Aleksej Bykov. Sistemnoe administrirovanie IBM AIX version 4.x

Avtor schitaet, chto prishlo vremya poznakomitsya otechestvennym komp'yutershchikam s ustojchivoj, otkrytoj, mnogopol'zovatel'skoj, gibkoj, masshtabiruemoj i, v to zhe vremya, druzhestvennoj k pol'zovatelyam operacionnoj sistemoj dlya serverov, takoj kak IBM AIX chetvertoj versii. Nadeyus', chto eta kniga pomozhet razdelit' so mnoj eto mnenie drugim administratoram informacionnyh sistem.

Osobenno interesno oznakomit'sya s tehnologiyami, primenyaemymi v AIX, v vsyazi s ob®yavlennym proektom Monterej (IBM, SCO i dr.) po sozdaniyu versii UNIX dlya platformy Intel v kotoroj budut primeneny naibolee sil'nye tehnologii AIX, takie kak instrumenty sistemnogo i setevogo administrirovaniya, podsistema upravleniya diskami.

Kniga "Sistemnoe administrirovanie IBM AIX Version 4" daet tol'ko obzor resheniya bazovyh zadach administrirovaniya s pomoshch'yu AIX.

Kniga obobshchaet prakticheskij opyt s sistemami na baze AIX v processingovom centre po obsluzhivaniyu sistemy beznalichnyh raschetov na osnove smart-kart i v korporativnoj informacionnoj sisteme ZAO "Komtek". |ti sistemy vypolnyayut razlichnye funkcii, ot servera prilozhenij (SUBD Oracle) do servera intranet. V etoj knige, v silu specifiki raboty avtora (sm. Ob avtore), delaetsya upor na ispol'zovanie AIX v sfere korporativnyh informacionnyh sistem.

Pri napisanii knigi ispol'zovana tehnicheskaya dokumentaciya po AIX, materialy avtorizovannyh kursov IBM, posvyashchennye sistemnomu administrirovaniyu AIX chetvertoj versii.

Nizhesleduyushchie zamechaniya yavlyayutsya lichnym mneniem avtora.

Operacionnaya sistema IBM AIX - eto po-prezhnemu UNIX, operacionnaya sistema, kotoraya vselyaet strah i nepriyazn' v serdca priverzhencev personal'nyh komp'yuterov. |tot strah i nepriyazn' vyzvany, prezhde vsego, tem, chto tradicionnye sistemy UNIX trebuyut ot pol'zovatelya i, tem bolee, ot administratora, netrivial'nyh usilij prakticheski po vsem aspektam raboty s operacionnoj sistemoj, nachinaya s processa ustanovki do nastrojki proizvoditel'nosti. Takaya slozhnost' raboty svyazana s obshchej koncepciej UNIX, predstavlyayushchej soboj bol'she "konstruktor" dlya sozdaniya toj operacionnoj sistemy, kotoraya nuzhna pol'zovatelyu, chem gotovuyu k primeneniyu OS. I za etu gibkost' v konfigurirovanii prihoditsya platit' slozhnost'yu nastrojki i raboty s neyu. Kommercheskie zhe versii UNIX predstavlyayut soboj uzhe, v bol'shej ili men'shej stepeni, nastroennye pod razlichnye kategorii pol'zovatelej varianty tradicionnogo UNIX. Vopros v tom, kak konkretnaya firma ponimaet stepen' nastroennosti etoj OS i kakie vozmozhnosti dobavleny v nee.

Sozdanie varianta UNIX, naibolee otvechayushchem zaprosam korporativnyh pol'zovatelej (i ne tol'ko), udalos' bolee vsego korporacii IBM. Te uluchsheniya, kotorye vnesli v etot variant inzhenery IBM, pozvolyayut utverzhdat', chto strahi i nepriyazn' pol'zovatelej PK v otnoshenii k IBM AIX, kak k variantu UNIX, bolee ne opravdany. I eto vse pritom, chto pol'zovatel' poluchaet v svoi ruki vse preimushchestva UNIX, kak otkrytoj, ustojchivoj, mnogopol'zovatel'skoj, masshtabiruemoj i gibko nastraivaemoj sistemy.

Hotelos' by vse zhe otmetit', chto reshenie zadach administrirovaniya komp'yuterov s OS AIX trebuet vysokoj kvalifikacii administratora i yasnogo ponimaniya im struktury i funkcij sistemy. Vprochem, eto verno i dlya sistem s serverami na osnove personal'nyh komp'yuterov. Ved' yasno, chto nekvalificirovannyj administrator sposoben prinesti gorazdo bol'she bed, chem pol'zovatel' s nizkoj kvalifikaciej.

Bol'shoj problemoj dlya rasprostraneniya AIX, naryadu s predubezhdeniyami pol'zovatelej PK, yavlyaetsya nedostatochnaya marketingovaya aktivnost' korporacii IBM po prodvizheniyu sistem RS/6000 s operacionnoj sistemoj AIX. Inogda kazhetsya, chto v IBM schitayut, raz oni sozdali tehnicheski bolee sovershennoe reshenie, chem konkurenty, to eto samo po sebe dolzhno prodvigat' na rynke eto reshenie. Realii sovremennogo mira ne takovy, na chto yavno ukazyvaet uspeh kompanii Microsoft po prodvizheniyu svoih produktov. Otechestvennomu potrebitelyu malo dostupna informaciya po produktam IBM. |to yavlyaetsya odnoj iz prichin, pochemu osnovnymi pol'zovatelyami e£ produktov yavlyayutsya lyudi, kotorye v silu raznyh situacij, uzhe stolknulis' v svoej rabote s etoj prevoshodnoj produkciej. Dlya nih, dejstvitel'no, uzhe ne nuzhno primenenie marketingovyh "hitrostej".

Nadeyus', chto eta kniga pomozhet reshit' chast' etih problem i uvelichit chislo poklonnikov tehnologicheski zrelyh i produmannyh produktov IBM, i v tom chisle operacionnoj sistemy AIX.

Bolee polnuyu informaciyu po AIX mozhno poluchit' v otdelah podderzhki korporacii IBM, obuchayas' na avtorizirovannyh kursah IBM, v podrobnoj tehnicheskoj dokumentacii, tradicionno postavlyaemoj s oborudovaniem i programmnym obespecheniem IBM, s pomoshch'yu Internet, a takzhe v inyh istochnikah.

Vvedenie

Dlya resheniya razlichnyh zadach po obrabotke informacii v informacionnyh sistemah sushchestvuet mnozhestvo reshenij i, po mneniyu avtora, dlya kazhdoj zadachi est' optimal'noe reshenie. Odnim iz takih reshenij yavlyaetsya primenenie komp'yuterov IBM RS/6000 s operacionnoj sistemoj AIX.

Kogda rekomenduetsya primenyat' sistemy RS/6000 s operacionnoj sistemoj AIX v korporativnyh informacionnyh sistemah? Togda, kogda neobhodimo obespechit' bolee vysokij, po sravneniyu s sistemami i serverami na osnove personal'nyh komp'yuterov, uroven' nadezhnosti, proizvoditel'nosti, masshtabiruemosti i bezopasnosti. Togda, kogda nam nuzhno obespechit' sootvetstvie otkrytym standartam i razvitye kommunikacionnye vozmozhnosti.

Obshchie harakteristiki i preimushchestva AIX chetvertoj versii

CHetvertaya versiya AIX osnovana na tradicionnoj operacionnoj sisteme UNIX i standartah X/Open XPG4. Ona sootvetstvuet Portable Operating System Interface for Computer Environments (POSIX) IEEE 1003.1-1990 i modeli raspredelennyh vychislenij IBM Open Blueprint, a takzhe specifikacii Single UNIX (SPEC 1170) i imeet marku X/Open XPG4 UNIX 95. Naryadu s sootvetstviem etim zhiznenno vazhnym standartami v AIX dobavleny razlichnye vozmozhnosti dlya ispol'zovaniya v razlichnyh sferah primeneniya informacionnyh tehnologij: ot laboratorij do kommercheskih sistem. CHetvertaya versiya AIX imeet mnogo svojstv populyarnyh v mire mejnfrejmov, takih kak vysokaya sistemnaya integrirovannost', gibkoe, moshchnoe i otnositel'no prostoe sistemnoe upravlenie, a takzhe sredstva obespecheniya vysokoj nadezhnosti i dostupnosti sistemy.

Harakteristiki i preimushchestva chetvertoj versii AIX:

Polnost'yu rasparallel'noe yadro sistemy YAvlyaetsya osnovoj dlya podderzhki rasparalel'nyh prilozhenij dlya mnogoprocessornyh sistem.

Binarnaya sovmestimost' s osnovnymi prilozheniyami AIX 3.2 Pomogaet obnovlyat' sistemu bezboleznennym sposobom. Mozhet pomoch' snizit' zatraty na podderzhku razrabotchikami ispol'zuemyh prilozhenij.

Masshtabiruemost' Obshchij kod kompilyacii dlya sistem na baze processorov POWER, POWER2, P2SC i PowerPC obespechivaet masshtabiruemost' i predostavlyaet vozmozhnost' poluchit' preimushchestva novyh sistem RS/6000 SP, SMP i na baze processora PowerPC.

Vozmozhnost' ustanovki klientskogo i servernogo variantov Vy ustanavlivaete tol'ko te funkcii, kotorye vam neobhodimy (sm. Pakety AIX).

Internacionalizaciya Podderzhka nacional'nyh yazykov rasprostranyaetsya na vse sistemnye komponenty, a imenno: na bazovuyu i graficheskuyu operacionnuyu sistemu, graficheskij interfejs pol'zovatelya i sredstva svyazi.

Osnovana na X/OPEN XPG4 i sertificirovana na sootvetstvie UNIX 95; sootvetstvuet Single UNIX Specification (SPEC1170) Vozmozhnost' perenosa prilozhenij mezhdu geterogennymi UNIX platformami. Podderzhka soglasovannosti so standartami otkrytyh sistem.

Vstroennye bazovye instrumenty SOMobjects Vozmozhnost' postroeniya SOM ob®ektov i prilozhenij, kotorye vy mozhete povtorno mnogokratno ispol'zovat'. Sohranyaet vremya i snizhaet rashody na razrabotku.

Assistent ustanovki i avtomaticheskoe obnaruzhenie apparatnyh ustrojstv Umen'shaet trebovaniya k vremeni, kvalifikacii i resursam, kotorye trebuyutsya dlya ustanovki operacionnoj sistemy.

AIX integrirovan s CDE Predlagaet sootvetstvie standartnym promyshlennym interfejsam (sm. Common Desktop Environment (CDE)). Mozhet pomoch' rostu produktivnosti pol'zovatelya ispol'zuyushchemu prostye v ispol'zovanii vozmozhnosti interfejsa.

Sootvetstvie urovnyu bezopasnosti C2 Obespechivaet vysochajshuyu stepen' bezopasnosti dostupa k sisteme (sm. Bezopasnost').

Instrumenty upravleniya proizvoditel'nost'yu, diagnostiki i sbora dannyh Dayut vam vozmozhnost' vydelyat' vse aspekty, kotorye mogut povliyat' na e£ proizvoditel'nost' i preduprezhdat' problemy.

Network Installation Manager (NIM) Prostoe rasprostranenie i ustanovka programmnogo obespecheniya na setevyh klientah.

Sertifikaciya ITAA na reshenie problemy 2000 goda Pravil'no obrashchaetsya s dannymi i fajlami dannyh posle 31 dekabrya 1999 goda.

Rasshirennye komandy arhivirovaniya Predlagaetsya bol'she vozmozhnostej i gibkosti dlya vashego plana arhivirovaniya i vosstanovleniya informacii (sm. Arhivirovanie i vosstanovlenie informacii). Pozvolyaet proshche delat' absolyutno identichnye sistemy.

Prostoj instrument razrabotchikov Unicode Pozvolyat vam razrabatyvat' baziruyushchiesya na UCS prilozheniya.

Sposobnost' LVM k rassloeniyu (striping) diska Podderzhka vysshej skorosti dostupa k dannym, ispol'zuyushchim tehnologiyu programmnogo rassloeniya diska (sm. Rassloenie (RAID 0)).

Podderzhka IBM Network Station Predlozhena podderzhka novogo semejstva setevyh komp'yuterov. Pozvolyaet imet' dostup k prilozheniyam Java i Internet.

Welcome Center Predlagaetsya druzhestvennoe vvedenie v mir RS/6000 i AIX. Oblegchaet elektronnyj dostup k vazhnym resursam, takim kak, naprimer, uslugi po podderzhke.

Dopolnitel'nye harakteristiki i preimushchestva versii AIX 4.3

Podderzhka 64-bit Podderzhka binarnoj sovmestimosti s osnovnymi 32-razryadnymi prilozheniyami dlya zashchity investicij v sushchestvuyushchee apparatnoe i programmnoe obespechenie. Podderzhivaetsya odnovremennoe vypolnenie 32-h i 64-ti bitnyh prilozhenij na 64-bitnoj apparature. Predostavlyaetsya okruzhenie dlya razrabotki 64-bitnyh prilozhenij. Podderzhivaetsya do 16GB real'noj pamyati na 64-bitnoj apparature.

Web-orientirovannoe sistemnoe upravlenie Pozvolyaet upravlyat' sistemoj AIX s lyubogo mesta v Internet/intranet s pomoshch'yu lyubogo brouzera podderzhivayushchego Java 1.1

Dokumentaciya na baze HTML Bol'shaya chast' dokumentacii dostupna v formate HTML (nekotorye dokumenty ostalis' v formate Adobe Acrobat PDF ili troff). Predlagaetsya prostoj dostup k dokumentacii s pomoshch'yu lyubogo web-brouzera.

Java Developer Kit (JDK) 1.1.2 s kompilyatorom IBM Just-In-Time (JIT) Vklyuchaet v sebya polnyj komplekt sredstv razrabotki. Kompiliruet bajt-kody Java v "rodnye" kody komp'yutera dlya vypolneniya Java programm s naivysshej proizvoditel'nost'yu (uskorenie v 25 raz po sravneniyu s interpretatorom bajt-koda Java).

Podderzhka protokola Internet Protocol Version 6 (IPV6) Preodolenie ogranicheniya adresacii, svojstvennye protokolu IP. Uvelichenie bezopasnosti IP s pomoshch'yu izbytochnoj marshrutizacii, dinamicheskoj marshrutizacii i tunnelirovaniya.

Podderzhka servera LDAP Predlagaetsya Secure Sockets Layer (SSL) Version 3 dlya shifrovaniya dannyh i autentifikacii ispol'zuya sertifikatov publichnyh klyuchej X.509v3. Anonsiruyutsya produkty dlya prostoj razrabotki prilozhenij kataloga LDAP.

2000 Ready OS AIX 4.3 gotova k 2000 godu i ne sovershaet nikakih oshibok pri perehode granic tysyacheletiya ni v 2000, ni v 2001 godah. Krome togo, ona korrektno uchityvaet tot fakt, chto 2000 god budet visokosnym.

Uluchsheniya Print spooler Predlagaetsya nadezhnaya setevaya podderzhka seti s vozmozhnost'yu odnovremennyh 1000 rabot pechati.

X11R6 Rasshirennye funkcii Xwindow s zashchishchennymi 64-bitnymi klientskimi bibliotekami dlya razrabotki graficheskih prilozhenij.

Interfejsy prikladnogo programmirovaniya (API) OpenGL, GL 3.2 i graPHIGs Pozvolyaet razrabatyvat' kompleksnye prilozheniya 3D. Predostavlyaetsya vozmozhnost' prostogo i sovmestnogo ispol'zovaniya graficheskih API, kotorye mogut byt' ispol'zovany v seti.

Instrumenty analiza/kontrolya proizvoditel'nosti Dlya sistemnogo administratora predostavlyayutsya kompleksnye instrumenty statisticheskogo analiza proizvoditel'nosti dlya lokal'noj sistemy AIX.

CacheFS iz nabora ONC+ Predostavlyaet vozmozhnost' bystrogo dostupa k fajlam, kogda ispol'zuetsya montirovanie Network File System.

Pryamoj vvod/vyvod Dlya proizvoditel'noj raboty kriticheskih prilozhenij predostavlyaetsya skorostnoj vvod/vyvod.

Uluchsheniya proizvoditel'nosti Telnet Predostavlyaetsya uluchshenie proizvoditel'nosti ot 40% do 60%.

Uroven' bezopasnosti C2 Sistema zashchity razrabotana dlya sootvetstviya urovnyu bezopasnosti soglasno specifikacij C2 US DOD, no poka oficial'no ne sertificirovana (OS AIX 4.2.0 sertificirovana po evropejskomu standartu ITSEC na sootvetstvie urovnyu bezopasnosti F-C2/E3).

Bonus Pack Version 4.3 Usilivaet AIX kak platformu dlya setevyh vychislenij. Komplekt prilozhenij, kotoryj da£t pol'zovatelyam instrumenty, kotorye mogut byt' cennymi v ih rabote:

ž Ultimedia Services dlya AIX
ž Adobe Acrobat Version 2.01
ž Lotus Domino Go Webserver 4.6
ž Network Station Manager (NSM) Version 2.5
ž IP Security xx-bit DES
ž DCE Client Version 2.1
ž Netscape Navigator 3.0.3
ž Netscape Navigator 4.0.3 (tol'ko brouzer)
ž Netscape FastTrack Server 2.0.1
ž LDAP-SSL Version 3 xx-bit encryption

Processory i sistema RS/6000

Operacionnaya sistema AIX rabotaet na platforme IBM RS/6000, a takzhe ustanavlivaetsya na servery nekotoryh drugih proizvoditelej (naprimer, Apple Computer) s processorami PowerPC. Maloe kolichestvo podderzhivaemyh platform, s odnoj storony, ogranichivaet sferu primeneniya etoj operacionnoj sistemy, no, s drugoj storony, pozvolyaet obespechivat' bolee vysokuyu stepen' sovmestimosti s apparatnymi sredstvami. Ne sleduet takzhe zabyvat', chto semejstvo IBM RS/6000 predstavleno ochen' shirokim spektrom komp'yuternyh sistem, ot noutbuka do massovo-parallel'nyh superkomp'yuterov IBM RS/6000 SP.

I prezhde vsego eta platforma harakterizuetsya ispol'zovaniem processorov dvuh semejstv: Power i PowerPC. Oba semejstva processorov postroeny na tehnologii RISC (Reduced Instruction Set Cycles). |ta tehnologiya pozvolyaet processoru vypolnyat' neskol'ko instrukcij za odin takt, poetomu, pryamoe sravnenie harakteristik processorov po rabochej taktovoj chastote s processorami, postroennymi po tehnologii CISC (naprimer, processory Intel), pryamo skazhem, ne pravomerno. Processory semejstva Power optimizirovany na ispolnenie komand s plavayushchej zapyatoj (naprimer, programm nauchnyh raschetov ili programm obrabotki graficheskoj informacii). Processory semejstva Power ispol'zuyutsya v massovo-parallel'nyh sistemah IBM RS/6000 SP. Processory semejstva PowerPC optimizirovany na vypolnenie instrukcij s fiksirovannoj tochkoj (naprimer, programmy raboty s bazami dannyh).

Klassicheskaya sistema RS/6000

Tak nazyvaemaya klassicheskaya sistema RS/6000 harakterizuetsya primeneniem mikrokanal'noj shiny MCA (MicroChannel) razrabotki IBM i SCSI-diskov. Osnovnym vizual'nym priznakom yavlyaetsya nalichie special'nogo pereklyuchatelya, ot polozheniya klyucha v kotorom, zavisit rezhim zagruzki operacionnoj sistemy.

Sistema RS/6000 s shinoj PCI

Novye sistemy RS/6000 komplektuyutsya shinoj PCI, kotoraya yavlyaetsya nedorogoj i bolee rasprostranennoj al'ternativoj shine MCA. Ispol'zovanie special'nyh mostov pozvolyaet komp'yuteram s shinoj PCI ispol'zovanie adapterov dlya shin ISA (standartno postavlyaetsya) i MCA, EISA ili NuBus (shina, ispol'zuemaya v komp'yuterah Apple Macintosh).

Diski RS/6000

Sistema RS/6000 mozhet soderzhat' kak vnutrennie diskovye sistemy, tak i vneshnie. Vneshne podklyuchaemye diski mogut byt' kak odinochnymi diskami, tak i diskovymi podsistemami, kotorye soderzhat' v sebe bolee odnogo diska. Takzhe dostupny diski, izvlekaemye iz diskovogo ustrojstva. Ih udobno primenyat' dlya perenosa bol'shih ob®emov informacii. Standartno diski podklyuchayutsya po protokolu SCSI. Dlya luchshej proizvoditel'nosti, upravlyaemosti, a takzhe pri neobhodimosti formirovaniya bol'shih diskovyh prostranstv dostupny diski, podklyuchaemye po protokolu posledovatel'nogo interfejsa SSA.

Podsistema vvoda/vyvoda

Standartnaya sistema vvoda/vyvoda RS/6000 soderzhit vstroennye v sistemnyj blok dva posledovatel'nyh porta, odin parallel'nyj port i porty dlya podklyucheniya klaviatury, myshi i digitajzera. Dlya podklyucheniya asinhronnyh ustrojstv (naprimer, terminalov i asinhronnyh printerov) dostupny 8-mi, 16-ti i 128-mi portovye asinhronnye adaptery. Dlya svyazi s drugimi sistemami i sozdaniya komp'yuternyh setej dostupno mnozhestvo adapterov, kotorye podderzhivayut protokoly Token-Ring, Ethernet, FastEthernet, FDDI, Fiber Channel Switch, ATM, X.25 i drugie. Dlya pryamogo podklyucheniya k mejnfrejmam sushchestvuet adapter protokola SDLC.

Konfiguraciya rabochej stancii

Odnoj iz osnovnyh konfiguracij RS/6000 yavlyaetsya konfiguraciya POWERStation, - odnopol'zovatel'skoj graficheskoj rabochej stancii, ispol'zuemoj dlya vypolneniya sootvetstvuyushchih graficheskih prilozhenij (naprimer, CAD/CAM). V etoj konfiguracii v sistemu RS/6000 vstroen graficheskij adapter, k kotoromu podklyuchaetsya graficheskij displej. Sushchestvuet mnozhestvo razlichnyh graficheskih adapterov, kotorye razlichayutsya skorost'yu, podderzhivaemym razresheniem, kolichestvom cvetov, 2D i 3D podderzhkoj i t.p. Graficheskij displej (vklyuchitel'no do 23-h dyujmovogo IBM PowerDisplay) dolzhen podderzhivat' rezhimy graficheskogo adaptera.

Servernaya konfiguraciya

Mnogopol'zovatel'skaya sistema

Mnozhestvo mnogopol'zovatel'skih sistem soderzhat tol'ko ASCII terminaly, podklyuchennye lokal'no ili po telefonnoj linii s pomoshch'yu modema. K posledovatel'nym interfejsam, kotorye vstroeny prakticheski vo vse sistemy RS/6000 mogut byt' podklyucheny dva asinhronnyh ustrojstva. Dlya lokal'nogo podklyucheniya vse ostal'nye ASCII ustrojstva trebuyut asinhronnyj adapter.

Setevaya sistema

Bolee kompleksnaya sistema mozhet soderzhat' neskol'ko RS/6000 i drugih ustrojstv, takih kak personal'nye komp'yutery, podklyuchennye k lokal'noj seti tipa Ethernet ili Token-Ring. V etom sluchae RS/6000 trebuetsya sootvetstvuyushchij kommunikacionnyj (setevoj) adapter. Estestvenno, chto dlya takoj sistemy ne isklyuchena vozmozhnost' podklyucheniya ASCII ustrojstv.

XStation

XStation (X stanciya) eto podsoedinennaya po lokal'noj komp'yuternoj seti graficheskaya displejnaya stanciya, kotoraya sostoit iz displeya, klaviatury, myshi i soderzhit sobstvennuyu videopamyat' (ne operativnuyu pamyat') i ne imeet sobstvennyh diskov. Prilozheniya vypolnyayutsya na odnom ili neskol'kih RS/6000 ili drugih komp'yuterah, na kotoryh vypolnyaetsya programma XStation Manager.

Bezdiskovye rabochie stancii

Ranee, kogda diskovye podsistemy byli ochen' dorogimi, v celyah ekonomii primenyalis' bezdiskovye rabochie stancii. |ti rabochie stancii imeyut sobstvennyj processor i operativnuyu pamyat', ispolnyayut lokal'no operacionnuyu sistemu i prilozheniya i mogut imet' podklyuchennye k nej terminaly, no ne imeet lokal'noj diskovoj podsistemy ili imeyut diskovuyu podsistemu malogo ob®ema, kotoraya ispol'zuetsya tol'ko kak prostranstvo zagruzki, pejdzhinga i t.p. CHetvertaya versiya AIX predlagaet kak servernuyu, tak i klientskuyu podderzhku bezdiskovyh rabochih stancij. Serverom bezdiskovoj stancii mozhet byt' takzhe drugaya UNIX sistema s sootvetstvuyushchej podderzhkoj TCP/IP i NFS. Klientami mogut byt' komp'yutery RS/6000, kotorye mogut zagruzhat'sya po seti, a takzhe bezdiskovye stancii Sun 3 ili Sun 4. Servernaya podderzhka vklyuchaet v sebya podderzhku udalennoj zagruzki, udalennye fajlovye sistemy, pejdzhingovoe prostranstvo i svobodnoe prostranstvo i ispol'zuet NFS V4, a takzhe podderzhku udalennoj ustanovki. V nastoyashchee vremya ispol'zovanie bezdiskovyh rabochih stancij, po mneniyu avtora, neopravdanno.

Setevye komp'yutery (Network Computers)

Network Computer - eto intellektual'nyj graficheskij terminal. Ego intellektual'nost' obespechivaetsya nalichiem sobstvennogo processora i operativnoj pamyati, kotorye berut na sebya zadachi graficheskogo predstavleniya informacii na displee i vypolneniya kompaktnyh programm, peredavaemyh po seti. Primenyaetsya, v osnovnom, resheniya standartnyh ofisnyh zadach (dokumentooborot, elektronnaya pochta i t.p.), dostupa k korporativnym bazam dokumentov i dannyh, a takzhe k Internet. Ispol'zovanie setevyh komp'yuterov optimal'nym sposobom raspredelyaet zagruzku razlichnyh komponentov seti, obespechivaet povyshennuyu bezopasnost' sistemy, vedet k znachitel'nomu snizheniyu zatrat na obsluzhivanie sistemy i, v nastoyashchee vremya, yavlyaetsya odnim iz naibolee progressivnyh sposobov organizacii korporativnoj informacionnoj sistemy.

Rol' sistemnogo administrirovaniya

Cel' sistemnogo administrirovaniya

Osnovnoj cel'yu sistemnogo administrirovaniya yavlyaetsya privedenie informacionnoj sistemy v sootvetstvie celyam i zadacham predpriyatiya ili organizacii.

Dlya dostizheniya etoj osnovnoj celi sistemnoe upravlenie v AIX postroeno takim obrazom, chtoby minimizirovat' neobhodimoe vremya i resursy, napravlyaemye na upravlenie sistemoj i, v to zhe vremya, maksimizirovat' dostupnost', proizvoditel'nost' i produktivnost' sistemy.

Sistema daet vozmozhnost' administratoru udelit' bol'she vnimaniya na reshenie voprosov tipa "chto sdelat'?", a ne "kak sdelat'?".

Obyazannosti sistemnogo administratora

V nekotoryh nekrupnyh sistemah (naprimer, do 15-20 rabochih mest, raspolozhennyh lokal'no v predelah odnogo nebol'shogo zdaniya) na sistemnogo administratora takzhe vozlagayut obyazannosti po podderzhke pol'zovatelej. |ti obyazannosti zanimayut bol'shuyu chast' rabochego vremeni i poetomu, nachinaya s bolee krupnyh informacionnyh sistem, rekomenduetsya osvobodit' sistemnogo administratora ot rabot po okazaniyu pomoshchi pol'zovatelyam.

Raspredelenie zadach administrirovaniya mezhdu pol'zovatelyami

Sistema bezopasnosti AIX predostavlyaet vozmozhnosti dlya resheniya administratorskih zadach v osnovnom pol'zovatelyu root (a takzhe nekotorym pol'zovatelyam iz administratorskih grupp dlya vypolneniya osobyh zadach (sm. Gruppy sistemnyh administratorov)).

Polnye prava po upravleniyu sistemoj, kotorye poluchaet pol'zovatel' root, predpolagayut osoboe vnimanie k ispol'zovaniyu etogo identifikacionnogo nomera (ID). Ego ispol'zovanie neobhodimo ogranichit' tol'ko na vremya vypolneniya administrativnyh zadach, dlya kotoryh nuzhny polnomochiya etogo superpol'zovatelya. Vo vse ostal'noe vremya administrator dolzhen pol'zovat'sya ID obychnogo pol'zovatelya.

Administratoru rekomenduetsya vhodit' v sistemu kak obychnomu pol'zovatelyu i pri neobhodimosti vospol'zovat'sya privilegiyami root, ispol'zovat' komandu su. |ta komanda, nabrannaya bez parametrov, pri vvode sootvetstvuyushchego parolya daet pol'zovatelyu privilegii root. Posle vypolneniya zadach administrirovaniya rekomenduetsya zakryvat' seans s privilegiej root komandoj exit ili nazhatiem kombinacii klavish <Ctrl-D>.

Rekomenduetsya ispol'zovat' polnoe setevoe imya komandy su: /bin/su, a takzhe ogranichenie etoj komandy i byudzheta root opredelennymi terminalami. Podrobno ob etom chitajte v glave "Bezopasnost'".

Primechanie: komanda su [imya_pol'zovatelya] pozvolyaet poluchit' polnomochiya lyubogo pol'zovatelya, parol' kotorogo vy znaete.

Ustanovka

Pri ispol'zovanii standartnogo ispravnogo oborudovaniya ustanovka AIX yavlyaetsya dostatochno prostym delom.

Planirovanie

ž Kakie zadachi po obrabotke informacii reshaet vasha informacionnaya sistema i kakie zadachi vy sobiraetes' reshat'?
ž Skol'ko i kakie komp'yutery ispol'zuetsya v vashej informacionnoj sisteme?
ž Kak postroena set' (topologiya, marshrutizaciya i t.p.)?
ž Kakova politika bezopasnosti v vashej informacionnoj sisteme?
ž I t.d. i t.p.

Sposoby ustanovki

Sushchestvuet neskol'ko razlichnyh sposobov zagruzki i ustanovki bazovoj operacionnoj sistemy (BOS): Zagruzka i ustanovka s lenty (4mm, 8mm, QIC120, QIC525) trebuet nalichiya kak minimum 16 megabajt operativnoj pamyati.

Metod ustanovki s lenty ne primenyaetsya dlya RS/6000 s shinoj PCI. Na etih komp'yuterah zagruzka i ustanovka BOS proizvoditsya s CD-ROM. Dlya ustanovki s CD-ROM trebuetsya tol'ko 8 megabajt operativnoj pamyati.

Setevaya ustanovka vozmozhna pri ispol'zovanii AIX Network Installation Manager (NIM). Takoj vid ustanovki pozvolyaet administratoru upravlyat' ustanovkoj BOS i dopolnitel'nogo programmnogo obespecheniya na odin ili neskol'ko komp'yuterov po seti.

Pri pokupke novyh sistem vy mozhete zakazat' v IBM komp'yuter RS/6000 s uzhe ustanovlennoj BOS.

Pakety AIX

CHetvertaya versiya AIX razbita na pakety dlya ustanovki, chto pozvolyaet ustanovit' tol'ko te vozmozhnosti, kotorye vam trebuyutsya. Koncepciya modul'noj razbivki yavlyaetsya osnovoj dlya razdeleniya postavok AIX v vide servera ili klienta.

Klientskij paket soderzhit funkcional'nye vozmozhnosti dlya raboty s RS/6000 v roli setevogo klienta bez vypolneniya funkcij servera. Podderzhivaetsya tol'ko 1-2 klienta sistemy + pol'zovatel' root. Takie sistemy ispol'zuyutsya v osnovnom kak klient seti, proizvoditel'naya rabochaya stanciya, server pechati, server imen, server sbora dannyh ili marshrutizator.

Servernyj zhe paket soderzhit polnye funkcional'nye vozmozhnosti dlya raboty RS/6000 v roli servera. Takaya sistema ispol'zuetsya v osnovnom dlya resheniya sleduyushchih zadach:

ž Server prilozhenij;
ž Fajlovyj server seti;
ž Server pechati;
ž Server imen;
ž Server kommunikacij i Internet;
ž Marshrutizator;
ž Server licenzirovaniya;
ž Server razrabotki prilozhenij;
ž Server vychislenij;
ž Dlya kombinacii vysheperechislennogo.

|tot produkt razrabotan kak mnogopol'zovatel'skaya sistema. Po umolchaniyu predlagayutsya servernye pakety na 1-2 pol'zovatelej i pol'zovatelya root. Dopolnitel'nye pol'zovatel'skie licenzii neobhodimo dokupat' otdel'no v sootvetstvii s politikoj licenzirovaniya IBM.

Ustanovka na klassicheskom RS/6000 (shag 1)

ž Vklyuchite klyuch v poziciyu service.
ž Vklyuchite sistemu ili nazhmite dvazhdy knopku reset.
ž Vstav'te lentu v lentoprotyazhnoe ustrojstvo ili CD-ROM v diskovod. Sistema dolzhna zagruzitsya iz pervogo, ukazannogo v spiske zagruzki ustrojstva, v kotorom nahoditsya nositel'.

Ustanovka na RS/6000 s shinoj PCI (shag 1)

ž Vklyuchite vse periferijnye ustrojstva (SCSI ili SSA diskovye sistemy).
ž Vklyuchite sistemu.
ž Vstav'te CD-ROM v diskovod. Sistema budet pytat'sya zagruzit'sya s pervogo, ukazannogo v spiske zagruzki ustrojstva v kotorom vstavlen nositel'.

Primechanie: pri vstavke v diskovod diskety 3.5" s programmoj obsluzhivaniya budet zagruzhena programma obsluzhivaniya.

Vybor konsoli i opredelenie yazykovoj sredy ustanovki (shagi 2 i 3)

******* Please define the System Console. *******

Type a 2 at this terminal and press <Enter>
if you want this display to be the System Console.

|to soobshchenie vyvoditsya na vse podklyuchennye k sisteme graficheskie displei ili na terminal, podklyuchennyj k pervomu vstroennomu posledovatel'nomu portu i dolzhno byt' pokazano na vos'mi razlichnyh evropejskih yazykah.

Tip terminala (Terminal type) dumb
Skorost' (Speed) 9600
Paritet (Parity) no
Bit na simvol (Bits per character) 8
Kol-vo stop bitov (Stop bits) 1
Kontrol' linii (Line Control) IPRTS
Rezhim processa (Operation mode) echo
Turnaround character CR

Programma zagruzki ne povtorit eto soobshchenie posle pervoj zagruzki. I esli u vas nepravil'no skonfigurirovan terminal (soobshcheniya vy ne uvidite), vy dolzhny nazhat' klavishu <2> i zatem <Enter> i skorrektirovat' etu problemu v budushchem.

Iz predlagaemogo spiska vyberite yazyk, kotoryj budet ispol'zovat'sya dlya processa ustanovki (soobshcheniya i status ustanovki). |tot yazyk mozhet otlichat'sya ot yazyka, kotoryj vy vyberete v dal'nejshem osnovnym dlya okruzheniya sistemy.

Menyu ustanovki i obsluzhivaniya (shag 4)

CHerez menyu ustanovki i obsluzhivaniya vy mozhete opredelit' parametry ustanovki.

Welcome to Base Operating System
Installation and Maintenance

Type the number of your choise and press Enter. Choice indicated by >>>

1 Start Install now with Default Settings
2 Change/Show Installation Settings and Install
3 Start Maintenance Mode for System Recovery

88 Help ?
>>> Choice [1]: 2

Parametry ustanovki

Installation Settings

Either type 0 or press Enter to install with current settings, or type the
number of the setting you want to change and press Enter.

1 System Settings
Method of installation New and Complete Overwrite
Disk where you want to Install hdisk0

2 Primary Language Enviroment Settings (AFTER install)
Cultural Convention C (POSIX)
Language C (POSIX)
Keyboard C (POSIX)

3 Install Trusted Computing Base no

0 Install with the settings listed above

88 Help ?
99 Previous Menu Warning: Base Operating System Installation
will destroy or impair recovery of SOME data
on the destination disk hdisk0

>>> Choice [1]:

Pri ustanovke Trusted Computing Base (TCB) budut ustanovleny trusted path, trusted shell i proverka celostnosti sistemy. Trusted path zashchitit vashu sistemu v sluchae zloumyshlennoj podmeny programmy (naprimer, su), kotoruyu vy hotite zapustit', na druguyu. Trusted path proveryaet i da£t garantiyu, chto programme, kotoruyu vy zapuskaete, mozhno doveryat'. Esli vy reshili ustanovit' TCB (chto rekomenduetsya, sm.Trusted Computing Base), to vy dolzhny eto ukazat' na etom shage, tak kak ustanovki TCB nel'zya pomenyat' pozdnee (neobhodima polnaya pereustanovka BOS). Ustanovka TCB vlechet za soboj bolee dlitel'noe vremya ustanovki.

Metody ustanovki

Change Method of Installation

Type the number of your choice and press Enter.

1 New and Complete Overwrite
Overwrites EVERYTHING on the disk selected for installation.
Warning: Only use this method if the disk is totally empty or there is nothing
on the disk you want to preserve.

2 Preservation Install
Preserves SOME of the exiting data on the disk selected for installation.
Warning: This method overwrites the usr (/usr), variable (/var), temporary
(/tmp), and root (/root) file systems. Other product (application) files and
configuration data will be destroyed.

3 Migration Install
Upgrades the Base Operating System to current release. Other product
(application) files and configuration data will be spared.

88 Help ?
99 Previous Menu

>>> Choice [3]: 1

1. New and Complete Overwrite - dlya novoj sistemy eto edinstvenno dostupnyj metod ustanovki. Ispol'zujte etot metod dlya polnost'yu chistyh diskov ili v sluchae, esli disk soderzhit dannye, kotorye vam ne nuzhno sohranyat'.

2. Preservation Install - ispol'zuetsya v sluchae, kogda nam neobhodimo perezapisat' BOS pri sohranenii pol'zovatel'skih dannyh. |tot metod perezapisyvaet soderzhimoe fajlovyh sistem /(root), /usr, /var i /temp.

3. Migration Install - ispol'zuetsya dlya perehoda s bolee pozdnih versij AIX na chetvertuyu versiyu. Pri vybore etogo metoda sohranyaetsya soderzhimoe vseh fajlovyh sistem i tol'ko peresozdaetsya fajlovaya sistema /tmp.

Vybor diska dlya ustanovki

Posle vybora metoda ustanovki, iz pokazannogo spiska (v prostejshem sluchae sostoyashchego iz odnogo diska) vy dolzhny ukazat' disk, na kotoryj budet proizvodit'sya ustanovka.

Change Disk Where You Want to Install

Type one or more numbers for the disk(s) to be used for
installation and press Enter. To cancel a choice, type the
corresponding number and press Enter. At least one bootable
disk must be selected. The current choice indicated by >>>

Size VG
Name Location Code (MB) Status Bootable
1 hdisk0 00-01-00-0.0 305 rootvg yes
2 hdisk1 00-01-00-1.0 305 rootvg no

>>> 0 Continue with choices indicated above

66 Disks not known to Base Operating System Installation
88 Help ?
99 Previous Menu

>>> Choice [0]:

Esli disk ne opoznan sistemoj, no u vas est' drajver etogo diska na diskete, to, nahodyas' na etom etape ustanovki, vy mozhete ustanovit' etot drajver dlya neopoznannogo diska (vybor menyu 66).

Vybor pervichnogo yazykovogo okruzheniya

Na etape ustanovki vy mozhete ustanovit' yazyk, raskladku klaviatury i kul'turnye soglasheniya (format daty, vremeni i t.p.), kotorye vy budete ispol'zovat' posle ustanovki.

Nachalo ustanovki klassicheskij RS/6000

Posle vybora vseh opcij ustanovki ona nachinaetsya. Proishodit postroenie struktury direktorij AIX, ustanavlivaetsya programmnoe obespechenie dlya podsoedinennyh i vklyuchennyh ustrojstv. Pri ustanovke proizvoditsya proverka ustanovlennyh komponentov. Posle okonchaniya raboty programmy ustanovki budet predlozheno ustanovit' tip podsoedinennogo terminala ili, pri nalichii graficheskogo displeya, poyavitsya menyu programmy Installation Assistant, s pomoshch'yu kotoroj vy smozhete ukazat' pervonachal'nye ustanovki sistemy.

RS/6000 s shinoj PCI

Tak kak sistema RS/6000 s shinoj PCI ne imeet klyucha, to ves' process ustanovki otlichaetsya ot processa ustanovki na klassicheskom RS/6000 tol'ko otsutstviem soobshcheniya o neobhodimosti vklyuchit' klyuch v polozhenie Normal.

Zavershenie ustanovki (shag 5)

klassicheskij RS/6000

Posle okonchaniya vsego processa ustanovki pered perezagruzkoj sistemy udalite ustanovochnyj nositel' (lentu ili CD-ROM) i peremestite klyuch v polozhenie Normal.

RS/6000 s shinoj PCI

Posle soobshcheniya ob okonchanii ustanovki neobhodimo ne zabyt' vynut' ustanovochnyj disk iz diskovoda i nazhat' <Enter> dlya perezagruzki sistemy. V processe perezagruzki ustanovite disketu s System Management Services, nazhmite <F4> i prover'te, ustanovlen li disk, na kotoryj vy ustanovili AIX v spiske zagruzochnyh ustrojstv.

Ustanovki Installation Assistant Menu (shag 6)

Posle ustanovki BOS zapuskaetsya s parametrami po umolchaniyu: odin pol'zovatel' (root), data i vremya, vystavlennye pri izgotovlenii komp'yutera i drugie osnovnye parametry. Vy, veroyatno, zahotite izmenit' srazu nekotorye ili vse eti parametry. Takzhe vy mozhete predostavit' informaciyu o sisteme i seti dlya ustanovleniya svyazi s drugimi sistemami.

Vnov' ustanovlennaya BOS perezagruzhaet sistemu i zapuskaet programmu Installation Assistant, kotoraya pozvolit vam izmenit' osnovnye parametry. Kogda vy zapuskaete Installation Assistant srazu posle ustanovki BOS, to budut dostupny k izmeneniyu parametry v sootvetstvii s vybrannym vami metodom ustanovki.

Vy mozhete zavershit' rabotu Installation Assistant putem vyhoda "Tasks Completed - Exit to AIX Login" tol'ko odin raz. Pri sleduyushchih zapuskah Installation Assistant etot punkt menyu budet ne pokazan na displee. Pol'zovatel' dolzhen imet' prava dostupa root dlya ispol'zovaniya Installation Assistant. Dlya dostupa k Installation Assistant pozzhe naberite sleduyushchuyu komandu: Install_assist

Instrumenty upravleniya sistemoj

Sposoby upravleniya sistemoj

Osnovnym nedostatkom sistemnogo administrirovaniya UNIX i, v tom chisle i AIX, do poyavleniya tret'ej versii etoj sistemy, yavlyaetsya tot fakt, chto ne sushchestvuet obshchego interfejsa dlya resheniya zadach administrirovaniya i eto vlechet za soboj neobhodimost' ochen' ser'eznoj podgotovki sistemnogo administratora sistem UNIX. Takoj administrator dolzhen znat' i umet' primenyat' bol'shoe kolichestvo komand, znat', kak pol'zovat'sya razlichnymi interfejsami po upravleniyu otdel'nymi podsistemami i dolzhen umet' redaktirovat' mnozhestvo sistemnyh fajlov, kotorye mogut imet', i chashche vsego imeyut, svoj sobstvennyj unikal'nyj format, a chasto i razlichnye programmy dlya ih redaktirovaniya.

Kstati, v bol'shinstve drugih setevyh operacionnyh sistemah (ne UNIX), kak naprimer v Windows NT Server, dlya resheniya zadach po upravleniyu sistemoj takzhe net interfejsa, kotoryj mozhno bylo by nazvat' obshchim, i dlya vypolneniya zadach po upravleniyu sistemoj trebuetsya ispol'zovat' mnogo razlichnyh instrumentov s razlichnymi interfejsami.

Takoj podhod k resheniyu zadach sistemnogo administrirovaniya vedet k zavyshennym trebovaniyam k kvalifikacii sistemnogo administratora, trudnostyam i poteryam vremeni v nastrojke sistemy i chrevat bol'shim kolichestvom oshibok, kotorye mogut privesti k fatal'nym rezul'tatam.

Poetomu, nachinaya s tret'ej versii, v AIX ispol'zuetsya drugoj podhod k resheniyu zadach sistemnogo administrirovaniya.

Instrumenty dlya resheniya zadach administrirovaniya v AIX Version 4

CHetvertaya versiya AIX predlagaet dlya resheniya vseh obshchih funkcij sistemnogo administrirovaniya edinyj menyu-orientirovannyj interfejs System Management Interface Tools (SMIT), kotoryj postavlyaetsya v standartnoj postavke AIX.

SMIT ne ispolnyaet napryamuyu funkcij po sistemnomu administrirovaniyu. |to lish' interfejs pol'zovatelya, kotoryj pozvolyaet emu konstruirovat' vysokourovnevye komandy i ispolnyat' ih v posledstvii. |ti komandy mogut byt' vvedeny pol'zovatelem vruchnuyu dlya resheniya teh zhe zadach.

Sushchestvuet dva interfejsa SMIT: alfavitno-cifrovoj (ASCII) i graficheskij (Motif). Dlya upravleniya drugimi komp'yuterami po seti (s operacionnymi sistemami AIX, SunOS 4.1.3 i HP-UX 9.0) sushchestvuet takoj instrument kak Distributed System Management Interface Tools (DSMIT) (sm.DSMIT).

Dlya resheniya samyh chastyh zadach, soglasno issledovaniyam zanimayushchih do 70% vremeni administrirovaniya (upravlenie pol'zovatelyami, diskami, ustrojstvami, printerami), sushchestvuet instrument administrirovaniya s graficheskim interfejsom - Visual System Manager (VSM), kotoryj pozvolyaet vypolnyat' osnovnye zadachi administratora posredstvom prostoj manipulyacii ob®ektami (sm.Instrumenty Visual System Management (VSM)).

No administrator dolzhen uchityvat' to, chto ispol'zovanie graficheskogo interfejsa trebuet vydeleniya dovol'no bol'shogo kolichestva resursov sistemy na ego obsluzhivanie. Poetomu, kak pravilo, na serverah primenyayut ASCII interfejs.

Princip raboty instrumentov po upravleniyu sistemoj

Dlya svoej raboty instrumenty administratora AIX pol'zuyutsya special'noj bazoj dannyh nazyvaemoj Object Data Manager (ODM), kotoraya soderzhit informaciyu o komandah instrumentov administrirovaniya i o tom, kak s ih primeneniem stroyatsya eti komandy (i ne tol'ko). Kazhdyj raz, kogda administrator v instrumentah administrirovaniya nazhimaet <Enter> ili funkcional'nye klavishi, idet obrashchenie k baze dannyh ODM, na osnovanii kotoroj formiruyutsya menyu i komandy. Vse trebuemye menyu i komandy vstroeny v bazu dannyh ODM.

Esli vy tverdo ne uvereny v tom, chto vy delaete, to ne probujte chto-libo izmenyat' ili dobavlyat' v etu bazu dannyh.

Komponenty interfejsa pol'zovatelya SMIT

Pol'zovatel' mozhet ispol'zovat' interfejs kak ASCII tak i AIXWindows kotorye, predostavlyayut analogichnye vozmozhnosti tol'ko s neskol'ko inym predstavleniem na ekrane.

ž Menyu;
ž Dialogovyj ekran (ekran vybora);
ž Spiski;
ž Panel' vyvoda;
ž Kontekstnaya pomoshch';

Glavnoe menyu SMIT (ASCII)

System Management

Move cursor to desired item and press Enter.

Software Installation and Maintenance
Software License Management
Devices
System Storage Management (Physical and Logical Storage)
Security & Users
Communication Application and Services
Print Spooling
Problem Determination
Performance & Resource Scheduling
System Environment
Processes & Subsystems
Application
Using SMIT (information only)

F1=Help F2=Refresh F3=Cancel F8=Image
F9=Shell F10=Exit Enter=Do

Dialogovyj ekran

Dialogovyj ekran pozvolyaet vam vvesti neobhodimye znacheniya v parametry opredelyaemye vypolnyaemoj operacii. Nekotorye parametry zapolneny na osnove sistemnoj informacii. Estestvenno, chto vy vsegda mozhete izmenit' znacheniya podstavlennye po umolchaniyu.

Schedule a Job

Type or select values in entry fields.
Press Enter AFTER making all desired changes.

[Entry Fields]
YEAR [98]
MONTH [Sep] #
DAY (1-31) [12] +
* HOUR (0-23) [10] #
* MINUTES (0-59) [30] #
SHELL to use for job execution Korn (ksh) +
* COMMAND or SHELL SCRIPT [] /
(full pathname)

F1=Help F2=Refresh F3=Cancel F4=List
F5=Reset F6=Command F7=Edit F8=Image
F9=Shell F10=Exit Enter=Do

Polya, v kotoryh vy mozhete nabrat' znacheniya parametrov vydelyayutsya kvadratnymi skobkami [ ].

Polya, v kotorye ne pomeshchayutsya na ekrane vse dannye vydelyayutsya strelkami < >.

Dlya ukazaniya togo, kakie dannye mogut byt' vvedeny ispol'zuyutsya special'nye simvoly:
* pole, v kotoroe obyazatel'no neobhodimo vvesti znachenie;
# dlya etogo polya trebuetsya vvod cifrovogo znacheniya;
/ dlya etogo polya neobhodim vvod puti (pathname);
H trebuetsya vvod shestnadcaterichnogo znacheniya;
? vvodimoe znachenie ne pokazyvaetsya na ekrane;
+ dostupen spisok znachenij polya.

Dlya dostupa k spisku znachenij vvodimogo polya (esli, konechno, prisutstvuet special'nyj znak +) nazhmite klavishu <F4>.

Ochen' udobnoj vozmozhnost'yu dlya kontrolya i obucheniya yavlyaetsya predvaritel'nyj prosmotr sformirovannoj SMIT komandy AIX. Takoj prosmotr vozmozhen pri nazhatii klavishi <F6>.

|kran vyvoda

COMMAND STATUS

Command: OK stdout: yes stderr: no

Before command completion, additional instructions may appear
below.

[TOP]
UID PID PPID C STIME TTY TIME CMD
root 1 0 4 20:15:04 - 1:49 /etc/init
root 1719 1 0 20:16:14 - 0:10 /etc/syncd 60
root 2003 1 0 20:16:19 - 0:00 /etc/srcmstr
root 2233 1 0 20:16:14 - 0:00 /usr/lib/errdemon
ray 3525 1 0 17:01:28 0 0:00 -ksh
root 3806 2003 0 20:16:23 - 0:00 /etc/syslogd
ray 4162 3525 6 19:53:22 0 0:04 smit
root 5355 1 0 20:16;27 - 0:12 /etc/cron
root 6649 2003 0 20:16:32 - 0:00 qdaemon
ray 7303 4162 8 20:09:45 0 0:00 ps –ef

[MORE . . . 6]

F1=Help F2=refresh F3=Cancel F6=Command
F8=Image F9=Shell F10=Exit /=Find
n=Find Next

V verhnej stroke ekrana vyvoda ukazyvaetsya status vypolneniya komandy. Esli vyvod informacii ne pomeshchaetsya na ekrane vy mozhete ispol'zuya klavishi prokrutki <PgDn>, <PgUp>, <Home>, <End> prosmotret' polnyj listing.

Fajly SMIT audita i sostavleniya paketnyh fajlov

Pri pervom zapuske SMIT sozdaet dva fajla smit.log i smit.script v direktorii $HOME togo pol'zovatelya, kotoryj zapustil SMIT. Esli eti fajly uzhe sushchestvuyut, to v nih dobavlyaetsya informaciya novogo seansa raboty so SMIT.

Fajl smit.log soderzhit zapis' vseh ekranov SMIT, vypolnennyh komand i ekrany vyvoda etih komand. |tot fajl ispol'zuetsya dlya izucheniya komand, ih sintaksisa, a takzhe dlya diagnostiki vseh dejstvij pol'zovatelya.

Fajl smit.script soderzhit zapis' vseh sformirovannyh i vypolnennyh s pomoshch'yu SMIT komand (v etom fajle komandam predshestvuet zapis' data i vremya ispolneniya komand). |tot fajl udobno ispol'zovat' dlya razrabotki paketnyh fajlov, kotorye ispol'zuyutsya dlya zapuska naibolee chasto ispol'zuemyh grupp (paketov) komand v celyah ekonomii vremeni administratora.

