示文件内容,主要用于读取信息量比较少的文件
命令形式:cat filename
例如:
cat /data/www/robots.txt 查看 /data/www/robots.txt 文件的详细内容
cat -n *.php 把当前目录下的所有的 php 文件都显示出来(按顺序显示)
cat -n /data/www/robots.txt 查看 /data/www/robots.txt 文件的详细内容并加上行号
2.创建文件(只能创建新文件,不能编辑已有文件)
命令形式:cat >filename
例如:
cat >/data/www/robots.txt 创建 /data/www/robots.txt 文件
cat /data/www/index.php >/data/abc/index.php 把 /data/www/index.php 这个文件的内容输入到 /data/www/index.php 这个文件里面去
cat -n /www/index.php >/abc/index.php 把 /www/index.php 这个文件的内容加上行号输入到 /www/index.php 这个文件里面去
3.将几个文件合并为一个文件
命令形式:cat file1 file2 >file
例如:
cat -b /www/index.php /www/about.php >>/www/abc.php 把 /www/index.php 和 /www/about.php 的档案内容加上行号(忽略空白行)后将内容输入到 /www/abc.php 这个文件里(注意这里 abc.php 是原本不存在的)
cat /data/www/*.php >index.php 将 /data/www/*.php 目录下的所有 php 文件合并为 index.php(注意这里 index.php 是 *.php 里面的一个文件)
4.清空文档内容:
例如:
cat /dev/null >/data/robots.txt 此为清空 /data/robots.txt 文件的内容
另外一些关于 cat 命令的技巧,
cat /proc/cpuinfo 显示CPU info的信息
cat /proc/interrupts 显示中断
cat /proc/meminfo 校验内存使用
cat /proc/swaps 显示哪些swap被使用
cat /proc/version 显示内核的版本
cat /proc/net/dev 显示网络适配器及统计
Linux系统管理 篇3
【关键词】集群系统;作业调度;负载平衡
1.linux集群系统作业管理系统概述
如果仅仅将节点连成网络,并不能形成集群,还需要有对这些节点进行管理的软件系统,集群所依赖的软件系统集群作业管理系统JMS(Job Management System)正是为适应这种需求而出现并快速得以发展。集群JMS可以根据用户的需求,统一管理和调度集群的软硬件资源,保证用户作业公平合理地共享集群资源,提高系统资源利用率和吞吐率。集群JMS包括系统资源管理和作业调度管理,作业调度技术是集群作业管理系统中关键的技术之一,作业调度的功能在于提供作业提交、调度、执行及控制的新机制,更加有效地利用系统资源、平衡网络负载、提高系统整体性能。在这种情况下,作业调度策略决定了整个集群系统的效率,尤其是提交计算量大的作业时,良好的作业调度策略可以大大加快执行速度。因此,作业调度策略是提高集群系统执行并行作业的效率及系统资源利用率的关键因素,对集群系统提高并行处理能力具有重大的意义。
2.linux集群系统下作业调度策略与负载平衡
负载平衡的基本作法是定期收集并分析系统各节点的实时负载信息,动态地将作业进程在处理机之间进行分配和调整,以消除系统中负载分布的不均匀性。通常表现节点负载的指标有:(1)CPU的利用率,表示单位时间内CPU处理用户进程和核心进程的时间比。(2)CPU就绪队列的长度,CPU利用率适合用来判断节点是否处于空闲状态,用就绪队列的长度可用来表达负载的大小。(3)测试特定进程的响应时间,对于使用固定时间片的操作系统来说这也是一个选择。(4)磁盘、内存、交换区的可用空间,换页的频率,以及I/O的利用率。如果所选用的指标不止一项,可以将这些指标作为变量组合进一个负载计算公式,实时信息代入公式所得的值应该能区分实际负载的大小。
对于集中式集群JMS的作业调度,实现负载平衡最普通的做法是在作业映射时依据所收集的各节点的负载信息,把作业进程派往能满足作业资源需求且预计作业在那里等待时间最小的节点。一个简化的思想是把负载最轻的节点当作所产生的局部等待时间最小的节点。在集群JMS对作业映射进行修正时,同样可以利用各节点当前的负载信息,通过对过载节点上进程的迁移来实现全系统的负载平衡。集群JMS通过各节点的负载信息,建立所谓的负载转移向量,即在这个向量中每个节点所对应的元素是该节点的相对负载与平均负载的差值(或正或负)。如果向量中对应某些节点的元素的绝对值大到一定程度,就启动负载平衡过程。再以各进程的工作量为基础,决定把哪个进程迁至何处。
3.通用作业调度策略的分析
3.1 资源碎片的产生
通用作业调度策略可以划分为两大类型:一类是面向提高资源利用率的调度类调度策略常见的有FirstFit。另一类是面向公平性的调度策略,确保作业在较短的时间内能够获得资源,避免同等优先级的作业因长时间无法执行而导致作业饥饿问题,这类调度策略常见的是FCFS。
在作业调度策略中,公平性往往与高效性目标是冲突的。若要提高资源利用率,应该使作业调度队列中选取的作业集可以尽可能多的利用资源,而不考虑调度队列中作业的等待时间,这就产生了作业的饿死问题。解决同等优先级作业的饿死问题,往往依靠的是先来先服务的方式,阻塞其他作业的执行,确保作业队列队首的作业获得足够的资源,避免作业的长时间等待,可这种阻塞的方式却导致了系统中产生大量的资源碎片。
3.2 负载平衡的实现
传统的集群作业调度策略实现负载平衡的方法都是相当简练的。例如,将实时的节点负载值与事先规定的阈值做比较,或利用综合负载计算公式将多项负载值换算成一个抽象的值来对比各节点间负载是否平衡,以此来判断节点负载是否适当。在匹配资源需求时,查看节点上剩余资源是否能够满足作业的资源请求量。通常来说,简明的策略不但便于实现,利于降低调度成本,而且一样能在广泛的集群环境内达到整体上理想的性能和效益。
不够细致的调度策略存在着隐患,当简单的方法遭遇一些特殊的问题就会带来调度行为的性能突然下降,需要一定时间来进行自动地恢复。随着计算机的处理能力越来越强大,使得较为复杂的调度策略的运转费用也得到降低。特别是相对于大型作业执行时间的长度和通过网络传输作业和通讯的成本,复杂调度策略的成本日益变得可以为集群使用者接受。所以,目前的集群作业调度策略可设计的更加细致和深入,去挖掘集群提高作业执行性能的潜力。
CPU资源是调度算法中进行优化调度时所使用的主要的资源项目,算法中提到“节点性能”,往往就是指节点的主频。根据系统的针对性和应用性的不同,存在很多种的应用节点负载指标,但没有统一的标准,具体环境下可采取不同的指标,较理想的负载指标应当满足:测量开销低,较易获得和计算,以满足频繁测量的需要;能客观体现所有竞争资源上的负载;各个负载指标在测量及控制上彼此独立。
4.回填策略
回填策略是由Lifka最先提出,它需要用户提供作业的估计执行时间和所需要的节点资源信息。如果队列中的下一个待调度作业由于缺少某些资源不能被启动,回填策略会试图在队列中寻找下一个可以使用已有的空闲资源,且其执行不会延迟该作业执行的作业。换句话说,回填策略允许一些队列后面的作业提前执行。回填策略的使用主要为了实现两个看起来冲突的目标:尽可能的将短作业前移,以提高资源利用率;尽可能的避免大作业等待,因此需要预测作业的运行时间。
保守回填策略的描述如下:
RunningTasklist={j1,j2,i3,...,jn}按照期望完成时间排序的运行的作业
QueuedTasklist={il,i2,i3,...,in}按照到达时间先后顺序排序的作业队列
对每一个在RunningTasklist的j任务,根据j任务占用的资源分配timeXprocessor的空间,形成timeXprocessor的运行作业描述文件P,对每一个在QueuedTasklist的i任务检查P,找到第一个能提供足够processor运行I的时间点anchor。
从anchor时间点开始扫描P中的time轴
{
if(直到作业i的预期完成时间都能保证足够的processor资源可用)
更新P,将anchorXprocessor资源分配给作业i;
else
继续扫描time轴,找到下一个可用的时间点anchor;
}
if(anchor=0)
执行该作业;
next i;
回填策略可以有效的提高基于队列的策略的性能,它在有效的提高小作业的响应时间的同时而不会导致大作业出现饥饿。
参考文献
[1]薛正华,刘伟哲,董小社,伍卫国.基于思维进化的集群作业调度方法研究[J].西安交通大学学报,2008(06).
