?

Log in

iboxjo
05 Февраль 2013 @ 11:02
Мне тут намекнули добрые люди, что не плохо было бы создать заглавный пост для этого блога. Ну пожалуйста, создаю.

 Итак, я работаю системным администратором и в свободное время занимаюсь системами UNIX, проектированием, да и много чем другим. По большей части, этот блог отражает мою работу над переводом различной технической документации связанной с *nix системами и их производными. Следует отметить - здесь появляются только черновики текущей работы. Законченные и оформленные переводы публикуются на моей странице http://iboxjo.h1.ru. По всем тематическим вопросам со мной можно связаться по iboxjo@yandex.ru. Кроме того, записи данного блога автоматически кроссятся на Facebook.

Если у вас есть конструктивные комментарии и здравая критика - милости прошу :)
 
 
Местонахождение: работа
Настроение: ок
Музыка: тихо
 
 
iboxjo
05 Апрель 2016 @ 09:47
Жизнь как зебра, и сейчас я на последней полосе, дальше которой только ... ну вы понимаете, что там у зебры дальше. И здесь уже не важно какого цвета эта полоска. Как говорится - "Прогрессу подготовится к резкому скачку". Надо что-то сделать - вопреки всем возражениям изобрести велосипед, залезть на самую высокую гору несмотря на нежелание организма, спуститься в самую глубокую яму - ах да, про зебру мы уже говорили... Короче говоря встретить средний возраст во всеоружии с демонической улыбкой на лице. Иначе в 40 лет предстоит превратиться в затхлый офисный планктон, просиживающий штаны на работе в ожидание очередной зарплаты. 40 лет - в худшем случае только половина жизни (ладно, ладно, я знаю что преукрашиваю статистику, но давайте верить в светлое будущее).
Короче говоря, желаю себе и всем осилить разворот на этой жизненной полосе и шагать дальше, но уже в направление головы несчастной полосатой лошади!
Метки:
 
 
Местонахождение: где я сейчас?
Настроение: по контексту
Музыка: нетути
 
 
iboxjo
11 Январь 2016 @ 11:29
























Давно не писал ничего полезного. Решил немного обновить журнал. На праздниках занимался переделкой старых часов с кукушкой Маяк, производства Сердобского завода. Полностью заменён корпус (дерево по образцу немецких часов, только без навершия в виде птицы), востановлена система мехов кукушки, переделан циферблат. Вся работа заняла неделю. На подходе ещё одни часы, но уже без цепей, механизм уже восстановлен. Корпус полностью отсутствует, как впрочем и маятник.
 
 
iboxjo
05 Июнь 2015 @ 15:13
Таблица 15-1 Стандартные объекты OpenBSD
Объект            Использование
auth            Публичная информация о аутентификации, например, когда и кто входил в систему или кто использовал su.
authpriv        Частная информация о подлинности пользователя, как правило, доступная только для привилегированных пользователей.
cron            Сообщения от системы планировщика cron(8).
daemon            *Для процессов которые не требуют выделенный объект.
ftp            Сообщения от серверов FTP и TFTP.
kern            Сообщения генерируемые ядром.
local0 ... local7    Объекты предназначенные для системного администратора. Многие программы позволяют системным администраторам настроить их объекты. Используйте эти восемь объектов для подобных программ.
lpr            Сообщения от системы печати.
mail            Сообщения от почтовых серверов.
mark            Специальный объект записывающий сообщения каждые 20 минут.
news            Сообщения от серверов Usenet.
syslog            Сообщения от самого сервера syslog.
user            Всеобъемлющий объект сообщений. Если программа пространства пользователя не указывает объект журналирования, сообщения будут здесь.
uucp            Сообщения от серверов протокола Unix-to-Unix Copy Protocol (UUCP). Вероятнее всего вы не сталкивались с таким старым протоколом электронной почты.

В то время, как большинство программ имеют по умолчанию разумные значения, ваша работа как системного администратора состоит в управление тем, какие объекты используются для журналирования. Если есть возможность используйте локальные объекты для ваших конкретных серверных демонов. Хотя, вполне возможно использовать объекты для других целей, отличающихся от первоначально запланированных, постарайтесь не переназначать, например объект uucp на какойто иной демон, если у вас имеется иной вариант действия.

