运维—系统管理
单位局域网中有120台左右的机器,通过硬件路由器接入互联网,并且都是采用Windows2000或以上版本的操作系统,工作组运行环境。了解到此情况后,建议使用Microsoft Software Update Services(简称SUS),在局域网中部署一台“SUS服务器”,为客户机提供补丁发放服务,这样用户就不再需要使用微软的“Windows Update”服务了,通过局域网中的SUS服务器,就能完成Windows补丁安装工作,并且安装过程是全自动的,不需要用户进行干预。
Software Update Services(SUS) 系统
提示:SUS分为服务器端和客户端,服务器端只推出英文版和日文版,能同时为15,000个用户提供升级服务;客户端则支持包括中文版在内的24种语言版本。SUS server能为 Windows 2000 +SP2及以上版本、 Windows XP 、Windows 2003系统提供升级服务,但不支持Windows 98和Windows NT系统。此外SUS不提供除操作系统以外的其它微软产品的升级,如SQL Server、Exchange Server等。
一、准备工作
在安装、配置SUS Server之前,首先为它选择合适的硬件和软件平台。推荐的硬件配置为“700MHz主频以上的CPU,512MB以上内存,6GB以上的剩余硬盘空间”,SUS Server需要Windows 2000 Server+ SP2及以上版本、Windows Server 2003服务器操作系统支持,此外还要IIS 5/6服务器、IE 5.5浏览器以上版本的支持。
SUS Client对硬件平台没特殊要求,但采用的操作系统必须是Windows 2000 +SP2及以上版本/XP/2003,不支持Windows 98和Windows NT。
提示:对于客户端为Windows 2000 +SP2、Windows XP系统,则需要安装SUS Client程序;而Windows 2000+ SP3、Windows XP +SP1(SP2) 及以上版本和Windows Server 2003,就不需要安装SUS Client,该程序已包含在系统中。
二、SUS Server部署
1、服务器端平台选择
首先为SUS Server选择服务器平台,因为客户机数目并不太多,所以服务器的硬件配置不需要太高。选择局域网内的一台浪潮服务器,它的硬件配置为:P4 2.0G CPU,512MB ECC内存,40G SCSI硬盘,并且此服务器中安装了Windows Server 2003操作系统,所有分区都采用了NTFS文件系统。
2、安装IIS服务
Windows Server 2003默认是不安装IIS服务的,但SUS Server需要IIS的支持才能正常运行,因此要手工安装该服务。
在Win2003服务器中,点击“开始→设置→控制面板”选项,运行“添加或删除程序”,在弹出的窗口中切换到“添加/删除Windows组件”页。然后在“Windows组件向导”对话框中选中“应用程序服务器”选项,点击下方的“详细信息”按钮,在弹出的对话框中选中“Internet信息服务(IIS)”组件,点击“确定”按钮。最后在“组件向导”对话框中一路点击“下一步”,完成IIS组件的安装。
提示:建议不要在SUS Server服务器中向用户提供IIS服务,IIS的运行最好只是为SUS Server提供服务。这是因为安装SUS Server时,同时会为系统安装IIS Lockdown Tool工具,它可能会导致其它用户不能正常访问IIS网站。
3、安装、配置SUS Server
(1).安装SUS Server
完成了IIS的安装后,就开始安装配置SUS Server了。下载SUS Server英文版进行安装,过程非常简单,建议选择“典型”方式,接着一路“Next”后就完成安装,最后弹出SUS Server配置管理页面。
提示:安装SUS Server和保存补丁文件的硬盘分区都必须是NTFS文件系统,否则就会出现错误提示,不能成功安装。
(2).SUS Server参数配置
使用的是典型安装方式,完成后SUS Server还不能提供补丁服务,需要进一步进行配置才行。
在Win2003服务器中,进入到“控制面板->管理工具”,运行“Microsoft Software Update Services”工具。接着在登录对话框中输入管理员帐号和密码,点击“确定”后,就登录SUS服务器管理页面。
提示:除了在本地管理配置SUS Server外,还可以对它进行远程配置,在远端客户机中运行IE浏览器,在地址栏中输入“http:// SUS Server的IP地址/SUSAdmin/”,回车后,输入管理员帐号和密码即可。
在SUS Server管理页面左框点击“Other Options”下的“Set Options”链接,接着在右框中就能对SUS Server参数进行配置了。
A、代理服务器配置
在“Select a proxy server configuration”中对SUS Server的代理服务器参数进行设置,如果SUS Server是直接或通过路由器接入互联网,一定要选择“Automatically detect proxy server settings”项,如果是通过代理服务器的话,要选择“Use the following proxy server to access the Internet”项,并在输入框中填上代理的IP地址和端口号。
B、指定服务器名
接着在“Specify the name your clients use to locate this update server”栏中为SUS Server起一个好记的名称,如机器名“TJRAO”,这样客户机就可以通过机器名来访问SUS Server了。
提示:如果客户机无法解析NetBIOS名字,这里就要使用DNS名或IP地址来代替机器名了。
C、同步内容配置
在“Select which server to synchronize content from”中设置补丁内容的来源,因为就部署这一台SUS Server服务器,必须与微软的补丁服务器同步,选择“Synchronize directly from the Microsoft Windows Update servers”项。
提示:如果局域网中部署了多台SUS Server,都和微软补丁服务器同步未免浪费大量带宽和时间,只需要其中一台和微软补丁服务器同步,其它的SUS Server和本地的此台SUS Server同步即可。这时就要选中“Synchronize from a local Software Update Services server”项,在输入框中填入目标SUS Server的机器名或者IP地址。
在“Select where you want to store updates”栏中设置保存补丁文件的方式,建议选择“Save the updates to a local folder”项,这样就可以只同步你需要语种的补丁,避免浪费,如只选择同步“Chinese Simplified(简体中文)”,其它参数使用默认值即可,最后点击“Apply”按钮。
(3).同步操作
完成SUS Server参数配置后,就可以进行同步工作,下载用户需要的补丁文件。在管理页面左框点击“Synchronize server”项,接着点击右框的“Synchronize Now”按钮,开始同步工作。
提示:由于受到网络带宽和补丁文件大小的限制,同步工作需要一个漫长的过程。建议选择自动同步,点击“Synchronization Schedule” 按钮,在配置对话框中选择“Synchronize using this schedule”项,设置好同步的日期和时间,建议在凌晨进行同步工作。
(4).发布操作
同步完成后,SUS Server默认并不立即为用户发布补丁文件,当测试补丁没有问题后,才进行手工发布。在管理页面左框点击“Approve updates”按钮,右框显示下载的补丁文件。如果某些补丁测试正常,想进行发布,选中补丁文件前的复选框,点击“Approve”按钮按钮。
然后同意最终用户许可协议后,完成这些补丁的发布工作。这样,就完成了SUS Server的配置。
三、SUS Client配置
以上完成了SUS Server的配置,现在还需要为客户机配置SUS Client,才能使用SUS Server提供的升级服务。由于管理的局域网是工作组环境,所以介绍针对工作组环境的SUS Client配置。
1、是否安装SUS Client
客户机是否要安装SUS Client程序,取决于它采用了哪种操作系统和安装的修复补丁,对于Windows 2000+ SP2和Windows XP的用户,是必须安装SUS Client的。而Windows 2000+ SP3、Windows XP +SP1及其以上版本 和Windows Server 2003的用户则不需要安装,因为系统中已经内置了SUS Client。
2、合理配置SUS Client
A、添加模板
完成SUS Client安装后,还需要对其进行配置。在客户机上,点击“开始→运行”,输入“gpedit.msc”后回车,弹出组策略编辑器,依次展开“计算机配置→管理模板”,右键点击“管理模板”后,选择“添加/删除模版”,在“添加/删除模版”对话框中点击“添加”。
找到“x:\windows\inf”目录下的“wuau.adm”(x表示windows的系统盘,默认为C),双击该文件,完成模板的添加。
B、配置组策略
接着依次展开“计算机配置→管理模板→Windows组件→Windows Update”,在右栏中双击“配置自动更新”策略,在属性对话框中配置更新时间和处理方法,选择“已启用”选项,在“配置自动更新”下拉列框中选择“4-自动下载并计划安装”,接着在下面的“计划安装日期”和“计划安装时间”中设置合适的日期和时间,最后点击“确定”。
打开“指定企业内部互联网Windows Update服务位置”策略,选择“已启用”,接着在输入框中指定SUS服务器的位置,可以使用SUS Server机器名或IP地址,最后点击“确定”。
接下来按照上面的方法为局域网中每台客户机配置SUS Client。配置完成后,所有的客户机就可以按照指定的设置,自动连接到SUS Server进行更新,并且所有的更新操作均在后台自动进行的,不需要人为干预。
提示:在工作组环境中,要手工为每台客户机进行SUS Client配置,虽然麻烦些,但对于小型局域网来说还是可以接受的。如果你网络规模较大,建议采用域环境,这样就只需要在域控制器中进行域组策略配置即可,免去了配置客户机的麻烦。
通过以上几步,就完成了SUS系统在局域网中的部署,以后升级就变得非常方便了,即使客户机被限制不能上网,只要SUS Server正常连接到互联网中,升级操作一样不受影响,从此再也不用为Windows升级发愁了。
固定链接
添加评论
Webmin系统管理工具安装详解
相对于其他GUI管理工具而言,Webmin具有如下显著优点:
1.Web管理方式使得Webmin同时具有本地和远程管理的能力;
2.插件式结构使得Webmin具有很强的扩展性和伸缩性。目前Webmin提供的标准管理:
3.模块几乎涵盖了常见的Unix管理,而且第三方的管理模块也不断地开发出来;
4.访问控制和SSL支持为远程管理提供了足够的安全性;
5.国际化支持,提供多国语言版本。
下面介绍tar.gz格式的Webmin的安装步骤:
1.安装Webmin需要先安装perl5.0.6或以上版本。如果目标系统上没有安装perl的话,需要到 http://www.cpan.org/下载并安装perl,同时需要安装常用的perl模块;如果需要Webmin支持SSL,还需要安装OpenSSL和perl模块Net:SSLeay。
2.到 http://www.webmin.com/webmin下载webmin-0.91.tar.gz ,把 webmin-0.91.tar.gz 解包到你想安装Webmin的目录,譬如/usr/local/webmin。
3.运行安装脚本setup.pl。安装过程会询问Webmin配置文件目录、Log目录和系统的监听端口(缺省是10000),还会要求设置管理员密码。安装脚本还会把Webmin安装成系统的守护进程,在开启系统时自动启动。
4.重新启动系统,访问 http://localhost:10000,如果出现了Webmin的登录界面就说明安装成功了。
下面的列表是Webmin的各种管理模块,我们可以对照每个管理模块的功能对我们的系统进行配置和维护。
管理模块 主要功能
Webmin活动日志 查看Webmin上的管理活动
Webmin配置 配置Webmin本身
Webmin用户管理 管理Webmin的用户
查找Webmin服务器 查找网络上其他的Webmin服务器
管理模块 主要功能
Linux磁盘阵列 配置/etc/raidtab,管理Linux磁盘阵列
Linux启动管理 配置/etc/lilo.conf,管理Linux的 系统启动参数
本地磁盘分区 管理本地磁盘分区
打印机管理 管理打印机
网络配置 配置网络接口、域名服务器、路由网 关等
系统时间 查看和设置系统时间,相当于date命令
管理模块 主要功能
Change Passwords 改变Unix系统中用户的密码,相当于passwd命令
Cron任务调度 配置/etc/crontab,管理定时调度 的任务
NFS输出 配置/etc/exports,管理系统的NFS服务的输出点
NIS Client和Server 配置/etc/yp.conf、/etc nsswitch.conf和/var/yp/securenets,
管理NIS的客户端和服务器
PAM Authentication 配置/etc/pam.d/,管理可插入认证模块PAM
Scheduled Commands 管理at命令调度的任务
SysV初始化配置 配置/etc/inittab,管理系统的启动参数
磁盘和网络文件系统 配置/etc/fstab,管理系统mount的文件系统
磁盘限额 管理系统中磁盘的使用限额
进程管理器 查看系统中运行的进程,相当于ps命令
软件包 系统安装包的管理,相当于rpm命令
使用手册 查找系统中的帮助文件,这些帮助文件包括manpages,perl doc 和Webmin的帮助
系统日志 配置/etc/syslog.conf,管理和查看系统日志
引导和关机 配置/etc/rc.d/,管理系统中守护进程
用户和群组 配置/etc/passwd、/etc/group和/etc/shadow,系统的用户管理
Apache服务 配置Apache服务器
BIND 4 DNS 服务器 配置BIND 4 DNS服务器
BIND 8 DNS 服务器 配置 BIND 8 DNS 服务器
DHCP服务器 配置动态IP服务器
FTP服务器 配置wu-ftpd
Fetchmail Mail Retrival 配置fetchmail
Majordomo 列表管理 配置majordomo
MySQL数据库管理器 配置MySQL服务器
PPP账号 配置/etc/ppp/pap-secrets,管理PPP的用户
Postfix 配置 配置postfix
PostgreSQL数据库服务器 配置PostgreSQL服务器
ProFTP Server 配置ProFTP服务器
Qmail Configuration 配置Qmail邮件服务器
SSH Server 配置SSH服务器
Samba Windows 文件共享 配置Samba服务器
SendMail 配置 配置 sendmail
Squid 配置 配置Squid代理服务器
Xinetd服务 配置 配置/etc/xinetd.conf和/etc/xinetd.d/,管理系统中启动的Internet服务
管理模块 主要功能
Cluster Software Package 用于管理Linux集群
Cluster Users and Groups 用于管理Linux集群
HeartBeat Monitor 用于管理Linux集群
管理模块 主要功能
Command Shell 在Linux服务器上执行一个命令
Perl 模块 管理perl的模块
SSH/Telnet登录 一个支持SSH的Telnet客户端
文件管理器 一个类似于Windows资源管理器 的文件管理模块,
管理Linux服务 器上的文件
系统和服务器的状态 查看系统中各种服务器(如HTTP、
FTP、Samba,MySQL等)运行状态
用户自定义命令 定义常用的命令
1. SSL支持
通过设定Webmin支持SSL,你可以通过https访问Webmin。SSL不仅会认证你的Webmin服务器,而且还会对管理过程中的网络通信进行加密。
2. 用户访问控制
用户访问控制使得管理员能控制每个模块能由哪些用户访问,访问某个模块的用户能够对该模块进行哪些操作等。
3. IP访问控制
IP访问控制可以限定哪些IP地址可以访问这个Webmin服务器,不在访问列表内的IP地址的访问将被禁止。
通过这些安全性加强,我们大可以安心地使用Webmin作为系统管理工具。总之,Webmin这种Linux、Unix系统管理工具,为我们正确高效地完成各种关键的系统配置提供了极大的方便。
固定链接
添加评论
Solaris基本安全配置
1)防止堆栈溢出
2)关闭不用的服务
3)给系统打补丁
#1 防止堆栈溢出
至少90%以上的安全问题都是来自所谓的“堆栈溢出”。攻击者通过给一个以root身份运行的程序提供比它所预期的输入多得多的东西,使被攻击程序无法处理而改变执行流程去执行攻击者指定的代码。
Solaris 2.6和Solaris 7都具备把用户堆栈设成不可执行的能力,以使这种攻击不能得逞。要使能这个特点:
0)变成root
1)对/etc/system文件做个拷贝
cp /etc/system /etc/system.BACKUP
2)用你最钟爱的编辑器编辑/etc/system文件
3)到文件的最后,插入以下几行:
set noexec_user_stack=1
set noexec_user_stack_log=1
4)保存文件,退出编辑器
一旦重启机器,这些改变就会生效。如果这不是一个你可以关闭的系统,那么你用adb来改变一个运行中的系统的参数也是可能的,但这不是我个人乐意去干的事。
当然会有些合法使用可执行堆栈的程序在你做出如上改变后而不能正常运行。所幸的是这样的程序的并不多,我所知的就只有GNU ada 编译器。
#2 在inetd.conf中关闭用不着的服务
有许多用不着的服务自动的处于使能状态。它们中可能存在的漏洞将使攻击者甚至不需要一个账户就能控制你的机器。关闭这些不需要的服务来保护你的系统,你可以用如下方法来关闭:
0)变成root
1)对inetd的配置文件/etc/inetd.conf做个拷贝
cp /etc/inetd.conf /etc/inetd.conf.BACKUP
2)编辑/etc/inetd.conf文件
未被激活的服务是在前面被“#“符号注释掉的,举个例子,你的部份inetd.conf可能是这样的:
# Tnamed serves the obsolete IEN-116 name server protocol.
#
name dgram udp wait root /usr/sbin/in.tnamed in.tnamed
不需要这个服务,因为你们中的99.999%不会用到这个“已经被废弃的IEN-116名字服务协议“,把这个注释掉以后,这行看起来会象是:
# Tnamed serves the obsolete IEN-116 name server protocol.
#
#name dgram udp wait root /usr/sbin/in.tnamed in.tnamed
^
|
看到这个新的“#” 符号了吧
我建议注释掉几乎所有的服务,只留下:
ftp stream tcp nowait root /usr/sbin/in.ftpd in.ftpd
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
time stream tcp nowait root internal
time dgram udp wait root internal
echo stream tcp nowait root internal
echo dgram udp wait root internal
discard stream tcp nowait root internal
discard dgram udp wait root internal
daytime stream tcp nowait root internal
daytime dgram udp wait root internal
rstatd/2-4 tli rpc/datagram_v wait root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd
fs stream tcp wait nobody /usr/openwin/lib/fs.auto fs
100083/1 tli rpc/tcp wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd
在只需要不多图形操作的服务器或是要保证相当的安全,你也许应该关掉字体服务fs,也可以关掉系统性能监视器rstatd和tooltalk服务器ttdbserverd。事实上在确实需要安全的机器上你甚至应该注释掉telnet和ftp。
你可以用grep找出机器能过inetd所提供的服务:
grep -v "^#" /etc/inetd.conf
这将返回/etc/inetd.conf中所有没被注释掉的行。
3)在/etc/inetd.conf中做出改变之后,找到inetd进程的id号,用kill向它发送HUP信号来刷新它。一定要确保kill了inetd进程后,它还在运行,例如:
root@multics: ps -ef | grep inetd
root 196 1 0 15:32:14 ? 0:00 /usr/sbin/inetd -s
root@multics: kill -HUP 196
root@multics: ps -ef | grep inetd
root 196 1 0 15:32:14 ? 0:00 /usr/sbin/inetd -s
#3 给系统打补丁
跟所有的复杂系统一样,SUN有它的漏洞,其中的一些从性质上来说是相当严重的。SUN公司有向它的客户甚至是没有技术支持的客户提供补丁的优良传统。这些补丁或者以集合包或者以单个补丁的形式存在的。不幸的是,要完全修补你的系统,既需要大的补丁集合包,又需要单个的补丁。
然而我们将介绍一种把补丁包和单个补丁结合起来使用的方法。
1)变成root
2)键入
umask 022
来设置你的许可模式--给系统打补丁不仅要求所有的补丁被"nobody"用户可读,而且包括补丁之前的所有目录(不要问为什么,反正是一般这么干的)。
3)创建一个叫“patch“的目录,并进入它,我一般是这样做的:
mkdir /var/tmp/patch
cd /var/tmp/patch
在你建“patch“目录的文件系统中要保证有足够的磁盘空间(提示:你可以试着键入df -k来看看文件系统上可用的磁盘空间,不要用/tmp!
4)用ftp连接sunsolve站
ftp sunsolve.sun.com
你的登录用户名是“anonymous“,口令是你的电子邮件地址。
5)转到二进制模式,键入:bin
关闭提示,键入:prompt
--你不需要为下载每个补丁回答”是,我需要下那个补丁“ 。
6)补丁位于sunsolve站的/pub/patches目录,所以键入:cd /pub/patches
7)得到对应于你操作系统版本的PatchReport文件,你可以用以下命令列出那些文件:ls *.PatchReport
例如:
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
ftp> ls *.PatchReport
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
Solaris1.1.1.PatchReport
Solaris1.1.2.PatchReport
Solaris1.1.PatchReport
Solaris2.3.PatchReport
Solaris2.4.PatchReport
Solaris2.4_x86.PatchReport
Solaris2.5.1.PatchReport
Solaris2.5.1_x86.PatchReport
Solaris2.5.PatchReport
Solaris2.5_x86.PatchReport
Solaris2.6.PatchReport
Solaris2.6_x86.PatchReport
Solaris7.PatchReport
Solaris7_x86.PatchReport
226 Transfer complete.
remote: *.PatchReport
360 bytes received in 0.0044 seconds (79.16 Kbytes/s)
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
对x86和sparc文件有不同的补丁报告文件,sparc版本的是那些没有“x86“字样的。
8)得到一份补丁报告文件,比如:get Solaris2.6.PatchReport
9)得到一份对应于你系统版本的推荐补丁集合包和它的README文件,可以用如下命令列出推荐的文件:
ls *Recommended*
输出可能是这样的:
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
ftp> ls *Recommended*
200 PORT command successful.
150 Opening ASCII mode data connection for file list.
2.3_Recommended.README
2.3_Recommended.tar.Z
2.4_Recommended.README
2.4_Recommended.tar.Z
2.4_x86_Recommended.README
2.4_x86_Recommended.tar.Z
2.5.1_Recommended.README
2.5.1_Recommended.tar.Z
2.5.1_x86_Recommended.README
2.5.1_x86_Recommended.tar.Z
2.5_Recommended.README
2.5_Recommended.tar.Z
2.5_x86_Recommended.README
2.5_x86_Recommended.tar.Z
2.6_Recommended.README
2.6_Recommended.tar.Z
2.6_x86_Recommended.README
2.6_x86_Recommended.tar.Z
7_Recommended.README
7_Recommended.zip
7_x86_Recommended.README
7_x86_Recommended.zip
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
你可以用mget命令把推荐文件和readme都拿下来,比如:mget 7_x86_Recommended*
这可能要等上一会儿。
10)在下载推荐文件的时候,你可以打开补丁报告文件看看,里面会有关于安全修补的一节可能是这样的:
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
Solaris 2.5.1 Patches Containing Security Fixes:
------------------------------------------------
103594-19 SunOS 5.5.1: sendmail fixes
103603-10 SunOS 5.5.1: ftp, in.ftpd, in.rexecd and in.rshd patch
103627-11 SunOS 5.5.1: Linker patch
103630-14 SunOS 5.5.1: ip ifconfig arp udp icmp patch
106689-01 * SunOS 5.5.1: /usr/sbin/in.uucpd patch
106905-01 * SunOS 5.5.1: apropos/catman/man/whatis patch
103566-43 OpenWindows 3.5.1: Xsun patch
106411-06 * OpenWindows 3.5.1: xdm patch
(& c.)
-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-=+=-
“*“标记的补丁没有包括在推荐补丁集合包里,我们要把它们包括进来。
11)当推荐补丁集合包下载完后,你需要下载补丁报告中所标记的单个补丁,最快的方法是用mget,这样用:
mget 106689* 106905* 106411*
重要:你可能想用一个mget命令得到所有的补丁,但mget的参数的个数是有限制的!
而且,我并没有指定版本号,这不仅仅是为了少输入字符和得到相关的README文件,也是因为在补丁报告发布过程中,版本号可能是会变化的。
12)下载完所有的东西后,键入:quit来结束ftp会话。
13)到现在,你已经下载了补丁集合包和单个补丁,因为继续下去打单个的补丁包太费体力,我们将先把补丁包和单个补丁合并起来。
首先解压补丁包:
如果你用的是Solaris 2.6或更早的,
uncompress 2*Recommended.tar.Z
tar -xvf 2*Recommended.tar
如果用的是Solaris 7,
unzip 7*Recommended.zip
其次,把所有的单个补丁移到你的建立的Recommended目录:
mv 1* *Recommended
然后,进到保存有全部补丁的Recommended目录:
cd *Recommended
14)现在我们可以把所有单个的补丁加到patch_order文件中,在这个文件中列出了所有将被install_cluster脚本安装的补丁,你可以手工把它们加进去(提示:这是错误的选择)或者用UNIX的命令工具来帮你做这件事。
如果你是Solaris 7,用下面的命令:ls *.zip | cut -d"." -f1 >> patch_order
如果是Solaris 2.6或以前的:ls *.tar.Z | cut -d"." -f1 >> patch_order
15)现在是解压所有单个补丁包的时候了,因为它们还是压缩格式的。
A)如果你用Solaris 7,你可以用unzip一次解压一个文件:unzip 108723.zip
讨厌的是,你不能用“unzip *.zip“,因为unzip不能这样工作,为了避免多次地输入unzip,你可以用下面的UNIX命令让unzip为你解压所有的东西:ls *.zip | xargs -n1 unzip
B)如果用的是Solaris 2.6或更低的,键入:uncompress *.tar.Z
现在你必须用tar分离出单个的补丁,你可以用以下命令一次处理一个文件:tar -xvf 108723.tar
讨厌的是,你不能用“tar -xvf *.tar“,因为tar不能这样工作,为了避免多次地输入tar,你可以用下面的UNIX命令让tar为你分离所有的东西:ls *.zip | xargs -n1 tar -xvf
16)到现在所有的补丁都准备好了,关闭计算机:/usr/sbin/shutdown -y -g0 -i0启到到单用户模式,对sparc:boot -s
对x86, 启动时, 键入:b -s
系统引导后,在提示符后输入root口令后,键入:mountall来mount所有的文件系统。
然后输入:cd /var/tmp/patch/*Recommended
进到保存所有补丁的目录,现在你可以键入以下命令来安装“所有”的补丁了: ./install_cluster
跟着提示做就行了。如果这是个Solaris 2.5.1或是个Solaris 2.6的系统,可以走开搞杯咖啡喝喝,因为要花点时间的。不要太担心补丁安装过程中的错误,很多时候出现错误是因为你没有安装一个特定的软件或已经打了某个补丁。
打完补丁后,关机重启,输入:/usr/sbin/shutdown -y -g0 -i6
好了,现在你就有了一个修补过的系统了.
