книги хакеры / журнал хакер / 126_Optimized

>>

> winrm set winrm/config/client @

{TrustedHosts="system, system2"}

При выполнении задач администрирования UAC может вмешиваться и блокировать работу. Чтобы этого избежать, следует выбрать раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\system, где создать параметр LocalAccountTokenFilterPolicy типа DWORD со значением 1. Кстати, если из-под обычной учетной записи запускать в консоли команды, требующие прав админа, то можно получить сообщение

«Elevated permissions are required то run …». Решается это просто: выбираем в меню «Пуск» ярлык cmd.exe и в контекстном меню пункт «Run as administrator».

Список ролей и компонентов изменился, теперь их количество равно 17 и 40 (в Win2k8 — 16 и 35), некоторые роли получили другое название. Например, на смену технологии Terminal Services пришла новая — Remote Desktop Services, соответственно, поменялось и название. WSUS теперь является частью R2. И его не нужно самостоятельно тянуть из инета и устанавливать, следя за зависимостями. В компонентах находим BranchCache (локальное кэширование данных, полученных с центрального сервера), консоль управления Direct Access (упрощает подклю- чение пользователей к корпоративной сети), WinRM IIS Extension (компонент предназначен для управления сервером с использованием протокола WS-Management), а также средства миграции Windows Server Migration Tools (позволяют передавать некоторые роли и настройки с серверов Win2k3-Win2k8 в R2).

Для отдельных ролей (Web-server IIS, AD Domain Services, AD Sertificate Services, DNS, RDS) доступен инструмент Best Practices Analyzer (BPA). Он поможет настроить роль в соответствии с рекомендациями Microsoft, а в случае возникновения проблем — понять, что же собственно произошло, и при необходимости вернуть систему в начальное состояние. Три новых командлета для PowerShell — AddWindowsFeature, Get-WindowsFeature и Remove-WindowsFeature позво-

ляют добавить, удалить и просмотреть информацию о выбранной роли. Да, чтобы они были доступны, не забываем вначале работы загрузить модуль Servermanager. Например:

PS C:\> Import-Module servermanager

PS C:\> Get-WindowsFeature

И ставим нужный, выбрав из списка его название:

PS C:\> Add-WindowsFeature -Name "File-Services" –IncludeAllSubFeature

НОВОЕВACTIVEDIRECTORY Сервис AD DS (Active Directory Domain Services) получил в R2 несколько новых и весь-

ма интересных функций. Например, появилась корзина Active Directory Recycle Bin, напоминающая корзину Windows. Теперь случайно удаленный объект может быть быстро восстановлен. Учитывая, что ранее операция по реанимации учетной записи требовала больших усилий, такая возможность может только приветствоваться.

Восстановленный из AD RB объект получает все свои атрибуты. По умолчанию срок жизни удаленного объекта в AD RB составляет 180 дней, после чего он переходит в состояние «Recycle Bin Lifetime», теряет атрибуты и через некоторое время полностью удаляет-

ся. Изменить это значение можно, установив параметр msDSdeletedObjectLifetime. Если домен находится на уровне Win2k8R2, корзина AD активируется автоматически.

Новые командлеты PowerShell упростили администрирование сервером при помощи командной строки. Перевести домен в R2 режим очень просто:

PS C:\> Set-ADForestMode –Identity domain.ru -ForestMode Windows2008R2Forest

Теперь включаем AD RB:

PS C:\> Enable-ADOptionalFeature –Identity 'CN=Recycle

Bin Feature,CN=Optional Features,CN=Directory

Service,CN=Windows NT,CN=Services,CN=Configuration,DC= domain,DC=ru' –Scope Forest –Target 'domain.ru'

Просмотреть список удаленных объектов можно при помощи утилиты ldp.exe или воспользовавшись командлетами Get-ADObject и RestoreADObject.

В поставке R2 появилась новая утилита djoin.exe, назначение которой несколько необычно — подключение к домену, который сейчас недоступен. Такая необходимость может понадобиться при развертывании виртуальных машин и при заказе преднастроенной техники поставщику, чтобы не разглашать учетные данные. Принцип довольно прост: вначале на системе, подключенной к домену при помощи djoin.exe, создается XML-файл, который затем импортируется на подключаемой системе.

Кроме того, обновился центр администрирования Active Directory, интегрировавший в себя все задачи по управлению AD и заменивший ADUC (Active Directory Users and Computers console).