[2]张果桃,赵金雁,白中英.基于LT-backfilling算法的集群作业调度系统[J].计算机工程,2007(21).
Linux系统管理 篇4
Linux系统下所有的文件和文件夹都有访问权限的设置,通过设置文件访问权限可以有效保障普通用户不能轻易访问受保护的资料。目前Linux系统下大多是属于文件系统加密。文件系统加密包括块加密、磁盘加密、网络加密,使用和研发都成本较高。并且系统文件中,有一部分是没有加密的必要性,传统的文件加密针对性差,不能将密钥高效利用到单个文件中,浪费资源和空间。同时作为一个多用户操作系统,管理员可以轻而易举地修改文件的权限,因此普通用户的数据始终存在安全隐患[1]。所以对单个文件加密尤为重要。对在日常生活中进行文件传输越来越普遍,Liunx系统下的文件传输以明文形式在信道上传递信息,这样一来一旦有人监听信道便可以轻易获取甚至篡改信息。因此很有必要创建一种保密机制,使计算机中的文件对于未授权访问者而言无法使用,并能轻易察觉受保护文件是否被非法篡改,使文件在网络传输中隐蔽传输信息,并能有效验证传输信息的完整性[2]。
二、系统设计
1、MD5 算法
在Linux下有很多文件同名,通过不可逆的字符串变换算法,产生唯一的MD5信息摘要。如果在传输的过程中,文件的内容发生了变化,只要对文件重新计算MD5信息摘要,会发现不同,这样就可以确定收到的文件不是正确的文件。本文利用MD5算法对文件信息做摘要并生成数字签名。
2、DES 算法
DES使用一个56位的密钥以及附加的8位奇偶校验位,明文按64位进行分组,将分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法[3,4]。
分组密码在一定的时间段内,是不会改变,可以用于定时间给大量数据加密。给密钥的配发带来很大的方便。分组密码在网络传输中以块的形式输送,不影响别的块的传输,有很强的适应性。该算法加密速度慢,错误容易扩展和传播。
分组密码的数学模型如下:
分组密码是将明文消息编码后的数字序列y1,y2,y3,……,yn为长度为n的组,每组在密钥k1,k2,……,kt的控制下变换为与明文等长度的一组密文输出数字序列l1,l2,l3,……,ln。具体的分组模型如图1所示。
3、RSA 算法
RSA算法的安全性是基于大整数素因子分解 的困难性,至今是著名的数学难题,因此大多数使用公钥面膜进行加密的数字签名的产品和标准使用的都是此算法。RSA算法既可以用在数据加密也可以用在数字签名。它为在网络信息传输中数据加密和鉴别提供了一种方法。RSA先生成一对RSA密钥即保密密钥和公开密钥,前者是用户保存,后者是公开,可以在网络的服务器中注册,可以用公用密钥加密文件发给别人,个人用私钥解密接受。密钥长度一般是500到1024位,尽量提高保密的强度[5]。
4、系统设计
安全加密是本系统的核心。无论是本地文件安全管理还是文件网络传输都需要加密算法的支持。本系统所采用的加密算法包含DES加密和RSA加密。其中DES是真正意义 上针对文 件进行加 解密 ,而RSA只是在文件安全传输时起签名的作用。,所以此处重点阐述RSA签名的实现[6]。
(1)调用DES模块进行文件加解密
调用DES进行文件加密包括了数据密钥提取判断,密钥自动生成,密钥自动存储,密钥自动调用,DES模块调用四部分组成。由于该模块绑定了密钥管理模块,因此其具体实现已于密钥管理模块给出。
(2)调用RSA模块进行数字签名
数字签名的前提条件是密钥交换已经完成。在进行数字签名时,需要先进行原始文件的摘要计算,然后将摘要用自己的私钥加密,此时由于只能用自己的公钥才能解密摘要信息所以保证了信息的不可否认性,应该说此时已经算是得到签名了。但是由于自己的公钥是开放的,因此任何人都可能解密签名并修改摘要,所以需要进一步利用对方的公钥进行加密。这样一来只有传输对象才能利用他私有的私钥进行解密,从而保证了签名的安全。
(3)文件安全传输模块
文件安全传输模块是基于PGP安全传输模型实现的,它用到了DES实现文件加密,MD5和RSA实现数字签名,socket套接字实现网络传输,是一个比较综合的模块。文件传输的步骤主要有文件传输请求与应答,密钥交换和签名与密文传输三个子模块组成。同时它还分为发送方的模块实现和接收方的模块实现。
PGP加解密前也必须交换双方公钥。加密时发送方用将用IDEA加密算法(如DES,AES)加密原文压缩包,并将文件加密密钥用接收方公钥加密,最后将密文和加密密钥一起发送接收方。此时只有接收方才能用自己的私钥解密提取IDEA文件密钥从而继续解密明文并最终获得明文。PGP加密解密流程图如图2所示。
三、结语
本设计是针对LINUX文件加密,运用现代密码学的对称加密技术、非对称加密技术以及信息摘要技术,使用对称加密DES算法进行文件加密,在网络传输方面利用非对称的RSA算法实现数字签名,发送方和接收方在认证前必须相互交换各自的RSA公钥。下一阶段将考虑讲设计实现,从而给LINUX用户提供了很大的方便。
摘要:文件的加密是保护用户数据的一种有效手段,传统的文件加密,对数据保护安全系数低,不能很好的保护数据。本文使用对称加密DES算法进行文件加密,在加密后将密钥存储于数据库中。在文件解密时自动调取密钥解密,从而增加系统的易用性。目前的数据保护文件系统大多数是基于Windows平台,而Linux平台目前还没有更好的保护系统,因此本论文设计了基于Linux的文件安全管理系统。
Linux系统管理 篇5
Linux系统管理中有很多内容,它同UNIX系统有大同小异之处,笔者在日常工作中接触到系统管理方面一些常用内容和命令,在此列出和广大朋友们共同探讨。
启动系统、终止系统
1、启动系统
由LILO引导,读取配置文件/etc/inittab中设置的系统运行级别,级别分类如下:
级别 内容
0 低级系统初始化、关闭电源
1 单用户或管理等级。可以运行象详细的磁盘检查等在多任务情况下可能运行的任务。
2 多用户方式但无网络支持。
3 全方位等级,启动全部功能。
4 暂时未使用
5 图形终端方式登录Linux
6 中断系统后重启,sync+reboot
s、S 单用户状态,用于LILO时引导名称后的参数,可处理root口令丢失时的补救。
可用runlevel查看系统当前运行级别,telinit 更改init状态。
2、终止系统
由于Linux是一个多任务、多用户的操作系统,故此终止前应查看系统当前的用户及其进行的工作并进行通知终止运行。
who 对系统中每一个现行用户列出登录名称、终端名称和登录时间
w 查询上机者详细情况
wall 对系统中每一个现行用户广播通知信息。
shutdown 可加参数进行关机控制
reboot 终止系统并重新引导系统
halt、poweroff 关机
系统用户管理
useradd 设置新帐号
userdel 消除老帐号
usermod 修改已有帐号
groupadd 设置新成员组
groupdel 消除老成员组
groupmod 修改已有成员组
passwd 修改口令
chfn 修改finger信息
chsh 修改login的shell
为各种命令和文件提供全局缺省值
针对不同命令和文件配置相应配置文件。
ntsysv 启动时加载的服务进程
设置NFS、SAMBA、DNS等网络服务内容
testparm 检测smb.conf的配置文件是否正确
smbstatus 显示Samba 当前输出的共享资源
smbclient CL 可以查看主机共享资源信息
smbmount、smbumount 安装、卸载指定主机的共享名到本地的目录
ndc 启动停止DNS服务
nslookup 进行正向 DNS 解析与反向 DNS 解析检查
为常规作业、调度建立Crontab
crontab 操作每个用户的守护进程和执行的时间,建立命令清单,每行指定一个命令的运行时间及其间隔,cron会定期扫描此文件在需要时间内调度作业,
batch 建立一个大作业运行表,用低优先级运行作业,只要系统平均负荷低于1.5即可运行
at 在一个未来时间内调度作业
atq 列出用户排在队列中的作业
atrm 删除队列中的作业
备份系统及数据文件
tar GNU版的文件打包备份工具,创建一个档案文件,支持制作递增的备份,是最易使用的系统。
cpio 创建一个档案文件,可以处理文件名的长度,还可以通过跳过错误而处理本地化磁带的错误。
dump 面向备份整个文件系统而且为提供递增的备份而保留变化记录。
处理系统安全性事务,架设监控防火墙及其适时查杀病毒
pwconv5 使用阴影口令
ipfwadm、ipchains 设置防火墙,构建软路由
维护系统和其它事件的日志文件
syslogd Linux系统日志进程
klogd 核心日志进程
logger shell界面系统日志模块工具
检查文件系统的完整性
