Администрирование информационных систем

Unix (Solaris 9)

Задачи

• Основные команды UNIX

• Управление правами доступа

• Управление пользователями

• Администрирование серверов и клиентов NFS

Краткое описание основных команд Unix

• Команда справки man

• Для получения справки по той или иной команде воспользуйтесь командой man. В ответ открывается несколько, сменяющих друг друга экранов описание нужной команды. Если не помните точно имени нужной команды, введите команду man с параметром -k, затем ключевое слово для поиска нужной команды. Система выполнит поиск в своих файлах справки, содержащей это ключевое слово.

• Например, если ввести команду man ls, выведется на экран справка о команде Is, в том числе обо всех ее параметрах. По команде man -k ls выводится список всех команд, в справке, о которых есть слово ls.

Команды для работы с каталогами• В Unix есть много команд для работы с каталогами.

Смена текущего каталога с помощью команды cd• В Unix, как и в DOS, файлы хранятся в каталогах, организованных в

древовидные структуры. Файл можно указывать в виде пути из корневого каталога, обозначаемого символом /, до файла. Таким образом, полное имя конфигурационного файла .emacs, при надлежащего пользователю jack, может иметь вид /home/ jack/.emacs.

• В Unix есть понятие рабочего каталога пользователя. Рабочий каталог обычно обозначается символом ~ (тильда). Например, команда копирования файла из текущего каталога в рабочий может иметь вид ср .emacs ~

• Для перемещения по дереву каталогов Unix применяется команда cd. Для перехода в рабочий каталог эта команда вводится без параметров. Для перехода из одного каталога в другой формат команды тот же, что и DOS: cd new-directory, где new-directory — новый каталог, в который следует перейти.

Вывод информации о файлах и каталогах с помощью команды ls

• ls — сокращение от list (список). В Unix по этой команде на экран выводится список файлов. Это аналог команды dir из DOS для вывода списка файлов в каталоге.

• Чтобы указать, как именно выводить список файлов, каких файлов и с какой информацией о файлах, придется ввести команду ls с параметрами. Чаще всего применяется параметр -lа, по которому выводится полная информация о каждом файле каталога. По команде ls -la выводится подробная информация о файлах текущего каталога. По команде Is emacs выводится только имя этого файла, по команде же Is -la emacs — полная информация о нем.

Создание каталога с помощью команды mkdir• Поскольку структура каталогов составляет основу файловой

системы, в Unix имеется также команда создания каталога mkdir. В отличие от DOS, где можно воспользоваться псевдонимом данной команды MD, в Unix надо вводить ее полное имя. В качестве пара метра указывается имя создаваемого каталога, как в следующем примере: mkdir backup

Удаление каталогов с помощью команды rmdir• Каталоги в Linux удаляются с помощью команды rmdir, в

качестве параметра которой указывается удаляемый каталог. Unix может удалить только пустой каталог. Например, если в каталоге /backup есть два подкаталога, команда rmdir /backup выполнена не будет. Чтобы удалить один из подкаталогов — /jack, — сначала по команде rmdir /backup/jack/* из него удаляются все файлы, затем с помощью команды rmdir /backup/jack — он сам.

Команды работы с файламиСоздание файлов с помощью команды touch• Синтаксис команды:

touch new-filenameгде new-filename — создаваемый файлКопирование файлов с помощью команды ср• Команда ср аналогична команде copy из DOS. Она применяется для

копирования одного или нескольких файлов из одного каталога в другой. • Синтаксис команды:

ср from-filename to-filename• где from-filename — исходный файл; to-filename — файл, в который

происходит копирование. • Чтобы команда была выполнена, надо указать оба параметра. Чтобы

скопировать файл с тем же именем в качестве второго параметра, ставится точка (.).

• По команде ср fredl fredl.old создается резервная копия файла fredl с именем fredl.old. По команде же ср ~fredl.old /backup/jack файл fredl. old копируется из рабочего каталога в каталог /backup/jack. Рабочий каталог представлен символом ~.

Перемещение файлов с помощью команды mv

• По команде mv, аналогичной команде move из DOS, файлы перемещаются из одного каталога в другой. Действие этой команды аналогично действию команды копирования с последующим удалением исходных файлов. Команда mv не создает копий файлов.