ЗАКЛЮЧЕНИЕ,ИЛИЖДЕМРЕЛИЗАНововведений

в Win2k8R2 достаточно много, и они действительно упрощают многие аспекты администрирования Windows-сетей. Конечно, к окон- чательному релизу что-то еще может измениться или добавиться.

Поэтому, как будет выглядеть финальная версия Win2k8R2, покажет время. А пока — качаем и тестируем! z

>> SYN/ACK

>>

диска + 1. Так мы перекладываем работу по уникализации номеров наборов правил на плечи команды mdconfig.

#vi /usr/local/bin/startvserver

#Подключаем виртуальный диск сервера MDNUM='mdconfig -n -a -t vnode -f $JAILDIR/$IP.image' mount /dev/md${MD}c $JAILDIR/$IP

echo $MDNUM > $JAILDIR/$IP.run

#Привязываем виртуальный сервер к сетевому интерфейсу… ifconfig $IF inet alias $IP

#…и накладываем ограничения на пропускную способность FWSETNUM=$(($MDNUM+1))

ipfw set disable $FWSETNUM

ipfw add set $FWSETNUM pipe ${FWSETNUM}0 ip from any to $IP

ipfw add set $FWSETNUM pipe ${FWSETNUM}1 ip from $IP to any

ipfw pipe ${FWSETNUM}0 config bw $BANDWITH ipfw pipe ${FWSETNUM}1 config bw $BANDWITH ipfw set enable $FWSETNUM

#Запускаем сервер

…

Скрипт stopvserver удаляет закрепленный за виртуальным сервером набор правил ipfw и отключает виртуальный диск.

#vi /usr/local/bin/stopvserver

#Отключаем виртуальный диск MDNUM=`cat $JAILDIR/$IP.run` umount $JAILDIR/$IP

mdconfig -d -u $MDNUM

#Удаляем правила ipfw и IP-адрес виртуального сервера

FWSETNUM=$((MDNUM+1))

ipfw delete set $FWSETNUM ifconfig $IF inet -alias $IP

МОНИТОРИНГПередтем,какприступитькнастройкесистемы мониторинга,определимсястем,чтожемывсе-такисобираемсямонито- рить.Однимизтребованийкнашемусервисубылаполнаясвободаклиентавотношениивиртуальногосервера.Поэтомумынеможемвыполнять мониторингсервисовклиентов,иимпридетсясамимпозаботитьсяоб этом.Cдругойстороны,мыдолжныобеспечитьбесперебойнуюработу всехвиртуальныхсерверов,чтопотребуетпостоянногослежениязаих работоспособностью.Создать базовую систему мониторинга виртуальных серверов не так уж и сложно. Надо всего лишь взять вывод утилиты jls и сравнить его со списком готовых к выполнению серверов (статус 'ok' в /usr/jailbase/db). Если какой-то сервер готов, но не запущен— попытаться его запустить и снова сравнить списки. Если сервера вновь

Ограничения

CPU/RAM

Внынешнемсостоянииподсистемаjail-окруженийFreeBSD неподдерживаетограничениянаобъемвиртуальнойпамятииливремя использованияпроцессора. Этосерьезныйнедостаток, надустранениемкоторогоработаютнепервыйгод. В2006 годуКрисДжонс попалспроектомреализацииидеиограниченийнаGoogle Summer of Code идажепредставилработоспособныепатчидляшестойветки, однакоразработчикиFreeBSD непринялиих. ПозднееКристоферТюнспортировалнаFreeBSD 7.0 частьэтихпатчей, отвечающую заограничениеобъемовпамяти, нонеосилилпортостальногокода. Наработкиобоихэнтузиастовдоступнынастраничкеwiki.freebsd. org/Jails. Впрочем, нестоитрассчитыватьнастабильностьили высокуюпроизводительностьядрапосленаложенияпатчей.

dvd

Полныеверсииконфиговискриптов(с комментариями)

тынайдешьнадиске.

не окажется в списке — отключить его (установить статус 'disabled') и начать бить тревогу (отправить письмо админу и создать специальный файл $JAILDIR/$IP.trouble).