固定链接
添加评论
使用Solaris搭建路由器
我们在单位里调试用户系统时,单位的网络地址一般和用户的网络地址不在一个网段上,如果没有路由器则两网不能互通,那对工作会很有影响。硬路由器价格昂贵也没有必要去配,因为SOLARIS可以很容易地设成软件路由器,而不需另外花费。
1、编辑文件/etc/hosts,为该工作站加另一个网段地址:
#vi/etc/hosts
127.0.0.1localhost
192.9.200.1serverloghost;本例的主机名及地址
192.9.201.1 anoserver;另一个对应的名称及地址
2、编辑文件/etc/nerworks,将两个网络的地址加入:
#vi /etc/networks
loc 192.9.200;本网网址
ano 192.9.201;另一个网的网址
3、新建文件/etc/gateways,该文件只要存在没有内容也可,以使SOLARIS在启动时运 行路由器服务进程。
#cat/dev/null>/etc/gateways
4、查询主网卡的名称:
#ifconfig-a;列出系统中的所有网络接口
loO:flags=849
inet 127.0.0.1 netmask
ff000000
hneO:flags=863
inet 192.2.200.1 netmask ffffff00 broadcast
192.2.200.255
ether 8:0:20:1:2:3
hme即为工作站上所配的100M网卡名,如果你所用的是10M网卡则名为le。
5、新建文件/etc/hostname.hme0:1,将/etc/josts中的另一个主机名填入,以使SOLARIS启动时在物理接口hme0上建立一个逻辑接口。
6、设置完以上各步后,重启工作站
7、效果:
在工作站启动中,可以看到“machine is a router.”的噗显示。表明本机已成为一个路由器,会向网络上发RIP包,用接口查询命令可见:
#ifcofig -a ;列出系统中的所有网络接口
lo0:flags=849
inet 127.0.0 .1etmask ff00000
hne0:flags=863
inet 192.9.200.1 netmask ffff00 broadcast
192.9.200.255
hne0:1:flags=8d0
inet 192.9.201.1 netmask ffff00 broadcast
192.9.201.255
以上表明已启动了hme0上的一个逻辑接口,地址为192.9.201.1。
在别的UNIX机器上,会根据RIP包自动将该工作站加入到路由表中,在PC机上(例如WIN95),只要在控制面板中将TCP/IPM网络的网关设置为该工作站的地址(使用与本机同一个网络的地址),就可以与另一网络的机器通迅了。
固定链接
添加评论
SUN系统维护命令大全
2、查看cpu个数 (错误,不正确,因为sun中的top命令不能完全看到所有的cpu情况,与HP用法也不一样)
#top
CPU states: 99.3% idle, 0.1% user, 0.6% kernel, 0.0% iowait, 0.0% swap
表示只有一个cpu
正确方法:
用dmesg |grep cpu
便可以看到正确的 cpu个数了。
3、查看内存
#dmesg |grep mem
mem = 2097152K (0x80000000)
avail mem = 2087739392
4、查看磁盘的个数
#vxdisk list
DEVICE TYPE DISK GROUP STATUS
c0t0d0s2 sliced - - error
c0t0d0s7 simple c0t0d0s7 rootdg online
c1t0d0s2 sliced - - online
c1t1d0s2 sliced smpdg2 smpdg online
c1t2d0s2 sliced smpdbdg1 smpdbdg online
c2t0d0s2 sliced - - online
c2t1d0s2 sliced smpdg1 smpdg online
c2t2d0s2 sliced smpdbdg2 smpdbdg online
5、如何查看文件系统
#df -k
Filesystem kbytes used avail capacity Mounted on
/dev/dsk/c0t0d0s0 4032142 1050675 2941146 27% /
/proc 0 0 0 0% /proc
fd 0 0 0 0% /dev/fd
/dev/dsk/c0t0d0s6 7304977 29 7231899 1% /home
/dev/dsk/c0t0d0s5 4032142 402929 3588892 11% /opt
swap 3418392 32 3418360 1% /tmp
/vol/dev/dsk/c0t6d0/informix
201730 201730 0 100% /cdrom/informix
/dev/vx/dsk/smpdg/smpdg-stat
1055 9 941 1% /smpwork
/dev/vx/dsk/smpdg/lv_smp
17336570 128079 17035126 1% /sms
6、查看卷组、逻辑卷的位置
#cd /dev/vx/dsk/
比如smpdg等等都在该目录下了,然后再进入某个卷组目录就可以看到该卷组下面的逻辑卷了。
7、如何创建卷组、逻辑卷、文件系统
A、创建smpdg逻辑卷组(假设现在是将c1t1d0 和c1t2d0两块物理磁盘来创建smcpdg逻辑卷组)
vxdisksetup -i c1t1d0 (格式化物理磁盘)
vxdisksetup -i c2t1d0
vxdg init smpdg smpdg1=c2t1d0 (将物理磁盘加入到逻辑卷组smpdg)
vxdg -g smpdg adddisk smpdg2=c1t1d0
然后再来创建逻辑卷、文件系统
vxassist -g smpdg -U fsgen make lv_smp 17200m layout=nolog smpdg1
vxassist -g smpdg mirror lv_smp layout=nostripe smpdg2
newfs -C -f /dev/vx/rdsk/smpdg/lv_smp
假设现在的一台机器上挂接到/sms
mkdir /sms
chown smp:smp /sms
vxvol -g smpdg startall
mount /dev/vx/dsk/smpdg/lv_smp /sms
umount /sms
vxvol -g smpdg stopall
vxdg deport smpdg
然后再在第二台机器上挂接到/sms
mkdir /sms
chown smp:smp /sms
vxdg import smpdg
vxvol -g smpdg startall
newfs -C -f /dev/vx/rdsk/smpdg/lv_smp
mount /dev/vx/dsk/smpdg/lv_smp /sms
umount /sms
备注:以上是创建一个共享的文件系统
往往由于smpdg要分配给某一个应用来使用,所以需要再来创建一个个逻辑机运行时挂接的文件系统:
vxassist -g smpdg -U fsgen make smpdg-stat 2m layout=nolog smpdg1
vxassist -g smpdg mirror smpdg-stat layout=nostripe smpdg2
newfs /dev/vx/rdsk/smpdg/smpdg-stat
B、创建smpdbdg逻辑卷组
创建卷组:
vxdisksetup -i c1t2d0
vxdisksetup -i c2t2d0
vxdg init smpdbdg smpdbdg1=c1t2d0
vxdg -g smpdbdg adddisk smpdbdg2=c2t2d0
vxassist -g smpdbdg -U fsgen make smpdbdg-stat 2m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror smpdbdg-stat layout=nostripe smpdbdg2
newfs /dev/vx/rdsk/smpdbdg/smpdbdg-stat
创建逻辑卷:
vxassist -g smpdbdg -U gen make lv_rootdbs 128m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_rootdbs layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_logdbs 300m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_logdbs layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_phydbs 100m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_phydbs layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_tempdbs 1000m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_tempdbs layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_svcchunk1 2000m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_svcchunk1 layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_svcchunk2 2000m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_svcchunk2 layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_svcchunk3 2000m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_svcchunk3 layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_recchunk1 2000m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_recchunk1 layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_recchunk2 2000m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_recchunk2 layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_recchunk3 2000m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_recchunk3 layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_recchunk4 2000m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_recchunk4 layout=nostripe smpdbdg2
vxassist -g smpdbdg -U gen make lv_recchunk5 1700m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_recchunk5 layout=nostripe smpdbdg2
C、附逻辑卷的属性
vxedit -g smpdg -v set user=smp group=smp lv_smp
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_rootdbs
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_logdbs
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_phydbs
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_tempdbs
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_svcchunk1
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_svcchunk2
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_svcchunk3
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_recchunk1
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_recchunk2
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_recchunk3
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_recchunk4
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_recchunk5
备注:在SUN的机器中在给逻辑卷付属性的时候,等于用chown、chmod来作。
8、如何删除卷组
其实也就是去激活和倒出的过程,然后再来对物理磁盘重新格式化就完了。
vxvol -g smpdbdg stopall
vxdg deport smpdbdg
vxdisksetup -i c1t0d0
vxdisksetup -i c2t1d0
......
这样做了之后就不会再有/dev/vx/smpdbdg目录了。
9、如何建立共享卷组
在第一台机器上先建立卷组,假设已经建设好卷组smpdg,现在要在第二台机器上建立共享卷组smpdg,则先在的一台机器上将smpdg去激活、并且倒出smpdg:
smcp01>vxvol -g smpdg stopall
smcp01>vxdg deport smpdg
再来在第二台机器上激活、导入smpdg:
smcp02>vxdg import smpdg
smcp02>vxvol -g smpdg startall
切换后对用以下三个命令进行查看是否切换成功:
vxdg list //用于查看逻辑卷组的信息
vxdisk list //用于查物理磁盘的信息
vxprint -vt //用于查看所有卷的信息
10、如何查看磁盘的大小
方法一:
#format
然后选择盘的代号,回车进入下一级菜单,再选inquiry,就得到该盘的大小信息,比如:
Vendor: FUJITSU
Product: MAN3184M SUN18G
Revision: 1502
注意:format是一个功能强大的磁盘诊断工具。
方法二:
#cd /opt/SUNWexplo/bin/
运行explorer得到磁盘的信息包,是一个目录,进入该目录,就发现有一个disks目录,进入该目录发现有一个diskinfo文件,用如下命令看各个磁盘
的大小:
0: rmt/0ln HP C1537A L706 62########
1: c0t0d0 FUJITSU MAJ3182M SUN18G 0804 0041P90050##
2: c1t0d0 SEAGATE ST318203LSUN18G 034A 0025H54125##
3: c1t1d0 SEAGATE ST318203LSUN18G 034A 0026H70087##
4: c1t2d0 FUJITSU MAJ3182M SUN18G 0804 0046P66422##
5: c2t0d0 SEAGATE ST318203LSUN18G 034A 0026G30220##
6: c2t1d0 SEAGATE ST318203LSUN18G 034A 0026H59041##
7: c2t2d0 FUJITSU MAJ3182M SUN18G 0804 0051P91980##
8: ses0 SYMBIOS D1000 2 O8# SAF-
9: ses1 SYMBIOS D1000 2 O8# SAF-
11、查看informix的版本
#su - informix
informix>onstat -
这样可以看到informix的版本。
12、收集信息的工具
#cd /opt/SUNWexplo/bin/explorer
#explorer
运行之后得到一个文件夹和该文件夹的压缩包*.gz。我们可以进入该结果文件夹,在该文件夹中有各种需要查看的信息。
13、双机的脚本文件
#cd /opt/SUNWcluster/ha/smpwork
在ha下面有双机应用的文件夹,如smpwork,在该文件夹下面又有各种双机应用的配置文件。
14、双机的维护命令集
首先在节点smcp01机上启动cluster:
# scadmin startcluster smcp01 smcp
然后在节点smcp02机上将本节点启动:
# scadmin startnode
启动后观察cluster状态的命令是 :
# hastat //该命令可以显示cluster、节点、
逻辑机和Data service的状态,以及一些历史运行信息。
# get_node_status //该命令可以显示所在节点的节点号、公用网卡的状态等信息。
从图形化的本地终端(假设其IP地址为ip)中以smcp用户的身份登
录到SMCP主机(注意应使用SMCP的逻辑机地址)
% telnet smcpwork
在SMCP主机上设置环境变量DISPLAY
% setenv DISPLAY ip:0.0
在本地终端中执行
% xhost +
手工启动OAM
% oam&
以OAM操作员登录
分别在两个节点smcp01机和smcp02机上执行:
# scadmin stopnode
该命令使当前所在节点停止在cluster中运行,而且在两个节点上要分别执行该命令。
例如将smcpwork切换到节点smcp02上运行可以输入:
#scadmin switch smcp smcp02 smcpwork
例如将querywork切换到节点smcp02上运行可以输入:
#haswitch smcp02 querywork
hareg命令通过以下开关参数将Data service注册和激活
-r 将指定的Data service注册到cluster中
-u 将指定的Data service从cluster中取消注册
-y 激活指定的Data service,使其状态为On
-Y 激活cluster中所有的Data service,使其状态为On
-n 去激活指定的Data service,使其状态为Off
-N 去激活cluster中所有的Data service,使其状态为Off
hareg不带任何参数时可以查看所有Data service的当前状态
Data service只有在注册到cluster中之后,才会具有On或者Off的状态,处于On状态的Data service可以正常的对外提供服务,而处于Off状态的Data service是停止对外服务的。如果Data service被取消了注册,必须重新注册才能在cluster中运行起来。当然,使用hareg命令的前提是cluster已经启动并正常运行。
从图形化的本地终端(假设其IP地址为ip0)中以root用户的身份登录到SMCP主机(假设其IP地址为ip1):
在本地终端中执行
% xhost +
% telnet ip1
再在SMCP主机上设置环境变量DISPLAY
# DISPLAY =ip1:0.0
# export DISPLAY
# vxva
15、激活/去激活/导出/导入卷组
smcp01>vxvol -g smpdg stopall
smcp01>vxdg deport smpdg
smcp02>vxdg import smpdg
smcp02>vxvol -g smpdg startall
16、SUN Netra T 1125双机配置的详细注解
A、网络资源的配置
SUN Netra T 1125 共有4 个网卡:hme0 ,hme1 ,hme2和hme3 。
hme0和hme1 是SUN 服务器与公网通信的主备用网卡,只需要一个IP 地址;
hme2和hme3 作为双机之间心跳检测用,也需要配置一个IP 地址。
另外,TELLIN SMP 对外使用的是一个浮动的IP 地址,与数据IP 在同一网段,此地址由SUN 的双机软件SUN Cluster进行管理。
1)如何修改IP地址和主机名
IP地址涉及的文件有:
/etc/hosts (change the IP address)
/etc/netmasks (if subnetting)
/etc/defaultrouter (to specify the new gateway for this subnet)
改变主机名涉及的文件有:
/etc/hosts (change to the new hostname)
/etc/nodename (change to the new hostname)
/etc/hostname. (where is the name of the primary
interface for this system, i.e hostname.hme0 or hostname.le0.