DSMIT

Instrument DSMIT dobavlyaet k funkcional'nosti SMIT vozmozhnosti dlya postroeniya komand i raspredeleniya ih dlya drugih klientov v seti. V otlichie ot SMIT, DSMIT imeet tol'ko ASCII interfejs. DSMIT ispol'zuetsya dlya upravleniya komp'yuterami po seti i podderzhivaet, krome AIX versii 4.1 i starshe, sleduyushchie operacionnye sistemy: Sun OS 4.1.3 i HP-UX 9.0.

Pol'zovat'sya instrumentom DSMIT dlya udalennyh sistem mozhet tol'ko pol'zovatel' s pravami root (dlya etih udalennyh sistem). Dlya zapuska DSMIT naberite v komandnoj stroke dsmit.

Primechanie: etot produkt ne postavlyaetsya v standartnoj postavke i dolzhen byt' zakazan otdel'no.

Instrumenty Visual System Management (VSM)

Realii sovremennogo mira informacionnyh tehnologij predpolagayut nalichie graficheskih uproshchennyh sredstv administrirovaniya sistemy. Poetomu, v versii AIX 3.2.5 byl ob®yavlen, kak otdel'no zakazyvaemaya programma, instrument Visual System Management (VSM).

V chetvertoj versii AIX VSM - uzhe standartno postavlyaemyj graficheskij instrument administrirovaniya.

|ta programma ispol'zuet ob®ektno-orientirovannyj standart vizual'nogo predstavleniya Common Desktop Environment (sm. Common Desktop Environment (CDE)), edinyj prakticheski dlya vseh sovremennyh kommercheskih, i ne tol'ko, versij UNIX. Dizajn etogo instrumenta baziruetsya na intuitivnom graficheskom interfejse dlya resheniya naibolee obshchih i naibolee chasto reshaemyh zadach administrirovaniya (zanimayushchih poryadka 70% obshchego vremeni upravleniya sistemoj) posredstvom manipulirovaniya graficheskimi ob®ektami. Bol'shinstvo zadach reshaetsya metodom "vzyal-i-peremestil" (drag-and-drop). |tot instrument komplektuetsya mnozhestvom gotovyh shablonov dlya sozdaniya novyh ob®ektov administrirovaniya.

Instrumenty VSM:

Ustanovka i obsluzhivanie programmnogo obespecheniya

V dannoj glave opisyvaetsya process ustanovki i obsluzhivaniya programmnogo obespecheniya IBM dlya sistemy AIX, a takzhe programmnogo obespecheniya inyh proizvoditelej, kotorye postroili svoyu sistemu ustanovki i obsluzhivaniya prilozhenij v sootvetstvii s trebovaniyami IBM.

Dlya AIX sushchestvuet mnozhestvo paketov prikladnyh programm dlya resheniya zadach po obrabotke informacii v razlichnyh sferah chelovecheskoj deyatel'nosti. Korporaciya IBM predlagaet dlya postroeniya klient-servernyh i orientirovannyh na set' reshenij paket programm IBM Software Server, kotoryj soderzhit v sebe sleduyushchie komponenty: IBM Communications Server, IBM Database Server (DB/2), IBM Directory and Security Server, IBM Internet Connection Server (Web-server), IBM System Management Server (IBM SystemView Server), IBM Transaction Server, Lotus Notes Release 4.

Nekotorye proizvoditeli, naprimer, Oracle, ispol'zuyut inuyu shemu ustanovki svoih prilozhenij, kotoraya, obychno, horosho zadokumentirovana.

Opredelenie paketov programmnogo obespecheniya

Licenzirovannyj programmnyj produkt (LPP) - eto kompleksnyj programmnyj produkt, kotoryj soderzhit v sebe vse pakety (package) i nabory fajlov (fileset), associirovannye s etim LPP.

Naimen'shej ustanavlivaemoj individual'no edinicej yavlyaetsya nabor fajlov (fileset). |tot nabor yavlyaetsya kakoj-libo odnoj funkciej polnogo programmnogo produkta. Nabory fajlov gruppiruyutsya v pakety (package), kak v gruppu naborov fajlov s obshchimi funkciyami.

Dlya imenovaniya naborov fajlov, paketov i LPP ispol'zuetsya standartnoe soglashenie o naimenovanii. Vnachale vsegda idet imya LPP, za nim, cherez tochku, imya paketa, zatem, takzhe cherez tochku, imya nabora fajlov i uzhe potom suffiks. Suffiks ispol'zuetsya dlya identifikacii soderzhimogo nabora fajlov.

Naprimer, nabor fajlov dlya obespecheniya raboty setevoj fajlovoj sistemy (NFS) dlya protokola TCP/IP bos.net.tcp.nfs yavlyaetsya odnim iz naborov fajlov v pakete dlya raboty v seti bos.net iz LPP bos.

.adt Instrument razrabotchika dlya LPP
.com Obshchij kod dlya dvuh podobnyh naborov fajlov
.compat Kod dlya sovmestimosti, kotoryj budet udalen v budushchih versiyah LPP
.data CHast' nabora fajlov, pomeshchaemyj v /usr/share
.dev Podderzhka ustrojstv dlya LPP
.diag Diagnostika dlya nabora fajlov
.fnt SHriftovaya chast' nabora fajlov
.info[lang] Baza dannyh InfoExplorer dlya LPP
.help[lang] Fajly pomoshchi dlya konkretnogo LPP
.loc Mesto dejstviya dlya LPP
.mp Kod specifichnyj dlya mnogoprocessornoj konfiguracii
.msg[lang] Soobshcheniya
.rte Minimal'nyj nabor ili run time
.smit Instrumenty i dialogi dobavlyaemye v SMIT
.ucode Mikrokod dlya nabora fajlov
.up Kod specifichnyj dlya odnoprocessornoj konfiguracii

Dlya biblioteki sistemnyh soobshchenij ispol'zuetsya osoboe soglashenie dlya naimenovaniya. V sostav imeni takih naborov fajlov vklyuchaetsya imya yazyka sistemnyh soobshchenij.

Svyazki (Bundles)

Ispol'zuya SMIT vy mozhete organizovyvat' svoi komplekty naborov fajlov i paketov dazhe iz raznyh LPP, nazyvaemye svyazkami (bundle). Svyazki izvestny takzhe kak profili ustanovki.

Supporting Code Service

Kazhdyj komponent programmnogo obespecheniya soderzhit v sebe tri chasti dlya podderzhki kodovogo servisa i bezdiskovyh rabochih stancij:

root fajly, razmeshchaemye v fajlovoj sisteme root, kopiyu kotoryh dolzhna imet' kazhdaya mashina;
usr fajly, kotorye mogut byt' obsluzhivaemy drugoj sistemoj;
share razdelyaemye fajly, kotorye razmeshchayutsya v /usr/share.

Pakety obnovleniya programmnogo obespecheniya

Dlya obnovleniya programmnogo obespecheniya ispol'zuyutsya dve special'nyh svyazki. Odna iz nih nazyvaetsya Update Bundle i soderzhit ispravleniya, izvestnye kak fixes, izvestnyh problem, dopolnitel'nye funkcii ili dopolnitel'nuyu podderzhku dlya novyh ustrojstv dlya tekushchej versii produkta.

Drugaya (Maintenance Level Bundle), ispol'zuetsya dlya obnovleniya programmnogo produkta do poslednej versii.

Fix States

Applied Obnovlenie ustanovleno, no staraya versiya produkta sohranyaetsya;
Commited Pri etom sostoyanii udalyaetsya staraya versiya produkta.

Menyu ustanovki i obsluzhivaniya programmnogo obespecheniya

Menyu ustanovki i obsluzhivaniya programmnogo obespecheniya soderzhit v sebe tri punkta:

1. Ustanovka i obnovlenie programmnogo obespecheniya (Install and Update software);
2. Obsluzhivanie ustanovlennogo programmnogo obespecheniya (Maintain Installed Software);
3. Upravlenie setevoj ustanovkoj (Network Installation Management). Menyu pol'zovatel'skoj ustanovki (Custom Install)

Install/Update Selectable Software (Custom Install)

Move cursor to desired item and press Enter.

Install Software Products at Latest Level
Install Bundles of Software
Install Maintenance Levels
Install Fileset Updates by Fix
Install Additional Printer/Plotter Software
Install Additional Device Software
Install/Update From All Available Software

F1=Help F2=Refresh F3=Cancel F8=Image
F9=Shell F10=Exit Enter=Do

Install Software Products at Latest Level

Type or select values in entry fields.
Press Enter AFTER making all desired changes.

[Entry Fields]
* INPUT device/directory for software /dev/rmt0.1
* SOFTWARE to install [all_licensed] +
PREVIEW only? (install operation will not occur)no +
COMMIT software updates? yes +
ALTERNATE save directory []
AUTOMATICALLY install requisite software? yes +
EXTEND filesystem if space needed? yes +
OVERWRITE same or never versions? no +
VERIFY install and check file sizes? no +
Include corresponding LANGUAGE filesets? yes +
DETAILED output? no +

F1=Help F2=Refresh F3=Cancel F4=List
F5=Reset F6=Command F7=Edit F8=Image
F9=Shell F10=Exit Enter=Do

Dlya prosmotra spiska ustanovlennogo programmnogo obespecheniya administrator mozhet ispol'zovat' komandu lslpp -L imya paketa.* ili vospol'zovat'sya SMIT (komanda bystrogo vyzova menyu spiska ustanovlennogo PO: smit lslpp).

Start i ostanov sistemy

Rezhimy starta sistemy

Dlya klassicheskogo RS/6000

Klyuch na perednej paneli sistemy opredelyaet rezhim starta sistemy i mozhet nahoditsya v treh poziciyah:

Normal Sistema dolzhna zagruzitsya s zhestkogo diska s podderzhkoj mnogopol'zovatel'skogo rezhima i seti.
Secure Sistema ne zagruzhaetsya. Provoditsya diagnostika apparatury.
Service Sistema budet pytat'sya zagruzitsya s dostupnyh ustrojstv v sleduyushchej posledovatel'nosti: magnitnaya lenta, CD-ROM, zhestkij disk, disketa (naprimer pri ustanovke sistemy, zapuska diagnostiki s CD-ROM) Dostupna tol'ko konsol'. Set' ne startuet. Dostupen tol'ko ogranichennyj nabor komand.

Dlya RS/6000 s shinoj PCI

Normal Mode
ž Programmy i processy vypolnyayutsya;
ž Terminaly dostupny;
ž Imeetsya dostup ko vsem sistemnym fajlam;
ž Startuet podderzhka kommunikacij;
ž Mnogopol'zovatel'skij rezhim.

Standalone Mode
ž Start sistemy s diskety System Management Services diskette
ž Dostupny sleduyushchie sistemnye programmy:

1. Vstavit' disketu s System Management Services v diskovod.
2. Vklyuchit' ili perezagruzit' sistemu.
3. Pri poyavlenii pervogo izobrazheniya na ekrane nazhat' <F1> dlya zagruzki v graficheskom rezhime ili <F4> dlya zagruzki v rezhime ASCII

Iz standalone rezhima vy mozhete perezapustit' sistemu ispol'zuya sleduyushchie metody:

1. Nazhmite <Ctrl+Alt+Del>.
2. Nazhmite <F3>.
3. Vyklyuchite i snova vklyuchite sistemu.

Opisanie starta sistemy

Klassicheskij RS/6000

Kogda sistema startuet vy mozhete kontrolirovat' process zagruzki s pomoshch'yu LED indikatora na sistemnom bloke. Pervym pri starte sistemy proizvoditsya vstroennoe samotestirovanie apparatury (BIST). V eto vremya inicializiruyutsya samye bazovye komponenty sistemy, takie kak processor, pamyat' i sistemnaya plata. Kogda vypolnyaetsya BIST indikator pokazyvaet cifry ot 100 do 199. Posle okonchaniya vstroennogo samotestirovaniya startuet samotestirovanie pri vklyuchenii (POST) i zagruzka programmy inicializacii (IPL). Na etom etape starta sistemy opredelyaetsya ustrojstvo zagruzki i s nego zagruzhaetsya v pamyat' zagruzochnaya programma. V eto vremya indikator pokazyvaet cifry ot 201 do 298. Sleduyushchim etapom yavlyaetsya etap zagruzki yadra OS. Indikator pokazyvaet cifru 299. Posle zagruzki yadra vypolnyaetsya konfiguraciya (cifry ot 500 do 999). Nachinaya s cifry 553 vypolnyaetsya process init i zapuskayutsya podsistemy i processy opredelennye v fajle /etc/inittab.

RS/6000 s shinoj PCI

Dlya RS/6000 s shinoj PCI sushchestvuyut dva rezhima starta sistemy: normal'nyj (zapuskayutsya processy i programmy, terminaly dostupny, est' dostup ko vsem sistemnym fajlam, startuyut kommunikacii, mnogopol'zovatel'skij rezhim) i monopol'nyj (vyzyvaetsya pri ispol'zovanii dlya starta sistemnoj diskety (ili CD) System Management Service Diskette). Monopol'nyj rezhim ispol'zuetsya dlya prosmotra informacii i izmeneniya takih ustanovochnyh parametrov sistemy, kak spisok ustrojstv dlya pervonachal'noj zagruzki, parolya pri vklyuchenii i obnovleniya programmy na sistemnoj diskete. V etom rezhime mozhno takzhe proizvesti testirovanie apparatnoj chasti sistemy.

Audit processa starta sistemy

Dlya zapisi zhurnalov registracii raboty programm ispol'zuetsya programma alog. |ta komanda zapisyvaet soobshcheniya standartnyh vvoda i vyvoda i kopiruet ih v fajl fiksirovannogo razmera. Zapis' v etot fajl proizvoditsya ciklicheski, to est', pri kazhdom zapuske proveryaemoj programmy novye dannye zapisyvayutsya poverh staryh. Fajly zhurnalov registracii ispol'zuemye komandoj alog opredelyayutsya v komandnoj stroke ili v baze konfiguracii alog podderzhivaemoj ODM.

Podderzhivaemye sistemoj tipy zhurnalov registracii: boot, bosinst i nim. CHtoby vypolnyat' komandu alog pri kazhdom zapuske sistemy e£ neobhodimo pomestit' v scenarij zagruzki rc.boot.

V sluchae, esli mashina ne zagruzhaetsya, perezapustite komp'yuter v rezhime obsluzhivaniya (maintenance mode) i prosmotrite soderzhimoe fajla registracii processa zagruzki komandoj

Dlya zapisi informacii o funkcionirovanii programmy (naprimer, boot) v tekstovyj fajl vy takzhe mozhete ispol'zovat' programmu tee.

Fajl /etc/inittab

Fajl /etc/inittab soderzhit spisok processov, kotorye zapuskayutsya kogda startuet demon init, a takzhe v n£m opredelyaetsya to, kak oni dolzhny startovat'. Esli etot fajl povrezhden, to sistema ne smozhet pravil'no zagruzit'sya. Poetomu vsegda imejte arhivnuyu kopiyu etogo fajla.

Identifikator_processa imya processa (do 14 simvolov). Terminaly ispol'zuyut dlya imeni processa imya svoego logicheskogo ustrojstva.

Uroven' Uroven' opredelyaet, kakoj nabor sistemnyh resursov nuzhno zadejstvovat'. Vozmozhnye znacheniya 0-9, S, s (odno- pol'zovatel'skij rezhim), M ili m. Kogda startuet demon init, to pol'zovatelyu predlagaetsya vvesti uroven' vypolneniya (esli uroven' ne zadan kak argument). Esli zadan uroven' S ili s, init vhodit v odnopol'zovatel'skij rezhim, a dlya urovnya M ili m, v rezhim obsluzhivaniya. V protivnom sluchae on nahodit v fajle /etc/inittab elementy, sootvetstvuyushchie ukazannomu urovnyu, i vypolnyaet ustanovlennye v nih komandy. Uroven' po umolchaniyu - 2 (zapusk v mnogopol'zovatel'skom rezhime. Esli uroven' ne ukazan, to eto oznachaet, chto process zapuskaetsya na lyubom urovne zapuska.

Dejstvie Ukazyvaet, chto dolzhen delat' demon init. Razreshennye urovni sleduyushchie:

Dlya togo, chtoby demon init zanovo prochel fajl /etc/inittab (naprimer, pri udalenii iz nego sluzhby getty dlya terminala, s kotorym svyaz' nevozmozhna iz-za oshibok v liniyah svyazi) neobhodimo ispol'zovat' komandu telinit -q.

Dlya izmeneniya fajla /etc/inittab vmesto pryamogo ego redaktirovaniya predpochtitel'nee pol'zovat'sya komandami mkitab i chitab.

System Resource Controller (SRC)

Podsistemoj nazyvaetsya programma ili nabor vzaimosvyazannyh programm, razrabotannyh kak edinyj element dlya vypolneniya opredelennoj funkcii.

Gruppoj podsistem nazyvaetsya gruppa lyubyh opredelennyh podsistem. Gruppirovanie podsistem pozvolyaet kontrolirovat' raznye podsistemy odnovremenno.

Subserverom nazyvaetsya process ili demon (fonovyj process), kotoryj prinadlezhit i kontroliruetsya podsistemoj.

Dlya minimizacii neobhodimosti vmeshatel'stva administratora v kontrole za processami podsistem ispol'zuetsya System Resource Controller (SRC).

Sintaksis SRC

Start podsistemy: startsrc [options]{-s PODSISTEMA|-g GRUPPA}
Ostanov podsistemy: stopsrc [options]{-a|-g gruppa|-p PID_podsistemy|-s podsistema}
Perezapusk podsistemy: refresh {-g GRUPPA|-p PID_PODSISTEMY|-s PODSISTEMA}
Prosmotr sostoyaniya podsistemy: lssrc {-a|-g gruppa|-s podsistema}

Nekotorye opcii:
-f ispol'zuetsya dlya bystrogo ostanova podsistemy bez ozhidaniya zaversheniya aktivnosti lyubyh prilozhenij;
-s ukazyvaet, chto komanda otnositsya k odnoj podsisteme;
-g ukazyvaet, chto komanda otnositsya ko vsej gruppe podsistem dlya opredelennoj gruppy.

Problema zagruzki graficheskogo vhoda v sistemu

Posle pervonachal'noj zagruzki operacionnoj sistemy dlya mashin s graficheskim adapterom i displeem v nekotoryh sluchayah ne zagruzhaetsya graficheskoe priglashenie k vhodu v sistemu (CDE Login).

ž Vstavit' ustanovochnyj kompakt disk i perezagruzit' mashinu;
ž Vybrat' iz menyu System Maintenance;
ž Poluchit' dostup k fajlovoj sisteme root;
ž Smontirovat' fajlovuyu sistemu /usr komandoj MOUNT /USR
ž Vypolnit' komandu /usr/dt/bin/dtconfig -d #disable CDE
ž Zatem razmontirovat' fajlovuyu sistemu /usr komandoj unmount /usr
ž Perezapustit' mashinu komandoj shutdown -r
ž Poyavitsya priglashenie k vhodu v ASCII rezhime;
ž Vojdite v sistemu;
ž Vypolnite komandu /usr/dt/bin/dtconfig -e #enable CDE
ž Snova perezapustite mashinu;
ž Graficheskoe priglashenie k vhodu v sistemu dolzhno poyavit'sya.

Ostanov sistemy

Dlya korrektnogo ostanova sistemy v obychnyh situaciyah ispol'zuetsya komanda shutdown (cherez SMIT eto opciya Stop the System).

Esli eta komanda ispol'zuetsya bez parametrov, to na vse dostupnye terminaly vyvoditsya soobshchenie ob ostanove sistemy i cherez odnu minutu vse terminaly stanovyatsya nedostupnymi, vygruzhayutsya vse processy v sisteme, sinhroniziruyutsya diski i razmontiruyutsya vse fajlovye sistemy. Posle etogo sistema ostanavlivaetsya.

Vy mozhete ispol'zovat' komandu shutdown s parametrami -F dlya bolee bystrogo ostanova sistemy (bez vyvoda soobshcheniya), -r dlya ukazaniya neobhodimosti perezapuska posle ostanova, -m dlya perehoda sistemy v rezhim obsluzhivaniya.

Parametr -k imitiruet ostanov sistemy. Pri takom ostanove vse pol'zovateli, krome pol'zovatelya root, ne mogut zaregistrirovat'sya v sisteme.

V ochen' ekstrennyh sluchayah mozhet primenyat'sya sleduyushchij scenarij ostanova sistemy:

Upravlenie sistemnym okruzheniem i yazykovoj sredoj

System Enviroment

Move cursor to desired item and press Enter.

Stop the system
Assing the Console
Change/Show Date, Time, and Time Zone
Manage Language Enviroment
Change/Show Characteristics of the Operating System
Change/Show Number of Licensed Users
Manage AIX Floating User Licenses for this Server
Broadcast Message to all Users
Manage System Logs
System Dump
Change System User Interface

F1=Help F2=Refresh F3=Cancel F8=Image
F9=Shell F10=Exit Enter=Do

Vo vremya instalyacii v fajl /etc/environment zanositsya informaciya o znachenii peremennoj LANG na osnovanii vybora yazykovogo okruzheniya vvedennogo pol'zovatelem.

Ispol'zuya komandu chlang <imya yazykovogo okruzheniya> vy izmenite sistemnyj Nacional'nyj YAzyk, kotoryj ispol'zuetsya dlya vyvoda soobshchenij InfoExplorer, on-line help v SMIT i dlya vseh soobshchenij ob oshibkah.

Manage Language Environment

Move cursor to desired item and press Enter.

Change/Show Primary Language Environment
Add Additional Language Environments
Remove Language Environment
Change/Show Language Hierarchy
Change/Show Applications for a Language
Convert System Messages and Flat Files

F1=Help F2=Refresh F3=Cancel F8=Image
F9=Shell F10=Exit Enter=Do

Dlya konvertirovaniya ASCII tekstov iz odnoj kodovoj tablicy v druguyu (naprimer, iz KOI-8r v WIN1251 ili naoborot), ispol'zuetsya komanda lconv, dostupnaya takzhe cherez SMIT.

Ustrojstva

Terminologiya

Dlya korrektnoj raboty operacionnoj sistemy s razlichnymi podsoedinennymi ustrojstvami, v kotorye sistema mozhet posylat' dannye, vse ustrojstva razdelyayutsya na sleduyushchie urovni:

ž Fizicheskie ustrojstva - apparatnye ustrojstva, kotorye podsoedineny k sisteme razlichnymi sposobami
ž Porty - fizicheskie konnektory/adaptery, cherez kotorye podsoedineny k sisteme fizicheskie ustrojstva. Mnogie porty yavlyayutsya programmiruemymi s pomoshch'yu sistemnogo programmnogo obespecheniya, chtoby obespechit' vozmozhnost' podklyucheniya razlichnyh tipov fizicheskih ustrojstv.
ž Drajvery ustrojstv - programmnoe obespechenie yadra, s pomoshch'yu kotorogo kontroliruetsya aktivnost' portov i opredelyaetsya format peredavaemyh v ustrojstva dannyh.
ž Logicheskie ustrojstva - programmnyj interfejs (special'nye fajly) kotorye yavlyayutsya virtual'nym predstavleniem fizicheskih ustrojstv dlya pol'zovatelej i programm.

Dannye, kotorye peredayutsya logicheskimi ustrojstvami, peredayutsya sootvetstvuyushchim drajveram ustrojstv.

ž Blok-orientirovannye ustrojstva - ustrojstva s proizvol'nym dostupom. Obychno eto diskovye fajlovye sistemy. Osushchestvlyayut vvod/vyvod bol'shimi porciyami (blokami). Buferizaciya ispol'zuetsya dlya realizacii blokovogo dostupa.
ž Bajt-orientirovannye ustrojstva - potoko-orientirovannye ustrojstva bez buferizacii.

Osnovnye blok-orientirovannye ustrojstva takzhe imeyut svoi ekvivalenty v vide bajt-orientirovannyh ustrojstv. Naprimer, vozmozhno obrashchenie k logicheskomu tomu, kak k blok-orientirovannomu buferizirovannomu ustrojstvu /dev/hd1, tak i kak k bajt-orientirovannomu ustrojstvu /dev/rhd1.

cd0 CD-ROM
fd0, fd0l, fd0h Disketa
hd1, lv00 Logicheskij tom
hdisk0 Fizicheskij tom

console, lft, tty0 Terminal
lp0 Printer
rmt0 Lentochnoe ustrojstvo
tok0, ent0 Adapter
kmem, mem, null Pamyat'
rfd0, rfd0l, rfd0h Disketa
rhd1, rlv00 Logicheskij tom
rhdisk0 Fizicheskij tom

/dev - Direktoriya kotoraya soderzhit vse logicheskie ustrojstva, k kotorym vozmozhen pryamoj dostup pol'zovatelya (nekotorye logicheskie ustrojstva opredeleny v ODM i ne mogut byt' dostupny napryamuyu dlya pol'zovatelya).

Dlya prosmotra soderzhimogo direktorii /dev iz komandnoj stroki ispol'zuetsya sleduyushchaya komanda ls -l /dev

Bazy predopredelennyh i ispol'zuemyh ustrojstv

Bazy dannyh predopredelennyh i ispol'zuemyh ustrojstv yavlyayutsya chast'yu bazy dannyh ODM i soderzhat informaciyu obo vseh logicheskih ustrojstvah v sisteme i ih atributah.

Baza dannyh predopredelennyh ustrojstv soderzhit konfiguracionnye dannye o podderzhivaemyh ustrojstvah soglasno vashej sistemnoj konfiguracii. Glavnaya ideya ispol'zovaniya bazy dannyh predopredelennyh ustrojstv sostoit v tom, chtoby dat' vozmozhnost' bystro podsoedinyat' po trebovaniyu neobhodimye vnutrennie ustrojstva.

Baza dannyh ispol'zuemyh ustrojstv soderzhit konfiguracionnye dannye ob ustrojstvah, kotorye opredeleny i dostupny v nastoyashchij moment. |ta baza yavlyaetsya dinamicheskoj (obnovlyaetsya pri perezagruzke).

Prosmotr spiska vseh predopredelennyh ustrojstv iz komandnoj stroki: lsdev -P -H

Prosmotr spiska vseh ispol'zuemyh ustrojstv iz komandnoj stroki: lsdev -S -H

-P vyborka informacii iz bazy predopredelennyh ustrojstv
-C vyborka informacii iz bazy ispol'zuemyh ustrojstv
-H pokazyvat' zagolovki pri vyvode -c ukazanie klassa ustrojstv (naprimer, lsdev -Pctape; lsdev -Ccmemory i t.p)

Komanda lsattr -E -l [imya_logicheskogo_ustrojstva] ispol'zuetsya dlya polucheniya detalizirovannoj informacii ob effektivnyh atributah real'no skonfigurirovannyh ustrojstv.

Status ustrojstva

Opredeleno (Defined) - v sisteme imeetsya imya logicheskogo ustrojstva i port dlya ustrojstva s opredelennymi atributami. Ustrojstvo ne gotovo k ispol'zovaniyu i net dostupa k logicheskomu ustrojstvu.

Dostupno (Available) - ustrojstvo opredeleno i gotovo k ispol'zovaniyu. Intellektual'nye ustrojstva (naprimer, lentochnoe ustrojstvo SCSI), kotorye vyklyucheny pri starte sistemy, perehodyat v status opredelennyh ustrojstv i zatem pri ih vklyuchenii mogut byt' ustanovleny v status dostupnyh ustrojstv.

Primechanie: ustrojstvo inet0 mozhet nahodit'sya v statuse stopped (t.k. emu neobhodim zapusk sluzhb TCP/IP).

Adresaciya ustrojstv

Kazhdomu logicheskomu ustrojstvu sootvetstvuet kod razmeshcheniya (location code) ispol'zuemyj dlya adresacii ustrojstv.

Kod razmeshcheniya zavisit ot tipa ustrojstva i adaptera, s pomoshch'yu kotorogo ustrojstvo podklyucheno k sisteme.

Dve gruppy AA i BB ispol'zuyutsya dlya ukazaniya mesta razmeshcheniya vneshnih adapterov. Tri gruppy (AA-BB-CC) ispol'zuyutsya dlya ukazaniya adresa vstroennyh ustrojstv. CHetyre gruppy (AA-BB-CC-DD) ispol'zuyutsya dlya adresacii portov ustrojstv ili razmeshcheniya portov na koncentratore portov.

AA - Pervaya cifra identificiruet shinu vvoda/vyvoda, obychno 0 Vtoraya cifra ukazyvaet nomer raz®ema v sistemnom bloke (0 na rabochih stan-ciyah)

BB - Pervaya poziciya ukazyvaet tip shiny vvoda/vyvoda (0 - MCA ili PCI; 1 - ISA; 2 - pcmcia) Vtoraya cifra - ukazyvaet nomer raz®ema dlya adaptera pamyati ili adaptera shiny vvoda/vyvoda. Dlya adapterov ISA vtoraya cifra zamenyaetsya na x.

CC - Raz®em na adaptere ili sistemnoj plate. Dlya vstroennyh ustrojstv: 0P - parallel'nyj port, 0S - SCSI, S1, S2 - posledovatel'nye porty, 0D - floppi-diskovod, 0K - klaviatura, 0M - pamyat', 0T - digitajzer

CC - 00 dlya nedifferencial'nyh ustrojstv
01 dlya differencial'nyh ustrojstv
0S Raz®em vneshnej shiny vstroennogo SCSI kontrollera
S - SCSI adres ustrojstva (dlya vnutrennego adaptera vsegda 7) Rekomenduetsya dlya zagruzochnogo diska ustanavlivat' SCSI adres 0
L - Nomer sistemnogo bloka dlya ustrojstva (naprimer, dlya vneshnih massivov diskov)

Samokonfiguriruemye ustrojstva

Sushchestvuyut samokonfiguriruemye ustrojstva, kotorye soderzhat v svoih mikroshemah ROM unikal'nyj kod identifikacii, kotoryj mozhet byt' prochitan pri zagruzke sistemy programmoj cfgmgr (configuration manager). |ta programma ispol'zuet informaciyu iz bazy predopredelennyh i ispol'zuemyh ustrojstv i posle processa konfiguracii ustrojstv obnovlyaet bazu ispol'zuemyh ustrojstv. Programmu cfgmgr mozhno zapustit' iz komandnoj stroki pri dobavlenii (vklyuchenii) ustrojstva.

Primechanie: Vneshnie samokonfiguriruemye ustrojstva dolzhny byt' vklyucheny pered zapuskom cfgmgr.

Konfiguraciya ISA ustrojstv

Osobym tipom ustrojstv yavlyayutsya ustrojstva dlya shiny ISA, tak kak shina ISA ne yavlyaetsya intellektual'noj podobno, naprimer, shine PCI.

Diapazon adresov vvoda/vyvoda (I/O address)
Diapazon adresov pamyati shiny (bus memory address)
Nomer sistemnogo preryvaniya (IRQ)
Nomera kanalov DMA (DMA channels)
Diapazon adresov pamyati shiny dlya DMA (bus memory DMA address)

Dlya AIX mogut byt' ispol'zovany lyubye ISA adaptery, dlya kotoryh imeetsya sootvetstvuyushchie drajvery. Konfiguraciya takih adapterov vozmozhna cherez SMIT i s pomoshch'yu komandy mkdev. Luchshim sposobom yavlyaetsya vs£ zhe ispol'zovanie komandy mkdev, tak kak SMIT ispol'zuet dlya opredeleniya adaptera tol'ko bazu dannyh predopredelennyh ustrojstv ili ustanavlivaet standartnye parametry. Komanda zhe mkdev pozvolyaet ukazyvat' dlya sistemy vse vazhnejshie pyat' resursov adapterov ISA, kotorye vy dolzhny opredelit' i znat' dlya svoego adaptera (posredstvom apparatnyh ili programmnyh pereklyuchatelej).

Nekotorye adaptery (naprimer, IBM Ethernet adapter) ne imeyut nikakih apparatnyh pereklyuchatelej dlya vystavleniya resursov i konfiguriruyutsya programmno. Vy dolzhny imet' programmu konfigurirovaniya adaptera i skonfigurirovat' ego s e£ pomoshch'yu pered tem kak ustanavlivat' adapter v mashinu RS/6000.

gde IRQ - nomer preryvaniya;
IO - diapazon adresov vvoda/vyvoda;
MEM - adresa obshchej pamyati adaptera;
TYPE - tip podklyuchaemogo kabelya (bnc, utp i t.p).

Menyu upravleniya ustrojstvami

Devices

Move cursor to desired item and press Enter.

Install/Configure Devices Added After IPL
Printer/Plotter
TTY
Asynchronous Adapters
PTY
Console
Fixed Disk
CD ROM Drive
Read/Write Optical Drive
Diskette Drive
Tape Drive
Communication
Graphic Displays
Graphic Input Devices
Low Function Terminal (LFT)
SCSI Initiator Device
Xstation Configuration
SCSI Adapter
Asynchronous I/O
Multimedia
List Devices
Install Additional Device Software
ISA Adapter
PCMCIA Adapter

F1=Help F2=Refresh F3=Cancel F8=Image
F9=Shell F10=Exit Enter=Do

ž TTY lyuboe ustrojstvo podsoedinyaemoe k posledovatel'nomu portu (naprimer, modem, terminal)
ž PTY psevdoterminal'noe ustrojstvo. Predostavlyaet dlya prilozhenij vozmozhnosti real'nogo terminala, no ne imeet podklyucheniya k fizicheskomu portu. Ispol'zuetsya dlya takih prilozhenij kak AIXWindows i dlya svyazi TCP/IP.
ž Communication adaptery dlya razlichnyh tipov svyazi (Ethernet, X.25 i pr.)
ž Xstation Configuration eto menyu dobavlyaetsya pri ustanovke PO Xstation Manager

Dobavlenie ustrojstva

Dlya dobavleniya ustrojstva administrator mozhet ispol'zovat' komandu mkdev. Pri etom on dolzhen znat' ee sintaksis, a takzhe:

a) klass ustrojstva, tip i podklass;
b) razmeshchenie adaptera i podklyucheniya;
v) atributy ustrojstva.

No gorazdo udobnee dobavlyat' ustrojstva s pomoshch'yu SMIT. Naprimer, dobavlenie NGMD trebuet vvoda sleduyushchej komandy:

Add a Diskette Drive

Type or select values in entry fields.
Press Enter AFTER making all desired changes.

[Entry Fields]
* PORT number [] +
Diskette DRIVE TYPE 3.5 inch +

F1=Help F2=Refresh F3=Cancel F4=List
F5=Reset F6=Command F7=Edit F8=Image
F9=Shell F10=Exit Enter=Do

Dokumentirovanie konfiguracii apparatnoj chasti sistemy

1. Zapustite komandu, kotoraya obespechivaet informaciej ob imeni, statuse i razmeshchenii, a takzhe opisanie ustrojstv, lsdev -CH s vyvodom v fajl.
2. Zapustite komandu, kotoraya vydaet detal'nyj spisok skonfigurirovannyh ustrojstv s ukazaniem takoj informacii kak, naprimer, part number ustrojstva, lscfg -v s vyvodom v fajl
3. Zapustite komandu lsattr -E -I sys0, kotoraya pokazyvaet detal'nuyu informaciyu ob atributah skonfigurirovannogo ustrojstva.

Sleduyushchij paketnyj fajl soderzhit vse tri komandy i sostavlyaet otchet o konfiguracii apparatnoj chasti sistemy, kotoryj mozhet byt' otpechatan:

Primechanie: Dlya komp'yuterov na baze shiny PCI, na kotoryh ustanovleny ISA adaptery, administrator dolzhen vruchnuyu zapisat' nomer raz®ema i ustanovki etih adapterov.

Posledovatel'nye ustrojstva

Pri zagruzke sistemy komanda cfgmrg zapuskaet opredelennye i dostupnye ustrojstva v sisteme, naprimer, adaptery MCA, PCI ili SCSI. Nekotorye zhe ustrojstva ne imeyut mehanizma dlya samoidentifikacii. Odnimi iz takih ustrojstv, kotorye ne konfiguriruyutsya avtomaticheski i dolzhny byt' opredeleny vruchnuyu, yavlyayutsya ASCII terminaly i printery.

Dobavlenie terminala

Pered dobavleniem novogo terminala administrator dolzhen uyasnit' dlya sebya sleduyushchuyu informaciyu:

ž TTY interfejs (RS232 ili RS422)
ž Adapter
ž Nomer porta
ž Harakteristiki linii (skorost', chetnost', kol-vo stop-bitov ...)
ž Tip terminala (dump, IBM 3151, DEC,...)
ž Atributy klaviatury

Dlya dobavleniya terminala v SMIT ispol'zuetsya opciya podmenyu Add TTY v menyu TTY.

disable port opredelen, no dostupen tol'ko kak port vyvoda dlya asinhronnoj svyazi s drugim komp'yuterom
enable port dostupen dlya vhoda v sistemu, esli port ne ispol'zuetsya, to dolzhen byt' zapushchen process oprosa porta getty.
delay port dostupen dlya vhoda v sistemu, no priglasheniya vhoda v sistemu ne poyavlyaetsya na displee, poka pol'zovatel' ne nazhmet lyubuyu klavishu na klaviature
share port mozhet byt' ispol'zovan pod upravleniem inogo ustrojstva (dlya modemov i t.p.)

Reshenie problem s terminalami

Pri nepravil'nyh tipe/ustanovkah terminala Izmenite ustanovki terminala s pomoshch'yu SMIT

Pri zavisanii terminala (krushenie programmy ili pri popytke vyvesti na displej soderzhimoe binarnogo fajla)

a) Popytajtes' nazhat' <Ctrl+D>;
b) Perezapustite terminal cherez ego menyu Setup;
v) Popytajtes' vypolnit' sleduyushchuyu proceduru: Nazhmite <Ctrl+j>, naberite stty sane, zatem <Ctrl+j>, zatem vyjdite iz sistemy i snova zajdite (log of/on).

CHtoby uznat' pid_of_login_shell naberite komandu ps -ef
login_shell pomechaetsya defisom - v otlichie ot drugih zapushchennyh shell'ov.

Dokumentirovanie ustanovok terminalov

1. Vsegda imejte kartu fizicheskogo podklyucheniya terminalov k koncentratoram portov.
2. Dokumentirujte ustanovki iz menyu Setup terminala.
3. Zapustite komandu lscfg s vyvodom v fajl.

Printery i pechat'

Koncepciya ocheredej

Naznacheniem sistemy ocheredej yavlyaetsya podderzhka ocheredej zadanij dlya ih vypolneniya (dlya takih sistemnyh resursov, takih kak, central'nyj processor ili printer).

Ocheredi kontroliruyutsya administratorom cherez mehanizm ocheredej. Naprimer, sistemnyj administrator mozhet udalyat' zadaniya iz ocheredi, izmenit' status zadaniya i t.p.

ž Odno zadanie mozhet prinadlezhat' neskol'kim ocheredyam;
ž Pol'zovatel' mozhet raspredelyat' svoi zadaniya po razlichnym ocheredyam;
ž S resursom (naprimer, printerom) mozhet byt' svyazano neskol'ko ocheredej.

Opisanie processa pechati

Kogda pol'zovatel' daet odnu iz komand vyvoda fajla v ochered' (qprt, lp ili lpr) zapros na pechat' zadanie razmeshchaetsya v katalog /var/spool/lpd/qdir (pri neobhodimosti, fajl kopiruetsya v katalog /var/spool/qdaemon).

Process qdaemon, kotoryj vse vremya rabotaet, podderzhivaet spisok vseh opredelennyh ocheredej i vse vremya otslezhivaet poyavlenie novyh zadanij i sostoyanie ustrojstv vyvoda.

V sluchae, esli ustrojstvo vyvoda dostupno i ne zanyato, qdaemon peredaet zadanie processu lokal'noj pechati (piobe). V protivnom sluchae, qdaemon budet pytat'sya vypolnit' zadanie pozzhe.

Process qdaemon kontroliruetsya fajlom /etc/qconfig. |tot fajl soderzhit stanzy (stanza) (poimenovannye bloki dannyh) dlya kazhdoj ocheredi.

Stanza ocheredi

Stanza ocheredi nachinaetsya s imeni ocheredi (do 20 simvolov) okanchivayushchemsya dvoetochiem. Pervaya ochered' v fajle /etc/qconfig yavlyaetsya ochered'yu po umolchaniyu i ispol'zuetsya v tom sluchae, esli v komande na pechat' ne bylo special'no ukazana imya ocheredi. Zatem ukazyvaetsya ssylka na ispol'zuemoe etoj ochered'yu ustrojstvo(a).

Stanza ocheredi mozhet soderzhat' nekotorye drugie atributy, samyj vazhnyj iz kotoryh disciplina ocheredi (discipline). |tot atribut mozhet prinimat' dva znacheniya:

Stanza ustrojstva

Stanza ustrojstva nachinaetsya s imeni ustrojstva (do 20 simvolov), okanchivayushchemsya dvoetochiem. Stanza ustrojstv dolzhna imet' atribut backend, kotoryj ukazyvaet mestopolozhenie vyhodnoj programmy (naprimer, programmy lokal'noj pechati piobe).

Sistemnye fajly, associirovannye s pechat'yu

ž Katalog /var/spool/lpd/qdir soderzhit informaciyu o fajlah zadannyh na pechat'.
ž Fajl /etc/qconfig opisyvaet ocheredi i ustrojstva, kotorye s nimi svyazany, dostupnye dlya komand pechati dlya razmeshcheniya zadanij.
ž Katalog /var/spool/qdaemon soderzhit kopii fajlov zadannyh na pechat'.
ž Katalog /var/spool soderzhit fajly i katalogi ispol'zuemye programmami i demonami pechati.
ž Katalog /var/spool/lpd/stat soderzhit informaciyu o statuse zadanij sohranennyh i obnovlennyh dlya ispol'zovaniya qdaemon i vyhodnymi programmami. Rekomenduetsya dlya raboty s etimi resursami ispol'zovat' SMIT.

V bol'shinstve sluchaev obnovlenie standartnyh sistemnyh fajlov ne rekomenduetsya.

Zadanie rabot pechati i prosmotr ocheredi

V razlichnyh sistemah UNIX ispol'zuyutsya razlichnye komandy na vypolnenie pechati. Vse eti komandy imeyut sovsem razlichnye opcii. Dlya sovmestimosti v AIX vy mozhete ispol'zovat' vse tipy komand zadaniya na pechat' i prosmotra zadanij v ocheredi, ispol'zuemye v UNIX System V, BSD i AIX.

Reshenie problem s pechat'yu

ž Prover'te podklyuchenie kabelej.
ž Prover'te vklyuchen li printer v sostoyanie on-line i ready.
ž Prover'te, sushchestvuet li fajl ustrojstva.
ž Prover'te fajl /etc/qconfig.
ž Prover'te sostoyanie qdaemon (mozhet byt' zapushcheno dva qdaemon). V etom sluchae rekomenduetsya dat' komandu stopsrc -s qdaemon (ostanovyatsya oba ekzemplyara), a zatem dat' komandu startsrc -s qdaemon.

Upravleniya ocheredyami

Izmenenie harakteristik ocheredi

Dlya bystrogo vyzova menyu izmeneniya harakteristik ocheredi ispol'zujte komandu smit chpq.

Udalenie ocheredi

Dlya bystrogo vyzova menyu udaleniya ocheredi ispol'zujte komandu smit rmpq. Uchtite, chto pri udalenii ocheredi pol'zovatel'skie nastrojki printera takzhe udalyayutsya.

Upravlenie ochered'yu s pomoshch'yu SMIT

Dlya bystrogo vyzova menyu upravleniya ocheredi (prosmotra statusa ocheredi pechati, starta i ostanovki ocheredi, a takzhe dlya ustanovki ocheredi pechati po umolchaniyu) ispol'zujte komandu smit pqmanage.

Sostoyaniya ocheredi

Vvedenie v upravlenie diskami

Tipy diskovyh podsistem v AIX Version 4

ž fajly;
ž direktorii;
ž fajlovye sistemy;
ž logicheskie diskovye podsistemy;
ž fizicheskie diskovye podsistemy;
ž Logical Volume Manager (LVM).

Obychnyj pol'zovatel' rabotaet s fajlami i direktoriyami. Sistemnyj administrator dolzhen umet' ochen' horosho rabotat' so vsemi elementami diskovyh podsistem.

Diskovye podsistemy v tradicionnom UNIX

Tradicionno razdelenie diska proizvoditsya na fiksirovannye razdely (partition). I pol'zovatel' ne mozhet skorrektirovat' razmer razdela posle ustanovki sistemy. Kazhdaya fajlovaya sistema razmeshchaetsya na razdele zhestkogo diska. Izmenenie razmera razdela i sootvetstvuyushchej fajlovoj sistemy ne prostaya zadacha. Ona trebuet polnogo arhivirovaniya fajlovoj sistemy, udaleniya razdela, sozdaniya ego zanovo s novymi parametrami i vosstanovleniya dannyh iz arhiva. Neobhodimo, chtoby razdel razmeshchalsya tol'ko na odnom fizicheskom diske. Sootvetstvenno eto vedet k tomu, chto fajlovaya sistema ne mozhet byt' bol'she chem razmer fizicheskogo diska. |to takzhe ogranichivaet razmer samogo bol'shogo fajla v sisteme.

Osnovnye svojstva LVM

Dlya ustraneniya nedostatkov tradicionnogo podhoda k rabote s diskami i svyazannogo s nim problem v AIX primenyayutsya logicheskie toma (dopolnitel'nyj uroven' abstrakcii pri rabote s diskami) upravlyaemye Logical Volume Manager (LVM).

ž Nepreryvnoe prostranstvo logicheskogo toma;
ž Logicheskij tom mozhet razmeshchat'sya na neskol'kih diskah;
ž Vozmozhno dinamicheskoe uvelichenie razmera logicheskogo toma;
ž Logicheskij tom mozhet zerkalirovat'sya;
ž ZHestkie diski podsoedinyayutsya k sisteme proshche;
ž Logicheskie toma mogut byt' peremeshcheny.

Fizicheskie diski

Fizicheskim diskom nazyvayut real'no podklyuchennyj disk k sisteme (kak vnutrennee ili vneshnee ustrojstvo). Pered tem kak ispol'zovat' fizicheskij disk, pol'zovatel' dolzhen dobavit' ego v sushchestvuyushchuyu ili novuyu predvaritel'no sozdannuyu gruppu tomov. Kogda fizicheskij disk dobavlyaetsya v sistemu v direktorii /dev obrazuetsya fajl ustrojstva /dev/hdiskn. |tot fajl mozhet ispol'zovat'sya dlya pryamogo dostupa k disku, no tak ne prinyato.

Naimen'shim razdelom diskovogo prostranstva fizicheskogo diska yavlyaetsya fizicheskij razdel. Vse fizicheskie razdely v odnoj gruppe tomov imeyut odinakovyj razmer. Po umolchaniyu razmer fizicheskogo razdela 4 megabajta. Razmer fizicheskogo razdela dlya vashej gruppy tomov opredelyaetsya sleduyushchim sposobom:

gde L - razmer fizicheskogo razdela;
SV - obshchij ob®em diskovogo prostranstva v gruppe tomov;
1016 - maksimal'noe kolichestvo fizicheskih razdelov v gruppe tomov.

Gruppa tomov - eto naibol'shaya edinica diskovoj podsistemy chetvertoj versii AIX. Gruppa tomov soderzhit v sebe fizicheskie toma (diski), kotorye ob®edineny edinym imenem gruppy tomov. Vse imeyushchiesya v nalichii fizicheskie diski mogut byt' razmeshcheny v odnoj gruppe tomov.

Gruppa tomov (naprimer, vneshne podklyuchaemye SCSI diski) mozhet byt' otsoedinena ot odnoj sistemy i podklyuchena k drugoj sisteme.

Gruppy tomov

Kogda proishodit ustanovka sistemy, sozdaetsya gruppa tomov root (rootvg) i sistemnyj logicheskij tom na vnutrennih diskah, kotorye my vybrali pri ustanovke. Pri dobavlenii novogo fizicheskogo diska pol'zovatel' mozhet dobavit' ego k rootvg ili sozdat' dlya nego novuyu gruppu tomov.

Pri razmeshchenii fajlovyh sistem pol'zovatelej v otdel'nuyu gruppu tomov dannye fajly pol'zovatelej ne podvergayutsya opasnosti byt' uteryannymi pri obnovleniyah, pereustanovkah i polomkah operacionnoj sistemy.

Dlya snizheniya nakladnyh rashodov na administrirovanie imeet smysl ne podklyuchat' v odnu gruppu tomov bolee treh ili chetyreh fizicheskih tomov.

Komandoj varyoffvg administrator pri neobhodimosti mozhet sdelat' gruppu tomov nedostupnoj dlya ispol'zovaniya, chto povyshaet uroven' bezopasnosti v sisteme.

Oblast' opisaniya gruppy tomov (VGDA)

Oblast' opisaniya gruppy tomov (VGDA) - eto oblast' na diske, v kotoroj soderzhitsya polnaya informaciya o gruppe tomov. Dlya odnogo fizicheskogo diska obychno imeetsya odna VGDA (+ e£ kopiya).

Kolichestvo VGDA, kotorye dolzhny byt' dostupny dlya aktivacii gruppy tomov (varyonvg), nazyvaetsya kvorumom. Trebovaniya kvoruma predusmatrivayut dostupnost' 51% ili bolee VGDA. Kvorum neobhodim dlya obespecheniya celostnosti upravlyayushchih dannyh.

Primechanie: sistemnyj administrator mozhet prinuditel'no aktivizirovat' gruppu tomov bez proverki na kvorum. Tak delat' rekomenduetsya tol'ko v sluchae krajnej neobhodimosti.

Logicheskie diski

Fizicheskij razdel yavlyaetsya strukturnoj naimen'shej edinicej fizicheskogo razmeshcheniya informacii na diske. V diskovoj podsisteme AIX vvedeno ponyatie logicheskogo razdela kak ssylki na fizicheskij razdel.

Logicheskie razdely gruppiruyutsya v logicheskie toma. Logicheskij tom mozhet razmeshchat'sya na neskol'kih fizicheskih tomah i ne trebuet neobhodimosti razmeshcheniya na nepreryvnom fizicheskom diskovom prostranstve. Pri neobhodimosti i pri nalichii ne zanyatyh fizicheskih razdelov v gruppe tomov razmer logicheskogo toma mozhet byt' uvelichen v lyuboe vremya. |to uvelichenie mozhet proishodit' dinamicheski, esli ustanovit' takuyu vozmozhnost' v SMIT.

Dlya umen'sheniya logicheskogo toma administratoru neobhodimo snachala sdelat' arhiv fajlovyh sistem na logicheskom tome, zatem udalit' ego, sozdat' logicheskij tom men'shego razmera i vosstanovit' na nego iz arhiva fajlovye sistemy.

Tipichnyj razmer fizicheskogo/logicheskogo razdela 4 MB (mozhet byt' ot 1-go do 256-ti MB).

Zerkalirovanie (RAID 1)

Pri sozdanii logicheskogo toma vy mozhete zadat' zerkalirovanie logicheskih razdelov na nem. Razmeshchenie logicheskogo razdela na 2-h ili 3-h fizicheskih razdelah (kotorye mogut nahodit'sya na odnom ili na razlichnyh fizicheskih diskah) znachitel'no umen'shayut vozmozhnost' poteri dannyh iz-za polomki diska (za schet uvelicheniya kolichestva neobhodimyh diskov). Po statistike IBM srok sluzhby ee diskov - 5 let.

Sushchestvuyut dva sposoba sinhronizacii dannyh na zerkal'nyh logicheskih razdelah:

1. Parallel'nyj - Zapros na zapis' peredaetsya dlya kazhdoj kopii odnovremenno. Otvet prilozheniyu vozvrashchaetsya posle zapisi dannyh na pervyj disk. Esli sboj s kakim-to iz diskov proizojdet v moment zapisi, to est' vozmozhnost' poteryat' dannye. Poetomu dlya ustraneniya takoj situacii obyazatel'no neobhodimo vklyuchit' opciyu neprotivorechivosti zapisi pri zerkalirovanii (mirror write consistency option).
2. Posledovatel'nyj - Kogda dannye zapisyvayutsya na logicheskij razdel, otvet prilozheniyu vozvrashchaetsya tol'ko posle zapisi vseh kopij. |to bolee medlennyj, no i bolee nadezhnyj sposob zerkalirovaniya, chem parallel'nyj.

Rassloenie (RAID 0)

Rassloenie (striping) - eto takaya tehnologiya, kogda dannye (logicheskie ili fizicheskie razdely) razmeshchayutsya na razlichnyh diskah dlya parallel'nogo dostupa k nim, za schet chego znachitel'no uvelichivaetsya skorost' operacij chteniya-zapisi.