Приоритет
Приоритет сообщения журналирования определяет его важность. Программы, как правило, передают данные журналирования в syslogd, а syslogd решает, что сохранять и что отбросить. Вы сами решаете, что вы хотите сохранить в ваших журналах. Используются следующие девять уровней системного журнала, позволяющие определить, что записывать и от чего отказаться (в порядке от более до менее важного):

emerg         Авария системы. Это сообщение на любом активном терминале. Компьютер может быть неисправен, или это может быть другая ошибка, требующая немедленного внимания.
alert        Авария. Система может продолжить функционирование, но реакция на проблему должна последовать быстро.
critical    Критические проблемы. Указывают на серьёзные ошибки, такие как сбои жёстких дисков и пр.
err        Ошибки. Появляются в отношении проблем которые требуют внимания, но не приводят к разрушению вашей системы.
warning        Различные предупреждения. Они могут присутствовать, но процесс который их генерирует может работать нормально.
notice        Основная информация. Как правило, включает в себя  данные о транкзациях, такие как сообщения почтового сервера или отдельные запросы к web-серверу.
debug        Общая информация отладки.  Этот уровень, как правило, представляет интерес только для программистов, но иногда системные администраторы пытаются выяснить, почему программа ведёт себя странным образом. Журнал отладки может содержать нечто, включающее информацию нарушающую конфиденциальность пользователей, например текстовые пароли.

none Ничего не журналируется. Наиболее часто используется для исключения информации из файла журнала.

Объединив уровни сприоритетами, вы можете отсортировать сообщения журнала в индивидуальные файлы или другие цели.

Сортировка сообщений с syslogd(8)
syslogd сравнивает полученные сообщения с записями в/etc/syslog.conf. Этот файл имеет два столбца: первый (селектор) описывает тип сообщения журнала, а второй (действие), указывает syslogd какие действия должны быть выполнены при соответствии описания сообщения в первом столбце. Ни один столбец не должен содержать пробелов; пробелы должны наличиствовать только между столбцами. Вот пример строки по умолчанию из syslog.conf:

daemon.info    /var/log/daemon

Любое сообщение журнала имеющее объект daemon и приоритет info или выше, будет добавляться в файл /var/log/daemon. Конечно, если все журналы управлялись бы так легко, это была бы короткая глава.

syslogd сравнивает все сообщения журнала для всех записей syslog.conf. Если сообщение соответствует нескольким селекторам, оно отправляется во все соответствующие назначения.

Групповые символы
Вы можете использовать групповые символы (шаблоны) в любом объекте или приоритете. Например, следующая строка регистрирует каждое сообщение объекта mail:

mail.*        /var/log/maillog

продолжение следует...
 
 
 
 
 
iboxjo
Вчера произошел со мной один из тех случаев, которые заставляют задуматься о полезных мелочах, избавляющих от мелких и крупных неприятностей. Проезжая по Зубчаниновке, встретил маленького мальчика, 6 лет, заблудившегося в окресностях. Самое обидное, что мальчик этот совершенно уверенно назвал адрес куда ему следовало попасть, тем самым привнеся дезинформацию и усложнив дальнейшие поиски пункта назначения. Благо, как коренной житель Зубчаниновки и бывший разведчик, путём пристрастного допроса удалось локализовать верный пункт назначения, правда, достигнуто это было минут через 30 движения в неверном направлении. В конечном счёте, детёныш был доставлен к своему дому  и водворён на свою игровую площадку. К сожалению пообщаться с его родителями мне не пришлось (а может и слава богу - кто знает, что могут люди подумать). Однако, невысказанная печалька осталась.

Во-первых, если уж малого ребёнка отправили на прогулку - как минимум у него должен быть телефон, благо сегодня это средство доступное практически каждой семье.
Во-вторых, неплохо было-бы снабжать детей бейджиками содержащими ФИО, адрес, телефон родителей - информацию как минимум достоверную. Это может быть значок, простой бедж на шею, браслет на руку.
Наконец, из области фантастики, существуют персональные GPS треккеры, которые могут сообщить о метонахождение ребёнка или как минимум послать SOS. Многие скажут, что это перебор, но при цене в 5-7 тысяч, лучше оставить ребёнка без игровой приставки или планшета, чем остаться без ребёнка

P.S. С одной стороны жалко, что я не смог пообщаться с родителя детёнка, но с другой стороны не разобрав, наверное, и морду набить могли. Люди слишком разные...
 
 
Настроение: так себе
 
 
iboxjo
26 Май 2015 @ 16:30
Скрипт безопасности не копирует все файлы подряд. Например файлы содержащие приватные ключи не копируются, но скрипт безопасности берёт их контрольную сумму. (Контрольная сумма контролируется в том случае, если в /etc/changelist перед его именем стоит знак +). Нет причин вручную редактировать /etc/ssh/ssh_host_ecdsa_key, и если файл изменяется, вы либо знаете почему это происходит, либо вам требуется востановить его доверенную резервную копию. /etc/changelist так же перечислен в /etc/changelist. Это кажется рекурсией, но система поддерживает список файлов которые вы резервируете, а кроме того извещает вас когда происходит добавление или удаление файла в /etc/changelist.