Change to the new hostname.)
/etc/net/ticlts/hosts (change both columns to the new hostname)
/etc/net/ticots/hosts (change both coluums to the new hostname)
/etc/net/ticotsord/hosts (change both columns to the new hostname)
改完上述文件之后推荐重起一下机器。
2)如何配置hme0、hme1两块网卡的主备关系
只要给hme0配置地址就够了。
然后会再后面的双机配置中执行下面的命令建立逻辑机的时候会创建出这种关系来。
#scconf smcp -L smcpwork -n smcp01,smcp02 -g smcpdg -i hme0,hme0,smcpwork -m
3) 配置NAFO (Network Adapter Fail Over)
/opt/SUNWpnm/bin/pnmset
以下显示相关信息
In the following, you will be prompted to do
configuration for network adapter failover
do you want to continue ... [y/n]: y
How many NAFO backup groups on the host [1]:
Enter backup group number [0]:
Please enter all network adapters under nafo0
hme0 hme1
The following test will evaluate the correctness
of the customer NAFO configuration...
name duplication test passed
Check nafo0... < 20 seconds
hme0 is active
remote address = 129.9.168.101
test hme1 wait...
nafo0 test passed 本信息表明通过测试
注意:
NAFO配置时对网线的要求较高,有时要做多次才能成功。
B、配置双机
双机配置的一般过程是,先启动双机系统,在一个节点上配置cluster和包,检查无误后,使配置生效,然后就可以进行相应操作。
注意:
使用双机前,需要检查 smcpdg,querydg 的状态。执行如下步骤:
(1) 在两个节点分别执行:
# vxdg list
应该只看到 rootdg ,不能看到 smcpdg 和 querydg。
(2) 如果上以步操作看到 smcpdg 或 querydg,需要检查IDS是否在运行(Online)。
如果在运行,先终止IDS运行,然后使用 vxdg deport 放弃对 Disk Group 的控制。
====================
双机配置的一般过程是,先启动双机系统,在一个节点上配置cluster和包,检查无误后,使配置生效,然后就可以进行相应操作。
注意:
使用双机前,需要检查 smcpdg, querydg 的状态。执行如下步骤:
在两个节点分别执行:
# vxdg list
应该只看到 rootdg ,不能看到 smcpdg 和 querydg。
如果上以步操作看到 smcpdg 或 querydg,需要检查IDS是否在运行(Online)。如果在运行,先终止IDS运行,然后使用 vxdg deport 放弃对 Disk Group 的控制。
对双机系统进行配置
在1号机运行#scadmin startcluster smcp01 smcp。
待1号机双机软件起来之后,在2号机运行#scadmin startnode,将其作为节点加入双机对双机系统上逻辑机的配置
逻辑机与应用程序对应,是双机系统管理应用程序的方式,每个逻辑机在双机系统上只对外提供一个IP地址。
================================================
(2)配置cluster
仅仅在一台主机上运行
#scconf iin -L scpwork -n smcp02,smcp01 -g scpdg -i hme0,hme0,scpwork -m
注意:
该命令格式为:
scconf -L -n ,
-g -i
-m
其中 的顺序决定了该逻辑机在node1 上是主用,在node2上是备用。
备注:这里的逻辑机的主机名对应的浮动IP地址必须要在/etc/hosts文件中配置。
在每台机器上都要建立管理文件系统
# scconf iin -F scpwork scpdg
注意:
该命令格式为:
scconf -F
在 2 号机上运行配置逻辑主机querywork
#scconf iin -L smpwork -n smcp01,smcp02 -g smpdg -i hme0,hme0,smpwork -m
建立管理文件系统
# scconf iin -F querywork querydg
注册双机
hereg -u querywork
query.register
hereg -u smcpwork
smcp.register
C、配置应用程序
/etc/opt/SUNWcluster/conf目录
可以通过ccd.datatbase和smcp.cdb两个文件查看双机基本配置和cluster的信息,不要去手工改动这些文件,让系统去维护它们。
其中ccd.database有专门的守护进程维持该文件在两节点上的一致。
/opt/SUNWcluster/ha目录
该目录下包含了smcp和query两个子目录。smcp目录存放smcp部分的Data service相关的配置文件和执行脚本,其中smcp.config文件记录了smcpwork的基本配置,smcp.register用来注册 smcpwork,其它的文件是启动、停止和监测smcpwork的运行脚本。
query目录存放query部分的Data service相关的配置文件和执行脚本,其中query.config文件记录querywork的基本配置,query.register用来注册 querywork,其它文件是必需的运行脚本。 在把这两个Data service加入cluster时,必须分别通过hareg命令来进行注册,这些步骤已在安装时通过执行smcp.register和 query.register完成。
备注:再conf目录下的文件ccd.database如果两台机器不一致的话,就会导致双机不能
正常的切换。
D、双机配置的检验
(1) 先在主机上运行#scadmin startcluster smcp01 smcp
(2) 等待主机双机软件运行起来后在备机上运行
#scadmin startnode
(3) 在两台主机运行df -k 及ifconfig -a检验是否有错,运行hastat查看HA状态,可看到hme0捆绑了smcp,query 应用的浮动IP:
hme0 .... 129.9.168.101
hme0:1 .... 129.9.168.120
hme0:2 .... 129.9.168.140
(4) 用haswitch命令进行切换实验,将逻辑主机smcpwork 由物理主机smcp01上切换到物理主机smcp02上。
# haswitch smcp02 smcpwork
要查看是否切换成功,则有以下方法:
在主机 smcp02上用df -k查看磁盘资源。如果显示信息有以下内容,则说明切换成功:
/dev/vx/dsk/smcpdg/smcpdg-stat
在主机 smcp02上用 ifconfig -a 查看 ip 地址,若逻辑主机smcpwork的IP地址129.9.169.120
此时已绑定在hme0网卡(即公网的主网卡)上,则说明切换成功。
(5) 将/opt/SUNWcluster/bin/xps_check覆盖该目录下的db_check
用get_node_status检验双机的状态
smcp02>get_node_status
sc: included in running cluster
node id: 1
membership: 0 1
interconnect0: selected
interconnect1: up
vm_type: vxvm
vm: up
db: up
17、SUN Netra T 1125头次安装的时候如何来设置Terminal Concentrator。
=====================================
在TELLIN SMP 的SUN Netra T1125 标准配置中,主机为不带显示卡和显示器的SUN 服务器,因此使用终端集线器将两台主机上控制台(Console)信号接出到监控台上显示。由于在Solaris没有启动前,无法对主机进行控制,必须先设置终端集线器。如果Terminal Concentrator
(简称TC)已经设置好,则可以不用重设。
下面给出终端集线器的配置步骤。终端集线器一经配置完成就无须每次开机后再次配置,以下的配置过程假设 TC 的IP 地址为 129.9.168.23,子网掩码为 255.255.255.0。
(1) 用一台Sun工作站,用RS232玆J45电缆连接主机的串口A和终端集线器的 端口1。
在工作站/etc/remote文件中加上:
a:dv=/dev/term/a:br 9600:el=^C^S^Q^U^D:ie=%$e=^D:el=^C^S^Q^U^D:ie=%$e=^D:
(2) 在ROOT用户下键入: tip a
(3) 正确连接终端集线器和公网
(4) 将终端集线器上电
(5) 按一下终端集线器的Test键,Test指示灯亮并进入测试模式。注意:应当在电源灯亮后立即按
Test键,不能等到其进入正常运行态,相当于计算机中按“DEL”进入设置状态。
完成测试后,正确的各指示灯状态如表2-2所示。
表2-2 终端集线器的指示灯
灯名 Power Unit Net Attn Load Active
颜色 Green Green Green Amber Green Green
状态 ON ON ON OFF OFF 慢闪
(6) 在SUN工作站上将出现monitor::提示符,使用addr命令配置TC的IP和子网屏蔽码
monitor:: addr
输入IP: 129.9.168.23
输入子网屏蔽码: 255.255.255.0
(7) 退出tip应用程序
在monitor::提示符下:
monitor:: boot
monitor:: ~.
( 关掉终端集线器电源并重新开机,若用PC机 能 telnet 上去,即验证了上述配置的正确性。此时对终端集线器的各端口进行配置:
telnet 129.9.168.23
Trying 129.9.168.23...
Connected to 129.9.168.23.
Escape character is '^]'.
Enter Annex port name or number: cli
annex: su (切换到超级用户状态)
Password: 此处键入TC的IP地址
annex admin
Annex administration MICRO-XL-UX R7.0.1, 8 ports
admin : set port=1-8 type dial_in imask_7bits Y
You may need to reset the appropriate port, Annex subsystem or
reboot the Annex for changes to take effect.
admin : set port=2-7 mode slave
You may need to reset the appropriate port, Annex subsystem or
reboot the Annex for changes to take effect.
admin : quit
annex boot
bootfile:
warning:
*** Annex (129.9.168.23) shutdown message from port v1 ***
Annex (129.9.168.23) going down IMMEDIATELY
Connection closed by foreign host.w
安装完毕,撤消1口的串口线。
以上操作过程中可键入“?”或“help"出现帮助,在当前工作站上,可用使用PC机的超级终端等程序对TC进行设置。
===================================
18、查看物理磁盘的信息
用一下命令查看物理磁盘是分配给哪个逻辑卷组。
#vxdisk list
DEVICE TYPE DISK GROUP STATUS
c0t0d0s2 sliced - - error
c0t0d0s7 simple c0t0d0s7 rootdg online
c0t8d0s2 sliced - - error
c1t1d0s2 sliced c1t1d0 smcpdg online
c1t2d0s2 sliced - - online
c1t3d0s2 sliced c1t3d0 smcpdg online
c1t4d0s2 sliced - - online
c1t6d0s2 sliced - - online
c2t1d0s2 sliced c2t1d0 smcpdg online
c2t2d0s2 sliced - - online
c2t3d0s2 sliced c2t3d0 smcpdg online
c2t4d0s2 sliced - - online
c2t6d0s2 sliced - - online
19、SUN的小型机的内核参数的修改/etc/system
set shmsys:shminfo_shmmax=268435456
set semsys:seminfo_semmni=4096
set semsys:seminfo_semmns=4096
set semsys:seminfo_semmnu=4096
set semsys:seminfo_semume=64
set semsys:seminfo_semmsl=100
set shmsys:shminfo_shmmin=100
set shmsys:shminfo_shmmni=100
set shmsys:shminfo_shmseg=100
20、SUN双机运行的日志
cluster日志记在 var/adm/messaage 中,如果cluster运行中出现故障,我们可以查看该文件以帮助定位问题。另外,注意观察控制台屏幕上的消息。
cluster运行时的错误和告警信息,包括定时监测的结果,通常会实时的显示到控制台上。
21、如何使用光驱
A、如何利用光驱启动或者安装
先在主机上同时按住stop和A键,即是:stop+A,这样进入OK命令环境;
再在OK状态下输入boot cdrom则可以进入光盘启动了。
B、如何读光驱的内容
将光盘塞入光驱中,会自动挂接的
df -k看看光盘挂接在哪个目录下面了,
然后进入该目录就可以访问到光盘中的内容了。
22、如何使用终端集线器对SUN双机进行console的功能访问
修改/etc/default/login文件
将CONSOLE=/dev/console一行修改为
CONSOLE=/dev/console
否则只能通过TC来登录主机,其它方式无法登录。
23、关闭主机的命令
#shutdown --
24、如何利用远程磁带机来备份文件
假设两台机器smcp01和smcp02,只有在第二台机器上才有磁带机,那么第一台机器要通过如下的方式来使用第二台机器的磁带机:
写:
#tar cvf - /tmp/yqx | rsh smcp02 dd of=/dev/rmt/0m
如果执行不成功则先设置:
#obs=20b (20个block)
读:
#rsh smcp02 dd if=/dev/rmt/0m | tar tvf -
如果执行不成功,就先设置:
#bs=20b
25、如何查看当前的网络子网、网络的掩码是多少
1)查看子网
#netstat -in
查看hme0对应的:
Name Mtu Net/Dest Address Ipkts Ierrs Opkts Oerrs Collis Queue
hme0 1500 172.0.8.0 172.0.8.68 3430395 0 1134355 0 0 0
可知子网就是172.0.8.0
2)查看掩码
查看/etc/netmasks就可以了
3)查看地址
#ifconfig -a
或者查看/etc/hostname.hme0
注意:有些机器上的网卡的物理名字是le0。
26、如何从cluster中删除一个逻辑机呢?