ZHertvovat' prihoditsya nadezhnost'yu. Poetomu etot sposob ispol'zuetsya v osnovnom v sistemah raboty s grafikoj i videomontazha.

1. Rassloenyj logicheskij tom ne mozhet byt' zerkalirovan.
2. CHislo fizicheskih razdelov, raspredelennyh na rassloennom logicheskom tome dolzhno byt' ravnomerno raspredelenno sredi diskov.
3. Trebuetsya po men'shej mere 2 fizicheskih toma.
4. ZHelatel'no ispol'zovat' bol'shee chislo adapterov SCSI (ili SSA).
5. Dlya rassloennyh logicheskih tomov neobhodimo sozdanie vydelennoj logicheskoj gruppy.

Politika razmeshcheniya logicheskih tomov

S pomoshch'yu Logical Volume Manager pri sozdanii/izmenenii logicheskogo toma administrator mozhet opredelit' politiku razmeshcheniya fizicheskih razdelov. |ta politika nuzhna iz-za soobrazhenij proizvoditel'nosti diskovoj podsistemy.

Vnutrennyaya politika razmeshcheniya fizicheskih razdelov (Intra-physical volume allocation policy) opredelyaet to, na kakih razdelah fizicheskogo toma budet razmeshchen logicheskij tom. Sushchestvuyut tri znacheniya: central'noe, srednee i krajnee. Dlya dannyh v razdelah pri central'nom razmeshchenii samoe bystroe vremya dostupa, po sravne-niyu s dannymi pri srednem i krajnem razmeshcheniyah.

Vneshnyaya politika (Inter-physical volume allocation policy) ukazyvaet na to, kak mnogo fizicheskih tomov mogut byt' ispol'zovany razmeshcheniya logicheskih tomov. Maksimal'noe chislo fizicheskih tomov kotoroe mozhet byt' ispol'zovano logicheskim tomom mozhet byt' opredeleno (obychno eto kolichestvo fizicheskih tomov v logicheskoj gruppe).

minimum (tol'ko razmeshchat' razdely na odnom fizicheskom tome ili stol'ko, skol'ko opredeleno kopij) i maksimum (razmeshchat' razdely po vsem fizicheskim tomam do dostizheniya maksimal'nogo kolichestva fizicheskih tomov).

Ogranicheniya dlya struktur diskovoj podsistemy

Ispol'zovanie logicheskih tomov

ž ZHurnal'nuyu fajlovuyu sistemu;
ž Pejdzhingovoe prostranstvo;
ž Zapisi zhurnala;
ž Zagruzochnyj logicheskij tom;
ž Nichego (raw device).

Kogda administrator ustanavlivaet sistemu, avtomaticheski sozdaetsya gruppa tomov rootvg s bazovym naborom logicheskih tomov, trebuemyh dlya zapuska sistemy (a takzhe drugie gruppy tomov, opredelennye v paketnom fajle ustanovki). Gruppa tomov rootvg soderzhit pejdzhingovoe prostranstvo, prostranstva dlya zapisi zhurnala, zagruzochnyh dannyh, kazhdoe iz kotoryh nahoditsya v sootvetstvuyushchem logicheskom tome.

Razmeshchenie zhurnal'noj fajlovoj sistemy - eto naibolee standartnoe ispol'zovanie logicheskogo toma. Ona ispol'zuet special'nuyu bazu dannyh (zhurnal) dlya podderzhki soglasovannosti.

Pejdzhingovoe prostranstvo ispol'zuetsya dlya razmeshcheniya virtual'noj pamyati.

Logicheskij tom s zhurnal'nymi zapisyami ispol'zuetsya dlya razmeshcheniya informacii obo vseh izmeneniyah struktury fajlovyh sistem (rassmatrivaetsya dalee).

Zagruzochnyj logicheskij tom - eto nepreryvnaya oblast' na diske, kotoraya soderzhit zagruzochnyj obraz (boot image).

Raw device - eto prosto pustoj logicheskij tom. Nekotorye prilozheniya, naprimer, pakety sistem upravleniya bazami dannyh, mogut razmeshchat' na raw device svoi dannye svoim osobym obrazom.

Vvedenie v fajlovye sistemy

Opredelenie fajlovoj sistemy

Ne smotrya na to, chto eti fajlovye sistemy fizicheski razlichayutsya, dlya pol'zovatelej i prilozhenij etih razlichij ne vidno.

Prichiny ispol'zovaniya fajlovyh sistem

ž Ih mozhno razmestit' v opredelennom meste na diske (iz soobrazhenij proizvoditel'nosti).
ž Nekotorye zadachi, naprimer, arhivirovanie, peremeshchenie, obespechenie bezopasnosti bolee effektivno osushchestvlyat' s fajlovoj sistemoj, a ne s direktoriyami.
ž Mozhno opredelyat' ogranicheniya na ispol'zovanie diskovogo prostranstva pol'zovatelyami posredstvom kvot.
ž Podderzhka celostnosti polnoty struktury fajlovoj sistemy, naprimer, esli odna iz fajlovyh sistem povrezhdena drugie budut ne zatronuty.
ž Special'nye trebovaniya bezopasnosti.
ž Organizaciya dannyh i programm v gruppy dlya uproshcheniya upravleniya fajlami i luchshej proizvoditel'nosti.

Standartnye fajlovye sistemy v AIX Version 4

Posle pervoj ustanovki AIX sushchestvuet tol'ko pyat' zhurnal'nyh fajlovyh sistem:

ž / (root) = /dev/hd4 Vershina ierarhii fajlovogo dereva. Soderzhit fajly i direktorii, kritichnye dlya sistemnogo vypolneniya, vklyuchaya direktoriyu ustrojstv i programm, zavershayushchih process zagruzki
ž /usr = /dev/hd2 Komandy operacionnoj sistemy, biblioteki i programmy prilozhenij. |ta fajlovaya sistema dolzhna byt' opredelena kak dostupnaya po seti.
ž /var = /dev/hd9var Mesto razmeshcheniya razlichnyh fajlov podkachki i audita.
ž /home = /dev/hd1 Domashnie direktorii pol'zovatelej. Tradicionnoe mesto razmeshcheniya pol'zovatel'skih fajlov dannyh.
ž /tmp = /dev/hd3 Prostranstvo ispol'zuemoe vsemi pol'zovatelyami dlya sohraneniya vremennyh fajlov i rabochego prostranstva. Celesoobrazno chasto ochishchat'.

Fajl /etc/filesystems

Fajl /etc/filesystems dokumentiruet harakteristiki komponovki ili atributy fajlovyh sistem. |tot fajl organizovan v vide stanz (stanza). Kazhdoe imya stanzy v etom fajle otnositsya k fajlovoj sisteme, kotoraya normal'no smontirovana.

ž check ispol'zuetsya komandoj fsck dlya opredeleniya fajlovyh sistem proveryaemyh po umolchaniyu. Znachenie True razreshchaet proverku.
ž dev Dlya lokal'nyh tochek montirovaniya identificiruet ili special'nyj blochnyj fajl, gde fajlovaya sistema postoyanno nahoditsya, ili fajl ili direktoriyu, v kotoruyu budet ustanovlena fajlovaya sistema.
ž mount ispol'zuetsya komandoj mount dlya opredeleniya tochki montirovaniya fajlovoj sistemy po umolchaniyu. Vozmozhnye znacheniya:

ž type ispol'zuetsya dlya gruppirovki vmeste svyazannyh fajlovyh sistem, kotorye mogut ves' byt' ustanovlenny komandoj mount -t.
ž vfs opisyvaet tip montirovaniya (naprimer, nfs)
ž vol ispol'zuetsya komandoj mkfs dlya ustanovki yarlyka (label) novoj fajlovoj sistemy.
ž log ustrojstvo na kotoroe budut zapisyvat'sya dannye ob modifikacii dannoj fajlovoj sistemy (opciya rabotaet tol'ko s JFS).

Montirovanie fajlovoj sistemy

Dlya togo chtoby pol'zovateli smogli poluchit' dostup k dannym, soderzhashchimsya v fajlovoj sisteme, e£ neobhodimo smontirovat'. Montirovaniem fajlovoj sistemy yavlyaetsya e£ logicheskoe podklyuchenie k ierarhii direktorij.

Pol'zovatel' rabotaet imenno s ierarhiej direktorij i mozhet inogda opredelit', chto on podklyuchen k drugoj fajlovoj sisteme, tol'ko na osnovanii kosvennyh priznakov (naprimer pri perehode v setevuyu fajlovuyu sistemu nfs mozhet byt' zametno zamedlenie skorosti dostupa k dannym). Vo vseh ostal'nyh sluchayah razlichnye smontirovannye fajlovye sistemy "prozrachny" dlya pol'zovatelej.

Kogda SMIT sozdaet fajlovuyu sistemu, tochka montirovaniya sozda£tsya avtomaticheski.

Fajlovye sistemy, associirovannye s ustrojstvami, predstavleny v special'nom fajle v logicheskom tome /dev. Pri montirovanii fajlovoj sistemy k pustoj direktorii e£ struktura direktorij i fajly prosto stanovyatsya chast'yu ierarhicheskogo dereva direktorij.

Pri montirovanii fajlovoj sistemy k direktorii, kotoraya soderzhit drugie direktorii i fajly, oni stanovyatsya nedostupnymi dlya pol'zovatelej i dostup k nim mozhno organizovat', tol'ko razmontirovav podsoedin£nnuyu k etoj direktorii fajlovuyu sistemu.

Pol'zovateli mogut montirovat' fajlovye sistemy, esli oni prinadlezhat k gruppe system i imeyut pravo zapisi v tochke montirovaniya.

Pol'zovatel' root mozhet montirovat' fajlovye sistemy v lyuboe neobhodimoe mesto s ustanovkoj lyubyh ogranichenij.

Struktura zhurnal'noj fajlovoj sistemy

ZHurnal'naya fajlovaya sistema AIX razmeshchaetsya na logicheskom tome, kotoryj razdelen na klastery razmerom po 4Kbajta. V tozhe vremya, dlya sovmestimosti s drugimi sistemami UNIX, fajlovaya sistema mozhet byt' podelena na bloki kratnye 512 bajt.

Pervyj adresuemyj blok (klaster) fajlovoj sistemy nazyvaetsya superblokom i soderzhit v sebe informaciyu, kotoraya identificiruet sootvetstvuyushchuyu fajlovuyu sistemu (naprimer, e£ naimenovanie, razmer, kolichestvo inodes (opredelyayut maksimal'noe kolichestvo fajlov v fajlovoj sisteme), datu i vremya sozdaniya) i pustoj spisok, ispol'zuemyj pozdnee.

Superblok ochen' vazhen i fajlovaya sistema pri ego povrezhdenii ne mozhet byt' smontirovana. Poetomu sushchestvuet vtoroj rezervnyj superblok, kotoryj razmeshchaetsya v 31 bloke.

Za superblokom id£t opredelennoe kolichestvo tak nazyvaemyh inodes, kotorye soderzhat identifikacionnuyu informaciyu dlya fajlov (naprimer, tip, razmer, razresheniya, identifikacionnye nomera (ID) pol'zovatelya/gruppy vladel'ca, datu i vremya sozdaniya/izmeneniya/poslednego dostupa). Oni takzhe soderzhat ssylki na bloki dannyh, v kotoryh razmeshchaetsya informaciya fajlov.

Primechanie: inodes ne soderzhat imen fajlov, kotorye razmeshchayutsya v special'nyh fajlah, nazyvaemyh direktoriyami.

Fragmentaciya diska

Kak ranee upominalos', minimal'nym razmerom klastera logicheskogo toma yavlyaetsya razmer 4Kbajta. Dlya primera, pri razmeshchenii fajla razmerom 2Kbajta osta£tsya neispol'zuemymi tozhe 2Kbajta. Pri nalichii bol'shogo kolichestva malen'kih fajlov takaya situaciya ved£t k neekonomnomu ispol'zovaniyu diskovogo prostranstva.

Dlya resheniya etoj problemy mozhet primenyat'sya fragmentaciya diska na bolee melkie strukturnye edinicy - fragmenty (razmerom po 512, 1024, 2048 i 4096 bajt). Razmer fragmentov opredelyaetsya tol'ko pri sozdanii fajlovoj sistemy.

Kompressirovanie fajlovoj sistemy

ZHurnal'naya fajlovaya sistema AIX podderzhivaet kompressiyu informacii. Kompressiya pozvolyaet znachitel'no uvelichit' razmer dostupnogo diskovogo prostranstva (priblizitel'no v 2 raza), pravda, za sch£t snizheniya proizvoditel'nosti.

Kompressirovannaya informaciya dolzhna razmeshchat'sya na nepreryvno sleduyushchih logicheskih blokah i poetomu pered kompressiej obyazatel'no neobhodimo proizvesti defragmentaciyu diskovogo prostranstva.

Vedenie zhurnala

Pri rabote s zhurnal'noj fajlovoj sistemoj vse operacii s dannymi v fajlah provodyatsya kak tranzakcii (gruppovye operacii).

1. Pri zapisi informacii v fajl dannye snachala razmeshchayutsya v operativnoj pamyati.
2. Kazhduyu minutu vypolnyaetsya sistemnyj vyzov sync, kotoryj zapisyvaet dannye v informacionnye bloki na diske. Pri etom dannye ob neobhodimyh izmeneniyah v inodes zapisyvayutsya v special'nyj fajl jfslog (/dev/hd8) razmerom 4MB. |tot fajl yavlyaetsya zhurnalom tranzakcij zhurnal'noj fajlovoj sistemy. Obnovlenie informacii v n£m proishodit ciklicheski. Takoj fajl imeetsya dlya kazhdoj gruppy tomov.
3. Tol'ko posle udachnoj zapisi vseh informacionnyh blokov proishodit operaciya podtverzhdeniya COMMIT, o kotoroj takzhe proizvoditsya zapis' v jfslog i tol'ko posle etogo proishodit obnovlenie v inodes.
4. Zavershaet tranzakciyu sistemnyj vyzov sync.

Logichno, chto vedenie zhurnala delaet zhurnal'nye fajlovye sistemy ochen' ustojchivymi ko vsyakim sboyam.

Spisok fajlovyh sistem

Vy mozhete prosmotret' spisok opredelennyh v sisteme fajlovyh sistem ispol'zuya komandu lsfs. |ta komanda pokazyvaet informaciyu iz fajla /etc/filesystems i iz logicheskih tomov.

Komanda lsfs takzhe pokazyvaet informaciyu o setveyh fajlovyh sistemah (NFS) i fajlovyh sistemah CD-ROM.

gde, opciya -q ispol'zuetsya esli vam nuzhen vyvod informacii o razmere fragmenta, algoritme kompressii i kolichestva vydelennyh bajt na inode;
opcii -c ili -l nuzhny dlya ukazaniya togo, vyvodit' li informaciyu v formate kolonok ili stanz, sootvetstvenno;
opcii -v ili -u ispol'zuyutsya dlya ukazaniya neobhodimosti vyvoda informacii tol'ko ob opredelennyh fajlovyh sistemah (v zavisimosti ot tipa ili tochki montirovaniya, sootvetstvenno).

Ukazanie v komande lsfs imeni opredelennoj fajlovoj sistemy vyvedet informaciyu tol'ko o trebuemoj fajlovoj sisteme. Dlya polucheniya etoj zhe informacii vy mozhete ispol'zovat' komandu smit fs.

Spisok smontirovannyh fajlovyh sistem

Komanda mount ispol'zuemaya bez parametrov vyvodit spisok vseh smontrovannyh v tekushchij moment fajlovyh sistem.

Dobavlenie zhurnal'noj fajlovoj sistemy na predvaritel'no opredelennyj logicheskij tom

Dlya sozdaniya fajlovoj sistemy na predvaritel'no opredelennom logicheskom tome rekomenduetsya ispol'zovat' instrument SMIT, kotoryj da£t vysokij uroven' kontrolya za ukazaniem vseh neobhodimyh parametrov i pozvolyaet izbezhat' oshibok pri sozdanii fajlovoj sistemy.

Add a File System on a Previously Defined Logical Volume

Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
* LOGICAL VOLUME name
* MOUNT POINT [] +
Mount AUTOMATICALLY at system restart no +
PERMISSIONS read/write +
Mount OPTIONS [] +
Start Disk Accounting? no +
Fragment Size (bytes) 4096 +
Number of bytes per inode 4096 +
Compression algorithm no +

F1=Help F2=Refresh F3=Cancel F4=List
F5=Reset F6=Command F7=Edit F8=Image
F9=Shell F10=Exit Enter=Do

Dobavlenie zhurnal'noj fajlovoj sistemy

Add a Journaled File System

Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
Volume group name rootvg
* SIZE of file system (in 512-byte blocks) [] #
* MOUNT POINT []
Mount AUTOMATICALLY at system restart no +
PERMISSIONS read/write +
Mount OPTIONS [] +
Start Disk Accounting? no +
Fragment Size (bytes) 4096
Number of bytes per inode 4096
Compression algorithm no

F1=Help F2=Refresh F3=Cancel F4=List
F5=Reset F6=Command F7=Edit F8=Image
F9=Shell F10=Exit Enter=Do

Dlya sozdaniya zhurnal'noj fajlovoj sistemy, krome SMIT, vy mozhete vospol'zovat'sya vysokourovnevoj komandoj crfs s ukazaniem neobhodimyh parametrov.

Ne putajte komandu crfs s komandoj mkfs. V otlichie ot komandy mkfs, komanda crfs sozda£t, esli eto neobhodimo, logicheskij tom ispol'zuya komandu mklv, zatem stroit na n£m strukturu fajlovoj sistemy, ispol'zuya komandu mkfs i proizvodit vse neobhodimye izmeneniya v baze ODM i fajle /etc/filesytems dlya sootvetstvuyushchih logicheskogo toma i fajlovoj sistemy.

Pri sozdanii zhurnal'noj fajlovoj sistemy s pomoshch'yu komandy crfs vy dolzhny budete ukazat':

-g volgrp - imya gruppy tomov, na kotoroj budet sozdan logicheskij tom. Konechno, eta gruppa tomov dolzhna imet' neobhodimoe svobodnoe prostranstvo dlya sozdaniya novogo logicheskogo toma;
-a size=SIZE - razmer fajlovoj sistemy v 512-ti bajtovyh blokah;
-m mntpt - tochka montirovaniya fajlovoj sistemy (imya direktorii v sushchestvuyushchej fajlovoj sisteme). V osnovnom tochka montirovaniya ne ukazyvaetsya;
-a yes|no - ukazanie neobhodimosti avtomontirovaniya novoj fajlovoj sistemy pri perezapuske sistemy. Pri ukazannoj tochke montirovaniya po umolchaniyu (sm. vyshe) fajlovaya sistema mozhet byt' pomechena kak avtomontiruemaya. Ob etom delaetsya zapis' mount=true v stanze fajlovoj sistemy fajla /etc/filesystems.
-p rw|ro - rezhim dostupa. Vse fajlovye sistemy mogut byt' smontirovany s rezhimom dostupa chtenie/zapis' (rw) ili tol'ko dlya chteniya (ro). Dopolnitel'nym vyborom dlya montirovaniya fajlovoj sistemy (Mount Options) mozhet byt' ukazanie na zapreshchenie vypolneniya setuid i setgid programm (vybor nosuid) ili zapreshchenie otkryvat' sistemnye vyzovy ustrojstv s fajlovyh sistem s etoj tochkoj montirovaniya (vybor nodev).
-a fragment=size - ukazanie razmera fragmenta zhurnal'noj fajlovoj sistemy v bajtah. Razmer fragmenta mozhet prinimat' znacheniya 512, 1024, 2048 ili 4096. Znachenie po umolchaniyu - 4096 bajt.
-a nbpl=value - ukazanie kolichestva bajt na odin inode. Vliyaet na obshchee kolichestvo inodes v fajlovoj sisteme. |tot parametr mozhet imet' znacheniya 512, 1024, 2048, 4096, 8192 ili 16384. Znachenie po umolchaniyu - 4096 bajt.
-a compress={no|LZ} - ukazanie algoritma kompressii dlya fajlovoj sistemy. Znachenie po umolchaniyu - no.

Montirovanie/razmontirovanie fajlovoj sistemy

Mount a File System

Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
FILE SYSTEM name []
DIRECTORY over which to mount []
TYPE of file system
FORCE the mount? no
REMOTE NODE containing the file system
to mount []
Mount as a REMOVABLE file system? no
Mount as a READ-ONLY system? no
Disallow DEVICE access via this mount? no
Disallow execution of SUID and sgid programs
in this file system? no

F1=Help F2=Refresh F3=Cancel F4=List
F5=Reset F6=Command F7=Edit F8=Image
F9=Shell F10=Exit Enter=Do

Obychnye pol'zovateli mogut montirovat' fajlovye sistemy, esli oni yavlyayutsya chlenami gruppy system i imeyut prava dostupa na zapis' v tochke montirovaniya.

Sistemnye administratory dlya montirovaniya fajlovyh sistem takzhe dolzhny imet' prava dostupa na zapis' v tochke montirovaniya, no pri etom tochki montirovaniya dolzhny byt' opredeleny v fajle /etc/filesystems.

Pol'zovatel' root mozhet montirovat' fajlovye sistemy v lyubom meste ierarhii direktorij v nezavisimosti ot ustanovlennyh prav dostupa.

Izmenenie/prosmotr harakteristik zhurnal'noj fajlovoj sistemy

Change/Show Characteristics of a Journaled File System

Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
File system name /home
NEW mount point [/home]
SIZE of file system (in 512-byte blocks)[8192]
Mount GROUP []
Mount AUTOMATICALLY at system restart yes +
PERMISSIONS read/write +
Mount OPTIONS [] +
Fragment Size (bytes) 4096
Number of bytes per inode 4096
Compression algorithm no

F1=Help F2=Refresh F3=Cancel F4=List
F5=Reset F6=Command F7=Edit F8=Image
F9=Shell F10=Exit Enter=Do

Razmer zhurnal'noj fajlovoj sistemy mozhet byt' uvelichen v lyuboe vremya (pri etom avtomaticheski uvelichivaetsya razmer logicheskogo toma). Tol'ko takuyu operaciyu nel'zya delat' dlya umen'sheniya e£ razmera.

Pri neobhodimosti umen'shit' razmer fajlovoj sistemy luchshim vyhodom yavlyaetsya sozdanie novoj fajlovoj sistemy nuzhnogo razmera s udaleniem staroj.

Udalenie zhurnal'noj fajlovoj sistemy

Dlya udaleniya zhurnal'noj fajlovoj sistemy, krome sredstv SMIT, vy mozhete vospol'zovat'sya vysokourovnevoj komandoj rmfs. |ta komanda, naryadu s udaleniem samoj fajlovoj sistemy, udalyaet vsyu informaciyu o nej iz bazy dannyh ODM i fajla /etc/filesystems. Kogda udalyaetsya fajlovaya sistema, to takzhe udalyaetsya i logicheskij tom, na kotorom ona nahodilas'.

Upravlenie fajlovymi sistemami

Zadachi administratora po upravleniyu diskovym prostranstvom fajlovyh sistem sleduyushchie:

ž slezhenie za rostom fajlovyh sistem;
ž obnaruzhenie problem;
ž kontrol' nad bystrorastushchimi fajlami;
ž kontrol' nad ispol'zovaniem diskovogo prostranstva pol'zovatelyami;
ž pri neobhodimosti defragmentaciya i kompressiya fajlovyh sistem.

Upravlenie diskovym prostranstvom

Ne smotrya na to, chto v chetvertoj versii AIX sushchestvuet dinamicheskoe uvelichenie razmera fajlovyh sistem, takoe uvelichenie ne proishodit avtomaticheski. Sistemnyj administrator dolzhen postoyanno otslezhivat' ispol'zovanie diskovogo prostranstva fajlovoj sistemy i uvelichivat' e£ razmer, kogda ona budet polnost'yu zapolnena.

Dlya prosmotra informacii ob obshchem i ispol'zuemom diskovom prostranstve ispol'zuetsya komanda df. Dlya pokaza razmera diskovogo prostranstva v kilobajtah etu komandu neobhodimo zapuskat' s klyuchom -k.

Kontrol' nad bystrorastushchimi sistemnymi fajlami

Bystrorastushchie sistemnye fajly dolzhny byt' postoyanno pod kontrolem i s cel'yu ekonomii diskovogo prostranstva periodicheski ochishchat'sya.

ž /var/adm/wtmp
ž /var/spool/*.*
ž /smit.log
ž /smit.script
ž /etc/security/failedlogin
ž /var/adm/sulog

Fajly /var/adm/wtmp i /var/adm/failedlogin chitayutsya komandoj who -a imya_fajla. Ostal'nye fajly redaktiruyutsya s pomoshch'yu lyubogo tekstovogo redaktora.

Kvoty dlya diskovogo prostranstva pol'zovatelej

Sistema kvot (ogranichenij) diskovogo prostranstva baziruetsya na Berkeley Disk Quota System i pozvolyaet administratoru kontrolirovat' kolichestvo fajlov i blokov dannyh pol'zovatelej ili ih grupp.

Soft limits - opredelyaet kolichestvo blokov po 1KB ili fajlov, na kotoroe pol'zovatel' mozhet prevysit' na opredelennyj period (grace period).

Hard limits - maksimal'noe kolichestvo blokov po 1KB ili fajlov, kotoroe pol'zovatel' ne mozhet prevysit'

Grace period - vremya na kotoroe pol'zovatel' mozhet prevysit' otpushchennoe emu po soft limits diskovoe prostranstvo ili kolichestvo fajlov. Po umolchaniyu - 7 dnej.

Vnimanie: Dlya zapuska vseh komand, svyazannyh s ustanovkoj i upravleniem kvotami neobhodimo imet' polnomochiya pol'zovatelya root. Ostal'nye pol'zovateli mogut tol'ko prosmotret' lichnye kvoty s pomoshch'yu komandy quota zapuskaemoj v komandnoj stroke.

Ustanovka kvoty

1 shag - Vklyuchenie rezhima kvot Dlya ukazaniya togo, chto dlya dannoj fajlovoj sistemy ustanovlen rezhim kvot, neobhodimo vstavit' v e£ stanzu fajla /etc/filesystems sleduyushchuyu stroku: dlya rezhima kvot pol'zovatelej: quota=userquota dlya rezhima kvot pol'zovatelej i grupp: quota=userquota,groupquota

2 shag - Ustanovka kvot Dlya sozdaniya i redaktirovaniya kvot ispol'zuetsya komanda edquota. |ta komanda sozda£t vremennyj fajl, kotoryj soderzhit informaciyu obo vseh tekushchih kvotah kazhdogo pol'zovatelya i gruppy.

gde: opciya -u ispol'zuetsya dlya redaktirovaniya kvoty pol'zovatelya username; opciya -g ispol'zuetsya dlya redaktirovaniya kvot gruppy groupname; opciya -p ispol'zuetsya dlya ukazaniya prototipa kvoty (pol'zovatelya ili gruppy, imya kotoryh neobhodimo ukazat'), kotoryj ispol'zuetsya dlya kopirovaniya ranee ustanovlennyh kvot.

Vnimanie: Dlya ispol'zovaniya komandy edquota dolzhna byt' ustanovlena peremennaya EDITOR (dlya primera, export EDITOR=/usr/bin/vi).

3 shag - Ustanovka Grace Period Dlya ustanovki Grace Period takzhe ispol'zuetsya komanda edquota s parametrami: -t - dlya vseh pol'zovatelej i grupp; -tg - dlya vseh grupp; -tu - dlya vseh pol'zovatelej.

Grace Period mozhno ustanavlivat' v sekundah, minutah, chasah ili dnyah. Ustanovka Grace Period v razmere 1-j sekundy pokazyvaet, chto Grace Period ne predostavlyaetsya. Ustanovka 0 opredelyaet Grace Period po umolchaniyu.

Upravlenie kvotami

Vklyuchenie rezhima kvot Dlya vklyucheniya rezhima kvot ispol'zuetsya komanda quotaon s parametrami: -u - ustanovka rezhima kvot tol'ko dlya pol'zovatelej; -g - ustanovka rezhima kvot tol'ko dlya grupp; -a - ustanovka rezhima kvot dlya pol'zovatelej i grupp. Posle parametra mozhno ukazat' imya konkretnoj fajlovoj sistemy, dlya kotoroj neobhodimo vklyuchit' mehanizm kvot. Po umolchaniyu rezhim kvot vyklyuchen.

Vyklyuchenie rezhima kvot Dlya vyklyucheniya rezhima kvot ispol'zuetsya komanda quotaoff. Mozhno otklyuchit' rezhim kvot dlya vseh fajlovyh sistem (s parametrom -a) ili dlya konkretnoj fajlovoj sistemy (ukazat' e£ imya).

Proverka rezhima kvot Komanda quotacheck ispol'zuetsya dlya proverki korrektnosti raboty mehanizma kvot. Komanda repquota ispol'zuetsya dlya proverki ispol'zovaniya tekushchih pol'zovatel'skih ili gruppovyh kvot.

Defragmentaciya fajlovoj sistemy

Dlya defragmentacii obyazatel'no smontirovannoj fajlovoj sistemy ispol'zuetsya komanda defragfs:

opciya -q pokazyvaet otchet o tekushchem statuse fajlovoj sistemy; opciya -r pokazyvaet otchet o tekushchem statuse fajlovoj sistemy i o vozmozhnom sostoyanii fajlovoj sistemy, posle defragmentacii .

Proverka fajlovoj sistemy

Fajlovye sistemy mogut byt' provereny ispol'zuya komandu fsck. Ee sintaksis:

Opciya -p ukazyvaet na provedenie proverki i ispravlenie fajlovoj sistemy bez informirovaniya pol'zovatelya obo vseh izmeneniyah i bez zaprosov na sovershenie takih izmenenij. Pri zapuske proverki fajlovyh sistem iz SMIT ispol'zuetsya eta opciya. Opcii -y ili -n ispol'zuyutsya dlya otvetov yes ili no na vse voprosy vydavaemye komandoj.

Proverka fajlovoj sistemy proizvoditsya v neskol'ko stadij: proverka zhurnala na predmet obnaruzheniya soobshchenij ob oshibkah, proverka inodes, kosvennyh blokov, blokov dannyh, svobodnyh blokov, proverka razmerov fajlov, proverka soderzhimogo direktorij.

Esli yavno ne ukazana fajlovaya sistema dlya proverki, to proveryayutsya vse fajlovye sistemy, dlya kotoryh v fajle /etc/filesystems ustanovlen atribut check v true. Komanda vyvodit otchet o svoej rabote v direktoriyu /lost+found.

Dokumentirovanie ustanovok fajlovyh sistem

ž Zapuskajte komandu lsfs.
ž Otslezhivajte soderzhimoe fajla /etc/filesystem.
ž Zapuskajte komandu df dlya proverki ispol'zovaniya diskovogo prostranstva.
ž Proveryajte vse smontirovannye fajlovye sistemy komandoj mount.

Prostranstvo pejdzhinga

Opredelenie pejdzhingovogo prostranstva

Pejdzhingovoe prostranstvo ispol'zuetsya dlya podderzhki real'noj pamyati v sisteme. Real'naya (fizicheskaya) operativnaya pamyat' v sisteme razdelena na sekcii po 4Kb nazyvaemye stranichnymi frejmami (page frames). Kazhdyj stranichnyj frejm otobrazhaetsya v 4Kb stranicah v pejdzhingovoe prostranstvo na diske. V etom sluchae pejdzhingovoe prostranstvo ispol'zuetsya kak dubliruyushchaya pamyat' dlya real'noj pamyati.

Kogda sisteme trebuetsya dostup k dannym i dlya kotoryh net mesta v real'noj pamyati, sistema nahodit v real'noj pamyati stranichnye frejmy k kotorym davno ne bylo obrashcheniya i vygruzhaet ih na disk, vysvobozhdaya mesto pod novyj process. V etom sluchae pejdzhingovoe prostranstvo ispol'zuetsya dlya razmeshcheniya v real'noj pamyati tol'ko aktivnyh chastej programm i dannyh, chto pozvolyaet nam zapuskat' programmy i zagruzhat' dannye, kotorye ne mogut pomestit'sya polnost'yu v real'noj pamyati.

Pejdzhingovoe prostranstvo ne yavlyaetsya zamenitelem real'noj pamyati. Uvelichenie razmera pejdzhingovogo prostranstva mozhet ne prinesti ozhidaemogo effekta. Pri malom ob®eme real'noj pamyati sistema mozhet byt' sil'no zagruzhena obsluzhivaniem pejdzhinga (naprimer, pri rabote dvuh bol'shih processov, kazhdyj iz kotoryh vs£ vremya pri poluchenii razresheniya na vypolneniya budet vytesnyat' svoimi stranichnymi frejmami frejmy predydushchego), chto zametno snizit obshchuyu proizvoditel'nost'. V etom sluchae edinstvennym vyhodom budet pokupka i ustanovka dopolnitel'nogo ob®ema real'noj pamyati.

Tak kak operativnaya pamyat' proizvodstva IBM mozhet byt' pokazhetsya vam dovol'no dorogoj, to mozhno porekomendovat' kupit' ne takuyu doroguyu operativnuyu pamyat' dlya sistem RS/6000 proizvodstva kompanii Kingstone.

Pri installyacii sistemy razmer pejdzhingovogo prostranstva ustanavlivaetsya soglasno sleduyushchim formulam:

Odnako razmer pejdzhingovogo prostranstva v dal'nejshem opredelyaetsya v zavisimosti ot ispol'zuemyh prilozhenij.

Ispol'zovanie pejdzhingovogo prostranstva nuzhno periodicheski proveryat' komandoj lsps -a i v sluchae prevysheniya pokazatelya ispol'zovaniya pejdzhingovogo prostranstva bolee 70% neobhodimo dobavit' dopolnitel'nyj ob®em pejdzhingovogo prostranstva.

Primechanie: V sluchae, kogda u vas na fizicheskom tome est' dva ili bol'she pejdzhingovyh prostranstv sovet uvelicheniya ob®ema pejdzhingovogo prostranstva ne vsegda veren. Rassmotrim situaciyu:

V etom sluchae pejdzhingovoe prostranstvo paging01 nuzhno prosto udalit' (kak eto sdelat' smotri nizhe), tak kak ono peregruzheno, a pejdzhingovoe prostranstvo na tom zhe fizicheskom tome paging00 nedogruzheno.

Kogda pejdzhingovogo prostranstva ne hvataet, vyvoditsya sootvetstvuyushchee soobshchenie na konsol'. V etom sluchae ne mogut byt' zapushcheny nikakie novye processy, a sistema mozhet ostanovit'sya.

Razmeshchenie pejdzhingovogo prostranstva na diske

Pejdzhingovoe prostranstvo razmeshchaetsya na logicheskom tome s sootvetstvuyushchim atributom. Pri ustanovke sistemy pejdzhingovoe prostranstvo (hd6) sozdaetsya po umolchaniyu na diske hdisk0 v razdelah raspolozhennyh fizicheski poseredine diska (opredelyaet fizicheskuyu skorost' dostupa).

Dlya balansirovki proizvoditel'nosti ispol'zovaniya pejdzhingovogo prostranstva sledujte sleduyushchim rekomendaciyam:

Dlya prosmotra sostoyaniya vseh pejdzhingovyh prostranstv ispol'zujte SMIT ili komandu lsps -a.

Dlya prosmotra togo, skol'ko ustanovleno real'noj pamyati v sisteme, krome SMIT, mozhno ispol'zovat' sleduyushchie komandy:

Dlya togo, chtoby opredelit' kakie pejdzhingovye prostranstva aktiviziruyutsya avtomaticheski pri kazhdom perezapuske sistemy, krome SMIT, mozhno prosmotret' soderzhimoe fajla /etc/swapspaces

Razmer pejdzhingovogo prostranstva mozhet byt' dinamicheski uvelichen (no ne umen'shen).

Reshenie problem s pejdzhingovym prostranstvom

Reshenie: Dinamicheski uvelich'te razmer pejdzhingovogo prostranstva. ili Aktivizirujte neaktivnye pejdzhingovye prostranstva na drugih fizicheskih tomah (esli ono i oni est' v vashej sisteme).

Problema: Pejdzhingovoe prostranstvo ochen' bol'shoe (tol'ko dlya pejdzhingovyh prostranstv, sozdannyh pol'zovatelem)

Reshenie: 1. Sozdajte pejdzhingovoe prostranstvo men'shego razmera s pometkoj aktivacii pri perezapuske sistemy.
2. Pomet'te bol'shoe pejdzhingovoe prostranstvo kak neaktivnoe pri perezapuske sistemy (tak kak nel'zya udalit' aktivnoe pejdzhingovoe prostranstvo).
3. Perezagruzite sistemu.
4. Udalite neaktivnoe bol'shoe pejdzhingovoe prostranstvo.

Dokumentirovanie ustanovok pejdzhingovogo prostranstva

1. Periodicheski zapuskajte programmu monitoringa pejdzhingovogo prostranstva lsps.
2. Raspechatajte i hranite kopiyu fajla /etc/swapspaces.

Arhivirovanie i vosstanovlenie informacii

Dannye soderzhashchiesya v komp'yutere zachastuyu yavlyayutsya bolee dorogimi, chem sam komp'yuter. V sluchayah razlichnyh sboev, kogda nevozmozhno vosstanovit' eti dannye, eto mozhet privesti (i chasto privodit) k polnomu krahu kompanij, poteryavshih svoi dannye.

Naibolee deshevym variantom zashchity dannyh ot uteri v rezul'tate avarii yavlyaetsya ih arhivirovanie na lentu.

No ispol'zovanie arhivov vozmozhno ne tol'ko dlya vosstanovleniya dannyh posle avarii, no i dlya perenosa bol'shih kolichestv informacii s odnogo komp'yutera na drugoj, a takzhe v sluchae, esli vam neobhodimo reorganizovat' fajlovye sistemy na diske i kakaya-nibud' fajlovaya sistema mozhet byt' udalena s vashego diska i zatem peremeshchena v drugoe mesto.

Udobno arhivy ispol'zovat' dlya ustanovki programmnogo obespecheniya na analogichnye komp'yutery ili dlya bystroj ego pereustanovki (sozdav obraz sistemy).

Tipy arhivirovaniya

1. Sistemnoe arhivirovanie - zapisyvaetsya arhivnyj obraz operacionnoj sistemy (gruppa tomov rootvg).
2. Polnoe arhivirovanie - sohranenie vseh dannyh.
3. Narastayushchee (inkremental'noe) arhivirovanie - zapisyvayutsya tol'ko izmeneniya otnositel'no poslednego polnogo arhivirovaniya. |tot tip arhivirovaniya samyj bystryj, no ego neobhodimo provodit' ochen' vnimatel'no.

Pervyj metod sostoit v tom, chtoby posle sozdaniya polnogo arhiva vnosit' na lentu tol'ko otlichiya ot predydushchego dnya. |tot metod yavlyaetsya bystrym, no vo-pervyh, neobhodimo imet' mnogo lent i vo-vtoryh, esli odna iz lent otsutstvuet ili povrezhdena, vy budete imet' problemy pri vosstanovlenii s ispol'zovaniem ostayushchihsya lent.

Vtoroj metod takzhe nachinaet svoj otsch£t ot sozdaniya polnogo arhiva i v otlichie ot pervogo metoda izmeneniya na lentu vnosyatsya otnositel'no poslednego polnogo arhiva. Pri etom metode procedura vosstanovleniya ne zavisit ot lenty s predydushchego dnya, no sam process arhivirovaniya budet bolee medlennym i dlya arhiva potrebuetsya bol'she mesta na lente.

Strategiya arhivirovaniya

Sistemnoe arhivirovanie rekomenduetsya provodit' posle pervoj ustanovki sistemy, posle obnovleniya sistemy, a takzhe kazhdye n mesyacev, gde n - chislo mesyacev, kotoroe opredelyaetsya politikoj bezopasnosti v vashej organizacii.

Vy mozhete pri nebol'shom ob®eme vashih dannyh delat' polnyj arhiv kazhdyj rabochij den'. Vy takzhe mozhete posle sozdaniya polnogo arhiva sistemy provodit' narastayushchee arhivirovanie s intensivnost'yu, kotoraya opredelyaetsya politikoj bezopasnosti v vashej organizacii. Zatem snova provoditsya polnoe arhivirovanie s posleduyushchim narastayushchim arhivirovaniem.

ž VSE dannye pol'zovatelej;
ž VSE izmeneniya sistemnyh fajlov;
ž VSE izmeneniya fajlov prilozhenij;
ž VSE dannye ne prinadlezhashchie gruppe tomov rootvg.

ž NEIZMENYAYUSHCHIESYA fajly prilozhenij;
ž Programmnoe obespechenie, kotoroe mozhno bystro pereustanovit'.

Ustrojstva arhivirovaniya

Diskety

Disketa mozhet rassmatrivat'sya kak ustrojstvo, ispol'zuemoe dlya arhivirovaniya malogo kolichestva fajlov. OS AIX vklyuchaet v sebya podderzhku diskovodov 3 1/2" (£mkost'yu 1.44MB i 2.88MB) i 5 1/4".

Vstroennyj dikovod 3 1/2" oboznachaetsya kak /dev/fd0. Vtoroj diskovod 3 1/2" ili 5 1/4" oboznachaetsya kak /dev/fd1.

Komanda format formatiruet po umolchaniyu disketu v diskovode /dev/fd0 na maksimal'nyj podderzhivaemyj diskovodom ob®£m.

Vy mozhete opredelit' neobhodimost' formatirovat' disketu v drugom diskovode (opciya -d drive) ili dlya diskety s bolee nizkim ob®£mom (opciya -l).

Komanda fdformat ispol'zuetsya dlya formatirovaniya disket tol'ko dlya diskovoda /dev/fd0 i formatiruet e£ na men'shij ob®£m. Dlya formatirovaniya s bol'shim ob®£mom ispol'zuetsya opciya -h.

Dlya raboty s disketami DOS ispol'zujte komandy dosdir, dosread i doswrite.

Lenty

ž 1/4" lentochnoe ustrojstvo kotoroe mozhet chitat' i pisat' na lenty formatov QIC-120 (120MB), QIC-150 (150MB), QIC-525 (525MB) i QIC-1000. |to ustrojstvo tak-zhe mozhet chitat' lenty v formate QIC-24 (44MB);
ž 4mm lentochnye ustrojstva (2GB ili 4GB);
ž 8mm lentochnye ustrojstva (2.3GB ili 5GB);
ž 1/2" 9-ti dorozhechnye ustrojstva s podderzhkoj formatov 1600bpi i 6250bpi.

Dlya upravleniya lentochnym ustrojstvom ego podrazdelyayut na podustrojstva s nomerami ot /dev/rmtX.1 do /dev/rmtX.7. Tak sdelano dlya togo, chtoby byla vozmozhnost':

ž posle zaversheniya operacii chteniya ili zapisi predohranit' lentu ot perematyvaniya;
ž uderzhivat' lentu pri pervom dostupe k nej. Prich£m 1/4" ustrojstva imeyut apparatnye ustanovki, kotorye imeyut bol'shij prioritet dlya ustrojstva, chem programmnye ustanovki;
ž ispol'zovat' format nizkogo ob®£ma.

Imeetsya prostoj sposob bystrogo opredeleniya nomera nuzhnogo podustrojstva. /dev/rmtX.N N=A+B+C gde, A - £mkost' (A=4, esli £mkost' vysokaya i A=0, esli £mkost' lenty nizkaya); V - uderzhanie (V=2, esli uderzhanie neobhodimo i V=0 v protivnom sluchae); S - perematyvanie (S=1, esli nuzhno perematyvanie i S=0, esli ne nuzhno).

Menyu arhivirovaniya

System Storage Management (Physical & Logical)

 
Move cursor to desired item and press Enter.

  Logical Volume Manager
  File Systems
  Files & Directories
  System Backup Manager



F1=Help      F2=Refresh        F3=Cancel         F8=Image
F9=Shell     F10=Exit          Enter=Do

Process arhivirovaniya rootvg - mksysb

Dlya raboty s sistemnym arhivirovaniem neobhodimo ustanovit' bos.sysmgt.br. |tot process arhiviruet tol'ko gruppu tomov rootvg. Prich£m:

ž arhiviruyutsya tol'ko smontirovannye fajlovye sistemy;
ž zagruzochnaya lenta sozda£tsya v arhivnom formate;
ž obespechivaetsya vozmozhnost' neinteraktivnoj ustanovki;
ž sohranyayutsya ustanovki dlya pejdzhingovogo prostranstva;
ž sohranyaetsya politika organizacii logicheskih tomov;
ž trebuet minimal'noj aktivnosti pol'zovatelej i prilozhenij.

Fajl /image.data

Pri sozdanii gruppy tomov rootvg process ustanovki bazovoj operacionnoj sistemy ispol'zuet fajl /image.data.

Obychno, informaciya v stanzah etogo fajla generiruetsya komandami lsxx; naprimer, lsvg dlya gruppy tomov, lslv dlya logicheskogo toma, lsjfs dlya fajlovoj sistemy.

Administrator pri neobhodimosti mozhet opisat' dopolnitel'nye dejstviya posle ustanovki bazovoj operacionnoj sistemy ispol'zuya pole BOSINST_FILE= v stanze post_install_data.

Opisanie vazhnejshih stanz

LOGICAL_VOLUME_POLICY Soderzhit informaciyu ispol'zuemuyu pri vosstanovlenii.

Esli pole SHRINK= ustanovleno v YES to logicheskie toma i fajlovye sistemy "obrezayutsya" (sozdayutsya razmerom ustanovlennym v polyah LV_MIN_LPs i FS_MIN_SIZE) pri vosstanovlenii.

Pole EXACT_FIT= ukazyvaet na to, ispol'zovat' ili ne ispol'zovat' kartu fizicheskih razdelov dlya razmeshcheniya logicheskih tomov.

Pole VG_SOURCE_DISK_LIST= ukazyvaet na diski, kotorye ustanovka bazovoj operacionnoj sistemy dolzhna ispol'zovat' dlya optimal'nogo razmeshcheniya.

LV_DATA Soderzhit informaciyu o logicheskih tomah. |tot tip stanzy ispol'zuetsya takzhe dlya informacii o pejdzhingovom prostranstve.

Fajl /bosinst.data

Fajl /bosinst.data soderzhit trebovaniya neobhodimye dlya celevoj sistemy, a takzhe opredelyaet to, kak pol'zovatel' vzaimodejstvuet s nej.

control_flow:
CONSOLE=
INSTALL_METHOD=overwrite
PROMPT=yes
EXITING_SYSTEM_OVERWRITE=no
INSTALL_X_IF_ADAPTER=yes
RUN_STARTUP=yes
RM_INST_ROOTFS=no
ERROR_EXIT=
CUSTOMIZATION_FILE=
TCB=no
INSTALL_TYPE=
BUNDLES=

Nalichie etogo fajla pozvolyaet ispol'zovat' odin i tot zhe arhivnyj obraz dlya razlichnyh apparatno celevyh sistem. Utilita sistemnogo arhivirovaniya prosto kopiruet fajl /bosinst.data kak pervyj fajl v obraze rootvg. Esli etogo fajla net v direktorii root, to v fajl /bosinst.data obraza kopiruetsya soderzhimoe fajla /usr/lpp/bosinst/bosinst.template.

CONSOLE - opredelyaet ustrojstvo (polnyj put'), kotoroe vy hotite ispol'zovat' kak konsol'.

INSTALL_METHOD - opredelyaet metod ustanovki (migration, preserve ili overwrite)

PROMPT - opredelyaet, ispol'zuetsya li menyu vybora dejstvij dlya pol'zovatelya pri ustanovke ili net. Esli znachenie etoj peremennoj ustanovleno v no, to administrator obyazan zapolnit' vse znacheniya v stanzah locale i control_flow (isklyuchenie: znacheniya dlya parametrov ERROR_EXIT i CUSTOMIZATION_FILE ne obyazatel'ny).

EXITING_SYSTEM_OVERWRITE - podtverzhdenie togo, chto programma ustanovki dolzhna (ili ne dolzhna) perezapisyvat' sushchestvuyushchie fajly. |ta peremennaya ispol'zuetsya v tom sluchae, esli opredelena ustanovka bez soobshchenij (peremennaya PROMPT ustanovlena v no).

INSTALL_X_IF_ADAPTER - zapros naschet togo, esli v celevoj sisteme sushchestvuet graficheskij adapter, ustanavlivat' li AIXWindows ili net.

RUN_STARTUP - zapuskat' li Installation Assistant posle pervoj zagruzki posle usta-novki BOS.

RM_INST_ROOTFS - udalyaet vse fajly i direktorii v direktoriyah /usr/lpp/*/Inst_roots.

ERROR_EXIT - zapuskaet opredelennuyu administratorom ispolnyaemuyu programmu, esli v programme ustanovki obnaruzhena oshibka.

CUSTOMIZATION_FILE - opredelyaet imya i polnyj put' k fajlu nastroek, kotoryj ispolnyaetsya srazu posle zaversheniya programmy ustanovki.

TCB - opredelyaet potrebnost' v ustanovke Zashchishchennoj vychislitel'noj osnovy

INSTALL_TYPE - opredelyaet kakoe programmnoe obespechenie ustanavlivat' na sistemu. Parametr mozhet prinimat' sleduyushchie znacheniya: full (polno-funkcional'naya konfiguraciya), client (klientskaya konfiguraciya) i personal (konfiguraciya perso-nal'noj rabochej stancii).

BUNDLES - opredelyaet kakie pakety programmnogo obespecheniya ustanavlivat'. Imena paketov razdelyayutsya probelami.

Stanza target_disk_data soderzhit znacheniya opredelyayushchie parametry diskov sistemy, na kotoruyu programma dolzhna ustanovit' BOS.

LOCATION - opredelyayutsya kody razmeshcheniya diska na kotoroj dolzhna budet ustanovlena BOS.

SIZE_MB - opredelyaet formatirovannyj razmer diska (v megabajtah) gde programma dolzhna ustanovit' BOS.

BOSINST_LANG - opredelyaet yazyk, kotoryj programma ustanovki dolzhna ispol'zovat' dlya soobshchenij, menyu i soobshchenij ob oshibkah.

Vosstanovlenie informacii

Vosstanovlenie informacii yavlyaetsya dovol'no legkim zanyatiem, esli vy ispol'zuete SMIT.

Nemnogo podrobnee hotelos' by opisat' process vosstanovleniya sistemy iz sistemnogo obraza. Dlya vosstanovleniya informacii iz sistemnogo arhiva neobhodimo zagruzit' sistemu v rezhim Installation/Maintenance (Ustanovka/Obsluzhivanie), vybrat' punkt menyu "Maintenance", a v nem vybrat' punkt "Install from a System backup" i opredelit' ustrojstvo na kotorom raspolozhen obraz sistemy.

Komandy arhivirovaniya UNIX

Administrator mozhet takzhe vospol'zovat'sya izvestnymi i primenyaemymi v mire UNIX komandami arhivirovaniya tar, cpio i dd.

Strategiya raboty s arhivami

1. Udostover'tes', chto vy mozhete vosstanovit' informaciyu bystro, prosto i kachestvenno.

5. Udostover'tes', chto fajly ne nahodyatsya v ispol'zovanii vo vremya arhivirovaniya (fuser).

9. Protestirujte proceduru vosstanovleniya prezhde, chem ona vam real'no ponadobit'sya v kriticheskoj situacii.

Obzor setevyh vozmozhnostej

Podrobnoe rassmotrenie sposobov postroeniya, rasshireniya i soprovozhdeniya setej, a takzhe funkcionirovaniya vysokourovnevogo setevogo programmnogo obespecheniya, takogo kak domennaya sistema imen DNS, setevaya fajlovaya sistema NFS, metody marshrutizacii, sistema elektronnoj pochty sendmail i pr., trebuet mnogih tomov. Poetomu v etoj knige da£tsya tol'ko kratkij obzor setevyh vozmozhnostej AIX.

Obzor TCP/IP

TCP/IP - eto setevaya arhitektura, kotoraya opredelyaet mehanizm dlya sovmestnoj raboty razlichnyh komp'yuterov podsoedinennyh k razlichnym setyam dlya obmena dannymi. Programmnoe obespechenie TCP/IP pozvolyaet obmenivat'sya dannymi mezhdu razlichnymi komp'yuternymi platformami ot mejnfrejmov do personal'nyh komp'yuterov i, v bol'shej stepeni, associiruetsya s mirom UNIX/AIX.

Mozhno opredelit' TCP/IP kak nabor protokolov, kotorye opredelyayut to, kakim obrazom komp'yutery v seti mogut obmenivat'sya mezhdu soboj informaciej.