• Синтаксис команды mv:

mv from-filename to-filename

• где from-filename — исходный файл; to-filename — новый файл.

• По команде mv fredl |redl.old создается резервная копия файла fredl с именем fredl.old, затем удаляется исходный файл |redl. По команде же mv -fredl.old /backup/jack файл fredl.old перемещается из рабочего ката-уга в каталог /backup/jack.

Удаление файлов с помощью команды rm

• Файлы в Unix удаляются по команде rm. Это опасная команда, потому что удаленный файл восстановить невозможно. Для безопасной работы следует пользоваться следующим форматом этой команды:

rm -i filename

• здесь filename — имя удаляемого файла; -i — параметр, указывающий на необходимость подтвердить удаление файла.

• Например, по команде rm fredl файл fredl будет просто удален, по команде же rm -i il он будет удален только после подтверждения пользователем необходимости удаления.

Вывод содержимого файла с помощью команды more

• По команде more на экран выводится содержимое текстового файла, при этом нет необходимости запускать текстовый редактор, распечатывать файл или нажимать клавишу паузы во время вывода текста на экран. Например, для вывода на экран содержимого конфигурационного файла emacs вводится команда:

more .emacs

• Недостаток этой команды в том, что невозможно пролистать информацию в обратном направлении. Но, этот недостаток устранен в других командах, которые мы рассмотрим ниже.

Команда поиска файлов find• Если вы не можете найти требуемый файл с помощью команды ls,

воспользуйтесь командой find. • Если вы знаете имя файла, но не знаете, где он находится в структуре

каталогов UNIX, то самым простым способом использования команды find для поиска такого файла будет команда:

find / -name filename -print• Будьте осторожными при поиске от корня — в больших системах

такой поиск может занять слишком много времени, так как будет просматриваться каждый каталог, каждый диск, включая подключенные сетевые диски.

• Возможно, более приемлемым будет поиск по нескольким каталогам. Например, если вы знаете, что файл, вероятнее всего, находится в каталогах /usr или /usr2, воспользуйтесь следующей командой:

• find /usr /usr2 -name filename -print• В команде find можно использовать множество различных

параметров. Список параметров команды можно получить с помощью man find .

Управление правами доступа

• Для файла и каталога операционной системы UNIX назначаются 3 уровня полномочий доступа, предназначенных для управления доступом со стороны владельца данного файла, его группы или всех остальных пользователей.

• Для отображения полномочий применяется команда ls –la.

• Для управления доступом к файлам и каталогам следует использовать следующие команды:

• chmod – изменяет полномочия доступа к файлу

• chown - изменяет принадлежность файла

• chgrp – изменяет группу, владеющую файлом

Управление пользователями

• Команды управления учетными записями:

• useradd - добавляет новую учетную запись пользователя

• usermod – модифицирует учетную запись пользователя

• userdel – удаляет учетную запись пользователя

• groupadd – добавляет новую группу

• groupdel – удаляет группу

• groupmod – модифицирует группу

Администрирование серверов и клиентов NFS

Среда NFS

• Операционная система Solaris 9 предоставляет NFS (Network File System), чтобы разделять данные между системами через сетевое оборудование.

• Серверы NFS разделяют ресурсы, чтобы они могли быть использованы клиентами NFS.

• Операционная среда Solaris позволяет разделять каталоги и представлять их пользователям таким образом, как если бы эти каталоги были локальными на системах пользователей. Однако системный администратор должен обеспечить, чтобы только авторизованные пользователи имели бы доступ к совместно используемым ресурсам некоторого сервера.

• Служба NFS позволяет компьютерам с различной архитектурой, работающим под управлением различных операционных систем, совместно использовать файловые системы через сеть.

• Точно так же, как команда mount позволяет монтировать файловую систему на локальном диске, NFS позволяет монтировать файловую систему, находящуюся на Другой системе в любом месте сети.

• Каждая ОС применяет модель NFS к семантике собственной файловой системы.

• Операции над файловой системой, такие как чтение и запись, выполняются так же, как если бы это были операции доступа к какому-нибудь локальному файлу. Время реакции в данном случае может быть более медленным из-за сетевого трафика, однако соединение является прозрачным для пользователя вне зависимости от аппаратных средств или операционной системы.