Добавление жизненно важных файлов
Вы можете добавлять файлы в список изменений и даже использовать шаблоны для резервного копирования всех файлов в каталоге. Однако следует обратить внимание, что если вы используете маски в /etc/changelist, вас не уведомят, когда файл будет удалён.

Рассмотрим пример использования маски. В главе 13 я добавил порт apache2 для одной из моих машин. Я установил файлы конфигурации в /etc/apache2. Я мог бы добавить следующую строку в список изменений:

/etc/apache2/*

Это приведёт к копированию всех файлов из директории конфигурации apache2 в директорий /var/backup и проверке их изменения. Тем не менее, я не получил бы уведомления при удалении файла из этой директории. Если вы используете механизм конфигурации, котороый говорит, "включить все файлы .conf в таких-то и таких-то директориях", это не лучший выбор. Лучшим вариантом было бы указать файлы индивидуально и обновить список при добавлении важных файлов.

Одна из наиболее удобных вещей при проверке целостности файлов то, что автоматически выполняется резервное копирование критически важных системных файлов. Это означает, что если вы хотите узнать как использовать vipw(8) и испортите базу данных вашего пользователя, вы можете просто взять вчерашнюю копию из /var/backups, установить её и это будет мудро. Тоже самое относится к любым другим критически важным файлам системы.

Проверка целостности файловой системы
Вы не можете выполнить полную проверку файловой системы Unix (UFS) пока система работает в многопользовательском режиме, но вы можете использовать fsck(8) для проверки целостности файловой системы, чтобы выявить возможные проблемы, пока они не стали слишком серьёзными. Это не устранит все проблемы, но уведомит вас о их существовании и позволит запланировать время для их устранения.

Для включения этой проверки, установите флаг CHECKFILESYSTEMS в значение 1 в файле /etc/daily.local.

Копирование файлов с помощью rdist
Программа rdist(1) используется для копирования файлов на другие сервера, позволяя вам поддерживать идентичные копии критических файлов на множестве серверов. Если вы заинтересованы в его использовании прочитайте руководство rdistd(8).

Подавление /etc/daily
Некоторые администраторы используют системы мониторинга, отслеживающие диски сервера, сеть и другую базовую информацию. Если вам не требуется излишняя информация повседневного статуса в вашей почте, устновите значение VERBOSESTATUS в 0 в файле /etc/daily.local. Это приведёт к отключению части ежедневного обслуживания, снизив поток избыточной информации.

Если оставшаяся часть ежедневного обслуживания не формирует никаких выходных данных, сервер не будет посылать сообщения дневного статуса. В средах, где вы не доверяете системе мониторинга, можно использовать ежедневные статусные сообщения, информирующие вас о работе системы. OpenBSD предоставляет выбор вам.

Еженедельное обслуживание
Скрипт еженедельного обслуживания гораздо проще чем скрипт ежедневного обслуживания и выполняет только три общие функции:

- Во-первых, он выполняет пользовательский сценарий еженедельного обслуживания, /etc/weekly.local.
- Во-вторых, он производит обновление базы данных locate(1).
- Наконец, он перестраивает базу данных страницы руководства whatis(1).

Ежемесячное обслуживание
OpenBSD не требуется общее ежемесячное обслуживание, но в целях соблюдения целостности, скрипт /etc/monthly выполняет пользовательский скрипт /etc/monthly.local.

Пользовательские сценарии обслуживания
Каждый скрипт обслуживания выполняет пользовательский скрипт перед выполнением любых других задач. Вы можете указать любые задачи необходимые к выполнению в /etc/daily.local, /etc/weekly.local, и
/etc/monthly.local. Эти команды выполняются от root'а, поэтому не следует использовать их для задач которые должны быть выполнены другими пользователями. Если необходимо выполнить резервное копирование вашей базы данных, создайте отдельный скрипт и заведите непривилегированного пользователя работающего с базой данных для выполнения сценария через cron(8).

Некоторые сайты используют расписание задач обслуживания для выполнения сложного ПО обслуживающего сайт. Например, я знаком с одной фирмой безопасности которая собирает данные с тысячи машин и использует ежедневные задачи для передачи данных на центральную систему управления. В действительности, вы можете использовать локальные скрипты любым способом.

Если у вас есть задача обслуживания, которая может быть выполнена под другой учётной записью, но вы хотите прикрепить её к запланированным работам по обслуживанию, вы можете заставить локальный скрипт вызвать другой скрипт. Выполните этот скрипт с использованием su(1) для переключения пользователя и сброса привилегий.

Пользовательские скрипты обслуживанию могут быть наиболее полезны для изменения способа выполнения работы стандартных скриптов обслуживания. Например, есть система со множеством пустых директорий, содержащих временные файлы. Еженедельный скрипт обслуживания обновляет локальную базу данных, но вы не хотите включать эти файлы в конечный результат. Вы можете использовать пользовательские сценарии обслуживания для удаления этих файлов непосредственно перед тем, как /etc/weekly создаёт новую базу данных locate, и спланировать это как отдельную задачу. При добавление этой задачи в /etc/weekly/local, вы знаете, что она будет закончена до выполнения любых других задач в /etc/weekly.