1)先将逻辑机上的应用进行去注册
hareg -n scpwork;
hareg -u scpwork;
2)再将应用从逻辑机上删除
scconf tellincluster(cluster名) -s -r scpserv(应用名) scpwork(逻辑机名)
3)最后将逻辑机从cluster中删除
方法一)用scinstall来选择菜单change/logic hosts/remove 来删除
方法二)直接用命令scconf iin -L scpwork -r
备注:用scinstall命令可以查看到所有的关于sun双机配置的信息。
27、sun的逻辑卷组、逻辑卷的创建总结步骤
SUN:Volumn manager 简称VM,在此环境下永久性修改smcpdg/querydg等磁盘卷组的用户属性及读写权限的时候,不能用chown和chmod来修改的,只能用vxedit来修改。
补充:
初始化物理磁盘:vxdisksetup -i c1t2d0
vxdisksetup -i c2t2d0
创建卷组: vxdg init smpdbdg smpdbdg1=c1t2d0
vxdg -g smpdbdg adddisk smpdbdg2=c2t2d0
创建卷组挂接的文件系统:
vxassist -g smpdbdg -U fsgen make smpdbdg-stat 2m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror smpdbdg-stat layout=nostripe smpdbdg2
newfs /dev/vx/rdsk/smpdbdg/smpdbdg-stat
创建逻辑卷:
vxassist -g smpdbdg -U gen make lv_rootdbs 128m layout=nolog smpdbdg1
vxassist -g smpdbdg mirror lv_rootdbs layout=nostripe smpdbdg2
修改卷组权限:
vxedit -g smpdg -v set user=smp group=smp lv_smp
vxedit -g smpdbdg -v set user=informix group=informix mode=660 lv_rootdbs
查看卷组激活情况:vxdg list
导入卷组:vxdg import smcpdg
激活卷组:vxvol -g smcpdg start all
去激活卷组:vxvol -g smcpdg stop all
28、sun双机配置时关于自动启动双机的配置
为了保证SMCP双机在异常情况下可以在双机重新启动后自动拉起cluster,SUN机型:把双机系统的自启动脚本S99startcluster拷贝到系统的/etc/rc3.d目录下。此脚本包含下述内容,其中通常需要根据现场情况进行修改的项目有:
LOCALNODENAME、 REMOTENODENAME、 CLUSTERNAME
if [ $LOCALNODENAME = "smcp01" ]; then
REMOTENODENAME="smcp02"
# LOCALID=0
# REMOTEID=1
else
REMOTENODENAME="smcp01"
# LOCALID=1
# REMOTEID=0
fi
CLUSTERNAME=smcp-cluster
29、sun的总段上乱码的处理
当在终端窗口上进行输入字符的时候,出现了乱码的时候,这个时候有两种解决办法:
1)敲打del
2) Ctrl + <---BkSp(向左的删除键)
30、查看一个逻辑卷组下面有哪些物理磁盘
root@smp2 # vxdg list smpdbdg
Group: smpdbdg
dgid: 1035450560.1072.smp2
import-id: 0.1071
flags:
copies: nconfig=default nlog=default
config: seqno=0.1027 permlen=3447 free=3445 templen=2 loglen=522
config disk c1t0d0s2 copy 1 len=3447 state=clean online
log disk c1t0d0s2 copy 1 len=522
30、sun双机的维护命令
#scinstall
命令可以进行一系列的sun双机的维护,如:
Assuming a default cluster name of smp
Checking on installed package state
....................
============ Main Menu =================
1) Install/Upgrade - Install or Upgrade Server
Packages or Install Client Packages.
2) Remove - Remove Server or Client Packages.
3) Change - Modify cluster or data service configuration
4) Verify - Verify installed package sets.
5) List - List installed package sets.
6) Quit - Quit this program.
7) Help - The help screen for this menu.
Please choose one of the menu items: [7]:
31、如何删除逻辑卷
vxedit -g scpdbdg -fr rm 逻辑卷名
32、修改/etc/opt/SUNWcluster/conf/hanfs/vfstab.scpwork的文件系统
33、关于SUN小型机中创建用户注意
有时候创建好用户了之后,我们又会将它删除,正确的操作应该是userdel 用户名来删除。但是有时候可能会被工程师直接从/etc/passwd中删除,这个时候如果再来用useradd添加同名用户的时候,系统会提示添加失败,这个时候必须要注意将/etc/shadow文件中的该用户的配置行也要删除,删除以后让/etc/shadow文件和/etc/passwd文件中的用户保持一致,这样就又可以用useradd来添加了。
34、如何实现一个用户属于多个用户组呢?
35、查看swap空间
#swap -s
eg:
total: 76552k bytes allocated + 17184k reserved = 93736k used, 296608k available
固定链接
添加评论
solaris10一第光盘加硬盘安装方法
不久前笔者在自己笔记本上安装了Solaris 10,非常喜欢。 好东西要和大家分享,决定写一些心得体会来描述笔者是怎么安装、配置和使用Solaris 10。本文是这个系列的第一篇,讲下载、安装准备 、安装和基本配置。
下载:
从这个网址( http://www.sun.com/software/solaris/get.jsp) 可以下载最新的Solaris 10 3/05 for x64/x86的光盘。上去一看,有好多光盘啊,我下载了下面五张:
Solaris 10 3/05 CD 1
Solaris 10 3/05 CD 2
Solaris 10 3/05 CD 3
Solaris 10 3/05 CD 4
Solaris 10 3/05 Language CD
下载完Solaris 10 的光盘, 粗粗地看了一下其中的内容。第一张盘主要是Solaris 系统基本软件,第二张有许多和gnome相关的包,第三张主要是staroffice, 第四张包含了许多open source的软件如Apache/Ant/Python/TCL/mysql等等。
安装准备:
笔者还是喜欢用Linux 的分区工具, 通过使用 http://gceclub.sun.com.cn/NASApp/sme...14&thread=6819 描述
的方法做了分区。 我把自己60G的硬盘分为4个区,
名称 内容 类型 大小 文件系统 描述
/dev/hda1 Win->C: Primary 10G NTFS Windows XP
/dev/hda2 Ext Ext 25G --- 扩展分区
/dev/hda3 Linux Primary 10G EXT3 Linux
/dev/hda4 Solaris Primary 11.5G Solaris Solaris x86 partition
/dev/hda5 数据分区 Logical 12G FAT32 所有操作系统共享
/dev/hda6 数据分区 Logical 12G FAT32 所有操作系统共享
/dev/hda7 linux swap Logical 1G swap Linux swap,
其中第四个主分区ID配成了0x82 (Solaris 分区), 大小为12G, 然后把自己下载的文件都先解成.iso文件并放在/dev/hda5分区下,这个分区在Windows下面是D盘.
安装:
笔者比较吝啬,一看要刻那么多盘,不干了。决定试试只刻第一张盘的方法。 刻好第一张盘,把BIOS设为光盘启动,然后从光盘启动。 非常顺利地看到了Solaris 的启动界面:
SunOS Secondary Boot Version 4.02, 然后等待Initializing System... 选1。 Solaris Interactive, 继续等待. Configuring devices 那一步比较慢。
经过几分钟的等待后就看到系统自己认识了我的Intel Pro/100 VE 网卡 iprb0, 接着又看到系统自己认识了我的显卡(Nvidia Gefore 4 420)、键盘和鼠标等, 非常高兴!
要知道,在Solaris 9安装的时候,我可是费了好大的劲才配上显卡网卡的啊。(请参见
http://gceclub.sun.com.cn/NASApp/sme...14&thread=6681)
接着就开始配置了。 我选的是用简体中文安装,接下来配置网络、地域、时间、Root口令等,非常简单,这里我就不多说了。接下来我选择软件自动重新引导和自动弹出CD,
第一张盘安装的介质我选择了CD, 后面的几张盘我都是选择了网络文件系统。 接收License Agreement后选择了初始安装、自定义安装, 选择了所有的中文的软件包并且把默认语言环境设为中文的GB18030, 没有选择任何附加产品,然后选择整个群组/缺省包, 选择磁盘上的Solaris分区,选择不保留数据,在分布文件系统时,因为是个人机器, 我只配了/ 和swap 两个文件系统
我的文件系统如下
/ 10G
swap 1.5G
接着就开始安装了。
当第一张盘安装结束后, 要注意在重启过程中取出第一张光盘,否则机器又会从光盘启动。当系统提示第二张光盘的位置时,我选择了网络文件系统(目的是节约几张光盘)。
前面讲到,我的Solaris 10光盘ISO文件在/dev/hda5下面,也就是Windows下的D盘,是FAT32的文件系统。我的做法是,先打开一个Terminal,然后把这个FAT32的磁盘mount 到Solaris下,最后通过lofiadm/mount命令把ISO文件 mount到Solaris下面。做法如下:
1. 把FAT32的光盘mount到Solaris下面:
首先建立目的目录,我打算把/dev/hda5 mount到/wind, /dev/hda6 mount到/wine. 所以,运行# mkdir /wind #mkdir /wine.
接着/dev/dsk, ls 看到c0d0p0到c0d0p4, 这里c0d0p2就对应前面分区表中的/dev/hda2了,也就是那个扩展分区,里面包含了两个FAT32的logical-drive /dev/hda5和/dev/hda6。
在Solaris 里面用device-name和logical-drive分别对应主分区和逻辑分区。这里扩展分区的device-name是c0d0p2,/dev/hda5逻辑分区的logical-drive 可以用c 或者数字1来表示。 /dev/hda6的logical-drive是d 或者数字2。弄清楚了这些命令就简单了。
#mount -F pcfs /dev/dsk/c0d0p2:c /wind
#mount -F pcfs /dev/dsk/c0d0p2:d /wine
当然,要记住在/etc/vfstab里面加入下面两行,以便系统重新启动时能把FAT32的分区自动mount上
/dev/dsk/c0d0p2:c /dev/rdsk/c0d0p2:c /wind pcfs 2 yes -
/dev/dsk/c0d0p2:d /dev/rdsk/c0d0p2:d /wine pcfs 3 yes -
参考文档:
System Administration Guide: Devices and File Systems ( http://docs.sun.com/app/docs/doc/817-5093)
ch. 18. Mounting and Unmounting File Systems, Page 306, x86: How to Mount a PCFS (DOS) File System From a Hard Disk
2. 用lofiadm/mount命令做虚拟光驱
在Windows上有很多虚拟光驱程序,如Daemon, Virtual CD等,可以把.iso文件虚拟成光驱。 在Solaris下,我们用lofiadm命令。方法如下:
# lofiadm -a /wind/solaris10/sol-10-GA-x86-v2-iso.iso 把.iso文件export为块设备,参数-a 表示add, 这个命令的output是/dev/lofi/1。这样我们就可以把设备/dev/lofi/1 mount到文件系统了
# mount -F hsfs -o ro /dev/lofi/1 /mnt 把/dev/lofi/1 mount到/mnt
然后#cd /mnt, 看到mount成功后,里面有了光盘上的内容,再回到安装界面, 在路径里面输入/mnt, 然后就能顺利安装了。接下来要装第三张盘的时候,同样到Terminal去,
# umount /mnt 用来unmount, 这个不用我多说了
# lofiadm -d /dev/lofi/1
接着对照第二张盘的命令来安装第三、第四张盘和语言包。
装完后,系统会提示重新启动。 重启后,有CDE和JDS3两种桌面可供选择,我选择进入Java Desktop System 3的界面。
大功告成! 整个过程花了我将近2.5小时的时间。其中觉得第四张盘耗的时间最长。另外觉得JDS 3的桌面很漂亮也很方便使用。
基本配置:
1. 1400x1050分辨率的设置
我的笔记本分辨率是1400x1050的,而Solaris 10起来后默认使用的是1280x1024的,看起来有点模糊。查了一些文档,知道需要新建一个文件/etc/X11/xorg.conf。下面是我的/etc/X11/xorg.conf的内容。
[/etc/X11/xorg.conf]
Section "ServerLayout"
Identifier "X.org Configured"
Screen 0 "Screen0" 0 0
InputDevice "Mouse0" "CorePointer"
InputDevice "Keyboard0" "CoreKeyboard"
EndSection
Section "ServerFlags"
Option "HandleSpecialKeys" "Always"
EndSection
Section "Files"
RgbPath "/usr/X11R6/lib/X11/rgb"
ModulePath "/usr/X11R6/lib/modules"
FontPath "/usr/X11R6/lib/X11/fonts/TrueType/"
FontPath "/usr/X11R6/lib/X11/fonts/Type1/"
FontPath "/usr/X11R6/lib/X11/fonts/Type1/sun/"
FontPath "/usr/X11R6/lib/X11/fonts/F3bitmaps/"
FontPath "/usr/X11R6/lib/X11/fonts/misc/"
FontPath "/usr/X11R6/lib/X11/fonts/100dpi/"
FontPath "/usr/X11R6/lib/X11/fonts/75dpi/"
EndSection
Section "Module"
Load "dbe"
Load "extmod"
Load "record"
Load "xtrap"
Load "bitstream"
Load "speedo"
Load "type1"
EndSection
Section "InputDevice"
Identifier "Keyboard0"
Driver "keyboard"
EndSection
Section "InputDevice"
Identifier "Mouse0"
Driver "mouse"
Option "Protocol" "auto"
Option "Device" "/dev/mouse"
EndSection
Section "InputDevice"
Identifier "Mouse1"
Driver "mouse"
Option "Protocol" "IMPS/2"
Option "Device" "/dev/kdmouse"
Option "SendCoreEvents"
EndSection
Section "Monitor"
Identifier "Monitor0"
VendorName "Monitor Vendor"
ModelName "Monitor Model"
HorizSync 28.0-70.0
VertRefresh 55.0-100.0
DisplaySize 288 216
EndSection
Section "Device"
### Available Driver options are:-
### Values: : integer,
###
### [arg]: arg optional
#Option "SWcursor" # [
#Option "HWcursor" # [
#Option "NoAccel" # [
#Option "ShadowFB" # [
#Option "UseFBDev" # [
#Option "Rotate" # [
#Option "VideoKey" #
Option "FlatPanel" # [
#Option "FPDither" # [
#Option "CrtcNumber" #
Option "MergedFB" "true" # [
Option "CRT2HSync" "31-60" # [
Option "CRT2VRefresh" "50-75" # [
Option "CRT2Position" "Clone" # [
Option "MeataModes" "1400x1050-1024x768 1280x1024-1024x768 1024x768-1024x768 800x600-800x600 640x480-640x480"
Identifier "Card0"
Driver "nv"
VendorName "nVidia Corporation"
BoardName "NV17 [GeForce4 420 Go]"
BusID "PCI:1:0:0"
EndSection
Section "Screen"
Identifier "Screen0"
Device "Card0"
Monitor "Monitor0"
SubSection "Display"
Viewport 0 0
Depth 24
Modes "1400x1050" "1280x1024" "1024x768" "800x600" "640x480"
EndSubSection
EndSection
[End of /etc/X11/xorg.conf]
注意,我加入了
Section "ServerFlags"