fsck 文件系统检查,只有root能用,检查逻辑文件与磁盘文件的文件大小对照表,检查文件与名称之间的链接数,确保文件被正确交付,确保所有空闲磁盘块都正确放入了文件系统空闲表。
mkfs 建立Linux 文件系统
e2fsck Linux文件系统检查
mount、umount 加栽、卸载文件系统
更新联机文档及其脱机文档
使用RPM更新相关HOWTO文档。
在各种灾难情况下的恢复
mkbootdisk 创建启动软盘
解决软硬件的升级变更问题
RPM 进行软件安装、升级、删除等管理维护的软件工具,使用普遍。
不同系统配置硬件的工具略有不同,但一种硬件在Linux下能否应用,必须核心支持。
linuxconf 配置Linux核心
lsmod 列出当前加载模块
insmod 将一个模块插入到活动内核中
modprobe 加载一个或多个模块及他们的附属物
depmod 创建一个模块的附属文件
rmmod 删除一个当前加载的模块
kerneld 执行核心活动模块
Xconfigurator、XF86Setup、xf86config配置显卡
netcfg 配置网卡
printtool 配置打印机
sndcfg 配置声卡
系统性能监视,合理分配资源使用
ruptime、uptime 提供系统负担平均值及其使用者信息,可得到系统活动概观。
ps 显示程序运行统计
netstat 显示网络状况
time 计算执行一条命令所花费的时间
作者:广东茂名电力局计算机室 唐仲兴
Linux系统管理 篇6
【关键词】Linux;计算机集群;并行计算;MPI
1.引言
伴随互联网技术飞速发展和各种应用的逐渐开发,以及对计算机运行效率要求的不断提高,依靠增加单一服务器的处理能力并不能很好地解决迅速增长的网络应用的需求。因为采用单一服务器就意味着单点失效问题的存在,同时服务器的升级往往需要暂时中断服务。这都难以保证网络的高可用性,而且采用更高性能的服务器意味着更高的成本投入,由于这些特点,集群技术由此应运而生。而且由于其造价低廉,性能优异,便于管理,编程方便,可扩展性好等优势,集群系统的应用变得越来越广泛。
2.集群的概念和分类
集群就是一组计算机,它们作为一个整体向用户提供一组网络资源。这些单个的计算机系统就是集群的节点,它们之间通过高速网络连接。这些计算机能够协同工作,并对外表现为一个集成单一的计算机资源[1]。
常见的Linux集群系统分为如下三种基本类型:
(1)高性能计算集群(HPC:High Perfor-mance Clus ter)。主要特点为并行计算,目的是用于进行大规模数值计算,解决复杂的科学问题。这种集群中的服务器(也称计算节点)采用并行计算方法,把一个海量的计算任务分解成各个子任务,然后分配给各节点并行计算,并通过标准化的消息传递接口(PVM或MPI)实现各计算节点的同步和数据的汇集。根据其高效的计算特性一般应于于航空航天、环境科学、石油地震勘探计算数学、DNA模型计算等领域。
(2)高可用性集群(HA:High Availabi-lity)。主要特点为主备服务器自动无缝切换,目的是提供不间断的服务。它是由主、从或多台服务器组成。发生故障时,服务器自动切换到后备服务器,这种切换对用户是透明的,用户无法感觉到服务器的切换。目前,对于要求24小时提供不间断服务的地方常常使用高可用性集群。如实时计费系统、实时交易处理系统、气象信息数据库、科技信息数据库服务等领域。
(3)高可伸缩性负载均衡集群(HSLB:High Scalability Load Balance)主要特点为负载均衡,目的是提供与节点个数成正比的负载能力,将系统的整体负载合理地分配到各个服务器节点上,使得每个节点都不会因为超负荷工作而崩溃;并且当对系统整体负载需求大于系统整体负载能力时,可以通过增加服务器节点,平滑地拓展系统负荷能力。这种集群非常适合提供大访问量的网络服务。如网上银行、图形对象发布、气象信息检索服务、科技信息检索服务等领域。
结合公司的服务器及实际应运情况,本文只讨论第一种高性能计算集群。
3.并行计算集群设计
本文并行集群构造方案是一个管理节点与一组同构或者异构的计算节点通过网络相连,管理节点承担分配并行任务和提供外部管理接口的任务,计算节点负责各自分配得到的并行计算任务以及和其它节点之间的数据交换,可选的存储节点提供配置文件和处理数据的统一管理[2][3]。以四个节点为例的集群系统的构造拓扑如图1所示。
集群软件模块如图2所示:
(1)操作系统:Linux系统对不同计算机架构的良好支持保证了高性能集群的扩展能力和性价比。选取比较稳定的Linux系统版本(本文采用的是Red Hat)。对于计算节点的系统管理可以采用PXE网络安装等方式,提升安装和管理的效率。
(2)节点间通信:通过建立节点间的无密码SSH访问实现节点间通信。
(3)文件共享方案:NFS文件共享系统的引入方便并行程序或者待处理的数据文件的统一部署。该方案便于统一管理,对可执行程序或者配置文件的修改都可以在同一路径下一次性完成。各个计算节点之间的环境变量等配置文件都相同。
4)计算任务分配:MPI。
4.实现并行计算集群的关键技术
高性能计算集群之所以高效其核心在于并行计算模型的设计[4]——MPI。
并行计算将进程相对独立的分配于不同的节点上,由各自独立的操作系统调度,享有独立的CPU和内存资源(内存可以共享);通过网络联接的不同计算机的多个进程,进程位于不同的计算机,消息传递是实现进程间通信的唯一方式;根据应用程序对消息传递功能的需求,全球工业、应用和研究部门联合推出标准的消息传递界面函数,不考虑其具体实现,以保证并行应用程序的可移植性在当前所有的消息传递软件中。最重要的就是MPI,MPI表示消息传递接口(Message Passing Interface),它能运行在所有的并行平台上,包括SMP和PVP。
MPI的目的是为编写消息传递程序而开发的广范使用的标准。象这个接口一样,为消息传递建立一个实际的、可移植的、有效的和灵活的标准。实现如下目标:
(1)统一的应用编程接口(不必为编译器或一个系统实现库)。
(2)允许有效的通信:避免存储器到存储器的拷贝,而允许计算和通信的重叠,尽可能给通信协同处理器卸载。
(3)对于接口允许方便的C语言和Fortran 77联接。
(4)设定一个可靠的通信接口:用户不必处理通信失败。这些失败由基本的通信子系统处理。
(5)定义一个接口,并非不同于现在的实践,如:PVM,NX,Express,p4等,还提供更大灵活性的扩展。
(6)定义一个接口,它能在基本的通信和系统软件无重大改变时,在许多生产商的平台上实现。接口的语义是独立于语言的。
(7)接口应设计成允许线索-安全(thread-safety)。
5.架设适合我公司的集群
5.1 硬件选择
(1)以使用的曙光服务器为例,使用千兆网络(千兆交换机),进行高性能计算。使用百兆网络进行网络监控和管理。
(2)每台服务器做为一个节点(以四台服务器为例),每台机器的系统及配置必须一致。
5.2 软件安装准备
主(Master)服务器需安装:
(1)防火墙(含NAT架设);
(2)RSH;
(3)NIS Server;
(4)NFS Server;
(5)Compiler Install;
(6)MPICH Install;
(7)其它特殊功能。
从属(Slave)服务器所需安装:
(1)防火墙的设定;
(2)RSH;
(3)NIS Client;
(4)NFS Client。
5.3 安装步骤
(1)架设服务器系统
以图1所示拓扑图为例,但需在主服务器上连接显示器,键盘及鼠标。
(2)系统安装(Red Hat)
选择安装类型:Red Hat提供了三种不同类型的软件包套件、个人桌面、工作站和服务器,以根据自己的需要选择不同的安装类型,这里选择“定制”。硬盘分区选择用Disk Druid工具进行分区,这里将分成两个分区,一个Swap和一个根目录(/),swap空间的大小一般为物理内存的2-3倍,剩下的空间都分给根目录。
(3)防火墙(含NAT主机)与网络设定、网络配置
Red Hat提供了三种安全级别的防火墙配置,可以根据自己的需要进行选择。在此设计中,需要开22端口,也就是SSH服务。
分别将四台机器的IP地址设置为192.168.1.1(master)、192.196.1.2、192.196.1.3、192.168.1.4,子网掩码为255.255.255.0。按先后顺序对NFS、NIS和RSH进行设定,主要目的为实现资源共享。
(4)选择安装软件包(关键要是对MPICH的安装)但注意需要安装GCC编译器
下面是在命令界面下测试集群是否安装成功进行的测试举例[5]:
[test@servertest]$cp-r/cluster/server/program/mpich/examples/.