Системные журналы
Использование системных журналов для Unix-подобных систем стало промышленным стандартом журналирования, но не всегда является удобным, поскольку механизм журналирования может оказаться весьма привередливым. Однако, после правильной настройки сбора и ротации журналов, система журналирования OpenBSD становится саморегулируемой.

OpenBSD использует стандартную систему журналирования для Unix-подобных (и большинства встроенных) систем, syslog(3). Протокол syslog маркирует сообщения объектом и приоритетом и передаёт эти сообщения демону. Любая программа может писать на локальный сервер syslog(8), но ключи управления журналом определяют как эти сообщения сортируются и хранятся. syslogd в OpenBSD может сортировать сообщения основываясь на объектах, приоритете и программе источнике.

Объект
Объект указывает на источник сообщения. В большинстве случаев, каждой программе требуется отдельный файл журнала используемый для различных объектов. Многие программы или протоколы, такие как FTP, используют объекты предназначенные для них. Протокол syslog так же имеет целый ряд объектов которые вы можете использовать по своему интересу. Таблица 15-1 перечисляет стандартные объекты и предоставляет некоторые заметки по их использованию.
 
 
iboxjo
21 Май 2015 @ 14:12
Глава 15
Обслуживание системы

Когда железо жалуется,
OpenBSD слушает.
Вы должны слушать тоже.

Ни один не компьютер не работает сам по себе. Будь это так, вы остались бы без работы. Даже хорошо настроенный сервер с небольшой нагрузкой нуждается в обслуживание. OpenBSD включает множество инструментов упрощающих обслуживание системы, предупреждающих вас о необходимости проведения обслуживания и информирующих о статусе системы. Каждый день, неделю и месяц, OpenBSD выполняет задачи обслуживания и информирует вас о результатах их выполнения. OpenBSD занимается ежедневным резервным копированием критических областей системы и файлов и использует их для контроля целостности системы. Система может управлять своими журнальными файлами, поддерживает собственное время и предупреждает вас о сбоях оборудования. Всё начинается с планового технического обслуживания.

Запланированные задачи
OpenBSD включает регулярные задачи которые выполняются один раз в день, неделю и месяц. Эти задания выполняются с привилегией root и отправляют результат на электронную почту root'а. Самым сложным является сценарий ежедневного обслуживания; самым простым - ежемесячного.

Если сервер работает хорошо, я, возможно не буду входить на него несколько недель или даже несколько месяцев. На самом деле я знаю несколько серверов работающих без участия человека более года. Я читаю ежедневные отчёты машины и говорю, "Да, всё нормально.", проживая день в уверенности, что регулярные отчёты предоставят мне информацию системы мониторинга. Плановые работы по обслуживанию передают свои отчёты на электронную почту локльного пользователя root, но, если ни кто не входит на машину, никто не увидит этих результатов. Следует устанавливать почтовые псевдонимы для root в /etc/aliases, таким образом, чтобы их могли читать те, кому они необходимы.

Читать дальше...Свернуть )

продолжение следует...
 
 
iboxjo
/etc/rbootd.conf
rbootd(8) предоставляет загрузочные сервисы для рабочих станций HP - весьма узкого подмножества устаревших бездисковых клиентов. OpenBSD ещё поддерживает машины HP300 требующие данных сервисов. Если вы заинтересованы в использовании современного оборудования бездисковых рабочих станций, вам следует, вместо этого, ознакомиться со страницей руководства diskless(8), или обратиться к главе 23.

/etc/rc.*
Файлы /etc/rc.* используются для загрузки системы, и более подробно описаны в главе 5.

/etc/relayd.conf
Демон балансировки нагрузки relayd(8) работает с пакетным фильтром pf и действует как регулятор балансировки нагрузки сети. Демон relayd требует хорошего понимания работы pf, причём в весьма конкретной сети. Если вы заинтересованы в использовании балансировки нагрузки, вам следует прочитать работу Ханстена "Book of PF".

/etc/remote
Unix-подобные системы включают широкий спектр поддержки подключений к системе посредством последовательных линий, используемых, как правило последовательными консолями. Многие сетевые устройства имеют управление последовательными портами и вы можете использовать OpenBSD в качестве клиента для конфигурации этих устройств. Файл /etc/remote содержит конфигурации последовательных подключений для большинства современных последовательных подключений (рамматривается в главе 5).

Читать дальше...Свернуть )

14 глава завершена и сегодня-завтра будет доступна. Перехожу к 15.
продолжение следует ...