Protokol - eto nabor pravil, kotorye opredelyayut mehanizm i strukturu peredavaemyh dannyh. Ispol'zuya eti opredeleniya, proizvoditeli mogut napisat' programmnoe obespechenie dlya razlichnyh apparatnyh platform.

Abbreviatura TCP/IP oznachaet "Transmission Control Protocol/Internet Protocol". |to imena dvuh vazhnejshih protokolov. V setevoj arhitekture TCP/IP imeyutsya mnogo drugih protokolov. |ti protokoly ne privyazany ni k kakoj operacionnoj sisteme i apparatnoj platforme. I v silu takoj nezavisimosti, dlya togo chtoby setevaya apparatura mogla ih ispol'zovat', tol'ko programmnyj interfejs dolzhen byt' postroen v sootvetstvii s etimi protokolami.

Protokoly TCP/IP rabotayut s razlichnymi tipami setej - ot nizkoskorostnyh soedinenij posledovatel'nogo tipa do bystryh lokal'nyh komp'yuternyh setej (LAN) tipa Token-Ring ili Ethernet i eshche bolee bystryh setej na osnove opticheskogo kabelya, takih kak FDDI i HYPERchannel.

Set' na osnove TCP/IP nazyvayut internet (ne putat' s nazvaniem global'noj seti setej The Internet, nazvanie kotoroj pishetsya s zaglavnoj bukvy i kotoraya tozhe postroena na osnove protokolov TCP/IP).

Kazhdoe soedinenie individual'nogo komp'yutera s set'yu nazyvaetsya setevym interfejsom.

Setevoj interfejs, kotoryj podklyuchen k internet so svoim adresom TCP/IP, nazyvaetsya uzel (host).

Kazhdyj uzel imeet unikal'noe imya (dlya pol'zovatelej) i adres (dlya programmnogo obespecheniya), kotorye unikal'no identificiruyut ego dlya podsoedineniya po seti.

Komp'yuter, kotoryj imeet neskol'ko setevyh interfejsov, mozhet prinimat' dannye po odnomu interfejsu i peredavat' ih drugomu. |to pozvolyaet emu vypolnyat' funkcii marshrutizacii dannyh mezhdu setyami. Takoj komp'yuter nazyvaetsya marshrutizatorom.

Imena i adresaciya

Kazhdyj setevoj interfejs v seti TCP/IP imeet imya, prisvaivaemoe serverom im£n (DNS) ili opredelennoe v fajle /etc/hosts (sm.Nastrojka klientskoj chasti). Naprimer, sys3.

Kazhdaya sistema imeet odin ili bolee unikal'nyj TCP/IP adres (v zavisimosti ot kolichestva setevyh interfejsov). Setevye adresa prisvaivayutsya setevym administratorom i konfiguriruyutsya v setevyh interfejsah ne apparatno, a logicheski.

Format IP adresa IP-adres yavlyaetsya 32-h razryadnym binarnym (sostoyashchim iz 1 i 0) chislom, kotoroe soderzhit v sebe adres i seti i uzla.

CHtoby oblegchit' rabotu s IP-adresami ih, obychno, razdelyayut na chetyre gruppy po vosem' cifr (chetyre okteta):

Hotya IP-adresa v osnovnom predstavleny v vide desyatichnoj zapisi s tochechnymi razdelitelyami, vazhno znat' i pomnit' o binarnoj prirode IP-adresa, tak kak ego funkcional'nye vozmozhnosti opredelyayutsya imenno dvoichnymi kodami.

ž polya identifikatora seti (netid), yavlyayushchegosya logicheskim setevym adresom podseti, k kotoroj podklyuch£n dannyj setevoj interfejs;
ž polya identifikatora uzla (hostid), yavlyayushchegosya logicheskim adresom setevogo interfejsa v dannoj seti.

Vmeste, netid i hostid unikal'nym obrazom predostavlyayut setevomu interfejsu unikal'nyj IP-adres.

CHtoby setevye interfejsy nahodilis' v odnoj podseti neobhodimo chtoby oni imeli odin i tot zhe netid. Poetomu, v tom sluchae kogda setevye adaptery podklyucheny k odnomu i tomu zhe kabelyu, no ih setevye interfejsy imeyut razlichnye netid, schitaetsya, chto oni nahodyatsya v razlichnyh podsetyah i dlya peredachi informacii mezhdu nimi neobhodim marshrutizator.

Special'nye IP-adresa

Maska podseti

Dlya uproshcheniya i uskoreniya opredeleniya toj chasti IP-adresa, kotoraya yavlyaetsya netid, a takzhe dlya vydeleniya podsetej v diapazone adresov standartnyh klassov primenyayut maski podseti (subnet mask).

Maska podseti - eto binarnoe chislo, kotoroe opredelyaet, kakaya chast' IP-adresa yavlyaetsya netid, a kakaya hostid. Ispol'zovanie maski podseti imeet osobenno vazhnoe znachenie, esli vasha set' podklyuchena k Internet. Esli vasha set' ob®edinyaet neskol'ko udalennyh filialov vashu set' takzhe neobhodimo razbit' na podseti s organizaciej marshrutizacii mezhdu nimi, chtoby umen'shit' trafik po mezhfilial'nym kommunikaciyam, kotorye, obychno, ne takie skorostnye, kak lokal'naya set'.

Cifra 0 v maske podseti oznachaet, chto sootvetstvuyushchij razryad v IP-adrese yavlyaetsya hostid. Naprimer, chtoby razbit' set' klassa S na chetyre podseti neobhodimo primenit' masku podseti

Maska podseti pokazyvaet, chto hostid mogut nahodit'sya v diapazone 000001 do 111110 (ot 1 do 62) i pervye dva razryada chetvertogo okteta mogut imet' znacheniya ot 00 do 11. Sledovatel'no, nasha set' klassa S 194.93.173 (254 adresa), s pomoshch'yu maski podseti razbita na chetyre podseti s 62-mya adresami (248 adresov + 4 adresa poshlo na netid + 2 special'nyh adresa).

Marshrutizaciya

Kogda uzel obnaruzhivaet, chto neobhodimo poslat' paket v druguyu podset', on posylaet ego po adresu, kotoryj ukazyvaetsya pri konfigurirovanii, kak standartnyj shlyuz (default gateway) ili po adresu drugogo dostupnogo marshrutizatora, esli standartnyj shlyuz nedostupen. SHlyuz - eto staryj termin dlya marshrutizatora (router).

Marshrutizator poluchiv paket sravnivaet netid, soderzhashchijsya v adrese poluchatelya s izvestnymi emu (v marshrutizatore nahoditsya staticheskaya ili dinamicheskaya tablica marshrutov). V sluchae esli takoj netid emu neizvesten, on otpravlyaet paket svoemu standartnomu shlyuzu, kotoryj sootvetstvenno pytaetsya dalee opredelit' marshrut paketa.

Pri marshrutizacii IP-adresa otpravitelya i poluchatelya ne izmenyayutsya. Izmenyayutsya tol'ko sootvetstvuyushchie apparatnye adresa.

Nekotorye vozmozhnosti seti TCP/IP

ž Mail (elektronnaya pochta)
ž File Transfer (sredstva peredachi fajlov)
ž Remote Login (udalennoe podklyuchenie)
ž Remote Execution (udalennoe ispolnenie prilozhenij)
ž Remote Printing (pechat' na udalennyh printerah).

ž Network File System (NFS)
ž Network Information Services (NIS)
ž Network Computing System (NCS)
ž Distributed Computing Environment (DCE)
ž Xwindow i AIXwindows
ž Xstation Manager
ž AIX Netwiev/6000

Konfigurirovanie TCP/IP

Kazhdyj setevoj interfejs dolzhen imet' unikal'nyj adres (TCP/IP address), imya uzla (hostname) i pochti vsegda masku podseti (subnet mask).

Kazhdyj komp'yuter dolzhen imet' dostup k tablice imen dlya translyacii imen v adresa. Ona nahoditsya libo v fajle /etc/hosts, libo v Domain Name Server (DNS).

Dlya ispol'zovaniya DNS vy dolzhny znat' imya domena (Domain Name) i adres servera imen (Address of the Name Server).

Dlya obmena dannymi s drugimi setyami vy dolzhny znat' adres standartnogo shlyuza (address of the default gateway).

Obzor domennoj sluzhby imen DNS

Kak rabotaet DNS

V setyah TCP/IP komp'yutery dlya obshcheniya mezhdu soboj ispol'zuyut IP-adresa. Odnako to, chto udobno mashinam, neudobno lyudyam. Est' spornoe mnenie, chto sama chelovecheskaya natura protestuet protiv zapominaniya chisel tipa 192.168.1.34 (chto ne meshaet nam zapominat' telefonnye nomera s kodom goroda i strany, tipa 380-564-40-06-24). K tomu zhe IP-adresa sovsem ne informativny. Po IP-adresu nevozmozhno ponyat', chto eto: server, PK, marshrutizator ili setevoj printer. Priyatnej rabotat' s osmyslennymi imenami, takimi kak account-server.

Tem ne menee setevye ustrojstva obrashchayutsya drug k drugu, ispol'zuya IP-adres, a ne imena.

Reshaet etu problemu sistema imenovaniya setevyh ob®ektov, kotoraya otvechaet za preobrazovanie simvol'nyh imen v IP-adresa. Sistema imenovaniya vypolnyaet funkcii telefonnoj knigi, v kotoroj kazhdomu nomeru telefona postavlena v sootvetstvie zapis' o familii ili nazvanii firmy. Sisteme peredaetsya imya (naprimer archie.univie.ac.at), a ona vozvrashchaet IP-adres (140.78.3.8).

Sistemy imenovaniya setevyh ob®ektov delyatsya na "ploskie" i ierarhicheskie (domennye).

V "starodavnie vremena", kogda Internet eshche nazyvalas' ARPANET i Set' sostoyala lish' iz mnogoterminal'nyh komp'yuterov tipa mejnfrejmov (pri etom ih kolichestvo ostavalos' otnositel'no neveliko), byla realizovana sistema imenovaniya dlya odnourovnevogo (ploskogo) prostranstva imen. Ee takzhe nazyvayut "ploskoj" sistemoj imenovaniya. Kazhdyj komp'yuter imel fajl (obychno /etc/hosts) so spiskom IP-adresov hostov i ih simvol'nye imena. Pri poyavlenii v Internet novogo komp'yutera informaciya o nem zanosilas' v fajl hosts, zatem etot fajl rassylalsya na vse drugie mashiny.

Nedostatki takoj shemy nachali proyavlyat'sya dovol'no bystro: s perehodom ot bol'shih mashin k personal'nym i s rostom Internet. Trafik, svyazannyj s obnovleniem informacii pri dobavlenii komp'yuterov v Internet, grozil zabit' vse linii svyazi. Krome togo, kazhdoe imya v seti dolzhno byt' unikal'nym, a sdelat' eto stanovitsya vse trudnee i trudnee. Poetomu k seredine 80-h godov poyavilas' drugaya, bolee gibkaya sistema imenovaniya - sistema imen domenov (Domain Name System, DNS).

DNS realizuet ierarhicheskoe prostranstvo imen. Edinicej izmereniya yavlyaetsya domen (territoriya, oblast'). Ponyatie domena DNS ne nado putat' s domenom Windows NT ili domenom NIS. Oni ne imeyut drug k drugu nikakogo otnosheniya.

V DNS vsya set' predstavlyaetsya v vide edinogo ierarhicheskogo dereva. Na vershine raspolagaetsya kornevoj domen (oboznachaetsya simvolom "."). Nizhe nahodyatsya domeny pervogo urovnya. Poskol'ku Internet razvivalsya v pervuyu ochered' v SSHA i za schet amerikanskih nalogoplatel'shchikov, eto vyzvalo nekotoryj kren pri formirovanii domenov pervogo urovnya: Internet kak by okazalsya podelennym mezhdu SSHA i vsem ostal'nym mirom.

Naibolee izvestnye domeny pervogo urovnya: com - kommercheskie organizacii (glavnym obrazom v SSHA); edu - uchebnye zavedeniya SSHA; gov - pravitel'stvennye uchrezhdeniya SSHA; mil - voennye uchrezhdeniya SSHA; net - razlichnye setevye agentstva i Internet-provajdery; int - mezhdunarodnye organizacii; org - nekommercheskie uchrezhdeniya; kod strany - dvuhbukvennyj kod dlya oboznacheniya gosudarstva (ru - dlya Rossii, ua - dlya Ukrainy i t.p.). Nizhe domenov pervogo urovnya raspolagayutsya domeny vtorogo urovnya i tak dalee vplot' do hostov. Dlya domenov pervogo urovnya, oboznachayushchih gosudarstva, domenami vtorogo urovnya chasto byvayut goroda ili oblasti (naprimer, kiev - dlya Kieva ili dp -Dnepropetrovskaya oblast'), a domenami tret'ego urovnya - predpriyatiya i organizacii.

Lyuboj host ili domen v Internet odnoznachno identificiruetsya tak nazyvaemym polnym domennym imenem (Fully Qualified Domain Name, FQDN). Ego inogda eshche nazyvayut absolyutnym domennym adresom. Domeny v FQDN zapisyvayutsya sprava nalevo v poryadke podchineniya i razdelyayutsya tochkami. Kazhdaya otdel'naya sostavlyayushchaya FQDN nazyvaetsya metkoj (label). Dlina metki ne dolzhna prevyshat' 63 simvola, a polnaya dlina FQDN - 255 simvolov.

Dopustimymi simvolami yavlyayutsya bukvy anglijskogo yazyka, cifry i znak defisa "-" (znak defisa ne mozhet stoyat' v nachale ili konce metki). Registr bukv znacheniya ne imeet, t. e. company1.krcrme.dp.ua. i COMPANY1.KRCRME.DP.UA. oboznachayut odin i tot zhe domen.

Obratite vnimanie na konechnuyu tochku v polnom domennom imeni. Ona oboznachaet, vo-pervyh, kornevoj domen, i, vo-vtoryh, chto ispol'zuetsya absolyutnaya adresaciya.

Krome absolyutnoj primenyaetsya i otnositel'naya domennaya adresaciya. Kogda dva ustrojstva nahodyatsya v odnom i tom zhe domene, oni mogut obrashchat'sya drug k drugu po imeni, ne ukazyvaya polnogo domennogo puti. Tak, host2 obrashchaetsya k host1 dvumya sposobami: po polnomu domennomu imeni host1.company1.krcrme.dp.ua. po otnositel'nomu domennomu adresu host1

V polnom domennom imeni konechnuyu tochku mozhno ne stavit', poskol'ku obychno programmnoe obespechenie TCP/IP podrazumevaet, chto sostavnoe domennoe imya (t.e. kogda prisutstvuet bolee dvuh metok) oboznachaet FQDN. Takim obrazom, company1.krcrme.dp.ua. i company1.krcrme.dp.ua sut' odno i to zhe.

Domeny nahodyatsya v ierarhicheskom podchinenii drug drugu, prichem domeny yavlyayutsya uzlami dereva domenov, a hosty - list'yami. Ponyatie domena dostatochno emkoe i v to zhe vremya gibkoe. Ono ne ogranichivaetsya kakimi-to fizicheskimi granicami, naprimer granicami IP-seti ili segmenta Ethernet. Domenom DNS mozhet byt' i strana, i predpriyatie, i otdel banka. Odin domen mozhet vklyuchat' kak mnozhestvo setej, tak i tol'ko chast' odnoj seti ili dazhe podseti.

Kak uzhe otmechalos', osnovnoe naznachenie DNS sostoit v preobrazovanii imeni hosta v ego IP-adres. Na samom dele DNS yavlyaetsya sistemoj, ne zavisimoj ot protokola setevogo urovnya, t. e. ona mozhet byt' realizovana ne tol'ko v srede TCP/IP.

Odnako funkcii DNS etim ne ogranichivayutsya. DNS pozvolyaet poluchit' sleduyushchuyu informaciyu:

DNS predstavlyaet soboj raspredelennuyu bazu dannyh, razmeshchennuyu na mnozhestve komp'yuterov. Takie komp'yutery nazyvayut serverami imen (Name Server), ili prosto DNS-serverami. Kazhdyj server imen soderzhit lish' nebol'shuyu chast' informacii vsego dereva DNS (obychno informaciyu tol'ko po odnomu domenu), no znaet adresa DNS-serverov vyshestoyashchih i nizhestoyashchih domenov.

Programmnoe obespechenie, kotoroe obshchaetsya s serverami imen, nazyvayut klientom DNS (Resolver DNS). Klient DNS vypolnyaet rol' posrednika mezhdu setevymi prilozheniyami i serverami imen. Pri etom on, kak pravilo, skryt ot pol'zovatel'skih programm. Setevye prilozheniya ispol'zuyut klient DNS chashche vsego neyavno, cherez funkcii steka TCP/IP. Odnako prilozhenie nslookup pozvolyaet poluchit' lyubuyu informaciyu iz bazy DNS. Klient DNS vhodit v sostav programmnogo obespecheniya TCP/IP. No stek TCP/IP, po-mimo DNS, podderzhivaet i "ploskuyu" sistemu imenovaniya (cherez fajl hosts). |to pozvolyaet obespechit' rabotosposobnost' setevyh ustrojstv pri problemah s DNS (naprimer pri otsutstvii svyazi s serverom imen). Klient DNS mozhet funkcionirovat' kak na otdel'nom komp'yutere, tak i na servere imen.

Server imen na samom dele otvechaet ne za domen, a za tak nazyvaemuyu zonu upravleniya (Zone of Authority), v kotoruyu mogut vhodit' neskol'ko smezhnyh domenov. Bolee togo, server imen sposoben upravlyat' neskol'kimi, prichem ne obyazatel'no smezhnymi, zonami odnovremenno.

Server imen soderzhit polnuyu informaciyu po svoim zonam upravleniya i hranit adresa serverov zon vyshestoyashchih i nizhestoyashchih domenov. Klienty DNS i servery imen keshiruyut v operativnoj pamyati dannye, poluchennye ot drugih serverov imen.

Vremya, v techenie kotorogo informaciya hranitsya v keshe, opredelyaetsya istochnikom informacii i obychno sostavlyaet ot desyatkov minut do neskol'kih sutok.

Keshirovanie pozvolyaet umen'shit' trafik v seti, a takzhe snizit' nagruzku na servery imen.

Servery imen byvayut neskol'kih tipov. Pervichnyj server imen (Primary Name Server) hranit na svoih diskah glavnye fajly (master files), v kotoryh soderzhitsya vsya informaciya o zonah upravleniya dannogo servera. |ti fajly zagruzhayutsya v pamyat' servera imen pri ego zapuske.

Vtorichnyj server imen (Secondary Name Server) ispol'zuetsya kak dublikat pervichnogo servera, chto obespechivaet otkazoustojchivost' DNS. On zagruzhaet informaciyu s pervichnogo servera i zatem periodicheski ee obnovlyaet, posylaya pervichnomu serveru zaprosy.

Servery "tol'ko dlya keshirovaniya" (Cache-Only Server) zapisyvayut v kesh informaciyu, poluchennuyu ot drugih serverov imen. CHashche vsego oni ispol'zuyutsya v bol'shih setyah dlya razgruzki pervichnogo servera.

|to, odnako, eshche ne vse tipy serverov imen, no ostavshiesya (servery Forwarder i Slave Forwarder) imeyut lish' neznachitel'nye otlichiya v obrabotke informacii DNS.

Po pravilam Internet, dlya povysheniya otkazoustojchivosti DNS zonoj dolzhny upravlyat' kak minimum dva servera imen. Obychno dlya etogo ustanavlivayut odin pervichnyj i odin-dva vtorichnyh servera. Pri dobavlenii komp'yutera v set' ili izmenenii ego IP-adresa, fajly (master files) redaktiruyutsya tol'ko na pervichnom servere imen.

Obnovlenie soderzhimogo drugih serverov imen dannoj zony budet proishodit' po mere ustarevaniya soderzhimogo ih kesh-pamyati. |ti servery sami dolzhny posylat' zapros pervichnomu serveru na obnovlenie informacii po zone.

Serveram imen drugih zon peredaetsya tol'ko konkretnaya informaciya (a ne dannye po vsej zone) i tol'ko po ih zaprosam.

Takim putem udalos' rezko snizit' v Internet trafik, svyazannyj s preobrazovaniem imen v IP-adresa.

Naibolee rasprostranennym yavlyaetsya nerekursivnyj rezhim. Server imen poluchaet zapros ot klienta DNS, dopustim, na preobrazovanie domennogo imeni v IP-adres. Esli domennoe imya vhodit v zonu upravleniya servera, to server vozvrashchaet otvet klientu. Otvet mozhet byt' polozhitel'nym (t.e. IP-adres) ili otricatel'nym (k primeru takogo imeni net). Esli iskomaya informaciya ne otnositsya k zone upravleniya dannogo servera, no prisutstvuet v keshe servera, to server imen takzhe posylaet klientu otvet s ukazaniem adresa servera imen, kotoryj yavlyaetsya upravlyayushchim dlya etoj informacii. Esli zhe informaciya ne prisutstvuet v keshe, to klientu DNS otsylaetsya IP-adres servera imen, kotoryj blizhe k nuzhnomu domenu i kotoryj mozhet obladat' neobhodimoj informaciej. V etom sluchae klient DNS posylaet zapros po dannomu adresu sleduyushchemu serveru, rabotayushchemu analogichno opisannomu. Tak prodolzhaetsya do teh por, poka klient ne doberetsya do nuzhnogo servera imen, raspolagayushchego trebuemoj informaciej.

Takim obrazom, v nerekursivnom rezhime klient sam osushchestvlyaet vse zaprosy k serveram imen.

Pri rekursivnom rezhime raboty klient DNS posylaet zapros serveru imen, posle chego poslednij, pri otsutstvii nuzhnoj informacii, sam obrashchaetsya po cepochke k drugim serveram imen. Posle polucheniya informacii server imen otsylaet klientu rezul'tat. Blagodarya etomu klient DNS osvobozhdaetsya ot bol'shej chasti raboty po poisku informacii v DNS.

CHtoby rabotat' v rekursivnom rezhime, server i klient dolzhny byt' nastroeny sootvetstvuyushchim obrazom. Odnako v bol'shinstve sluchaev pol'zovatel' ne imeet vozmozhnosti menyat' nastrojku rezhima raboty klienta, poskol'ku ona "zashita" v programmnoe obespechenie TCP/IP.

Rekursivnyj rezhim primenyaetsya rezhe nerekursivnogo, tak kak nagruzka na servery imen v etom sluchae znachitel'no vozrastaet. Da i dlya klienta takoj rezhim ne optimalen, ibo v sluchae zaderzhki otveta emu trudno opredelit', chto proizoshlo: sboj na linii ili prosto oprashivaetsya ochen' dlinnaya cepochka serverov imen.

Servisy DNS v AIX

Vse servisy domennogo imenovaniya polnost'yu realizovany v AIX. Podderzhivayutsya sleduyushchie tipy serverov imen:

1. Pervichnyj server imen;
2. Vtorichnyj server imen;
3. Server "tol'ko dlya keshirovaniya";
4. Server Forwarder;
5. Udalennyj server.

Klient DNS v AIX, gethostbyaddr() i gethostbyname(), pytaetsya opredelit' imena is-pol'zuya sleduyushchuyu proceduru:

Esli fajl /etc/resolv.conf ne sushchestvuet, klient DNS schitaet, chto v seti ispol'zuetsya ploskaya sistema imenovaniya. Togda on ispol'zuet dlya opredeleniya imen fajl /etc/hosts.

V obratnom sluchae, klient DNS schitaet lokal'nuyu set' domennoj set'yu i pytaetsya ispol'zovat' dlya opredeleniya imeni nizhesleduyushchie istochniki v pokazannom nizhe poryadke:

Funkcii servera imen v AIX vypolnyaet demon named. On kontroliruetsya posredstvom AIX SRC (system resource control). |tot demon mozhet startovat' avtomaticheski pri kazhdom perezapuske sistemy ispol'zuya komandu smit stnamed ili esli budet otredaktirovan fajl rc.tcpip ubrav kommentarij v sroke #start /etc/named "$src_running" Demon named startuet takzhe pri komande startsrc -s named.

Host AIX konfiguriruetsya dlya ispol'zovaniya servera imen ispol'zuya sleduyushchie shagi:

1. Sozdajte fajl /etc/resolv.conf vklyuchiv v nego imya domena i adresa do 16-ti serverov imen. Naprimer:

Poryadok zapisej serverov imen imeet znachenie dlya opredeleniya poryadka vyzova serverov: snachala samyj pervyj server imen iz spiska, dalee vtoroj i t. d.

Obychno pervym ukazyvayut blizhajshij vtorichnyj server imen dannogo domena, a zatem - pervichnyj. |to pozvolyaet snizit' nagruzku na pervichnyj server.

Esli ukazannyj pervym v spiske serverov imen ne rabotaet, to projdet zametnyj promezhutok vremeni (do neskol'kih sekund), prezhde chem klient DNS obratitsya ko vtoromu serveru.

2. Sozdajte fajl /etc/named.boot dlya opredeleniya imeni i tipa lokal'nogo demona named.

3. Sozdajte fajly /etc/named.* dlya opredeleniya trebuemyh dlya demona dannyh. Format etih fajlov dolzhen sootvetstvovat' formata zapisej standartnyh resursov (Standard Resource Record Format).

Demon named v AIX takzhe podderzhivaet zapisi resursov dlya pochty tipa MB (mailbox domain name), MR (mail rename domain name), MG (mail group member), MINFO (mailbox or mail list information) i MX (mail exchange).

Prilozheniya pol'zovatelya AIX/6000 vklyuchaet v sebya programmy host i nslookup. V AIX/6000 takzhe mozhno vospol'zovat'sya programmoj dig dlya zaprosov k serveram imen.

Nastrojka klientskoj chasti

Kak uzhe bylo otmecheno, programmnoe obespechenie TCP/IP odnovremenno podderzhivaet i klienta DNS, i fajl hosts. Soderzhimoe fajla /etc/resolv.conf my rassmotreli uzhe vyshe. Fajl hosts otvechaet za "ploskuyu" sistemu imenovaniya. Mestonahozhdenie etogo fajla zavisit ot operacionnoj sistemy (AIX - /etc/hosts, DOS i Windows - ETC\HOSTS, NetWare - SYS:\ETC\HOSTS).

Format ego ochen' prost: on sostoit iz strok, kazhdaya iz kotoryh opredelyaet odin host: <IP-adres> <imya> [<psevdonim> ... <psevdonim>]

Nastrojka servera imen

Sredi administratorov setej bytuet mnenie, chto DNS sleduet ispol'zovat' tol'ko pri nalichii podklyucheniya k Internet. No DNS pozvolyaet uprostit' administrirovanie lokal'nyh setej TCP/IP nezavisimo ot togo, imeyut oni vyhod v Internet ili net. Pri otsutstvii DNS dobavlenie komp'yutera v lokal'nuyu set' privodit k tomu, chto v fajl hosts kazhdogo hosta neobhodimo vvesti informaciyu o novom komp'yutere. |to netrudno, esli mashin v seti nemnogo. A esli ih desyatki ili sotni? Pri ispol'zovanii DNS vsya procedura svoditsya k dobavleniyu odnoj-dvuh strok v fajly bazy DNS na pervichnom servere imen. Posle etogo hosty seti budut raspoznavat' novyj komp'yuter po imeni avtomaticheski. Esli po kakim-libo prichinam neobhodimo izmenit' IP-adres ili imya hosta, to s DNS sdelat' eto dovol'no prosto. Krome togo, ispol'zovanie DNS znachitel'no oblegchaet proceduru podklyucheniya korporativnoj seti k Internet.

Standarty DNS

Nastrojka bazy DNS zadaetsya v special'nyh tekstovyh fajlah na serverah imen. Formaty zapisej v etih fajlah reglamentiruyutsya standartami, izlozhennymi v dokumentah RFC (Request For Comments). Oni razrabatyvayutsya "zakonodatel'nym" organom Internet - IETF (Internet Engineering Task Force). Odnako sam nabor fajlov i poryadok ih zagruzki na serverah imen RFC ne reglamentiruetsya. Dlya etogo sushchestvuet standart de facto pod nazvaniem BIND (Berkley Internet Name Domain). Dannaya specifikaciya byla razrabotana v universitete Berkli i vpervye realizovana v BSD Unix. Podavlyayushchee bol'shinstvo serverov imen podderzhivayut specifikaciyu BIND.

Mnogie versii programmnogo obespecheniya serverov imen imeyut administrativnye utility, uproshchayushchie nastrojku i upravlenie bazami DNS. Tem ne menee administratory setej, kak pravilo, predpochitayut ne pol'zovat'sya imi, a rabotat' napryamuyu s fajlami bazy DNS. Hotya eto neskol'ko uslozhnyaet administrirovanie, no v to zhe vremya daet maksimal'nuyu gibkost' i polnyj kontrol' pri upravlenii DNS.

V obshchem sluchae poryadok zapuska serverov imen sleduyushchij: snachala sozdayutsya fajly bazy DNS (napryamuyu ili cherez administrativnye utility), a zatem zapuskaetsya servis DNS (v AIX - demon named).

Format zapisej v fajlah bazy DNS

V fajlah bazy DNS serverov imen ispol'zuetsya tak nazyvaemyj format zapisi standartnyh resursov (Standard Resource Record Format). Vyglyadit etot format sleduyushchim obrazom:

Kazhdaya sostavlyayushchaya zdes' yavlyaetsya polem zapisi i otdelena ot drugih probelami ili znakami tabulyacii.

<Name> - imya opisyvaemogo resursa. Ono zavisit ot polya <Type> i mozhet oboznachat' domen, zonu upravleniya, imya hosta i t. d. Esli pole <Name> pustoe, to v kachestve nego ispol'zuetsya poslednee zadannoe pole <Name> (v predydushchih zapisyah).

<TTL> - vremya zhizni (v sekundah). Opredelyaet, kak dolgo klient DNS budet hranit' zapis' v kesh-pamyati. Esli dannoe pole pustoe, to v kachestve <TTL> beretsya znachenie polya <Minimum>, zadavaemoe v zapisi SOA (sm. nizhe).

<Class> opisanie klassa ispol'zuemyh protokolov. Dlya Internet (TCP/IP) znachenie etogo polya - IN. Esli pole pustoe, to v kachestve nego ispol'zuetsya poslednij zadannyj klass.

<Type> - pole, zadayushchee tip resursa zapisi. Vozmozhnye znacheniya etogo polya privedeny v razdele "Tipy resursov".

<Data> - pole, ustanavlivayushchee dannye tekushchego resursa. Ego soderzhanie zavisit ot polya <Type>. Pole <Data> mozhet byt' sostavnym, t. e. sostoyat' iz neskol'kih polej.

Sleduyushchie simvoly v zapisyah imeyut special'noe znachenie (nizhe perechisleny nekotorye iz etih simvolov).

@ Otdel'no stoyashchij simvol "@" v pole <Name> oboznachaet tekushchij ishodnyj domen.

( ) Skobki ispol'zuyutsya dlya razmeshcheniya polya <Data> na neskol'kih strokah (kogda pole <Data> zanimaet neskol'ko strok).

; Simvol kommentariya. Ot etogo simvola i do konca stroki informaciya ignoriruetsya.

Primechanie. Sleduet znat', chto v zapisyah resursov domennoe imya, ne zakanchivayushcheesya tochkoj, schitaetsya otnositel'nym. Pri obrabotke ono pribavlyaetsya k tekushchemu domenu. Poetomu, kogda zadaetsya polnoe imya, ego neobhodimo zakanchivat' tochkoj.

Tipy resursov

Tip resursa zadaetsya v pole <Type> zapisi resursa. Tipov resursov mnozhestvo. Polnyj ih spisok mozhno uznat' v sootvetstvuyushchih RFC (sm. "Dopolnitel'nuyu informaciyu"). Nizhe privodyatsya naibolee ispol'zuemye tipy.

ž SOA Nachalo polnomochij (upravleniya) servera imen.
ž NS Server imen.
ž A Adres hosta.
ž CNAME Kanonicheskoe imya. Ispol'zuetsya dlya zadaniya psevdonimov.
ž HINFO Informaciya o hoste.
ž MX Pochtovyj shlyuz.
ž PTR Ukazatel'.

SOA (nachalo polnomochij)

Zapis' s resursom tipa SOA oboznachaet nachalo zony upravleniya servera imen. Zona upravleniya dejstvuet do sleduyushchej zapisi SOA.

Zdes' pole <Data> yavlyaetsya sostavnym i vklyuchaet polya <Origin>, <Person>, <Serial> i t. d.

<Person> Pochtovyj yashchik lica, otvetstvennogo za zonu. Dannoe pole formiruetsya analogichno elektronnomu adresu, no vmesto simvola "@" stavitsya tochka (t. e. alex@komtek.dp.ua zamenyaetsya na alex.komtek.dp.ua).

<Serial> Nomer versii zony. Kogda proizvodyatsya izmeneniya v zone, to eto chislo neobhodimo uvelichit'. Imenno po dannomu polyu orientiruetsya vtorichnyj server imen, opredelyaya neobhodimost' obnovleniya informacii po zone.

<Refresh> Vremya v sekundah, po proshestvii kotorogo vtorichnyj server proveryaet neobhodimost' obnovleniya informacii po zone.

<Retry> Vremya v sekundah dlya povtornogo obrashcheniya vtorichnogo servera zony, esli ranee popytka obrashcheniya k pervichnomu serveru byla neudachnoj.

<Expire> Predel vremeni v sekundah. Esli vtorichnyj server ne mozhet poluchit' dostup k pervichnomu v techenie etogo vremeni, to on budet schitat' informaciyu po zone ustarevshej.

<Minimum> Znachenie TTL v zapisyah resursov dannoj zony po umolchaniyu, t. e. kogda pole <TTL> pustoe.

NS (server imen)

Zapis' s resursom tipa NS oboznachaet imya hosta, yavlyayushchegosya pervichnym serverom imen dlya domena.

<Domain> oboznachaet domen, a <Server> - imya servera imen. V primere pokazyvaetsya, chto servery srv1.komtek.dp.ua i srv2.komtek.dp.ua predstavlyayut soboj servery imen domena komtek.dp.ua.

A (adres)

Zapis' s resursom tipa A sluzhit dlya zadaniya setevogo adresa hosta. Zdes' <Host> - domennoe imya hosta, a <Address>- ego IP-adres.

CNAME (kanonicheskoe imya)

Zapis' s resursom tipa CNAME primenyaetsya dlya ukazaniya psevdonima hosta. <Nickname> oboznachaet psevdonim, a <Host> - oficial'noe (kanonicheskoe) imya hosta.

HINFO (informaciya o hoste)

Zapis' s resursom tipa HINFO sluzhit dlya hraneniya informacii o hoste, v chastnosti ob apparatnoj platforme i operacionnoj sisteme komp'yutera.

Pole <Host> oboznachaet domennoe imya hosta, <Hardware> - apparatnuyu platformu, <Software> - OS hosta. Znacheniya polej <Hardware> i <Software> standartizirovany, ih sleduet brat' iz RFC 1700.

MX (pochtovyj shlyuz)

Tak kak ne na vseh hostah zapushchen server e-mail, to dlya otdel'nyh hostov ili vsego domena zapis' s resursom tipa MX pozvolyaet opredelit' pochtovyj shlyuz - komp'yuter, kuda budet napravlyat'sya elektronnaya pochta, prednaznachennaya dlya etih hostov. Pole <Name> oboznachaet domen ili imya hosta, dlya kotorogo ustanavlivaetsya pochtovyj shlyuz. <Host> - imya hosta pochtovogo shlyuza. <Reference> zadaet prioritet dostavki, pri etom nol' oznachaet samyj vysokij prioritet.

V primere pokazano, chto esli pochta prednaznachena dlya domena komtek.dp.ua, to ona dostavlyaetsya na mashinu unix1.komtek.dp.ua. Esli zhe pochta prednaznachena dlya lyubogo komp'yutera domena, imya kotorogo okanchivaetsya na -dos, to ona napravlyaetsya na unix2.komtek.dp.ua.

Esli administrator opredelyaet neskol'ko zapisej MX, to dlya ukazaniya poryadka oprosa pochtovyh shlyuzov ispol'zuetsya chislo (v primere - 10) pervym oprashivaetsya shlyuz s men'shim chislom.

PTR (ukazatel')

Prezhde chem rassmatrivat' zapisi s resursom tipa PTR, sleduet ostanovit'sya na poiske domennogo imeni hosta po ego IP-adresu (tak nazyvaemoe obratnoe preobrazovanie).

Struktura imen v domennoj sisteme postroena tak, chto, prodvigayas' vdol' ierarhicheskogo dereva DNS, za schet posledovatel'nogo obrashcheniya k serveram imen IP-adres hosta mozhno najti po ego imeni (pryamoe preobrazovanie). A vot domennoe imya hosta po ego IP-adresu v takoj sisteme najti dovol'no trudno.

Dlya togo chtoby oblegchit' etu zadachu, v predelah obshchej domennoj struktury byl sozdan vspomogatel'nyj domen. On imeet special'noe nazvanie IN-ADDR.ARPA. Vnutri etogo domena sushchestvuyut poddomeny dlya kazhdoj IP-seti. Imena etih poddomenov osnovany na setevyh adresah, prichem bajty (oktety) IP-adresov predstavleny v obratnom poryadke.

Naprimer, set' cso.uiuc.edu imeet setevoj adres 128.174 (vernee, 128.174.0.0, eto IP-set' klassa B). Vnutri etoj seti imeetsya host vmd.cso.uiuc.edu s IP-adresom 128.174.5.98. Togda dlya vsej seti vspomogatel'nyj domen budet 174.128.in-addr.arpa. Imya hosta v etom domene budet 98.5.174.128.in-addr.arpa.

Resursy s zapis'yu tipa PTR sluzhat dlya otobrazheniya etih special'nyh domennyh imen v obychnye. Pole <Special-name> oboznachaet special'noe domennoe imya (v domene IN-ADDR.ARPA), a pole <Name> - oficial'noe domennoe imya hosta.

Vspomogatel'nyj domen IN-ADDR.ARPA ispol'zuetsya takzhe dlya ukazaniya shlyuza (marshrutizatora) dlya setej. SHlyuz predstavlyaet soboj host, soedinyayushchij neskol'ko IP-setej. Dlya nego sushchestvuyut obychnye zapisi PTR hosta, no, krome togo, imeyutsya special'nye zapisi PTR, predstavlyayushchie IP-seti celikom. |ti zapisi vklyuchayut tol'ko pervye 1, 2 ili 3 bajta (okteta) IP-adresa seti v zavisimosti ot klassa IP-seti (A, B ili C).

Dopustim, imeetsya shlyuz gw.komtek.dp.ua, ob®edinyayushchij seti klassa A, B i C i imeyushchij sootvetstvuyushchie IP-adresa: 12.2.0.7, 129.14.1.3 i 194.140.13.2. Nizhe predstavleny zapisi A i PTR dlya dannogo shlyuza.

Specifikaciya BIND

Kak uzhe otmechalos', standartom de facto v opisanii sostava fajlov DNS i poryadka ih zagruzki na servere imen yavlyaetsya specifikaciya BIND. Ona podderzhivaetsya vo vseh Unix-sistemah, v NetWare (programmnye produkty Novell NFS Services, FTP Services, NetWare/IP) i ryade drugih sistem.

Soglasno dannoj specifikacii sushchestvuet fajl zagruzki bazy DNS. V Unix-sistemah obychno eto fajl /etc/named.boot, v NetWare - SYS:ETC\NAMED.CFG, kotoryj zagru-zhaetsya pri zapuske servisa DNS na servere imen.

Osnovnoe naznachenie fajla zagruzki - ukazyvat', gde raspolozheny fajly bazy DNS, a takzhe adresa serverov imen. Pri lyubom izmenenii kak fajla zagruzki, tak i fajlov bazy DNS servis DNS neobhodimo perezapuskat'.

Fajl zagruzki bazy DNS yavlyaetsya tekstovym i sostoit iz otdel'nyh zapisej. Naibolee chasto ispol'zuyutsya sleduyushchie zapisi:

1. directory <Path> Ustanavlivaet katalog hraneniya fajlov bazy DNS, esli ne ukazany absolyutnye puti k fajlam. Primer: directory /etc

2. domain <Domain> Opredelyaet domen po umolchaniyu dlya dannogo servera imen. Primer: domain komtek.dp.ua

3. primary <Domain> <FileName> Pokazyvaet, chto server imen yavlyaetsya pervichnym dlya domena <Domain> i chto baza domena hranitsya v fajle <FileName>. Primer: primary komtek.dp.ua /usr/named.data

4. secondary <Domain> <IP-1> [<IP-2>...] <FileName> Ukazyvaet, chto dannyj server imen yavlyaetsya vtorichnym dlya domena <Domain>. Pervichnye servery raspolozheny po IP-adresam <IP-1>, <IP-2> i t. d. Dannyj vtorichnyj server zaprashivaet po poryadku pervichnye servery i kopiruet poluchennuyu s pervogo otvetivshego pervichnogo servera informaciyu v fajl <FileName>. Primer: secondary komtek.dp.ua 192.168.1.3 named.bak

5. cache <Domain> <FileName> Ukazyvaet, chto dannyj server yavlyaetsya kesh-serverom imen dlya domena <Domain>. Parametry kesh-servera (prezhde vsego adresa i imena serverov imen kornevogo domena) schityvayutsya iz fajla <FileName>. Primer: cache . named.ca

6. Stroka, nachinayushchayasya s simvola ";", schitaetsya kommentariem. Kstati, dlya oboznacheniya polnogo domennogo imeni v fajle zagruzki stavit' tochku v konce imeni ne obyazatel'no: zdes' vse imena schitayutsya polnymi.

Primer realizacii DNS v lokal'noj seti

Podvodya itogi, rassmotrim primer nastrojki DNS na serverah imen tipichnoj lokal'noj seti TCP/IP. V primere prinyato, chto lokal'naya set' podklyuchena k Internet. V to zhe vremya pokazyvayutsya nastrojki, kogda lokal'naya set' ne imeet vyhoda v Internet. IP-adresa setej i hostov, a takzhe domennye imena vymyshlennye i privedeny lish' dlya prostoty ponimaniya.

V real'noj zhizni, esli set' budet podklyuchat'sya k Internet, neobhodimo poluchit' oficial'nye IP-adresa setej i zaregistrirovannyj domen. Ih vydachej zanimaetsya specializirovannaya organizaciya v ramkah Internet pod nazvaniem InterNIC, pri etom registraciya domenov proishodit nezavisimo ot vydachi IP-adresov. Odnako v Rossii i Ukraine IP-adresa i domen mozhno poluchit' s pomoshch'yu svoego Internet-provajdera. Domennoe imya mozhno zaregistrirovat' cherez Internet-provajdera.

Esli lokal'naya set' ne imeet vyhoda v Internet, to IP-adresa i domennye imena mozhno vybrat' po svoemu usmotreniyu. Esli v dal'nejshem vozniknet potrebnost' podklyucheniya k Internet, to perestroit' DNS ne sostavit truda.

Rassmatrivaemaya lokal'naya set' sostoit iz dvuh IP-setej klassa C: 194.170.12.0 i 194.170.13.0. Dopustim, eti seti obrazuyut odin domen komtek.dp.ua.

IP-seti ob®edinyayut shlyuz (marshrutizator) gw s adresami: 194.170.12.1 i 194.170.13.4. Podklyuchenie k Internet takzhe proishodit cherez dannyj shlyuz.

V domene imeetsya pervichnyj server imen srv1 (194.170.12.2) i vtorichnyj server imen srv2 (194.170.13.3), a takzhe ryad hostov: host1, host2, host3.

Host mail (194.170.13.2) yavlyaetsya pochtovym shlyuzom dlya vsego domena, k tomu zhe u nego est' psevdonim host4.

Nizhe predstavleny sostav i soderzhimoe bazy DNS dlya pervichnogo servera imen srv1.komtek.dp.ua i dlya vtorichnogo servera srv2.komtek.dp.ua.

Kak dlya pervichnogo, tak i dlya vtorichnogo servera imen, v sluchae esli lokal'naya set' ne imeet vyhoda v Internet, sleduet ubrat' stroku cache v fajle /etc/named.boot i udalit' fajl /etc/named.ca.

Ob imenah i adresah serverov imen kornevogo domena, perechislennyh v fajle /etc/named.ca, neobhodimo spravit'sya u Internet-provajdera. Krome togo, Internet-provajder dolzhen vnesti dannye o serverah imen srv1.komtek.dp.ua i srv2.komtek.dp.ua v svoyu bazu DNS, chtoby obespechit' dostup iz Internet k mashinam domena komtek.dp.ua.

Vspomogatel'nyj domen 0.0.127.in-addr.arpa, a takzhe host localhost (127.0.0.1) v kazhdoj iz zon neobhodimy dlya sozdaniya lokal'noj "petli" TCP/IP.

Obratite vnimanie, chto poryadok zapisej v fajlah bazy DNS v obshchem sluchae znacheniya ne imeet, za isklyucheniem togo, chto zapis' SOA dolzhna stoyat' pervoj v zone upravleniya.

Kontrol' za sistemoj adresacii

Upravlenie adresaciej i serverom imen sistem po protokolu IP dostatochno slozhno i chasto privodit k oshibkam. Dvojnye identifikatory i oshibki konfiguracii privodyat k prostoyam i dorogostoyashchej diagnosticheskoj rabote. Administrativnye sistemy postroennye na ruchnom konfigurirovanii ochen' trudoemki. Poetomu avtor poschital neobhodimym udelit' etoj probleme osoboe vnimanie.

Postanovka zadachi

Iz-za vzryvnogo rosta interesa k podklyucheniyu k Internet, pered mnogimi administratorami postavlena zadacha upravleniya IP adresami. Bez avtomaticheskoj sistemy dlya ih ustanovki, proverki, i ispravleniya na urovne predpriyatiya reshit' etu zadachu, mozhno skazat', s bol'shoj dolej uverennosti, nevozmozhno. Esli by seti byli statichnymi, upravlenie imi ne bylo by problemoj. No vot chto my vidim v real'nosti - proishodyat izmeneniya modeli biznesa, otdely rasshiryayutsya, rabochie gruppy peremeshchayutsya, rabotniki uvol'nyayutsya i prinimayutsya na rabotu i t.d. i t.p.

Po etim prichinam, upravlenie adresami IP i serverom imen (DNS) mozhet stat' ochen' trudo£mkim dlya administratorov. Ranee uslozhnyalo etu problemu i tot fakt, chto ne imelos' kakih-libo avtomatizirovannyh instrumental'nyh sredstv dlya izbezhaniya dublirovaniya IP adresov i sinhronizacii adresov IP s serverom imen. Poetomu dlya udovletvoreniya etoj potrebnosti v 4-j versii AIX vstroena podderzhka dinamicheskogo protokola konfiguracii uzlov (DHCP), i dinamicheskogo servera imen (DDNS).

DHCP Kratkij obzor

Pri tradicionnom obsluzhivanii setevoj sredy upravlyaemoj vruchnuyu, vsyakij raz, kogda pol'zovatel' peremeshchaetsya i povtorno soedinyaet svoyu sistemu po protokolu TCP/IP, administrator seti dolzhen naznachit' dlya etogo pol'zovatelya novyj adres IP, zadannyj po umolchaniyu gateway, server imen, i drugie trebuemye parametry. Zatem pol'zovatel' dolzhen vruchnuyu vvesti eti parametry v svoj fajl konfiguracii TCP/IP i perezapustit' stek protokola. |tot ruchnoj process - i on chashche vsego privodit k oshibkam i fakticheski, oshibki administratora ili pol'zovatelya v etom processe, yavlyayutsya istochnikom bolee 50 procentov oshibok konfiguracii TCP/IP.

DHCP delaet upravlenie TCP/IP setyami namnogo proshche i namnogo bolee tochnym za schet togo, chto eta sistema funkcioniruet avtomaticheski, bez ruchnogo vmeshatel'stva administratora. V DHCP, diapazon prisvaivaemyh adresov IP soderzhitsya na DHCP servere. DHCP avtomaticheski naznachaet adresa IP iz etogo diapazona individual'nym uzlam. |ta sistema takzhe obespechivaet uzly parametrami konfiguracii, takimi, kak gateway po umolchaniyu, adres servera imen, parametry X-window i drugie, opredelyaemye pol'zovatelem znacheniya.

Kak rabotaet model' DHCP

Reshenie DHCP osnovano na dvuhurovnevoj modeli klient/server. Uzel seti dolzhen byt' dhcp-dostupnym. Process mozhno opisat' sleduyushchim obrazom:

1. Klient vvodit set' IP v sostoyanii inicializacii i peredaet po shirokoveshchatel'noe soobshchenie po vsem dostupnym setyam s zaprosom na poluchenie IP adresa i opisaniem trebovanij k soedineniyu (DHCPDISCOVER).

2. Agent retranslyacii BOOTP obnaruzhivaet eto soobshchenie i peredaet ego vsem dostupnym serveram DHCP dlya obrabotki.

3. Kazhdyj server DHCP otvechaet na zapros klienta s soobshcheniem predlozheniya (DHCPOFFER), kotoroe sostoit iz dostupnogo adresa IP i informacii konfiguracii na osnove predopredelennyh administratorom trebovanij k soedineniyu dlya etogo uzla.

4. Klient poluchaet vse otvety ot serverov i opredelyaet nailuchshee predlozhenie ispol'zuya vstroennyj algoritm.

5. Zatem klient otpravlyaet vybrannomu serveru zapros na poluchenie adresa i informacii konfiguracii (DHCPREQUEST).

6. V zaklyuchenie, vybrannyj server DHCP posylaet v set' soobshchenie o podtverzhdenii polucheniya obsluzhivaniya (DHCPACK). Posle etogo vse drugie servera, kotorye ne byli vybrany, osvobozhdayut adresa IP, kotorye oni predlozhili klientu i vozvrashchayutsya v rezhim oprosa seti, ozhidaya sleduyushchij paket DHCPDISCOVER.

7. Posle togo, kak server DHCP poluchaet podtverzhdenie ot klienta DHCP, server avtomaticheski modificiruet server imen DNS v sootvetstvii s etim adresom IP.

8. Tak kak adres IP, naznachennyj klientu vydan tol'ko vremenno (arenduetsya) on dolzhen byt' periodicheski vozobnovlyat'sya, klient startuet tajmer i ustanavlivaet ego na polovinu prodolzhitel'nosti arendnogo dogovora.

9. Kogda vremya tajmera istekaet, klient posylaet DHCPREQUEST paket serveru, zaprashivaya obnovlenie "arendnogo dogovora".

10. Esli klient ne poluchaet nikakogo otveta ot servera, to on zhdet do istecheniya treh chetvertej prodolzhitel'nosti "arendnogo dogovora" i zatem peredaet DHCPREQUEST paket ko vsej seti, chtoby zaprosit' obsluzhivanie u novogo servera. |tot process garantiruet, chto servis DHCP prodolzhaetsya bez preryvaniya.

Prodolzhitel'nost' vremeni "arendnogo dogovora" ustanavlivaetsya administratorom, kogda on konfiguriruet server DHCP. Vsya klientura DHCP vnutri seti ili podseti imeet odno i to zhe vremya "arendnogo dogovora"; odnako, pol'zovateli, v sluchae neobhodimosti, mogut otmenyat' zadannyj po umolchaniyu promezhutok "arendnogo dogovora".

DHCP - protokol prikladnogo urovnya osnovannyj na BOOTP, kotoryj vypolnyaetsya pri pomoshchi protokola UDP. Esli razmer seti trebuet obsluzhivaniya DHCP vo mnogih svyazannyh setyah mezhsetevoj marshrutizator dolzhen podderzhivat' vozmozhnost' peredachi soobshchenij agenta retranslyacii BOOTP. Kak ukazano vyshe, etot agent retran-lyacii otvetstvenen za peredachu soobshcheniya BOOTP mezhdu dvumya IP setyami. Prohozhdenie takogo soobshcheniya trebuetsya v sluchae, esli DHCP klient i server nahodyatsya v raznyh setyah.

Servis DHCP v krupnyh, svyazannyh mezhdu soboj, setyah (s obshchim chislom uzlov bolee 5000) mozhet vyzyvat' massivnye shtormy shirokoveshchatel'nyh soobshchenij. V etom sluchae rekomenduetsya ustanovit' bol'shee kolichestvo DHCP serverov v raznyh setyah.

DHCP v AIX V4

ž Demon klienta dhcpcd
ž Demon servera dhcpsd
ž Demon agenta retranslyacii dhcprd

Tekushchaya realizaciya DHCP dlya RS/6000 podderzhivaet takie LAN-osnovannye protokoly, kak Ethernet, Token-Ring i FDDI. |ta realizaciya kak klienta, tak i servera DHCP sootvetstvuet vsem dostupnym RFC i takzhe byla proverena na sovmestimost' s drugimi klientami i serverami DHCP.