Служба NFS обеспечивает следующие преимущества:

• Позволяет нескольким компьютерам использовать одни и те же файлы таким образом, чтобы любой пользователь сети мог бы получить доступ к одним и тем же данным. Это исключает необходимость хранения одинаковых данных на нескольких системах.

• Уменьшает затраты на хранение информации за счет того, что компьютеры получают возможность совместного использования приложений и данных.

• Обеспечивает целостность и достоверность данных, поскольку все пользователи могут читать один и тот же набор файлов.

• Делает процесс монтирования файловых систем прозрачным для пользователей.

• Делает доступ к дистанционным файлам прозрачным для пользователей.

• Поддержка гетерогенной среды.

Серверы и клиенты NFS

• В среде NFS системы поддерживают взаимоотношения по модели "клиент-сервер". Сервер NFS — это то место, где размещается конкретная файловая система. Любая система, имеющая какую-нибудь локальную файловую систему, может быть сервером NFS.

• Системный администратор конфигурирует сервер NFS таким образом, чтобы сделать его файловые системы доступными другим системам и пользователям.

• Системный администратор имеет полный контроль над тем, какие файловые системы могут быть смонтированы и кто может монтировать их.

• Клиент NFS - это система, монтирующая какую-нибудь дистанционную файловую систему с некоторого сервера NFS.

• Одна и та же система может быть как сервером, так и клиентом NFS.

• Для обращения к своим службам NFS использует несколько демонов. Эти службы инициализируются при запуске из стартовых сценариев /etc/initd/nfs.server и /etc/init.d/ nfs.clients. Наиболее важные перечислены в таблице:

Демоны службы NFS

nfsd Демон сервера NFS, который обрабатывает запросы с дистанционных систем на экспортирование файловых систем и предоставление досту па к файлам. Сервер NFS запускает несколько экземпляров данного демона. Рассматриваемый демон обычно вызывается на уровне запуска 3 из стартового сценария /etc/init.d/nfs.server

mountd Демон сервера NFS, обрабатывающий запросы на монтирование от клиентов NFS. Этот демон также предоставляет информацию о том, каким клиентом какие файловые системы монтируются. Для просмотра этой информации воспользуйтесь командой showmount. Рассматриваемый демон обычно вызывается на уровне запуска 3 из стартового сценария /etc/init.d/ nfs.server

lockd Данный демон запускается на сервере и клиенте NFS и обеспечивает службы блокирования файлов. Демон запускается на уровне 2 из стартового сценария /etc/init.d/nfs.client

statd Данный демон запускается на сервере и клиенте NFS и взаимодействует с демоном lockd при обеспечении функций сбоя и восстановления для служб блокирования файлов в среде NFS. Демон запускается на уровне 2 из стартового сценария /etc/init.d/nfs.client.

rcbind Способствует установлению начального соединения между клиентом и сервером NFS.

nfslogd Демон обеспечивает протоколирование процессов функционирования на сервере NFS в среде Solaris.

Установка NFS

• Серверы предоставляют другим системам доступ к размещенным на них файловым системам посредством разделения этих файловых систем через среду NFS. Совместно используемая файловая система в данном случае называется разделяемым ресурсом.

• Определение, какие именно файловые системы будут разделяться, производится путем ввода соответствующей информации в файл, называемый /etc/dfs/dfstab. Объекты указанного файла разделяются автоматически всякий раз, когда вы запускаете команду данного сервера NFS. Если необходимо постоянное разделение одного и того же набора файловых систем, то необходимо установить их автоматическое разделение.

• В файле /etc/dfs/dfstab перечисляются все файловые системы, которые сервер NFS разделяет между его клиентами. Этот файл также управляет тем, какие клиенты могут монтировать некоторую файловую систему. Если вы хотите модифицировать файл /etc/dfs/dfstab для того, чтобы добавить или удалить какую-нибудь файловую систему, или для того, чтобы изменить способ разделения, отредактируйте данный файл. В следующий раз на уровне запуска 3 система считает обновленный файл /etc/dfs/dfstab, чтобы определить, какие именно файловые системы должны быть автоматически разделяемыми.

