WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 |   ...   | 4 | 5 || 7 |

«Ubuntu® Linux® TOOLBOX 1000+ Commands for Ubuntu and Deblan Power Users Christopher Negus Franois Caen 81C8NT8NNIAL 1807. ...»

-- [ Страница 6 ] --

$ sudo fusermount -u /var/docs Демонтирова ть удаленную папку О б ще ни е с д рузьям и ч е рез I RC Несмотря на всенародную любовь к клиентам передачи мгновенных сообщений, интернет-чаты ( lnternet Relay Chat, IRC) все еще остаются популярными. На сай­ те freenode. net есть множество комнат для общения, посвященных поддержке круп­ ных проектов по разработке программнаго обеспечения с открытым исходным кодом. Более того, множество людей находятся там на протяжении всего дня и на­ блюдают за дискуссиями, касающимися их любимых Linuх-проектов. Этот фено­ мен известен под названием lurking и означает пассивный просмотр сетевых ново­ стей и конференций.

Утилита xchat - хороший графический, многофункциональный I RС-клиент.

Вы можете установить пакет программ xchat или модули GNOME из установоч­ ного пакета xchat-gnome. Если вы установили последний, то в Ubuntu выбери­ те Applications • Internet • XChat-GNOME IRC Chat ( Приложения • И нтернет • Чат GNOM E I RC). Однако элитным способом общения в IRC является использование текстового клиента в окне терминала на постоянно работающей машине, например Общение с друзьями через IRC на старом сервере. Другим похожим вариантом является работа с I RC прокси-кли­ ента, также известного как баунсер, например программы dircproxy (часть устано­ вочного пакета dircproxy).

Исходным IRС-клиентом был ircll. Он поддерживал сценарии наподобие мак­ росов в комплектах приложений для продуктивной работы, которые автоматизи­ ровали некоторые команды и повышали практичность программы. Наиболее по­ пулярным был PhoEniX от Vassago, затем появился BitchX, который сначала был сценарием irc i i, а затем превратился в отдельный клиент. Большинство людей на сегодняшний день используют irssi. Для того чтобы установить и запустить irssi из Ubuntu, наберите следующее:

$ sudo apt - get i nstal l i rssi $ i rssi -n JayJoe199x В этом примере именем пользователя является JayJoel99x (вы должны выбрать свое имя). Вы увидите синюю строку состояния, которая означает, что вы находи­ тесь в окне 1 (окно состояния). После первого запуска irssi программа выведет справочное сообщение, ссылающееся на документацию. Всем I RС-командам пред­ шествует символ 1 Например, чтобы подключиться к серверу freenode, наберите следующее:

/connect chat. freenode. net Если вы не указали имя пользователя в командной строке, то войдете в чат сайта freenode. net под именем текущего пользователя. В I RC комнаты общения называются каналами и перед именем каждого стоит знак решетки (#).

Теперь попытайтесь nрисоединиться к IRС-каналу #centos:

/joi n #centos Ваш экран должен быть похож на тот, что вы видите на рис. 1 2. 1.

Рис. 12.1. Клиент irssi nодключен к каналу #centos на Freenode ПРИМЕЧАНИЕ -------­ Являясь nользователем Ubuntu, вы, возможно, захотите nодключиться к каналу #ubuntu.

Как указано в строке состояния, теперь вы находитесь в канале в окне 2. П ере­ ключайтесь между окнами с помощью сочетаний клавиш Alt+ l, Alt+2 и т. д. (или Ctri+N и Ctri+P). Обратите внимание, что такие сочетания клавиш, как Alt+ 1 и Alt+ 2, не работают в окне терминала gnome, так как он поглощает их. Для получения помощи наберите /he 1 р «команда», где под командой подразумевается любая команда, 272 Глава 12. Подключение к сетевым ресурсам о которой вы хотите узнать подробнее. Текст будет выведен в окне состояния (но не обязательно в текущем окне).

Для отправки сообщения в I RС-чат просто наберите его и нажмите клавишу Enter, после чего сообщение увидят все пользователи канала. Для получения до­ полнительной информации об использовании клиента irssi обращайтесь к доку­ ментации по адресу www. irssi.org/documentation.

Работа с почто вы ми программами на основе....

те кстовых п риложении В наши дни большинство почтовых агентов пользователя ( MUA) работают на ос­ нове графического интерфейса. Таким образом, если вы начали пользоваться элек­ тронной почтой в последнем десятилетии (или около того), то, подумав о почтовой программе, вы в первую очередь представите себе Evolution, Kmail, Thunderblrd или (в системе Windows) Outlook. Однако в первых версиях UNIX и Linux почта обрабатывалась на основе текстовых приложений.

Если у вас возникнет необходимость проверить электронную почту на удален­ ном сервере или в рамках другой текстовой среды, ro предлагаем вашему вниманию достойные текстовые почтовые программы. К слову, многие компьютерные фана­ ты до сих пор используют только текстовые почтовые программы, расхваливая их эффективность и посмеиваясь над сообщениями на основе HTML.

При описании почтовых программ мы подразумевали, что ваши сообщения хранятся в локальной системе в стандартном формате МВОХ. Это означает что либо вы подключены к почтовому серверу, либо уже локально провели загрузку сообщений (например, с помощью РОРЗ или подобных средств).

ПРИМЕЧАН ИЕ -------­ Текстовые почтовые программы можно использовать для чтения сооб щений, уже сохра ненных дру­ гими почтовыми программами. Напри м ер, можно открыть файл входящего сообщения программы Evolutloп с помощью следующей команды : mall -f $HOME/.evolutioп/maii/IOC/IпЬox.

Команда mail Для быстрой проверки почты в почтовом ящике суперпользователя н а удаленном сервере чаще всего применяют команду ma i 1 ( / Ь i n /ma i 1 ), которая является частью установочного пакета mailx. Хотя существует возможность ее интерактивного ис­ пользования, наиболее часто ее применяют для отправки электронных сообщений на основе сценариев. Рассмотрим несколько примеров:

$ mai 1 - s ' Му Li nux vers i on ' chri s@examp1 e. com < /etc/ 1 sb - re1 ease $ ps auwx 1 mai 1 - s ' Му Process Li st ' chri s@examp1 e. com Эти Примеры демонстрируют быстрый способ отправки текста без необходи­ мости открывать графическое приложение. Первый пример позволяет отправить содержимое файла 1 etcl 1 s b - re 1 e a s e пользователю по адресу chris@example.com.

Темой ( - s ) является ' Му L i nux Vers i on '. Во втором примере показывается, как тому Работа с почтовыми программами на основе текстовых приложений же пользователю отправляется список текущих запущенных приложений (ps a uwx) с темой ' Му Process L i st '.

ПРИМЕЧАНИЕ -------­ Перед тем как вы сможете использовать почтовую программу командной строки, нужно настроить пакет. Существует множество аспектов настройки почтовых серверов, зависящих от вашего интер­ нет-провайдера. Процесс конфигурации начинается как часть установки благодаря следующей ко­ манде:

$ sudo apt - get i nstal l mai l x При интерактивном использовании команды ma i 1 по умолчанию открывается почтовый ящик, указанный в текущем значении SMA I L интерпретатора команд.

Например:

$ echo SМAI L /var/spool /ma i l /chri s ПРИМЕЧАНИЕ -------­ Воэможно, понадобится задать значение этой переменной среды. Оно должно выглядеть так: /var/ spoo l/mail/«имя пользователя» (в текущем примере именем пользовател я является chrls). В Ubuntu значение переменной MAIL, как и сама команда, по умолчанию не установлено.

Чтобы прочитать почту пользователя root, наберите следующую команду:

$ sudo mai l Ma i l vers i on 8. 1 6/6/93 : Туре ? for hel p.

" / va r/ spool /ma i l / root " : 25 messages 25 new >U 1 l ogwatch@a b. l Fri Jun 15 20 : 03 441 1667 " Logwatch for аЬ ( L i nux) " U 2 l ogwatch@a b. l Sat Jun 16 04 : 32 87/ 2526 " Logwatch for а Ь ( L i nux) " 3 l ogwatch@a b. l Sun Jun 17 04 : 32 92/ 2693 " Logwatch fo r аЬ ( L i nux) " N 4 l ogwatch@a b. l Fri Jun 22 09 : 28 44/ 1667 " Logwatch for аЬ ( L i nux ) " N 5 МA I LE R - DAEMON@a b Fri Jun 22 09 : 28 93/ 3348 "Warni ng : cou l d not send " & ред текущим сообщением стоит знак >. Новые сообщения имеют обозначение N в начале, не прочитанные (но не новые) сообщения - U. Если же никакого симво­ ла нет, то сообщение было прочитано. Знак & внизу означает, что программа готова принимать команды.

На этом этапе вы находитесь в командном режиме. Можно использовать про­ стые команды для навигации и работы с основными почтовыми функциями.

Наберите ?, чтобы увидеть список команд, или введите номер сообщения, которое хотели бы прочесть. Наберите v3, чтобы увидеть третье сообщение в редакторе vi.

Если хотите увидеть список заголовков сообщений начиная с 1 8-ro, введите h18.

Для ответа на сообщение под номером 7 наберите r7 (введите текст сообщения, затем поставьте точку, чтобы отправить его). Наберите d4, чтобы удалить четвертое сообщение (или d4 - 7, если хотите удалить сообщения, начиная с четвертого и за­ канчивая седьмым). Для того чтобы выйти в интерпретатор команд, введите ! bash (затем exi t, чтобы вернуться в приложение mail).

Перед тем как выйти из приложения, обратите внимание, что, как только вы выходите из программы, все просмотренные сообщения копируются из почтового 274 Глава 12. Подключение к сетевым ресурсам ящика в файл &HOME/mbox. Это происходит в том t:лучае, если вы их не сохранили (посредством команДы pre * ). Чтобы все сообщения остались в почтовом ящике, выйдите из приложения, нажав клавишу Х. Для сохранения изменений почтового ящика при выходе из программы нажмите клавишу Q.

Вы можете открыть любой файл формата МВОХ во время пользования прило­ жения mail. Например, если вы находитесь в системе под именем пользователя, отличным от chris, но хотите просмотреть почтовый ящик этого пользователя, вве­ дите следующее:

$ sudo mai l - f /var/spool /mai l /chri s Команда mutt Если вы хотите постоянно использовать почтовый клиент из командной строки, то мы рекомендуем работать с командой mut t вместо ma i 1. У команды ma i 1 есть множество ограничений, например в ней не реализована поддержка отправки при­ ложений без их предварительного кодирования (в частности, с помощью команды uuencode) ;

в то время как mutt обладает многими современными возможностями работы с электронной почты. Команда mutt является частью пакета программ mutt, который необходимо установить, чтобы иметь возможность пользоваться данной программой. Вы можете настроить работу команды в файле /etc/Mutt rc. Кроме того, нуЖно будет настроить команду sendma i 1, чтобы отправлять электронную почту.

Подобно ma i 1, mutt обладает возможностью отправки сообщений с помощью сценариев. Кроме того, она может работать с приложениями к почте. Например:

$ mutt - s "Ну Li nux Versi on " - а /etc/ l sb - rel ease \ chri s@exampl e. com < emai l - body. txt $ mutt - s "Ну Li nux Version" - а /etcll sb- rel ease \ ·chri s@exampl e. com < /dev/nul l В первом примере файл ema i 1 - body. txt служит телом письма, а /etc/ 1 sb- re1 ease ­ приложением. Во втором примере отправляется пустое письмо (< / dev/nu1 1 ), од нако отсылается то же приложение, что и в первом примере. • Вы можете начать сессию mutt (если почтовым ящиком по умолчанию явля­ ется $MAI L), просто набрав команду:

$ mutt / home/ch r i s / Ma i 1 does not exi st. C reate i t? C [yes ] / no ) у q : Qu i t d : De1 u : Unde1 s : Save m : Ma i l r : Repl y g : Group ? : Не1 р 1 OJun 16 1 ogwatch@ab ( 69 ) Logwatch fo r а Ь C L i nux ) 2 OJun 18 l ogwatch@ab ( 17 1 ) Logwatch fo r а Ь C Li nux) 3 OJun 18 Ma i 1 De1 i very S ( 219 ) Wa rn i ng : cou 1 d not send mes sage 4 OJun 19 1 ogwatch@a b ( 33 ) Logwatch for а Ь ( L i nux ) - - Mutt : / v a r / s pool /ma i 1 / root [Msgs : 22 New : 2 01 d : 20 63Kj - - ( date/date ) - - ( a l 1 ) - C приложеннем mutt легче работать, чем с mail, так как это экранно-ориенти­ рованная программа. Как и в случае с mail, используйте клавиши, чтобы переме­ щаться в mutt. Как всегда, нажмите ?, чтобы получить помощь. Советы по работе с электронной почтой появляются на верхней панели. Используйте клавиши для управления курсором i ·и,1.. для выделения сообщений, которые хотите прочесть.

Резюме Клавиши Page Up и Page Down применяются для прокрутки страниц каждого сооб­ щения. Нажмите клавишу 1 для возврата к заголовкам сообщений.

Проводите поиск текста с помощью клавиши 1 (искать далее) и Esc+/ (поиск в обратном направлении). Нажмите N для нового поиска. Чтобы перейти к следую­ щему новому или непрочитанному сообщению, нажмите клавишу ТаЬ. Перейти к предыдущему сообщению вам позволит нажатие сочетания клавиш Esc+ТаЬ.

Клавиша S используется для сохранения текущего сообщения в файл. Нажмите D для удаления сообщения, а U - для отмены удаления.

Для отправки нового электронного сообщения используйте авишу М. После заполнения адреса полу

Закончив работу, нажмите клавишу Х для выхода без сохранения изменений ящика. Если хотите выйти и сохранить все сделанные изменения ( прочитанные, удаленные сообщения и пр.), нажмите клавишу Q.

Рез ю м е Команды сетевого доступа предоставляют быстрый и эффективный способ полу­ чения необходимой информации через сеть. Браузер elinks является популярной экранно-ориентированной программой для просмотра и получения информации в Интернете или открытия любого НТМL-файла. Существуют десятки команд для загрузки файлов через протоколы FTP, SSH, НТТР и др., например wget, curl, 1 ftp и scp.

В этой главе рассматриваются командные утилиты NFS, Samba и SSH FS, кото­ рые полезны для получения постоянного доступа к удаленным директориям и фай­ лам. Воспользоваться популярным чатом IRC можно с помощью команды i rs s i.

Работать с электронной почтой вы можете, выбрав понравившийся текстовый клиент - mail или mutt.

Уд а л е н н о е адм и н истри р ва н ие Большинство профессиональных системных администраторов Linux не использу­ ют графическую систему на своих интернет-серверах. Таким образом, если вы хо­ тите получить доступ к другим компьютерам для удаленного администрирования, вам придется какое-то время работать в командной строке. К счастью, существует множество функциональных Linuх-команд, которые помогут в этом.

Утилиты, связанные с безопасным командным процессаром (SSH), не только позволяют получать удаленный доступ и передавать файлы, но и предоставляют функцию шифрования данных, чтобы ваша работа по удаленному администриро­ ванию была безопасной. С помощью таких утилит, как Virtual Network Computing (VNC), вы сможете запустить Рабочий стол удаленного сервера на вашем локальном компьютере. Эти и другие функции по удаленному администрированию описаны в данной главе.

Ре гистра ци я в удал е нной систе м е и ту ннелирова ни е с по м о щ ь ю SSH Старшая сестра Linux - система UNIX - создавалась в университетских сетях.

В то время пользователями таких изолированных друг от друга сетей были про­ фессора и студенты, поэтому необходимости в безопасности таких сетей не было.

Приложепия и протоколы, созданные в то время ( 1 970- 1980-е годы), отражают недостаточное внимание, уделяемое шифрованию и процессу регистрации в уда­ ленной системе. SMTP является отличным примерам данного явления. То же можно сказать и об утилитах для удаленной работы первого поколения: telnet, ftp (протокол FTP), rsh (удаленный интерпретатор команд), rcp (удаленное копиро­ вание), rexec (удаленное выполнение) и rlogin (удаленный вход в систему). Эти утилиты посылали данные о пользователе и трафик посредством обычного текста.

По этой причине их опасно использовать в общественно доступных сетях, таких как сегодняшний Интернет. По большей части всеми этими средствами уже не пользу­ ются - их заменили команды SSH (команды ssh, scp, sftp и родственные сервисы).

Хотя для устаревших команд по работе с удаленным доступом все еще находит­ ся применение (см. врезку • Использование устаревших средств коммуникации• ), большая часть этой главы посвящена SSН-командам, с помощью которых можно удовлетворить все ваши потребности в области удаленной связи.