Tablica nizhe pokazyvaet perechen' produktov, sposobnyh rabotat' s realizaciej DHCP dlya AIX.

Kazhdaya mashina RS/6000 mozhet vypolnyat' odnu iz treh rolej: rol' servera, rol' klienta ili rol' agenta peredachi soobshchenij BOOTP.

Konfigurirovanie servera DHCP

Server DHCP generiruet i predlagaet adresa IP, osnovannye na nabore predopredelennyh atributov ili sred. Pol'zovateli mogut sozdavat' eti oblasti opredeleniya, redaktiruya ASCII fajl ili ispol'zuya graficheskij interfejs pol'zovatelya (GUI).

Process konfigurirovaniya servera DHCP sostoit iz opredeleniya treh glavnyh oblastej: global'nye resursy dlya vseh setej, individual'nye resursy dlya kazhdoj seti i resursy dlya specificheskih klientov ili naborov klientov.

Vnutri servera DHCP, predstavlenie informacii klienta ispol'zuya klyuchi. S etimi klyuchami server DHCP mozhet naznachat' IP adresa klientu.

Pervyj klyuch - pozicionirovanie pol'zovatelya v seti. |ta poziciya pomogaet opredelyat' iz kakogo diapazona dostupnyh adresov predlagat' adres dlya klienta. Krome togo, klient mozhet byt' vklyuchen v nekij nabor uzlov, oboznachennyj kak klass, imeyushchij odinakovye osobennosti. |ta specifikaciya klassa daet vozmozhnost' serveru predostavlyat' klientam dopolnitel'nye vozmozhnosti i uchityvat' ih osobennosti.

Vtoroj klyuch - identifikator klienta. Identifikatorom klienta mozhet byt' imya uzla TCP/IP ili MAC adres. Server mozhet ispol'zovat' identifikator klienta, chtoby obespechit' bolee specificheskie vozmozhnosti.

Global'nye resursy ispol'zuyutsya, chtoby obespechit' polnuyu neprotivorechivost' i davat' kazhdomu klientu bazovye funkcii. Klient poluchaet global'nye resursy tol'ko togda, kogda bolee specificheskie vozmozhnosti ne mogut byt' emu dany. Takie vozmozhnosti vklyuchayut (kak minimum) setevye funkcii, zatem vozmozhnosti klassa, zatem specificheskie vozmozhnosti klienta.

Takim obrazom, ierarhiya dlya naznacheniya vozmozhnostej resursa klienta vyglyadit sleduyushchim obrazom:

Imeyutsya dva drugih menee vazhnyh klyucha dlya razmeshcheniya klassa i klassa proizvoditelya. Vmeste eti chetyre klyucha identificiruyut logicheskuyu gruppirovku, dlya kotoroj IP uslugi opredeleny i obespechivayutsya.

Kogda klient daet informaciyu klassa na server, server mozhet bystrej vozvratit' zadannye po umolchaniyu uslugi dlya etogo klassa. Naprimer, klass ucheta mozhet predstavlyat' pol'zovatelej v otdele ucheta, kotorye nuzhdayutsya v dostupe k specificheskomu vysokokachestvennomu printeru.

Scenarij konfiguracii servera

V nizhesleduyushchem DHCP scenarii konfiguracii servera firma "H" imeet shest' IP setej i imeet naznachennye Centrom Informacii Seti Internet (InterNIC) seti diapazon adresov IP odin klassa C i odin klassa B.

Obshchie pol'zovateli firmy "H" sgruppirovany kak ili dinamicheskie ili staticheskie.

Set' klassa C ispol'zuetsya dlya otdela marketinga i kommercheskimi agentami, kotorye prihodyat v ofis inogda (dinamicheski) i ispol'zuyut lyubuyu dostupnuyu komnatu. Dlya etih dinamicheskih pol'zovatelej, kazhdaya komnata v zdanii imeet port interfejsa i stanciyu stykovki.

Set' klassa B ispol'zuetsya i razdelyaetsya lyud'mi v pyati staticheskih rabochih gruppah: buhgalteriya, vychislitel'nyj centr, otdel proektirovaniya i razrabotok, proizvodstvennyj otdel i otdel kontrolya kachestva.

Set' klassa B razbita na pod seti klassa C dlya pyati rabochih grupp. Imeetsya tol'ko chetyre seti klassa C, potomu chto rabochie gruppy buhgalterii i vychislitel'nogo centra sovmestno ispol'zuyut odnu set' klassa C.

Sostoyanie network imeet dva parametra: pervyj parametr - setevoj adres, i vtoroj parametr opredelyaet diapazon razreshennyh adresov, kotorye mogut byt' naznacheny.

Diapazon - ot 2 do 240, potomu chto 1 ispol'zuetsya marshrutizatorom "H" i ne dolzhen byt' naznachen, i adresa vyshe 240 zarezervirovany dlya budushchih staticheskih pol'zovatelej.

(Esli vtoroj parametr ne opredelen, eto podrazumevaet, chto mozhno prisvoit' vse adresa.)

Nizhe pokazany setevye konfiguracii setej klassa C dlya rabochih grupp otdela proektirovaniya i razrabotok, proizvodstvennogo otdela i otdela kontrolya kachestva.

Nizhe pokazana setevaya konfiguraciya dlya rabochih grupp buhgalterii i vychislitel'nogo centra, kotorye sovmestno ispol'zuyut set' klassa C.

Konfiguraciya servera sostoit iz inicializacii vseh parametrov DHCP dlya vseh potencial'nyh klientov.

Server mozhet startovat' avtomaticheski ispol'zuya posledovatel'nost', razmeshchennuyu v /etc/rc.tcpip ili, ispol'zuya SMIT.

# Smit tcpip Further Configuration - > Server Network Services - > Other Available Services - > Dhcpsd Subsystem

Graficheskij interfejs

Graficheskij interfejs servera DHCP pomogaet spryatat' slozhnost' sintaksisa fajla konfiguracii i uproshchaet ego konfiguraciyu. Dlya starta graficheskogo interfejsa servera ispol'zuetsya komanda dhcpsconf.

Option list - spisok vybiraemyh opcij, podderzhivaemyh serverom
Key list - znacheniya, kotorye opisyvayut klienta, vklyuchaya setevuyu poziciyu, klass i identifikator
Main window list - rezyume opcij dlya kazhdogo klyucha

Konfigurirovanie DHCP klienta

Dlya klientov, cel' DHCP sostoit v tom, chtoby obespechit' polnuyu mobil'nost' bez neobhodimosti rekonfiguracii kazhdyj raz kogda sozdano novoe soedinenie. |ta cel' dostigaetsya opredeleniem nabora predpochtenij klienta, kotorye opredelyayut to, chto klient trebuet ot servera i seti. Klient peredaet po seti informaciyu o svoih predpochteniyah vo vremya soedineniya. Odin ili bol'shoe kolichestvo serverov DHCP issleduyut ego predpochteniya i delayut svoi predlozheniya. Klient zatem ispol'zuet algoritm opredeleniya nailuchshego sootvetstviya, chtoby opredelit' optimal'nyj server dlya sebya. Kogda klient ne imeet nikakih predpochtenij, DHCP vse zhe obespechivaet bazovyj uroven' obsluzhivaniya, osnovannom na servernoj konfiguracii po umolchaniyu.

Otnositel'no seti TCP/IP - staticheskie marshruty, server imen NetBIOS i t.p.

Otnositel'no uslug servera - upravlyayushchaya programma lokal'nogo printera i spulera (LPR), server imen (DNS), setevoj server vremeni (NTP) i t.p.

dhcpcd.ini - fajl konfiguracii DHCP, sostoyashchij iz direktiv, kotorye mogut byt' opredeleny dlya klienta. Soderzhit spisok privilegirovannyh opcij.

Komandy SMIT mogut takzhe ispol'zovat'sya, chtoby konfigurirovat' DHCP dlya TCP/IP i zapuskat' upravlenie demonom klienta sleduyushchim obrazom:

smit tcpip -> Further Configuration - > Server Network Services - > Other Available Services - > Dhcpcd Subsystem

Kombinacii parametrov dlya zayavlenij klienta

Zayavleniya klienta obespechivayut opcii specificheskie konkretno dlya nego, naprimer, neobhodimost' rezervirovaniya adresa IP ili udaleniya adresa iz diapazona.

Pri ispol'zovanii parametra <stroka>, kazhdaya <stroka> dolzhna byt' unikal'na. Stroka klienta - ustrojstvo-zavisimaya stroka, kotoraya mozhet ispol'zovat'sya, chtoby identificirovat' specificheskoe ustrojstvo sootvetstvuyushchim MAC-adresom.

Stroka daet vozmozhnost' serveru DHCP identificirovat' klienta i obespechit' ego korrektnoe obsluzhivanie.

Razlichnye kombinacii etih parametrov imeyut razlichnyj effekt. Rezul'taty iz opredeleniya razlichnyh kombinacij perechisleny nizhe:

Agent retranslyacii BOOTP

Pri marshrutizacii soobshchenij BOOTP iz odnoj podseti v druguyu, marshrutizator obychno vypolnyaet retranslyaciyu; odnako, AIX podderzhivaet progressivnuyu marshrutizaciyu BOOTP peresylki.

Konfiguraciya zavershatsya vneseniem stroki v fajl /etc/dhcprd.cnffile. Agent retranslyacii poshl£t paket vsem serveram, opredelennym v etom fajle.

Trebovaniya k diskovomu prostranstvu dlya servera DHCP

Trebovaniya k diskovomu prostranstvu dlya servera zavisyat ot chisla klientov. Trebuemoe diskovoe ispol'zovanie dlya podderzhki odnogo klienta - 360 bajt.

Reshenie problem i nastrojka proizvoditel'nosti v seti TCP/IP

Dekompoziciya problemy

Dazhe v samom prostom sluchae seti s dvumya uzlami, sushchestvuet mnogo apparatury i parametrov programmnogo obespecheniya, vzaimosvyaz' mezhdu kotorymi mozhet znachitel'no vliyat' na effektivnost' raboty seti. Obychno, podhod k takoj slozhnoj probleme dolzhen nachinat'sya s dekompozicii obshchej problemy na bolee melkie chasti i tak dalee, do nahozhdeniya pervoistochnikov problemy i zatem uzh vypolnyaetsya sistematicheskij i logicheskij plan udaleniya vozmozhnyh prichin, poka ne budet dostignuto e£ reshenie.

Tak s chego zhe nachat'? Kvalificirovannyj setevoj analitik vsegda nachinaet s polnogo ponimaniya tekushchej setevoj sredy. Voobshche, etot podhod podrazumevaet dokumentirovanie setevoj topologii, prikladnyh programm i ispol'zuemyh protokolov.

Esli setevaya konfiguraciya neizvestna, ispol'zujte komandu ping -R hostname i/ili komandy traceroute. Opciya - R komandy ping dopuskaet ispol'zovanie vozmozhnosti zapisi marshruta IP. Otricatel'nyj rezul'tat vypolneniya ping oznachaet, chto ne rabotaet ili uzel ili set'. Dlya togo, chtoby uznat', chto imenno ne rabotaet, trebuetsya vospol'zovat'sya drugimi sredstvami. Komanda ping takzhe ne daet informacii o sostoyanii uzla-adresata. Komanda traceroute, analogichno vyvodit marshrut, kotoryj pakety IP berut na setevom uzle, no nakaplivaet informaciyu nemnogo po-drugomu.

Komanda traceroute ispol'zuet dva sposoba proslezhivaya peredachu informacii do adresata: malen'koe znachenie ttl (vremya zhizni) i otkazavshij nomer porta.

Traceroute zapuskaet pakety UDP s malen'kimi znacheniyami ttl, chtoby obnaruzhit' promezhutochnye marshrutizatory. Komanda traceroute byla sozdana dlya setevogo testirovaniya, izmereniya i upravleniya. Vy dolzhny ispol'zovat' e£ prezhde vsego dlya obnaruzheniya neispravnosti vruchnuyu. Iz-za nagruzki, kotoruyu ona nalagaet na set', vy ne dolzhny ispol'zovat' komandu traceroute v techenie normal'nyh operacij ili iz avtomatizirovannyh scenariev.

Pri normal'no rabotayushchej seti zadokumentirujte parametry, vydavaemye vam vysheukazannymi komandami. |to pozvolit vam sravnit' s nimi izmenenie parametrov seti, voznikshie pri dobavlenii novoj apparatury ili programm.

CHtoby sozdaniya polnogo obzora effektivnosti i konfiguracionnoj informacii seti, ispol'zujte paket PerfPMR. CHtoby poluchat' naibolee polnye dannye o seti vy dolzhny vypolnit' komandu perfpmr 3600 v tot chas, kogda nagruzka na set' yavlyaetsya maksimal'noj. Vyhodnye fajly etoj komandy poyavyatsya v kataloge /var/perf/tmp.

Esli vozmozhno, ustanovite, chto yavlyaetsya "normal'yu" dlya vashej seti, kontroliruya trafik v techenie neskol'kih mesyacev.

Pojmite problemu

ž nedostatochnoe otnositel'noe bystrodejstvie apparatnyh sredstv;
ž kolichestvo ciklov CPU, neobhodimyh dlya vypolneniya dannoj chasti koda ;
ž razmer paketov peredavaemyh dannyh ;
ž proizvoditel'nost', s kotoroj dannye keshiruyutsya v klientskoj pamyati, promezhutochnom zvene i sistemah servera;
ž kachestvo koda pol'zovatelej, kotoryj obrashchaetsya k podsisteme lokal'noj vychislitel'noj seti.

Takim obrazom, vy dolzhny ponyat', kak kazhdyj iz etih faktorov sposobstvuet nedostatochnoj setevoj effektivnosti.

Vse uzly, prisoedinennye k lokal'noj vychislitel'noj seti sovmestno ispol'zuyut obshchij kanal peredachi. Poetomu seti s bol'shim kolichestvom serverov i sotnyami rabochih stancij, peredacha mul'timedijnyh dannyh i t.p. mogut sovershenno zagruzit' kanal peredachi dannyh.

Nastrojka effektivnosti raboty CPU yavlyaetsya predmetom osobogo rassmotreniya i v etoj knige ne privoditsya.

Razmer paketa dannyh takzhe igraet bol'shuyu rol' v ogranichenii effektivnosti seti. Obychnoe rassuzhdenie privodit nas k vyvodu, chto bol'shie pakety luchshe, tak kak umen'shaetsya kolichestvo peredavaemoj sluzhebnoj informacii (adres i t.p.) i snizhaetsya nagruzka uzlov. |to verno do toj stepeni velichiny paketov, kotoraya ne vyzyvaet fragmentaciyu, tak kak fragmentaciya paketov mozhet predstavlyat' uzhe druguyu problemu.

Pri nedostatochnoj pamyati klienta dlya keshirovaniya poluchaemyh dannyh, nekotorye dannye mogut byt' propushcheny. Pri postoyannom zatore proishodit effekt "ping-ponga", kogda peredayushchij uzel vs£ vremya pytaetsya peredat' pakety prinimayushchemu uzlu, a tot otbrasyvaet ih obratno.

Vybor "pravil'nogo" instrumenta

Dlya kontrolya i nastrojki sovremennyh geterogennyh setej administratory dolzhny imet' sootvetstvuyushchie instrumental'nye sredstva.

Setevye diagnosticheskie instrumental'nye sredstva mozhno razdelit' na dve kategorii: na te, kotorye soobshchayut vam, chto proishodit i na te, kotorye, pozvolyayut nekotorym obrazom proreagirovat' na to, chto proishodit.

Dlya fizicheskogo urovnya: tester (TDR)

Dlya setej Ethernet, veroyatno, naibolee poleznyj instrument - tester (TDR). TDR prisoedinyaetsya k seti vmesto odnogo iz terminatorov. Zatem tester ispuskaet signal izvestnoj moshchnosti i formata i izmeryaet otvet. Kazhdyj tip setevoj neispravnosti daet specificheskij tip otveta na TDR. Vy dolzhny oznakomit'sya s dokumentaciej na tester, chtoby interpretirovat' eti otvety. Vy dolzhny pravil'no ustanovit' parametry TDR dlya raznyh tipov kabelej.

Dlya kanal'nogo urovnya: komanda ifconfig

Vy mozhete ispol'zovat' komandu ifconfig, chtoby proverit' sostoyanie fizicheskogo setevogo interfejsa (yavlyaetsya li on rabotosposobnym i gotovym poluchat' pakety, pravil'no li vy ego skonfigurirovali, tekushchij adres Internet).

Dlya setevogo urovnya: komanda tokstat

Komanda tokstat otobrazhaet statistiku, opredelennogo drajvera ustrojstva Token-Ring.

Dlya setevogo urovnya: komanda ping

Komanda Packet InterNet Groper (ping) posylaet dejtagrammu ECHO_REQUEST protokola ICMP (ne trebuet nalichiya servernyh processov na zondiruemom uzle) na konkretnyj uzel, chtoby opredelit' yavlyaetsya li etot uzel dostupnym. CHast' otveta, kotoruyu vy poluchaete ot ping - eto vremya peredachi dejtagrammy tuda i obratno.

Izmenyaya kolichestvo dannyh i vydavaya ping na promezhutochnye uzly, vy mozhete poluchat' informaciyu o tom, kakie uzly vklyucheny i rabotayut. V vypolnenii komandy ping uchastvuyut sistema marshrutizacii, shemy razresheniya adresov i setevye shlyuzy, poetomu dlya dostizheniya uspeshnogo rezul'tata etoj komandy set' dolzhna byt' v bolee ili menee rabotosposobnom sostoyanii. Esli otveta ot uzla net, vy mozhete byt' sovershenno uvereny, chto bolee slozhnye sredstva tem bolee ne rabotayut.

Dlya setevogo urovnya: komanda traceroute

Vy mozhete ispol'zovat' komandu traceroute, chtoby vyyavlyat' posledovatel'nost' shlyuzov, cherez kotorye prohodyat pakety dlya dostizheniya opredelennogo uzla.

Dlya setevogo urovnya: komanda iptrace

Vy dolzhny ispol'zovat' komandu iptrace vsyakij raz, kogda vy dolzhny rassmotret' pakety, kotorye mashina posylaet i poluchaet. No sleduet uchityvat' sleduyushchee: eta komanda zahvatyvaet vse peredavaemye i poluchaemye pakety na setevom urovne v sootvetstvii naboru fil'trov v komande iptrace. Tak kak eta komanda yavlyaetsya pol'zovatel'skim processom ona dolzhna konkurirovat' s drugimi processami za CPU. Sledovatel'no, na sil'no zagruzhennoj mashine, iptrace mozhet ne zahvatyvat' vse pakety. I tak kak iptrace otslezhivaet pakety na setevom urovne, to net nikakih dokazatel'stv togo, chto paket popal v kabel', tak kak prezhde paket dolzhen projti cherez drajver i adapter, chtoby dobrat'sya do kabelya.

V sluchayah, kogda vse zhe neyasno, chto privodit k zatoram v seti, vy dolzhny ispol'zovat' specializirovannyj setevoj analizator.

Dlya transportnogo urovnya: komanda tcpdump

Komanda tcpdump sledit za trafikom v seti i registriruet zagolovki paketa, kotorye sootvetstvuyut bulevu vyrazheniyu, zadavaemomu pol'zovatelem. Esli nikakih parametrov ne zadano, komanda budet otslezhivat' vse pakety v seti.

Dlya kanal'nogo, setevogo i transportnogo urovnej: komanda netstat

Komanda netstat vozvrashchaet nabor statistiki otnositel'no sostoyaniya seti. Komanda netstat - horoshij instrument, chtoby pomoch' opredelit' razmeshchenie problemy.

Kak tol'ko problema izolirovana, vy mozhete ispol'zovat' bolee slozhnye instrumental'nye sredstva, chtoby prodolzhit' e£ reshenie. Naprimer, vy mogli by ispol'zovat' komandy netstat -i i netstat -v, chtoby opredelit', imeetsya li problema s konkretnym apparatnym interfejsom i zatem vypolnit' diagnostiku, chtoby eshch£ bolee izolirovat' problemu.

Ili, esli komanda netstat -s pokazyvaet, chto sushchestvuyut oshibki protokola, vy mogli by zatem ispol'zovat' komandu iptrace dlya detalizirovannogo analiza.

Dlya kanal'nogo, setevogo i transportnogo urovnej: komanda netpmon

|tot instrument kontroliruet i vyda£t statistiku setevogo vvoda-vyvoda i svyazannogo s obsluzhivaniem seti ispol'zovaniya CPU.

Komanda netpmon pokazhet trafik uzla na kanal'nom, setevom i transportnom urovnyah (protokoly TCP i UDP). |ta komanda mozhet takzhe obnaruzhit' trafik v drugie seti i otobrazhat' setevuyu statistiku trafika sortiruya informaciyu po uzlam.

Dlya kanal'nogo, setevogo i transportnogo urovnej: setevye analizatory

Pri specificheskih problemah dlya izucheniya soderzhaniya paketov dannyh v seti vy mozhete ispol'zovat' analizator protokola. Analizator protokola fiksiruet polnuyu strukturu setevyh dannyh, bez svyazi s ispol'zuemymi protokolami ili s setevoj operacionnoj sistemoj. On obrabatyvaet strukturu kak neobrabotannye dannye.

Dostupny neskol'ko kommercheskih paketov. Oni budut fiksirovat' strukturu dannyh i dekodirovat' ih soglasno tipa protokola, pokazyvaya informaciyu upravleniya v sootvetstvuyushchih urovnyah modeli OSI.

Analizator protokola - ochen' cennyj instrument, no trebuet neplohogo znaniya setevyh protokolov.

Vy takzhe dolzhny znat', chto termin "setevoj analizator" mozhet oznachat' razlichnye veshchi u raznyh prodavcov. Nekotorye prodavcy mogut polagat', chto setevoj monitor budet nazyvat'sya setevym analizatorom. Monitory fiksiruyut informaciyu o trafike, tipa kolichestvo peredannyh frejmov v sekundu ili chislo frejmov, kotorye soderzhat oshibki. |ti ustrojstva ne yavlyayutsya istinnymi analizatorami, tak kak oni nesposobny dekodirovat' informaciyu protokola bolee vysokogo urovnya, kotoruyu soderzhit peredannyj frejm.

Dlya urovnej ot kanal'nogo do prikladnogo: Performance Reporter

Ranee bylo nevozmozhno poluchit' svodnoe predstavlenie obo vseh sistemah i setevoj effektivnosti v slozhnoj i raspredelennoj srede. IBM SystemView for AIX Performance Reporter (Performance Reporter) ustranyaet etu problemu obespechivaya effektivnye, informativnye otchety osnovannye na dannyh, sgenerirovannyh iz vstroennoj bazy dannyh. |tot instrument pozvolyaet chasto obnaruzhivat' vozmozhnye problemy do ih vozniknoveniya.

Dannye, sobrannye Performance Reporter pomogut vam uznat' to, kakie pol'zovateli ispol'zuyut kakie resursy i proanalizirovat' uzkie mesta i drugie problemy proizvoditel'nosti.

Vy mozhete sobrat' informaciyu o proizvoditel'nosti s uzlov pod upravleniem AIX, Sun Solaris, i HP-UX. Vy mozhete legko ispol'zovat' dannye iz bazy dannyh Performance Reporter v drugih prikladnyh programmah. Model' dannyh horosho zaregistrirovana i prosto izmenyaetsya.

Bezopasnost'

Sistema bezopasnosti AIX sootvetstvuet urovnyu bezopasnosti S2. |tot standart pred®yavlyaet k sisteme osnovnye shest' trebovanij:

Svidetel'stvo na sootvetstvie urovnyu bezopasnosti ne garantiruet togo, chto sistema zashchity sovershenna. Nalichie svidetel'stva prosto govorit o tom, chto sistema proshla testy na sootvetstvie urovnyu bezopasnosti.

Nabora sredstv dlya obespecheniya bezopasnosti, vstroennyh v AIX, vpolne dostatochno dlya realizacii priemlemoj politiki bezopasnosti kommercheskih organizacij. Vazhno tol'ko umet' pravil'no vospol'zovat'sya etimi sredstvami.

Politika bezopasnosti

"Bezopasnost' - funkciya upravleniya". |to utverzhdenie povtoryaetsya pri lyubom obsuzhdenii problem bezopasnosti - i… chasto ignoriruetsya. Nikakaya kombinaciya apparatnyh sredstv i programm zashchity programmnogo obespecheniya ne budet effektivna bez sootvetstvuyushchej sredy upravleniya, vklyuchaya vse urovni upravleniya.

Kazhdaya organizaciya nuzhdaetsya v politike bezopasnosti. |to utverzhdenie mozhet pokazat'sya ochen' prostym, no ono dolzhno odnoznachno byt' ponyato kazhdym sotrudnikom v organizacii. Politika bezopasnosti i e£ realizaciya obsuzhdalas' vo mnogih istochnikah. Postarayus' ne povtoryat' eti dokumenty. No neobhodimo eshch£ raz otmetit' to, chto politika bezopasnosti ochen' vazhna, tak kak ochen' prosto oshibit'sya pri ustanovke zashchity informacionnoj sistemy bez znaniya celej bezopasnosti.

|lementy politiki bezopasnosti dolzhny vklyuchat' v sebya otvety na sleduyushchie voprosy:

Granicy bezopasnosti mezhdu sotrudnikami, gruppami, organizaciej i ostal'noj chast'yu mira. Dlya etogo nuzhno imet' otvety na sleduyushchie voprosy:

Ot kogo zashchishchaemsya?

Pri slove "bezopasnost'" chashche vsego voznikayut obrazy zashchity ot promyshlennogo shpionazha i hakerov. No eto lish' ochen' malen'kij element obespecheniya informacionnoj bezopasnosti. Praktika pokazyvaet, chto osnovnye problemy zashchity informacii svyazany bol'she s vnutrennimi pol'zovatelyami, chem s vneshnimi. I glavnymi problemami yavlyayutsya:

1. Oshibki. Naprimer, pol'zovatel' mozhet oshibochno udalit' fajl. Zashchishchennye vazhnye fajly i horoshaya procedura rezervirovaniya (kotoraya yavlyaetsya takzhe elementom bezopasnosti) umen'shat eti problemy.

2. Obizhennye sluzhashchie (ili uvolennye sluzhashchie). Oni mogut unichtozhit', ukrast' i peredat' tret'ej storone konfidencial'nuyu informaciyu, vnesti zavedomo nepravil'nye dannye, ili mogut prosto napakostit' v sisteme.

3. Lyubopytnye sluzhashchie. Naprimer, kazhdyj iz nih hotel by chitat' (i vozmozhno izmenyat') mnogie sluzhebnye fajly i platezhnuyu vedomost'.

4. Sluzhashchie "s otkloneniyami". Vzlom sistemy bezopasnosti yavlyaetsya razvlecheniem dlya nekotoryh lyudej. Bez zhelaniya nanesti vred. Odnako, esli konfidencial'naya informaciya dolzhna ostat'sya konfidencial'noj, ona dolzhna ostat'sya takovoj.

Politika bezopasnosti dolzhna ispolnyatsya vo vsej organizacii. Ne imeet nikakogo smysla v zashchite konfidencial'nogo fajla na odnoj sisteme, kogda kopiya etogo zhe fajla mozhet otkryto chitat'sya na drugoj sisteme.

Skol'ko nuzhno bezopasnosti?

Slishkom mnogo bezopasnosti mozhet byt' tak zhe ploho, kak i slishkom malo. Sootvetstvie samomu strogomu urovnyu bezopasnosti vmeste s primeneniem mnozhestva sredstv obespecheniya bezopasnosti, pri uslovii, chto sistema neakkuratno sproektirovana i ploho upravlyaetsya, mozhet privesti k neeffektivnosti zashchity i slozhnosti ispol'zovaniya sistemy po e£ pryamomu naznacheniyu.

Neobhodimo pomnit', chto prakticheski vsegda povyshenie urovnya bezopasnosti sistemy trebuet uvelicheniya vremeni i usilij administratora na upravlenie im.

Komp'yuternye urovni zashchity, opredelennye U.S. Department of Defence stali dlya bol'shinstva osnovnymi kriteriyami pri zakupke sistem. |timi urovnyami po vozrastaniyu, yavlyayutsya D, C1, C2, B1, B2, B3, i A.

Urovni "C" imeyut kontroliruemye sredstva upravleniya zashchity. To est', pol'zovatel' reshaet, kakie ego resursy zashchishchat' i upravlyaet (do nekotoroj stepeni) tem, kak eta zashchita primenyaetsya.

Urovni "B" imeyut obyazatel'nye sredstva upravleniya zashchitoj (naryadu s drugimi dopolnitel'nymi funkciyami). Sredstva upravleniya avtomaticheski primenyayutsya sistemoj.

Uroven' "A" yavlyaetsya stol' neobychnym, chto imeetsya tol'ko neskol'ko primerov ego prakticheskoj realizacii.

Obratite vnimanie, chto vysheupomyanutye urovni otnosyatsya k izolirovannym sistemam i voobshche ignoriruyut problemy bezopasnoj raboty v setyah.

Ustanovka sistemy urovnya "B" avtomaticheski ne povysit uroven' bezopasnosti vashej sistemy. Vam ponadobitsya znachitel'no bol'she vremeni i umenij dlya planirovaniya i upravleniya sistemoj urovnya "B", chem sistemoj bolee nizshego urovnya.

Ne priobretajte ili ne ustanavlivajte bol'she sredstv zashchity chem te, kotorymi vy smozhete upravlyat'.

Obshchie defekty zashchity

V etoj knige obsuzhdaetsya mnogo defektov zashchity AIX. Odnako imeyutsya tri specificheskih defekta, kotorye yavlyayutsya bolee vazhnymi, chem ves' drugie vmeste vzyatye. |to:

Problema nedostatochnyh parolej ne unikal'na dlya AIX. Pochti kazhdyj komp'yuternyj pol'zovatel' uveren, chto on mozhet vybirat' horoshie paroli. No obychno eto ne tak. Bol'shinstvo napadenij na UNIX sistemy osushchestvlyaetsya podborom parolya. I chasto eti napadeniya udachny, potomu chto obychno trebuetsya nalichie tol'ko odnogo userid s nedostatochno nadezhnym parolem, chtoby obespechit' vozmozhnost' dlya polucheniya nesankcionirovannogo dostupa k sisteme.

Odnazhdy zaregistrirovavshis' v sisteme "zloumyshlennik" chasto ispol'zuet "programmy ustanavlivayushchie userid" (obychno nazyvaemye suid), chtoby poluchit' bolee shirokij dostup k sisteme. Funkciya suid - ne defekt (sm.Bity dostupa (Prodvinutye)); ona yavlyaetsya neobhodimoj chast'yu UNIX. Narushenie bezopasnosti vyzyvaet nepravil'noe upotreblenie suid.

AIX ne podderzhivaet suid dlya komandnyh fajlov obolochki (shell scripts). I eto odno iz osnovnyh otlichij AIX ot mnogih drugih UNIX sistem, chto yavlyaetsya opredelennym rasshireniem zashchity.

Zashchita fajlov (vklyuchaya fajly, kotorye yavlyayutsya vypolnimymi programmami) voobshche upravlyaetsya bitami razresheniya, hotya dostupny i drugie sredstva upravleniya. Na praktike, dlya nadezhnoj zashchity fajla trebuetsya, chtoby krome ustanovki pol'zovatelem bitov razresheniya neposredstvenno na fajl, byli ustanovleny sootvetstvuyushchie bity razresheniya na direktorii v cepochke direktorij vedushchih k fajlu.

Te pol'zovateli, kotorye ostorozhny s bitami razresheniya dlya ih fajlov, yavlyayutsya chasto nebrezhnymi (ili ne soznayushchimi vazhnost') v otnoshenii ustanovki bitov razresheniya na direktorii.

|ti tri defekta (nedostatochnye paroli, programmy suid, i ustanovka razreshenij na direktorii) ob®yasnyayut mnogie obshchie problemy zashchity UNIX.

Mnogie takzhe chitali ob ekzoticheskih i slozhnyh napadeniyah na razlichnye sistemy. Takie napadeniya sushchestvuyut, no oni redki i trebuyut netrivial'noj kvalifikacii napadayushchego. Poetomu v etoj knige my skoncentriruemsya na obshchih i standartnyh elementah zashchity dlya "obychnoj" sistemy AIX v "obychnoj" kommercheskoj srede.

Fizicheskaya zashchita

Koncepciya bezopasnosti AIX

Bezopasnost' operacionnoj sistemy AIX baziruetsya na tom, chto kazhdomu pol'zovatelyu v sisteme stavitsya v sootvetstvie unikal'noe imya, identifikator pol'zovatelya (UID) i parol'. Kogda pol'zovatel' podklyuchaetsya k sisteme, ego UID ispol'zuetsya dlya vseh zaprosov na dostup. Identifikacionnyj nomer imeet takzhe kazhdyj process v sisteme. Kogda sozdaetsya lyuboj fajl, UID associirovannyj s processom, kotoryj sozdal etot fajl, associiruetsya s etim fajlom. Tol'ko sozdatel' ili pol'zovatel' root mogut izmenit' pravila dostupa k fajlu.

Predopredeleny sleduyushchie pol'zovateli: root - super pol'zovatel' s maksimal'no shirokimi polnomochiyami adm, sys, bin, ... - identifikacionnye nomera ispol'zuemye sistemoj i kotorye nel'zya ispol'zovat' dlya vhoda v sistemu pol'zovatelyam.

Pol'zovateli, kotorym trebuetsya dostup k odnim i tem zhe dannym ili resursam, ob®edinyayutsya v gruppy. Kazhdaya gruppa imeet unikal'noe imya i gruppovoj identifikacionnyj nomer (GID). GID takzhe associiruetsya s fajlom pri ego sozdanii.

Pervonachal'no sushchestvuyut dve gruppy: system - dlya administratorov user - dlya obychnyh pol'zovatelej

Gruppy

Sozdanie grupp organizuet pol'zovatelej, kotorym neobhodim dostup k odnim i tem zhe fajlam ili resursam sistemy. Rukovodstvo gruppami dolzhno byt' chast'yu lyuboj politiki bezopasnosti v organizacii. Opredelenie grupp dlya bol'shih sistem mozhet byt' ochen' slozhnym i nahoditsya vne konteksta etoj knigi.

Kazhdyj pol'zovatel' mozhet prinadlezhat' tol'ko k odnoj gruppe, a takzhe byt' chlenom neskol'kih grupp. Pol'zovateli budut chasto prinadlezhat' bol'she chem k odnoj gruppe, no chlenstvo v gruppah ne dolzhno byt' chrezmernym.

Logichno razdelenie pol'zovatelej na gruppy pol'zovatelej s administrativnymi funkciyami i prochih pol'zovatelej. Poetomu sushchestvuyut tri razlichnye tipy grupp v sisteme:

Gruppy pol'zovatelej Lyudi, kotorym neobhodim dostup k odnim i tem zhe dannym, takie kak pol'zovateli, kotorye rabotayut v odnom otdele ili nad odnim i tem zhe proektom.

Gruppy sistemnyh administratorov Sistemnye administratory avtomaticheski yavlyayutsya chlenami gruppy system. CHlenstvo v odnoj iz etih grupp pozvolyaet sistemnym administratoram vypolnyat' razlichnye zadachi sistemnogo administrirovaniya bez neobhodimosti registrirovat'sya kak pol'zovatel' root.

Predopredelennye sistemnye gruppy V sisteme sushchestvuyut predopredelennye gruppy. Naprimer, gruppa staff yavlyaetsya predopredelennoj gruppoj dlya vseh novyh neadministrativnyh pol'zovatelej v sisteme. Drugaya predopredelennaya gruppa security obladaet privilegiyami dlya vypolneniya ogranichennyh funkcij administratora bezopasnosti.

Sistemnye predopredelennye gruppy ispol'zuyutsya dlya kontrolya nad rabotoj nekotoryh podsistem.

system dlya osnovnoj konfiguracii i podderzhki standartnogo apparatnogo i programmnogo obespecheniya.

Administrirovanie grupp

Pol'zovatel' mozhet byt' chlenom mnogih grupp i AIX budet dlya razresheniya dostupa k fajlu avtomaticheski iskat' vse razresheniya dlya etogo pol'zovatelya v ego gruppah. Vashe naibolee obshchee imya gruppy dolzhno byt' sdelano zadannym po umolchaniyu imenem gruppy dlya novyh pol'zovatelej. V AIX zadannoe po umolchaniyu imya takoj gruppy - staff.

Dlya izmeneniya naimenovaniya gruppy, zadannoj po umolchaniyu dlya novyh pol'zovatelej, otredaktirujte stanzu pgrp v fajle /usr/lib/security/mkuser.default. V etom fajle soderzhatsya znacheniya po umolchaniyu dlya komand mkuser i smit. Naprimer, chtoby zadannaya po umolchaniyu gruppa imela imya office, otredaktirujte fajl /usr/lib/security/mkuser.default sleduyushchim obrazom:

Imeyutsya takzhe dva tipa grupp v sisteme: administrativnye gruppy i normal'nye gruppy.

Gruppa administracii opredelena v fajle /etc/security/group stanzoj admin. V kazhdoj gruppe mozhet imet'sya svoj administrator gruppy. |to opredeleno v strofe fajla /etc/security/group.

Ne zaputajtes' s ukazaniem administrativnyh prav. Esli znacheniya admin=true nahoditsya v /etc/security/group (sm.Fajly /etc/group i /etc/security/group), to eto ukazyvaet administrativnuyu gruppu. No admin=true v fajle /etc/security/user (sm.Fajl /etc/security/user) oznachaet, chto pol'zovatel' imeet administrativnye prava dlya toj specificheskoj gruppy, kotoraya ukazana v stanze adms fajla /etc/security/group. S admin=true, pol'zovatel' mozhet upravlyat' toj gruppoj.

Vklyuchenie pol'zovatelya v administrativnuyu gruppu ne imeet bol'shogo effekta v AIX. Dlya nebol'shih sistem rekomenduetsya ignorirovat' administrativnye gruppy i pol'zovatelej. V etih sistemah dlya vypolneniya upravleniya pol'zovatelyami nuzhno ispol'zovat' prava root. Bol'shie zhe sistemy (bolee chem s 30 ili 40 pol'zovatelyami) mogli by nuzhdat'sya v administratorah grupp.

Esli vasha politika bezopasnosti razreshaet eto, to samym prostym sposobom vypolnyat' upravlenie gruppoj moglo by stat' razreshenie administratoram gruppy vypolnyat' komandu su root. Esli vasha politika bezopasnosti ne razreshaet administratoram gruppy znat' parol' root, to v etom sluchae mozhno ispol'zovat' administrativnuyu gruppu i e£ atributy.

V AIX vklyuchena gruppa, imenovannaya security. Lyuboj chlen etoj gruppy mozhet chitat' vse fajly administrirovaniya pol'zovatelyami v kataloge /etc/security (sm. Tenevye fajly), i mozhet vypolnyat' mnogie iz komand upravleniya sistemoj. S nebol'shim usiliem, chlen gruppy security mozhet poluchit' polnomochiya root. Sledovatel'no, tol'ko samye doverennye sotrudniki dolzhny byt' v etoj gruppe.

Standartnye userids

AIX imeet userid i gruppy, kotorye neobhodimy sisteme. Ne izmenyajte parametry etih pol'zovatelej i grupp, esli, konechno, Vy ne ochen' uverenny v tom, chto Vy delaete :-). Nikogda ne vhodite v sistemu s lyubym iz etih userid (za isklyucheniem root).

Identifikatory pol'zovatelya, kotorye vklyucheny v sistemu (v forme, v kotoroj oni opisany v /etc/passwd) perechisleny nizhe. |ti identifikatory ispol'zuyutsya dlya razlichnyh celej, tipa monopol'nogo ispol'zovaniya fajla i funkcij NFS. Vse oni, za isklyucheniem root, yavlyayutsya zablokirovannymi dlya vhoda v sistemu v raspredelennoj sisteme. (Oni zablokirovany parolem = * v /etc/security/passwd):

Novye pol'zovateli, kotoryh vy dobavlyaete, budut znachenie po umolchaniyu v gruppu staff, esli vy ne izmenili znachenie po umolchaniyu.

groupids, kotorye vklyucheny v sistemu - (v forme, v kotoroj oni poyavlyayutsya v /etc/group):

Nastoyatel'no ne sovetuetsya naznachat' pol'zovatelej v lyubuyu iz perechislennyh vyshe grupp (za isklyucheniem staff), esli, konechno, vy ne uverenny otnositel'no posledstvij takih dejstvij. Nekotorye iz etih grupp (tipa system, bin, security, cron) - vladel'cy sovokupnosti mnogih vazhnyh fajlov i direktorij. Vklyuchenie pol'zovatelya v lyubuyu iz etih grupp, s nebol'shim usiliem, mozhet skomprometirovat' lyubye sredstva informacionnoj bezopasnosti v sisteme.

Pol'zovateli

Vse pol'zovateli v sisteme, v sootvetstvii s ih pravami, razdeleny na tri kategorii:

2. pol'zovateli s administrativnymi pravami (gruppy security, system, printq, cron, adm, audit). Osobogo vnimaniya zasluzhivayut pol'zovateli vklyuchennye v gruppu security, tak kak oni mogut dobavlyat'/udalyat'/izmenyat' drugih pol'zovatelej ili gruppy;

Dlya zashchity pol'zovatelej iz administrativnoj kategorii ot nekorrektnyh dejstvij pol'zovatelej gruppy security, tol'ko pol'zovatel' root mozhet dobavlyat'/udalyat'/izmenyat' pol'zovatelej i gruppy administrativnoj kategorii.

Dlya togo chtoby dobavit' lyubogo pol'zovatelya v administrativnuyu kategoriyu sleduet sdelat' sleduyushchee:

Nabrat' komandu: # cat /etc/security/user i v stanze opisaniya pol'zovatelya vnesti sleduyushchee:

Peremennaya PATH

PATH - otnosyashchayasya k okruzheniyu peremennaya, ispol'zuemaya tekushchej obolochkoj pri poiske ispolnyaemyh fajlov (komand). Pri ispol'zovanii normal'noj obolochki, pol'zovatel' mozhet izmenyat' PATH v lyuboe vremya. Ne imeetsya nikakogo priemlemogo sposoba predotvratit' takie izmeneniya. (Ogranichennaya obolochka, obsuzhdennaya v Trusted Computing Base (TCB) ne razreshaet izmeneniya dlya PATH.)

Odna iz celej zashchity sostoit v tom, chtoby zashchitit' root (ili lyubogo drugogo pol'zovatelya) ot vypolneniya poddel'noj programmy. Naprimer, esli /tmp (nezashchishchennyj katalog) - pervyj element v PATH i esli zloumyshlennik pomestit programmu pod imenem su v /tmp, eta programma su budet vypolnena vmesto pravil'noj programmy su sistemy.

Defekt PATH - prostoe ponyatie i vy, kak administrator sistemy, dolzhny ponyat' eto. PATH pol'zovatelya obychno ustanavlivaetsya (ispol'zuya profil' sistemy i profil' pol'zovatelya (esli oni sushchestvuet)), kogda on registriruetsya v sisteme. Domashnej direktoriej pol'zovatelya root obychno yavlyaetsya direktoriya root i fajl /.profile (esli on sushchestvuet) budet vypolnen, kogda root registriruet v sistemu. Esli zhe my poluchaem polnomochiya root ispol'zuya komandu su profil' root (eto verno i dlya polucheniya polnomochij lyubogo drugogo pol'zovatelya komandoj su) avtomaticheski ne vypolnyaetsya. (Ispol'zovanie flazhka "-" s komandoj su zastavit profil' celevogo pol'zovatelya byt' vypolnennym, no eto mozhet imet' posledstviya na tekushchem pol'zovatele. Obychno, flazhok "-" ne ispol'zuetsya s su.)

Naprimer, esli vy registriruetes' v sisteme kak obychnyj pol'zovatel' i zatem da£te komandu su root, vy prodolzhaete ispol'zovat' profil' (i PATH), ustanovlennyj pervonachal'nym profilem pol'zovatelya. |to mozhet byt' istochnikom ser'eznyh narushenij zashchity, podobnyh etoj:

1. Pol'zovatel' (zhelayushchij poluchit' parol' root) pishet malen'kuyu programmu na C, vyvodyashchuyu soobshcheniya, analogichnye soobshcheniyam komandy su. To est', eta programma poprosit vas vvesti parol' root.

2. Pol'zovatel' kompiliruet i linkuet etu programmu i pomeshchaet e£ v svoyu biblioteku.

3. Pol'zovatel' izmenyaet svoj PATH takim obrazom, chtoby pervoj direktoriej v poiske byla ego lichnaya (home) direktoriya.

4. Pol'zovatel' prosit administratora reshit' kakuyu-nibud' problemu, reshenie kotoroj, veroyatno, trebuet prav dostupa root.

5. Administrator prihodit k terminalu pol'zovatelya i ispol'zuet komandu su, chtoby poluchit' polnomochiya root. Kogda administrator vvodit komandu su, sistema ishchet programmu s imenem su snachala v lichnoj direktorii pol'zovatelya (kak ustanovleno v PATH pol'zovatelya) i nahodit poddelannuyu programmu su i vypolnyaet e£.

6. Programma su pol'zovatelya zaprashivaet vvod administratorom parolya root, sohranyaet parol' v nevidimom fajle, posylaet soobshchenie ob oshibke o vvode nepravil'nogo parolya i stiraet samu sebya.

7. Administrator dumaet, chto on vvel nepravil'nyj parol' i pytaetsya snova vypolnit' komandu su root. Sejchas vs£ funkcioniruet normal'no, tak kak poddelannaya programma uzhe udalena i seans prodolzhaetsya kak obychno.

8. Pol'zovatel' pozzhe chitaet parol' root iz nevidimogo fajla i mozhet vojti v sistemu kak root.

|to - klassicheskoe napadenie "Troyanskogo konya", i ono srabotalo, potomu chto administrator vypolnil komandu su ispol'zuya nepravil'nyj PATH.

Dlya zashchity ot takih napadenij na sistemu bezopasnosti, rekomenduetsya sleduyushchee:

1. Administrator, pri poluchenii polnomochij root, esli on rabotaet v srede drugogo pol'zovatelya, dolzhen vsegda vvodit' polnoe imya puti komand. |to pozvolit izbezhat' ispol'zovaniya PATH pol'zovatelya.

2. V PATH dlya obychnogo pol'zovatelya pervymi v puti poiska dolzhny byt' standartnye direktorii sistemy, pered tekushchej direktoriej ili specificheskoj direktorii $HOME. Zadannyj po umolchaniyu put' (ustanovlen znacheniem po umolchaniyu) dlya AIX: PATH=/usr/bin:/etc:/usr/sbin:/usr/ucb:$HOME/bin:/usr/bin/X11:/sbin:. Poddirektorii vnutri /usr soderzhat bol'shinstvo komand AIX, ispol'zuemyh obychnymi pol'zovatelyami. Direktoriya /etc soderzhit simvol'nye ssylki na komandy v bolee udalennyh direktoriyah. Obratite vnimanie, chto snachala ishchutsya biblioteki sistemy. I tol'ko posle etogo poiska prosmatrivayutsya programmy v $HOME/bin. "Tochka" v poslednej pozicii PATH ukazyvaet na poisk v tekushchej direktorii.

Ignoriruya malye elementy (X11 i /sbin), poryadok poiska PATH sleduyushchij: direktorii sistemy, direktoriya programm pol'zovatelya(/$HOME/bin) i tekushchaya direktoriya. |to - bezopasnyj poryadok poiska, hotya mozhno sporit' o tom, dolzhna li tekushchaya direktoriya ("tochka") byt' v puti poiska.

Blokirovki po vremeni

Blokirovki po vremeni ispol'zuyutsya, chtoby avtomaticheski blokirovat' obolochku, kotoraya neaktivna slishkom dolgo. Funkciya blokirovki po vremeni obespechivaetsya ne dlya bazisnogo yadra AIX, a dlya obolochek AIX.

Po umolchaniyu blokirovka po vremeni ne vklyuchena. Dlya ustanovki blokirovki po vremeni Korn shell ispol'zuet peremennuyu TMOUT, a Borne shell ispol'zuet peremennuyu TIMEOUT. Vy, kak administrator, dolzhny ustanovit' odnu ili obe iz etih peremennyh, esli Vy hotite avtomaticheski blokirovat' obolochku posle chrezmernogo neaktivnogo sostoyaniya.

Nastoyatel'no rekomenduetsya ispol'zovat' etu funkciyu, potomu chto terminaly bez prismotra - ser'eznoe narushenie zashchity. Naprimer, dobav'te stroki v fajly /etc/profile ili k /etc/security/.profile:

Blokirovka po vremeni vyrazhena v minutah. Esli pol'zovatel' zapuskaet neskol'ko obolochek (naprimer, zapuskaya komandu ksh neodnokratno), obolochki budut blokirovany po vremeni v obratnom poryadke.

Period blokirovki po vremeni - peremennaya otnosyashchayasya k obolochke ili k okruzheniyu i ona mozhet byt' izmenena kazhdym pol'zovatelem. Vy ne mozhete predpisyvat' standartnoe dlya vseh znachenie (esli tol'ko vashi pol'zovateli ne znayut, chto oni mogut izmenyat' znachenie perioda blokirovki po vremeni).

Podskazki (Prompts)

Vy mozhete ustanavlivat' podskazku obolochki, chtoby pokazat' na ekrane informaciyu o tekushchej direktorii. Dlya pol'zovatelej obolochki Korn, eto vypolnyaetsya put£m dobavleniya sleduyushchih dvuh strok v profil' $HOME/.profile:

|to izmenenie obespechivaet vyvedenie puti i imeni tekushchej direktorii, soprovozhdaemyh tradicionnym simvolom "$". K sozhaleniyu, eta prostaya metodika vvodit v zabluzhdenie, esli pol'zovatel' vypolnyaet komandu su root. "$" budet vs£ eshche poyavlyat'sya vmesto simvola "#" kotoryj yavlyaetsya tradicionnym dlya su root.

|togo mozhno izbezhat', ne ispol'zuya takuyu podskazku dlya pol'zovatelej, kotorym chasto prihoditsya vypolnyat' komandu su root, ili ispol'zuya komandu su s flazhkom "-".

Podskazka, pokazyvayushchaya put' tekushchej direktorii, polezna dlya mnogih pol'zovatelej, osobenno, esli oni obychno rabotayut so mnogimi direktoriyami.

Ne imeetsya bolee nikakih defektov zashchity pri ispol'zovanii podskazok (krome kak vysheukazannogo vvedeniya v zabluzhdenie administratora), no informativnaya podskazka mozhet umen'shat' kolichestvo oshibok pol'zovatelya.

Otklyuchenie userid root

Redko imeetsya neobhodimost' dlya registracii v sisteme pol'zovatelem root. Bol'shinstvo "neschastnyh sluchaev" v sistemah UNIX chasto vyzvany ispol'zovaniem root, kak standartnogo userid. Poetomu, posle togo, kak vasha sistema skonfigurirovana, vy mozhete otklyuchit' vozmozhnost' vhoda v sistemu kak root. Upolnomochennye pol'zovateli (te, kto znayut parol' dlya root) mogut pol'zovat'sya komandoj su root posle togo, kak oni voshli v sistemu pod ih obychnymi userids.

Ne otklyuchajte pol'zovatelya root, napryamuyu redaktiruya fajl /etc/passwd i izmenyaya pole parolya. Takoe dejstvie zapretit vam ispol'zovanie polnomochij root s pomoshch'yu komand su ili telnet.

Audit bezopasnosti

Fajl /var/adm/sulog soderzhit informaciyu v ASCII formate o date, vremeni, imeni sistemy i imeni pol'zovatelya, kotorye vhodili v sistemu. |tot fajl mozhno prosmotret' komandami pg, more ili cat. |tot fajl takzhe fiksiruet tot fakt, byla li popytka vhoda v sistemu udachnoj ili net.

A fajl /var/adm/wtmp soderzhit informaciyu o vremeni nahozhdeniya pol'zovatelej v sisteme (fiksiruet vremya vhoda i vyhoda iz sistemy). Dlya prosmotra etoj informacii ispol'zujte komandu who file_name. Komanda who bez parametrov pokazyvaet soderzhimoe fajla /etc/utmp.

Dlya prosmotra hronologicheskogo spiska vhodov i vyhodov iz sistemy ispol'zuetsya takzhe komanda last. Naprimer, komanda last root vydast informaciyu obo vseh vhodah i vyhodah iz sistemy pol'zovatelya root, a komanda last reboot pokazhet vremya proshedshee mezhdu perezagruzkami sistemy.