• Каждая строка в файле /etc/dfs/dfstab содержит команду share, как показано в следующем примере: more /etc/dfs/dfstab• Система отображает содержимое файла /etc/dfs/dfstab: # Place share(1M) commands here for automatic #execution on entering # init state 3. # Issue the command '/etc/init.d/nfs.server start' #to run the NFS daemon # processes and the share #commands, after adding the very first entry to # this file. # share [-F fstype] [ -o options] [-d "<text>"] #<pathname>[resource] .e.g, # share -F nfs -o rw=engineering -d "home dirs" /export/home2 share -F nfs /export share -F nfs /cdrom/solaris_srvr_intranet_ext_l_0

• Команда /usr/sbin/share экспортирует некоторый ресурс или делает его доступным для монтирования. Команда share, будучи выдана без аргументов, отображает список всех разделяемых, или совместно используемых, файловых систем. Команда share может быть запущена из командной строки для получения тех же самых результатов, что и при использовании файла /etc/dfs/dfstab, однако этим методом следует пользоваться только для целей тестирования.

• Синтаксис команды share выглядит следующим образом:share -F <FSType> -o <options> -d <description> <pathname>

• где аргумент <pathname> - это имя той файловой системы, которая будет разделяема.

• Ниже приведена таблица с основными опциями команды share

Опция Описание

-F <FSType>

Указывает тип файловой системы, такой как NFS. Если опция -F опуще на, то по умолчанию используется тип первой файловой системы, из перечислен ных в файле /etc/dfs/dfstab.

-о <options> rw

rw =client:client]..

ro

ro =client:client]..

Файловая система, заданная аргументом <pathname>, совместно используется всеми клиентами в режиме чтения/записи. Это также принято по умолчанию.

Файловая система, заданная аргументом <pathname>, совместно используется лишь перечисленными клиентами в режиме чтения/записи. Ни к какой другой файловой системе, кроме заданной аргументом <pathname>, не может быть получен доступ.

Файловая система, заданная аргументом <pathname>, совместно используется всеми клиентами лишь в ре жиме чтения.

Файловая система, заданная аргументом <pathname>, используется совместно перечисленными клиентами лишь в режиме чтения. Ни к какой другой файловой системе, кроме заданной аргументом <pathname>, не может быть получен доступ.

aclock Позволяет серверу NFS осуществлять управление клиентами. Когда опция aclok установлена на сервере, то всем клиентам предоставляется максимальный доступ. Напри мер, при установленной опции aclok, если кто-нибудь имеет полномо чия на чтение, то такие полномочия имеют все. Если же опция aclok не установлена, то всем клиентам предоставляется минимальный доступ.

anon=<uid> Устанавливает идентификатор пользователя, который будет действую щим идентификатором для всех неизвестных пользователей. По умол чанию для неизвестных пользователей действующий идентификатор ус танавливается в значение nobody. Если uid равен -1, это означает, что доступ запрещен.

nosub Запрещает клиентам монтировать подкаталоги разделяемых каталогов.

root =host[:host]..

Только суперпользователи с перечисленных хостов (узлов сети) могут получить доступ с привилегиями суперпользователя. По умолчанию ни с одного хоста нельзя получить доступ с привилегиями суперпользователя, поэтому суперпользователи отображаются на идентификатор ано нимного пользователя (обратитесь к приведенному ранее в этой таблице описанию опции anon=<uid>)

• Для совместного использования какой-нибудь файловой системы в режиме только для чтения всякий раз, когда начиная с запуска данной системы, следует добавить приведенную строку в файл /etc/dfs/dfstab:

share -F nfs -о rо /data

• После редактирования файла /etc/dfs/dfstab перезапустите данный сервер NFS либо путем собственно его перезапуска, либо ввода следующей командной строки:

/etc/init.d/nfs.server start

• Необходимо запустить сценарий nfs.server только после того, как вы создали первый элемент в файле /etc/dfs/dfstab. Это обусловлено тем, что при запуске системы, когда она входит в уровень запуска 3, демоны mountd и nfsd не запускаются, если файл /etc/dfs/dfstab пуст.

• После того как вы создали начальный элемент в файле /etc/dfs/dfstab и запустили сценарий nfs.server, уже можно модифицировать файл /etc/dfs/dfstab без перезапуска указанных демонов. Просто выполняется команда shareall, после чего все новые элементы из файла /etc/dfs/dfstab становятся разделяемыми.