[test@server test]$cd examples
[test@server examples]$make clusterfile
[test@server examples]$mpirun-np 4 clusterfile
注:在最后一行命令-np后面接的就是所使用的节点的个数。
6.结论
通过一个简单的测试对1000个100000进行累加运算表明:即使只有四个节点的集群服务器的运算速度也比一台主机的运算速度高出3倍,充分发挥曙光集群系统的作用。但必须注意的是做为服务器的集群系统,在日常的使用和维护中,必须以稳定和安全做为首要目的,因此以具备系统稳定性的linux集群系统防火墙的设计也值得去研究。
参考文献
[1]曹占涛,曾小波,王渊.L inux服务器配置与管理[M].北京:电子工业出版社,2009:8.
[2]张文力,陈明宇,樊建平.HPL测试性能仿真与预测[J].计算机研究与发展,2006,43(3):45046
[3]李贵明,俞国扬,罗家融.基于RedHat7.1(linux)的Beouwulf集群的实现[J].计算机工程,2003(23):111-112
[4]Hwang K,Xu Z W,Scalable parallel computing technology,architecture,programming[M].New York:Mc Graw-Hill Book Company,1998.
[5]杨鹏.Linux服务器架设[M].北京:清华大学出版社,2008:48.
作者简介:万晓姣(1988—),女,江苏南京人,大学专科,linux系统系统管理员。
Linux系统管理 篇7
在国内, 有不少开源爱好者制作了Moodle一键安装包、Windows环境运行包等简单易用的软件, 为Moodle的普及作出了贡献, 但是在负载、稳定性、安全性等方面都有较大的缺陷。笔者对Moodle的搭建和配置做了较为细致的研究, 并针对目前Moodle2版本的最新情况, 提供了一套基于Linux系统的Moodle2学习管理平台搭建的技术方案和优化方法, 希望能帮助广大教师高质量地搭建Moodle学习管理平台。
一、硬件需求
与普通的Web应用比较, Moodle学习管理平台对服务器的硬件要求较高, 需要对具体情况进行分析与调查, 结合开放的应用服务项目, 预计网络课程的数量, 估算最高用户数和同时在线用户数, 依此确定服务器的主要硬件CPU、内存、磁盘的需求。
根据笔者实际应用情况, 以下参数适合500~1000的并发连接数。服务器CPU的主要衡量参数是主频, 大约需要2颗主频大于2 GHz的CPU才可顺畅运行, 建议使用双核或四核CPU。内存需要为每个连接预备1~3 MB, 因此最好在3 GB以上。硬盘主要考虑的是安全性和读写速度, 目前绝大多数服务器硬盘都采用阵列技术, 根据控制器和硬盘的不同会有多种阵列方式, 如果资金情况允许建议采用SCSI硬盘和SAS阵列技术。
二、系统的选择与安装
虽然Moodle也可以运行于Windows环境, 但是由于Moodle本就是基于Linux开发的, 在稳定性上具有先天优势, 另外Linux系统的性能和安全性也更优越, 并且自由软件成本更低、可信度更高, 因此笔者推荐使用Linux作为Moodle的运行系统。
目前可用的Linux核心系统较多, 例如CentOS, Ubuntu, Gentoo, Redhat, FreeBSD等, 综合统一性、稳定性、持续更新能力、较多技术支持和易上手操作等一般用户的需求, Ubuntu是较好的选择。Ubuntu系统包含桌面版和服务器版, 支持32位和64位架构, 每6个月发布一个新版本, 至截稿时的最新版本是12.10, 长期支持稳定版是12.04.2 LTS, 本文以12.04.2 server版为默认环境, 对于初级用户可以使用桌面版。
从Ubuntu官方网站http://www.ubuntu.org.cn上免费下载Ubuntu 12.04.2 LTS刻成光盘, 通过引导进行安装即可, 与安装Windows类似, 详细安装过程可参考中文支持社区http://forum.ubuntu.org.cn上面的教程。
在安装时要注意记录设置好的IP地址、用户名、密码等, 登录后用sudo passwd root命令设置root密码后用logout命令注销, 重新使用root用户登录, 本文默认环境均为root权限。
由于Ubuntu附带的软件并不能满足Moodle学习管理平台的需要, 因此后面会根据需要再逐一进行安装, 在安装系统时的软件选择, 仅选择第一项OpenSSH server远程管理服务即可。
三、运行环境的选择与安装
Moodle是基于PHP脚本语言编写的, 其基本运行环境包括:安装Web服务器 (Apache, Nginx, IIS等) 、PHP (4.0以上版本) 和MySQL SERVER[1]。目前常见的服务器架构有LAMP (Linux+Apache+MySQL+PHP) , L N M P (L i n u x+N g i n x+M y S Q L+P H P) , LLMP (Linux+Lighttpd+MySQL+PHP) 以及LANMP (Lin ux+Nginx+Apache+MySQL+PHP) 等组合。Nginx具有稳定、功能丰富、安装配置简单等优点, 相比Apache, Nginx使用的资源更少, 支持更多的并发连接, 效率更高[2]。并且LNMP现有的一键安装包比其他组合更完善、更方便, 因此笔者推荐使用LNMP这种运行环境来搭建Moodle2学习管理平台。
安装过程如下:
1.下载完整版, 执行命令:wget-c http://soft.vpser.net/lnmp/lnmp0.9-full.tar.gz
2.解压缩, 执行命令:tar zxvf lnmp0.9-full.tar.gz
3.进入文件夹:cd lnmp0.9-full, 执行安装命令:./ubuntu.sh
(1) 输入要绑定的域名;
(2) 输入要设置的MySQL的root用户名和密码;
(3) 安装InnoDB数据库引擎, 安装输入y回车, 不安装则直接回车;
(4) LNMP脚本自动安装编译Nginx, MySQL, PHP, phpMyAdmin, Zend Optimizer这几个软件。
一段时间过后, 如果显示如图1所示页面, 说明安装成功。在客户端浏览器输入服务器IP地址会显示:恭喜, LNMP一键安装包安装成功!