Option "HandleSpecialKeys" "Always"
EndSection
这样在Xorg的XServer 碰到问题时,我就可以按"Alt + Ctrl + BkSp" 重新启动xserver了,非常方便。
另外我还根据我的实际情况到启动->首选项->桌面首先项->显示下面更改了很多东西,这里我就不一一描述了。其中比较重要的一个是为了把字体改大,我选择了字体->细节->分辨率,把每英寸点数从96改为120,解决了1400x1050分辨率下字很小的问题。
2. DHCP Client配置
我公司里用的是DHCP,但问题是DHCP Server给我分配的主机名老是dhcp-12什么的,而且会变动,对于装JES什么的特别不方便。于是我修改了
/etc/default/dhcpagent,把最后一行从PARAM_REQUEST_LIST=1,3,6,12,15,28,43 改为PARAM_REQUEST_LIST=1,3,6,15,28,43。
去掉了选项hostname(12)。这个大家可以看注释。 另外就是加入新文件/etc/nodename, 里面的内容是自己喜欢的主机名。我用的是lap1。
3. 默认权限的配置
系统默认是采用安全的方案,但我的机器上面没有什么非常重要的数据,而且经常需要用root用户进行ssh,telnet,ftp等,而这些系统默认都不允许。
没办法,手工改啦。
ssh:
/etc/ssh/sshd_config, 把PermitRootLogin改为yes。另外我曾经出现不能正常启动ssh service的情况。原因是没有在/etc/ssh下面自动生成
ssh_host_rsa_key
ssh_host_rsa_key.pub
ssh_host_dsa_key
ssh_host_dsa_key.pub
等key文件, 最后我手工生成了这些文件,解决了这个问题:
# ssh-keygen -b 1024 -t rsa1 -f /etc/ssh/ssh_host_key -N ""
# ssh-keygen -b 1024 -t rsa -f /etc/ssh/ssh_host_rsa_key -N ""
# ssh-keygen -b 1024 -t dsa -f /etc/ssh/ssh_host_dsa_key -N ""
telnet:
简单,修改文件/etc/default/login,把行CONSOLE=/dev/console注释掉,就可以用root用户telnet上来了
ftp:
只要修改/etc/ftpd/ftpusers, 把root用户注释掉就可以用root用户进行ftp了。
4. 默认shell的配置。
系统默认使用的是/sbin/sh,但我喜欢使用更流行的bash, 于是修改/etc/passwd,把第一行从root:x:0:0:Super-User:/:/sbin/sh 改为root:x:0:0:Super-User:/:/bin/bash,重新登陆后发现默认shell成功更改。据说这个做法不是特别安全,但我还是喜欢这么做。
5. 打印机的配置。
在Solaris 10的JDS桌面下安装打印机比较简单,只要通过启动->首选项->系统首选项->添加/删除打印机就行了。在图形界面里选择打印机->新的附加打印机或者新的网络打印机,通过图形界面就可以很简单配好打印机。
固定链接
添加评论
solaris 9 一般安全设置
只安装需要的软件包。
本例为solaris9
2. 安装系统补丁
从sunsolve.sun.com下载补丁
unzip 9_Recommended.zip
cd 9_Recommended
./install_cluster
3. 最小化启动服务
a. 禁止不需要启动的服务。一般情况下服务都可禁止启动
a.1 S01MOUNTFSYS
Mount all local filesystems ,不能禁止
a.2 S05RMTMPFILES
删除临时文件 需要启动
a.3 S20sysetup
系统设置 需要启动
a.4 S21perf
全部被注释掉了 。。。。。。
a.5 S30sysid.net
网络设置 需要启动
a.6 S40llc2
LLC2协议支持 需要启动
a.7 S42ncakmod
ncakmod is used to start or stop the Solaris Network Cache
and Accelerator ("NCA") kernel module 需要启动
a.8 S47pppd
ppp支持 不需要启动
执行:mv S47pppd _S47pppd
a.9 S69inet
tcp/ip的配置 需要启动
a.10 S70sckm
Sun fire 15000 Key Management Daemon 不需要启动
执行:mv S70sckm _S70sckm
a.11 S70uucp
Unix-to-Unix Copy 不需要
mv S70uucp _S70uucp
a.12 S71ldap.client
- 启动LDAP客户端 不需要
mv S71ldap.client _S71ldap.client
a.13 S71rpc
S71rpc + 启动rpcbind服务 rpcbind (RPC Portmap服务),如果需要CDE的话,这个进程是必需的 需要启动
a.14 S71sysid.sys
配置系统参数 需要
a.15 S72autoinstall
当放入sun兼容的媒体介质时,会自动启动安装脚本 不需要
mv S72autoinstall _S72autoinstall
a.16 S72directory
目录服务 不需要
mv S72directory _S72directory
a.17 S72inetsvc
启动inet server,包含named/nis 如果不需要 named和nis服务,可以禁用 不需要
mv S72inetsvc _S72inetsvc
a.18 S72slpd
打印服务 不需要
mv S72slpd _S72slpd
打印服务
a.19 S73cachefs.daemon
NFS缓存服务,可以提高NFS吞吐率 不需要
mv S73cachefs.daemon _S73cachefs.daemon
a.20 S73mpsadm
cluster 服务管理进程? 不需要
mv S73mpsadm _S73mpsadm
a.21 S73nfs.client
nfs客户端 不需要
mv S73nfs.client _S73nfs.client
a.22 S74autofs
当使用NFS时,这个进程会自动加载或卸载无用的用户网络文件系统
配置文件/etc/auto_home和auto_master
但是当没有使用nfs时,这个进程会对系统管理造成一些负面影响 不需要
mv S74autofs _S74autofs
a.23 S74syslog
系统日志服务进程 需要
a.24 S74xntpd
网络时间同步服务 不需要
mv S74xntpd _S74xntpd
a.25 S75cron
自动执行脚本服务 需要
a.26 S75flashprom
看起来象一个flash更新脚本 需要
a.27 S75savecore
核心内存转储脚本 需要
a.28 S76nscd
DNS名字缓存服务 不需要
mv S76nscd _S76nscd
a.29 S77sf880dr
针对V880机器的一个脚本 不需要
mv S77sf880dr _S77sf880dr
a.30 S80lp
打印服务 不需要
mv S80lp _S80lp
a.31 S80spc
还是打印服务 不需要
mv S80spc _S80spc
a.32 S85power
电源管理 需要
a.33 S88sendmail
邮件服务 不需要
mv S88sendmail _S88sendmail
a.34 S88utmpd
The utmpd daemon monitors the /var/adm/utmpx file
与帐号信息控制有关 ; 守护程序在规则的时间间隔内监控 /etc/utmp 文件以获得用户进程项的有效性。根据进程表
交叉校验该项的进程标识来除去/etc/utmp 文件中已终止的但未清除的用户进程。 需要
a.35 S89PRESERVE
不知所云 需要
a.36 S90loc.ja.cssd
看了脚本,不知到CS干吗 需要吧
a.37 S90wbem
WBEM,Solaris系统管理界面服务器,可以使用/usr/sadm/bin/smc
启动客户端程序连接管理 不需要
mv S90wbem _S90wbem
a.38 S91afbinit S91gfbinit S91ifbinit S91jfbinit
For systems with Elite3D Graphics 没有显卡的基本就不要了 不需要
mv S91afbinit _S91afbinit
mv S91gfbinit _S91gfbinit
mv S91ifbinit _S91ifbinit
mv S91jfbinit _S91jfbinit
a.39 S91zuluinit
Find out how many zulu cards are installed on the system 不需要
mv S91zuluinit _S91zuluinit
a.40 S93cacheos.finish
cache文件系统 不需要
mv S93cacheos.finish _S93cacheos.finish
a.41 S94Wnn6
日文输入系统 不需要
mv S94Wnn6 _S94Wnn6
a.42 S94ncalogd
NCA进程日志 不需要
mv S94ncalogd _S94ncalogd
a.43 S95IIim
启动输入法守护进程 Solaris国际化支持的一部分,启动东亚语言输入法 需要
a.44 S95svm.sync
devfsadm ,devfs同步进程 监控系统硬件,使/dev与/devices设备文件同步 需要
a.45 S98efcode
embedded FCode interpreter daemon, efdaemon is used on selected platforms as part of the processing of some
dynamic reconfiguration events 不知道干吗的, 只好让他运行了
a.46 S99atsv
可能是支持日文的,机器上没装, 不需要
a.47 S99audit
审计进程 需要
a.48 S99dtlogin
启动CDE登录进程 Solaris CDE图形界面启动进程 需要
a.49 S99rcapd
跟资源回收有关的 需要
rc3.d下面的
a.50 S13kdc.master S14kdc
Kdc服务 不需要
mv S13kdc.master _S13kdc.master
mv S14kdc _S14kdc
a.51 S15nfs.server
nfs服务 不需要
mv S15nfs.server _S15nfs.server
a.52 S16boot.server
远程启动服务 不需要
mv S16boot.server _S16boot.server
a.53 S34dhcp
dhcp服务 不需要
mv S34dhcp _S34dhcp
a.54 S50apache
http服务 不需要
mv S50apache _S50apache
a.55 S50san_driverchk
San驱动检查? 机器上没装 不需要
mv S50san_driverchk _S50san_driverchk
a.56 S76snmpdx
启动snmp服务 不需要
mv S76snmpdx _S76snmpdx
a.57 S77dmi
snmp的子服务 不需要
mv S77dmi _S77dmi
a.58 S80mipagent
启动Mobile IP 代理 不需要
mv S80mipagent _S80mipagent
a.59 S81volmgt
软盘光驱的卷管理 需要
a.60 S84appserv
Sun one server的东东 不需要
mv S84appserv _S84appserv
a.61 S89sshd
需要
a.62 S90samba
需要挂载windows文件系统才需要 不需要
mv S90samba _S90samba
a.63 S86directorysnmp
跟Sun Directory目录服务有关 不需要
mv S86directorysnmp _S86directorysnmp
a.64 S99JESsplash
不知道干吗 不需要
mv S99JESsplash _S99JESsplash
b. 与a相关的配置文件也可去除,使系统更加易于审计
4. 关闭inetd服务
a. ssh作为telnet和ftp来说更安全。
b. ssh作为启动服务并一直运行的时候,再将inetd服务器完全关闭。
c. 必须运行inetd服务的时候一定需要:
a.1. 只在inetd.conf里面保留需要服务的表项。
a.2. 对保留使用的inetd服务表项使用tcp wrappers (tcpd进程)。
a.3. 使用inetd -t 参数记录扩展的日志信息。
5. 调整内核
5.1 减少arp过期时间
ndd -set /dev/arp arp_cleanup_interval 60000
//ndd -set /dev/ip ip_ire_flush_interval 60000// solaris9 已经没有这个参数
5.2 IP Forwarding (IP转发)
a. 关闭IP转发
ndd -set /dev/ip ip_forwarding 0
b. 严格限定多主宿主机,如果是多宿主机,还可以加上更严格的限定防止ip spoof的攻击
ndd -set /dev/ip ip_strict_dst_multihoming 1
c. 转发包广播由于在转发状态下默认是允许的,为了防止被用来实施smurf攻击,关闭这一特性
ndd -set /dev/ip ip_forward_directed_broadcasts 0
5.3 路由
a. 关闭转发源路由包
ndd -set /dev/ip ip_forward_src_routed 0
5.4 ICMP:网络控制信息协议
a. 禁止响应Echo广播:
ndd -set /dev/ip ip_respond_to_echo_broadcast 0
b. 禁止响应时间戳广播
ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0
c. 禁止响应地址掩码广播
ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0
5.5 重定向错误
a. 禁止接受重定向错误
ndd -set /dev/ip ip_ignore_redirect 1
b. 禁止发送重定向错误报文
ndd -set /dev/ip ip_send_redirects 0
c. 禁止时间戳响应
ndd -set /dev/ip ip_respond_to_timestamp 0
5.6 SYN_flood攻击又称半开式连接攻击,
a. 将默认的队列值从1024提高到4096来降低受到攻击时的危害
ndd -set /dev/tcp tcp_conn_req_max_q0 4096
5.7 连接耗尽攻击
a. 将核心以连接队列参数(默认是128)增大到1024来预防这种攻击
ndd -set /dev/tcp tcp_conn_req_max_q 1024
5.8 防止IP 欺骗
对于solaris系统Tcp协议实现的ISN生成有三种方式
0: 可预测的ISN
1: 增强的ISN 随机生成
2: RFC 1948描述的ISN生成方式
所有版本的solaris默认生成方式值是1。2.5.1只有 0,1两种方式,2.6/7拥有0,1,2三种ISN生成方式。
修改/etc/default/inetinit文件来提高ISN的生成强度。将 TCP_STRONG_ISS=1改为 TCP_STRONG_ISS=2重起系统生效。
5.9 增加私有端口
一般的情况下,1-1024端口被称为私有端口,只允许具有根权限的进程连接。但是有些大于1 024的端口,即使需要这样的限制,
却无法定义,如NFS的服务器端口2049,当然还有一些其他定义的高于1024的私有端口。
a. 自定义最小的非私有端口
ndd -set /dev/tcp tcp_smallest_nonpriv_port 2050
这样以来,0-2049都被定义为私有端口。
b. 用来显示已经定义的扩展私有端口
ndd /dev/tcp tcp_extra_priv_ports
c. 单独增加一个私有端口定义
ndd -set /dev/tcp tcp_extra_priv_ports_add 6112
d. 删除私有端口定义
ndd -set /dev/tcp tcp_extra_priv_ports_del 6112
e. 要注意的是,不要随便定义私有端口,因为有些非根权限的进程会使用这些端口。特别是改变最小非私有端口这个参数,
经常会引起问题。应仔细分析你的需求再用扩展私有端口定义的方式单独增加。
f. ndd /dev/tcp tcp_extra_priv_ports 执行结果(某系统)
2049
4045
9010
一共定义了3个私有端口
5.10 其他内核参数的调整
a. – Enable stack protection 直译为允许堆栈保护,应该使防止缓冲区溢出攻击
You should definitely add the following two lines to your /etc/system file:
set noexec_user_stack = 1
set noexec_user_stack_log = 1
b. – Prevent core dumps 避免核心内存转储
coreadm -d process
c. – Set limits on processes
6. 增强日志记录
Definitely tweak syslog.conf to capture
auth.info and daemon.notice msgs
? Create /var/adm/loginlog
? Additional levels of logging:
– System accounting (sar and friends)
– Process accounting
– Kernel level auditing (BSM)
7. 保护文件系统
? File systems should either be mounted
"nosuid" or "ro" (read-only)
? Set "logging" option on root file system
if you're running Solaris 8 or later
? Don't forget removable media devices:
– Turn off vold if possible
– Make sure rmmount.conf sets "nosuid"
8. 设置警告信息
两个文件 /etc/motd ;/etc/issue
– /etc/default/{telnetd,ftpd}
– EEPROM
– GUI Login
9. 加强系统的访问控制
9.1. 只允许root从console登陆
CONSOLE=/dev/console is set in /etc/default/login
sshd_config 里面设置 PermitRootLogin no
9.2. 禁止或删除不用的帐号
对不需要登陆的帐号,可将/etc/passwd文件中的shell选项修改为/bin/false 或者/dev/null
9.3. 创建/etc/ftpusers
在该文件中未指定的用户才能使用ftp服务
9.4. 禁止.rhosts支持
a. 删除系统中的.rhosts文件
b. 使用ssh的情况下,保证sshd_config文件中("IgnoreRhosts yes")
c. /etc/pam_conf and remove any lines containing rhosts_auth, even if you've disabled rlogin/rcp.