• После того как имеется, по крайней мере, один элемент в файле /etc/dfs/dfstab и запущены демоны mountd и nfsd, можно сделать разделяемыми дополнительные файловые системы путем выдачи команды share непосредственно из командной строки. Следует, однако, иметь в виду, что если не добавлен соответствующий элемент в файл /etc/dfs/dfstab, то данная файловая система не станет автоматически разделяемой в следующий раз после перезапуска системы.

• Команда dfshares отображает информацию о разделяемых ресурсах, доступных на данном хосте с некоторого сервера NFS. Синтаксис команды dfshares выглядит следующим образом:

dfshares <servername>• Можно просмотреть разделяемые файловые системы на некотором

дистанционном сервере NFS с помощью команды dfshares, как показано ниже:

dfshares apollo• Если аргумент servername не задан, то отображаются все ресурсы,

разделяемые в данный момент времени на этом хосте сети. Еще одним местом, где можно найти информацию о разделяемых ресурсах, является файл /etc/dfs/sharetab данного сервера. Этот файл содержит перечень ресурсов, разделяемых в данный момент времени.

• При использовании служб NFS необходимо побеспокоиться о защите информации от несанкционированного доступа. Когда выдается команда share, то с любой системы через сеть можно получить доступ к данной файловой системе. Весьма полезно указывать более конкретно, кто именно может монтировать данную файловую систему. Приведенные ниже примеры демонстрируют, как установить разделение ресурса с ограничением хостов, которые могут монтировать данный разделяемый ресурс:

share -F nfs -о ro=apollo:neptune:zeus /data• Файловая система, которая называется /data, совместно

используется перечисленными клиентами только для чтения. Никакие другие системы не смогут получить доступ к /data. Другой возможный метод заключается в совместном использовании некоторыми хостами какой-нибудь файловой системы только для чтения, а другими хостами в режиме чтения-записи. Чтобы добиться такого результата, воспользуйтесь следующей командой:share -F nfs -о ro=apollo rw=neptune:zeus /data

• В приведенном примере apollo разрешен доступ только для чтения, а системам neptune и zeus - в режиме чтения-записи.

Защита информации от несанкционированногодоступа в среде NFS

• Следующий пример определяет, что доступ с привилегиями суперпользователя предоставляется клиенту по имени zeus. Суперпользователь, который регистрируется на любой другой системе, распознается только как nobody и имеет ограниченные права доступа:

share -F nfs -о root=zeus /data

• Для удаления какой-нибудь совместно используемой файловой системы выполните на данном сервере команду unshare:

unshare /data• Файловая система /data более не является разделяемой, или совместно

используемой. Можно проверить это, выдав команду share без опций:share

• Система отвечает следующим образом:- /home rо,апоп=0 " "

• Теперь только /home остается разделяемой файловой системой.

Монтирование дистанционной файловой системы • Синтаксис команды mount для монтирования файловых систем NFS

выглядит следующим образом:mount -F nfs <options><-о specific_options > <-0> <server>: <filesystem> <mount_point>

• В приведенном примере аргумент server представляет собой имя сервера NFS, на котором находится данная файловая система, аргумент filesystem - это имя разделяемой файловой системы на сервере NFS, а mount_point - локальный каталог, служащий в качестве точки монтирования.

Опции команды mount для среды NFS-F <FSType> Используется для задания типа файловой системы, с которой

будет работать данная команда. Параметр FSType должен быть задан в файле /etc/vfstab либо получен путем обращения к файлу /etc/default/fs или /etc/dfs/fstypes

-r Монтирует файловую систему только для чтения.

-o <specific_options>

rw |ro Данный ресурс монтируется для чтения-записи, либо только для чтения. По умолчанию принимается rw.

• Для просмотра ресурсов, которые могут быть смонтированы на локальной или дистанционной системе, применяется команда dfmounts:

dfmounts <servername>

• Для включения протоколирования сервера NFS необходимо выполнить следующие операции:

1. В качестве суперпользователя установите возможность совместного использования файловой системы NFS, для чего выполняется следующая команда:

share -F nfs -о ro,log=global <file system name>Необходимо добавить данную строку к файлу /etc/dfs/dfstab, для того, чтобы она оказывала действие всякий раз при выполнении загрузки данного сервера.