Sushchestvuet takzhe eshche odin vazhnyj fajl, prosmatrivaemyj komandoj who. |to fajl /etc/security/failedlogin, iz nazvaniya kotorogo sleduet, chto v nego zanosit'sya informaciya kazhdyj raz pri nepravil'nom vvode imeni i/ili parolya pri vhode v sistemu. Neraspoznannye imena pol'zovatelej zapisyvayutsya kak UNKNOWN.

Proverka pol'zovatel'skogo okruzheniya

Dlya podderzhki sistemy bezopasnosti vy mozhete vospol'zovat'sya nekotorymi "proveryayushchimi" komandami (grpck, usrck, pwdch, sysck, tcbck) i "spisochnymi" komandami (lsuser i lsgroup) dostupnymi dlya ispol'zovaniya pol'zovatelyu root (ili lyubomu pol'zovatelyu iz gruppy security).

Komanda grpck

Komanda grpck proveryaet dlya vseh pol'zovateli, poskol'ku chleny gruppy opredeleny kak pol'zovateli, chto ih gid unikal'ny, i chto imya gruppy pravil'no sformirovano. Takzhe vypolnyayutsya drugie nebol'shie proverki. Flazhok -t zastavlyaet komandu soobshchat' ob oshibkah i sprashivat' otnositel'no razresheniya ob ih ustranenii: grpck -t ALL

|ta komanda proveryaet sredu gruppy, i, esli Vy otvechaete Yes na zapros, budut st£rty userids, kotorye ne sushchestvuyut ili dlya kotoryh stanzy v fajle /etc/security/user imeyut protivorechivye dannye.

Komanda usrck

Komanda usrck proveryaet mnogo parametrov oblasti opredeleniya userid. Flazhok -t zastavlyaet komandu soobshchat' ob oshibkah i sprashivat' otnositel'no razresheniya ob ih ustranenii. V nekotoryh sluchayah komanda otklyuchit userid, dobavlyaya datu okonchaniya v oblast' opredeleniya pol'zovatelya. Na dannye pol'zovatelya eta komanda ne vozdejstvuet. Pol'zovatelya mozhno dopustit' v sistemu snova, udalyaya dobavlennuyu datu okonchaniya (ispol'zuya SMIT ili neposredstvenno redaktiruya fajl /etc/security/user).

usrck -t ALL Nikogda ne probujte ispravlyat' userid root, ispol'zuya etu komandu. Esli Vy hotite poprobovat' eto sdelat', pozhalujsta snachala prochitajte o vosstanovlenii root userid (sm.Vosstanovlenie root userid).

Komanda pwdck

Komanda pwdck proveryaet opoznavatel'nye stanzy v fajlah /etc/passwd i /etc/security/passwd. Esli chto-to nepravil'no, standartnym dejstviem etoj komandy yavlyaetsya udalenie stanzy ili sozdanie stanzy /etc/security/passwd s * (zvezdochkoj) v pole parolya. Zapustiv etu komandu nizheukazannym sintaksisom vy poluchite soobshchenie o problemah i otchet ob ih fiksacii: pwdck -t ALL Komanda pwdck ne proveryaet opredelennye pravila zadaniya parolya, tipa minalpha, minother, i lastupdate.

Komandy lsgroup i lsuser

|ti komandy ispol'zuyutsya SMIT, no Vy mozhete takzhe ispol'zovat' ih neposredstvenno. Pryamoe ispol'zovanie mozhet byt' bolee udobno, kogda vy hotite pomeshchat' ih vyvod v fajl, naprimer tak:

V forme, pokazannoj vyshe, eti komandy sozdayut fajl /tmp/check i pishut v nego svoj vyvod.

|ti komandy otobrazhayut bol'shinstvo informacii neobhodimoj dlya upravleniya pol'zovatelyami i gruppami. |ti komandy mogut ispol'zovat'sya lyubym pol'zovatelem, no namnogo bol'she informacii otobrazhaetsya, kogda oni ispol'zuyutsya pol'zovatelem root (ili lyubym chlenom gruppy security).

Komanda lsuser neposredstvenno polezna pri ispol'zovanii root dlya specificheskogo pol'zovatelya, naprimer: lsuser joe |ta komanda otobrazit neskol'ko strok, soderzhashchie informaciyu upravleniya dlya pol'zovatelya joe. Kogda lsuser ispol'zuetsya s operandom ALL, informaciya otobrazhaetsya dlya vseh pol'zovatelej v sisteme. Dostupny neskol'ko opcij formatirovaniya.

Komanda tcbck

|ta komanda opisana podrobno v Trusted Computing Base (sm.Trusted Computing Base).

Funkcii Revizii (Audita)

Kogda vy ustanavlivaete AIX, podsistema kontrolya po umolchaniyu ne ustanavlivaetsya. Podsistema revizii (audita) obespechivaet sredstva, chtoby proslezhivat' i zapisyvat' otnosyashchuyusya k zashchite informaciyu. Vy mozhete ispol'zovat' etu informaciyu, chtoby obnaruzhit' potencial'nye i fakticheskie narusheniya strategii zashchity.

Vy (administrator, dejstvuya kak root) mozhete konfigurirovat' i upravlyat' podsistemoj audita. Ryad komand, fajlov upravleniya, i parametrov vzaimodejstvuet, chtoby upravlyat' reviziej. Oni mogut byt' dlya vas slozhnymi.

Sleduyushchie opisaniya koncentriruyutsya na bazisnom ispol'zovanii i prinimayut, chto vy ispol'zuete kontrol'nyj fajl upravleniya, postavlennyj s AIX, tol'ko s minimal'nymi izmeneniyami.

Kogda zapushchena kontrol'naya podsistema, ona revizuet (to est' generiruet zapis' vyvoda) dlya sobytij i ob®ektov.

Kontrol'nye Sobytiya

Sobytie - vypolnenie opredelennogo dejstviya, kotoroe sozdaet direktoriyu ili modificiruet parol'. Obnaruzhenie Sobytiya raspredeleno cherez AIX (vnutri doverennyh modulej). Spisok vseh opredelennyh sobytij revizii AIX dan v Kontrol'nom Sobytii (vy mozhete dobavlyat' kontrol'nye sobytiya dlya vashih sobstvennyh programm, i rasshiryat' etot spisok, no eto bylo by neobychno). Otchet vklyuchaet imya sobytiya, uspeh sobytiya, i specificheskie dannye dlya etogo vida sobytij. CHerez razlichnye kontrol'nye sredstva upravleniya vy mozhete vybirat', kakie iz etih sobytij vy hotite aktivizirovat' i zapisyvat'.

Vy dolzhny minimizirovat' kolichestvo otslezhivaemyh sobytij, naskol'ko eto vozmozhno. Zapis' vseh vozmozhnyh sobytij dlya kazhdogo pol'zovatelya v sisteme mozhet proizvesti k generirovaniyu ogromnogo kolichestva dannyh i znachitel'no ponizit effektivnost' vsej sistemy. Prichem, administrator sistemy ili bezopasnosti prosto fizicheski ne smogut razobrat'sya s takim "obvalom" kontrol'noj informacii za priemlemyj srok.

Reviziya Sobytiya VSEGDA svyazyvaetsya s userid (ili userids). Naprimer, vy mozhete otslezhivat' sozdanie direktorij pol'zovatelem joe.

Imeyutsya priblizitel'no 130 razlichnyh kontrol'nyh sobytij, vstroennyh v AIX. Kontrol'nye sobytiya sgruppirovany v klassy. Imena klassov proizvol'ny.

Kontrol'nye Ob®ekty

V dopolnenie k otslezhivaniyu sobytij, vy mozhete revizovat' ob®ekty. Prakticheski, - sledit' za fajlami.

Vy mozhete kontrolirovat' tri fajlovye operacii: chtenie, zapis' i vypolnenie. Ob®ekty ne svyazany s pol'zovatelyami.

Mehanizm dlya revizii ob®ekta generiruet psevdosobytiya, i etot process rabotaet ochen' podobno revizii sobytij. Vy mozhete legko dobavlyat' dopolnitel'nye fajly, vklyuchaya vashi fajly prikladnyh programm, v spisok kontrol'nyh ob®ektov, rasshiryaya fajl /etc/security/audit/objects.

Komandy audita

ž Audit start - ispol'zuetsya dlya aktivizirovaniya podsistemy kontrolya. |to - edinstvenno pravil'nyj sposob nachat' reviziyu.

ž Audit shutdown - prekrashchaet rabotu podsistemy kontrolya, proizvoditsya obrabotka zaklyuchitel'nyh zapisej BIN (esli neobhodimo) i udalyaetsya fajl /audit/auditb, kotoryj ispol'zuetsya kak "aktivnyj" indikator kontrol'nyh modu-lej.

ž Audit off - vremennoe priostanovlenie revizii. Naprimer, pri kontrol'nom zakrytii sistemy net neobhodimosti ispol'zovat' reviziyu.

ž Audit on - vklyuchenie podsistemy kontrolya posle vremennogo ee vyklyucheniya komandoj audit off.

Ogranicheniya dostupa k fajlam/direktoriyam

Sushchestvuyut neskol'ko bitov dostupa (razresheniya), associirovannye s fajlom ili direktoriej.

Standartnye ogranicheniya r (read), w (write) i x (execute) opredelyayut tri urovnya dostupa dlya pol'zovatelya (vladel'ca), gruppy (group) i ostal'nyh (others). V dobavlenie k etim trem ogranicheniyam sushchestvuyut tri bita dostupa izvestnye kak SUID (set UID), SGID (set GID) i SVTX (sticky bit).

Bit SUID, ustanovlennyj na ispolnyaemom fajle, oznachaet, chto pri vypolnenii etogo fajla process vypolnyaetsya s effektivnym identifikatorom pol'zovatelya (UID) vladel'ca fajla. SUID ne podderzhivaetsya dlya komandnyh fajlov obolochki (shell scripts). Bit SUID nikak ne otnositsya k direktoriyam.

Bit SGID, ustanovlennyj na ispolnyaemom fajle, oznachaet, chto pri vypolnenii ispolnyaemogo fajla process vypolnyaetsya s effektivnym gruppovym identifikatorom (GID) gruppy vladel'ca fajla. Bit SGID, ustanovlennyj dlya direktorii oznachaet chto kazhdyj fajl ili direktoriya sozdavaemye v etoj direktorii imeyut te zhe gruppovye razresheniya chto i pervichnaya gruppa pol'zovatelya, sozdayushchego novyj fajl/direktoriyu.

CHtoby interpretirovat' polya razreshenij, vydavaemyh, naprimer, komandoj ls budet polezna nizhesleduyushchaya shema:

Fajlovaya zashchita AIX

Fajlovaya zashchita - naibolee ochevidnyj element zashchity dlya bol'shinstva pol'zovatelej AIX. Bazisnymi elementami, upravlyayushchimi zashchitoj fajla v lokal'noj sisteme yavlyayutsya:

ž Bity razresheniya, svyazannye s fajlom.
ž Bity razresheniya, svyazannye s direktoriej, soderzhashchej imya fajla.
ž Bity razresheniya vo vseh direktoriyah v puti k fajlu.
ž Spiski razreshenij ACL.
ž Vladelec fajla.
ž Gruppa-vladelec fajla.
ž Vladelec i gruppa-vladelec direktorii, v kotoroj razmeshchen fajl.
ž Vladel'cy i gruppy-vladel'cy vseh direktorij vysshego urovnya v puti k fajlu.
ž Programmy, vypolnyayushchiesya s effektivnym userid pol'zovatelya root.

CHastnye fajlovye sistemy

Esli vy sozdaete dopolnitel'nye fajlovye sistemy, rekomenduetsya, chtoby tochki montirovaniya direktorij imeli bity razresheniya -rwx ------- (vos'merichnyj 700).

Perenosimye fajlovye sistemy (kotorye yavlyayutsya obychno "chastnymi"), imeyut unikal'nyj defekt zashchity. Kogda ih primontiruyut, oni funkcioniruyut kak normal'nye fajlovye sistemy, vklyuchaya funkcii suid (i osobenno suid root).

Pol'zovatel' mog by vzyat' svoyu perenosimuyu fajlovuyu sistemu, dobavit' suid-programmy root. Kogda eta fajlovaya sistema ustanovlena na vashej sisteme, vse eti suid-programmy root mogli by byt' agressivnymi.

Administrator imet nekotoryj kontrol' nad ustanovkoj chastnyh fajlovyh sistem (Odna iz opcij mount - nosuid. Rekomenduetsya vsegda ispol'zovat' etu opciyu pri ustanovke perenosimyh fajlovyh sistem (vklyuchaya CD-ROM), i (vozmozhno) pri ustanovke lyuboj chastnoj fajlovoj sistemy).

Inodes i Links

Normal'nye fajlovye sistemy UNIX (vklyuchaya JFS AIX) ispol'zuyut uroven' kosvennogo upravleniya fajlami, kotoryj obychno skryvaetsya ot pol'zovatelya.

Administrator dolzhen ponimat' nekotorye bazisnye elementy kosvennogo upravleniya, tak kak oni vazhny dlya zashchity fajlov.

To est' zapis' dlya fajla v direktorii ne ukazyvaet na dannye fajla. Ona ukazyvaet na inode, kotoryj, v svoyu ochered', ukazyvaet na dannye.

Bity razresheniya zashchity otnosyatsya k inode, a ne k zapisi dlya fajla v direktorii. Zapis' v direktorii soderzhit "imya" dlya fajla, tipa /u/trial/data.

V etom primere, odinochnyj fajl (osnovannyj na inode 317 vnutri nekotoroj fajlovoj sistemy) imeet tri direktorii "svyazi". Tot zhe samyj fajl imeet tri ochen' razlichnyh "imeni". Bity Razresheniya (i UID i GID) sohraneny v inode. Vyzov k fajlu cherez lyuboe iz imen budet obespechivat' te zhe samye razresheniya i sredstva upravleniya vladel'ca. |ti imena dopolnitel'nogo prostranstva obespechivayutsya simvolicheskimi svyazyami. (Simvolicheskaya svyaz' mozhet funkcionirovat' mezhdu razlichnymi fajlovymi sistemami, i ne udalyaetsya, esli adresat inode udalen.

ZHestkaya svyaz' rabotaet tol'ko vnutri konkretnoj fajlovoj sistemy i mozhet byt' elementom upravleniya v udalenii dannyh fajla i inode.)

Podobnye svyazi mogut sushchestvovat' i na urovne direktorii (t.k. direktoriya - chastnyj sluchaj fajla). Naprimer, direktoriya /xxx mogla by byt' simvolicheski svyazana s direktoriej /etc. |to oznachaet, chto fajl /xxx/my/data - na samom dele yavlyaetsya fajlom /etc/my/data. K odnomu i tomu zhe samomu fajlu obrashchayutsya v oboih sluchayah, hotya ispol'zuyutsya razlichnye struktury direktorij. Znachenie zashchity svyazej direktorij obsuzhdeny pozzhe.

Monopol'noe ispol'zovanie

Kazhdyj fajl (vklyuchaya direktorii) imeet vladel'ca i gruppu. Vladelec i identifikatory gruppy vladel'ca (UID i GID) sohraneny v inode. Iznachal'no vladelec eto pol'zovatel', kotoryj sozdal fajl. Gruppa - tekushchaya gruppa vladel'ca, kogda on sozda£t fajl. Pol'zovatel' root mozhet izmenyat' vladel'ca fajla, ispol'zuya komandu chown, i mozhet izmenyat' gruppu vladel'ca s komandoj chgrp.

V AIX, obyknovennye pol'zovateli ne mogut ispol'zovat' komandy chown ili chgrp, potomu chto eti funkcii mogut kosvenno privesti k defektam zashchity. V nekotoryh versiyah UNIX, eti dve komandy dostupny obychnym pol'zovatelyam.

Obratite vnimanie, chto monopol'noe ispol'zovanie sootvetstvuet UID (vladel'ca) i GID (gruppy vladel'ca), a ne ego userid i groupid. Esli userid (i ego sootvetstvuyushchij UID) udalen iz sistemy, fajly, prinadlezhashchie etomu UID ostayutsya v sisteme. Udalenie userid ne udalyaet ego fajly. Odnako, v etom sluchae fajly, kak kazhetsya "ne imeyut" vladel'ca. No kak tol'ko drugoj, pozzhe naznachennyj userid, poluchit tot zhe samyj UID, to on stanet vladel'cem vseh fajlov, svyazannyh s etim UID.

Esli vas kasaetsya eta problema, vy mozhete blokirovat' schet pol'zovatelya vmesto togo, chtoby udalit' ego.

Vy dolzhny takzhe ponyat', kak na monopol'noe ispol'zovanie fajla vozdejstvuyut komandy mv i cp (peremeshcheniya i kopirovaniya). Komanda kopirovaniya cp vsegda sozdaet novyj fajl, i pol'zovatel' kotoryj dal etu komandu stanovitsya vladel'cem novogo fajla. Konechno, etot pol'zovatel' dolzhen imet' dostatochnye razresheniya na chtenie ishodnogo fajla.

Esli komanda peremeshcheniya mv ispol'zuetsya, chtoby peremestit' fajl vnutri fajlovoj sistemy, monopol'noe ispol'zovanie fajla ne izmenyaetsya. Pol'zovatel' komandy mv dolzhen imet' razreshenie na zapis' v celevoj direktorii, i dostatochnye razresheniya na chtenie ishodnogo fajla. Esli komanda mv ispol'zuetsya, chtoby peremestit' fajl v druguyu fajlovuyu sistemu, novyj fajl sozda£tsya i tekushchij pol'zovatel' stanovitsya vladel'cem fajla. Pol'zovatel' dolzhen imet' razreshenie na zapis' i v ishodnoj direktorii (chtoby udalit' fajl) i v celevoj direktorii (chtoby sozdat' novyj fajl). On dolzhen takzhe imet' sootvetstvuyushchie razresheniya na chtenie dlya istochnika.

Bity dostupa (Bazovye)

Fajly (i direktorii) imeyut bity dostupa. Oni inogda nazyvayutsya bitami "rezhima", no my budem ispol'zovat' termin "bity dostupa" ili "razresheniya".

ž Tri bita sistemy (kotorye neposredstvenno ne otobrazhayutsya);
ž Tri bita vladel'ca, kotorye opredelyayut to, chto razreshaetsya delat' vladel'cu;
ž Tri bita gruppy, kotorye opisyvayut chto razreshaetsya delat' chlenam gruppy vladel'ca;
ž Tri vseobshchih bita, kotorye opisyvayut to, chto razreshaetsya delat' lyubym drugim pol'zovatelyam.

Bity dostupa chasto otobrazhayutsya kak devyat' bitov (tri starshih sistemnyh bita otobrazhayutsya special'nymi sposobami).

Razresheniya - ne yavlyayutsya ierarhicheskimi; to est' razreshenie na zapis' ili na vypolnenie ne vklyuchayut v sebya razresheniya na chtenie.

Bity dostupa chasto zapisyvayut v vos'merichnom formate. Vos'merichnyj format udoben, tak kak pervaya cifra v takoj zapisi razreshenij pokazyvaet razresheniya dlya vladel'ca, vtoraya cifra - razresheniya dlya gruppy vladel'ca, i tret'ya cifra - razresheniya dlya ostal'nyh pol'zovatelej.

Komanda ls

Komanda ls - veroyatno odna iz naibolee vazhnyh komand dlya administratora bezopasnosti. Vy dolzhny ponyat' detalizirovannuyu informaciyu, kotoruyu eto otobrazhaet. AIX takzhe obespechivaet komandu li, kotoraya yavlyaetsya ochen' podobnoj ls.

Predlagaetsya, chtoby vy koncentrirovalis' na komande ls, tak kak eto - standart vo vseh sistemah UNIX, i obuchat'sya, chtoby ispol'zovat' neskol'ko iz fakul'tativnyh flazhkov.

Bazisnaya komanda ls otobrazhaet spisok fajlov v tekushchem kataloge i ne otobrazhaet bol'she nichego. Dlya polucheniya bol'shogo kolichestva informacii, Vy budete obychno ispol'zovat' odnu iz sle-duyushchih form:

Pervaya forma, ls -al, otobrazhaet informaciyu otnositel'no vseh fajlov v tekushchem kataloge, vklyuchaya "skrytye" fajly (ch'i imena nachinayutsya s perioda(tochki)).

Vtoraya forma, ls -ld, otobrazhaet informaciyu otnositel'no tekushchej direktorii.

Tret'ya forma, ls -l /some/file/name, otobrazhaet informaciyu otnositel'no specificheskogo fajla.

Poslednyaya forma, ls -ld /some/directory, otobrazhaet informaciyu otnositel'no opredelennoj direktorii.

Ne zabyvajte, chto vladelec fajla (ili direktorii) mozhet izmenyat' lyuboj iz atributov fajla za isklyucheniem imen gruppy i vladel'ca. Ih mozhet izmenyat' tol'ko root.

Inode soderzhit UID i GID vladel'ca, ne imena. Esli UID (ili GID) bol'she ne zaregistrirovan v fajlah /etc/passwd (ili /etc/group), vmesto imeni otobrazhaetsya nomer (UID ili GID).

Bity dostupa (Prodvinutye)

UNIX ispol'zuet 12 bitov dostupa. Iz nih, devyat' - bazisnye r/w/x razresheniya dlya vladel'ca/gruppy/ostal'nyh. Tri ostayushchihsya bita neskol'ko bolee slozhny. |to:

|ti bity kritichny dlya sredstv upravleniya zashchity, i ispol'zuyutsya dlya izmeneniya obychnyh razreshenij "rwxrwxrwx". Dlya celej prosmotra, eti bity izmenyayut tri bita "x" v obychnom prosmotre.

Suid bit otobrazhaetsya, izmenyaya bit "x" dlya vladel'ca "rwx" na "s", i t.d. Suid bit oznachaet, chto programma vypolnitsya s polnomochiem UID vladel'ca fajla. (Ispolnyaemye fajly obychno vypolnyayutsya s polnomochiyami UID togo pol'zovatelya, kotoryj zaregistrirovalsya v sisteme i imeet prava na vypolnenie dannogo fajla.)

Fajl myprog imeet nabor bitov suid. Esli ya (zaregistrirovannyj v sisteme kak pol'zovatel' alex) vypolnyayu myprog, to eta programma vypolnitsya s polnomochiem root. Tak kak root mozhet obhodit' pochti vse sredstva upravleniya zashchity, takoe sredstvo moglo by byt' opasno.

Naprimer, v privedennom primere, myprog mogla by byt' kopiej obolochki (ili chem-to podobnym). Vypolnyaya myprog (s suid root), ya dejstvitel'no stal by root. YA mog by vvodit' lyubuyu komandu sistemy, ispol'zuyushchuyu etu obolochku, i eti vse komandy vypolnyatsya s polnomochiyami root.

Takaya situaciya (obolochka s suid root) yavlyaetsya mechtoj "zloumyshlennikov". Vot pochemu v AIX sdelano tak, chto suid-bit ne mozhet byt' ustanovlen dlya obolochki i ee komandnyh fajlov.

|ti bity ustanovleny s komandoj chmod, ispol'zuya ili simvolicheskie operandy ili vos'merichnyj operand s 4 ciframi.

Suid bit mozhet byt' ustanovlen (ispol'zovanie komandy chmod) tol'ko vladel'cem fajla ili root. On avtomaticheski udalyaetsya pri kopirovanii komandoj cp.

Ne imeetsya nikakoj pryamoj vozmozhnosti dlya obychnogo pol'zovatelya, chtoby sozdat' fajl suid root.

Funkciya suid mozhet ispol'zovat'sya inymi vladel'cami krome root. |to mozhet ispol'zovat'sya, naprimer, dlya togo chtoby garantirovat', chto k fajlu obrashchayutsya tol'ko nekotoroj programmoj.

V dannom primere lyubomu pol'zovatelyu razresheno zapuskat' programmu myprog. No tol'ko userid alex mozhet obrashchat'sya k mydata. Tak kak lyuboj mozhet vypolnyat' myprog, i tak kak myprog ispol'zuet suid, chtoby vypolnit'sya kak alex, lyuboj pol'zovatel' mozhet obrashchat'sya k mydata tol'ko, vypolnyaya myprog.

Tipichnaya sistema AIX imeet neskol'ko soten programm suid root. Administrator mnogopol'zovatel'skoj sistemy dolzhen garantirovat', chto lyubye dobavleniya (novye programmy, kotorye suid root) polucheny iz doverennogo istochnika, - doverennye pro-grammy.

V AIX imeyutsya sredstva, kotoryj mozhet pomoch' upravlyat' doverennymi programmami (sm.Trusted Computing Base).

Bit ustanovki GID (sgid) rabotaet tochno tak zhe kak funkciya suid, ispol'zuya tozhdestvo gruppy fajla vmesto tozhdestva vladel'ca. Sgid bit imeet special'noe znachenie, kogda ispol'zuetsya s direktoriej, gde on opredelyaet, kak naznacheno gruppovoe monopol'noe ispol'zovanie dlya novyh fajlov.

AIX ignoriruet suid i sgid bity pri vypolnenii scenariev obolochki. To est' tol'ko kompiliruemye "programmy" ob®ektnogo koda mogut byt' suid k drugomu UID dlya vypolneniya. Nekotorye sistemy UNIX razreshayut scenarii obolochki k suid.

Lipkij bit ispol'zuetsya dlya mnogih celej. V bolee rannih sistemah on ispol'zovalsya dlya ukazaniya togo, chto programma dolzhna sohranit'sya v pamyati posle vypolneniya, chtoby uluchshit' effektivnost' sistemy. |ta funkciya ne ispol'zuetsya v sovremennyh sistemah UNIX. Vzamen, ona ispol'zuetsya dlya direktorij, chtoby eshche bolee ogranichit' vozmozhnost' izmenyat' vhody v direktorii.

V normal'noj direktorii (bez lipkogo bita), lyuboj pol'zovatel' s dostupom dlya zapisi mozhet peremeshchat' ili udalyat' fajly v nej. |to - ser'eznyj defekt dlya takih direktorij, kak, naprimer, /tmp, kotoraya yavlyayutsya vseobshche-perezapisyvaemoj. Kogda lipkij bit ustanovlen, tol'ko vladelec fajla mozhet udalit' svoj fajl, dazhe esli direktoriya vseobshche-perezapisyvaemaya. (Konechno, vladelec direktorii i root mozhet takzhe udalyat' fajly iz nee.)

Obratite vnimanie, chto lyubaya informaciya zashchity, effektivnaya v konkretnoj direktorii - ne otnositsya k poddirektoriyam; kazhdaya direktoriya povinuetsya tol'ko sobstvennym bitam dostupa.

Razresheniya (dlya fajlov ili direktorij) ne nakoplyayutsya. Obychno, pole vladel'ca obespechivaet bol'shoe kolichestvo razreshenij chem pole gruppy, i pole gruppy bol'shim kolichestvom razreshenij chem pole dlya ostal'nyh, no eto ne obyazatel'no.

Fajl mystuff imeet dovol'no neobychnye, no imeyushchie silu, razresheniya. Vladelec (alex) ne mozhet pisat' ili vypolnyat' etot fajl. (On mozhet izmenit' razresheniya, konechno, i dobavit' bol'shee kolichestvo razreshenij dlya sebya, no, v dannyj moment, on ne mozhet pisat' ili vypolnyat' fajl.) A lyuboj chlen gruppy xyz mozhet chitat' ili pisat' fajl. Kto-libo eshche (krome vladel'ca i lyubyh chlenov gruppy xyz) mozhet chitat', pisat', ili vypolnyat' fajl.

Ustanovka razlichnyh razreshenij, naznachennyh vladel'cu, gruppe, ili ostal'nym - mozhet sluzhit' instrumentom ogranicheniya. Vladelec, naprimer, ne rassmatrivaetsya chast'yu "ostal'nyh".

|tot aspekt mozhet ispol'zovat'sya, chtoby isklyuchit' nekotoryh pol'zovatelej ot dostupa k fajlu. Sozdav novuyu gruppu, soderzhashchuyu vseh pol'zovatelej, kotorye budut isklyucheny, gruppovoj vladelec fajla zatem mozhet byt' izmenen na eto novoe imya gruppy. Razresheniya novoj gruppy ustanavlivayutsya v "---". V rezul'tate - nikakoj chlen gruppy ne mozhet obrashchat'sya k fajlu, dazhe esli fajl imeet polnyj dostup dlya vseh ostal'nyh.

Peremennaya umask

Kazhdyj fajl (i direktoriya) imeyut bity razresheniya. Vladelec mozhet izmenit' ih s komandoj chmod. Nachal'nyj, zadannyj po umolchaniyu, nabor razreshenij, kogda fajl sozdan, upravlyaetsya otnosyashchejsya k okruzheniyu peremennoj umask.

Po prichinam, vozvrashchayushchimsya k rannim dnyam UNIX, znachenie umask ispol'zuetsya nechetnym sposobom. To est' zadannye po umolchaniyu razresheniya ustanavlivayutsya, prinimaya razresheniya ("rwxrwxrwx" (ili vos'merichnyj 777) dlya direktorij, ili "rw-rw-rw-" (ili vos'me-richnyj 666) dlya obychnyh fajlov) i udalyaya bity razresheniya, opredelennye v umask (kotoraya vsegda vyrazhaetsya v vos'merichnom formate).

Znachenie po umolchaniyu umask - 022. Sledovatel'no, zadannye po umolchaniyu razresheniya: 666 udalyaya 022 = 644 = rw-r--r-- (dlya fajla) 777 udalyaya 022 = 755 = rwxr-xr-x (dlya direktorii)

Dlya bol'shej bezopasnosti rekomenduetsya vmesto znacheniya 022 ispol'zovat' znacheniya 027 ili 077: 666 udalyaya 027=640=rw-r----- (dlya fajla) 777 udalyaya 027=750=rwxr-x--- (dlya direktorii)

umask - otnosyashchayasya k okruzheniyu peremennaya, kotoraya mozhet byt' izmenena pol'zovatelem s komandoj umask (kotoryj yavlyaetsya komandoj obolochki).

Ne imeetsya nikakogo sposoba predpisat' standartnoe znachenie dlya pol'zovatelej. Razlichnoe znachenie po umolchaniyu mozhet byt' ustanovleno razmeshchaya komandu umask v fajle $HOME/.profile pol'zovatelya. Odnako, pol'zovatel' mozhet izmenit' eto znachenie v lyuboe vremya.

Nachal'noe znachenie umask pol'zovatelya mozhet byt' ustanovleno cherez SMIT. Vy mozhete proveryat' vashe znachenie po umolchaniyu s komandoj umask (bez operanda).

Fajlovye vremennye shtampy (Timestamps)

Sistemy UNIX, vklyuchaya AIX, podderzhivayut tri vremennyh shtampa (timestamps) dlya fajlov (vklyuchaya direktorii). Oni mogut byt' vazhny dlya resheniya voprosov zashchity. Timestamps:

1. atime. |to - vremya poslednego obrashcheniya k fajlu. V dejstvitel'nosti, eto - vremya poslednego otkrytiya fajla.

2. ctime. |to - vremya poslednego izmeneniya inode dlya fajla. (|to - ne vremya sozdaniya, esli, konechno, sozdanie fajla ne bylo poslednim sobytiem dlya nego) inode izmenyaetsya, vsegda, kogda izmeneny razresheniya, izmenen vladelec, izmenen razmer fajla (chislo klasterov), i t.d.

3. mtime. |to - vremya poslednego izmeneniya soderzhaniya fajla. |to voobshche oznachaet, chto fajl byl otkryt dlya vyvoda. |to vremya mozhet legko upravlyat'sya root.

Dlinnye formy komandy ls obychno vnosyat v spisok mtime. Flazhok -c mozhet ispol'-ovat'sya, chtoby vzamen vnesti v spisok ctime. Flazhok -u mozhet ispol'zovat'sya, chtoby vnesti v spisok atime. Komanda mozhet ssylat'sya vse tri timestamps.

Komandy ACL

AIX imeet dopolnitel'nuyu funkciyu zashchity dlya fajlov. |to - tak nazyvaemyj spisok upravleniya dostupa (ACL). |ta funkciya - ne standartnaya chast' "tradicionnogo" UNIX. Sovremennye sistemy UNIX obychno imeyut funkciyu ACL-tipa, no komandy i funkcional'nye vozmozhnosti otlichayutsya v razlichnyh sistemah.

ACL v AIX mozhet obespechivat' namnogo bolee detal'noe upravlenie dostupom, chem s ispol'zovaniem bitov dostupa. Obychno, yavnoe upravlenie s pomoshch'yu ACL ne ispol'zuetsya dlya ARM. |to mozhet ispol'zovat'sya vnutri specificheskih prikladnyh programm na serverah.

Kazhdyj fajl (i direktoriya) imeet "bazovyj spisok dostupa" tak kak standartnye bity dostupa (staryj termin) yavlyayutsya osnovoj ACL (novyj termin). Rasshirennye funkcii ACL obychno prosto nazyvayutsya funkciyami ACL.

Bazovye razresheniya

Osnovnye razresheniya pokazyvayutsya acl-kasayushchimisya komandami v sleduyushchem formate:

atributy: SUID, or SGID or SVTX v lyuboj kombinacii bazovyh razreshenij:
vladelec (imya): rw
gruppa (gruppa): r-x
ostal'nye: -wx

Gde: SUID oznachaet setuid SGID oznachaet setgid SVTX oznachaet Savetext (lipkij bit)

Rasshirennye razresheniya

Rasshirennye razresheniya pozvolyayut vladel'cu opredelyat' dostup k fajlu bolee tochno. Rasshirennye razresheniya rasshiryayut osnovnye razresheniya fajla (vladelec, gruppa, drugie) razreshaya, zapreshchaya, ili opredelyaya rezhimy dostupa dlya specificheskih lichnostej, grupp, ili pol'zovatelya i gruppiruya kombinacii.

Lyuboj pol'zovatel' mozhet sozdavat' rasshirennyj spisok dostupa ACL dlya fajla, kotorym on obladaet.

Kogda i pol'zovatel' i gruppa opredeleny v rasshirennom razreshenii tol'ko kombinaciya konkretnogo pol'zovatelya i gruppy poluchaet dostup. Imeetsya otnoshenie "i" mezhdu elementami v spiske. Znachenie po umolchaniyu - zablokirovannoe klyuchevoe slovo. Ispol'zovanie chmod s vos'merichnym operandom - odin iz sposobov ustanovit' zablokirovannoe sostoyanie.

Pervaya stroka rasshirennyh razreshenij opisyvaet sostoyanie: dopuskaemoe ili zablokirovannoe.

Esli zablokirovano, rasshirennaya ACL informaciya ne imeet nikakogo effekta; tol'ko osnovnye razresheniya effektivny.

Vtoraya stroka yavno dopuskaet, chto dhs imeyut dlya fajla razresheniya na chtenie (r) i zapis' (w).

Tret'ya stroka opredelenno zapreshchaet razreshenie na chtenie (r) tol'ko pol'zovatelyu chas, kogda on - chlen gruppy system.

CHetvertaya stroka dopuskaet, chto lena imeet dostup na chtenie (r), esli ona - chlen grupp gateway i mail.

Pyataya stroka razreshaet dostup na chtenie i dlya zapisi etogo fajla dlya pol'zovatelej, kotorye prinadlezhat, i gruppam account i finance.

Znachenie ACL mozhet stat' problemoj dlya pol'zovatelya, chlena mnogih grupp. Spisok dostupa ACL mog by vklyuchat' razlichnye razresheniya i zapreshcheniya dlya neskol'kih iz grupp pol'zovatelya, i oni mogut nahodit'sya v protivorechii.

Naprimer, pol'zovatel' mozhet prinadlezhat' GROUP1 i GROUP2. Dannyj ACL mozhet obespechivat' dostup dlya chteniya dlya GROUP1 i dlya vypolneniya dlya GROUP2.

1. Esli SPECIFY operand sushchestvuet dlya lyuboj iz grupp pol'zovatelya (ili dlya ego sobstvennogo userid), SPECIFY ustanovit maksimal'nyj uroven' dostupa. Esli mnozhitel' SPECIFY, sushchestvuyut (dlya razlichnyh grupp i-ili userid), ispol'zuetsya znamenatel' SPECIFY.

2. Vse PERMIT (polozhitel'nye) razresheniya dostupa (dlya pol'zovatelya i vseh ego grupp) summiruyutsya.

3. Vse DENY (otricatel'nye) ogranicheniya (dlya pol'zovatelya i lyuboj ego gruppy) vychitayutsya.

Funkciya DENY yavlyaetsya bolee moshchnoj chem funkcii PERMIT, tak kak odin DENY mozhet otmenyat' lyuboj PERMIT. |tot rezul'tat mozhet udivlyat' pol'zovatelej i administratorov, no eto - logicheskij rezul'tat. Esli pol'zovatelyu ne udaetsya poluchit' dostup k fajlu i vy ne mozhete ponyat', pochemu, to vy dolzhny proverit' spisok dostupa ACL na nalichie operandov DENY svyazannyj s groupids pol'zovatelya.

Komandy ACL, vyzvannye zdes' - prezhde vsego dlya rasshirennyh funkcij ACL, no oni mogut ispol'zovat'sya vmesto chmod, chtoby takzhe upravlyat' osnovnymi bitami razresheniya.

Komanda acledit pozvolyaet vladel'cu upravlyat' dostupom k fajlu (ispol'zuya redaktor, opredelennyj sistemnoj peremennoj EDITOR). Poetomu sistemnaya peremennaya EDITOR dolzhna opredelit' polnyj put' k redaktoru.

Komanda chmod

Imeyutsya dva metoda dlya ustanovki i upravleniya bitami razresheniya: komanda chmod i nabor komand ACL. Komandy spiska upravleniya dostupa - prezhde vsego dlya raboty s rasshirennymi funkciyami spiska dostupa. Komanda chmod - pervichnyj instrument dlya izmenyayushchihsya osnovnyh bitov razresheniya.

Operandy shmod mogut byt' vos'merichnymi (inogda nazyvaemymi "absolyutnymi") ili simvolicheskimi. Ispol'zovanie vos'merichnogo operanda otklyuchit svyazannye s fajlom rasshirennye parametry ACL (esli oni ustanovleny). Esli vy ispol'zuet rasshirennyj spiski dostupa ACL, vy dolzhny ispol'zovat' komandu chmod s simvolicheskimi operandami pri rabote fajlami, soderzhashchimi rasshirennye spiski dostupa ACL.

Naprimer, administrator dolzhen ispol'zovat' chmod + rw myfile, a ne chmod 644 myfile. |to mozhet byt' neprivychnoe trebovanie, i ochen' trudno ne zabyt' ne ispol'zovat' vos'merichnuyu zapis'. Pochti vozmozhno predpisat' ispol'zovanie tol'ko simvolicheskogo operanda.

Komanda tcbck mozhet razmeshchat' fajly s zablokirovannym rasshirennym ACL (sm.str.139).

Registraciya oshibok v AIX VERSION 4

Defekty Zashchity inogda sluchayutsya iz-za oshibok. AIX imeet horoshuyu sistemu registracii oshibok.

Komanda errpt ispol'zuetsya neposredstvenno, ili s pomosh'yu SMIT sleduyushchim obrazom:

SMIT -Problem Determination --Error Log ---Generate Error Report Change / Show Characteristics of Error Log Clean Error Log

Operacionnaya sistema zapisyvaet otkazy dlya vybrannyh apparatnyh sredstv i programmnogo obespecheniya v fajle registracii oshibok sistemy. |tot vybor mozhet izmenyat'sya, ispol'zuya komandu errupdate. Otchet oshibok mozhet byt' poluchen v kratkoj forme ili kak detalizirovat'sya forma.

Rekomenduetsya, chtoby registraciya oshibok vsegda byla aktivna (zapusk demona errdemon pri starte sistemy).

Drugie kommentarii

V AIX kak i drugie sistemy UNIX ispol'zovanie simvolicheskih svyazej tyazhelo. Komanda ls -l oboznachaet ih so strelkoj v pole imeni i "l" kak pervyj simvol polya razreshenij.

Obratite vnimanie, chto kazhdyj pol'zovatel' imeet polnye razresheniya dlya u. |to vvodit v zabluzhdenie. Razresheniya dlya simvolicheskoj svyazi ne imeyut nikakogo znacheniya. |ffektivnye razresheniya primenyayutsya te, kotorye ustanovleny dlya celevogo imeni.

V vysheupomyanutom primere, lyuboj rabotayushchij s u dolzhen rabotat' pod naborom razreshenij home (v etom primere, u i home- direktorii, no to zhe samoe ponyatie primenyaetsya i k direktoriyam i k fajlam).

UNIX (vklyuchaya AIX) ne imeet nikakogo prostogo sposoba obnaruzhit', kogda adresat simvolicheskoj svyazi byl udalen. CHerez kakoe-to vremya, simvolicheskie svyazi s otsutstvuyushchimi adresatami mogut nakaplivat'sya. |to mozhet vyzyvat' oshibki.

Nikakie pryamye interesy zashchity ne zatragivayutsya, no administrator dolzhen znat' problemu.

AIX imeet sushchestvennoe chislo vsemirno-perezapisyvaemyh direktorij. Bol'shinstvo iz nih imeet ustanovlennyj bit SVTX. V etih sluchayah, etot bit obespechivaet edinstvennuyu effektivnuyu zashchitu. Ne udalite ego!

S AIX, tol'ko root mozhet ispol'zovat' komandu chown, chtoby izmenit' vladel'ca fajla. |to bolee ogranichitel'no po sravneniyu s bolee starymi sistemami i mozhet vyzvat' zhaloby pol'zovatelej. Ponyatno, chto eto izmenenie bylo absolyutno neobhodimo dlya effektivnoj zashchity.

Obratite vnimanie, chto imeetsya komanda AIX, s imenem test, tak chto pol'zovateli dolzhny izbezhat' sozdavat' fajly, s imenem "test".

Hotelos' eshche raz povtorit', chto AIX ne podderzhivaet suid dlya scenariev obolochki. To est' suid bit v razresheniyah dlya fajla scenariya obolochki ignoriruetsya. Scenarij obolochki ne mozhet byt' vypolnen kak root, esli on ne vypolnyaetsya pol'zovatelem root.

Fajly unowned

Nenahodyashchiesya v sobstvennosti fajly (unowned files) obychno poyavlyayutsya, kogda pol'zovateli udalyayutsya iz sistemy. Kogda pol'zovatel' udalen (cherez SMIT, naprimer), vse ego fajly (i ego ishodnaya direktoriya) ostayutsya. |ti fajly perechisleny sistemoj (s ls ili komandami li) s chislovym UID. Pol'zovatel' mozhet takzhe imet' fajly v drugih mestah: naprimer, na arhivnoj lente ili fajly mailbox.

Komanda find mozhet ispol'zovat'sya, chtoby vnesti v spisok vse fajly, prinadlezhashchie specificheskomu pol'zovatelyu. Ispol'zovanie komandy find / -user username -print formiruet spisok vseh fajlov prinadlezhashchih username. |ti fajly mogut zatem byt' provereny, i nuzhnye raspredelenny drugim pol'zovatelyam (ispol'zuya komandu chown). Ostal'nye mogut byt' udaleny. CHtoby proveryat' sistemu dlya nenahodyashchihsya v sobstvennosti fajlov ispol'zujte komandu find / -nouser -print.

Bud'te vnimatel'ny - nekotorye sistemnye fajly budut vklyucheny v etot spisok, osobenno /dev/console. NE udalite ih!!

Setevaya bezopasnost'

Podsoedinenie komp'yutera k seti, yavlyaetsya li ona lokal'noj (LAN) ili global'noj set'yu (WAN), vydvigaet novye problemy zashchity sistemy. Prakticheski, problema setevoj zashchity mozhet byt' razdelena na sleduyushchie oblasti:

3. Setevye operacii Uucp. (Teoreticheski, eto - podmnozhestvo dial-in soedinenij, no na praktike soedineniya uucp dolzhny rassmatrivat'sya otdel'no).

Fizicheskaya zashchita svyazi

Setevaya zashchita vklyuchaet, i fizicheskuyu zashchitu i logicheskuyu zashchitu. Fizicheskaya setevaya zashchita ne budet obsuzhdena.

Setevye celi zashchity

Lyuboj podhod k setevoj zashchite dolzhen byt' sformirovan vokrug priemlemyh celej. "Nashi setevye sistemy dolzhny byt' polnost'yu bezopasny" yavlyaetsya horoshej cel'yu, no ne priemlemoj. Prakticheskaya setevaya zashchita vklyuchaet upravlyaemye riski, i nuzhno priblizit'sya s etoj tochki zreniya. Imeyutsya dve ochen' otlichnyh oblasti zashchity:

2. Ustanovlenie podlinnosti i upravlenie dostupom (dlya vhoda v sistemu, peredachi fajla, vypolneniya udalennyh komand) dlya vashej sistemy.

Poluchenie v setevoj srede sil'noj konfidencial'nosti dannyh seansa trudna (ili nevozmozhna). Vnutri ogranichennoj i upravlyaemoj sredy, etot risk mozhet obychno dopuskat'sya. V bol'shih sredah (s menee izvestnymi pol'zovatelyami) risk rastet i ne mozhet byt' priemlemym. |to oznachaet, chto setevaya topologiya i segmentaciya stanovitsya vazhnym faktorom zashchity. Nebol'shie seti, s nekotoroj stepen'yu izolyacii mezhdu nimi snizhaet riski, svyazannye s tekushchim kontrolem.

Obychno takoj segmentacii dobivayutsya s pomoshch'yu brendmauerov (firewall), kotorye yavlyayutsya sistemami, ogranichivayushchimi opredelennye tipy trafika mezhdu dvumya setyami.

Novye tehnologii mogut ustranyat' nekotorye iz samyh ser'eznyh iz®yanov setevoj zashchity.

Naprimer, sistema DCE (sm.Raspredelennaya sreda obrabotki dannyh DCE) polnost'yu shifruet process vhoda v sistemu i mozhet shifrovat' trafik seansa. Segodnya eti funkcii mogut ispol'zovat'sya tol'ko dlya vzaimodejstvij s serverami DCE. No v etom kontekste DCE mozhet obespechivat' bezopasnuyu i konfidencial'nuyu svyaz' cherez set'.

Tehnologiya virtual'nyh setej obespechivaet kommutaciyu takim obrazom, chto uzly seti ne vidyat (i ne mogut kontrolirovat') pakety, kotorye im ne adresovany.

Komanda securetcpip

Nekotorye komandy TCP/IP otnositel'no obespechivayut opoznavatel'nuyu sredu v techenie ih dejstviya. |ti komandy - ftp, rexec, i telnet. |ti komandy obespechivayut funkcii zashchity tol'ko v ramkah ih sobstvennogo dejstviya. Oni ne obespechivayut bezopasnuyu sredu dlya drugih komand.

Naprimer, pol'zovatel' mozhet podklyuchit'sya k udalennoj sisteme s pomoshch'yu komandy telnet (s priemlemoj opoznavatel'noj zashchitoj, obespechivaemoj telnet) i, odnazhdy zaregistrirovavshis' v udalennoj sisteme, delat' polnost'yu opasnye dejstviya.

Komanda securetcpip otklyuchaet slabozashchishchennye "standartnye" komandy TCP/IP. Rekomenduetsya ispol'zovat' komandu securetcpip na vseh sistemah v vashej seti, esli, konechno ne imeetsya sil'noj neobhodimosti ispol'zovat' eti "standartnye" komandy.

securetcpip - scenarij obolochki, kotoryj otklyuchaet komandy i demony, redaktiruya vneshne svyazannye stanzy v fajle /etc/inetd.conf i ispol'zuet komandu chmod, chtoby ustanovit' razresheniya dlya vypolnimyh komand v 000 (---------).

Pered vypolneniem komandy securetcpip vy dolzhny otklyuchit' ispolnyayushchiesya programmy raboty s set'yu. Esli razlichnye setevye demony zapushcheny s pomoshch'yu SRC, to oni ostanavlivayutsya sleduyushchim obrazom: STOPSRC -G TCPIP |ta komanda ostanavlivaet vse demony, svyazannye s TCP/IP. Zatem vy mozhete vvesti komandu: SECURETCPIP

Posle zapuska securetcpip, nizhesleduyushchie komandy i demony budut zablokirovany i stanut nedostupnymi dlya ispol'zovaniya:

securetcpip otklyuchaet ispol'zovanie etih komand, no mozhno vklyuchit' ispol'zovanie etih komand i demonov zakommentiruya sootvetstvuyushchie stanzy v fajle /etc/inetd.conf i izmeniv razresheniya na programmah i demonah takim obrazom, chtoby ih mozhno bylo zapustit' povtorno.

CHtoby predotvratit' samu vozmozhnost' povtornogo zapuska potencial'no opasnyh komand i demonov mozhno udalit' sootvetstvuyushchie komandy i demony.

Komanda securetcpip sozdaet fajl /etc/security/config, kotoryj soderzhit stanzy, kotorye ogranichivayut ispol'zovanie $HOME/.netrc, ftp i rexec. Posle vypolneniya etogo, vashi pol'zovateli dolzhny ispol'zovat' komandu telnet vmesto rlogin ili rsh, ftp vmesto tftp i rcp, i rexec vmesto rsh.

Obratite vnimanie: vashim X-stanciyam mozhet byt' neobhodim tftp, chtoby zagruzhat' kod X-servera iz AIX. Vy dolzhny proverit', chto vashi X-stancii mogut funkcionirovat' bez tftp, pered vypolneniem securetcpip.

Vazhnye fajly TCP/IP

Fajl /etc/hosts

Fajl /etc/hosts opisyvaet setevye uzly, kotorye lokal'naya sistema identificiruet imenami. V fajle opisyvaetsya sootvetstvie imeni uzla ego IP adresu. Tipichnyj primer fajla /etc/hosts:

Fajl /etc/hosts ispol'zuetsya tol'ko togda, kogda neaktiven server imen (server DNS), ili esli server imen nesposoben predostavit' sootvetstvie imeni uzla ego IP adresu. Poetomu, dazhe esli ispol'zuetsya server imen, fajl /etc/hosts dolzhen byt' zashchishchen. Tol'ko administrator dolzhen imet' dostup na zapis' v etot fajl. Dostup dlya chteniya razreshaetsya vsem.

Fajl /etc/inetd.conf

|tot fajl dopuskaet i otklyuchaet uslugi TCP/IP. Demon inetd zapuskaet drugie demony TCP/IP, kogda trebuyutsya specificheskie servisy. Naprimer, esli pol'zovatel' ispol'zuet komandu telnet, chtoby obrabotat' etot zapros demon inetd zapuskaet demon telnetd. Dostupnye servisy mogut byt' ubrany iz sredy TCP/IP, putem udaleniya sootvetstvuyushchej stanzy v etom fajle. |tot fajl obespechivaet pervichnyj kontrol'nyj punkt upravleniya servisami TCP/IP, kotorye yavlyayutsya dostupnymi na vashej sisteme.

Server imen

Esli vasha sistema - server imen (DNS), vy dolzhny zashchitit' fajly dannyh servera imen. Fajl /etc/resolv.conf dolzhen byt' zashchishchen na vseh sistemah. Nepravil'noe soderzhimoe etogo fajla mozhet napravit' zaprosy nesankcionirovannomu serveru imen. Takzhe dolzhny byt' nadezhno zashchishcheny fajly /etc/named.boot, /etc/named.ca, /etc/named.local i /etc/named.data.

Komanda netstat

Komanda netstat obychno ispol'zuetsya dlya polucheniya informacii o sostoyanii seti i diagnostirovaniya setevyh problem. No ona zhe mozhet ispol'zovat'sya dlya polucheniya informacii poleznoj pri proverke setevoj zashchity. Naprimer, komanda: netstat -p tcp obespechivaet informaciyu otnositel'no protokola TCP/IP nachinaya s zagruzki sistemy. Ishchite soobshcheniya tipa neudachnyh popytok soedineniya. |ti soobshcheniya mogut oznachat', chto kto-to pytaetsya vojti v vash uzel. Imeyutsya drugie opcii dlya komandy netstat, i nekotorye mogut byt' polezny dlya celej zashchity.

Trusted Computing Base

Mnogie putayutsya, kogda idet rech' o AIX Doverennoj Vychislitel'noj osnove (Trusted Computing Base (TCB)). Ved' pod TCB ponimayut sleduyushchee:

Vy mozhete ignorirovat' TCB i OS AIX budet funkcionirovat' sovershenno normal'no. Odnako TCB, vmeste s komandoj tcbck, obespechivaet ochen' poleznye instrumental'nye sredstva dlya sohraneniya celostnosti sistemy i funkcij zashchity.

Sohranenie celostnosti mozhet byt' naibolee vazhno dlya administratora sistemy; sredstva TCB mogut pomogat' obnaruzhivat' ili predotvrashchat' sluchajnye i "ne sluchajnye" izmeneniya sistemy.