Унасужеестьскриптдляcron,которыйостанавливаети отключаетвиртуальныесерверы,срокарендыкоторыхистек. Добавимнужнуюфункциональностьпрямовнего.Ниже приведенсокращенныйвариантэтогоскрипта;онсодержит базовыйнабордействий,выполняемыхнадкаждым«активным»сервером:

#vi /usr/local/bin/watchvservers

#Проверяем, запущен ли сервер

check_running()

{

#Покидаем функцию, если сервер работает исправно

jls | grep $IP && return

#Иначе пробуем его запустить /usr/local/bin/startvserver $IP > /tmp/

startvserver.out 2>&1 sleep 15

#Запустился? Тогда покидаем функцию jls | grep $IP && return

#Нет? Тогда отключаем его, генерируем файл

>>

trouble и отправляем письмо админу /usr/local/bin/disablevserver $IP

cp /tmp/startvserver.out $JAILDIR/${IP}.trouble cat $JAILDIR/${IP}.trouble | mail -s "watchvservers:

проблемы с сервером $IP" root exit

}

# Проверяем на истечение срока аренды check_est_time()

{

# Останавливаем и отключаем сервер, если его срок аренды истек

if [ $CURTIME -ge $ESTTIME ]; then /usr/local/bin/stopvserver $IP /usr/local/bin/disablevserver $IP

# Отправляем письмо админу и владельцу

cat $JAILDIR/${IP}.expire | mail -s "watchvservers: истек срок аренды сервера $IP" root cat /usr/ jailbase/message_expire | mail -s "www.host.com: срок аренды вашего сервера истек" $ACMAIL

fi

}

Пропишем скрипт в задания cron:

# crontab -e

MAILTO=root

*/20 * * * * /usr/local/bin/watchvservers

Скрипт будет следить за работоспособностью виртуальных серверов и докладывать об истечении срока аренды или проблемах администратору. В первом случае админ получит письмо с темой «watchvservers: проблемы с сервером <IP>» и выводом неудавшейся команды startvserver, который также будет записан в файл $JAILDIR/$IP.trouble. Задача админа в этом случае — подключиться к корневой машине, исправить проблему и вновь запустить виртуальный сервер. Во втором случае администратор получит сообщение «watchvservers: истек срок аренды сервера <IP>», после чего он может либо сразу удалить сервер командой delvserver, либо дождаться продления аренды владельцем (на его адрес тоже будет выслано специальное письмо, содержимое которого берется из файла /usr/jailbase/message_expire). В обоих случаях сервер будет переведен в состояние disabled и остановлен.

Команда mail подключается к локальному почтовому серверу для отправки письма, поэтому придется поднять Sendmail/Postfix или простой релей на основе ssmtp:

# cd /usr/ports/mail/ssmtp

# make install replace clean

Конфигурируем:

#vi /usr/local/etc/ssmtp/ssmtp.conf

#Кому пересылать почту, направленную пользователю root root=admin@host.com

#Адрес почтового сервера

mailhub=mail.host.com

rewritedomain=host.com hostname=_HOSTNAME_

Добавляем в файл обратных адресов запись, указывающую на адрес, с которого будут приходить письма от любого процесса, запущенного с правами root:

# echo root:system@'hostname' > /usr/local/etc/ssmtp/ revaliases

Корневая система также нуждается в постоянном наблюдении. Вот несколько параметров, которые требуют внимания:

•Работоспособность корневых сервисов;

•Нагрузка на сетевые интерфейсы;

•Нагрузка на CPU/RAM;

•Нагрузка на диск;

•Свободное дисковое пространство;

•Целостность.

Мы разделим систему наблюдения за хост-системой на две независимые части, первая из которых будет производить мониторинг ресурсов сервера и отдавать данные другой машине. Вторая будет следить за сбоями и аномалиями и оповещать в случае необходимости системного администратора.

Монитор munin, основанный на клиент-серверной архитектуре, прост и удобен в установке и настройке. Мы воспользуемся им для решения первой задачи. Для начала установим ноду munin, которая будет следить за параметрами системы и отдавать накопленные данные серверу:

#cd /usr/port/sysutils/munin-node

#make install clean

Создаем новый конфигурационный файл:

#cd /usr/local/etc/munin

#cp munin-node.conf.sample munin-node.conf

Открываем файл munin-node.conf и добавляем в него две строки:

СКРИПТWATCHVSERVERS

#vi /usr/local/etc/munin/munin-node.conf

#Имя хоста

host_name jail.host.com

# Адрес сервера, который будет собирать и отображать статистику

allow ^172\.168\.0\.1$"