2. Если демон nfslogd еще не запущен, стартуйте его с помощью следующей команды:

/usr/lib/nfs/nfslogd• Можно изменить установки в конфигурационном файле

протоколирования сервера NFS, который называется /etc/nfs/nfslog.conf. Этот файл определяет маршрут, имена файлов и тип протоколирования, который будет использоваться демоном nfslogd. Каждое определение ассоциируется с каким-нибудь тегом. Тег global определяет значения по умолчанию, однако можно создать новые теги и задать их для каждой файловой системы, которую используете совместно. Операции NFS, которые будут протоколироваться демоном nfslogd, определяются в конфигурационном файле /etc/default/nfslogd.

Включение протоколирования сервера NFS

Доступ к UNIX (Solaris)

1. На сервере winray2 в командной строке набрать: telnet 192.168.92.N ,N=131..140

2. login/password – admin1/admin1

3. В появившейся командной строке набрать:

bash-2.05# su –

4. Далее вести password:

rootuser

5. Теперь вы root (суперпользователь)

УПРАЖНЕНИЯ

1. Вспомните основные команды UNIX: создайте файлы, каталоги, учетные записи пользователей, назначьте права доступа на файлы и каталоги.

2. Установка сервера NFSПри выполнении настоящего упражнения вам предстоит работать в парах по 2 компьютера – сначала один выступает в качестве сервера, а второй - клиента, затем наоборот. Необходимо установить сервер NFS для организации совместного использования содержимого каталога /usr/share/man только для чтения.

1. Создайте следующий элемент в файле /etc/dfs/dfstab:share -F nfs -о rо /usr/share/man

2. Перезапустите сценарий /etc/init.d/nfs.server для запуска демонов nfsd и mountd:

/etc/init.d/nfs.server start3. Убедитесь, что оба указанных демона теперь выполняются, для чего

введите следующую командную строку:ps -ef | grep nfs

4. Убедитесь, что данный ресурс теперь доступен для совместного использования, для чего введите следующую команду: share

Система должна ответить следующим образом: - /usr/share/man rо " "

5. В системе клиента NFS переименуйте каталог /usr/share/man таким образом, чтобы страницы руководства более не были доступны, для чего введите следующие команды:

cd /usr/sharemv man man.bkup

6. Убедитесь в том, что страницы руководства более не доступны:7. Создайте новый каталог man, который будет использоваться в

качестве точки монтирования:

mkdir man8. Убедитесь в том, что вы можете видеть разделяемый ресурс на

сервере NFS:

dfshares <ip nfs_server> Система должна ответить сообщением, подобным следующему:

RESOURCE SERVER ACCESS TRANSPORT

192.168.92.*:/usr/share/man 192.168.92.* - -

* - 131…140

9. Смонтируйте каталог /usr/share/man, который располагается на сервере NFS, в каталог, который вы создали на предыдущем этапе, для чего введите следующую командную строку:

mount <ip nfs_server>:/usr/share/man /usr/share/man10. Теперь проверьте еще раз, доступны ли страницы руководства:11. Проверьте список смонтированных ресурсов, предоставляемых

данным сервером, для чего введите следующую командную строку:

dfmounts <nfs server name>• Система отображает подобную информацию:RESOURCE SERVER PATHNAME CLIENTS

- 192.168.92.* /usr/share/man 192.168.92.*

12. Демонтируйте каталог на системе клиента NFS:umountall

13. Убедитесь в том, что данная файловая система более не является смонтированной, для чего введите следующую команду:

dfmounts <ip nfs_server>14. На системе сервера NFS отмените совместное использование

каталога /usr/share/man:unshare /usr/share/man

15. На системе клиента NFS попытайтесь смонтировать каталог /usr/share/man с данного сервера NFS:

mount <ip nfs_server>:/usr/share/man /usr/share/man

Сервер на этот раз не должен разрешить вам монтирование этого каталога.

16. Проверьте разделяемые ресурсы на данном сервере NFS, для чего введите следующую командную строку:

dfshares <ip nfs_ server>

• Эта файловая система больше не может быть смонтирована, поскольку она уже не является разделяемым ресурсом.

3. Работа в среде NFS

Включите протоколирование сервера NFS

Установите для совместного использования различные каталоги с опциями «только для чтения» и «чтения-записи» с ограничением доступа

Установите различный доступ с различных хостов

Настройте доступ суперпользователя