Регистрация в удаленной системе туннелирование с помощью SSH и Использование устаревших средств коммуникации Несмотря на тот факт, что SSH предоставляет более совершенные сред­ ства удаленной коммуникации, устаревшие команды (их иногда назы­ вают г-команды) до сих пор включаются во все крупные дистрибутивы Linux. Некоторые из этих инструментов будут работать быстрее, чем соответствующие им команды SSH, так как им не надо проводить шиф­ рование данных. Некоторые администраторы UNIX старой закалки могут иногда пользоваться ими в личных сетях или все еще включать в свои сценарии. Хотя по большей части вы будете просто оставлять в стороне устаревшие команды удаленного достуnа, в некоторых слу­ чаях te 1 net может быть полезной.

Команда te 1 net все еще применяется для связи с некоторыми сете­ выми устройствами (маршрутизаторы, переключатели, U P S и пр. ), у которых нет мощности для запуска демона ssh. Хотя она несет в себе некоторый риск, связанный с безопасностью, некоторые производите­ ли все еще включают поддержку te 1 net в свои устройства.

Отличным способом применения команды telnet является устране­ ние неполадок связанных с интернет-протоколами РОРЗ, SMTP, НТТР и др. На самом деле данные текс:rовые протоколы - это автоматические сессии te 1 net, в течение которых клиент (например, браузер или почто­ вая программа пользователя) обменивается текстом с сервером. Един­ ственным отличием является используемый ТСР-порт. Вот пример использования te1 net через НТТР-порт (80) веб-сервера:

$ tel net www. exampl e. com Tryi ng 208. 7 7. 188. 166.

Connected to www. examp1 e. com.

Escape cha racter i s ' А ] ' GET 1 НТТР/ 1. Введите в торой символ возвра та каре т ки НТТР 1 1. 1 200 ОК Подобно этому, вы можете настроить команду te 1 net на работу с пор­ том 25 почтового сервера (SMTP) и 1 1 0 (РОРЗ) и использовать необ­ ходимые команды для устранения неполадок с электронной почтой.

Более подробно применение te 1 net для устранения неполадок с сете­ выми протоколами описывается в книге Linux TrouЬleshooting BiЬle (Wiley Publishing, 2004).

Если вы хотите выйти из telnet-ceccии, задействуйте ЕSС-последо­ вательность (Ct r1 +] по умолчанию). Это прекратит посылку информа­ ции с вашей клавиатуры на удаленный компьютер и выведет окно ко­ мандной строки te 1 net, где вы можете напечатать qui t для выхода или ?, чтобы увидеть все параметры.

278 Глава 13. Удаленное администрирование Н астройка SSH На сегодняшний день настоящим многофункциональным инструментом сетевых администраторов является SSH. Команды и сервисы SSH заменяют все старые средства для удаленного доступа и добавляют отличное шифрование данных, от­ крытые ключи и другие функции. Наиболее распространенным воплощением SSH в мире Linux является OpenSSH (www. openssh.com) - программа, обслуживаемая проектом OpenBSD. В OpenSSH входят клиентская и серверная части.

Для установки сервера OpenSSH выполните следующую команду:

$ sudo apt - get i nstal l openssh - server Рассмотрим некоторые новые особенности SSH.

О В среде Windows можно использовать утилиты SSH из Linux с помощью Cygwin (www.cygwin.com). Если вы уже используете Cygwin (эмулятор среды Linux для Windows), то мы рекомендуем PuTTY (www.chiark.greenend.org/uk/sgatatham/ putty). PuTTY - это мощный TelnetjSSH-клиeнт с открытым кодом доступа.

О Используйте S H H версии 2, где это возможно, так как она наиболее хорошо защищена. Некоторые сетевые устройства, поддерживающие SHH, могут рабо­ тать только с более ранними, менее безопасными версиями. OpenSSH поддер­ живает все версии. Некоторые предыдущие версии Ubuntu принимали под­ ключения SSH 1 и SSH 2. Однако новые выпуски работают с версией 2 по умолчанию.

О В Ubuntu выполните команду / etc / i n i t. d/ s s h sta rt, чтобы запустить сервис SSH (демон sshd). Для настройки сервиса отредактируйте файл / etc / s s h / s s hd_confi g.

О Чтобы настроить клиент ssh, отредактируйте файл /etc / s s h / s s h_confi g.

Если вы предпочитаете использовать графические утилиты для администриро­ вания удаленной Linuх-системы, то можете активировать Х 1 1 -туннелирование (его также называют Х 1 1 Port F orwarding). С включенным Х 1 1 -туннелированием (как на сервере, так и на клиенте) вы можете запустить приложение Х на сервере, и оно будет отображаться на клиенте. Вся передаваемая через это подключение информация зашифрована.

В Ubuntu переадресация портов Х 1 1 включена (X l lForwa rd i ng yes ) на сервере посредствам демона sshd. Вам все же необходимо включать ее на стороне клиента.

Чтобы включить переадресацию Х 1 1 на клиенте в рамках одной сессии, подклю­ читесь с помощью следующей команды:

$ ssh -Х francoi s@myserver Чтобы включить переадресацию ХН на постоянной основе для всех пользо­ вателей, добавьте строку Forwa rd X l l yes в файл /etc/ s s h / s sh_confi g. Чтобы переад­ ресация Х 1 1 постоянно была активна для определенного пользователя, добавьте строку в файл этого пользователя -. s s h / confi g. Как только эти установки были заданы, параметр - Х больше не нужен для запуска Х 1 1 -туннелирования. Выполни­ те команду s s h, как обычно, для подключения к удаленной системе. Для проверки работы туннелирования после установки соединения с удаленной машиной с по Регистрация в удаленной системе и туннелирование с помощью SSH мощью ssh запустите команду xc l ock, и данное приложение запустится на Рабочем столе вашего клиента.

SSН-туннелирование - это отличный способ безопасного использования уда­ ленных графических утилит!

Ис попьэование команды ssh для удален ного входа в с и стему Для безопасного входа в удаленную систему вы можете использовать один из двух возможных синтаксисов указания имени пользователя:

$ ssh - 1 francoi s myserver $ ssh francoi s@myserver Однако команды scp и sftp, рассмотренные в гл. 1 2, поддерживают только син­ таксис user@server, поэтому мы рекомендуем привыкнуть именно к нему. Если вы не укажете имя пользователя, то ssh попытается подключитья с тем именем, под которым вы находитесь в системе. Если во время подключения вы захотите сао­ стоятельно прервать ssh-ceccию, наберите ЕSС-последовательность (- ).

SSH ч е рез дру гой порт Досту п к По причинам, связанным с безопасностью, удаленный хает-компьютер может ука­ зать другой порт для работы SSН-сервиса, нежели порт 22, который используется по умолчанию. При таких обстоятельствах используйте параметр - р для связи с этим сервисом:

$ ssh -р 12345 francoi s@turbosphere. com Подключиться к SSH через пор т И сп опьзовани е SSH для ту нн еп ировани я (Х1 1 Port Forwarding) Если SSН-туннелирование настроено, как показано выше, то сервис SSH перена­ правляет клиенты Х Window System на ваш локальный монитор. Однако тунне­ лираванне можно использовать и с другими ТСР-протоколами.

Туннелированне для клиентов Х Н. Следующая последовательность команд демонстрирует запуск SSН-сессии, а затем открытие нескольких Х-приложений, которые должны появиться в вашей локальной рабочей области:

$ ssh francoi s@myserver Откры ть ssh -подключение к myserver francoi s@myserver ' s pas sword : ******* Показа ть текущее зна чение экрана Х [ francoi s@myserver - } $ echo SDISPLAY SSH ус танавливает $DISPLA Y как loca lhost : l O. O l oc a l host : l O. O Пока з а ть мобильные «глаза экрана» [ francoi s@myserver - } $ xeyes& [ francoi s@myserver - } $ gnome - cups - manager& Нас трои ть удаленные прин теры [ francoi s@myserver - } $ gksu servi ces - admi n& Измени ть сис темные серв исы Туннелированне для удаленного администрирования принтеров CUPS. Х 1 1 это не единственный протокол, который работает с переадресацией. Вы можете задать переадресацию на любой ТСР-порт с помощью SSH. Это отличный способ 280 Глава 13. Удаленное администрирование быстрой и легкой настройки безопасных туннелей. На стороне сервера не требует­ ся никакой настройки.

Например, myserver является сервером принтеров с включенным пользователь­ ским веб-интерфейсом сервиса CUPS (работающим через порт 63 1 ). Этот графи­ ческий интерфейс доступен только с локальной машины. На текущем клиентском компьютере мы создаем туннель к этому сервису с помощью команды ssh со сле­ дующими параметрами:

$ ssh L 1234 : l ocal host : 631 myserver · Этот пример устанавщt:вает переадресацию порта 1 234 клиентской части на порт 63 1 на сервере. Теперь мы можем открыть http://localhost: 1234 на компьютере­ клиенте. Этот запрос будет перенаправлен команде cupsd, которая ожидает сигнала через порт 63 1 на сервере.

Переадресация интернет-сервисов. Рассмотрим еще один пример использова­ ния SSH -туннелирования. Когда ваша локальная машина не имеет доступа к Ин­ тернету, но может подключиться к другому компьютеру (myserver) с активным интернет-соединением. Следующий пример позволяет посетить сайт Google.com (НТТР, ТСР порт 80) через SSН-подключение к компьютеру по имени myserver, который подключен к Интернету:

$ ssh L 12345 : googl e. com : 80 myserver · При использовании этого примера любое подключение к локальному порту 1 2345 переадресовывается через SSH -туннель к myserver, который, в свою очередь, открывает подключение к Google.com через порт 80. Теперь вы можете зайти на http://localhost: 12345 и использовать myserver как ретранслятор сайта Google.com.

Поскольку вы используете команду shh для переадресации порта, а не для получе­ ния интерпретатора команд на сервере, то можете добавить параметр - N, чтобы предотвратить выполнение удаленных команд:

$ ssh L 12345 : googl e. com : 80 - N myserver · П р имене и н е SSH в качестве прокем-сервера SOCКS Предыдущий пример демонстрирует, что вы можете переадресовать порт от кли­ ента к компьютеру, отличному от сервера. В реальности лучшим способом вы­ вести трафик браузера из вашей локальной сети через кодируемый туннель является использование встроенной в SSH функции прокси -сервера SOCKS.

Например:

$ ssh -D 12345 myserver Динамический параметр ( - D) s s h позволяет войти в myserver (как обычно). Пока подключение активно, все запросы, отправленные порту 1 2345, переадресовы­ ваются на myserver. Далее установите прокси-сервер SOCKS vS в браузере как localhost: 12345, и вы будете готовы к его использованию. Не вводите ничего в поля НТТР и других протоколов. Они все работают через SOCKS. На рис. 13. 1 показа­ но окно настройки подключений Firefox.

Регистрация в удаленной системе и туннелирование с nомощью SSH QI\ Al.ll ecr рtФ.у 11о /or rho • ""' Р'""У cOO>f uon Го Port I IПP Pt0111,..-rtnr ni'O 11 п>< Sl Pr [I P Pr Pr loca/ • SOC K S yS Q/,.", 1 1 1< Рис. 13.1. Исnользуйте окно настройки nодключений Flrefox для оnределения nараметров nрокси-сервера Для проверки настроек отключите сессию ssh и зайдите на любой сайт. Браузер должен выдать сообщение об ошибке прокси-сервера.

Выбрав команду Connection • SSH • Tunnels ( П одключение • S S H • Туннели) в Putty, вы можете реализовать такую же переадресацию и в среде Windows.

SSН- аутентификация с испоп ьзованием от крыто го ключа До сих пор мы использовали команду ssh с аутентификацией по умолчанию.

Команда также поддерживает аутентификацию с использованием открытого клю­ ча. Это имеет несколько преимуществ.

Автоматический вход в систему для сценариев и процессов cron. У становив О пустую фразу-пароль, вы можете использовать s s h в сценариях для автомати­ ческого входа в систему. Хотя это и удобно, но небезопасно, так как любой, кто получит доступ к вашему файлу с ключом, может подключиться к любой ма­ шине, к которой вы имеете доступ. Настройка автоматического входа в систему также может осуществляться с помощью фразы-пароля и агента по работе с клю­ чами. Как показано ниже, это компромисс между удобством и безопасностью.

Двухфакторпая аутентификация. При использовании ключа с фразой-паролем О для интерактивного входа в систему аутентификация проводится по двум фак­ торам (ключ и фраза-пароль) вместо одного.

Вход в систему с использованием открытых ключей. Рассмотрим процесс установки связи между двумя Linuх-системами на основе ключа. В следующих 282 Глава 13. Удаленное администрирование примерах мы используем пустые фразы-пароли, не применяя имя пользователя и пароль. Если вы желаете защитить ключ с помощью пароля, то просто введите его во время первого шага (создание пары ключей).

Запустите следующую команду s s h - keygen на компьютере-клиенте для создания пары ключей, когда находитесь в системе под именем пользователя, которому необходимо установить связь:

$ ssh- keygen Generati ng puЫ i c /pri vate rsa key pa i r.

Enter fi l e i n wh i ch to save the key ( / home/chri s /. ssh / i d_rsa ) : Enter passphrase C empty fo r no passphrase ) : Enter s ame pa ssphrase aga i n : Your i dent i fi cat i on has been s a ved i n /home/ c h r i s /. ssh/ i d_rsa. Your puЬl i c key has been sa ved i n / home/chri s /. ssh / i d_rsa. pub. The key fi ngerpri nt i s :

a c : db : a4 : 8e : Зf : 2a : 90 : 4f : 05 : 9f : b4 : 44 : 74 : 0e : d3 : db chri s@host. doma i n. com Обратите внимание, что при каждом приглашении к действию вы нажимали Enter для создания файла ключа, используемого по умолчанию и для ввода (под­ тверждения) пароля. Теперь у вас есть частный ключ, который должен храниться в безопасном месте, в особенности если он не был защищен паролем.

Кроме того, у вас есть открытый ключ ( i d_rsa. pub ), который был создан преды­ дущей командой. Открытый ключ должен быть установлен на хает-компьютерах, к которым вы хотите подключаться. Содержимое файла -/. s s h / i d_rsa. pub нужно скопировать (безопасно) в -1. ssh/ authori zed_keys2 для пользователя, который будет использовать s s h на удаленном компьютере. Файл a uthori zed_keys2 может содер­ жать несколько ключей, если несколько пользователей использовали ssh для под­ ключения к этой учетной записи.

Войдите в удаленную серверную систему под именем пользователя, от имени которого хотите использовать ssh с ключом. Если у вас все еще нет папки -/. ssh, то первым делом необходимо создать ее:

$ cd $ mkdi r. ssh $ chmod 700. ssh Далее копируйте (безопасно) файл открытого ключа с клиента и поместите в файл авторизированных ключей на сервере. Это можно сделать с помощью ко­ манды scp. Предположим, что имя клиентской системы - myclient, а пользова­ тель - chris. Введите на сервере следующее:

Получи ть клиен тский $ scp chri s@Щycl i et : /home/chri s/. ssh/ i d_rsa. pub id_rsa. pub Добавить к вашим клю ч ам $ cat i d_rsa. pub >> -/. ssh/authori zed_keys Закрыть права дос тупа $ chmod 600 -/. ssh/authori zed_keys Удали ть о ткрытый ключ после $ rm i d_rsa. pub копирования его содержимого Эта продедура также может быть выполнена путем редактирования текстового файла -/. ssh/ authori zed_keys2 на сервере и копирования/вставки открытого клЮча с компьютера клиента. Убедитесь, что передача происходит безопасно через ssh, Регистрация в удаленной системе и туннелирование с помощью SSH и не вставляйте никаких переносов на новую строку при записи ключа. Полный ключ должен помещаться на одной строке, даже если он выходит за пределы экрана.

Затем вы можете просто выполнять команду s s h с компьютера-клиента (при­ меняя учетные записи пользователей, для которых проводили настройку), и сервер будет использовать ключ. Если вы установите фразу-пароль, то у вас будут ее тре­ бовать, как обычный пароль.

Сохранение частных ключей для их использования с Flаsh-носителя. Если вы хотите хранить свой частный ключ в более безопасном месте, нежели жест­ кий диск, то можете использовать Flаsh-носитель (его также называют флеш­ кой):

$ mv -/. ssh/ i d_rsa /medi a/THUMBDRI VEl/щypri vatekey Далее, когда вы захотите использовать ключ, введите следующее:

$ ssh - 1 /medi a/ТНUMBDRIVEl/щypri vatekey chri s@Щyserver Использование ключей с фразами-паролями более безопасно, чем применение обычных паролей, но и более затруднительно. Для облегчения работы можно ис­ пользовать команду ssh - agent, чтобы хранить разблокированные ключи на время текущей сессии. Добавив разблокированный ключ в запущенный s s h - agent, вы сможете запускать команду ssh с ключом, но у вас теперь не будут каждый раз за­ прашивать фразу-пароль.