4.升级PHP
由于LNMP0.9的PHP是5.2.17版本, 而Moodle2的最低要求是5.3.2, 因此要进行版本升级。在lnmp0.9-full目录中执行升级命令:./upgrade_php.sh按提示输入php版本号, 如5.4.11。升级完成后通过客户端访问:http://服务器IP/phpinfo.php, 可以看到PHP相关信息。
LNMP所包含的组件较多, 可以根据需要有选择地进行安装。它有较好的集成环境, 能直接使用LNMP命令进行统一管理, 更为详细的内容可参考其官方网站http://lnmp.org。
四、Moodle2学习管理平台的安装
对于Moodle的安装, 比较常见的是通过客户端远程登录进行安装包上传的方法, 笔者通过实践发现, 通过命令才是最简便的方法, 直接运行命令:
1.下载:wget-c http://ncu.dl.sourceforge.net/project/moodle/Moodle/stable24/moodle-2.4.2.tgz
2.解压到网站目录/home/wwwroot中:tar zxvf moodle-2.4.2.tgz-C/home/wwwroot/
3.打开客户端浏览器开始安装:http://服务器IP/moodle/install.php, 按照步骤完成安装
(1) 选择语言:简体中文;
(2) 确认路径:如果提示无法建立数据目录, 则需要在Ubuntu中手动建立和赋权, 执行以下命令:
mkdir/home/moodledata
chmod 777/home/moodledata
chmod 777/home/wwwroot/moodle
(3) 设置与前面LNMP一致的MYSQL用户名和密码;
(4) 设置Moodle超级用户;
(5) 设置网站信息, 完成安装。
安装完成显示如图2所示页面, 说明Moodle安装成功, 可以开始建立课程。
Moodle2的安装采用引导方式, 正常情况下只要一直按“下一步”就能顺利安装, 但是由于开源环境的特点, 会出现许多意料之外的情况, 例如下载时间过长页面失去反应、图片无法显示等问题, 可以根据具体问题寻找相应答案, 对应情况排除相应问题即可。
五、Moodle2学习管理平台的优化配置
虽然Moodle已安装完毕, 并顺利访问和使用, 但是在实际使用过程中, 还是存在许多不够完善的地方, 对用户体验带来一些负面影响, 需要进行一些必要的优化配置。
1. 运行环境优化配置
(1) 加载PHP加速模块。为了进一步提高Moodle的负载能力, 还需加装一些优化和提升PHP执行效率的程序, 主要加载的程序有eAccelerator, memcached和imageMagick。LNMP0.9已包含这些组件, 进入目录:cd lnmp0.9-full。安装eAccelerator, 执行命令:./eaccelerator.sh, 按提示选择版本, 回车确认;安装memcached, 执行命令:./memcached.sh;安装imageMagick, 执行命令:./imageMagick.sh。这些组件在回车确认后就会自动安装并重启Web服务。
(2) 针对Moodle的应用需求对服务器的运行条件进行调整, 需要对PHP和Nginx进行修改。
修改php.ini文件, 输入命令:vi/usr/local/php/etc php.ini, 主要修改以下这几项的参数:
upload_max_filesize=50m, 允许上传文件大小的最大值;
post_max_size=50m, 指通过表单POST给PHP的所能接收的最大值, 包括表单里的所有值, 默认是8 M;
max_execution_time=600, 每个PHP页面运行的最长时间值 (秒) , 默认30秒;
max_input_time=600, 每个PHP页面接收数据所需的最长时间, 默认60秒;
memory_limit=30m, 定义允许PHP使用内存的最大限额, 默认是8 M;
修改nginx.conf文件, 输入命令:vi/usr/local/nginx/conf/nginx.conf, 在tcp_nopush on下一行输入参数;
client_max_body_size 50m, 允许上传文件大小的最大值。
2. Moodle自身的优化配置
(1) Moodle对中文的支持在2.4.2版本中已得到很大的改进, 但是由于各个运行组件之间的差异, 还是难免会出现问题。如果是Moodle页面出现中文乱码, 可以将moodle/php文件夹内的php.ini文件中的default_charset="iso-8859-1"改为default_charset="utf-8";如果是学生的上传文件, 文件名的中文部分会变为“_”, 须修改Moodle目录下的config.php文件, 在该文件中添加如下参数:$CFG->unicodecleanfilename=true。
(2) Moodle上的服务器时间如与本地时间不一致, 可以通过网站管理菜单中找到位置→位置设置, 将默认时区由“服务器当地时间”改为“UTC+8”。
Moodle2学习管理平台的优化配置是根据实际需要进行的, 不是运行Moodle2的必要设置, 可以根据需要参考使用。本文有些配置涉及系统关键文件的修改, 建议先用虚拟机系统测试成熟后再应用到运行系统上。另外server版本使用命令行模式, 建议使用者系统学习命令行的使用, 为以后的系统管理打下基础。
六、结束语
本文对如何快速、高效、高质量地搭建Moodle2学习管理平台进行了较为详细的论述, 并对运行环境和Moodle进行了优化配置, 提高了运行的效率, 解决了一些应用中的问题。在笔者的实践中, 一台普通服务器 (基本配置:P2.5G/3G/76G) 承载两个教学班 (每班46人) 同时使用没有压力。利用本文思路搭建的Moodle学习管理平台获得了较佳的性能, 如何把它用好则还需要学习Moodle的其他相关内容。
参考文献
[1]郭小锋.基于Nginx的高负载Moodle网络教学平台的构建[J].软件导刊, 2008 (11) :166-168.
Linux系统管理 篇8
关键词:Linux教学,VMware,虚拟镜像文件,BIND服务器组件,C/S模式
1 概述
Linux操作系统管理课程是计算机网络技术专业的专业核心课程,具有较强的实践性,对实验环境有较高的要求。其主要教学内容是以Red Hat Enterprise Linux 5.0 Server网络操作系统为平台对主流网络服务器的进行配置、维护与管理,以及利用简单的网络互联设备,组建和管理局域网,侧重于对网络服务设计的实用性与应用的职业操作技能的学习[1]。为了解决各高校招生规模的不断增长与学校的实验设备投入资金有限的矛盾,在教学过程中引入VMware虚拟机软件去构建Linux OS实验平台,既能较好的提高教学效果,激发学生的学习兴趣,又可节约实验设备的资金投入[2]。通过Vmware虚拟机构建Linux实验操作平台,能够让本课程设计的所有的项目化实验在虚拟镜像环境下,不损害宿主操作系统地反复进行,有助于学生操作技能的熟练,可以完成一些因实验经费与条件投入不足等因素无法实施的课程实验项目,设计更加丰富的实验内容[3]。
2 VMware虚拟机介绍
VMware是为在一台物理计算机上模拟出一到多台虚拟计算机而设计的软件。每个虚拟出的计算机都具备完整的硬件系统功能,可以像真实的计算机一样进行各种工作,例如安装新的操作系统、安装各种应用软件、与网络资源进行交互,存储数据等等,是一个运行在完全隔离镜像环境下的完整的计算机系统[4]。该软件还可以虚拟出网络通信模式,例如虚拟机的Bridge模式,相当于虚拟出一台交换机,将宿主计算机与个虚拟出的计算机同时接入在一台交换机上,这样就使得宿主计算机与多台虚拟出的计算机之间进行通信,从而用一台物理机虚拟组建了一个小型的局域网环境[5]。宿主计算机作测试机客户端,而虚拟机作配置服务器,这样就可以把一台物理机可以当多台计算机使用,既减少了实验设备的资金投入,又为Linux操作系统管理课程的实践教学提供了较好的实验条件[6]。
3 VMware虚拟机对本课程教学的作用
在Linux操作系统的管理课程教学中使用VMware软件的主要优势如下:
1)大部分学校的计算机实验室安装的操作系统是Windows系列的操作系统,专业的Linux实验机房使用用户单一,管理维护较为复杂,使用VMware软件可在普通机房的操作系统里构建虚拟的Linux操作平台,降低了构建教学环境的难度;
2) 未装VM的实验这部分内容也只能让教师通过多媒体课件进行讲解,效果不佳,而VMware虚拟机可以模拟真实物理机几乎所有的操作,教师可将本课程的所有项目,例如Linux系统安装,硬盘分区的操作完整地向学生演示,学生也可通过虚拟机亲自操作,这样可提高教学效果,加强学生这方面的职业操作技能;
3) 使用VMware构建的系统,是以镜像的形式存储在计算机上的,对虚拟的Linux系统进行的任何编辑不会影响计算机本身的系统,用户可更大胆的去做深入到系统编辑相关实验,有助于更深入的学Linux OS,镜像文件可完整地移植到另外的计算机上,方便学生利用课外时间学习本课程;
4) Linux操作系统管理课程项目要求学生在装有Linux的服务器上作配置与管理操作,在一些客户机上对所配置的服务进行测试,反复调试。使用VMware可以虚拟出多台计算机,网络通信设备,将宿主计算机作为客户端,虚拟机作为服务器,这样用一台物理机,就可以进行C/S;B/S模式调试,满足课程所有实验条件的要求,并提高实验效率。
4 VMware虚拟机在本课程项目化教学中的应用
建立好VMware实验环境后,可以用一台计算机实施Linux服务器的管理课程的项目化实验。以下是在安装Linux OS的虚拟机的计算机实验室中可开展的主要实验项目的介绍。本课程教学的14个组成项目分别是:(1) Linux系统简介及安装;(2) RHEL5图形字符界面基本操作;(3) 文件和目录的管理;(4)用户与文件权限的管理;(5) 磁盘管理;(6) 网络配置与软件包管理;(7) Samba跨平台资源共享的管理;(8) DHCP服务器的配置与管理;(9) BIND域名解析服务器的配置与管理;(10)Apache服务器的配置与管理;(11) My SQL数据库服务器的配置与管理;(12) vsftpd FTP服务器的配置与管理;(13) Postfix与Dovecot邮件服务器的配置与管理;(14) 防火墙与squid代理服务器的搭建。使用Vmware软件构建的实验平台可以确保这些实验项目的顺利实施, 对于学生理论知识的学习,职业实践操作技能的提高有着很好的的指导作用[7]。
4.1 Linux虚拟机的创建与系统的安装
在宿主操作系统中安装Linux虚拟机与操作系统的步骤如下[8]:
1)从网上下载VMWare软件,进行安装,安装完毕后打开VMWare进入引导主界面;
2) 单击“新建虚拟机”选项,进入“新建虚拟机向导”相应窗口;
3) 单击“下一步”按钮,在弹出的“虚拟机配置”对话框中,单击“典型”按钮,选择建立典型的虚拟机;
4)单击“下一步”按钮,在下一个窗口中的“选择一个计算机的操作系统”对话框中,选择相应的操作系统及其版本号,这里选择本课程需要的“Linux”操作系统,并在版本下拉列表中选择“Red Hat Enterprise Linux 5.0”;
5) 单击“下一步”按钮,在弹出的“虚拟机名称”对话框中,设置一个好记的虚拟机的名称。本例在该对话框中输入“RedHat Enterprise Linux 5”,并选择保存该系统的路径;
6) 单击“下一步”按钮,在弹出“网络类型”对话框中,选择虚拟机使用的网络类型,本课程所需要的桥接(Bridge)模式;
7)单击确定,完成虚拟机的创建;
8) 定位Linux安装光盘镜像位置,将其导入至虚拟机的光驱中;
9) 开启虚拟机,按照安装光盘提示进行全新的Linux操作系统的安装,至图1所示界面,表明已将Linux操作系统成功的安装在虚拟机中了。
这样虚拟机与宿主操作系统构成一个小型局域网,装有Linux 0S的虚拟机是服务器作为学习本课程的配置端使用,宿主操作系统(如Win7) 作客户端使用,用以测试服务器端的配置管理操作是否正确合理,这样就可以用一台物理机当多台计算机使用,提高实验效率。
4.2 VMware 在 BIND 域名解析服务器的配置与管理项目中的应用
使用VMware软件实施本课程教学项目主要分为五个步骤:
1) 构建项目实验条件,配置虚拟机的网络参数,使之与宿主系统构成一个小型局域网,并可相互通信;装有Linux 0S的虚拟机做服务器,宿主操作系统(如Win7) 做客户端测试,如宿主操作系统的配置地址是172.16.0.10/24,虚拟机的网卡需设置为Bridge模式 ,并在Linux里配置地 址统一网 段的地址172.16.0.20/24,在Linux虚拟机中配置网卡地址其过程如下:
(1)在终端模式下键入vim /etc/sysconfig/network-scripts/if-cfg-eth0;
(2) 进入VI编辑模式配置选项:BOOTROTO=static,IPAD-DR=172.16.102.20,NETMASK=255.255.255.0;其他项目 可不变,保存退出;
(3) 使用service network restart将网卡重启使配置生效。
2) 安装BIND域名服务器相关的组件,bind-9.3.6-4.P1.el5_4.2.i386.rpm,bind- chroot- 9.3.6- 4.P1.el5_4.2.i386.rpm,Linux服务器相关组件的默认路径在光盘里的Server文件夹中,可在虚拟机的Linux OS中通过指令“mount /dev/cdrom /mnt”挂载光驱,在通过指令“rpm—ivh /mnt/Server/(相关服务器组件名称)”进行服务器的安装。
3) 编辑服务器相关配置文件
(1)在虚拟机Bind域名服务器的主配置文件“var/named/ch-root/etc/named.conf”中设置服务侦听地址是172.160.0.10:53并其末尾增加如下程序段:
zone“test.net”IN { //申明正向查找区域
type master;
file“test.net.zone”;
allow-update { none; };
zone“0.16.172.in-addr.arpa" IN { //申明该区域为反向查找区域
type master;
file“test.net.zero";
allow-update { none;}
};
(2) 编写相应的正向与反向区文件:”/var/named/chroot/var/named/test.net.zone”,
”/var/named/chroot/var/named/test.net.zero”, 建立域名 与IP地址对应的数据接;
(3) 执行指令”service named restart”使配置生效。
4) 调试程序,主要是通过服务检查指令查看服务在启动过程中是否报错,若出现差错根据反馈的信息修改配置文件中的出错的程序段,进行反复调试,直到重启服务成功为止。
5) 用宿主客户端测试Linux虚拟机服务器是否能提供任务所要求的服务结果,如图2所示,说明结果正确,完成该项目。
若一些测试结果为达到任务要求则进入虚拟机进行反复修改,直到达到任务要求为止。
5 结束语
在Linux操作系统管理课程教学中使用例如VMware虚拟机软件组建实验平台,不仅节约设备的资金投入,方便实验室管理,还可以在宿主计算机上完整地模拟出Linux服务器,进行更加丰富的教学项目设计,操作演示等教学活动,提高本课程的教学质量。VMware软件还具备较强的网络组建与互联,虚拟存储等方面的功能,后续还将深入这方面研究,以对课程进行进一步地开发。
参考文献
[1]刘若惠,毛莺池.祁翔.Linux操作系统[M].北京:人民邮电出版社,2012.
[2]包敬海,周小珠,樊东红.基于VMWare构建虚拟网络实验室的研究[J].计算机技术与发展,2010,2(6):242-245.
[3]徐家良,陈晓峰.基于VMware Server的课程群实验平台的应用[J].实验科学与技术,2011.9(4):55-57.
[4]李捷.浅谈虚拟机在计算机网络教学中的应用[J].广西轻工业,2010(2).
[5]虚拟机概念详解.虚拟机之家.http://www.xuniji.com.
[6]刘兵.计算机网络实验教程[M].北京:中国水利水电出版社,2011.
[7]王春海.VMWare虚拟化与云计算应用案例详解[M].北京:中国铁道出版社,2013.