9.5. 限制对cron和at的访问
cron.allow and at.allow列出有权运行提交修改cron和at任务的用户
9.6. 设置eeprom到安全模式
Setting "eeprom security-mode=command" will cause the machine to prompt for a password
before boot-level commands are accepted. This prevents attackers with physical access from booting from
alternate media (like a CD-ROM) and bypassing your system security.
9.7. 限制xdmcp,设置锁定屏幕的屏保
If you're running X Windows on the machine, make sure to disable remote XDMCP access in
/etc/dt/config/Xaccess. You may also want to set a default locking screensaver timeout for your
users in /etc/dt/config/*/sys.resources.
10. 安装安全工具
10.1 至少的安全工具
– SSH
– TCP Wrappers
– NTP
– fix-modes
10.2 增强工具
– Tripwire, AIDE, etc.
– Logsentry (formerly Logcheck) or Swatch
– Host-based firewall, Portsentry, etc.
参考文章 : 都非常值得一读
http://www.deer-run.com/~hal/SolarisWebcast.pdf 总体框架
http://fanqiang.chinaunix.net/safe/system/2002-12-02/2644.shtml 网络参数调整部分
http://www.nsfocus.net/index.php?act=magazine&do=view&mid=679
http://www.douzhe.com/article/print.php/638.html 最小化启动部分
固定链接
添加评论
Webmin系统管理工具安装详解(Jesse Lee)
相对于其他GUI管理工具而言,Webmin具有如下显著优点:
1.Web管理方式使得Webmin同时具有本地和远程管理的能力;
2.插件式结构使得Webmin具有很强的扩展性和伸缩性。目前Webmin提供的标准管理:
3.模块几乎涵盖了常见的Unix管理,而且第三方的管理模块也不断地开发出来;
4.访问控制和SSL支持为远程管理提供了足够的安全性;
5.国际化支持,提供多国语言版本。
下面介绍tar.gz格式的Webmin的安装步骤:
1.安装Webmin需要先安装perl5.0.6或以上版本。如果目标系统上没有安装perl的话,需要到 http://www.cpan.org/下载并安装perl,同时需要安装常用的perl模块;如果需要Webmin支持SSL,还需要安装OpenSSL和perl模块Net:SSLeay。
2.到 http://www.webmin.com/webmin下载webmin-0.91.tar.gz ,把 webmin-0.91.tar.gz 解包到你想安装Webmin的目录,譬如/usr/local/webmin。
3.运行安装脚本setup.pl。安装过程会询问Webmin配置文件目录、Log目录和系统的监听端口(缺省是10000),还会要求设置管理员密码。安装脚本还会把Webmin安装成系统的守护进程,在开启系统时自动启动。
4.重新启动系统,访问 http://localhost:10000,如果出现了Webmin的登录界面就说明安装成功了。
下面的列表是Webmin的各种管理模块,我们可以对照每个管理模块的功能对我们的系统进行配置和维护。
管理模块 主要功能
Webmin活动日志 查看Webmin上的管理活动
Webmin配置 配置Webmin本身
Webmin用户管理 管理Webmin的用户
查找Webmin服务器 查找网络上其他的Webmin服务器
管理模块 主要功能
Linux磁盘阵列 配置/etc/raidtab,管理Linux磁盘阵列
Linux启动管理 配置/etc/lilo.conf,管理Linux的 系统启动参数
本地磁盘分区 管理本地磁盘分区
打印机管理 管理打印机
网络配置 配置网络接口、域名服务器、路由网 关等
系统时间 查看和设置系统时间,相当于date命令
管理模块 主要功能
Change Passwords 改变Unix系统中用户的密码,相当于passwd命令
Cron任务调度 配置/etc/crontab,管理定时调度 的任务
NFS输出 配置/etc/exports,管理系统的NFS服务的输出点
NIS Client和Server 配置/etc/yp.conf、/etc nsswitch.conf和/var/yp/securenets,
管理NIS的客户端和服务器
PAM Authentication 配置/etc/pam.d/,管理可插入认证模块PAM
Scheduled Commands 管理at命令调度的任务
SysV初始化配置 配置/etc/inittab,管理系统的启动参数
磁盘和网络文件系统 配置/etc/fstab,管理系统mount的文件系统
磁盘限额 管理系统中磁盘的使用限额
进程管理器 查看系统中运行的进程,相当于ps命令
软件包 系统安装包的管理,相当于rpm命令
使用手册 查找系统中的帮助文件,这些帮助文件包括manpages,perl doc 和Webmin的帮助
系统日志 配置/etc/syslog.conf,管理和查看系统日志
引导和关机 配置/etc/rc.d/,管理系统中守护进程
用户和群组 配置/etc/passwd、/etc/group和/etc/shadow,系统的用户管理
Apache服务 配置Apache服务器
BIND 4 DNS 服务器 配置BIND 4 DNS服务器
BIND 8 DNS 服务器 配置 BIND 8 DNS 服务器
DHCP服务器 配置动态IP服务器
FTP服务器 配置wu-ftpd
Fetchmail Mail Retrival 配置fetchmail
Majordomo 列表管理 配置majordomo
MySQL数据库管理器 配置MySQL服务器
PPP账号 配置/etc/ppp/pap-secrets,管理PPP的用户
Postfix 配置 配置postfix
PostgreSQL数据库服务器 配置PostgreSQL服务器
ProFTP Server 配置ProFTP服务器
Qmail Configuration 配置Qmail邮件服务器
SSH Server 配置SSH服务器
Samba Windows 文件共享 配置Samba服务器
SendMail 配置 配置 sendmail
Squid 配置 配置Squid代理服务器
Xinetd服务 配置 配置/etc/xinetd.conf和/etc/xinetd.d/,管理系统中启动的Internet服务
管理模块 主要功能
Cluster Software Package 用于管理Linux集群
Cluster Users and Groups 用于管理Linux集群
HeartBeat Monitor 用于管理Linux集群
管理模块 主要功能
Command Shell 在Linux服务器上执行一个命令
Perl 模块 管理perl的模块
SSH/Telnet登录 一个支持SSH的Telnet客户端
文件管理器 一个类似于Windows资源管理器 的文件管理模块,
管理Linux服务 器上的文件
系统和服务器的状态 查看系统中各种服务器(如HTTP、
FTP、Samba,MySQL等)运行状态
用户自定义命令 定义常用的命令
1. SSL支持
通过设定Webmin支持SSL,你可以通过https访问Webmin。SSL不仅会认证你的Webmin服务器,而且还会对管理过程中的网络通信进行加密。
2. 用户访问控制
用户访问控制使得管理员能控制每个模块能由哪些用户访问,访问某个模块的用户能够对该模块进行哪些操作等。
3. IP访问控制
IP访问控制可以限定哪些IP地址可以访问这个Webmin服务器,不在访问列表内的IP地址的访问将被禁止。
通过这些安全性加强,我们大可以安心地使用Webmin作为系统管理工具。总之,Webmin这种Linux、Unix系统管理工具,为我们正确高效地完成各种关键的系统配置提供了极大的方便。
固定链接
添加评论
用NuSphere MySQL快速构建Linux网络平台
LAMP (Linux + Apache + MySQL + PHP/Perl) 近几年来发展迅速,已经成为Web 服务器的事实标准。这个术语代表了 Linux 平台上的 Apache 网站服务器; MySQL 数据库以及PHP 、Perl编程语言的结合。LAMP 不仅会成为企业接入互联网,也应该会在企业内部网络建设中大有作为。提到开放源代码,你马上就会意识到 Linux操作系统。Linux 是开放源码软件的代表,目前有越来越多的网站把他们的 Web 服务器架构在 Linux操作系统之上,因为 Linux 能够提供健壮的 Web 应用。
LAMP 所代表的不仅仅是开放源码,它更是开发和实施高性能Web应用的重要平台。根据2002年10月1日E-soft( http://www.securityspace.com/s_survey) 进行的一个独立的调查显示:Apache在Web服务器领域的市场份额是66.75%,大约是微软IIS(21.83%)的3倍。目前最好的Web建站黄金组合是Linux+Apache+Mysql+PHP/Perl, 但是在实际工作过程中需要分别下载,安装,配置Apache,PHP和Mysql,并且需要根据具体情况修改Apache的httpd.conf, PHP的php.ini还有MySQL的配置文件,如果出于安全考虑你还需要提供SSL(安全套接字协议)功能,那还得下载、配置正确的mod_ssl 等模块,这其中的任何步骤出现问题都会导致网站不能正确运行。又是下载,又是安装还要修改配置文件。想一次完全配置成功,即使对于一个经验丰富的Linux网络管理员也比较困难。
NuSphere MySQL是一个把包括MySQL,Apache,Perl,PHP包括在内的工具包. 另外增加了集中管理这几种软件的工具包, 它的官方网址是: http://ww1.nusphere.com/ 。只要简单注册一下就可以下载了。Linux版本包括的软件:MySQL 3.23.28、Perl 5.6.0
Apache 1.3.14、PHP 4.0.2、phpMyAdmin 2.1.0 Data Dictionary、WEBMIN 0.83 。
一、系统要求
硬件: 中央处理器:兼容 Intel X86处理器PentiumII 400 以上 ,64 兆(推荐128兆)内存,150兆以上硬盘空间 ,显示内存4兆。
软件: 内核版本基于2.2或以上 ,KDE2.0以上,X Window System XFree86 3.6.x 以上,桌面分辨率 至少为640×480 ,桌面颜色至少6万5千色(16位元)。
二、 安装前的准备工作
NuSphere MySQL安装过程中需要编译Apache,PHP和Mysql,所以需要GCC(2.96以上)和Qt(2.0以上)支持,所以要使用RPM来确认:
rpm -qa | grep gcc
rpm -qa | grep qt
三、命令行下安装软件
gunzip NuSphereMySQL-1.13.3-Linux.