Чтобы увидеть, что делает команда s s h - agent, запустите ее без параметров.

После запуска появится трехстрочный Ьаsh-сценарий:

$ ssh - agent SSH_AUTH_SOCK=/tmp/ssh - Sk EQZ18329/agent. 18329 : export SSH_AUTH_SOCK :

SSH_AGENT_P I D=18330 : expo rt SSH_AGENT_P I D :

echo Agent pi d 18330 :

Первые две строки вывода должны быть выполнены вашим интерпретатором команд. Скопируйте эти строки в командную оболочку (shell) прямо сейчас. Вы мо­ жете избежать этих действий, запустив s s h - agent и приказав интерпретатору ко­ манд bash выполнить результат работы команды. Это достигается следующим образом:

$ eval ' ssh- agent ' Agent pi d Теперь можно разблокировать ключи и добавлять их в запущенный агент.

Допустим, вы уже создали ключ командой s s h - keygen. Теперь добавим ключ, ис­ пользуемый по умолчанию, с помощью команды shh - add:

$ ssh- add Enter pa s sphrase fo r / home/chri s /. s s h / i d_rsa : ******* I denti ty added : / home/chri s /. ssh/ i d_rsa ( / home/chri s/. s s h / i d_rsa ) Далее вы можете добавить ключ, хранящийся на флешке:

$ ssh - add /medi a/THUMBDRIVEl/щypri vatekey 284 Глава 13. Удаленное администрирование Для вывода списка всех КJПОчей, хранящихся в агенте, используйте параметр l : $ ssh- add - 2048 f7 : b0 : 7a : 5a : 65 : 3c : cd : 45 : b5 : 1c : de : f8 : 26 : ee : 8d : 78 / home/ch ri s /. ssh / i d_rsa ( RSA ) 2048 f7 : b0 : 7a : 5a : 65 : 3c : cd : 45 : b5 : 1c : de : f8 : 26 : ee : 8d : /medi a /THUMBDR I V E l /mypri vatekey ( RSA ) Чтобы удалить один ключ из агента, например находящийся на флешке, запус­ тите команду s s h - add с параметром - d:

$ ssh- add - d /med;

a/THUMBDRIVEl/mypr;

vatekey Для удаления всех ключей, хранJПЦИхся в агенте, используйте параметр 0:

$ ssh- add - D П рим е н е ни е screen: богаты й удал е нны й инте рпретатор коман д Команда s s h открывает только одно окно. Если вы его потеряете, то можете также потерять все, что сделали на удаленном компьютере. Это может быть плачевно, если вы в тот момент работали с чем-то важным, например с двенадцатичасовой компиляцией. Если же вы хотите выполнять три команды одновременно, например vi httpd. conf, t a i l - f error_l og и serv i ce httpd re l oad, необходимо открыть три отдельные ssh-ceccии.

По существу, screen - это мультиплексор терминалов. Если вы системный ад­ министратор, работающий на удаленных серверах, то screen станет для вас отличной утилитой для работы с удаленным компьютером, где доступна только командная строка. Кроме того, что она позволяет создавать несколько сессий интерпретатора команд, команда дает возможность отсоединиться от него, а затем обратно подклю­ читься к той же сессии.

Пакет программ screen установлен в Ubuntu по умолчанию.

Для использования screen запустите команду s s h из командной строки клиен­ та для подключения к Linux-cepвepy, где установлен пакет screen. Далее просто наберите следующую команду:

$ screen Если вы запустили команду sc reen из окна терминала, то сначала увидите при­ ветствие, которое вопрошает о пицце и пиве, а затем обычную командную строку bash в окне. Для управления screen нажмите сочетание клавиш Ctri+A и еще одну клавишу, например Ctri +A и ? (упоминается как Ct rl +A, ? ), что приведет к отобра­ жению экрана помощи. Вот несколько команд и сочетаний клавиш, которые вы можете использовать для работы с запущенной программой screen:

$ screen - l s Список активных окон There i s а sc reen on :

7 089. pts - 2. myserver ( Attached ) Указывает на то. ч то окно прикреплено 1 Socket i n / v a r / run/screen / S - francoi s.

$ Ctrl +A, а Снени ть заголовок окна Применение screen : богатый удаленный интерnретатор команд Набра ть новый з а головок Set wi ndow ' s t i t l e to : Му Server $ Ctrl +A, с Созда ть новое окно Показа ть активные за голов ки окон $ Ctrl +A, " Fl ags Num Name Клавиши t и меняю т окна О Му Server 1 bash Отключи ть окно от терминала $ Ctrl +A. d Список активных окон $ screen - l s There i s а sc reen on :

Показывае т. ч то окно отключено 7089. pt s - 2. myserver ( Deta ched ) 1 Socket i n / v a r / run/screen / S - franco i s.

Только что показанная сессия screen вывела два окна (в каждом запущен ин­ терпретатор команд shell). Вы можете создавать сколько угодно окон и называть их по своему желанию. Кроме того, вместо отключения окна от сессии screen мож­ но просто закрыть его, выйдя из интерпретатора команд в каждом открытом окне (нажав сочетание клавиш Ctri+D).

Когда сессия screen отключена, вы возвращаетесь в интерпретатор команд, от­ крытый после первого входа в систему сервера. Вы можете повторно подключить­ ся к screen-ceccии так, как описано в следующем подразделе.

В табл. 13. 1 показаны другие полезные сочетания клавиш для управления, до­ ступные в screen.

Таблица 13.1. Сочетания клавиш для уnравления командой screen Сочетание Описание Ctri+A, ? Покаэать экран nомощи Qri+A, C Создать новое окно Отключить окно от терминала;

screen-ceccия и ее окна остаются в рабочем Ctri+A, D состоянии Ctri+A, " Покаэать сnисок окон Qri+A, ' Строка для ввода номера или имени окна, на которое необходимо nереключиться Qri+A, N Просмотреть следующее окно Ctri+A, Р Просмотреть nредыдущее окно В screen отключена вертикальная nрокрутка терминала. Эти клавиши Qri+A, [ включают режим nрокрутки в screen. Нажмите дважды Enter для выхода Qri+A, Shlft+A Переименовать текущее окно Ctri+A, W Покаэать сnисок имен окон в строке заголовка П овторное подкл ючение к сессии screen Отключившись от сессии screen, вы можете вернуться к ней позже (даже если вый­ дете из системы и отключитесь от сервера). Для повторного подключения к сессии с одним запущенным окном наберите следующее:

$ screen - r 286 Глава 13. Удаленное администрирование Если запущено несколько сессий screen, то команда sc reen - r не сработает. На­ пример, следующие строки показывают, что случится, если работают две отклю­ ченные screen-ceccии:

$ screen - r There a re severa l s u i taЬl e sc reens on :

7089. pts - 2. myserver ( Detached ) 7263. pts - 2. myserver ( Detached ) Туре " sc reen [ - d ] - r [ pi d. ] tty. host " to res ume one of them.

Как и предлагает результат выполнения команды, вы можете идентифициро­ вать сессии по их названиям (которыми по умолчанию являются комбинации I D процесса, названия tty и имени хает-компьютера). Например:

$ screen · r 7089. pts - 2. myserver И мена сесс ий screen Вместо названий, используемых по умолчанию, можно создавать более описа­ тельные имена после запуска screen. Например:

$ screen - S mysess i on $ screen - l s There i s а screen on :

26523. myses s i on ( Attached ) П редоставпение общего доступа к сессиям Команда sc reen также предоставляет общий доступ к сессиям. Эта функция пре­ красно подходит для технической поддержки, так как любой подключенный к этой сессии может как печатать, так и смотреть на происходящее. Присвоение названия окну, как показано в предыдущем разделе, делает эту процедуру еще проще. В ре­ зультате другой человек на другом компьютере может подключиться к серверу с помощью ssh (используя то же имя пользователя) и набрать следующее:

-х $ screen mysess i on Если запущена только одна сессия screen, то по аналогии с командой screen - r вам не надо указывать имя нужного окна для подключения:

-х $ screen Испол ьз ование уда л е нного ра бочего стол а Windows Многие системные администраторы, привыкшие использовать Linux, по возмож­ ности предпочитают администрировать свои Windows-cиcтeмы именно через Linux.

В ней есть такие утилиты, как rdesktop и tsclient, которые позволяют присоеди­ ниться к системе Windows, на которой запущен Windows Terminal Services.

Чтобы иметь возможность подключиться к Рабочему столу Windows из среды Linux, необходимо включить удаленный рабочий стол в системе Windows. Для это Использование удаленного рабочего стола Windows го в Windows ХР, например, щелкните правой кнопкой мыши на значке Му Computer ( Мой Компьютер) и выберите пункт Properties (Свойства). Затем перейдите на вкладку Remote (Удаленное использование) и установите флажок Allow users to connect remotely to this computer ( Разрешить удаленное подключение пользователей к этому компьютеру). Выберите пользователей, которым вы разрешаете подклю­ чаться к Windows, и нажмите кнопку ОК.

Теперь в Linux вы можете использовать утилиты dresktop или tsclient (графиче­ ский пакет на основе rdesktop) для подключения к Windows с помощью протокола удаленного рабочего стола (RDP). В Ubuntu все эти компоненты установлены.

Команда tsclient Если вы привыкли использовать в Windows приложение Remote Desktop Connection ( Подключение к удаленному рабочему столу) (ранее известное под названием Terminal Services Client ( Клиент службы терминала)) для подключения одного ком­ пьютера к другому, то, возможно, оцените tsclient как отличный способ подклю­ читься к Рабочему сrолу Windows из Linux. Запуск tsclient открывает окно Terminal Server Client (Клиент сервера терминала), которое симулирует интерфейс клиента удаленного доступа к Рабочему сrолу Windows.

Когда пакет программ tsclient установлен, запустите tsclient из Рабочего сrола GNOME, выполнив команду Applications • Internet • Terminal Server Client (Приложе­ ния • Интернет • Клиент сервера терминала) или набрав следующую команду в своем интерпретаторе команд:

$ tscl i ent & На рис. 13.2 показано окно Terminal Server Client ( Клиент сервера терминала).

Туре the n..vn• d the CM1puiU 01 choose t (ntnpute-t ffQm thc dtop down h5t C nmf1!11< ===:, RDr.s С "' l lostnan Рис. 13.2. клиент сервера терминала (t:scient) подключается к Рабочему столу Windows 288 Глава 13. Удален ное администрирование Возможно, что все, что вам необходимо ввести в этом окне, - это IР-адрес сис­ темы Windows. Вероятно, у вас запросят имя пользователя и пароль, в зависимости от настроек Windows. Выбирайте различные вкладки для более детальной настрой­ ки подключения к удаленному рабочему столу Windows.

Обратите внимание на то, что tsc 1 i ent также можно использовать для VNC и ХDМСР.

Команда rdesktop Если вы предпочитаете не использовать программу tclient, описанную выше, мож­ но войm в удаленную систему Windows с помощью команды rdesktop. Она запра­ шивает вход в систему Windows, затем открывает Рабочий стол Windows для теку­ щего пользователя. Вот примеры команды применения rdesktop:

$ rdesktop 172. 16. 18. 66 Вход на Рабочий стол по IР -адресу $ rdesktop - u chri s - р Н6руХХ wi n1 Указа ть иня поль зова теля /параль для хае т - конпьютера winl $ rdesktop - f wi n1 Запус тить в полноэкраннон режине $ rdesktop - 0 - r sound : l ocal wi n1 Пряной з вук от сервера к клиен ту $ rdesktop -Е wi n1 Отключи ть шифрование клиен т /сервер Если вы отключите шифрование клиент/сервер, пакет с данными о входе в сис­ тему будет шифроваться, а все остальное - нет. Это может намного повысить производительность, однако любой человек, проелушивающий ваш LAN, может увидеть текст проводимых операций связи (включая все интерактивные входы в систему после первого пакета с данными о входе в систему).

Есть еще несколько параметров команды rdesktop, способных повысить произ­ водительность:

О - m - не отсылать передвижения мыши;

О - D - скрыть оформление менеджера окон;

О - К - не переопределять назначения клавиш менеджера окон.

Удал е н ны й рабочи й стоп и п риложеи мя Linux Система Х Windows System (Х) не должна запускаться на обычных серверах по причинам безопасности и производительности. Но благодаря характеру клиент/ сервер вы можете запустить Х- программу на удаленном компьютере и перенапра­ вить ее графический вывод на свой Рабочий стол. Таким образом, приложение, за­ пущенное на удаленной машине, - это Х-клиент, а ваш Рабочий стол - Х-сервер.

Запуская Х-приложения в ненадежных сетях или в Интернете, используйте опи­ санную ранее SSН-переадресацию. В надежных сетях делайте это без SSH, как описано ниже.

Удаленный рабочий стол и приложения Linux По умолчанию ваш Рабочий стол Х не будет позволять Х-приложениям подклю­ чаться к нему. Можно разрешить запуск удаленных программ на Рабочем столе с помощью команды xhost. Используйте ее на своей локальной Linux-cиcтeмe для контроля над удаленными машинами, которые моrут подключаться к Х и выводить приложения на вашем Рабочем столе. Рассмотрим примеры использования коман­ ды xhost:

Выв ес ти список хос т - конпьютеров. ко торым разрешен доступ $ xhost access control ena Ы ed. on l y authori zed c l i ents can connect $ xhost + Отключить кон троль дос тупа (опасно ) acces s cont rol d i saЫ ed. c l i ents can connect from a ny host $ xhost Пов торно активирова ть кон троль дос тупа access cont rol enaЫ ed, on l y authori zed c l i ents can connect $ xhost remotemach1 ne Добав и ть хост-конпьютер, ко торому разрешен доступ remotemachi ne bei ng added to access control l i st Контроль доступа отключается только для задач, связанных с устранением неполадок. Однако если для определенного хост-компьютера (в данном случае remotemachine) доступ открыт, можно выполнить следующую операцию в интер­ претаторе команд удаленной машины, чтобы приложения Х с этой машины появ­ лялись на локальном Рабочем столе (в данном случае localmachine):

Ус танови ть DISPLA Y как 7 oca 7mach i ne : O $ export DISPLAY•l ocal mach1 ne : O $ xterm & Открыть удаленный терминал на локаль ном онпьютере $ xcl ock & Открыть удаленные часы на локаль ном конпьютере $ gtal 1 & Открыть удаленную игру dice на локаль ном конпьютере После отправки переменной D I SPLAY на remotemachine для указания на localmachine любое приложение, запущенное из интерпретатора команд на удаленном компью­ тере, отобразится на Рабочем столе на локальной машине. В данном случае мы за­ пустили окно терминала, часы и приложение с игрой.

ПРИМЕЧАНИЕ ----- 6 поспедних версиях Ubuntu X-server ПО умолчанию не ожидает ТСР-подключений. Для разрешения удаленных подключений отредактируйте файл /etc/gdm/gdm.conf-custom на Х-сервере спедующим образом:

[ securi ty ] Di s a l l owTCP=fa l s e затем перезапустите Х Windows.

Предоставить таким образом общий доступ к приложениям Х между Linux­ и UNIХ-системами достаточно легко. Однако довольно банально использовать его для связи с другими платформами. Если на вашем компьютере установлена Windows, вам придется запустить Х-сервер. Бесплатным решением этой проблемы является программа Cygwin, в которую входит Х -сервер. Существуют также мно­ гофункциональные коммерческие Х -серверы, но они моrут быть очень -дорогими.

Для предоставления общего доступа к удаленным рабочим столам между разными операционными системами мы предлагаем использовать виртуальную сеть пере­ дачи данных (VNC).

290 Глава 13. Удаленное администрирование П редоста вл е ни е об ще го доступ а к Рабоч и м столам с помо щ ь ю VCN Виртуальная сеть передачи данных состоит из программ для сервера и клиента, которые позволяют получить доступ к полному отображению Рабочего стола с одного компьютера на другой. В Ubuntu по умолчанию установлена программа vncviewer длЯ доступа к удаленному рабочему столу с вашего компьютера (кли­ ент), но необходимо установить пакет программ vncserver, чтобы иметь возмож­ ность предоставить доступ на ваш Рабочий стол (сервер). Для этого наберите сле­ дующее:

$ sudo apt - get i nstal l vncserver Клиенты и серверы VNC работают со множеством операционных систем. VNС­ серверы можно применять в системах Linux, Windows (32 -Ьit), Мае OS Х и UNIX.

VCN -клиенты используются в вышеперечисленных, а также во множестве других систем (включая OS/2, PalmOS) и даже могут применяться как jаvа-приложение в браузере.