Нода munin использует плагины для наблюдения за параметрами системы. Плагины лежат в каталоге /usr/local/share/munin/plugins, но реально используются только те из них, ссылки на которые есть в каталоге /usr/local/etc/munin/plugins. Поэтому переходим в этот каталог и создаем ссылки на нужные плагины:

#cd plugins

#for i in cpu df df_inode load memory netstat open_files

\

swap vmstat; do ln -s /usr/local/share/munin/ plugins/$i \

$PWD/$i; done

Также добавим ссылки на плагины if_ и if_errcoll_, которые предназначе- ны для наблюдения за сетевыми интерфейсами (выполни эти команды для всех сетевых интерфейсов):

отчет по трафику и сетевым подключениям# ln -s /usr/ local/share/munin/plugins/if_errcol_ $PWD/if_errcol_ed0

Запускаем munin-node и прописываем его в /etc/rc.conf для автомати- ческой загрузки:

#/usr/local/etc/munin-node.sh start

#echo "munin_node_enable=\"YES\"" >> /etc/rc.conf

На клиентской стороне все. Осталось настроить службу, которая будет опрашивать ноды и генерировать графики. Поэтому идем на сервер (который может быть той же машиной) и устанавливаем на нем muninmain:

#cd /usr/ports/sysutils/munin-main

#make install clean

Открываем файл munin.conf:

#cd /usr/local/etc/munin

#cp munin.conf.sample munin.conf

Èдобавляем в него следующие строки:

#vi /usr/local/etc/munin/munin.conf

#Имя клиента c установленным munin-node [jail.host.com]

#È åãî IP

address 172.30.5.129 use_node_name yes

Больше ничего трогать не надо. Команда munin-cron, которую система портов заботливо вписала в задания cron, будет запускаться каждые пять минут, собирать статистику с подчиненных нод, генерировать графики и помещать их в каталог /usr/local/www/munin. Чтобы просматривать графики, ты можешь либо поднять Web-сервер на этой машине, либо просто набрать «file:///usr/local/www/munin/index.html» в адресной строке браузера.

Возвращаемся на хост виртуальных серверов и приступаем к настройке monit, простого и удобного демона, следящего за порядком в нашей системе. Демон monit будет нашим сторожевым псом, которому мы прикажем сигнализировать обо всех неприятных ситуациях, таких как чрезмерная загруженность системы, заканчивающееся дисковое пространство или падение сервисов.

Устанавливаем monit:

#cd /usr/ports/sysutils/monit

#make install clean

Èдобавляем в его конфиг:

#vi /usr/local/etc/monitrc

#Проверка общих параметров системы: loadavg, занятая память, нагрузка на процессор

check system myhost.mydomain.tld if loadavg (1min) > 4 then alert if loadavg (5min) > 2 then alert if memory usage > 85% then alert

if cpu usage (user) > 90% then alert if cpu usage (system) > 30% then alert if cpu usage (wait) > 20% then alert

#Проверка "замусоренности" файловой системы

#ad0s2 — это диск, смонтированный к /usr или к $JAILDIR check device usrfs with path /dev/ad0s2

if space usage > 80% then alert

#Следим за работоспособностью демона sshd

check process sshd with pidfile /var/run/sshd.pid start program = "/etc/rc.d/sshd start"

stop program = "/etc/rc.d/sshd stop"

if failed port 22 protocol ssh then restart if 5 restarts within 5 cycles then timeout

Прописываем monit в /etc/rc.conf и запускаем:

#echo "monit_enable=\"YES\"" >> /etc/rc.conf

#/usr/local/etc/rc.d/monit start

ГЕТЕРОГЕННОСТЬПятое поле базы виртуальных серверов зарезервировано для хранения версии FreeBSD-окружения. С его помощью мы убиваем сразу двух зайцев. Во-первых, возможность выбора версии FreeBSD-сервера делает наш сервис более привлекательным для клиентов, — некоторым из них в силу определенных причин может понадобиться конкретная ревизия ОС. Во-вторых, метод прямого указания версии позволяет сохранить добрую тысячу нервных клеток во время обновления корневой ОС до новой версии. Разработчики FreeBSD следуют давней традиции сохранения совместимости с прошлыми ядрами, так что после обновления ОС существующие окружения останутся полностью работоспособными.