tar.gztar vxf NuSphereMySQL-1.13.3-Linux.tar
cd NuSphereMySQL-1.13.3-Linux
./setup
系统提示:
which: no netscape in (/NuSphereMySQL-1.13.3-Linux/scripts:/sbin:/usr/sbin:/usr/local/sbin:/root/bin:/usr/local
/bin:/usr/bin:/usr/X11R6/bin:/bin:/usr/games:/opt/kde3/bin)
No browser found on this system
Please start a browser on your remote workstation and open the following
URLhttp://linux:4001 #在网络浏览器中输入:http://linux:4001#When finished close this program by typing CTRL-C #可以使用CTRL-C结束安装#
四、图形化的安装配置
按照系统提示我们在一个浏览器中输入:http://linux:4001 ,即可出现安装界面,用鼠标点击"Install"按钮进入安装方式见图-1。
图-1 图形安装界面
NuSphere MySQL提供了两种安装方式:"Quick Install"和"Custom Install"前者安装所有软件安装目录是:/usr/local/nusphere,这里笔者为了优化性能选择"Custom Install"然后用鼠标点击"Install"按钮进入自定义安装方式见图-2。
图-2 NuSphere MySQL自定义安装界面
在图-2中你可以选择安装的软件、安装目录和是否在开机时启动服务等其他选项。
主要模块的说明:
1、 Apache :Linux平台最优秀的Web服务器,监听端口号80。
2、 PHP:Hypertext Preprocessor(超文本预处理器),即PHP动态网站开发技术与ASP相似,也是一种嵌入HTML文档的服务器端脚本语言。其语法大部分与C、Java、Perl等语言相似,并形成了自己的独有风格,利用该语言Web程序员可以快速地开发出动态网页。PHP在大多数Unix平台、GUN/Linux和微软Windows平台上均可以运行。PHP支持所有主流数据库。它是完全免费的,使用时不需要支付任何费用。
3、 Perl:Perl语言被称为是一种"胶水语言"。所谓胶水语言,也就是说它是可以用来将许多元素连接在一起的语言。Perl语言能够利用你的数据库,将它转换成一个具有电子表格特性的文件,并且在你进行文件的处理时,根据需要对数据进行调整。Perl语言也能够利用文字处理文档,将它们转换成HTML文档,以便在Web页面上显示。Perl语言擅长的是将这些程序连接在一起。
4、 MySQL:MySql数据库本身没有图形化的界面,但它并不逊色于一些商用数据库软件。MySQL主要特点是快速、健壮和易用。支持多处理器,MySQL可以工作在不同的平台上。支持C、C++、Java、Perl、PHP、Python和TCL API。像所有的Linux应用一样,它也具有十分易于配置的特点。缺省监听端口号3306。
5、 Webmin,Webmin是一个基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。目前Webmin支持绝大多数的Unix/Linux系统,它为用户提供了基于WEB管理界面,不仅简化了用户管理,更重要的是它将整个Linux系统的管理都集成到了一个统一的管理界面中。Web管理方式使得Webmin同时具有本地和远程管理的能力;插件式结构使得Webmin具有很强的扩展性和伸缩性。目前Webmin提供的标准管理模块几乎涵盖了常见的Unix/Linux管理,访问控制和SSL支持为远程管理提供了足够的安全性;默认的端口号是10000,一般不用去改它。
6、 PhpMyAdmin:PhpMyAdmin是一套由PHP开发爱好者写的管理Linux下数据库的程序,phpMyAdmin可极好的解决使用的易用性问题。它对管理Linux下的数据库行之有效,用户可以通过Web浏览器新建删除数据库,增加、删除、修改表结构和表数据,还可以通过表单形式提交查询语句,返回数据结果。
选择完毕后用鼠标点击"Install"按钮,系统会依照相互依赖关系(Webmin是用Perl脚本语言编写的,因此在系统中要先安装Perl。)依次安装:"Prel"、"Mysql"、"Apache"、"Sample Website"、"PHP"、"PhpMyAdmin"、"Webmin"各个模块。见图-3。
图-3软件安装结束
五、系统测试
用鼠标点击"Click here to continue" 进入NuSphere MySQL控制中心这里你可以进行用Webmin对用户进行管理,用PhpMyAdmin建立、管理Mysql数据库等工作。见图-4。
图-4 NuSphere MySQL控制中心
最后测试一下Apache服务器是否正常,鼠标点击"hellocgi.pl" 如果在你的浏览器下图那么你就成功了。
图-5 Apache Web服务器
总结
NuSphere MySQL是一个非常高效安全Linux服务器的配置集成工具包,定制的过程完全用菜单驱动,而且都有简单的说明。不论是网管高手还是初级网管它都是一个不错的选择。
固定链接
添加评论
路由器和防火墙软件coyote Linux配置指南
TCP/IP协议是在Unix上发展起来的,并在Linux系统中得到了很好地继承,这使TCP/IP成为Linux系统不可分割的组成部分。因为 Linux系统中TCP/IP栈的实现尤为成熟,Linux更是号称拥有业界最强的路由功能,加之其灵活、容易定制的优点,所以深受资深网管和高水平用户的青睐。用户都是通过网关连接到互联网。网关多数是专用的路由器和交换机。目前,Linux的通用性越来越强,经过适当地配置之后,它完全可以担当互联网的物理基石——路由器这一重要角色。互联网上的高水平开发者对Linux进行精简和定制后,推出了Linux软件coyote Linux(北美土狼)是一款非常小巧方便的软件路由器和防火墙软件,它以一张软盘为载体,可以使用一些古老的机器做为代理防火墙,而它的功能却很强大,本文简要介绍一些coyote Linux的安装及配置使用。
它可以仅通过一张软盘来运行,有效降低了对硬件资源的要求,并提高了工作效率。coyote Linux声称可以在486以上的PC机上顺畅运行,而且只需8MB以上的内存。它的用途和设计思路与嵌入式系统非常类似。和另外一个Linux路由器/ 防火墙软件——LRP相比,它们的工作原理基本一致,不同之处在于LRP的配置方法相对比较原始,每一步都需要命令行或修改配置文件来进行,而 coyote Linux了交互式的选单向导配置程序,更易于操作。另外一个其中比较常见、配置简单的是BBIagent,但是现在已经不是免费的了,每台路由器的软件注册费为 36 美元。已经完全背离开源道路。
coyote Linux 官方网址:http://www.vortech.net/ 最新版本是2005年6月24日推出的2.24。主要功能:
1.支持静态IP地址连接方式,支持普通调制解调器拨号方式,支持PPPOE也就是ADSL的连接方式;
2. 程序内建DHCP服务器功能;
3. 防火墙,包括七层过滤;
4. IP自动转发,支持令牌回环,也就是俗称双通,能实现端口映射,将内部服务器发布出去。 5. 远程管理支持中文。
6. 可以设置为DNS服务器。
7. 可以配置为无线接入点或者打印服务器。
系统要求
作为路由器的计算机需要具有486以上的中央处理器、16MB以上的内存、软驱、连接局域网的网卡和连接互联网的网络设备,该设备可以是连接XDSL的网卡,也可以是线缆调制解调器(Cable Modem)或普通的调制解调器。支持以下网卡:
3com509 Modul:3c509
3com900 Modul:3c59x
Intel Ethernet Pro 100 Modul:eepro100
3com590 Modul:3c59x
RTL8139 Modul:8139cp eller8139too
下面详细介绍coyote Linux的安装及配置使用的步骤:
将安装coyote Linux软件的计算机加入局域网,如果是用ADSL/Cable调制解调器方式连接互联网,需要两块网卡,一块接入局域网,一块连接ADSL/Cables设备。笔者网络拓扑见图1。
步骤一:
软件下载安装:现在从http://www.coyotelinux.com/ 上可以下载到Linux版和Windows版的制作程序,为了体现开源精神我选择了Linux版本:
| #wegt http://downloads.vortech.net/cgi-bin/dlmgr/download?ChannelID=5&DownloadID=22 #tar vxf coyote-2.24.tar.gz;#cd coyote-2.24 #./makefloppy.sh Coyote floppy builder script v2.9 Please choose the desired capacity for the created floppy: 1) 1.44Mb (Safest and most reliable but may lack space needed for some options) 2) 1.68Mb (Good reliability with extra space) - recommended 3) 1.72Mb (Most space but may not work on all systems or with all diskettes) |
按照提示选择1。
步骤二:选择接入互联网方式
| Please select the type of Internet connection that your system uses. 1) Standard Ethernet Connection 2) PPP over Ethernet Connection 3) PPP Dialup Connection |
下面系统会自动工具检测到的网络设备,确定连接互联网所使用的协议类型。如果是安装了ADSL或线缆调制解调器,选择2;如果是专线选择1;如果是普通调制解调器拨号上网,则要使用3。以下操作是1为例。
步骤三:设置网络参数:
这个需要根据自己内部ip地址的分配情况进行设置。例如:如果内部网的ip是192.168.0.1/24,这里就要把ip设置成192.168.0.X。而其他的机子要将网关设置成这个地址。以上三个步骤选项见图2。
图2 相关配置选项
步骤四:选择是否把coyote Linux设置为dhcp服务器给其他的机器分配ip地址。可以根据自己的实际情况决定用还是不用。缺省设置是把它配置为dhcp服务器,IP分配地址:192.168.0.100-192.168.0.200。
步骤五:是否将coyote Linux构建“Demilitarized Zone”(DMZ)的区域。缺省设置是否。最简单的情况是直接将防火墙放置在外网和企业网络之间,所有流入企业网络的数据流量都将通过防火墙,使企业的所有客户机及服务器都处于防火墙的保护下。然而这种结构毕竟比较简单,企业中有许多服务器、客户机等资源需要保护,不同的资源对安全强度的要求也不同。不能用对待客户机的安全级别来对待服务器,这样服务器将会很危险;同样,也不能用对待服务器的安全级别来对待客户机,这样用户会感觉很不方便。针对不同资源提供不同安全级别的保护,可以考虑构建一个叫做“Demilitarized Zone”(DMZ)的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。许多防火墙产品都提供了DMZ的接口。硬件防火墙由于使用专门的硬件芯片,所以在性能和流量上有绝对的优势。
步骤六:设置DNS服务器选项
为局域网内计算机提供域名服务代理,加快主机名对应IP地址的查找,从而提高访问网页的速度,可自设主机名称和IP地址的解析。
步骤七:选择WEB管理语言。中文一般情况下选择CHN 。coyote Linux支持11国家的语言。见图3。
图3 语言设置选项
步骤八,选择日志服务器的地址,日志对于安全来说非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。
步骤九:系统自检,提示输入网卡中断、IO是否启用7层过滤等选项。RTL8139的pci接口的网卡,直接被支持的,IO地址和IRQ不需要设置的,直接使用会车键NEXT,如果你用的是ISA网卡就必须填写。完成后会系统当前信息,见图4。
图4 系统信息
步骤十:完成操作启动Linux路由器、防火墙
按照提示加入一张1.44MB的软盘,制作过程自动完成,大约需要250秒钟。coyote Linux软盘就完成了。用这张软盘启动一台打算作为路由器的机器,在bios里设置成软驱启动。
步骤十一:远程管理coyote Linux 路由器、防火墙
目前主要的远程连接技术大致分为以下两种:一种是基于浏览器的Web界面方式,另一种是基于命令行的方式。命令行的管理方式适合进行初始化、网卡配置等基本操作,不适合做丰富的管理功能。Web管理方式是另一种管理工具。这种方式提供了简单的管理界面,直观,是一种重要的管理工具,适合进行复杂的配置,连接多台服务器,同时支持丰富的审计和日志的功能。下面分别这介绍这两种方法。
SSH命令行方法:
目前通过SSH的远程管理工具在安全性上已经相当可靠,因为从目前来看,如果要对这些远程管理方式进行攻击,所有的可能就是在传输中。在传输中,假设所有的信息都被截下来,由于解密的工作量非常大,它依然是安全的。如果使用IDA加密算法,用每秒钟可以猜测10亿密码的分析机器,需要2的19 次方/年才可以解密。SSH由于它本身是一种协议,所以对于异构平台之间,不存在兼容性问题,是一种跨平台的方式。在Linux客户端下使用SSH,优点是操作更方便无须其他软件。用户只需要使用系统提供的默认的配置文件“/etc/ssh/ssh_config”,并且使用如下简单的命令即可登录:
| ssh -l root 192.168.0.1 [email protected]’s password: ******* |
图5 通过SSH登录的管理界面
下面简单介绍一下主菜单:
1)Edit main configuration file :修改主配置文件。
2) chang system password :修改系统密码。
3)Edit rc.local script file :修改/etc/rc.d/rc.local配置文件。
4)Custom firewall rule :自定义防火墙规则。
5)Edit Firewall configuration :修改防火墙配置。
6)Edit port forward :修改端口转发。
c) Show running configuration :查看正在运行的配置。
f)Reload firewall :重新加载防火墙。
r)Reboot system :重新启动系统。
w)Write configuration to disk :把配置文件写入磁盘。
q)quit :不存盘退出。
e)exit :存盘退出。
另外如果使用Windows操作系统的话,可以使用putty。该工具目前使用得相当普遍,可以从网上免费下载。最新版本为: putty 0.58。操作非常简单笔者就不赘述了。
浏览器管理方式:
浏览器方式管理界面一般需要完成对系统的配置、管理和监控。配置好之后,通过一个Web服务器、网络上任何一个计算机的浏览器都可以管理它。在浏览器的IP地址中输入它的地址和管理端口号8180(Coyote Linux自定义的端口为8180),然后输入管理员口令。即可见到如图所示管理界面。通常使用浏览器连接远程Linux服务器用于:远距离的技术支持。以前一般技术人员和用户之间的电话交流来进行,这种交流既耗时又容易出错。许多用户对Linux系统知道得很少,然而当遇到问题时,有了远程控制技术,技术人员就可以远程控制用户的电脑,就像直接操作本地电脑一样,只需要用户的简单帮助就可以得到该机器存在的问题的第一手材料,很快就可以找到问题的所在,并加以解决。见图5
- 18:49