Н а ст ройка VNC-cep вepa Предположим, что в своей системе Linux вы используете Рабочий стол, заданный по умолчанию ( D I SPLAY= : O ) в качестве локального Рабочего стола. Для начала соз­ дадим независимые Рабочие столы, доступные через VNC. С оравами суперпользо­ вателя в любом текстовом редакторе откройте файл / etc/vnc. conf в своей Linux­ cиcтeмe, играющей роль VNC-cepвepa:

# vi /etc/vnc. conf Проверьте настройки в данном файле. Обратите внимание, что файл конфигу­ рации используется каждый раз, когда вы запускаете программу vncserver.

Затем от лица каждого пользователя, которым необходимо будет пqдключаться к их личным Рабочим столам на VNC-cepвepe, запустите команду vncpasswd. В нашем примере мы запускаем ее от лица пользователя francois:

$ vncpasswd Password : ******* Veri fy : ******* Наконец, вы можете запускать VNC-cepвep (vncserver). Наберите следующее от лица пользователя root:

$ vncserver ПPИMEЧAHИE -----­ vncserver не установлен как системный nроцесс no умолчанию. Для nолучения более nодробной информации о назначении системных nроцессов см. гл. 1 1.

Если в ы используете встроенный в систему брандмауэр iptaЬies, убедитесь, что порты для VNC открыты. Каждый экран работает с отдельным портом. Экран с но Предоста вление общего доступа к Рабочим столам с помощью VCN мером N доступен через ТСР-порт 5900+N. Например, экран 1 работает через порт 590 1. Обращайтесь к гл. 14 для более подробной информации об iptaЫes.

За пус к VNС-кпи ента Как только VNC-cepвep запущен, вы можете подключиться к Рабочему столу этого компьютера из любой клиентской системы, упомянутой выше (Windows, Linux, Мае OS Х, UNIX и пр. ). Предположим, что ваш VNC-cepвep находится на ком­ пьютере по имени myserver. Вы можете набрать следующую команду, чтобы запус­ тить клиент с другой Linuх-системы:

$ vncvi ewer myserver : l Подключиться как franco i s на экран Подключиться как chr i s на экран $ vncvi ewer myserver : · Если вы предварительно не определяли никаких команд для запуска, то у в иди· те фоновый экран окна системы Х Window System. Чтобы пойти далее, необходи­ мо запустить программы на системе сервера или с вашего клиента, которые поя­ вятся на экране VNC Х. Например:

$ xterm - di spl ay myserver : l & $ metac i ty · · di spl ay myserver : l & ПРИМЕЧАНИЕ -------­ большинстве программ Х Window необходимо указать, какой сервер используется (в этом спучае В сервер VNC) с помощью параметра -display. Однако менеджер окон metacity требует два дефиса в этом параметре --display.

Кроме того, можно использовать tsclient для подключения;

в этом примере вы бы просто указали my s e r v e r : 1 как компьютер, а VNC - как протокол.

Ис п опьзование VNC вмесrе с SSH в н е надежных сетях VNC считается небезапасным протоколом. Пароль посылается при довольно сла­ бом методе шифрования, а остальная сессия вообще не шифруется. По этой при­ чине при использовании VNC в неиадежмых сетях либо в Интернете рекоменду­ ется туннелировать его через SSH.

Работа SSH описывается в разд. • Использование команды ssh для удаленного входа в систему• этой главы. Для переадресации VNС-экрана 2 (порт 5902) на компьютер по имени myserver на тот же локальный порт наберите следующее:

$ ssh - L 5902 : l ocal host : 5902 myserver ПРИМЕЧАНИЕ -----------­ Есnи вы будете использовать VNC на постоянной основе, взгляните на tightvnc (пакет программ с таким же именем). Хотя он и не включен в Ubuntu, это еще одно воплощение протокола VNC с открытым исходным кодом, которое подвергается активным разработкам. У пакета есть масса новых функций и оптимизаций. Эти функции таюке включают в себя встроенное ssh-туннелиро­ вание.

292 Глава 13. Удаленное администриние П акет программ Vino Если вы работаете с GNO M E и хотели бы предоставить общий доступ к суще­ ствующему Рабочему столу GNO МЕ ( di sp 1 ау : 0), то можете сделать это с помощью пакета программ Vino. На рабочей паиели GNOME выберите System • Preference • Remote Desktop (Система • Настройка • Удаленный рабочий стол) для отображения окна Remote Desktop Preferences ( Настройки удаленного рабочего стола) (команда v i no - preferences), показанного на рис. 1 3.3.

В окне Remote Desktop Preferences ( Настройки удаленного рабочего стола) мож­ но установить флажок Allow other users to view your desktop ( Разрешить другим пользователям ВИдеть ваш рабочий стол) и таким образом позволить удаленным пользователям VNC просматривать ваш Рабочий стол. Установка флажка дllow other users to control your desktop ( Разрешить другим пользователям контролировать ваш рабочий стол) позволит пользователям управлять вашим Рабочим столом с по­ мощью мыши и клавиатуры.

Aliuwo Ull U> " О Vl U\11 IUII llnw ntho ' "'"' ln rnntui Vnt f1 w onl f:WIVfl '---------J Рис. 13.3. Vino nозволяет удаленным nользовател ям nросматривать ваш Рабочий стол и даже уnравлять им Если стоит флажок Ask you for confirmation (Спрашивать меня о подтверждении), то удаленный запрос на просмотр вашего Рабочего стола выведет всплывающее окно для подтверждения соединения до того, как удаленный пользователь сможет просматривать ваш Рабочий стол. Установка флажка Require the user to enter this password (Требовать от пользователя ввода пароля) - отличная идея. Это не даст тем пользователям, у которых нет пароля, просматривать Рабочий стол. Не забудь­ те проверить, чтобы длина пароля была не менее восьми символов.

Как указано в окне Remote Desktop Preferences (Настройки удаленного рабочего стола), вы можете использовать vncviewer из другой системы Linux (с показанным адресом и номером экрана) для отображения общего Рабочего стола.

Резюме Рез ю ме Если вам когда-нибудь придется администрировать несколько систем, можете не беспокоиться Linux предлагает богатый выбор команд для удаленного админи­ стрирования. SSH предоставляет шифрованную коммуникацию для удаленного входа в систему, туннелирования и передачи файлов.

Виртуальная сеть передачи данных (VNC) позволяет системе Linux предостав­ лять к,лиентской системе общий доступ к Рабочему столу, чтобы он появлялся прямо на экране компьютера-клиента. С помощью утилиты Vino можно предоставлять такой вид общего доступа, когда VNC-cepвep и клиент могут работать на одном Рабочем столе одновременно.

П о вы ш ен ие у ровн я б ез опасности Обеспечение безопасности Linuх-системы означает, во-первых, ограничение до­ ступа к учетным записям пользователей и сервисам в этой системе. Во-вторых, необходимо удостовериться, что никто не проник за установленные барьеры безо­ пасности.

Ubuntu, Deblan и другие системы на основе этих дистрибутивов имеют высокий уровень безопасности по умолчанию. Это означает, что не существует учетных записей пользователей без пароля и большинство сетевых служб (W еЬ, FTP и т. д.) отключено по умолчанию (даже если связанные с ними программы установ­ лены).

Хотя множество команд, описанных в этой книге, могут быть использованы для Проверки и повышения уровня безопасности вашей системы, некоторые функции Linux оснащены специальными командами подобного действия. Например, безопас­ ные учетные записи пользователей с хорошей парольной защитой, достойный брандмауэр и единообразный вход в систему (а также его мониторинг) крайне важны для безопасности системы Linux. В этой главе мы описываем команды, относящиеся к этим функциям, и некоторые продвинутые функции, например SELinux и tripwire.

Работа с пользователями и r руппа м и Во время большинства процедур установки Linux вас просят ввести параль для суперпользователя root (для администрирования системы). Далее, возможно, вас попросят создать учетную запись с выбранным именем и ввести для нее параль (для ежедневного пользования компьютером). Мы рекомендуем всегда входить в систему в качестве обычного пользователя и только при необходимости работать с командами su или s udo для использования прав суперпользователя. Как только Linux установлена, вы можете применять команды или графические утилиты для создания пользователей, редактирования учетных записей, а также задания и из­ менения паролей.

Ubuntu повышает безопасность, запрещая вход в систему как суперпользова­ тель по умолчанию. Вместо этого во время установки вы создаете пользователя с паролем, который может выполнять некоторые административные функции.

Используйте команду s udo в Ubuntu, чтобы выполнять одиночные rооt-команды.

Работа с пол ьзовател ями и группами Команда sudo запрашивает пароль администратора, обычно являющийся вашим паролем. Это позволит избежать большинства случаев выполнения команд от лица суперпользователя, которые вы не намеревались вводить.

У пра впе ние пользователями из графической о бопочки На Рабочем столе Ubuntu, поддерживающем приложения Х, можно управлять пол­ зователями и группами из окна User Manager (Диспетчер пользователей) (System • Administration • Users and Groups ( Система • Администрирование • Пользователи и группы)). Существует вариант использования графического вебинтерфейса для управления учетными записями пользователей на сервере. Наиболее популярной утилитой такого плана является Webmin (www.webmin.com ). Убедитесь, что W ebinin не работает через порт, используемый по умолчанию ( 1 000), по причинам, свя­ занным с безопасностью. Вы также можете использовать специальные неб-интер­ фейсы. Например, существует множество автоматических графических интер­ фейсов для организации веб-хостинга, таких как cPanel (www.cpanel.com ), Plesk (www.swsoft.com/plesk)lи Ensim (www. ensim.com).

Добавп е ние учетных записей пользователей Для добавления новых пользователей можно воспользоваться командой useradd.

Единственным необходимым аргументом является имя создаваемого пользовате­ ля. Вы можете увидеть некоторые установки, используемые по умолчанию, для добавления новых пользователей с помощью параметра - D:

$ useradd · D Показать значения. исполь зуемые по умолчанию командой useradd Ус танови ть иден тифика тор группы 1 00 (nоль зова тели ) GROUP=lOO Ус танови ть корневой ка талог /home HOME=/home Отключи ть ис течение времени дейс твия пароля ( -1 ) I NACТ I V E= - Не устанавлива ть дату истечения срока дейс твия уче тной записи E X P I RE= Ус тановить ин терпре та тор команд, SHELL=/ Ьi n / s h исполь зуемый по умолчанию как /b ln/bash (копирова ть файлы конфигурации.

SKEL=/etc/skel исполь зуемые по умолчанию из /etclske l в $НОМЕ CREATE MAI L SPOOL=no Созда ть папку для хранения временных данных электронной поч ты Ubuntu и другие DеЬlаn-системы заменяют группу, используемую по умолча­ нию ( 100), и создают новую для каждого пользователя. По умолчанию идентифи­ катор ( I D ) первого созданного пользователя и группы равен 1 000. Имя группы совпадает с именем пользователя. Базовый каталог - это имя пользователя, добав­ ленное к / home. Так, например, можно создать первую обычную учетную запись пользователя в системе следующим образом:

$ sudo useradd -m wi l l z Результатом станет новая учетная запись пользователя с именем willz ( UID 100 1 ) и группа willz ( G I D 1 00 1 ). Параметр - m указывает на то, что необходимо 296 Глава 14. Повышение уровня безопасности создать ·домашний каталог / home / w i 1 1 z и копию набора файлов конфигурации (каждый из них начинается с точки (. ) ) в домашний каталог из папки 1 etcl ske l.

Учетная запись будет активной неопределенное время (без даты истечения срока действия). Добавьте пароль следующим образом.

$ sudo passwd horati o Chang i ng pa sswo rd fo r user horat i o New UN I X pa s swo rd : ******** Retype new UN I X pa ssword : ******** pa s swd : а 1 1 a uthent i cat i on tokens updated s ucces sfu1 1 y.

В большинстве случаев это все, что необходимо сделать, чтобы иметь рабочую учетную запись пользователя.

ПРИМЕЧАНИЕ -------­ Помните, что надо использовать сложные пароли.

Существует множество параметров для замены используемых по умолчанию параметров во время создания нового пользователя. Совмещайте различные па­ раметры по своему выбору. Рассмотрим несколько примеров:

Исполь зова ть з аданный UID $ sudo useradd - u 1101 - g 1300 skol mes (иден тифика тор поль зова теля ) и GID (иден тифика тор групnы ) для поль зова теля Созда ть корневой ка талог / var/x/jj $ sudo useradd -m - d /home/jj jones $ sudo useradd -G support. sal es t i md Добавить поль зова теля в группы support и sa les $ sudo useradd - с "Tom G. Lotto" tl ot Добав и ть полное имя поль зова теля в поле коммен тария $ sudo useradd - s /bi n/tcsh joeq Назначить новый ин терпре та тор команд. исполь зуемый по умолчанию ( tcsh ) ;

вы должны его ус тановить · -е $ sudo useradd 2008 - 04 - 0 1 jerry Да та истечения срока дейс твия уче тной з аписи Apr i l 01. $ sudo useradd · f О jdoe Созда ть о тключенную учетную запись Не поз воля ть поль зова телю входить $ sudo useradd - s / sbi n/nol ogi n bi l l t в сис тему Предо твра тить создание корневого $ sudo useradd bi l l yq ка талога. о тсутствие -т П еред тем как добавить пользователя в группу, нужно создать эту группу (см. команду g roupadd, описываемую в подразд. •добавление групп• далее в этом разделе). Пользователь должен принадлежать к изначальной группе, которую можно определить с помощью параметра - g, а также к дополнительным группам, что определяется параметром - G.

Для вывода списка групп, к которым принадлежит пользователь, используйте команду groups:

Вывод списка групп. к ко торым принадлежи т поль зова тель $ groups francoi s franco i s ftpusers Пример с созданием учетной записи со сроком действия ( -е) является довольно полезным для установки даты окончания действия учетной записи временного Работа с пользовател ями и группами пользователя. Измените интерпретатор команд, используемый по умолчанию, на nologin, если хотите, чтобы пользователь имел доступ к компьютеру (через FTP, РОРЗ и т. д.), но не мог работать с обычным интерпретатором команд Linux. Ана­ логично, в последнем примере, где для создания корневого каталога не применя­ ется параметр - m, пользователю позволяется иметь доступ к компьютеру, однако у него не будет базовой директории. Обратите внимание, что, если вы не добавите параметр - m, команда useradd не создаст корневого каталога для пользователя.

Изменение настроек, используемых по умолчанию командой useradd. Значе­ ния, используемые по умолчанию во время создания новой учетной записи поль­ зователя с помощью useradd (интерпретатор команд по умолчанию, GID, даты истечения срока действия и т. д.), устанавливаются в файлах 1 etc/ 1 ogi n. defs и 1 etc/ defaul t/ useradd. Вы можете отредактировать эти файлы для изменения значений, используемых по умолчанию, либо запустить команду useradd с параметром -D для вывода списка или выборочного изменения значений:

$ useradd -D Вывес ти значения, исполь зуемые по умолчанию для useradd $ s11do useradd · D · Ь /home2 - s /bi n/csh Ус танов ить базовую директорию и ин терпре та тор команд. исполь зуемый по умолчанию $ sudo useradd · D -е 2009 - 0 1 · 0 1 Ус танови ть да ту ис течения срока действия всех учетных з аписей как 2009 -й год Как указано выше, после создания учетной записи пользователя с параметром -m файлы и папки из / etc/skel копируются в корневой каталог нового пользовате­ ля. Они включают в себя некоторые файлы интерпретатора команд bash и ссылку на папку-образец. Вы можете добавить другие файлы и папки в /etc/ skel, чтобы все новые пользователи получали их. Например, занимаясь настройкой веб-серве­ ра, вы можете создать папки puЫic_ftp и puЬiic_html, чтобы пользователи могли до­ бавлять туда страницы и файлы для общего доступа.

И зменение учетных записей поп ьэоватепей После того как учетная запись пользователя создана, можно изменить ее настрой­ ки с помощью команды usennod. Большинство параметров совпадают с исполь­ зуемыми командой useradd. Например:

$ sudo usermod ·с "Thomas Lotto " tl ot Измени ть имя поль зова теля в поле коммен тария $ sudo usermod - s /bi n/sh joeq Изменить ин терпрета тор команд.

исполь зуемый по умолчанию на sh $ sudo usermod · L swanson Заблокирова ть уче тную запись поль зова теля swanson $ sudo usermod ·U travi s Разблокиров а ть учетную запись поль зова теля tra v i s Обратите внимание, что два последних примера соответственно блокируют и разблокируют учетную запись пользователя. Блокировка пользователя не уда­ ляет из системы учетную запись, пользовательские файлы и папки. Однако она предотвращает вход этого пользователя в систему. Блокировка учетной записи полезна, когда.работник покидает компанию, однако его работа должна быть 298 Глава 14. Повышение уровня безопасности передана другому человеку. При таких обстоятельствах блокировка, а не удаление записи предотвращает ситуацию, когда файлы, принадлежавшие пользователю, ока­ зываются принадлежащими несуществующему идентификационному номеру.