Ustanovit' TCB mozhno tol'ko pri ustanovke OS. Rekomenduetsya vsegda ustanovlivat' TCB, na kazhdoj sisteme, dazhe esli vy ne imeete nikakih neposredstvennyh planov e£ ispol'zovaniya. Pochemu? Ob etom nizhe…

Sredstva TCB mogut pomoch' podderzhat' priemlemyj uroven' obespecheniya celostnosti sistemy. Vy mozhete ispol'zovat' funkcii TCB tol'ko dlya togo, chtoby proveryat' tol'ko osnovnye komponenty AIX. S nebol'shimi usiliyami vy mozhete ispol'zovat' ih takzhe i dlya kontrolya i proverki vashih klyuchevyh prikladnyh programm, chtoby byt' uverennym v tom, chto oni nepovrezhdeny i bezopasny. V nekotoryh sluchayah vam mozhet ponadobit'sya bezopasnyj vhod v sistemu i garantirovannye sredstva obolochki. Vasha stepen' ispol'zovaniya funkcij TCB opredelit kolichestvo neobhodimogo vremeni i usilij, trebuemyh, chtoby ponyat' ih.

Obratite vnimanie na to, chto funkcii TCB ne mogut zashchishchat' protiv upolnomochenyh (razreshennyh vami) suid programm root, kotorye (sluchajno ili v sootvetstvii c proektom) dayut nepodhodyashchij dostup k pol'zovatelyam.

Funkcii TCB pozvolyayut zapuskat' nesankcionirovannye suid programmy root, no oni ne mogut proveryat' vnutrennyuyu logiku lyuboj programmy.

Opisanie TCB

Doverennaya vychislitel'naya osnova (Trusted Computing Base (TCB)) - nabor programm i fajlov, kotorye obespechivayut proverku na "pravil'nost'" ("doveryaemost'") chastyam sistemy. V TCB vklyuchayutsya programmy tipa yadra AIX, programma vhoda v sistemu(y), programma passwd, i t.d Analogichno, fajl /etc/passwd, i drugie klyuchevye fajly upravleniya dolzhny byt' doveryaemymi. Krome togo, dolzhen imet'sya metod dlya pol'zovatelya, chtoby vojti v sistemu i garantirovat' emu, chto on obshchaetsya s sootvetstvuyushchej programmoj vhoda v sistemu, a ne s poddelkoj. Sootvetstvenno pol'zovatel' dolzhen byt' uveren i v obolochke.

Lyubye sredstva obespecheniya celostnosti sistemy schitayut, chto bazisnoj sisteme, postavlennoj prodavcom mozhno doveryat'. To est' AIX TCB schitaet, chto IBM postavil sistemu, v kotoroj klyuchevye komponenty obespechivayut sootvetstvuyushchuyu zashchitu i celostnost'.

Vy mozhete dobavlyat' lyubye programmy ili fajly k TCB (ne vse komponenty AIX nahodyatsya v TCB; tol'ko otnositel'no malen'kij procent ot vseh programm i fajlov).

Naibolee poleznoj funkciej TCB, iz tochki zreniya administratora, yavlyaetsya process proverki, svyazannym s nej. Spisok atributov razlichnyh fajlov (razresheniya, vladelec, kontrol'naya summa, svyazi, i t.d.) zanositsya v fajl /etc/security/sysck. Komandoj tcbck mozhno proverit', chto klyuchevye fajly na moment proverki vs£ eshche imeyut eti atributy (i, fakul'tativno, ispravlyayut ih v sootvetstvii s shablonom, esli nekotorye iz nih izmeneny.

|ta procedura yavlyaetsya bystrym i funkcional'no polnym sposobom proverki vseh programm/fajlov, kotorye vklyucheny v vashu TCB na to, chto oni imeyut sootvetstvuyushchie atributy i ih nikto i nichto ne izmenilo.

Administrator dolzhen issledovat' fajl /etc/security/sysck.cfg (ispol'zuya komandy pg) chtoby luchshe razobrat'sya s atributami, kotorye kontroliruyutsya. AIX opredelyaet TCB-bit v inodes. |tot bit ukazyvaet, chto fajl yavlyaetsya chast'yu TCB i ego edinstvennoj cel'yu yavlyaetsya ukazanie na to, chto dannaya programma mozhet byt' vypolnena doverennoj obolochkoj.

Doverennaya obolochka (Trusted Shell) takzhe yavlyaetsya chast'yu TCB i ona pozvolyaet vypolnyat' tol'ko te programmy, kotorye yavlyayutsya chast'yu TCB na osnove informacii zanesennoj v inode.

Ispol'zovanie komandy tcbck

Esli AIX ustanavlivaetsya soglasno rekomendacii s opciej TCB, to vy dolzhny najti fajl /etc/security/sysck.cfg, kotoryj sootvetstvuet ustanovlennoj sisteme i yavlyaetsya etalonom dlya TCB. Dlya proverki celostnosti sistemy ispol'zuetsya komanda

Programma tcbck imeet opcii "p" i "y", kotorye ukazyvayut, chto pri proverke fajlov, perechislennyh v etalonnoj baze dannyh avtomaticheski ispravlyalis' atributy, kotorye ne sootvetstvuyut atributam, perechislennym v baze dannyh.

Nastoyatel'no ne rekomenduetsya ispol'zovat' eti opcii. Luchshe lichno razobrat'sya s problemoj i, pri neobhodimosti, ispravit' voznikshuyu problemu vruchnuyu.

Administrator sistemy dolzhen periodicheski vypolnyat' komandu tcbck, prosto proveryaya celostnost' bazovoj sistemy. Esli vashi kommercheskie programmy otnositel'no ustojchivy, to mozhno dobavit' ih v TCB.

Ispol'zovanie doverennogo vhoda v sistemu i doverennoj obolochki

Process vhoda v sistemu, dlya lyuboj sistemy UNIX, mozhet yavlyat'sya glavnym defektom bezopasnosti. Problema prosta: yavlyaetsya li "real'noj" programma vhoda v sistemu ili kto-to podmenil e£ na programmu modeliruyushchuyu programmu vhoda v sistemu? Pol'zovatel', obladayushchij tol'ko skromnymi umeniyami programmirovaniya, mozhet napisat' programmu, kotoraya ochishchaet ekran, pokazyvaet priglashenie vhoda v sistemu, i zhdet vvoda imeni i parolya pol'zovatelya. Esli eta programma zapushchena na ostavlennom rabotayushchem terminale, drugoj nichego ne podozrevayushchij pol'zovatel', mozhet podumat', chto terminal svoboden i popytaetsya zaregistrirovat'sya v sisteme. Poddel'naya programma fiksiruet userid i parol' i zavershaet seans. Zavershenie seansa vyzyvaet novuyu podskazku vhoda v sistemu (iz "real'noj" programmy vhoda v sistemu). Pol'zovatel' dumaet, chto on oshibsya pri vvode svoego imeni ili parolya i vtorichno povtoryaet proceduru vhoda v sistemu. Opytnye ili nemnogo paranoidal'nye pol'zovateli obychno srazu zhe v takih situaciyah menyayut svoj parol'. |to - klassicheskij tip napadeniya na UNIX, kotoryj mozhet byt' effektivnym dazhe na sovremennyh sistemah UNIX.

OS AIX obespechivaet zashchitu protiv takih napadenij s pomoshch'yu SAK i doverennogo puti dlya vhoda v sistemu. |tot process ne avtomaticheskij. Administrator dolzhen zapustit' SAK-process dlya pol'zovatelej i dlya portov.

1. Esli pol'zovatel' ne zaregistrirovan v sisteme garantiruetsya put' vhoda v siste-mu. Esli tpath opredelen dlya pol'zovatelya, to SAK soedinit ego s doverennoj obolochkoj (tsh), v inom sluchae dlya pol'zovatelya zapuskaetsya obychnaya obolochka.

2. Esli pol'zovatel' uzhe zaregistrirovan v sisteme, SAK zavershit vse programmy, kotorye zapushcheny pol'zovatelem i esli tpath opredelen dlya nego, zapustit doverennuyu obolochku; v inom sluchae dlya pol'zovatelya zapuskaetsya obychnaya obolochka.

Kogda pol'zovatel' vvodit doverennyj put', razresheniya dlya ego porta izmenyayutsya (avtomaticheski, upravlyaemym sak-processom) na vos'merichnoe razreshenie 600 (vmesto razresheniya 622, obychno svyazannogo s soedinennym portom).

CHtoby ispol'zovat' dlya portov SAK, vstavlyaetsya stroka metodom pryamogo redaktirovaniya (s pomoshch'yu SMIT ne ustanavlivaetsya) sak_enable=true v fajle /etc/security/login.cfg. |tot parametr mozhet byt' ustanovlen v zadannoj po umolchaniyu strofe (otnositsya ko vsem portam), ili ustanovlen v strofah dlya kazhdogo porta.

Esli port - osnovnoj graficheskij terminal dlya zapuska SAK, neobhodimo dobavit' dve dopolnitel'nye stroki v fajl /etc/security/login.cfg:

Dlya dopuska pol'zovatelej k doverennomu puti i doverennoj obolochke, ustanavlivaetsya parametr tpath v sootvetstvuyushchej stanze fajla /etc/security/user. Dlya individual'nyh pol'zovatelej eto mozhet byt' ustanovleno ispol'zuya SMIT.

1. tpath=nosak. |to - znachenie po umolchaniyu i oznachaet, chto doverennyj put' ne dostupen dlya etogo pol'zovatelya. SAK ignoriruetsya, esli etot pol'zovatel' uzhe zaregistrirovan v sisteme. SAK pered vhodom v sistemu zapustit obychnuyu obolochku pol'zovatelya.

2. tpath=on. |to dopuskaet fakul'tativnoe ispol'zovanie SAK i doverennogo puti dlya etogo pol'zovatelya. SAK posle vhoda v sistemu zapustit doverennuyu obolochku.

3. tpath=always. |to razreshaet pol'zovatelyu registrirovat'sya v sisteme tol'ko cherez doverennyj put' (proizvedennyj s SAK) i ogranichivaet pol'zovatelya tol'ko doverennoj obolochkoj. Esli vy tshchatel'no ne ocenili snachala eti ogranicheniya, ne rekomenduetsya ispol'zovat' eto znachenie.

4. tpath=notsh. |to znachenie, esli vveden SAK, v to vremya kak pol'zovatel' registriruetsya v sisteme, vynudit k neposredstvennomu vyhodu iz sistemy.

Doverennaya obolochka, tsh, vypolnyaet tol'ko te programmy, kotorye imeyut TCB-bit, svyazannyj s ih razresheniyami. Ona ne razreshaet izmenyat' tekushchij put', i imeet ochen' ogranichennyj nabor komand obolochki i peremennyh.

SAK i doverennaya obolochka, vmeste, obespechivayut poleznuyu funkciyu dlya administratora v yavno opasnoj srede (tipa universiteta), dlya neobychno kriticheskoj ustanovki ili prikladnoj programmy, ili dlya yavno paranoidal'nogo pol'zovatelya.

Doverennaya obolochka obychno ne primenyaetsya dlya "normal'nyh" pol'zovatelej, tak kak ona imeet ochen' ogranichennye funkcii.

Otdel'no, SAK ispol'zuetsya dlya zashchity ot napadeniya "Troyanskij kon'" pri vhode v sistemu. Pol'zovatelyam soobshchaetsya o vozmozhnosti doverennogo vhoda v sistemu i ob®yasnyaetsya, chto dlya togo, chtoby vojti v sistemu oni dolzhny:

1. Pri priglashenii vhoda v sistemu, nazhat' Ctrl-x Ctrl-r (SAK-posledovatel'nost'). Dolzhno poyavit'sya novoe priglashenie vhoda v sistemu (nizhe pervogo priglasheniya). |to - signal, chto SAK byl effektiven. Esli nizhe ne poyavlyaetsya novoe priglashenie vhoda v sistemu, to SAK ne srabotal, i bezopasnyj put' ne ustanovlen.

4. Esli poyavlyaetsya podskazka doverennoj obolochki tsh, vvedite komandu sh. Inicializiruetsya seans pol'zovatelya s obychnoj obolochkoj.

Rekomendacii dlya audita

Osushchestvlyat' audit (reviziyu) ne rekomenduetsya pri obychnom funkcionirovanii sistemy. No rekomenduetsya, chtoby kazhdyj administrator sistemy znal, kak ispol'zovat' podsistemu audita. V chastnosti neobhodimo znat', kak zapuskat', ostanavlivat', i prosmatrivat' osnovnuyu kontrol'nuyu informaciyu.

Administrator budet nuzhdat'sya v etih funkciyah, esli on podozrevaet, chto ego sistema atakovana. Vy mozhete dobavlyat' imena fajlov k spisku kontrol'nyh ob®ektov. Vy mozhete ostanovit'sya na nabore kriticheskih fajlov i dobavit' ih k kontrol'nomu spisku ob®ektov.

Predvaritel'no podgotovit' sootvetstvuyushchij spisok ob®ektov luchshe ranee, chem vozniknet kriticheskaya situaciya.

Dlya kriticheskogo servera eti rekomendacii ne podhodyat. Dlya takogo servera neobhodimo opredelit' minimal'nyj nabor kontrol'nyh sobytij i ob®ektov, i vsegda vypolnyat' s aktivnyj audit.

Ogranicheniya audita

1. Pol'zovateli sistemnoj gruppy mogut chitat', redaktirovat' i/ili udalyat' kontrol'nye sobytiya.

2. Opredeleno mnogo kontrol'nyh sobytij, no generaciya sobytiya zavisit ot vypolneniya opredelennoj dlya etogo sobytiya programmy. Naprimer, komanda mkuser generiruet kontrol'noe sobytie. Odnako, vozmozhno sozdat' novogo pol'zovatelya bez ispol'zovaniya komandy mkuser.

3. Na mnogih serverah ispol'zuyutsya takie programmy, kak, naprimer, programmy bazy dannyh (naprimer, DB2) ili interaktivnye monitory dialogovoj obrabotki zaprosov (tipa CICS). |ti programmy imeyut sobstvennye sredstva bezopasnosti i audita i ne vsegda horosho vzaimodejstvuyut s kontrol'noj podsistemoj operacionnoj sistemy.

Naprimer, monitory bazy dannyh otkryvayut svoi fajly, i osushchestvlyayut ves' dostup k nim cherez sebya. Kontrol'naya podsistema "ne znaet", kakie pol'zovateli rabotayut s fajlami bazy dannyh. Podsistema kontrolya vidit tol'ko monitor bazy dannyh, obrashchayushchijsya k svoim fajlam.

|ti ogranicheniya ne umalyayut roli i neobhodimosti podsistemy audita. Ona mozhet byt' ochen' effektivnoj, osobenno pri ispol'zovanii v kommercheskih sistemah.

1. Kontrolirovat' specificheskie sobytiya i ob®ekty napisav lokal'nuyu programmu (ili scenarij obolochki) soobshchayushchuyu administratoru o nastuplenii kontrol'nogo sobytiya.

2. Zapisyvat' mnogo sobytij i ob®ektov dostupa dlya ispol'zovaniya v "poslefakticheskom" issledovanii problem. Takaya procedura podrazumevaet nakoplenie i upravlenie znachitel'nymi kolichestvami dannyh i trebuet planirovaniya i prilozheniya usilij dlya upravleniya etimi dannymi.

Vosstanovlenie root userid

Esli ne dostupen userid pol'zovatelya root, vy imeete ser'eznuyu problemu. Naibolee obshchim sluchaem takoj problemy yavlyaetsya administrator, kotoryj zabyl parol' root. Takzhe byvaet tak, chto novye administratory sistemy, pri eksperimentirovanii s razlichnymi opciyami zashchity, mogut delat' sistemu nastol'ko bezopasnoj, chto nikto ne mozhet ispol'zovat' e£.

2. Esli eto vozmozhno, dat' komandu shutdown -F (tol'ko root mozhet ispol'zovat' etu komandu).

3. Vstavit' lentu v strimer, ustanovite klyuch v poziciyu SERVICE (dlya klassicheskoj sistemy), i zatem nazhmite zheltuyu knopku sbrosa.

Vy poluchite dostup ko vsem sistemnym fajlam s polnomochiyami pol'zovatelya root.

14. Perezagruzit' sistemu (ne zabud'te vynut' lentu). Ne zabud'te zadat' parol' pol'zovatelyu root.

Pozhalujsta obratite vnimanie, chto etot metod "vtorzheniya" v sistemu trebuet (1) fizicheskogo dostupa k RS/6000, i (2) "lenty nachal'noj zagruzki" (ili CD-ROM), kotoraya postavlyaetsya s programmnym obespecheniem AIX.

Drugie temy

|ta glava kratko obsuzhdaet neskol'ko tem, svyazannye zashchitoj sistemy AIX, kotorye ne upomyanuty v drugom meste.

Firewall

"Firewall" yavlyaetsya sistemoj, kotoraya zashchishchaet vashu set' iz nezhelatel'nyh vzaimodejstvij s vneshnej set'yu. Naibolee tipichnoe ispol'zovanie takoj sistemy - eto soedinenie vashej seti s Internet. Programmnoe obespechenie dlya sozdaniya firewall dostupno iz neskol'kih istochnikov, vklyuchaya "svobodnye" anonimnye FTP servery.

Naibolee obshchim podhodom yavlyaetsya sozdanie "obolochki", kotoraya preryvaet programmy, vypolnennye cherez inetd.

X Window

Polnoe obsuzhdenie zashchity dlya X Window - slozhnaya tema i nahoditsya vne konteksta etoj knigi. Nizhesleduyushchaya informaciya mozhet pomoch' s bazovym planirovaniem zashchity dlya X Window.

Terminologiya dlya X Window

Server - modul' s displeem; eto - server displeya. Klient - sistema s vychislitel'noj programmoj, kotoraya posylaet vyvod (ili chitaet vvod) servera. Bazisnaya zashchita nachinaetsya s servera displeya. Upravlyaet etim to, kakie sistemy klienta mogut ispol'zovat' server displeya.

1. Mozhet ispol'zovat'sya komanda xhost, chtoby dobavlyat' ili udalit' sistemy iz spiska razreshennyh sistem klientov. |ta komanda, v dejstvitel'nosti, delaet vremennyj spisok (kotoryj ne perezhivet perezagruzku).

2. Vy mozhete sozdavat' fajly, pod imenami /etc/Xn.hosts, gde n 0, 1, 2, ... (nomer logicheskogo displeya) soderzhashchij spiski sistem klientov, razreshennyh, chtoby soedinit'sya s etim serverom displeya. Vy mozhete najti i upravlyat' fajlami /etc/X?.hosts na vashej sisteme.

K sozhaleniyu, ne tak legko nahodit' scenarii pol'zovatelya s komandami xhost, upolnomachivayushchimi razlichnye soedineniya klientskih sistem s XWindow serverom na vashej sisteme. Nekotorye pol'zovateli formiruyut svoi scenarii obolochki, soderzhashchie komandy xhost dlya kazhdogo klienta, kotoryj oni mogli by kogda-libo ispol'zovat', i eto - konechno defekt.

Fundamental'naya problema s zashchitoj XWindow sostoit v tom, chto, kak tol'ko server razreshaet sisteme klienta soedinit'sya s nim, lyubaya programma, protekayushchaya v etom kliente mozhet obrashchat'sya k serveru displeya.

Dokumentirovanie ustanovok i politiki bezopasnosti

1. Opredelite razlichnye tipy pol'zovatelej i dannye, k kotorym oni dolzhny imet' dostup.

2. Organizujte gruppy v zavisimosti ot raboty, kotoruyu pol'zovateli dolzhny vypolnyat'.

5. Pomnite, chto UNIX i AIX, v chastnosti, ne imeet koncepcii vladeniya prilozheniyami.

Upravlenie pol'zovatelyami

Scheta Pol'zovatelya

Upravlenie schetami pol'zovatelya - naibolee standartnaya funkciya administratora sistemy.

"Tradicionnaya" sistema UNIX dlya dobavleniya ili udaleniya pol'zovatelya trebuet, chtoby administrator redaktiroval neskol'ko fajlov (tipa /etc/passwd i /etc/group). Bolee pozdnie pokoleniya UNIX obespechivayut komandy (ili scenarii obolochki), tipa mkuser, dlya obshchih dejstvij upravleniya pol'zovatelyami.

AIX, i nekotorye drugie sovremennye versii UNIX, obespechivaet instrumental'nye sredstva s bolee vysokim urovnem upravleniya pol'zovatelyami. Instrument AIX - SMIT.

Vozmozhno vypolnyat' upravlenie pol'zovatelyami v AIX, redaktiruya razlichnye fajly, ili ispol'zuya mkuser i podobnye etoj komandy. Odnako, nastoyatel'no rekomenduetsya ispol'zovat' SMIT.

Upravlenie pol'zovatelyami vklyuchaet v sebya ispol'zovanie tenevyh fajlov (dlya luchshej zashchity), razlichnye kvoty pol'zovatelej (dlya luchshego upravleniya resursami), ogranicheniya vhoda v sistemu (dlya luchshej zashchity), kriterii parolya (dlya luchshih parolej) i t.d.

Dlya upravleniya pol'zovatelyami v AIX imeetsya bol'she administrativnyh fajlov, kotorye dolzhny modificirovat'sya, s vzaimno neprotivorechivymi parametrami, chem v tradicionnyh sistemah UNIX.

Ispol'zovanie SMIT uproshchaet i namnogo snizhaet veroyatnost' oshibki v etom dele, v otlichie pryamogo redaktirovaniya vseh etih fajlov ili ispol'zovaniya komand nizshego urovnya. Ispol'zujte SMIT!

Vy budete inogda stalkivat'sya s utverzhdeniyami o tom, chto "real'nye guru UNIX" vsegda upravlyayut sistemami redaktiruya bazisnye fajly (tipa /etc/passwd). |to utverzhdenie bylo verno neskol'ko let nazad. |to ne verno segodnya.

Nizhesleduyushchee obsuzhdenie otnositsya k administrirovaniyu, kotoroe vypolnyaetsya neposredstvenno na sisteme.

Process inicializacii pol'zovatelya

Kogda pol'zovatel' vhodit v sistemu sistema ustanavlivaet dlya nego okruzhenie ispol'zuya informaciyu iz treh fajlov:

ž /etc/profile komandnyj scenarij obolochki, kotoryj kontroliruet obshchesistemnye peremennye po umolchaniyu. Naprimer, TERM, MAILMSG, MAIL.

ž /etc/environment V etom fajle opredelyaetsya bazovoe okruzhenie dlya vseh processov. Dlya primera: HOME, LANG, TZ, NLSPATH.

ž $HOME/.profile Sobstvennyj profil' pol'zovatelya v ego direktorii. Pol'zovatel' lichno mozhet ukazat' svoi sobstvennye predpochteniya otmenyaya komandy i znacheniya peremennyh zadannyh v fajle /etc/profile.

Poryadok vhoda v sistemu

Kogda pol'zovatel' vyhodit iz sistemy obolochka prekrashchaet rabotu i process init sozdaet novyj process getty dlya dannogo porta.

Parametry Pol'zovatelya v SMIT

Nizhesleduyushchee menyu SMIT ispol'zuetsya dlya dobavleniya ili izmeneniya oblastej opredeleniya pol'zovatelya. Podmnozhestva etih teh zhe samyh edinic menyu proizvedeny drugimi menyu SMIT. Oznakom'tes' s sistemnymi znacheniyami po umolchaniyu pered resheniem, kak ispol'zovat' elementy v nizhesleduyushchem menyu.

Nomera strok (cifry s 1 do 42) ne pokazyvayutsya na ekrane, no pomogayut nizhesleduyushchemu obsuzhdeniyu. Nekotorye iz etih opcij vazhny dlya zashchity i dolzhny byt' ponyaty administratorom.

Vvedite userid (stroka 1, User NAME) dlya novogo pol'zovatelya. Userid dolzhen byt' unikalen na dannoj sisteme. Identifikator pol'zovatelya (stroka 2) - UID. Process SMIT avtomaticheski naznachit sleduyushchij UID; bez yavnoj neobhodimosti administrator ne dolzhen otmenit' predlozhennoe znachenie etogo polya. Ostav'te znachenie etogo polya pustym.

Administrativnye polya (stroki 3 i 6) opisany pozzhe. Ostav'te eti polya neizmenyaemymi (to est' "false" i probel) dlya obychnyh pol'zovatelej.

Pol'zovatel' mozhet pole vhoda v sistemu (stroka 14) opredelyaet, mozhet li etot pol'zovatel' vhodit' v sistemu neposredstvenno (kosvennyj vhod v sistemu chastichno upravlyaetsya strokami 7,8 i 15). Obychnomu pol'zovatelyu nuzhno pozvolyat' registrirovat'sya v sisteme. Standartnye scheta sistemy, tipa bin, yavlyayutsya special'nymi sluchayami, kotorym ne nuzhno razreshat' nikakogo vhoda v sistemu. Drugoj special'nyj sluchaj - pol'zovatel' root, kotoryj obsuzhden pozzhe. |tot parametr ustanavlivaet flazhok v stanze fajla /etc/security/user v otnoshenii etogo pol'zovatelya. |to ne ustanavlivaet zvezdochku v pole parolya v /etc/passwd, chtoby zapretit' vhod v sistemu.

GRUPPY SU (stroka 8), SU POLXZOVATELYU (stroka 7), i VHOD V SISTEMU DISTANCIONNO (stroka 15) sredstvami upravleniya mogut ispol'zovat'sya, chtoby ogranichit' dostup k etomu schetu. Pokazyvayutsya normal'nye (i znachenie po umolchaniyu) znacheniya. |ti znacheniya po umolchaniyu razreshayut dostup k schetu neskol'kimi sposobami.

SU POLXZOVATELYU opredelyaet, mozhet li lyuboj drugoj pol'zovatel' ispol'zovat' etot schet, ispol'zuya komandu su. Tol'ko root mozhet su k schetu, esli etot flazhok ustanovlen v false. Esli SU POLXZOVATELYU ustanovlen v true, pole GRUPPY SU obespechivaet nekotoryj kontrol' nad tem, kakie pol'zovateli mogut su k etomu schetu. Tol'ko chlenam grupp pol'zovatelej, perechislennyh v etom pole razresheno su k etomu schetu. |to pole ne effektivno dlya root, tak kak root mozhet su k schetu nezavisimo ot ogranichenij gruppy. Znachenie po umolchaniyu all - klyuchevoe slovo, oznachayushchee vse gruppy (znak vosklicaniya, predshestvuyushchij gruppe sluzhit simvolom otricaniya, to est' chlenov imenovannoj gruppy ne razresheno su k etomu userid.)

Pole VHODA V SISTEMU DISTANCIONNO upravlyaet dostupom cherez rlogin i telnet sredstva TCP/IP. Esli znachenie ustanovleno v true (znachenie po umolchaniyu), lyuboj mozhet registrirovat' pod etim schetom, ispol'zuyutsya telnet, esli on znaet parol' scheta. |tot parametr ne upravlyaet dostupom cherez funkciyu ftp TCP/IP.

NACHALXNAYA PROGRAMMA (stroka 10) - imya (s polnym putem) programmy, kotoroj budet dano upravlenie, kogda etot pol'zovatel' zaregistriruetsya v sisteme. |to - obychno imya obolochki, tipa /usr/ksh. Esli eto pole pusto (normal'nyj sluchaj), nachal'noe imya programmy beretsya iz fajla /etc/security/mkuser.default.

V pole DATA OKONCHANIYA (stroka 12) obychno stavyat znachenie 0 (oznachayushchij nikakuyu datu okonchaniya). Format daty pokazyvaetsya v menyu. Tipichnym znacheniem moglo by byt' chislo "0330000099" (MMDDhhmmyy). |tot parametr polezen dlya vremennyh schetov, tipa schetov dlya posetitelej ili podryadchikov. Schet budet zablokirovan posle opredelennoj daty.

Pole BLOKIROVKA SCHETA (stroka 13) obychno ustanovleno v false, i mozhet ispol'zovat'sya kak sredstvo upravleniya, chtoby otklyuchit' userid. (|to ne budet vynuzhdat' pol'zovatelya vyjti iz sistemy, esli on v nastoyashchee vremya zaregistrirovan v nej.)

Vy mozhete ogranichivat' vremya registracii pol'zovatelya opredelennymi chasami, ispol'zuya VREMYA VHODA V SISTEMU (stroka 16). Imeyutsya neskol'ko formatov dlya etogo parametra, i oni ob®yasneny v kommentariyah dlya fajla /etc/security/user (sm.Fajl /etc/security/user). |to vremya otnositsya tol'ko k dopustimomu vremeni registracii v sisteme i ne otnositsya k dopustimomu vremeni raboty v sisteme.

DOPUSTIMYE TTYs (stroka 19) opredelyaet terminaly, kotorye etot schet mozhet ispol'zovat' (eta stroka ne upravlyaet psevdo-terminalami, kakie ispol'zuetsya telnet i drugimi udalennymi soedineniyami). Polnye imena puti terminalov dolzhny byt' zadany yavno, naprimer /dev/tty1. Simvol "!" pered imenem terminala oznachaet, chto terminal ne mozhet ispol'zovat'sya. Klyuchevoe slovo ALL oznachaet, chto mogut ispol'zovat'sya vse terminaly. Sposobnost' ogranichivat' konkretnyh pol'zovatelej konkretnymi terminalami mozhet byt' sil'nym instrumentom zashchity, no dolzhna ispol'zovat'sya s ostorozhnost'yu. Naprimer, pol'zovatel' root mog by byt' ogranichen lokal'nym pul'tom, hotya eto mozhet stat' problemoj v sluchae apparatnoj problemy.

Parametr WARN USER (stroka 20) zastavlyaet vydat' preduprezhdayushchee soobshchenie pri registracii pol'zovatelya v sisteme, esli ego parol' dolzhen v skorom vremeni istech'. Rekomenduetsya ispol'zovat' etot parametr, esli predpisano izmenenie parolya (stroka 25). Pol'zovatel' nuzhdaetsya v nekotorom vremeni, chtoby vydumat' novyj horoshij parol'.

Pole OPOZNAVATELXNAYA GRAMMATIKA (stroka 18) dolzhen byt' ostavlen so znacheniem po umolchaniyu "compat". |to pole budet ispol'zovat'sya s budushchimi rasshireniyami dlya raspredelennyh sistem.

Razlichnye sredstva upravleniya parolem (stroki 21 - 31) obsuzhdeny pozzhe. Predlagaetsya, chtoby vy ostavili eti linii neizmennymi. Ne vvedite chto-nibud' v pole REGISTRACII PAROLYA (stroka 32). |to pole vvedeno dlya budushchego ispol'zovaniya s DCE ili drugimi udalennymi funkciyami registracii.

Ogranicheniya processa (stroki s 33 po 37) obespechivayut nekotoruyu zashchitu protiv programm vyhodyashchih iz-pod kontrolya.

Maksimal'nyj razmer FAJLA (stroka 33) op-redelyaet verhnij ogranichenie dlya parametra ulimit. Ulimit - maksimal'nyj razmer (v modulyah 512 bajtov) fajla, sozdannogo etim pol'zovatelem. Pol'zovatel' mozhet izmenyat' znachenie s komandoj ulimit, no ne mozhet prevyshat' nabor znachenij v pole, ukazannoe administratorom v SMIT. Minimal'noe znachenie, predlagaemoe SMIT - 8192. Obratite vnimanie, chto etot maksimal'nyj razmer fajla - dlya odnogo fajla; eto znachenie ne ogranichivaet obshchee kolichestvo diskovogo prostranstva, ispol'zovannogo etim pol'zovatelem.

Parametr VREMYA CENTRALXNOGO PROCESSORA (stroka 34) ogranichivaet maksimal'nuyu prodolzhitel'nost' techeniya lyuboj odinochnoj programmy. Znachenie ukazyvaetsya v sekundah. Kogda process prevyshaet eto ogranichenie vremeni, on preryvaetsya AIX. Pol'zovatel' vidit soobshchenie ob oshibke i novuyu podskazku obolochki.

UMASK (stroka 38) - znachenie po umolchaniyu peremennoj umask dlya pol'zovatelya. Pol'zovatel' mozhet izmenit' eto znachenie vo vremya odinochnogo seansa komandoj umask.

Ne izmenite stroki 39-42 (KLASSY AUDITA, DOVERENNYJ PUTX, PERVICHNYJ METOD AUTENTIFIKACII, VTORICHNAYA AUTENTIFIKACIYA) esli vy ne imeete specificheskih trebovanij.

V rezul'tate opredeleniya novogo pol'zovatelya (ispol'zuya panel' SMIT, pokazannuyu vyshe) budut vneseny sleduyushchie dobavleniya k sleduyushchim fajlam:

1. Fajl /etc/passwd budet soderzhat' novuyu stroku, opredelyayushchuyu pol'zovatelya.

2. Fajl /etc/security/passwd budet soderzhat' novuyu stanzu dlya shifrovannogo parolya pol'zovatelya i neskol'kih flazhkov.

3. Fajl /etc/security/user budet soderzhat' novuyu stanzu, soderzhashchuyu nekotorye iz ogranichenij pol'zovatelya.

4. Fajl /etc/group budet izmenen, chtoby dobavit' novogo pol'zovatelya v odnu ili bol'shee kolichestvo grupp.

5. Fajl /etc/security/limits budet soderzhat' novuyu stanzu, soderzhashchuyu nekotorye iz otnosyashchihsya k okruzheniyu ogranichenij pol'zovatelya.

6. Fajl /etc/security/.ids budet modificirovan, chtoby soderzhat' sleduyushchij dostupnyj UID.

7. Direktoriya /home budet soderzhat' novuyu direktoriyu, kotoraya yavlyaetsya ishodnoj direktoriej dlya novogo pol'zovatelya.

Sistemnye znacheniya po umolchaniyu

Mnogie iz polej menyu, perechislennyh vyshe mogli by byt' luchshe vsego ustanovleny kak znacheniya po umolchaniyu dlya vseh pol'zovatelej, vmesto individual'nyh znachenij kazhdogo pol'zovatelya. Naprimer, vy mogli by hotet' ustanovit' maksimal'nyj vozrast parolya (stroka 26) dlya vseh pol'zovatelej.

Bol'shinstvo parametrov pol'zovatelya hranitsya v fajle /etc/security/user. V nem imeetsya stanza dlya kazhdogo opredelyaemogo pol'zovatelya v sisteme i stanza dlya znachenij po umolchaniyu. Kak root, administrator mozhet redaktirovat' zadannuyu po umolchaniyu stanzu (ispol'zuya vi ili drugoj vash lyubimyj redaktor) i izmenit' znacheniya po umolchaniyu.

Izmeneniya vstupayut v silu nemedlenno pri sleduyushchej registracii pol'zovatelej v sisteme, esli, konechno, konkretnyj pol'zovatel' ne imeet znacheniya otmeny v ego stanze. Takzhe, parametry v zadannoj po umolchaniyu stanze poyavyatsya kak znacheniya po umolchaniyu pri dobavlenii novogo pol'zovatelya s pomoshch'yu SMIT.

Iz 42 strok menyu, otobrazhaemyh SMIT pri dobavlenii ili izmenenii parametrov pol'zovatelya, 30 strok hranyatsya v fajle /etc/security/user.

Fajl /etc/security/limits organizovan takim zhe obrazom, i znacheniya po umolchaniyu dlya shesti ogranichenij pol'zovatelya (maksimal'nyj razmer fajla i t.d) mogut byt' ustanovleny v etom fajle.

Preimushchestva ustanovki znachenij po umolchaniyu vmesto mnogih individual'nyh znachenij pol'zovatelya ochevidny. Znacheniya po umolchaniyu mogut byt' izmeneny legko. Individual'nye zhe znacheniya pol'zovatelya dolzhny byt' chetko opredeleny, esli tol'ko oni dolzhny byt' otlichnymi ot znachenij po umolchaniyu.

Fajly /etc/security/user i /etc/security/limits ispol'zuyutsya vsyakij raz, kogda pol'zovatel' registriruetsya v sisteme; na teh pol'zovatelej, kotorye v moment izmenenij zaregistrirovany v sisteme izmeneniya ne budut vozdejstvovat'.

Tenevye fajly

Tradicionnyj UNIX dlya upravleniya pol'zovatelyami ispol'zuet fajl /etc/passwd. Pol'zovatel' sozdaetsya dobavleniem stroki v etot fajl. Parol' pol'zovatelya v zashifrovannoj forme hranitsya v etoj stroke. Drugie klyuchevye parametry, takie kak UID pol'zovatelya, zadannaya po umolchaniyu gruppa, ego ishodnaya direktoriya, i ego nachal'naya programma (obychno obolochka) takzhe opredeleny v etoj stroke.

Stroki v fajle /etc/passwd ispol'zuyutsya mnogimi programmami, chtoby translirovat' mezhdu UID (vnutrennyaya chislovaya identifikaciya pol'zovatelya) i userid (vneshnyaya identifikaciya pol'zovatelya). Po etoj prichine fajl /etc/passwd dolzhen byt' chitaem lyuboj programmoj i lyubym pol'zovatelem. To est' etot fajl dolzhen byt' chitaemym vsemi. |to oznachaet, chto vse paroli pol'zovatelej, hotya i v shifrovannom vide, mozhet prochitat' lyuboj. To est', hotya i zashifrovannye, paroli vystavleny dlya lyubogo pol'zovatelya dlya issledovaniya.

Standartnaya shema shifrovaniya parolya UNIX (ispol'zuemaya fakticheski vsemi sistemami UNIX, vklyuchaya AIX) pri ee razrabotke rassmatrivalas' kak ochen' horoshaya. Poyavlenie bolee skorostnyh processorov sdelalo etu shemu shifrovaniya ne takoj uzh i nadezhnoj, a budushchee usilenie vychislitel'noj tehniki budut delat' etu situaciyu eshche huzhe. Vskrytie parolej osnovano v osnovnom pri predpolozhenii parolej. Avtomatizirovav process, osnovannyj na bol'shih slovaryah veroyatnyh parolej, programma predpolozheniya parolya budet chasto preuspevat' v rasshifrovke parolej dlya nekotoryh pol'zovatelej v lyuboj bol'shej sisteme UNIX. Programmy vskrytiya parolej trebuyut dostupa k shifrovannym parolyam. Esli shifrovannye paroli nahodyatsya v fajle /etc/passwd, oni legko dostupny lyubomu.

Reshenie bylo najdeno: trebuetsya chtoby (fakul'tativno) peremestit' shifrovannye paroli v drugoj fajl. |tot "drugoj" fajl nazyvaetsya tenevym fajlom.

Dlya AIX tenevym fajlom yavlyaetsya fajl /etc/security/passwd. Stroka v fajle /etc/passwd mozhet imet' chetyre znacheniya v pole parolya (vtoroe pole v stroke):

1. Pole parolya imeet nulevoe (pustoe) znachenie. Nulevoe (pustoe) pole parolya oznachaet, chto ne trebuetsya parolya dlya etogo userid.

2. Zvezdochka. |to oznachaet, chto userid otklyuchen. (AIX obychno ispol'zuet drugoe pole v /etc/security/user, chtoby otklyuchit' pol'zovatelya, no ispol'zuet metod zvezdochki, kogda pol'zovatel' uzhe opredelen.)

3. Simvol vosklicaniya. |to oznachaet, chto shifrovannyj parol' nahoditsya v tenevom fajle /etc/security/passwd. |to - standartnyj variant dlya AIX.

Nekotorye scheta mogut pomeshchat' zashifrovannye paroli v fajl /etc/passwd, i drugie scheta mogut imet' ih zashifrovannye paroli v tenevom fajle /etc/security/passwd. AIX budet rabotat' pravil'no v oboih sluchayah, no nastoyatel'no rekomenduetsya ne razmeshchat' shifrovannye paroli v fajle /etc/passwd.

SMIT i komanda passwd avtomaticheski pomestit simvol vosklicaniya v fajl /etc/passwd i pomestit zashifrovannyj parol' v fajl /etc/security/passwd.

Imeyutsya nekotorye drugie fajly v direktorii /etc/security. Oni vse svyazany so sredstvami upravleniya bezopasnosti i inogda nazyvayutsya "fajlami tenevoj zashchity''.

Paroli

Kogda novyj pol'zovatel' dobavlyaetsya s pomoshch'yu SMIT, schet avtomaticheski blokiruetsya, pomeshchaya zvezdochku vo vtorom pole (pole parolya) stroki fajla /etc/passwd dlya novogo pol'zovatelya. Administrator (rabotayushchij kak root) dolzhen ispol'zovat' SMIT ili komandu passwd i zadat' nachal'nyj parol' dlya pol'zovatelya.

Tak kak parol' byl ustanovlen administrativnym pol'zovatelem (root), novogo pol'zovatelya pri pervoj popytke registracii v sisteme poprosyat ego izmenit' (flazhok ADMCHG vo vhode pol'zovatelya v fajle /etc/security/passwd ukazyvaet, chto trebuetsya izmenenie parolya). Ustanovka nachal'nogo parolya daet vozmozhnost' novomu pol'zovatelyu s novym schetom zaregistrirovat'sya v sisteme.

Komanda passwd - obychnaya komanda UNIX dlya izmeneniya parolej. Komanda mozhet ispol'zovat'sya lyubym pol'zovatelem, chtoby izmenit' ego sobstvennyj parol', ili ispol'zovat'sya root dlya izmeneniya parol' lyubogo pol'zovatelya.

Ne imeetsya nikakogo specificheskogo preimushchestva dlya ispol'zovaniya SMIT dlya izmeneniya parolej; komanda passwd delaet to zhe samoe delo.

Funkciya SMIT dlya izmeneniya parolya nahoditsya v tom zhe samom menyu chto i funkciya dlya dobavleniya novogo pol'zovatelya. |to obychno udobno dlya administratora, chtoby ustanovit' nachal'nyj parol' dlya novogo pol'zovatelya nemedlenno posle togo, posle togo kak on sozdal novogo pol'zovatelya, i zdes' funkcii SMIT udobny.

V nekotoryh sluchayah, neobhodimo sozdat' neskol'ko novyh pol'zovatelej, no ne dopuskat' ih v sistemu (to est' ne naznachit' im nachal'nye paroli).

Naprimer, novaya gruppa studencheskih userid mogla by byt' sozdana v udobnoe dlya administratora vremya, no ne byt' dopushchennoj dlya registracii v sistemu, poka ne nachnetsya uchebnyj period. V etom sluchae, ispol'zovanie komandy passwd mozhet byt' bolee udobno, chem ustanovka parolej cherez SMIT.

Ne zabud'te, chto administrator (upravlyaya kak root) dolzhen vsegda naznachat' nachal'nyj parol' dlya aktivizacii novogo scheta. I eto yavlyaetsya odnim iz obshcheizvestnyh defektov bezopasnosti.

Kakoj parol' dolzhen nabrat' administrator kak nachal'nyj parol'? Administratory imeyut tendenciyu ustanavlivat' obshchij parol', tipa imeni pol'zovatelya ili nazvaniya otdela, dlya vseh novyh pol'zovatelej. Pri znanii etogo, lyuboj "zloumyshlennik", znayushchij principy prisvoeniya nachal'nogo parolya, mozhet "zahvatit'" novyj schet zaregistrirovavshis' v sisteme bystree chem dopustimyj pol'zovatel'.

1. Administrator mozhet ustanavlivat' neizvestnyj parol' (razlichnyj dlya kazhdogo novogo pol'zovatelya) i soobshchat' ego konkretnomu pol'zovatelyu.

2. Administrator mozhet ne ustanavlivat' nachal'nyj parol', poka novyj pol'zovatel' ne gotov zaregistrirovat'sya v sisteme. |to oznachaet, chto budet imet'sya nekij korotkij period, poka opredelen standartnyj nachal'nyj parol'.

V lyubom sluchae, novomu pol'zovatelyu budet vydan zapros na izmenenie ego parolya pri pervoj registracii v sistemu.

Mnogo vzlomov zashchity nachinayutsya s nedostatochno "stojkih" parolej. Problema kachestva parolej byla obsuzhdena mnogo raz vo mnogih publikaciyah; eti obsuzhdeniya ne budut povtoreny zdes'. Stoit otmetit' bazisnye rukovodyashchie principy vybora "ctojkih" parolej:

2. Esli Vy ispol'zuete tot zhe samyj parol' na bol'she chem na odnoj sisteme, bud'te vdvojne ostorozhnee. Nikogda ne ispol'zujte tot zhe samyj parol' root na raznyh sistemah.

4. Ne ispol'zujte slova, kotorye mogut byt' najdeny v slovare, osobenno eto aktual'no dlya setevoj ili bol'shoj mnogopol'zovatel'skoj sistemy.

6. Ne ispol'zujte rugatel'nye ili nepristojnye slova; oni - sredi pervyh slov, kotorye probuyut pri vskrytii parolej.

11. Slovo (dlinoj po krajnej mere v shest' simvolov), s cifroj, vstavlennoj v slovo, yavlyaetsya prevoshodnym parolem (no ne formirujte cifru, zamenyaya bukvu "l" na "1" ili bukvu "o" na cifru "0'').

12. Slovo s cifroj vnutri - luchshij parol' chem slovo s pervoj ili poslednej cifroj.

14. AIX proveryaet tol'ko pervye vosem' simvolov parolya. Odnako slovo mozhet byt' bolee dlinnoe chem vosem' simvolov.

Vy mozhete opredelyat' kachestvo parolya i pravila ego sostavleniya dlya kazhdogo pol'zovatelya, ili dlya vseh, redaktiruya zadannuyu v fajle /etc/security/user stanzu po umolchaniyu.

Individual'nye ustanovki po upravleniyu mogut byt' ustanovleny, ispol'zuya menyu SMIT. Sredstva upravleniya:

Znacheniya po umolchaniyu ne obespechivayut nikakih sredstva upravleniya kachestvom parolej. |to sdelano namerenno, poskol'ku eto sootvetstvuet ozhidaemoj harakteristike "standartnogo" UNIX.

Maxage/minage opredelyaet maksimal'nyj/minimal'nyj vozrast parolya (v nedelyah). Znachenie po umolchaniyu - 0 na obeih strokah, chto ukazyvaet, chto parol' ne imeet nikakogo minimal'nogo ili maksimal'nogo vozrasta. Rekomenduetsya, chtoby vy ne ispol'zovali parametr minage. |to mozhet vyzvat' konfliktnye situacii.

Rassmotrite vozmozhnost' ispol'zovaniya men'shih znachenij parametra maxage dlya privilegirovannyh pol'zovatelej tipa root i chlenov gruppy system. Ranee sushchestvoval spor o tom neobhodimo li pol'zovatelyu vremya posle okonchaniya vremeni dejstviya parolya na obdumyvanie novogo parolya ili net. Esli pol'zovatelya zhestko potrebuyut srochno pomenyat' ego parol', on mozhet vybrat' novyj parol' trivial'nym ili nedostatochno "stojkim". Tak kak pol'zovatel' registriruetsya v sisteme dlya svoej celi, on ne mog ser'ezno ranee podumat' o svoem novom parole.

Parametr pwdwarntime (opredelennyj v dnyah) zastavlyaet AIX preduprezhdat' pol'zovatelya prezhde, chem istechet vremya dejstviya ego parolya. |to pozvolyaet pol'zovatelyu izmenit' ego parol' zablagovremenno i obychno obespechivaet luchshee "kachestvo" parolya.

Parametry maxrepeat, mindiff, minlen, minalpha, i minother obespechivayut bazisnye sredstva upravleniya kachestvom parolej. Oni upravlyayut maksimal'nom chislom povtoreniya simvolov, minimal'nym chislom simvolov, ukazyvayut na to, chto novyj parol' dolzhen otlichit'sya ot predydushchego, minimal'noj dlinoj, minimal'nym chislom bukvennyh simvolov, i minimal'nym chislom nebukvennyh simvolov, kotorye dolzhny poyavit'sya v parole.

AIX imeet opciyu, chtoby pomnit' starye paroli (ispol'zuyutsya fajly /etc/security/pwdhist.dir i /etc/security/pwdhist.pag). Parametr histexpire opredelyaet chislo nedel', kotorye dolzhny protech' do togo, kak parol' mozhet vtorichno ispol'zovat'sya.

Parametr histsize opredelyaet chislo drugih parolej, kotorye dolzhny ispol'zovat'sya prezhde, chem dannyj parol' mozhet ispol'zovat'sya snova.

AIX obespechivaet eshche dve funkcii upravleniya kachestvom parolya. Mozhet byt' opredelen fajl nedopustimyh parolej (s parametrom dictionlist=) i mozhet byt' opredelen spisok programm pol'zovatelya (s parametrom pwdchecks=) chtoby vypolnit' lyubuyu nastroennuyu proverku parolya.

Fajlom nedopustimyh parolej mog by byt' fajl /usr/share/dict/words (esli on prisutstvuet v vashej sisteme) ili lyuboj drugoj fajl so spiskom slov. |ti parametry mogut byt' ustanovleny dlya individual'nyh pol'zovatelej cherez SMIT ili ustanovleny kak znacheniya po umolchaniyu v fajle /etc/security/user.

Fajly, svyazannye so schetami pol'zovatelej

Fajly, kotorye svyazany s upravleniem pol'zovatelyami, perechisleny nizhe s kratkimi kommentariyami. Pochti vse fajly, neposredstvenno svyazannye s upravleniem pol'zovatelyami i gruppami nahodyatsya v direktorii /etc/security.

1. Fajl /etc/security/.ids Ne redaktirujte etot fajl. On soderzhit posledovatel'nost' chisel dlya ispol'zovaniya komandoj mkuser tak, chtoby novaya gruppa ili pol'zovatel' vsegda poluchila unikal'nyj uid/gid. Fajl modificiruetsya avtomaticheski razlichnymi komandami, vyzyvaemymi (vnutrenne) SMIT.

Gde: 6 = sleduyushchij administrativnyj nomer uid
221 = sleduyushchij nomer uid
12 = sleduyushchij administrativnyj nomer gid
206 = sleduyushchij nomer gid

3. Fajl /etc/security/group soderzhit dopolnitel'nuyu informaciyu gruppy, tipa flazhkov admin i adms.

4. Fajl /etc/security/login.cfg soderzhit stanzy dlya ryada sredstv upravleniya dlya vsej sistemy. Ne imeetsya nikakih stanz konkretnyh pol'zovatelej ili grupp. |ti sredstva upravleniya voobshche svyazany ispol'zovaniem porta i terminalov. Kommentarii v fajle opisyvayut ego funkcii i formaty ochen' yasno. Stanzy vklyuchayut:

6. Fajl /etc/security/passwd soderzhit zashifrovannye paroli, shtamp vremeni poslednej modifikacii, i flazhok, ukazyvayushchego na to, modificirovalsya li parol' administratorom (esli da, to pol'zovatelyu pri sleduyushchej popytke zaregistrirovat'sya v sisteme budet vydan zapros na izmenenie ego parolya).

7. Fajly /etc/passwd.dir i /etc/passwd.pag sozdany komandoj mkpasswd i soderzhat malen'kie struktury bazy dannyh, chtoby uskorit' dostup k userid fajlam upravleniya. Ne redaktirujte eti fajly.

8. Fajl /etc/security/user soderzhit bol'shinstvo parametrov upravleniya pol'zovatelyami.

9. Fajl /etc/security/environ mozhet soderzhat' otnosyashchiesya k okruzheniyu atributy dlya pol'zovatelej.

11. Fajl /usr/lib/security/mkuser.default soderzhit neskol'ko znachenij po umolchaniyu, ispol'zuemye pri sozdanii novogo pol'zovatelya. Vy mozhete redaktirovat' etot fajl neposredstvenno. On soderzhit zadannuyu po umolchaniyu gruppu, zadannuyu po umolchaniyu nachal'nuyu programmu (obolochku), i zadannoe po umolchaniyu imya ishodnoj direktorii dlya novogo pol'zovatelya.

12. Fajl /etc/security/failedlogin soderzhit zapisi o kazhdom sboe vhoda v sistemu. Fajl mozhet otobrazhat'sya komandoj who:

|tot primer perenaznachit vyvod v fajl /tmp/check. Ne redaktirujte etot fajl. Odnako, periodicheski vy mogli by udalyat' ego. |tot fajl ne tak polezen, kak moglo by pokazat'sya, potomu chto v nem ne zapisyvayutsya nedopustimye userid (lyuboj userid, kotoryj ne prisutstvuet v vashem fajle /etc/passwd). Nedopustimye userid registriruyutsya kak UNKNOWN.

13. Fajl /etc/security/lastlog imeet odnu stanzu na pol'zovatelya i soderzhit informaciyu o neskol'kih poslednih vhodah v sistemu (imeyushchih silu i nedopustimyh). Informaciya iz etogo fajla otobrazhaetsya pri vhode v sistemu pol'zovatelya. Vy mozhete prochitat' etot fajl, no ne redaktirovat' eto (vremennye otmetki (shtampy) nechitabel'ny lyud'mi).