>>

В созданной нами системе существует только один вариант окружения, версия которого соответствует версии корневой ОС. В то же время FreeBSD 7.1 способна исполнять код, скомпилированный для предыдущих версий системы, вплоть до 4.11. Поэтому, если возникнет такая необходимость, просто скачай один из предыдущих релизов, установи его на соседний раздел и скопируй в новый базовый виртуальный диск. Срез нужной версии дерева портов можно получить с помощью cvsup:

# vi ~/ports-supfile

*default host=cvsup2.ru.FreeBSD.org

*default base=/var/db *default prefix=/usr/jailbase

*default release=cvs tag=RELENG_6_4 *default delete use-rel-suffix *default compress

ports-all

#cvsup ~/ports-supfile

#mv /usr/jailbase/{ports,ports-6.4-RELEASE}

ЧТОДАЛЬШЕ?Наша система управления и поддержки виртуальных серверов полностью готова к использованию, но как применить

ååвозможности для создания полноценного сервиса? Есть три варианта:

1.Все на одной машине. В этом случае BIND, Web-сервер и созданная

MUNIN: ОТЧЕТПОТРАФИКУИСЕТЕВЫМ ПОДКЛЮЧЕНИЯМ

нами система находятся на одной машине. На Web-сервере крутится сайт сервиса, который предоставляет клиенту возможность создать виртуальный сервер. Для этого он должен заполнить несколько форм, где указать доменное имя, свой почтовый адрес, срок аренды, тип аккаунта и т.д. Скрипт (может быть написан на PHP, Python, Perl) обрабатывает поля формы, формирует из них запрос к скрипту addvserver и вызывает его. Затем запускает скрипт startvserver, а клиенту возвращает страничку с адресом его сервера и сгенерированным ключом для доступа по SSH. Когда срок аренды истечет, watchvservers автоматически остановит сервер и отправит клиенту уведомление.

2.Масштабируемаясистема.Однамашинаедваливыдержитболее15 виртуальныхсерверов,поэтомумыдолжныиметьвозможностьвлюбой моментдобавитьновуюмашинувинфраструктуру.Масштабируемая системапредполагаетналичиецентральногосервера,обслуживающего Web-сервер,BIND,Sendmail,серверmuninиотправляющегозапросына созданиевиртуальныхсерверовнадругиемашины.Дляеереализации необходимолишьпредустановитьнакаждуюмашинунашусистему управлениявиртуальнымисерверами,munin-node,minitиssmtp,анацен- тральныйсервердобавитьнебольшуюоберткудляaddvserver.Онабудет сверятьсясоспециальнымспискоммашин,обслуживающихвиртуальные сервера,выбиратьизнихту,накоторойкрутитсянаименьшееколичество серверов,подключатьсякнейпоSSHивыполнятькомандуaddvserver. Послечего—сноваоткрыватьсписокиувеличиватьчисловиртуальных серверовдляэтоймашинынаединицу(плюсоберткадляdelvserver).

3.Правильная масштабируемая система. Второй вариант неплох,

но предполагает хранение базы серверов /usr/jailbase/db на каждой машине. Это усложняет обслуживание и затрудняет миграцию виртуальных серверов между хостами. Правильная масштабируемая система должна использовать единую базу данных с интерфейсом SQL вместо файла db. В этом случае база данных хранится на центральном сервере, а скрипты управления виртуальными серверами подключа-

ются к ней вместо обращения к локальному файлу db. Реализация этой идеи потребует значительной модификации скриптов управления и добавления дополнительной колонки «IP машины, на которой крутится виртуальный сервер» к базе данных, чтобы скрипт мог найти виртуальные сервера, принадлежащие только его машине.z

>> SYN/ACK

NATHAN BINKERT

Файловое/ NAT@SYNACK.RU / депо

СетеваясистемахраненияданныхнабазеLinux Depo Storage NAS 1005

«горячее» резервирование, роумингдисков, миграцияуровнейRAID, расширениеRAID

> Интерфейсныепорты:

1 порт eSATA для расширения емкости

3 порта USB тип A (режим хоста)

1 порт USB тип B (режим клиента)

1 порт iSCSI/WAN

4 порта Gigabit Ethernet коммутатора

> Особенности:

LCD-дисплей для начальной конфигурации и отображения статуса системы Управление через русифицированный webинтерфейс

Уведомленияособытияхпоe-mail илинаLCD Звуковое уведомление о событиях Поддерживается функция принт-сервера (подключение принтера через USB) Предустановлена ОС на базе Linux

>>

>> SYN/ACK