Поскольку обычный пользователь не может применять команды useradd и usenпod, существуют специальные команды для изменения личной информации в учетной записи. Вот несколько примеров:

$ chsh - s /bi n/sh Изменить текущий ин терпре та тор команд на Jb in lsh $ sudo chsh · s /bi n/sh francoi s Измени ть ин терпре та тор команд на lb i n lsh $ sudo chfn \ \ · О " 8 · 205" Изменить номер офиса · h "212 · 555 · 1212 " \ Изменить домашний номер телефона · W " 2 12 · 555 · 1957 " Измени ть офисный номер телефона $ fi nger francoi s Log i n : franco i s Name : Franco i s Caen Di recto ry : / home/ franco i s Shel l : /bi n/bash Offi ce : В - 205. 2 1 2 - 555 - 1212 Home Phone : 2 12 - 555- On s i nce Sat Aug 4 13 : 39 C CDT ) on tty 1 4 seconds i d l e No ma i l.

N o Pl an.

Информация, измененная командой c h fn и отображенная с помощью fi nger, хранится в пятом поле файла etc / pa sswd для выбранного пользователя (этот файл может редактироваться только пользователем root, и выполнять данную операцию нужно с большой осторожностью, применяя команду vi pw).

В других версиях Linux можно использовать параметр - f с командой chfn для изменения вашего реального или полного имени. В Ubuntu эта функция отключе­ на по умолчанию. Вы можете изменить данное обстоятельство, отредактировав файл /etc/ l og i n. defs. Найдите данную строку:

rwh CHFN RESTR I CT и измените ее на такую:

CHFN RESTR I CT frwh Удапение учетн ых записей поп ьзоватеn ей Посредством команды userdel можно удалять учетные записи пользователей из системы, а также другие файлы (корневые каталоги, спул-файлы электронной поч­ ты и т. д.). Рассмотрим примеры:

# userdel j i mbo Удапи ть пользова теля. но не его корневой ка талог # userdel · r l i l y Удапи ть поль зова теля. корневой ка талог и спул -файпы электронной поч ты Упра вп ен ие паропям и Добавить или изменить параль легко с помощью команды pa s swd. Однако у нее существуют дополнительные параметры, позволяющие администраторам управ­ лять такими вещами, как блокировка учетных записей, истечение срока действия Работа с пользовател ями и группами паролей и сообщения о необходимости смены пароля. Помимо pas swd, для работы с паролями предназначены команды chage, chfn и vi pw.

Обычные пользователи могут изменять только свой пароль, в то время как суперпользователь имеет право менять пароли любого пользователя. Например:

$ passwd Изменить личный пароль поль зова теля Chang i ng passwo rd fo r user chri s.

Chang i ng pa s sword for chri s. ( cu rrent ) UN I X pa s swo rd : ******** New UN I X password : * BAD PASSWORD : i t ' s WAY too short New UN I X pa ssword : ********* Retype new UN I X pas sword : ********* pa sswd : pa sswo rd updated s ucces s fu l l y $ sudo passwd joseph Rоо t - поль зова тель може т меня ть пароль любого поль зова теля Changi ng pas swo rd for user joseph.

New UN I X password : * Retype new UN I X password : * passwd : pas swo rd updated succes sful l y В первом примере обычный пользователь (chris) меняет свой собственный па­ роль. Даже будучи зарегистрированным в системе, он должен ввести свой текущий пароль перед вводом нового. К тому же команда pas swd предотвращает установку слишком короткого пароля, основанного на словарном слове, с недостатком раз­ нообразных символов или такого пароля, который легко угадать. Во втором при­ мере rооt-пользователь может изменить пароль любого пользователя без старого пароля.

Пароли должны иметь как минимум восемь символов, одновременно состоять из букв и других символов (цифр, знаков препинания и т. д.), а также не должны содержать реальных слов. Создайте легкий для запоминания пароль, но чтобы его было сложно угадать.

Системный администратор может использовать команду pas swd для блокиров­ ки и разблокировки учетных записей пользователей. Например:

$ sudo passwd - 1 carl Блокирова ть учетную з апись поль зова теля (car l ) Lock i ng P.a s sword fo r user carl. pas swd : Success $ sudo passwd -u carl Разблокирова ть уче тную запись поль зова теля (car l ) Unl ock i ng pas sword for user ca r l. pas swd : Success $ sudo passwd -u jordan Неудачная попытка разблокирова ть учетную запись с пус тым парален Unl ock i ng pa s swo rd for user jorda n.

pas swd : Warni ng : unl ocked password wou l d Ье empty.

pa sswd : ns a fe operat i on ( use - f to force ) Блокировка учетной записи с помощью команды pa sswd подставляет восклица­ тельный знак ( 1 ) перед полем с паролем в файле /etc / s hadow (где хранятся пользо­ вательские пароли). Когда учетную запись разблокируют, восклицательный знак удаляется и восстанавливается предыдущий пароль пользователя.

Администратор может использовать команду pa s swd, чтобы обязать пользова­ телей регулярно менять пароль, а также для того, чтобы оповестить о том, что 300 Глава 14. Повышение уровня безопасности срок действия пароля истекает. Для использования функции истечения срока действия пароля в учетной записи пользователя должно быть активировано ис-rе­ чение срока действия пароля. Следующие примеры используют команду passwd для работы с истечением срока действия пароля:

$ sudo passwd - n 2 vern Установи ть минималь ный срок дейс твия пароля 2 дня $ sudo passwd -х 300 vern Ус танови ть максималь ный срок действия пароля 300 дней $ sudo passwd -w 10 vern Оповеща ть о6 ис течении срока дейс тв ия пароля за 1 0 дней ;

$ sudo passwd 14 vern Количес тво дней до о тключения учетной записи.

после ис течения срока дейс твия пароля В первом примере пользователь должен подождать хотя бы два дня ( - n 2) до установки нового пароля. Во втором пользователь должен поменять свой параль в течение 300 дней ( х 300). В следующем примере пользователя предупреждают за 1 0 дней до истечения срока действия пароля ( -w 10). В последнем примере учет­ ная запись пользователя отключается через 1 4 дней после истечения срока дей­ ствия пароля ( - i 14).

Для просмотра сроков действия паролей можно воспользоваться командой chage:

$ sudo chage -1 vern Показа ть информацию о да те ис течения пароля Aug 04. Last password cha nge Мау 31. Password expi res Jun 14. Pas sword i nacti ve never Account expi res Mi n i mum number of days between pas sword change Maxi mum number of days between pa ssword change Numbe r of days of wa rni ng before pa s sword expi res Как системный администратор вы можете использовать команду chage для управления сроками истечения действия паролей. Кроме возможности установки минимального ( -m) и максимального ( - М) количества дней действия, а также дней до выдачи предупреждения ( -W), команда chage позволяет указать день, в который пользователю необходимо задать новый пароль, или определенную дату, когда учетная запись становится неактивной:

- $ sudo chage 46 frank Отключи ть учетную запись поль зова теля по прошес твии 40 дней Срок дейс твия пароля закончи тся через 5 дней $ sudo chage -d 5 perry Вместо пяти дней ( - d 5) вы можете установить для этого параметра значение О, что вынудит пользователя изменить свой параль в следующий раз при входе в сис­ тему. Например, при установке -d О у пользователя perry запросили бы новый па­ роль во время следующего входа в систему:

1 og i n : per ry Pas sword : ******** You a re requ i red to cha nge you r pas swo rd i mmed i atel y ( root enforced ) Chang i ng password fo r perry.

Наблюдение за пользовател ями ( cu r rent ) UN I X pa sswo rd :

New UN I X pa s sword : ********* Retype new UN I X pa s swo rd : ********* Добавлени е групп Каждый новый пользователь приписан к одной или нескольким группам. Вы мо­ жете создавать группы в любое время и добавлять в них пользователей. Права каждой группы на использование файлов и папок в Linux зависят от того, как рас­ пределены права доступа. Добавление пользователя в группу позволяет определить права доступа к файлам, каталогам и приложениям. Таким образом, пользователи могут работать вместе над проектом или иметь общий доступ к ресурсам.

Команды, подобные тем, что применяются для работы с пользователями, до­ ступны и для управления группами. Вы можете добавлять (g roupadd) и удалять группы (g roupdel ), изменять их настройки (g roupmod), а также добавлять и удалять членов этих групп (groupmems ). Рассмотрим несколько примеров создании новых групп с помощью команды g roupadd:

$ sudo groupadd market i ng Созда ть новую группу со следующим дос тупны GID Созда ть новую груnпу с GID. равным 1 $ sudo groupadd - g 1701 sal es $ sudo groupadd - о - g 74 щysshd Созда ть груnпу с сущес твующ им GID Применяя команду groupmod, вы можете изменять имв или идентификационный номер (ID) существующей группы. Например:

Изменить GID группы myadmi n на $ sudo groupmod - g 491 щyadmi n $ sudo groupmod - n щуаd myadmi n Измени ть имя группы myadmin на myad Для того чтобы удалить существующую группу, используйте команду g roupde l :

$ sudo groupdel myad Удапи ть существующую группу myad Обратите внимание, что удаление группы или пользователя не удаляет файлы, папки, устройства или другие элементы, принадлежащие группе или пользова­ телю. Если вы выведете полный список ( l s - 1 ) файлов или папок, приписанных удаленной группе или пользователю, то будут показаны U I D и GI D удаленного пользователя или группы.

Н абл юдени е за пользователя м и Создав учетные запQси, которые позволяют пользователям работать за вашим ком­ пьютером, можете понаблюдать за их активностью. Для этого предназначены спе­ циальные команды, которые уже были описаны в предыдущих главах.

Используйте команду fi nd (см. гл. 4) для поиска файлов по всей системе, кото­ О рые принадлежат определенному пользователю.

Применяйте команду du (см. гл. 7), чтобы увидеть, сколько места занимают О папки выбранных пользователей.

Используйте команды fu s e r, ps и top (см. гл. 9) для просмотра запущенных О пользователями процессов.

302 Глава 14. Повышение уровня безопасности Помимо умомянутых выше, существуют команды для просмотра всех зареги­ стрированных в системе пользователей на данный момент, а также для получения общей информации о пользователях с учетными записями в вашей системе. Рас­ смотрим команды для получения информации о пользователях, находящихся в системе:

·s 1 ast Вывес ти список недавних удачных входов в сис тему g reek sti 1 1 1 ogged i n Sun Aug 5 1 8 : tty chri s tty 1 4 13 : 39 sti 1 1 1 ogged i n Sun Aug pts /4 thompson sti 1 1 1 ogged i n Sun Aug 5 14 : root Sat Aug chri s pts / 1 : 0. 0 sti 1 1 1 ogged i n 4 15 : 3 13 : 46 - 15 : 40 ( 0 1 : 53 ) Thu Aug 2 1 1 : 14 - 13 : 38 ( 2+02 : 24 ) franco i s pts / $ 1 ast а Упрощает процесс ч тения имени хае т - конпьютера удаленного клиента $ sudo 1 astb Вывес ти список недавних неуда чных входов в сис тему Mon Aug б 12 : 28 - 1 2 : ju1 i an ssh : notty ri tchi e ( 00 : 00 ) Tue Ju1 31 13 : 08 13 : morri s s s h : notty thompson ( 00 : 0 0 ) ba boon s s h : notty 10. 0. 0. 50 Sun J u 1 8 09 : 40 - 09 : 40 ( 00 : 0 0 ) francoi s s s h : notty 000db9034dce. c l i Fri Jun 22 17 : 23 - 17 : 23 ( 00 : 00 ) $ who - u Вывести список всех поль зова телей в системе на данный нонен т (полный вариант ) tty3 2007 - 08 - 05 18 : 05 17 : g reek jim pt s / 0 2007 - 08 - 06 12 : 29 20959 ( server1. exampl e. com ) root pts /3 200 7 - 08 - 04 18 : 18 13 : 46 17982 ( server2. exampl e. com ) francoi s pts / 2 2007 - 0 7 - 3 1 23 : 0 5 o1 d 4700 ( 0a 0d9b34x. examp1 e. com ) chri s o1 d 17502 ( : 0. 0 ) pts / 1 2007 - 0 8 - 04 15 : $ users Вывес ти список всех поль з ова телей в сис теме на данный нонен т (кра ткий вариант ) chri s francoi s g reek j i m root Применяя команду 1 ast, вы можете увидеть каждого зарегистрировавшегося в системе пользователя (или каждого открывшего новый интерпретатор команд) либо узнать, как долго они находились в системе. Вы также можете увидеть отмет­ ку " sti 1 1 1 ogged i n " ( все еще в системе). Строки терминала tty1 и tty3 показывают пользователей, работающих с виртуальных терминалов в консоле. Строки pts означают людей, открывших интерпретатор команд с удаленного компьютера (thompson) или локальный экран Х ( : О. 0 ). Мы рекомендуем использовать пара­ метр а для улучшенного отображения данных. Команда 1 astb показывает неудач­ ные попытки входа в систему и их направление. Команды who - u и users показыва­ ют информацию о текущих пользователях, находящихся в системе.

Рассмотрим несколько команд для получения дополнительной информации о находящихся в системе пользователях:

Ваша принадлежнос ть (UID. GID и группа $ id для текvщего ин терпрета тора команд ) ui d=1000 ( ch r i s ) g i d=1000 ( ch r i s ) g roups=4 ( adm ). 20 ( d i a 1 out ). 24 ( cdrom ), 25 ( f1 oppy ), 29 ( a ud i o ). 30 ( d i p ), 44 ( v i deo ). 46 ( p1 ugdev ). 104( sca nner ). l 1 2 ( netdev ).

1 13 ( 1 padmi n ), 1 15 ( powerdev ), 1 1 7 ( admi n ). l 0 0 0 ( chri s ) $ who am i Ваша принадлежность (поль зова тель. t ty.

да та входа в систему, местонахождение ) pts / 0 Aug 3 2140 ( : 0. 0 ) chri s Н аС'ТJ)ОЙка встроенного брандмауэра Информация о поль зова теле (кра ткая ) $ fi nger - s chri s Name Logi n Log i n Ti me Offi ce Offi ce Phone Id1 e Tty Chri s Negus tty ch ri s Aug 4 13 : 39 А - 1 1 1 555 - 1d $ fi nger -1 chri s Информация о поль зова теле (nолная ) Log i n : chri s Name : Chri s Negus Oi rectory : /home/ chri s She1 1 : /bi n / ba s h Offi ce : А- 1 1 1. 555 - 1212 Home Phone : 555 - On s i nce Sat Aug 4 13 : 39 ( СОТ ) on tty1 2 days i d 1 e New ma i 1 recei ved Mon Aug б 13 : 46 2007 ( СОТ ) Un read s i nce Sat Aug 4 09 : 32 2007 ( СОТ ) No P 1 an.

Помимо вывода стандартной информации о пользователе (имя, корневой ката­ лог, интерпретатор команд и т. д.), команда fi nger также отображает информацию, хранящуюся в специальных файлах в корневом каталоге пользователя. Например, содержание файлов пользователя -/. р1 an и -1. proj ect (если они существуют) ото­ бражается в конце вывода команды fi nger. С существующим файлом. p roj ect в одну строку и файлом. p1 a n в несколько строк это может выглядеть следующим образом:

$ fi nger - 1 chri s Информация о поль зова теле (nолная информация.

файлы. project и. p lan ) Proj ect :

Му proj ect i s to take over the wor1 d. P 1 a n :

Му grand pl a n i s to take over the worl d Ьу i nsta l 1 i ng Li nux on every computer Н астройка встро е нного брандмауэ ра Брандмауэр - одна из важнейших утилит для поддержания компьютера в безопас­ ности, исключающая возможность вторжения в систему через сеть или Интернет.

Он может защищать компьютер, проверяя каждый пакет с данными, поступающи­ ми в сетевые интерфейсы, а затем принимая решение о дальнейшей судьбе пакета в соответствии с заданными вами параметрами. Брандмауэр, встроенный в текущее ядро Linux, называется iptaЬles (вы также могли слышать о ipchains - предше­ ственнике iptaЬles в ядрах версии 2.2 и ниже). В Ubuntu iptaЬles запускается и на­ страивается в процессе установки.

Функция iptaЬles (www. netfilter.org) является невероятно мощной, но достаточно сложной для использования через командную строку. По этой причине многие устанавливают основные правила поведения брандмауэра посредством графиче­ ского интерфейса. Чтобы получить графический интерфейс, установите пакет программ firestarter. В нем есть помощник для настройки брандмауэра. Для запус­ ка Firestarter выберите System Administration Firestarter (Система Администри­ рование Firestarter ). Вы также можете опробовать такие дополнительные пакеты программ, как FWBuilder (пакет программ fwbuilder) и Shorewall (пакет программ shorewall) для графической настройки брандмауэров.