Linux系统管理 篇9
Windows操作系统是目前很适用的一种操作系统,但由于它是商业产品,不仅源码不公开,而且对系统开发用户提供的应用编程接口也很有限,更不能对系统进行量身定制式的自由配置。而Linux操作系统下有丰富的、免费的、经实际检验表明性能良好的开放源码软件可供使用,开发者可以根据需要对系统做自由配置,从而在服务器领域得到广泛的使用。我校开设《操作系统》实验课程用的是Linux开源码,因此在实验室同时安装有这两种操作系统,但这两种操作系统天然的差异性使得管理这两种服务器难度很大。为提高资源利用率,如何在不同的操作系统之间方便地共享和管理它们,如何提高实验室的利用效率是我们关心的问题。本文就如何运用Samba技术实现Linux和Windows操作系统间的文件共享和文件管理,提出一种简单实用的解决方案。
1 Linux和Windows服务器的融合
为了实现Linux和Window异构系统间的文件共享,我们采用Samba使得Linux上的Samba客户端可以访问Windows服务器上的共享文件资源。Samba允许Linux系统共享Windows系统上的资源,Linux计算机用户通过Smbfs文件系统就能够把一个远程的Windows系统上的SMB共享子目录挂装到自己的文件系统上,像本地系统上的子目录那样访问。在管理系统实现时,考虑到Windows服务器本身已经集成了Samba服务器端,可以很方便地开启Samba服务器功能对Linux服务器开放共享磁盘分区而不需要额外安装配置NFS服务器端软件。因此,本文选择了Samba来实现Linux和Window异构服务器系统间的文件共享。
2 安装Samba
(1)关掉所有的SMB进程
ps-x检查系统中是否存在smbd和nmbd进程。
/etc/rc.d/init.d/sb stop关掉所有的SMB进程。
(2)安装新的Samba(假定在/ad/study目录下)
rpm-I//ad/study/smbfS-2.0.7-20000425.i386.rpm。
(3)启动Samba
安装成功后,手工启动如下:
如果需要使用Samba服务器在inetd中执行,则可以在/etc/inetd.conf文件中加入下述语句:
(4)运行
3 配置Samba
Samba安装好后,就会在/etc目录下产生一个smb.cord和一个Samba子目录,同时在Samba目录下也有一个默认的smb.conf。Samba的配置信息都存放在smb.conf文件中,配置Samba主要就是设置smb.conf文件的内容,“说明”某些可以被其他系统访问的资源,具体有哪些资源要在Samba的配置文件/etc/smb.conf中进行配置。在大规模的网络,smb.conf文件可能相当复杂,但对于小网络,只要把每个需要共享的目录或资源加入几行内容到smb.conf文件就可以了。
(1)smb.conf文件的组成
以“#”号开头的注释行;
以“;”号开头的注释行;
各个配置字段如:[homes],[global],[printers],[public]等。
(2)配置smb.cord文件
用vi编辑器编辑smb.conf文件:
guest ok
配置信息分为四个部分:第一部分是全局参数区[gloabls],设置的是一些共用信息;第二部分是资源共享区,设置服务器输出的目录资源和打印资源;第三部分是目录共享设置;第四部分是cdrom共享设置。
(3)测试并绑定
在修改完smb.conf后必须用testparm命令测试一下,并将smb.conf与Smaba的服务捆绑在一起。
命令:testparm
如果smb.conf中有语法错误,该命令就会显示出来。每一次修改了smb.conf后都要执行一下testparm命令,并要重新启动系统。
(4)说明
workgroup记录可使该台Linux主机添加到某一个工作组中或某个NT域中。
netbios name记录是让Windows在网络邻居中可以看到一个名为smbserver的主机。
security记录用于设定访问属性,本例中设定为共享级访问。
guest ok记录用于设定是否允许所有的Windows主机用guset用户来访问Linux主机,不需要密码就可以使用该共享资源。
path用于设定共享资源,本例中将/tmp设置为共享。
(5)添加Samba服务器的用户
配置完smb.conf后,还需要添加Samba服务器的用户。因为Samba默认的安全级是用户级(security=user),所以Samba用户必须是Linux系统用户。以root用户登录,添加Linux用户,并设定密码:
把用户smbuser加入到Samba服务器用户中并设定密码:
重新启动Samba服务器,这时从Windows机上可以浏览和访问Linux上的资源。
4 配置Windows XP
(1)设定用户密码。从控制面板打开“密码”,在“用户配置文件”下启动“用户可以定制自己的参数”,在“设置密码”下面为自己设置一个用户名和密码(注意要确保这里设置的内容和访问Linux系统时使用的名字一样)。
(2)添加打印机。在Linux机器上把打印机指定为共享的Samba资源,就可以从Windows系统访问这个打印机,但要把它加入到Windows的可用打印机列表中。
5 启动和测试Smaba
利用ntsysv将Samba服务器加上,在系统每一次启动时就会自动启动Samba。用一台Windows的主机以guest用户登录,打开网络邻居,看能不能找到SmbServer并且打开SmbServer共享其中的资源。如果能找到SmbServer且能够共享其中的资源,说明成功了,否则失败。
6 结束语
利用Smaba协议,可以方便地实现Windows文件资源为Linux所共享,通过文件共享和跨平台操作可实现Linux和Windows服务器的巧妙管理。
摘要:高校实验室现在的网络服务器主要采用Linux和Windows操作系统,针对这两种异构服务器统一管理的需要,本文通过Samba实例探讨如何实现Linux和Windows XP之间的资源共享。
关键词:异构服务器,文件共享,Samba
参考文献
[1]Don Libes Expect:A Tool For Automating In-teractive Programs,2008-7-30.
[2]EviNemeth,Grath Snyder,Trent R Hein.Linux administration handbook[M].北京:人民邮电出版社,2007.
[3]Mark Minasi,Christa Anderson,Michele Bev-eridge著.马树奇,金燕译.Windows Server2003从入门到精通[M].北京:电子工业出版社,2009.
[4]钟志文,徐国安.Linux和Windows服务器的统一管理初探[J].计算机应用与软件,2010(,1).
Linux系统管理 篇10
Linux操作系统是正在蓬勃发展的自由软件[1], 在全世界范围内正获得越来越多的公司和团体的支持。以美国为首的发达国家, Linux早已涉足政府办公、军事战略以及商业运作等方面。在我国, Linux的起步相对较晚, 只是应用在一些诸如政府、军队、金融、电信和证券等比较重要的行业。随着Linux在各个行业广泛的成功应用, 企业对Linux人才的需求也将持续升温。Linux与不开源代码的操作系统之间的区别在于开放源代码开发过程本身, 由于每个用户和开发者都可以访问其源代码, 因而有很多人都在控制和审视源代码中可能的安全漏洞, 软件缺陷很快会被发现。因而Linux以其可靠性、稳定性、可扩展性、可管理性等性能, 得到绝大多数用户的认可。
目前安徽省电力公司电力营销系统、PMS等系统均采用Linux操作系统, 这些系统在生产运营和对外服务方面都起到了举足轻重的作用, 关系到电力企业的生产运营, 因此在信息系统运行维护过程中需要着重做好这些主机服务器操作系统本身的安全防护。文章汇总了国网安徽省电力公司信息安全督查过程中对Linux (Red hat Linux) 操作系统的安全管理方法, 为保障电力企业重要信息系统安全提供了理论依据和实践经验。
1 GRUB的安全管理
Linux默认选择GRUB (GRand Unified Bootloader) 作为引导装载程序[2]。GRUB是一个多重启动管理器, 可以在多个操作系统共存时选择引导哪个系统。GRUB功能强大, 用户能够在启动时修改内核参数, 并且提供了一个MINI命令行接口, 灵活控制启动过程, 这也带来了安全问题, 即可采取单用户模式绕开身份认证。
在GRUB启动界面中, 按c键可以进入命令模式:
在kernel语句最后输入“single”或者1, 就可以绕开身份认证进入单用户模式:
在kernel语句指定内核参数init=/bin/sh, 也可以绕开身份认证直接获取shell:
开启服务器或重新启动服务器后, 会进入GRUB引导程序菜单界面, 因此需要设置GRUB开启系统密码, 有2种方法设置GRUB开启系统密码:一种是直接在GRUB配置文件中加密, 但此时设置的密码能在GRUB配置文件/etc/grub.conf中直接看到, 因而安全性不够;另一种方法是通过md5进行加密和校验, 这种方法值得推荐, 在安全方面能够得到保证, 方法如下。