304 Глава 14. Повышение уровня безопасности У станавливая Ubuntu, вы одновременно установили в систему брандмауэр.

Ubuntu создает конфигурацию iptaЬles, которая является хорошим началом для использования брандмауэра через Рабочий стол. Эта конфигурация открывает толь­ ко несколько портов для работающих демонов и блокирует остальные. Вы можете изменить настройки по умолчанию с помощью команд, описанных далее.

ПРИМЕЧАН И Е -------­ Прежде чем читать дальше, просмотрите документ для Ubuпtu под названием IpTaЫes HowTo, рас­ положенный на сайте https://help.ubuпtu.com/commuпity/IptaЫesHowTo. В нем содержится много полезной информации об использовании iptaЫes в Ubuпtu, сильно отличающемся от других версий Uпux, таких как Fedora.

Для более сложных задач, когда, к примеру, iptaЬles используется как бранд­ мауэр нескольких компьютеров, мы рекомендуем воспользоваться одной из гра­ фических утилит, упомянутых выше. Однако бывают случаи, когда у вас нет досту­ па к графическому интерфейсу или вам необходимо воспользоваться функцией, которая недоступна через него. Вот тогда знание синтаксиса команды i pta Ы es оказывается полезным для вывода списка текущих правил и самостоятельного добавления новых.

Перед тем как вы начнете работать с брандмауэром в Ubuntu, нужно проверить, как он настроен в вашей системе. Рассмотрим способ выведенив списка текущих правил брандмауэра в системе Linux:

$ sudo i ptaЫ es - L Cha i n I N PUT ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on Cha i n FORWARD ( pol i cy АССЕРТ ) ta rget prot opt source desti nati on Cha i n OUTPUT ( pol i cy АССЕРТ ) ta rget prot opt sou rce dest i nati on После установки Ubuntu вы увидите вывод предыдущей команды, означающий, что ни одно правило не было задано. После некоторых изменений вы можете уви­ деть уже созданный список правил, подобный тому, что показан ниже:

$ sudo i ptaЫ es - L Отобраз и ть текущую таблицу филь тров iptaЫes Cha i n I NPUT ( pol i cy АССЕРТ ) ta rget prot opt source dest i nati on a nywhere anywhere udp dpt : i pp АССЕРТ udp АССЕРТ tcp a nywhere a nywhere tcp dpt : i pp О АССЕРТ state RELATED. ESTABLI SHED a nywhere a nywhere state NEW tcp dpt : ftp a nywhere a nywhere АССЕРТ tcp a nywhere state NEW tcp dpt : ssh a nywhere АССЕРТ tcp a nywhere state N EW tcp dpt : http a nywhere АССЕРТ tcp О a nywhere rej ect -wi th i cmp - host - proh i bi ted anywhere REJ ECT Cha i n FORWARD ( pol i cy АССЕРТ ) dest i nati on prot opt source ta rget a nywhere О rej ect -wi th i cmp - host - proh i bi ted a nywhere REJ ECT Cha i n OUTPUT ( pol i cy АССЕРТ ) dest i nati on ta rget prot opt source Н астройка встроенного брандмауэра Пример демонстрирует таблицу фильтров брандмауэра iptaЬles, используемую по умолчанию. Она показывает, что из всех пакетов, поступающих в сетевые ин­ терфейсы компьютера, пакеты для протокола печати через Интернет ( ipp) по про­ токолам udp и tcp допускаются в систему. К тому же принимаются tср-пакеты, направленные в порты FTP (ftp), Secure Shell (ssh) и Web (http). Кроме того, при­ ем пакетов происходит, если они ассоциируются с установкой соединения. Ниже вы можете ознакомиться с nаt-таблицей:

$ sudo i ptaЫ es - t nat L Отобраз и ть текущую па t - таблицу · программы iptaЫes Cha i n PREROUT I NG ( po l i cy АССЕРТ ) prot opt source ta rget desti nati on О. О. О. DNAT tcp 1 1. 22. 33. 44 tcp dpt : 8785 to : 10. 0. 0. 155 : DROP tcp 0. 0. 0. 010 tcp dpt : 0. 0. 0. 0/ DROP udp 0. 0. 0. 0/0 udp dpt : 0. 0. 0. 0/ Cha i n POSTROUT I NG ( po l i cy АССЕРТ ) ta rget dest i nati on prot opt source МASQUERADE al l 0. 0. 0. 0. 0. 0. 0/ Cha i n OUTPUT ( pol i cy АССЕРТ ) prot opt source desti nati on ta rget Показаипая nаt-таблица относится к функции иреобразования сетевых адресов (Network Address Translation, NAT). NAT позволяет использовать секретные адре­ са с помощью брандмауэра. Когда пакеты посылаются одним из внутренних ком­ пьютеров локальной сети, IР-адрес источника иреобразуется с помощью внешнего интерфейса брандмауэра. Брандмауэр следит за этими сессиями, чтобы принимать.трафик для машин локальной сети. Все это настраивается в строке MASQUERADE из цепочки POSTROUT I NG.

В предыдущем примере строка DNAT из цепочки PREROUТ I NG указывает на то, что все запросы на IР-адрес 1 1.22.33.44 с портом 8785 перенаправляются на внутрен­ ний IР-адрес в локальной сети 1 0.0.0. 1 55 с портом 22 (уловка, позволяющая кому­ либо подключиться к компьютеру в обход брандмауэра, используя нестандартный порт).

Вот еще несколько примеров, показывающих, как выводить информацию о брандмауэре. Команда i pstate является частью пакета программ ipstate.

$ sudo i ptaЫ es - n - L Правила филь тров. IР -адреса (без просмотра DNS-записей ) $ sudo i ptaЫ es - v - L Расширенный вывод (с подсче том паке тов /би т ) ) $ sudo i ptaЫ es L - - l i ne - numbers Показыв а ть номер с троки · в цепочке для каждого правила $ sudo i ptaЫ es nvL · · l i ne - numbers Любиное соче тание нашего технического редактора Вы можете очистить или остановить все правила iptaЬles в Ubuntu следующим образом:

F $ sudo i ptaЬl es Очис ти ть все правила iptaЫ es · Данная команда устраняет все правила, поэтому будьте осторожны с ее исполь­ зованием. Вам придется немедленно установить новые правила.

306 Глава 14. Повышение уровня безопасности Рассмотрим несколько примеров того, как использовать команду i pta Ы es для измененив правил активного брандмауэра:

$ sudo i ptaЫ es ·А INPUT - р ТСР \ Добавить правило внутреннего филь тра \ для ТСР·пакетов первого Еthеrпеt -интерфейса. ;

ethO - - desti nat i on - port 25 \ Направление в пор т электронной поч ты (25 ) - j АССЕРТ Принима ть паке ты \ $ sudo i ptaЬl es - t nat Добав и ть па t -правило Цепочка POSTROUTING ·А POSTROUTI NG \ - о eth1 Паке ты. полученные ин терфейсом eth \ - j SNAT \ Перей ти к преобразованию се тевых адресов - - to - source 11. 22. 33. 1 Исполь зова ть адрес 1 1. 22. 33. для о тправки исходящей информации Первый пример создает правило, позволяющее принимать новые запросы, вхо­ дящие в систему через порт 25. Возможной причиной может служить то, что вы настроили компьютер как почтовый сервер (с sendmail, postfix или другим SМТР­ сервисом). Второй пример создает nаt-правило, которое позволяет брандмауэру использовать иреобразование сетевого адреса источника (Source Network Address Translation, SNAT). Благодаря функции SNAT после прохождения информации через брандмауэр создается скрытый IР-адрес, через который можно поддерживать связь с Интернетом, используя внешний IР-адрес брандмауэра.

Для того чтобы иметь возможность применять SNAT или любую другую форму N АТ, вам необходимо разрешить перенаправление IP на компьютере. Это можно сделать, отредактировав файл /etc / sysctl. conf путем снятия закомментированно­ сти следующей переменной:

net. i pv4. conf. defa ul t. fo rwa rd i ng=l Если вы имеете доступ к компьютеру с выходом в Интернет за границами дей­ ствия брандмауэра, то можете настроить брандмауэр для перенаправления пакетов этой службы на такой компьютер. В следующем примере используется функция под названием перенаправление портов для передачи запросов определенной служ­ бы через брандмауэр на внешний компьютер назначения:

$ sudo i ptaЫ es -t nat · А PREROUTI NG \ Добавить па t -правило для цепочки PREROUTING - р tcp · d 11. 22. 33. 1 \ Принима ть tср -запросы на 1 1. 22. 33. Для пор та ВО (веб -служба ) \ · - dport Перей ти к цели DNA T \ · j DNAT Перенаправи ть э ти пакеты на 1 0. 0. 0. - - to - desti nati on 10. 0. 0. Можно создать множество других типов правил, изменяющих поведение бранд­ мауэра. Для получения более подробной информации по использованию про­ граммы iptaЬles обратитесь к руководству, расположенному на сайте Netfiller (www. netfiller.com).

После внесения описанных изменений вы увидите, что определены следующие правила:

$ sudo i ptaЫ es - t nat · L Cha i n PREROUT I NG ( po l i cy АСС Е РТ ) dest i nat i on t a rget prot opt sou rce Работа с файлами системного журнала anywhe re 1 1. 22. 33. 1 tcp dpt : www to : 1 0. 0. 0. DNAT tcp Cha i n POSTROUT I NG ( po 1 i cy АССЕРТ ) desti nati on ta rget prot opt source О SNAT to : 1 1. 22. 33. a nywhere a nywhere Cha i n OUTPUT ( po1 i cy АССЕРТ ) dest i nati on ta rget prot opt source Все изменения в правилах iptaЬles сохраняются только на время текущей сес­ сии. После перезагрузки компьютера активным станет набор правил, используе­ мых по умолчанию. Обычно это не то, что нужно. Для сохраненив ваших правил iptaЬles запустuте команду i ptab1 es - sa ve:

$ sudo i ptaЫ es - save > i ptaЫ es. rul es Сохраняе т правила в файл в текvщен ка талоге $ sudo ер i ptaЫ es. rul es /etc Копируе т сохраненные правила в letc Двухфазовый процесс необходим из-за прав доступа к папке 1 etc (вы можете изменить их, но это не очень хорошая идея). Наконец, правила сохранены для дальнейшего использования.

Далее можно настроить Ubuntu для загрузки этих сохраненных правил для каждого подключенного Еthеrnеt-интерфейса (правила уникальны для каждой сетевой карты или интерфейса в системе). Отредактируйте файл /etc/ netwo r k / i nterfaces. После каждой информации о настройках i face для Еthеrnеt-интерфей­ са, например для ethO, вызывайте команду i рtа Ы es - restore, как показано в следую­ щем отрывке файла:

auto ethO i face ethO i net dhcp pre - up i ptaЫ es - restore /etc / i ptaЫ es. ru1 es < Это дополнение к файлам правил интерфейсов вызывает функцию i ptaЫ es ­ restore для восстановления правил, сохраненных ранее в / etc / i рtаЫ es. ru1 es.

Работа с фа й ла м и систе м но го жу рнала Большинство Linux-cиcтeм настроены на ведение записей о действиях, которые происходят в рамках данных систем. Эти действия затем записываются в файлы журнала, находящиеся в папке /va r 1 1 og или в ее подпапках. Такие записи произво­ дятся программным обеспечением Syslog.

Для управления ведением журнала событий Ubuntu использует sys 1 ogd (демон записи системного журнала) и k 1 ogd (демон записи журнала ядра) установочных пакетов sysklogd и klogd. Эти демоны включаются автоматически посредством сценария запуска sys 1 og ( /etc / i ni t. d / sys k 1 ogd). Затем информация об активности системы, основанная на настройках файла 1 etc l sys 1 og. conf, направляется в файлы папки / v a r / l og, например messages, secure, c ron и boot. 1 og.

Периодическое создание файлов журнала обеспечивается программой logrotate с настройками, хранящимися в файле /etc/ 1 og rotate. conf и папке /etc / 1 ogrotate. d.

Сrоn-процесс команды /etc/cron. da i 1у/1 ogrotate позволяет периодически в течение дня заполнять журнальные файлы.

308 Глава 14. Повышение уровня безоnасности Вы можете просмотреть любой файл журнала вручную (с помощью vi или дру­ гого текстового редактора). Однако, установив пакет logwatch, вы будете каждый день получать наиболее существенную информацию из журнальных файлов на почтовый ящик пользователя root. Можно изменить адреса отправки и получения этого сообщения в файле / etc / c ron. da i l y / O l ogwatch. Чтобы избежать замкнутых циклов отправки электронной почты, укажите существующий адрес для отправи­ теля, в то время как адрес получателя должен находиться за пределами локаль­ ного компьютера. Другой способ изменения получателя - это перенаправление электронной почты rооt-пользователя на другой адрес. Это можно сделать, отре­ дактировав файл / et c / a l i a s e s и запустив программу newaliases для вступления изменений в силу. В противном случае просто зайдите в систему как суперпользо­ ватель и работайте с почтовой программой пользователя, как это описано в гл. 1 2, для прочтения электронных сообщений программы logwatch.

Вы можете отсылать свои собственные сообщения службе ведения системно­ го журнала syslogd с помощью команды l ogger. Вот несколько примеров:

$ l ogger Added new vi deo card Информация добавлена в файл сообщения $ l ogger - р i nfo -t CARD - f /tmp/my. txt Приори те т. тег. файл сообщения В первом примере фраза Added new v i deo ca rd отправляется в файл сообщения.

Во втором примере приоритет письма установлен как i n fo и тег CARD добавляется в каждую строку сообщения. Текст сообщения извлекается из файла /tmp/my. txt.

Чтобы просматривать системный журнал в реальном времени, используйте коман­ ды t a i l f или l ess, как это описано в гл. 5.

П родвин ут ы е ут илиты по обесп е ч е ни ю · б езо пасност и На десятке страниц невозможно рассказать обо всем многообразии утилит по обес­ печению безопасности, доступных администраторам Linux-cиcтeм. Помимо ко­ манд, рассмотренных в этой главе, мы представляем описание некоторых достой­ ных внимания функций для дальнейшей зашиты Linux.

Security Enhanced Linux (SE:tinux) - функция предоставляет средства для за­ О щиты файлов, папок и программ Linuх-системы, предотвращая несанкциониро­ ванный доступ из одной используемой системной области в другую. Например, если бы злоумышленники получили незаконный доступ к вашему неб-демону, это не означало бы, что они получили бы доступ к остальной системе. SELinux был разработан Агентством национальной безопасности США, на сайте которо­ го (www. nsa.gov/selinux,/info/faq.cfm) есть путеводитель по часто задаваемым вопро­ сам, связанным с данной программой. SELinux устанавливается с помощью не­ скольких пакетов. Обращайтесь на страницу https://wiki.ubuntu.com/SELinux для получения более подробной информации.

О Централизованный системный журнал - если вы управляете несколькими серверами Linux, то для вас предпочтительнее хранить файлы системного жур­ нала на центральном сервере syslog. Используя свой syslog-cepвep, вы можете Резюме просматривать информацию о системных событиях с помощью пакета syslog-ng.

Кроме того, если пакет logwatch уже не подходит вам из-за недостатка функцио­ нальности, попробуйте использовать аналиатор системного журнала Splunk.

О Tripwire с помощью этого приложения вы можете сделать моментальный снимок всех файлов в системе, а затем использовать его, чтобы найти изменения в файлах. Эта функция особенно полезна, когда нужно выяснить, подвергались ли определенные программы ненужным изменениям. Вы берете базовые харак­ теристики системного файла, затем регулярно запускаете tripwire и проводите проверку целостности, чтобы увидеть возможные изменения в файлах конфи­ гурации или приложениях.

О База данных АРТ еще одним способом проверить, подвергались ли програм­ мы изменениям, является использование команд АРТ для проверки достовер­ ности приложений и файлов конфигурации, установленных в системе. Обра­ щайтесь к гл. 2 для получения информации об использовании команд a pt и dpkg для проверки содержимого установленных пакетов программ.

О Chkrootkit если вы подозреваете, что в систему проникли злоумышленники, скачайте и соберите программу chkrootkit с сайта www. chkrootkit.org. Это помо­ жет обнаружить руткиты1, которые могли быть использованы для захвата ком­ пьютера. Мы рекомендуем запускать chkrootkit с LiveCD или после монтиро­ вания подозрительного диска в чистой системе.

Резюме В то время как существует множество утилит для защиты Linux, первая линия обес­ печения безопасности начинается с защиты учетных записей пользователей и служб, работающих в системе. Команды useradd, g roupadd и pa ssword являются стандартными средствами для настройки учетных записей пользователей и групп.

Поскольку большинство взломов, происходящих извне, осуществляются зло­ умышленниками, получающими доступ к системам через общедоступные сети, то настройка брандмауэров важна для любой системы, подключенной к Интернету.

Утилита iptaЬles предоставляет функции брандмауэра, встроенные в ядро Linux.

Программа Syslog следит за процессами, происходящими в системе. Она запи­ сывает информацИю практически обо всех действиях. С помощью пакетов про­ грамм logrotate и logwatch, установленных по умолчанию, можно легко управлять файлами системного журнала и ежедневно проверять их.

Набор утилит, которые хакер устанавливает на взломанном компьютере после получе­ ния первоначальноrо доступа.

П ри л ожен ие 1.

И спол ьз о в а н ие ред а кторо в vi и vi m Хотя легкие в использовании графические редакторы (такие как gedit и kedit) всегда доступны в Linux, большинство опытных пользователей все еще работают в vi или Emacs при редактировании текстовых файлов. Помимо того, что vi и Emacs работают из любого интерпретатора команд (графический интерфейс необязате­ лен), они имеют еще несколько преимуществ, например возможность работы в ре­ дакторе только с помощью клавиатуры и интеграция с удобными утилитами.

Кроме того, в отличие от графических текстовых редакторов, с редакторами, осно­ ванными на тексте, можно работать, имея подключение к Интернету на малой ско­ рости, например коммутируемый доступ или подключение через спутник.

Это приложение рассматривает функции редактора vi для базового редактиро­ вания текста, но также поможет вам научиться более сложным операциям с тек­ стом. Мы предпочли рассказать о vi, а не о Emacs, так как он более универсальный и гибкий, а также потому, что горячие клавиши vi можно нажимать двумя руками.

Поскольку многие системы Linux вместо старого vi используют редактор vim (Vi Improved << Vi Улучшенный• ), примеры в этом приложении касаются также и vim. Вот некоторые функции, которые есть в vim, но отсутствуют в vi: множествен­ ные уровни отмены ввода, выделение синтаксиса и помощь в режиме онлайн.

ПРИМЕЧАНИЕ -------­ Если вы никогда прежде не работали с vi или vim, обратите внимание на инструкцию, входящую в расширенный пакет программ vim. Запустите кома нду tutor и следуйте инструкциям для ознаком­ ления со многими ключевыми функциями этих редакторов.

Н ачало работы Если вы хотите потренироваться в использовании vi, то сначала скопируйте тек­ стовый файл. Например, введите:

$ ер /etc/passwd /tmp Затем откройте этот файл с помощью команды следующим образом:

vi $ vi /tmp/passwd Чтобы испытать все преимущества vim, убедитесь, что установлен расширен­ ный пакет программ vim-enhanced (который по умолчанию входит в Ubuntu).

Навигация В о многих системах vi это псевдоним команды vim. В Ubuntu обе команды за­ пускают vim. Вы можете перепроверить это с помощью команды а 1 i a s.

/bi n / v i /tmp/text. txt Рассмотрим еще несколько способов запуска vi:

На ч а ть со с троки номер $ vi +25 /tmp/ i ni ttab На ча ть редактирование с последней с троки $ vi + /tmp/ i ni ttab $ vi +/tty /tmp/ i ni ttab На ча ть с первой с троки со слова t ty Восс танови ть файл после сбоя в рабо те сессии $ vi - r /tmp/ i ni ttab Редактирова ть файл в режиме толь ко ч тения $ view /tmp/ i ni ttab После окончания работы с vi нужно сохранить данные и выйти из программы, для чего существует несколько способов. Чтобы сохранить файл до того, как выйти, наберите : w. Если вы хотите выйти и сохранить изменения, наберите zz либо : wq. Чтобы выйти без сохранения, используйте команду : q !. Если вы обна­ ружите, что не можете изменять редактируемый файл, то, возможно, он открыт в режиме только для чтения. Если это так, то вы можете заставить программу за­ писать данные, набрав : w !, или сохранить содержимое файла под другим именем.

Например, наберите оледующую команду, чтобы сохранить содержимое текущего файла в файл myfi 1 е. txt:

:w /tmp/myfi l e. txt Редактор vi также позволяет одновременно выбрать несколько файлов для редактирования. Например, введите следующее:

$ cd /tmp $ touch a. txt b. txt c. txt $ vi a. txt b. txt c. txt В этом примере vi откроет файл а txt первым. Вы можете перейти к следую­.

щему файлу, набрав : n. Возможно, вам понадобится сохранить изменения перед переходом к следующему файлу ( : w) или сохранить изменения и перейти к сле­ дующему файлу ( : wn). Чтобы отменить изменения и перейти к следующему фай­ лу, наберите : n !.

Скорее всего, будет легче открывать несколько файлов сразу, разделяя экран vi. Находясь в vi и открыв файл, можно горизонтально или вертикально разделить экран несколько раз:

: spl i t /etc/motd. tai l : vspl i t /etc/motd. ta i l Используйте клавишу ТаЬ, чтобы указать путь к файлам, как в обычном интер­ претаторе команд bash. Чтобы перемещаться между разделенными окнами, на­ жмите сочетание Ctri+W и клавишу W. Чтобы закрыть текущие окна, используйте обычную команду выхода из vi ( : q).

Навига ция Первое, к чему следует привыкнуть, работая с vi, - это то, что нельзя сразу начать печатать. У vi есть множество режимов для выполнения различных типов задач.

312 Приложение 1. Использование редакторов v i и vim Вы начинаете сессию vi в режиме Normal ( Обычный), в то время как vi ждет коман­ ды для начала работы. Находясь в режиме Normal ( Обычный), вы можете просмат­ ривать любое место в файле. Чтобы ввести или изменить текст, необходимо перей­ ти в режим Insert (Вставка) или Replace (Замена).

Если в vi открыт файл с несiWлькими страницами текста, то для навигации по файлу в режиме Nonnal (Обычный) можно использовать клавиши и их сочетания, приведеиные в табл. П 1. 1.

Таблица П1.1. Горячие клавиши для навигации Кпавиwи Кпавиwи Оnисание Описание Page Up Page Down Пролистать одну станицу вниз Пролистать одну станицу вверх или Qri+F или Qri+B Qri+U Qri+D Пролистать полстраницы вверх Пролистать полстраницы вниз Shift+G Перейти к последней строке :L Перейти к первой строке файла (используйте любую цифру для файла перехода на соответствующую строку} Shift+L Переместить курсор в верхнюю Переместить курсор в нижнюю Shift+H часть экрана часть экрана Qri+L Shift+M Переместить курсор в среднюю Обновить изображение (если часть экрана есть помехи} Переместить курсор в начало Enter Переместить курсор в начало следующей строки предыдущей строки End или Переместить курсор в конец Home или $ Переместить курсор в начало л или о файла строки Переместить курсор в начало Переместить курсор в начало предыдущего предложения следующего предложения { } Переместить курсор в начало Переместить курсор в начало следующего абзаца предыдущего абзаца w Shift+W Переместить курсор Переместить курсор к следующему слову (пробел, к следующему слову (пробел новая строка или знак или новая строка} пунктуации} в Переместить курсор Shift+B Переместить курсор к предыдущему слову (nробел к предыдущему слову (пробел, новая строка или знак или новая строка} пунктуации) Е Shift+E Переместить курсор к концу Переместить курсор к концу следующего слова (пробел, новая следующего слова (пробел или строка или знак пунктуации} новая строка} Переместить курсор на одну Переместить курсор на одну --+ или L +-- или 8ackspase букву влево букву вправо t J или.J..

к или Переместить курсор на одну Переместить курсор на одну строку вниз строку вверх Найти предыдущую /string Найти следующую комбинацию ?string комбинацию символов строки символов: string Искать в обратном направлении N Искать далее Shift+N Изменение и удаление текста И зме н е ни е и удал е ни е те кста Чтобы начать изменять и добавлять текст с помощью vi, можно войти в режимы Insert ( Вставка) или Replace (Замена), как показано в табл. П 1.2. Когда вы перехос дите в эти режимы, набранные символы будут появляться в текстовом документе (в отличие от их интерпретации как команд).

Нажмите клавишу Esc, чтобы выйти обратно в режим Normal ( Обычный ) после того, как вы закончили вставлять или заменять текст.

та&nица П 1.2. Клавиши для изменения текста Кnавиwи Описание кпавиwи Описание Набранный текст появляется Shift+I Набранный тест поя вляется в начале текущей строки перед текущим символом А Набранный текст появляется Shift+A Набранный тест появляется после текущего символа в конце текущей строки о Shift+O Создать новую строку над Создать новую строку под текущей для начала ввода текущей для начала ввода Стереть текущий символ S, Shift+S Стереть текущую строку и заменить новым текстом и заменить новым текстом Сменить ? на 1, w, $ или с для С? Shift+C Стереть все от места установки изменения текущей буквы, курсора до конца строки и ввести новый текст слова, конца строки или строки R Shift+R Заменить все по мере набора заменить текущий символ текста, начиная с текущего следующим набранным символом символа и далее вперед Таблица П 1.3 содержит клавиши для удаления или вставки текста.

Та&nица П 1.З. Клавиши для удаления и вставки текста кпавиwи Описание Описание Кnавиwи х Shift+X Удалить текст слева Удалить текст под курсором от курсора Сменить ? на 1, w, $ или d, D? Shift+D Вырезать все, начиная от места чтобы вырезать текущий установки курсора до конца символ, слово или конец строки строки, начиная от курсора или целой строки Сменить ? на 1, w или $, чтобы Shift+Y У? Копировать текущую строку в буфер копировать (копировать в буфер) текущий символ, слово или конец строки, начиная от курсора р Вставить вырезанный или Вставить вырезанный или Shift+P скопированный в буфер текст скопированный в буфер текст после курсора перед курсором 314 Приложение 1. Использование редакторов vi и vim Вспомогательны е команды В табл. П 1.4 показаны несколько вспомогательных, но важных для работы клавиш и их сочетаний.

Таблица П 1.4. Вспомогательные клавиши Описание Кпавиwи u Отменить предыдущее изменение. Несколько нажатий U подряд отменят соответствующее количество действий Повторить следующую команду. Таким образом, если вы удалили строку, заменили слово, изменили четыре буквы и т. д., та же самая команда будет выполнена с того места, где установлен курсор (команда сбрасывается при повторном входе в режим ввода) Объединить текущую строку следующей Shift+J со Возвратиться в командн ый режим из режима ввода. Это одна из клавиш, Esc используемых наиболее часто Моди ф икация ко ма н д с по м о щ ь ю чисел Почти каждая описанная выше команда может быть подвержена модификации с помощью цифр. Другими словами, вместо удаления одного слова, замены буквы или изменения строки вы можете удалить шесть слов, заменить двенадцать букв и изменить девять строк. В табл. П 1.5 показаны примеры.

Таблица П 1.5. Модификация кома нд с помощью чисел Описание Кпавиwи Удалить следующие семь слов и заменить набранным текстом 7CN Вырезать следующие пять строк (включая текущую) 5, Shift+D Вставить удаленный до этого текст три раза после курсора ЗР Вырезать девять слов перед курсором 9DB Опустить курсор вниз на десять строк 10J Копировать (копировать в буфер) текст, начиная от курсора и до конца У2) следующих двух предложений 5, Ctri+F Перейти вперед на пять страниц Объединить следующие шесть строк б, Shift+J Из этих примеров видно, что большинство горячих клавиш vi, предназначенных для изменения текста, удаления или навигации, могут быть модифицированы с помощью чисел.

Е х - ко манды Редактор vi был построен на основе редактора под названием Ех. Некоторые коман­ ды vi, описанные выше, начинаются с точки с запятой и известны как Ех-команды.

Ех-команды Для ввода таких команд начните работу в режиме Normal ( Обычный) и наберите двоеточие ( : ). Это позволит перейти в режим командной строки. В этом режи­ ме можно использовать клавишу ТаЬ для завершения команды или имени файла, а также клавиши управления курсором для навигации по журналу команд, как в интерпретаторе команд bash. Нажимая в конце команды Enter, вы переходите в режим Normal (Обычный ).

В табл. П 1.6 показаны примеры Ех-команд.

Табпица П 1.6. Примеры Ех-команд Оnисание Кома нда : ! Ьash Перейти в интерпретатор команд Ьash. Когда необходимо, наберите exit для возврата в vi : !date запустить date (или любую команду по вашему выбору). Нажмите Eпter для возврата :!! Повторно запустить предыдущую команду : 20 Перейти к строке 20 в файле : S,lOw aЬc.txt Вписать строки с пятой по десятую в файл abc.txt :е aЬc.txt Выйти из текущего файла и начать редактировать файл aЬc.txt :. r def.txt Поместить содержимое def.txt ниже текущей строки в текущем файле :s/RH/RedHat Изменить Red Hat при первом совпадении на RH в текущей строке Изменить Red Hat при всех совпадениях на RH в текущей :s/RH/Red Hat/g строке Изменить Red Hat при всех совпадениях на RH во всем файле : %s/RH/Red Hat/g :g/Red Hat/p Просмотреть каждую строку в файле, содержащую "Red Hat" :g/gaim/s//pidgiп/gp Найти каждую реализацию gaim и изменить на pidgiп В командной строке ех вы также можете просмотреть и изменить настройки сессии vi, используя команду set. В табл. П 1.7 показаны примеры.

Табпица П 1.7. Команда set в ех-режиме Оnисание Команда :set all Вывести список всех настроек :set Покаэать только те настройки, которые были изменены используемых по умолчанию на новые с :set пumЬer Вывести номера строк слева от каждой строки (используйте set попu для сброса) :set ai Установить автосгруктурирование;

таким образом, новая строка структурируется в соответствии с предыдущей :set ic Игнорировать регистр, чтобы поиск текста производился вне зависимости от регистра : set list л Показывать $ на конце каждой строки и для позиции табуляции :set wm Позволить vi добавлять разрывы между словами рядом с концом строки 316 Приложение 1. Использование редакторов vi и vim Работа в гра ф ич еском р еж и ме Редактор vim предоставляет интуитивный метод выбора текста, называемый гра­ фическим режимом. Чтобы начать работу в графическом режиме, поставьте курсор на первый символ нужного текста и нажмите клавишу V. Вы увидите, что вошли в графический режим, так как вверху появится текст:

- - V I SUAL - Теперь можно использовать любые клавиши управления курсором (стрелки, Page Down, End и т. д.) для перемещения курсора к концу текста, который вы хоти­ те выбрать. Вы увидите, что, по мере того как страница и курсор двигаются, текст выделяется. Когда весь необходимый текст выделен, можете выполнять команды для работы с ним. Например, d удаляет текст, с позволяет изменять выбранный текст, : w /tmp /test. txt сохраняет выбранный текст в файл и т. д.

П р и ложе н и е 2.

С п е ци а л ь н ы е си м в ол ы и п еремен н ые и нтер п рета то р а ком а н д В Ubuntu интерпретатор команд bash используется по умолчанию. В гл. 3 расска­ зано, как работать с ним. В этом приложении приводятся ссылки на множество символов и переменных, которые имеют особое значение в интерпретаторе команд bash. Многие их этих элементов представлены в табл. П2. 1 и П2.2.

С п ециальн ы е си м волы интерпретатора ко м анд Вы можете использовать специальные си мволы из интерпретатора команд для сравнения нескольких файлов, сохранения сочетаний горячих клавиш или для выполнения других операций. В табл. П2. 1 показаны некоторые полезные специ­ альные символы интерпретатора команд.

Табпица П2.1. Сnециальные сим вол ы и нтерnретатора команд Описание Символы * Обозначает любой набор символов ? Оnределяет л юбой символ [.] Обозначает л юбой символ, за ключен н ы й в скобки..

Указывает удалить специальное значение сим вола в скобках. Переменные не расширяются • То же самое, что и одинарные кавычки, тол ько символ ы nерехода ($ и \) сохра няют сnециальное значение Сим вол nерехода для удаления сnециал ьного значения nоследующего символа Ссыл ка на nапку $НОМЕ PWD Значение nеременной и нтерn ретатора команд (рабочая директория) Продолжение.Р 318 Приложение 2. Специальные символы и переменные интерпретатора команд Таблица П2.1 (продолжение) Символы Описание Ссылка на предыдущую рабочую папку Ссылка на текущую рабочую папку Ссылка на папку, расположенную над текущей. Символ может быть использован несколько раз подряд для указания папок, находящихся выше в дереве каталогов $param Используется для расширения параметра переменной интерпретатора команд cmd l ' cmd2 ' или cmd2 выполняется первым. затем вызов cmd2 заменяется результатом cmd l $(cmd2) выполнения cmd2 и выполняется cmd l cmd l Перенаправляет стандартный вывод команды > cmd l Перенаправляет стандартный ввод команды < cmd l Прикрепляет стандартный вывод команды в файл, не удаляя его текущего >> содержимого cmd l l cmd2 Связывает вывод одной команды и ввод другой cmd & запускает команду в фоновом режиме cmd l && cmd2 запускает первую команду. Если получено нулевое значение, запускает вторую команду cmd l l l cmd2 запускает первую команду. Если не получено нулевое значение, запускает вторую команду cmd l ;

cmd2 запускает первую команду и, когда ее выполнение завершается, запускает вторую Перем е нны е инте рп р етатора ко м ан д Вы можете создать параметр (переменную), поставив $ перед цепочкой символов (как в $НОМЕ). Переменные среды интерпретатора команд могут хранить информацию, используемую самим интерпретатором, а также командами, которые вы запускаете из него. Не все переменные среды будут наполнены по умолчанию. Некоторые пе­ ременные можно изменять (как оринтер по умолчанию $ P R I NTER или командную строку в $PS1). Другие управляются интерпретатором команд (например, $0LDPWD).