1) 用grub-md5-crypt生成GRUB的md5密码。
2) 更改配置文件如下。
3) 重新启动计算机, 在GRUB界面下输入p, 正确输入密码后, 才能对启动过程进行干预。
2 用户密码与文件管理
2.1 用户密码策略
/etc/login.defs是设置用户账号限制的文件[3], 在这里可配置密码的最大过期天数、密码的最大长度约束等内容。该文件的配置对root用户无效。如果/etc/shadow文件内有相同的选项, 则以/etc/shadow的设置为准, 也就是说/etc/shadow的配置优先级高于/etc/login.defs, 强制用户定期改变密码, 设置所有活跃账户 (除了系统账户) 强制更改密码, 例如:每90天 (-M 90) , 下次允许更改密码之前最少的天数7天 (-m 7) , 用户在密码过期前28天收到警告 (-W 28) 。一旦密码过期, 账户将被锁定7天 (-I 7) 。最后, 密码最小长度为6。这是一些建议, 需要根据实际情况在/etc/login.defs进行调整。
修改/etc/login.def文件
特定账号的密码时效可以通过chage命令来管理。参数如下。
-m密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M密码保持有效的最大天数。
-W用户密码到期前, 提前收到警告信息的天数。
-E账号到期的日期。超过该日期, 此账号将不可用。
-d上一次更改的日期。
-i停滞时期。如果一个密码已过期这些天, 那么此账号将不可用。
-l列出当前的设置。由非特权用户用来确定他们的密码或账号何时过期。
以下是通过chage命令管理密码时效的例子:
2.2 文件管理
在Linux系统中, 每一个文件和目录都具有访问控制权限, 这些访问控制权限决定了谁能访问和如何访问文件和目录。在对Linux操作系统进行安全防护的过程中应尤为注意文件权限的管理方式, 必须深入熟练地理解文件访问权限的表示方法, 掌握如何改变文件的访问权限的方法以及文件的特殊权限及其设置方法。
2.2.1 suid、sgid、sticky权限位设置
文件权限设置除了rwx外, 还具有特殊权限设置[4]。特殊权限分为3种:suid、sgid与sticky。使用文件特殊权限可以使普通用户以root权限执行某些程序, 从安全角度考虑应严格控制系统中的此类程序。
文件设置suid位, 表示文件以root用户身份执行;设置sgid, 表示文件以root用户组的身份执行;设置sticky位, 表示文件只能由root和文件所有者修改。
目录设置sgid, 表示该目录下创建的所有文件的用户组都和该目录的用户组相同;设置sticky位, 表示该目录下的文件只能由root和文件所有者删除。
要特别留意具备suid权限的文件, 黑客经常利用这种权限, 以suid配上root账号, 在系统中开扇后门, 供日后进出使用, 因而用户若无特殊要求, 不应启用这些权限, 避免安全方面出现严重漏洞, 造成黑客入侵而破坏系统。
2.2.2 文件权限acl管理
getfacl列出文件的对应aclsetfacl, 设置文件对应的acl, 例如:
2.2.3 ext文件系统属性检查与设置检查文件的attr属性:lsattr。
设置文件的attr属性:chattr+/-i a, i表示文件不能被修改, a表示文件只能追加内容, 不能修改已有内容。
3 iptalbes防火墙配置
Linux提供一个实用命令iptables, 可用于添加、编辑和除去规则[5], 这些规则是在做信息包过滤决定时, 防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中, 而这些表集成在Linux内核中。在信息包过滤表中, 规则被分组放在链 (chain) 中。iptables与链的关系如图1所示。
3.1 iptables处理icmp协议
具体实现方法如下:
3.2 iptables处理TCP/UDP协议
具体实现方法如下:
3.3 只允许服务器本机向外部ping, 开放80端口的实例
具体方法如下:
4 Linux网络服务安全管理
传统的网络服务程序, 如FTP、POP和Telnet在本质上都是不安全的, 因为它们在网络上用明文传送口令和数据, 非常容易截获这些口令和数据。而且, 这些服务程序的安全验证方式也有其弱点, 即很容易受到“中间人” (man-in-the-middle) 这种方式的攻击。所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收传给服务器的数据, 然后再冒充身份把数据传给真正的服务器。数据传送被“中间人”做了手脚之后, 就会出现很严重的数据泄露问题。
通过使用安全外壳协议 (Secure Shell, SSH) , 可以把所有传输的数据进行加密, 这样“中间人“这种攻击方式就不可能实现, 而且也能够防止DNS欺骗和IP欺骗。使用SSH, 还有一个好处是传输的数据是经过压缩的, 可以加快传输的速度。
SSH有很多功能, 既可以代替Telnet, 又可以为FTP、POP甚至为PPP提供一个安全的通道。
4.1 配置安全的SSHD
4.1.1 限制root不能用SSH登录
SSHD默认允许root账号登录, 这样的设定不够安全, 需把其修改为禁止root从SSHD登录, 方法如下:
修改/etc/ssh/sshd_config, 把#Permit Root Login Yes设置为Permit Root Login no。
4.1.2 允许特定用户或群登录SSH
以下是允许my_name用户及my_group群登录:
设定此项后, 即使能够输入正确的密码, 也会被系统禁止登录, 例如:
说明:
如果添加此项后, 只有在Allow Users列表中的用户才能从SSH登录。
编辑/etc/ssh/sshd_config
注释掉Banner/some/path即可禁用旗标
修改默认的SSH 22端口为30000端口:port30000
设置协议版本为2:Protocol 2
#禁止root从sshd登录, 设置Permit Root Login no
#只允许特定的用户、用户组登录:
4.2 apache服务加固
4.2.1 访问控制
在对应的
以上禁止用户访问Web目录之外的文件。
以上允许10.0.0.0段用户访问Web。
4.2.2 Web目录访问权限
将Options indexes flollowsymlinks行修改为optinos none或者opetions–indexes-followsymlink
indexes:在网站目录下没有默认文档 (index.html) 时, 不列出目录下文件列表。
flollowsymlink:禁止在网站目录下使用符号连接连到其他地方。
4.2.3 隐藏apache版本信息
修改httpd.conf如下:
4.2.4 防范拒绝访问攻击
修改httpd.conf如下:
5 结语
本文依据国家电网公司关于信息系统安全等级保护的相关规定, 通过Linux操作系统的GRUB的安全管理、用户与权限管理、iptables防火墙配置、网络服务加固等安全管理方法, 有效增强了安徽省电力公司电力营销系统、PMS系统主机服务器操作系统本身的安全性, 这些方法均在实际工作中得到验证, 并取得良好的应用效果, 满足国家电网公司信息安全等级保护要求, 顺利通过中国信息安全测评中心能力鉴定认可。
摘要:针对国家电网公司信息安全等级保护中关于主机操作系统的相关要求, 文章汇总了Linux操作系统的安全管理方法, 包括GRUB的安全管理、用户密码与文件管理、iptables防火墙配置、网络服务加固。经过测试、验证, 将这些方法因地制宜运用到安徽省电力公司的相关信息系统中, 实现了对Linux操作系统的安全防护, 满足了国家电网公司信息安全防范要求, 并已取得了良好的应用效果。
关键词:信息安全,Linux,操作系统,安全管理
参考文献
[1]韦文思, 徐津.信息安全防御技术与实施[M].北京:电子工业出版社, 2009.
[2]陈胤, 唐云廷, 麻志勇, 等.Linux信息安全实用教程[M].北京:科学出版社, 2007.
[3]红帽软件 (北京) 有限公司.Red Hat Enterprise Linux系统管理[M].北京:电子工业出版社, 2008.
[4]BOVET D P.深入理解Linux内核[M].北京:中国电力出版社, 2012.
相关文章:
Linux开发系统02-27
linux中./configure命令参数解析linux操作系统02-27
在Linux中如何恢复被删除的文件02-27
linux中shell 循环处理每天数据linux操作系统02-27
linux系统移植02-27
士兵休假情况说明范文02-27
如何在linux网卡上添加多个IP02-27
linux下rsync实现自动增量备份linux操作系统02-27
黑马程序员PHP培训教程:Linux安装02-27