В табл. П2.2 приводится список полезных переменных интерпретатора команд.

Таблица П2.2. Переменные интерпретатора команд Описание Переменная Показывает путь к команде bash UЫп/Ьаsh) BASH BASH_COMMAND Команда, выполняемая в текущий момент BASH_VERSION Версия Ьash Путь к файлам конфигурации цветов ls COLORS Ширина строки терминала (в символах) COLUMNS Переменные интерпретатора команд Переменная Описание Обозначает Х-экран, в котором будут отображаться команды, эапущенные DISPLAY иэ текущего интерпретатора команд (например, :0.0) EUID Идентификационный номер текущего пользователя. Основывается на эаписи в /etr./passwd для вошедшего в систему пользователя Определяет текстовый редактор, испольэующийся командой fc для FCEDIТ редактирования команд history. Редактор vi используется по умолчанию Выводит список групп, в которые входит текущий пользователь GROUPS HISТCMD Показывает текущий номер журнальной эаписи текущей команды Отображает местонахождение файла журнала (обычно находится в папке HISТFILE $HOME/.bash_history) Общее количество записей в журнале для хранения ( 1000 по умолчанию).

HISТFILESIZE После достижения этого числа старые команды не учитываются HISTCMD Номер текущей команды в файле журнала Местонахождение домашней директории текущего пользователя. Команда НОМЕ cd беэ параметров возвращает в домашний каталог HOSТNAME Имя хост-уэла текущей машины НОSТТУРЕ Содержит архитектуру компьютера, на которой работает Liпux (i386, i486, i586, i686, х86_64, ррс или ррс64) LESSOPEN Приписана команде, конвертирующей содержание файла, отличное от чистого текста (рисунки, RPM, ZIР-файлы и т. д.), для работы с кома ндой less UNES Устанавливает количество строк в текущем терминале LOGNAME Содержит имя текущего пользователя LS_COLORS Приписывает определенные цвета расширениям файлов;

в результате команда ls их отображает, когда сталкивается с ними МАСНТУРЕ Отображает информацию об архитектуре машины, компании и операционной системе (например, i686-redhat-liпux-gпu) MAIL Обозначает местонахождение файла почтового ящика (обычно это имя пользователя в пaпкe/var/spool/mail) MAILCHECK П роверяет почту с указанными интервалами (60 по умолчанию) OLDPWD Папка, которая являлась рабочей до смены на текущую директорию Имя, обозначающее текущую операционную систему (как liпux или liпux-gпu) ОSТУРЕ РАТН Список папок, разделенных двоеточиями, используемый для нахождения источника набираемых команд (/Ып, /usr/blп и $НОМЕ/Ып обычно входят в РАТН) PPID Идентификационный номер процесса команды, запустившей этот и нтерпретатор команд PRINТER Уста новить принтер, применяемый по умолчанию, который используется такими командами, как lpr и lpq Продолжение.Р 320 Приложение 2. Специальные символы и переменные интерпретатора команд Таблица П2.2 (продолжение) Переменмая Оnисание РRОМРТ MAND Установить имя команды для запуска перед появлением приглашения _COM командного процессора. Например, РRОМРТ MAND=Is выводит _COM список команд в текущей папке перед отображением командной строки PSl Устанавливает приглашение командного процессора. Оно может включать в себя даты, время, имена пользователей, имя хост-уэла и т. д. Дополнительные приглашения командного процессара могут быть установлены с помощью PS2, РSЗ и т. д.

PWD Эта папка является текущей RANDOM Данная переменная генерирует случайное число от О до 32 Количество секунд с начала работы интерпретатора команд SECONDS Содержит полный путь текущего интерпретатора команд SH ELL Вывести список включенных параметров интерпретатора команд SHELLOPТS П ри ложен ие 3.

П олуче н ие и нформа ц и и с помощ ью ф а й л ово й / proc систем ы Файловая система /proc изначально предназначалась для хранения информации, используемой запущенными процессами. В конце концов она стала главным ме­ стом хранения информации, используемой ядром Linux. Несмотря на появление /sys для вывода более упорядоченной информации о состоянии ядра, многие ути­ литы Linux все еще собирают и представляют информацию о работающей системе с помощью /proc.

Если вы не любите выполнять лишние действия, то можете не использовать улилиты, которые обращаются к файлам /proc и иногда проводят записи в jproc.

Просматривая jproc, можно узнать текущее состояние процессов, устройств, под­ систем ядра и других атрибутов Linux.

П росмотр ин формации Просмотр информации в файлах папки / proc можно осуществить с помощью про­ стой команды cat. В папке /proc существуют отдельные директории для каждого работающего процесса (названные в соответствии с их идентификаторами), кото­ рые содержат информацию о процессе. Кроме того, в ней хранятся файлы, содер­ жащие данные о некоторых других свойствах системы, например о процессоре, состоянии оперативной памяти, версиях программ, разделов дисков и т. д.

Следующие примеры показывают, какую информацию можно получить из папки /p roc в системе Linux:

$ cat /proc/cmdl i ne Показывае т параме тры. переданные ядру при з а груз ке root=UU I D=db2dac48 - a62e - 4dbe - 9529 - e88a 57Ы5bac ro qui et spl a s h $ cat /proc/cpui nfo Показывает информацию о процессаре Proces sor : О vendor i d : Genu i ne l ntel cpu fami l y : б model Penti um I I I C Coppermi ne ) model name steppi ng cpu MHz 648. 256 КВ cache s i ze 322 Приложение 3. Получ ение информации с помощью файловой системы /proc В этом примере скорость может быть намного ниже, чем реальная, если запущен оптимизатор процессора, например cpuspeed.

Отображает существующие устройс тва посимволь ного $ cat /proc/devi ces ввода -вывода и блочные устройства Cha racter dev i ces :

1 mem 4 /dev / v c / 4 tty 4 ttys 5 /dev/tty Bl ock devi ces :

1 ramd i s k 8 sd 9 md Отображае т диски. разделы и ста тистику по ним $ cat /proc/di skstats 1 О ramO О О О О О О О О О О О 1 ram1 О О О О О О О О О О О 8 О sda 2228445 1032474 68692149 216727 10 1098740 47790770 101074392 о 15385988 8 1 sda1 330077 13060510 188002 8 1 sda2 1491 1759 50 7 о 1 оор о о о а о о о о о о о о В только что показаинам выводе команды di skstats можно увидеть псевдодиск ( ramO, ram1 и т. д.) и циклические устройства ( l oopO, l oop1 и т. д.). Что касается раз­ делов жестких дисков, то пример отображает статистику по целому жесткому диску (sda ) и каждому разделу ( sda 1, sda2 и т. д.).

Поле 1 1 информации о жестком диске отображает (слева направо): общее ко­ личество чтений;

количество объединенных чтений;

прочитанных секторов;

мил­ лисекунд, затрачиваемых каждым чтением;

завершенных записей;

объединенных записей;

секторов, в которые производилась запись;

миллисекунд, затрачиваемых на запись;

текущих запросов ввода-вывода;

миллисекунд, затраченных на ввод­ вывод;

среднее количество миллисекунд, затраченных н ввод-вывод. Поля для определенных разделов показывают (слева направо): количество заданных чтений;

прочитанных секторов;

заданных записей;

секторов, в которых произведена запись.

Вывес ти список поддерживаемых ядром файловых сис тем $ cat /proc/ fi l esystems node v означае т. ч то данный тип не исполь зуется nodev sys fs ни одним устройством rootfs nodev ехtЗ исполь зуе тся на смонтированнон ext блочном устройс тве i so9660 i so9660 исполь зуется на смон тированнон блочном устройс тве Просмотр информации Просмотр присвоенных IRQ каналов $ cat /proc/i nterrupts CPUO о: XT- P I C - XT 19838090 1 t i mer 28189 XT- P I C - XT i 1:

2: о XT- P I C - XT cascade 6: XT- P I C - XT 3770197 Ensoni q Aud i oPC I 660 XT- P I C - XT 7: pa rportO $ cat /proc/ i omem Показа ть адреса физ ической памя ти 00000000 - 0009fbff : System RАМ 00000000 - 00000000 : Cra s h kernel 0009fc00 - 0009ffff : reserved OOOaOOOO - OOObffff : V i deo RдМ a rea 000c0000 - 000c7 fff : Vi deo ROM 000c8000 - 000c8fff Adapter ROM OOOfOOOO - OOO fffff : System ROM 0 0 1 00000 - 0febffff : System RАМ $ cat /proc/i oports Пока з а ть адреса вир туаль ноq памя ти 0000 - 00 1 f : dma 0020 - 0021 pi c 0040 - 0 043 : t i merO 0050 - 0053 : t i mer 0060 - 006f : keyboa rd 0070 - 0077 : rtc 0080 - 008f : dma page reg 00а0 - 00а1 : pi c OOcO - OOdf : dma OOfO - OOff : fpu $ cat /proc/l oadavg Пока з а ть 1 -. 5- и 1 5-минутные средние загруз ки.

запущенные процессы/общий и наивысший PID 1. 77 0. 56 0. 19 2/247 $ cat /proc/memi nfo Показ а ть дос тупную опера тивную памя ть и памя ть подкачки MemTotal : 482992 kB MemFree : 25616 kB Buffers : 12204 kB Cached : 64132 kB 1 17472 kB SwapCached :

321344 kB Acti ve :

I nacti ve : 93168 kB О kB Hi ghTota l :

О kB Hi ghFree :

LowTota l : 482992 kB $ cat /proc/mi sc Показа ть имя /младший номер устройств.

зарегистрированных главным устройс твом misc (1 0 ) 229 fuse 63 dev i ce - ma pper 175 agpga rt 144 nvram 324 Приложение З. Получение информации с помощью файловой системы /proc $ cat /proc/modul es Показ а ть загруженные модули. размер памя ти.

n l s_utf8 6209 1 - L i ve Oxd0c59000 з агруженные копии программы. состояние за груженных зависимос тей и памя ть яАра c i fs 213301 О - L i ve Oxd0e3b nfs 226861 О - L i ve Oxd0e020 0 n f s d 208689 17 - L 1 ve Oxd0d8a expo rtfs 9537 1 nfsd. L i ve OxdOc fbO O O l ockd 62409 3 nfs. n fsd. L i ve Oxd0d nfs a c l 7617 2 nfs. nfsd. Li ve Oxd0c fus 45909 2 - L i ve Oxd0d2400 v fat 16193 О - L i ve Oxd0cf $ cat /proc/mounts Показа ть информацию о смонтированных локаль ных/удаленных файловых системах rootfs 1 rootfs rw О О nопе / sys sysfs rw. nosui d. nodev. noexec О О поnе / p roc proc rw. nosui d. nodev. noexec О О udev /dev tmpfs rw О О.

/dev/d i s k / by - uui d/db2dac48 - a 62e - 4dbe - 9529 - e88a57Ы5bac 1 ext3 rw. data= o rdered О О / d e v / d i s k / by - u u i d / d b2dac4 B - a 62e - 4dbe - 9529 - e88a 5 7 Ы 5 b a c / dev /. s t a t i c / dev ext rw. data=ordered О О tmpfs / v a r / run tmpfs rw. nosui d. nodev. noexec О О tmpfs / va r / l ock tmpfs rw. nosu i d. nodev. noexec О О tmpfs / l i Ь/modul es / 2. 6. 20 - 16 - generi c / vol at i l e tmpfs rw О О tmpfs /dev/ s hm tmpfs rw О О devpts /dev / pts devpts rw О О usbfs /dev/bus / us Ы. usbfs usbfs rw О О udev / proc/bus/usb tmpfs rw О О us bfs / proc / bus / u s Ы. usbfs usbfs rw О О fusectl / sys / fs / fuse/ connect i ons fusect l rw О О tmpfs / v a r / run tmpfs rw. nos u i d. nodev. noexec О О tmpfs / va r / l ock tmpfs rw. nosu i d. nodev. noexec О О /dev /di s k / by - uui d /4f419cb8 - a 920 - 4b6e - a8fd - b3946f9bf644 / boot ext rw. data=o rde red О О /dev/d i s k / by - uui d/91ae7a92 - ca 5c - 4ef0 - 9729- ba0cdcf2a 07f /home2 ext rw. dataordered О О nfsd / proc / fs / n fsd nfsd rw О О rpc_pi pefs / v a r/ l i Ь/nfs/ rpc_pi pefs rpc_pi pefs rw О О bi n fmt_mi sc / proc / sys / fs / b i nfmt_mi sc bi nfmt_mi sc rw О О $ cat /proc/part i t i ons Показ а ть смон тированные локаль ные разделы mi nor #Ы ocks maj o r name О 8 400317 12 sda 8 200781 sda 8 2 10241437 sda 8 3 6160927 sda $ cat /proc/mdstat Если исполь зуе тся программное обеспечение RA ID.

показа ть ста тус RA ID Persona l i ti es : [ ra i d 1 ] read a head 1024 sectors Event : mdO : act i ve ra i d 1 sdЬ1 [ 1 ] sda2 [ 0 ] 69738048 Ы ocks [ 2 / 2 ] [ UU J unused devi ces : Изменение информации Файл /proc/mdstat содержит детальную информацию о положении программ­ ных устройств RAID, если вы их устанавливали. В этом примере mdO это RA I D1 (зеркало), составленный из разделов /dev/ sdЫ и /dev / s d a 1. В этой строке присут­ ствует буква U для каждого рабочего RАI D-устройства. Если вы потеряете диск, вывод будет выглядеть как [ U_].

$ cat /proc/stat Отобраз и ть с та тисти ядра с момента запуска сис темы cpu 1559592 1488475 7 1 0279 218584583 1446866 5486 167 cpuO 1559592 1488475 7 1 0279 218584583 1446866 5486 i ntr 215956694 200 097282 28242 О 1 3 О 3770 197 660 1 1 О 37 53340...

ctxt bt i me 1 181950070 processes 519308 procs_runn i ng 1 procs_Ьl ocked О Файл / proc/ stat содержит статистику активности процессов и системного про­ цессора. Строка cpu отображает общее количество всех процессоров, в то время как отдельные строки для каждого процессара ( cpuO, cpu1 и т. д.) показывают статисти­ ку по каждому процессору на компьютере. Есть семь полей (слева направо) инфор­ мации о процессоре: количество обычных процессов, выполняемых в режиме поль­ зователя;

niсеd-процессы, запущенные в режиме пользователя;

процессы ядра;

свободные процессы;

iowait-пpoцeccы (ожидающие ввода-вывода для завершения);

прерванные службы ( I RQ);

программы обслуживания I RQ.

$ cat /proc/swaps Отобраз и ть информацию о размере файла подкачки Fi l ename Туре Si ze Used Pri o r i ty /dev /sda2 pa rti t i on 1020088 201 124 - $ cat /proc/uptime Секунды с момен та з агруз ки сис темы/общее количес тво секунд прос тоя 2300251. 03 2261855. 3 $ cat /proc/vers i on Вывести версию ядра и соо тветс твующего конпиля тора Li nux vers i on 2. 6. 20 - 16 - generi c ( root@te rranova ) ( gcc vers i on 4. 1. 2 ( Ubuntu 4. 1. 2 - 0ubuntu4 ) ) #2 SMP Fri Aug 31 0 0 : 55 : 27 UTC И зме н е ни е ин формации В некоторых версиях Linux определенные значения в папке / proc / sys могут быть изменены в процессе работы системы. Команда sysct l это наиболее удачный метод изменения информации / proc / sys. Для окончательного изменения этих на­ строек нужно добавить записи в файл /etc/sysctl. conf. Вот несколько примеров команды sysct l :

$ sudo sysctl - А 1 l ess Отобраз и ть все линамические параме тры ядра $ sudo sysctl -w net. i pv4. i p_forward=l Включить перенаправление паке тов IPV Обращайтесь к руководствам sysct l и sysct l. conf, а также к гл. 1 О для получения более подробной информации.

Pages:     | 1 |   ...   | 4 | 5 || 7 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.