14. Fajl /etc/security/.profile - prototip dlya fajla $HOME/.profile dlya novyh pol'zovatelej. Vy mozhete redaktirovat' etot fajl kogda trebuetsya. Nekotorye iz etih fajlov imeyut vtoruyu, bolee staruyu, kopiyu v direktorii /etc/security, kotoraya sozdaetsya avtomaticheski pri izmenenii etih fajlov. "Staraya" kopiya imeet simvol "o" kak pervyj simvol imeni fajla. Naprimer, sushchestvuyut fajly /etc/security/limits i /etc/security/olimits.

Upravlenie zadaniyami

Poisk sistemnyh processov

Dlya polucheniya spiska vseh sistemnyh processov, krome processov yadra, ispol'zujte komandu ps -ef.

Ostanovka processov

ž Dlya ostanovki foreground processov ispol'zujte kombinaciyu klavish preryvaniya (obychno Ctrl+C).
ž Dlya ostanovki background processov ispol'zujte komandu kill.
ž Dlya ostanovki zadanij crontab zakommentirujte sootvetstvuyushchuyu stroku zadaniya v crontab fajle.
ž Dlya ostanovki demona cron zakommentirujte stroku zapuska etogo demona v fajle /etc/inittab ispol'zuya komandu chitab.

Komandnyj fajl (scenarij) skulker

AIX postavlyaetsya s fajlom /usr/sbin/skulker, obychno izvestnym kak skulker. |to - scenarij obolochki, kotoryj udalyaet ryad nezhelatel'nyh fajlov.

Vy mozhete vypolnyat' skulker iz komandnoj stroki (esli Vy - root), ili Vy mozhete vypolnyat' ego avtomaticheski (ispol'zuya cron). |ta komanda avtomaticheski ne vypolnyaetsya cron v bazovoj sisteme AIX.

Imeetsya stroka v fajle /var/spool/cron/crontabs/root dlya vklyucheniya etoj komandy v scenarij cron, no, po umolchaniyu, eta stroka zakommentirovana.

ž Zapisannye v bufernyj fajl vyhodnye fajly nahodyashchiesya tam bolee chem chetyre dnya;
ž Fajly, nahodyashchiesya v ocheredi pochty bol'she chem dva dnya;
ž Obychnye fajly v /tmp, kotorye nahodyatsya tam bol'she chem odin den';
ž Obychnye fajly v /var/tmp, kotorye nahodyatsya tam bol'she chem odin den';
ž Fajly *.bak, .*.bak, a.out, core, proof, galley, ...*, ed.hup (s nekotorymi ogranicheniyami), kotorye nahodyatsya tam bol'she chem odin den';
ž Direktorii .putdir, kotorye nahodyatsya tam bol'she chem odin den'.

Vy mozhete izmenyat' parametry skulker, no bud'te vnimatel'ny. |to izmenenie vypolnyaetsya s polnomochiyami root, i lyubye izmeneniya dolzhny byt' horosho provereny.

Kontrolirovanie ispol'zovaniya funkcij cron i at

Sistemnym processom, kotoryj pozvolyaet zapuskat' raboty, kotorye dolzhny byt' vypolneny v opredelennoe vremya, yavlyaetsya demon cron. |tot demon startuet pri starte sistemy soglasno zapisi v fajle /etc/inittab.

ž dlya vypolneniya regulyarnyh komand po raspisaniyu - pri nastuplenii sobytij komandy crontab;
ž dlya vypolneniya komand, kotorye dolzhny byt' vypolneny odin raz - pri nastuplenii sobytij komandy at;
ž dlya vypolneniya komand, kotorye dolzhny vypolnitsya v tot moment, kogda sistema menee vsego zagruzhena - pri nastuplenii sobytij komandy batch.

Hronologicheskie sobytiya konfiguriruyutsya v fajle /var/adm/cron/queuedefs. Vy dolzhny chitat' dokumentaciyu AIX dlya komandy crontab pered ispol'zovaniem funkcij cron. V to vremya kak vozmozhno redaktirovanie nekotorye cron fajlov neposredstvenno, komanda crontab obespechivaet normal'nyj metod dobavleniya, izmeneniya, i udaleniya cron rabot.

Sistema AIX cron (cherez komandu crontab) formiruet otdel'nye fajly dlya rabot ot razlichnyh pol'zovatelej, i v nej udaleny mnogie defekty root, kotorye byli horosho izvestny na bolee staryh UNIX sistemah.

Raboty pol'zovatelya (user) opredeleny v crontab fajle pol'zovatelya /var/spool/cron/crontabs/user. Format crontab fajla pol'zovatelya:

Vy dolzhny rassmotret', nuzhno li lyubogo iz vashih normal'nyh pol'zovatelej razreshit' predstavit' na rassmotrenie cron ili pri rabotah. Na bolee rannih sistemah, imelas' obshchaya potrebnost' v etih funkciyah, potomu chto ne imelos' dostatochnoj moshchnosti processora, chtoby vypolnit' mnogo rabot interaktivno. |to izmenilos' na bolee sovremennyh sistemah.

Segodnya, naibolee obshchee ispol'zovanie etih funkcij dolzhno vypolnit' regulyarno planiruemye promyshlennye raboty. Vy ne mozhete hotet' vashih normal'nyh pol'zovatelej, predstavlyayushchih lyuboj cron ili pri rabotah.

Imeyutsya dva sposoba upravlyat' ispol'zovaniem etih funkcij. Vy mozhete zapreshchat' opredelennym pol'zovatelyam iz ispol'zovaniya etih funkcij, ili Vy mozhete ogranichivat' ispol'zovanie spiskom opredelennyh pol'zovatelej. |to vklyuchaet chetyre fajla:

Dva pozvolyayushchih fajla "allow", ne sushchestvuyut v raspredelennoj sisteme. Esli oni sozdany, to otvergayushchie fajly ignoriruyutsya.

Pri etom ispol'zovanie funkcij cron razreshaetsya tol'ko tem pol'zovatelyam, ch'i userid perechisleny v pozvolyayushchem fajle. |to pravilo primenyaetsya dazhe dlya pol'zovatelya root, kotoryj dolzhen yavnym sposobom ukazan v pozvolyayushchem fajle.

Osobenno dlya bol'shih serverov, rekomenduetsya sozdanie fajlov /var/adm/cron/cron.allow i /var/adm/cron/at.allow, soderzhashchie imena root i imena teh pol'zovatelej, kotorym razreshaetsya zapuskat' planiruemye promyshlennye raboty.

Komanda mozhet takzhe ispol'zovat'sya, chtoby udalit' raboty iz etih ocheredej. Esli cron rabota ne sushchestvuet dlya opredelennogo pol'zovatelya, Vy poluchite soobshchenie AIX otnositel'no "fajl ili direktoriya, ne najdeny".

Podklyuchenie PK k serveru AIX

AIX Connections

Otdel'no zakazyvaemyj programmnyj produkt AIX Connections obespechivaet reshenie problemy podklyucheniya PK s populyarnymi operacionnymi sistemami, vklyuchaya OS/2, Windows, Windows 95, Windows NT Workstation i MacOS k serveru s AIX.

|tot produkt daet vozmozhnost' klientam na PK rabotat' s prikladnymi programmami AIX, takimi kak bazy dannyh, marshrutizatizaciya i setevymi fajlovymi sistemami. AIX Connections takzhe obespechivaet infrastrukturu dlya sovmestnogo ispol'zovaniya fajlov i printerov mezhdu serverami AIX i PK.

Kratkoe opisanie AIX Connections

AIX Connections Version 1.1 dlya AIX, osnovana na tehnologii TotalNet Advanced Server kompanii Syntax i pozvolyaet ispol'zovat' sistemu s AIX kak fajl- i print-server v setyah Ethernet ili Token-Ring. |tot paket podderzhivaet klientov s pochti so vsemi osnovnymi operacionnymi sistemami:

ž DOS 5.0 i vyshe;
ž IBM OS/2 2.1 i IBM LAN Server 3.0 i vyshe;
ž MacOS 6.03 ili vyshe;
ž Novell Netware 3.1;
ž Microsoft LANMAN 2.0 i vyshe;
ž Windows dlya Workgroups, Windows 95/98 i Windows NT 3.51 ili vyshe.

Tak kak AIX - istinno mnogozadachnaya i mnogopol'zovatel'skaya sistema, to namnogo proshche vypolnyat' diagnosticheskie funkcii bez vozdejstviya na setevyh klientov. Poskol'ku AIX takzhe i dinamicheskaya operacionnaya sistema, to mnogo izmenenij mogut byt' sdelany bez preryvaniya obsluzhivaniya pol'zovatelej. Dlya upravleniya bol'shimi raspredelennymi setyami i sistemami primenyayutsya sistemy na osnove otkrytogo global'nogo kataloga i strategiya bezopasnosti DCE. AIX Connections obespechivaet estestvennuyu integraciyu v etot katalog i strukturu zashchity.

ž Podderzhka graficheskih rabochih stancij.
ž Fajlovyj server i server pechati.
ž Servery dannyh Network File System (NFS)/Distributed File System (DFS).
ž Podderzhka asinhronnogo Point-to-Point Protocol (PPP).
ž Podderzhka DHCP.
ž Podderzhka programm klient/server, takih kak OLTP i prikladnyh programm baz dannyh.
ž Servery imen.
ž Marshrutizaciya.
ž Podderzhka HACMP (klasterizacii).
ž Podderzhka Windows Internet Naming Service (WINS).

ž Sovmestimost' s funkciyami fajlovogo servera i servera pechati - IBM Version LAN Server 4, Microsoft LAN Manager, Novell Netware i Apple.
ž Podderzhka vseh funkcij AIX dlya raboty s fajlami, v tom chisle i funkcij zashchity.
ž Podderzhka SMIT - obespecheno integrirovannoe administrirovanie sistemy.
ž Podderzhka klasterov HACMP pozvolyaet obespechit' fajlovyh servis i servis pechati vysokoj stepen'yu dostupnosti.
ž Vstroennye funkcii marshrutizacii pozvolyayut pol'zovatelyam prisoedinit'sya k bol'shinstvu vneshnih setej bez neobhodimosti izmeneniya programmnogo obespecheniya so storony klienta ili pokupki dopolnitel'nogo programmnogo obespecheniya.
ž Isklyuchena neobhodimost' v ispol'zovanii otdel'nogo servera s Windows NT dlya podderzhki WINS.

Vse fajly i prikladnye programmy, pomeshchaemye v RS/6000 pol'zovatelyami i administratorami AIX Connections sohranyayutsya kak fajly AIX. |to oznachaet, chto eti fajly budut obrabatyvat'sya kak chast' fajlovoj sistemy AIX. Preimushchestva Journal File System i Logical Volume Manager, tipa zerkal'nogo otrazheniya diskov, bol'shih razmerov fajlov i rasshiryaemyh logicheskih tomov, teper' otnosyatsya i k etim fajlam.

Ves' diapazon sredstv sistemnogo upravleniya AIX mozhet teper' ispol'zovat'sya, chtoby obespechit' nadezhnost' i dostupnost' dlya pol'zovatelej AIX Connections. Server mozhet takzhe sohranyat' eti fajly na drugih serverah UNIX cherez Network File System ili Distributed File System.

Dostup k fajlam i zashchita

Tak kak vse fajly sohraneny v fajlovoj sisteme AIX, dostup k nim upravlyaetsya AIX. Kazhdomu podsoedinennomu pol'zovatelyu PK budut predostavleny razresheniya, osnovannye na userid AIX etogo pol'zovatelya. V to zhe vremya setevym klientam ne trebuyutsya registraciya v AIX, chtoby obrashchat'sya k resursam, dostupnym AIX Connections. Dostup dlya etih pol'zovatelej upravlyaetsya AIX Connections. Procedura vhoda v lyuboj server AIX Connections sravnima s proceduroj vhoda na emuliruemom servere. Vhod v sistemu pol'zovatelya mozhet imet' silu dlya lyubogo ili vseh serverov. Utilita tnpasswd ispol'zuetsya klientami dlya izmeneniya parolya AIX Connections.

Servera AIX Connections

AIX Connections mozhet vypolnyat' rol' treh razlichnyh serverov dlya razlichnyh klientov:

Ustanovka i konfiguraciya razlichnyh serverov vypolnyaetsya cherez SMIT. Pakety, vklyuchennye v AIX CONNECTIONS perechisleny nizhe:

Na odnom i tom zhe servere AIX mogut byt' aktivnymi odin ili bol'shee kolichestvo serverov. AIX Connections vklyuchaet v sebya neskol'ko fajlov, kotorye razdelyayutsya sredi vseh treh serverov. Cel' etih fajlov sostoit v tom chtoby koordinirovat' uslugi mezhdu LSserver, NWserver i MACserver.

Ustanovka AIX Connections vypolnyaetsya v direktoriyu /usr/tn. V etoj zhe direktorii ustanavlivayutsya razdelyaemye mezhdu vsemi tremya serverami fajly. Razdelyaemye fajly vypolnyayut sleduyushchie funkcii:

ž Proverka bazy dannyh konturov;
ž Proverka blokirovki fajla;
ž Registraciya vypolnyaemyh dejstvij;
ž Administrativnye programmy.

Baza dannyh konturov

Kontur - nadezhnoe soedinenie mezhdu dvumya uzlami seti. Dlya kazhdogo aktivnogo soedineniya pol'zovatelya, fajl opredeleniya kontura zapisyvaetsya v bazu dannyh konturov. |ta baza dannyh vedet zapisi o tom, kakie klienty obrashchayutsya k serveram i kakie resursy oni ispol'zuyut.

Fajl blokirovki

Fajl blokirovki, lock.smb, ispol'zuetsya dlya kontrolya nad parallel'nym dostupom k fajlam na servere. Kogda pol'zovatel' otkryvaet fajl, prikladnaya programma opredelyaet, kakoj parallel'nyj dostup nuzhno razreshit' drugim klientam.

Administrativnye programmy

Dlya upravleniya bazoj dannyh konturov ispol'zuetsya nabor administrativnyh instrumental'nyh sredstv. tnwho pokazyvaet spisok tekushchih klientov. tninfo proizvodit poisk informacii o tekushchih klientah. tnck proveryaet i dopolnitel'no korrektiruet bazu dannyh konturov. |ti funkcii mogut takzhe byt' vypolneny cherez SMIT.

Registraciya vypolnyaemyh dejstvij

Esli eto opredeleno v fajle konfiguracii, servery mogut podderzhivat' nakoplyaemyj fajl registracii soedinenij. Fajl razdelyaetsya mezhdu serverami i soderzhit sleduyushchuyu informaciyu:

ž Imya pol'zovatelya AIX;
ž Imya mashiny klienta;
ž Setevoj adres klienta;
ž Setevoe imya servera;
ž Obshchee kolichestvo prochitannyh kilobajtov;
ž Obshchee kolichestvo zapisannyh kilobajtov;
ž Obshchee kolichestvo napechatannyh kilobajtov;
ž Obshchee kolichestvo obsluzhennyh zaprosov;
ž Obshchee vremya soedineniya;
ž Tip servera - LSserver, NWserver ili MACserver.

Novell Network Services (NNS) 4.1 on AIX

Vklyuchennyj v bonus-pack, postavlyaemyj so standartnoj OS AIX, programmnyj produkt Novell Network Services 4.1 (NNS) on AIX privnosit moshchnye setevye uslugi Novell NetWare 4 v sistemu RS/6000. NNS on AIX obespechivaet polnofunkcional'nuyu sovmestimuyu realizaciyu Novell Directory Services (NDS) na neogranichennoe kolichestvo pol'zovatelej, raspredelennye servisy fajl i print-servera Novell (v bonus-pack na 2-h pol'zovatelej), setevuyu zashchitu i administrativnye servisy dlya vsego semejstva sistem RS/6000.

|to daet vozmozhnost' RS/6000 dejstvovat' kak server Internet i kak server prikladnyh programm pol'zovatelya PK, ispol'zuyushchih operacionnye sistemy DOS 5.0, OS/2 2.1, Windows 3.11, Windows 95 i Windows NT 3.51 ili ih bolee pozdnie versii. NNS on AIX obespechivaet odno, global'noe predstavlenie vseh setevyh resursov s pomoshch'yu NDS.

ž Obespechenie moshchnoj, masshtabiruemoj i nadezhnoj sluzhby katalogov Novell Directory Services (NDS) dlya klientov PC.
ž Rasshirenie NDS podderzhkoj servisa kataloga LDAP dlya Internet/intranet.
ž Obespechenie setevoj zashchity.
ž Obespechenie raspredelennyh fajl i print servisov Novell dlya PK klientov.
ž Podderzhka sposobnosti RS/6000 k setevomu vzaimodejstviyu s sistemami s setevoj operacionnoj sistemoj Netware i NDS serverami.
ž Dostupno dlya AIX Versij 4.2. i 4.3

Klasterizaciya

High Availability Cluster Multi-Processing (HACMP)

Tradicionno, sistemy osnovannye na menfrejmah IBM vsegda obespechivali ochen' vysokie urovni dostupnosti sistemy i e£ servisov. Odnako v mire UNIX eti funkcii ne vsegda predstavleny. Korporaciya IBM uzhe provela i provodit bol'shuyu rabotu dlya obespecheniya funkcij vysokoj dostupnosti dlya UNIX.

Arhitektura IBM HACMP daet vozmozhnost' soedinit' v klaster vosem' odno- ili mnogoprocessornyh sistem RS/6000 (do 16 komp'yuterov IBM RS/6000 SP). Programmnyj paket HACMP vklyuchaet v sebya graficheskie instrumenty administratora, kotorye pomogayut ustanovit', skonfigurirovat' i upravlyat' vashimi klasterami vysokoproizvoditel'nym sposobom.

High Availability Geographic Cluster (HAGEO)

Programmnyj paket High Availability Geographic Cluster (HAGEO) pomogaet postroit' eshch£ bolee otkazoustojchivuyu sistemu za sch£t geograficheskogo udaleniya komponentov klasternoj sistemy.

Klaster HAGEO sostoit iz dvuh geograficheski udalennyh uzlov, kazhdyj iz kotoryh sposoben podderzhivat' do chetyreh uzlov vysokodostupnyh klasternyh sistem.

Imeyutsya tri rezhima zashchity i odin rezhim vosstanovleniya: udalennaya goryachaya kopiya, udalennyj vzaimnyj perevorot, parallel'nyj dostup i udalennoe vosstanovlenie sistemy.

Trebovaniya HAGEO k programmnomu obespecheniyu

Kazhdaya sistema v klastere HAGEO trebuet nalichiya HACMP versii 4.1.1, ustanovlennyj v obeih uzlah i AIX 4.1.4 for Servers. Dlya organizacii rezhima zashchity "parallel'nyj dostup" neobhodimo nalichie AIX CLVM i Oracle Parallel Edition.

Kommunikacionnye linii

Mogut byt' ispol'zovany linii tipa "tochka-tochka" ili set' na osnove kommutacii paketov, podderzhivaemye naborom AIX TCP/IP. Rekomenduetsya ispol'zovat' kak minimum dve linii, raspolozhennyh fizicheski otdel'no drug na druga, chtoby ne prevratit' svyaz' v eshch£ odnu tochku otkaza. Proizvoditel'nost' HAGEO zavisit ot skorosti linii svyazi i tipov setevyh uslug.

Raspredelennaya sreda obrabotki dannyh DCE

Distributed Computing Environment (DCE) - tehnologiya raspredelennoj obrabotki dannyh, predlozhennaya fondom otkrytogo programmnogo obespecheniya (OSF). Mnogie schitayut ee edinstvennym real'no sushchestvuyushchim standartom dlya svyazuyushchego programmnogo obespecheniya.

Sreda DCE, razrabotannaya v 1990 g., predstavlyaet soboj nabor setevyh sluzhb, prednaznachennyj dlya vypolneniya prikladnyh processov, rassredotochennyh po gruppe abonentskih sistem geterogennoj seti. Naryadu s fajlovoj sluzhboj, realizovannoj v vide raspredelennoj fajlovoj sistemy (DFS), DCE specificiruet sleduyushchij bazovyj nabor raspredelennyh sluzhb i tehnologij:

Dostoinstva DCE

Takim obrazom, sreda DCE predlagaet mnozhestvo standartizovannyh i ochen' poleznyh uslug, odnako eto pochemu-to ne prinimaetsya vo vnimanie temi, kto predveshchaet ee skoryj zakat. A pol'zovatelyam krupnyh geterogennyh setej tak neobhodimy edinaya procedura vhoda v sistemu, edinaya sistema spravochnikov i informacionnoj bezopasnosti dlya upravleniya dostupom k dannym, raspredelennym po vsemu predpriyatiyu.

Integrirovannye sluzhby bezopasnosti, spravochnikov i edinogo vremeni oznachayut, chto sootvetstvuyushchim specifikacii DCE prikladnym programmam ne nado samim sozdavat' eti sluzhby ili sredstva raboty s neskol'kimi nestandartnymi (firmennymi) sistemami razlichnyh proizvoditelej (skazhem, sluzhboj spravochnika NetWare (NDS) ili sluzhboj Banyan StreetTalk).

Dovol'no chasto svyazuyushchee PO samo realizuet podobnye sluzhby ili (chto gorazdo huzhe) realizuet ih lish' chastichno, sledstviem chego yavlyayutsya neobhodimost' parallel'nogo administrirovaniya mnozhestva sistem i nedostatochnaya zashchishchennost' korporativnoj informacii.

Mehanizmom mezhprocessnogo vzaimodejstviya v DCE yavlyayutsya vyzovy udalennyh procedur. |to horosho. Ispol'zovanie RPC znachitel'no oblegchaet trud programmistov. Krome togo, RPC - dostatochno gibkoe sredstvo dlya postroeniya prilozhenij po trehurovnevoj arhitekture.

Osnovnoe preimushchestvo standartizovannogo v DCE mehanizma RPC pered nestandartizovannymi razrabotkami razlichnyh proizvoditelej - ego integraciya s drugimi sluzhbami.

Nedostatki DCE

Mehanizm RPC yavlyaetsya edinstvennym mehanizmom mezhprocessnogo vzaimodejstviya. I eto ploho. Takoj mehanizm trebuet ustanovleniya soedineniya mezhdu klientom i serverom.

Krome togo, vyzovy RPC yavlyayutsya sinhronnymi i blokiruyushchimi. |to oznachaet, chto prilozheniyu prihoditsya zhdat' zaversheniya kazhdogo vyzova.

Vse eto privodit k tomu, chto vyzovy RPC, kak tol'ko oni stalkivayutsya so stol' obychnymi dlya setej "strannostyami" ili s nebol'shoj propusknoj sposobnost'yu kanalov mezhdu klientami, rabotayut neudovletvoritel'no.

Po mere togo kak programmy stanovyatsya v bol'shej stepeni sobytijno-orientirovannymi, dlya obespecheniya odnovremennogo vypolneniya mnogochislennyh vyzovov, realizacii asinhronnyh i neblokiruyushchih RPC v DCE predusmotren mehanizm mnogopotochnosti.

No problema v tom, chto dlya mnogih razrabotchikov sozdanie mnogopotochnyh programm okazalos' znachitel'no bolee slozhnym delom, chem oni rasschityvali.

Ahillesova pyata DCE - sam mehanizm RPC. |ta ustarevshaya tehnologiya prosto ne pospevaet za novejshimi tehnologiyami mezhprocessnogo vzaimodejstviya. Poetomu sovershenno estestvenno, chto pri razrabotkah mnogih produktov svyazuyushchego PO primenyalsya sovsem inoj podhod.

Mehanizm RPC ne stal universal'nym sredstvom dlya sozdaniya raspredelennyh prikladnyh sistem.

V DCE net funkcional'nyh vozmozhnostej, svyazannyh s organizaciej ocheredej, i stol' obychnyh v orientirovannom na peredachu soobshchenij svyazuyushchem PO. Nesmotrya na otsutstvie standartov na rynke takogo PO, sushchestvuet po krajnej mere odin produkt s organizaciej ocheredej soobshchenij - Encina Recoverable Queuing System firmy Transarc, sovmestimyj so sredoj DCE.

Korporaciya IBM sejchas vedet sebya krajne agressivno i na rynke serverov, i na rynke nastol'nyh sistem, i na rynke setevyh operacionnyh sistem. Vskore ona sobiraetsya dobavit' podderzhku DCE vo vse svoi osnovnye platformy, vklyuchaya LAN Server.

Mozhet izmenit' situaciyu kompaniya Microsoft, esli ona reshit bolee polno podderzhivat' standarty DCE v svoih produktah. No ona etogo ne delaet. I Windows NT, i Windows 95 vklyuchayut v sebya realizaciyu mehanizma RPC v sootvetstvii so specifikaciej DCE, odnako drugie sluzhby DCE etimi sistemami ne podderzhivayutsya.

Network OLE, novaya tehnologiya Microsoft, razrabotannaya v sootvetstvii so strategiej Common Object Model dlya raspredelennyh prilozhenij, takzhe podderzhivaet soglasuemyj s DCE mehanizm RPC, no sovershenno neyasno, budut li zdes' realizovany bazovye sluzhby bezopasnosti DCE.

Takim obrazom, podhod Microsoft ne polnost'yu soglasuetsya s DCE. Microsoft podderzhivaet tol'ko tu chast' DCE, kotoraya svyazana s RPC i yavlyaetsya daleko ne luchshej. Neponyatno, preodoleet li Microsoft svoe nezhelanie ispol'zovat' ne eyu razrabotannye tehnologii i realizuet li sluzhby bezopasnosti DCE. Microsoft mozhet pomoch' delu razrabotkoj v ramkah arhitektury WOSA interfejsov API dlya sluzhb spravochnikov, edinogo vremeni i bezopasnosti - sluzhb, kotorye mogut byt' obespecheny s pomoshch'yu DCE konkurentami etoj firmy.

Tak zhe kak interfejs ODBC pozvolil standartizirovat' dostup k bazam dannyh SQL raznyh proizvoditelej, razrabotka Microsoft mogla by sil'no oblegchit' trud sozdatelej prilozhenij, pozvoliv im ispol'zovat' gotovye sluzhby, a ne sozdavat' svoi sobstvennye.

Osnovy DCE

Sistemy, imeyushchie programmy raspredelennoj sredy, sootvetstvenno, yavlyayutsya serverami i klientami. Servery svyazany drug s drugom logicheskimi kanalami, po kotorym peredayut drug drugu fajly. Kazhdyj server imeet svoyu gruppu klientov.

Funkcii, vypolnyaemye sredoj, zapisany na yazyke C i vklyuchayut prikladnye sluzhby:

ž katalogov, pozvolyayushchuyu klientam nahodit' nuzhnye im servery;
ž interfejsa mnogopotochnoj obrabotki;
ž udalennogo vyzova procedur;
ž obsluzhivaniya fajlov;
ž bezopasnosti dannyh;
ž vremeni, sinhroniziruyushchej chasy v abonentskih sistemah.

Programmnoe obespechenie sredy pogruzhaetsya v setevuyu operacionnuyu sistemu. Servery imeyut svoi, razlichnye, operacionnye sistemy. V roli servera mozhet takzhe vystupat' mejnfrejm.

Funkcionirovanie raspredelennoj sredy trebuet vypolneniya ryada administrativnyh zadach. K nim, v pervuyu ochered', otnosyatsya sredstva:

ž registracii i kontrolya za licenziyami pol'zovatelej na rabotu s prikladnymi programmami;
ž unificirovannyh interfejsov prikladnyh programm;
ž obespecheniya bezopasnosti dannyh;
ž inventarizacii programmnogo i tehnicheskogo obespecheniya abonentskih sistem, rabotayushchih v seti.

S tochki zreniya logicheskogo upravleniya sreda obrabotki dannyh delitsya na yachejki DCE. YAchejkoj DCE nazyvaetsya logicheskij element upravleniya, gde mozhet byt' ot neskol'kih edinic do neskol'kih tysyach komp'yuterov i vypolnyaetsya odno i bolee prilozhenij i sluzhb DCE.

Razmery yachejki territorial'no ne ogranichenny: ot neskol'kih mashin, ob®edinennyh v lokal'nuyu set', i do sistem, nahodyashchihsya na raznyh kontinentah.

ž kontrolya prava raboty s prikladnymi programmami i bazami dannyh;
ž katalogov, naznachayushchih adresa ob®ektov;
ž vremeni, sinhroniziruyushchaya chasy sistem;
ž licenzii, otslezhivayushchej ispol'zovanie vidov servisa.

Kak sozdat' sredu DCE

Planirovanie

Prezhde chem opredelyat' razmeshchenie DCE, sleduet proanalizirovat' setevuyu sredu i prikladnye programmy, chtoby otvetit' na voprosy: skol'ko prilozhenij predpolagaetsya vypolnit'? Kak oni budut obshchat'sya mezhdu soboj? Skol'ko pol'zovatelej okazhetsya v kazhdom uzle? Namereny li pol'zovateli odnovremenno rabotat' s neskol'kimi prilozheniyami? Kak chasto pol'zovatelyam pridetsya obrashchat'sya k sluzhbe zashchity? Kogda oni budut registrirovat'sya v yachejke? Kak chasto pol'zovatelyam nuzhno budet vyzyvat' prilozheniya?

Otvetiv na nih, vy smozhete opredelit' nabor trebovanij k konfiguracii raznyh yacheek i soglasovat' postavlennye pered vami zadachi s imeyushchimisya tehnicheskimi vozmozhnostyami.

Odna yachejka ili neskol'ko? Pri reshenii etogo voprosa neobhodimo dobit'sya optimal'nogo sootnosheniya mezhdu stoimost'yu, slozhnost'yu ekspluatacii i urovnyami servisa.

V sluchae ispol'zovaniya neskol'kih yacheek tirazhirovanie sluzhb DCE povyshaet proizvoditel'nost' i nadezhnost' prilozhenij, no v to zhe vremya vedet k udorozhaniyu i uslozhneniyu upravleniya sredoj DCE. Raspredelenie prilozhenij po yachejkam zashchishchaet ih ot sboev v otdel'nyh yachejkah i pozvolyaet prisposobit' sluzhby DCE dlya nuzhd konkretnyh grupp, chto takzhe uvelichivaet zatraty i slozhnost' upravleniya.

Prilozheniya, razmeshchennye v raznyh yachejkah, mogut obmenivat'sya dannymi, no podobnyj obmen ne tak effektiven, kak obmen vnutri odnoj yachejki, poskol'ku prilozheniyam prihoditsya obrashchat'sya k global'noj sluzhbe katalogov i koordinirovat' svoyu aktivnost' s dvumya sluzhbami zashchity.

Esli vasha kompaniya ili ee operativnaya informacionnaya sluzhba territorial'no razbita na segmenty, to vpolne estestvenno razmestit' otdel'nuyu yachejku v kazhdom ofise. Mezhdu yachejkami, prilozheniya kotoryh sovmestno ispol'zuyut odni i te zhe dannye, nuzhno ustanovit' soedinenie. No eto vozmozhno tol'ko pri uslovii, chto vse operacii vypolnyayutsya v predelah odnogo geograficheskogo punkta.

Esli zhe administratory sluzhby zashchity rabotayut v Kieve, a ostal'noj personal - v Dnepropetrovske, pridetsya organizovat' yachejku, ohvatyvayushchuyu oba goroda i ob®edinyayushchuyu vse trebuemye funkcii.

Rekomenduetsya po karte proanalizirovat' razmeshchenie prilozhenij i sostavit' neskol'ko variantov konfiguracii yacheek.

Otdel'nye gruppy pol'zovatelej, naprimer otdely prodazh, marketinga i kadrov, mozhno ob®edinit' v odnu yachejku. No esli otdel kadrov potrebuet ogranichit' dostup k svoim dannym sotrudnikov drugih podrazdelenij, to dlya nego nado budet vydelit' otdel'nuyu yachejku s sobstvennoj sluzhboj zashchity. Togda u sotrudnika, zanimayushchegosya marketingom, poyavyatsya vse prava dostupa k dannym svoego otdela i ogranichennyj dostup k dannym o kollegah, hranyashchimsya v yachejke otdela kadrov.

Pri ispol'zovanii neskol'kih yacheek mozhno ogranichit' dostup k prilozheniyam, naprimer razreshit' vsem klientam dostup v pervuyu yachejku, a dlya dostupa k prilozheniyu vo vtoroj vvesti special'nyj parol'. Takaya shema prakticheski ekvivalentna primeneniyu brandmauerov.

Pri men'shem chisle yacheek DCE snizhayutsya rashody na pokupku licenzij i uproshchaetsya upravlenie yachejkami. No esli vy reshili ogranichit'sya odnoj yachejkoj, uchtite, chto sboj v nej sposoben paralizovat' rabotu kompanii na prodolzhitel'noe vremya.

Pri opredelenii chisla yacheek sleduet prinyat' vo vnimanie i uroven' podgotovki obsluzhivayushchego personala vashej firmy. ZHaloby na slozhnost' upravleniya sredoj DCE uzhe stali pritchej vo yazyceh. Pri bol'shom chisle yacheek personalu pridetsya imet' delo so znachitel'nym ob®emom informacii o haraktere obmena dannymi mezhdu yachejkami. Esli dlya dostupa k kazhdoj yachejke ustanovit' svoj parol', to operatory, chasto pomogaya pol'zovatelyam vosstanavlivat' zabytyj parol', budut tratit' na eto mnogo vremeni.

Dazhe pri edinstvennoj yachejke nekotorye struktury katalogov sushchestvenno uslozhnyayut process upravleniya. Tak, sluzhba katalogov pozvolyaet kopirovat' katalogi v centry obrabotki informacii v predelah odnoj yachejki. Neobhodimo opredelit' tol'ko, gde raspolozheny eti centry, kakoj iz nih budet upravlyat' dannymi i kuda sleduet pomestit' glavnyj ekzemplyar kazhdogo kataloga.

Po mere uvelicheniya chisla prilozhenij DCE voznikaet problema otslezhivaniya versij. K primeru, mnogie pol'zovateli hotyat primenit' novye sredstva zashchity dannyh i upravleniya iz sostava DCE 1.2. Obychno perehod na sleduyushchuyu versiyu ne vyzyvaet oslozhnenij, odnako nekotorye utility, ispol'zuyushchie DCE, naprimer menedzher tranzakcij, ne rabotayut pod upravleniem DCE 1.2 libo podderzhivayut tol'ko chast' ee vozmozhnostej. Poetomu v ryade sluchaev perehod na novuyu versiyu prihoditsya otkladyvat' do poyavleniya usovershenstvovannyh variantov utilit.

Esli v vashej organizacii za upravlenie konfiguraciej otvechaet ne opredelennoe podrazdelenie, a razrabotchiki prilozhenij, to luchshe razmestit' prilozheniya v raznyh yachejkah. Togda kazhdaya gruppa razrabotchikov smozhet sama reshat', v kakoe vremya i kak perehodit' na novuyu versiyu. V sluchae kogda prilozheniya v etih yachejkah obmenivayutsya dannymi, neobhodimo sinhronizovat' perehod na novye versii, potomu chto v razlichnyh versiyah CDE (naprimer, 1.0 i 1.1) realizuyutsya raznye modeli obmena mezhdu yachejkami.

Kontrol' za konfiguraciej sovmestno ispol'zuemyh resursov - baz dannyh, sistemnogo i setevogo PO - dolzhen osushchestvlyat'sya centralizovanno. Konfiguraciya yachejki mozhet vliyat' na rezul'taty testirovaniya prilozhenij. Ochevidno, chto takoe testirovanie luchshe provodit' v srede, maksimal'no priblizhennoj k real'noj. Poetomu programmu, kotoraya budet vypolnyat'sya v neskol'kih yachejkah, nado testirovat' pri raznyh konfiguraciyah, chto potrebuet dopolnitel'nyh zatrat.

Slozhnosti pri testirovanii mogut vozniknut' i v sluchae nebol'shogo chisla yacheek. Esli prilozhenie rabotaet tol'ko v odnoj yachejke, gde vypolnyaetsya mnozhestvo drugih programm, to sleduet protestirovat' ih sovmestimost', chto osobenno vazhno pri ispol'zovanii neskol'kimi prilozheniyami odnogo processora ili bazy dannyh.

Optimizaciya yachejki

Posle togo kak opredeleno chislo yacheek, kazhduyu iz nih nuzhno optimizirovat' dlya polucheniya nailuchshej proizvoditel'nosti, dostupnosti i masshtabiruemosti. Proizvoditel'nost' prilozhenij DCE padaet do samogo nizkogo urovnya pri nachal'nom zapuske, kogda formiruyutsya zaprosy k sluzhbam katalogov i zashchity, a klienty ustanavlivayut svyazi s serverom. Vposledstvii prilozheniya obrashchayutsya k etim sluzhbam gorazdo rezhe.

Razmeshchenie ukazannyh sluzhb poblizosti ot stancij pol'zovatelej pomozhet umen'shit' padenie proizvoditel'nosti v yachejke vo vremya zapuska. Dlya ustraneniya konkurencii v dostupe k sluzhbam i prilozheniyam DCE rekomenduetsya sozdat' dostatochnoe kolichestvo ih kopij.

Naprimer, esli v srede voznikaet 11 zaprosov na 10 serverov, poprobujte ustanovit' odin, dva i dazhe bol'she dopolnitel'nyh serverov, poka v real'nyh usloviyah ne budet dostignuta priemlemaya proizvoditel'nost'.

Eshche odna prichina snizheniya proizvoditel'nosti v krupnyh setyah - obnovlenie informacii sluzhby zashchity DCE. Programma registracii periodicheski zapisyvaet na disk dannye etoj sluzhby.

Issledovanie, provedennoe Centrom informacionnyh tehnologij Michiganskogo universiteta, pokazalo, chto hotya srednee vremya registracii sostavlyaet vsego 2 s dazhe pri rabote s 50200 byudzhetami, inogda ono dostigaet treh minut i bolee.

Uchityvaya to obstoyatel'stvo, chto pervonachal'nye realizacii DCE podderzhivayut sotni, a ne desyatki tysyach pol'zovatelej, netrudno predpolozhit', chto bol'shinstvo kompanij ne oshchutyat snizheniya proizvoditel'nosti iz-za procedury registracii.

V versii DCE 1.2 eta problema polnost'yu ustranena. Povysit' dostupnost' resursov pomozhet sozdanie kopij prilozhenij i sluzhb v neskol'kih uzlah yachejki. Takaya mera pozvolit v sluchae sboya prilozheniya ili sluzhby perejti na rabotu s ih kopiyami, a takzhe uluchshit masshtabiruemost' sistemy.

Dlya togo chtoby v rezul'tate otkaza setevogo uzla chast' pol'zovatelej ne okazalas' otrezannoj ot prilozhenij i sluzhb DCE, popytajtes' dlya kazhdogo setevogo segmenta organizovat' otdel'nuyu yachejku i skopirovat' v nee prilozheniya.

Drugoj sposob zashchity ot otkazov uzlov - sozdanie yachejki, gde by hranilis' kopii vseh prilozhenij i sluzhb DCE. Odnako on neprimenim pri dlitel'nyh prostoyah seti, poskol'ku v srede DCE predusmotren odin-edinstvennyj ekzemplyar informacii o zashchite i katalogah.

CHast' processov DCE rabotaet v kazhdom uzle, naprimer programma-demon dced, kotoraya v versii 1.1 svyazyvaet klienta s serverom i obsluzhivaet katalogi. Pri etom v otdel'nom uzle mozhet vypolnyat'sya tol'ko odna kopiya processa. Horosho chto sboj processa vlechet za soboj otkaz ne vsej yachejki, a lish' togo uzla, na kotorom on rabotal.

Dlya vosstanovleniya nuzhno s pomoshch'yu setevogo ili sistemnogo PO opredelit' sostoyanie etogo processa i zapustit' ego snova.

Razmeshchenie serverov zashchity

CHtoby optimal'no razmestit' servery zashchity, kotorye otvechayut za kopii registracionnyh dannyh, vy dolzhny razobrat'sya v tom, kak DCE ispol'zuet i obnovlyaet registracionnuyu informaciyu.

V yachejke DCE, kak pravilo, nahoditsya odin glavnyj ekzemplyar dannyh sluzhby zashchity i neogranichennoe chislo ego polnyh kopij, prednaznachennyh tol'ko dlya chteniya. Zapros na chtenie mozhet prijti na lyuboj server zashchity, poskol'ku sposob peredachi ego na blizhajshij server otsutstvuet.

Dazhe esli v vashej LS imeetsya kopiya dannyh sluzhby zashchity, ne isklyucheno, chto zapros na ih chtenie obsluzhit server, raspolozhennyj na drugom konce seti. Poetomu starajtes' razmeshchat' servery zashchity blizhe k logicheskomu centru seti v yachejke DCE.

Naprimer, esli yachejka ob®edinyaet seti v Kieve, Dnepropetrovske i Krivom Roge i vse kommunikacii prohodyat cherez Dnepropetrovsk, to etot gorod i budet logicheskim centrom seti i imenno tam sleduet razmestit' po krajnej mere odin server zashchity.

Prezhde chem vybrat' takoj variant, neobhodimo ubedit'sya, chto sboj dannogo segmenta ne vyzovet otkaza vsej seti.

Esli v bol'shinstve sluchaev pol'zovateli rabotayut s prilozheniyami tol'ko iz sobstvennoj LS i v seti net obhodnyh marshrutov, imeet smysl pomestit' server zashchity v kazhdoj lokal'noj seti.

CHto kasaetsya zaprosa na obnovlenie dannyh sluzhby zashchity, to on vsegda postupaet na server, gde hranitsya ih glavnyj ekzemplyar. Dlya etih celej luchshe vsego ispol'zovat' server, raspolozhennyj blizhe k logicheskomu yadru seti yachejki.

Hotya sreda DCE obespechivaet zashchitu obmena dannymi mezhdu prilozheniyami, ona ne mozhet garantirovat' polnuyu bezopasnost': fizicheski zashchitit' mashiny, na kotoryh vypolnyayutsya prilozheniya DCE, vy dolzhny samostoyatel'no.

Pri povyshennyh trebovaniyah k konfidencial'nosti servery zashchity DCE rekomenduetsya razmeshchat' v ohranyaemyh pomeshcheniyah informacionnogo centra.

Razmeshchenie serverov katalogov

Kak govorilos' vyshe, yachejka DCE mozhet vklyuchat' v sebya odin ili neskol'ko centrov obrabotki informacii dlya baz dannyh katalogov. Odin iz nih otvechaet za glavnyj ekzemplyar katalogov, drugie - za ego kopii, prednaznachennye tol'ko dlya chteniya.

V otlichie ot registracionnoj informacii v etih kopiyah nahoditsya lish' chast' informacii o katalogah i ih soderzhimom, poetomu ne isklyuchena situaciya, kogda ni v odnom centre obrabotki informacii ne okazhetsya polnyh dannyh o kataloge.

Kopirovanie katalogov v neskol'ko centrov obrabotki informacii uslozhnyaet rabotu. Pri sboe centra, gde hranitsya glavnyj ekzemplyar katalogov, administratoru pridetsya vyyasnyat', kakie katalogi v nem razmeshchalis', i naznachat' dlya nih novyj centr obrabotki informacii.

Dlya uproshcheniya vosstanovleniya sluzhebnyh dannyh posle sboev i povysheniya dostupnosti celikom skopirujte strukturu katalogov vo vse centry obrabotki informacii i sdelajte odin iz nih glavnym (hranyashchim glavnyj ekzemplyar). Esli dlya etogo u vas net vozmozhnostej, to sozdanie i udalenie katalogov otmechajte v special'nom zhurnale.

Pri opredelenii mesta razmeshcheniya kopij katalogov sledujte tem zhe rekomendaciyam, chto i pri razmeshchenii kopij registracionnyh dannyh. Odnako optimizaciya mestonahozhdeniya etih kopij prakticheski ne vlechet za soboj povysheniya proizvoditel'nosti v sluchae, kogda prilozheniya i sluzhby DCE sohranyayut svoyu lokalizaciyu i vypolnyayutsya dlitel'noe vremya.

Programma cdsclerks, soobshchayushchaya stanciyam-klientam imena serverov, hranit v kesh-pamyati informaciyu o katalogah, vklyuchaya setevye adresa centrov obrabotki informacii i serverov. V situacii so stabil'no rabotayushchimi prilozheniyami i sluzhbami cdsclerks obychno nahodit informaciyu o svyazyah mezhdu serverami prilozhenij v kesh-pamyati. |ta programma obrashchaetsya v centr obrabotki informacii togda, kogda trebuemaya informaciya v kesh- pamyati otsutstvuet, ili pri vnesenii izmenenij v katalog.

Sinhronizaciya chasov

O znachenii sluzhby vremeni i sootvetstvuyushchih rekomendaciyah OSF mozhno prochitat' v rukovodstve "OSF DCE Administration Guide, Core Components", kotoroe vhodit v komplekt postavki DCE. V nem podrobno opisano, kakie sluzhby vremeni nuzhny dlya yacheek pri toj ili inoj konfiguracii seti. Poskol'ku nebol'shaya oshibka v sistemnyh chasah mozhet narushit' sovmestimost' zashchishchennyh prilozhenij DCE, luchshe vsego obratit'sya v sluzhbu tochnogo vremeni.

Servery licenzij

Nekotorye realizacii DCE primenyayut servery licenzij dlya kontrolya za modernizaciej sredy DCE i ispol'zovaniem ee sluzhb. V etih sluchayah servery licenzij tak zhe vazhny, kak i servery drugih sluzhb. Pri ih otkaze nel'zya zapustit' sluzhby DCE, poskol'ku poluchenie ili obnovlenie dannyh o licenziyah stanovitsya nevozmozhnym. Poetomu nado predusmotret' zashchitu serverov licenzij, razmestiv ih v tom zhe ohranyaemom pomeshchenii, chto i servery zashchity.

Licenzii dlya serverov licenzij vydayutsya na opredelennoj mashine i ne mogut ispol'zovat'sya serverami s drugih mashin. Poetomu pri sboe etogo servera vy teryaete dostup ko vsem ego licenziyam do ustraneniya neispravnosti.

Postarajtes', chtoby s vashim postavshchikom PO sredy DCE mozhno bylo bystro svyazat'sya dlya vosstanovleniya servera licenzij ili polucheniya novyh licenzij na korotkij srok.

Dlya osobo otvetstvennyh prilozhenij rekomenduetsya kupit' dopolnitel'noe chislo licenzij.

Podgotovka personala

Ot vas potrebuetsya sostavit' plan i vydelit' sredstva dlya najma i obucheniya obsluzhivayushchego personala. Predlagaetsya sledovat' rekomendaciyam, prinyatym dlya NetWare i dlya drugih raspredelennyh sred: na kazhdye 100 pol'zovatelej i serverov prilozhenij dolzhen prihodit'sya odin administrator.

Dlya luchshego obespecheniya glavnyh vidov servisa rassmotrite vozmozhnost' obucheniya vsego personala resheniyu osnovnyh zadach, svyazannyh so sluzhbami katalogov i zashchity. Pust' odna chast' sotrudnikov projdet specializirovannuyu podgotovku po sluzhbe zashchity, drugaya - po monitoringu tranzakcij, a tret'ya sosredotochitsya na podderzhke sistemnogo i setevogo PO.

Razrabotajte osnovnye strategii i procedury, takie kak standarty imen interfejsov, katalogov i ih elementov, serverov prilozhenij i drugih resursov, a takzhe rekomendacii po rabote so sluzhboj zashchity i kopirovaniem dannyh sluzhb zashchity i katalogov.

Obzor licenzirovaniya

Obshchaya koncepciya

Licenzirovanie programmnogo obespecheniya primenyaetsya dlya kontrolya chisla pol'zovatelej ego ispol'zuyushchih i pomogaet organizacii osushchestvlyat' kontrol' nad vypolneniem licenzionnyh soglashenij s proizvoditelyami programmnogo obespecheniya. Pri etom neobhodimo obespechit' udobstvo raboty pol'zovatelej i predostavlenie im prav na zapusk nuzhnyh im programm v raspredelennoj srede s bolee chem odnim serverom.

Dlya licenzirovaniya v AIX primenyaetsya programmnyj produkt iFOR/LS (Information For Operation and Retrieval License System). |to programmnoe obespechenie upravleniya licenziyami ispol'zuet standartnuyu promyshlennuyu raspredelennuyu tehnologiyu Network Computing System (NCS) dlya vyzova udalennyh procedur v modeli klient/server.

Cena na LPP dlya AIX i ih postavka osushchestvlyaetsya ispol'zuya dve modeli licenzirovaniya: licenziya na pol'zovatelya licenziya na server/neogranichennoe kolichestvo pol'zovatelej

Ispol'zuya zashifrovannye klyuchi iFOR/LS osushchestvlyaet monitoring tipov i kolichestva licenzij ispol'zuemyh v sisteme.

iFOR/LS

Paket iFOR/LS yavlyaetsya rasshireniem sistemy NetLS i ego komandy na 100% sovmestimy s sistemoj komand NetLS. Kompaniya Hewlett-Packard priobrela prava na NetLS vmeste s priobreteniem kompanii Apollo Computers. V 1987 godu kompaniya Gradient Technologies soglasno soglasheniyu s HP perenesla etot produkt na AIX pod novoj tor-govoj markoj iFOR/LS.

NCS yavlyaetsya otdel'no ustanavlivaemym paketom bos.net.ncs.obj, soderzhashchim komplekt instrumentov dlya raspredelennyh vychislenij.

iFOR/LS postavlyaetsya razdelennym na dve chasti: orientirovannoj na podderzhku razrabotchikov programm i orientirovannoj na podderzhku administratorov.

Razrabotchikam programm ponadobitsya Application Developer's Kit (ADK). Dlya sistemnyh administratorov prednaznachen paket Administrator Runtime Kit (ARK), prednaznachennyj dlya ustanovki i upravleniya serverom licenzirovaniya, vmeste s instrumentami sozdaniya otch£tov.

Tipy licenzij

Node Lock Takoj mehanizm licenzirovaniya, kogda dlya kazhdoj rabochej stancii, ispol'zuyushchej licenzirovannyj produkt, trebuetsya svoj unikal'nyj klyuch. Programmnyj produkt mozhet byt' zapushchen tol'ko s opredelennyh rabochih stancij (v processe identifikacii ispol'zuetsya takzhe unikal'nyj apparatnyj ID rabochej stancii).

Concurrent use Konkurentnoe ispol'zovanie licenzionnogo programmnogo obespecheniya predostavlyaet vozmozhnost' licenziyam na ispol'zovanie programm "plavat'" po seti i pri zaprose lyubogo pol'zovatelya, esli est' svobodnaya licenziya, emu budet razresheno zapustit' programmu.

Use once |tot mehanizm ispol'zuet schetchik kolichestva zapuskov licenzionnogo programmnogo produkta. I pri ustanovke schetchika v 0 programmu zapustit' bol'she nel'zya. Ispol'zuetsya dlya celej oznakomleniya pol'zovatelej s programmoj (try and buy).

Compound Sostavnaya licenziya soderzhit v sebe parol' na sozdanie bol'shego chisla licenzij. |tot parol' soobshchaet vam proizvoditel' programmy pri pokupke vami u nego dopolnitel'nogo kolichestva licenzij.

Server licenzirovaniya

Server (servery) licenzij dolzhen byt' zapushchen na vysokodostupnoj, nadezhnoj i kontroliruemoj sisteme. Konechno, zhelatel'no, chtoby on (oni) razmeshchalsya v toj zhe seti, gde razmeshcheny i klienty, trebuyushchie licenzij.

Administrator dlya balansirovki nagruzki na servery licenzij mozhet raspredelit' imeyushchiesya v organizacii licenzii na neskol'ko serverov. I v to zhe vremya, dlya uproshcheniya administrirovaniya on mozhet razmestit' vse licenzii na odnom servere.

Pri zaprose pol'zovatelya na ispol'zovanie licenzionnogo programmnogo produkta iFOR/LS obrashchaetsya s zaprosom na licenziyu k serveru licenzij, kotoryj proveryaet nalichie licenzii v baze licenzij i prava dostupa pol'zovatelya. Pri nalichii licenzii i dostatochnyh prav pol'zovatelya server licenzij vozvrashchaet utverzhdenie zaprosa iFOR/LS, kotoryj v svoyu ochered' predostavlyaet licenziyu pol'zovatelyu.

Politika licenzirovaniya

Programmnye produkty mogut ispol'zovat' dve razlichnye politiki licenzirovaniya:

Softstop Politika, kogda pri otsutstvii licenzii pol'zovatelyu vs£ zhe razreshaetsya zapustit' programmu, no ob etom delaetsya zapis' v fajle audita

Hardstop Politika, kogda pri otsutstvii licenzii pol'zovatelyu ne razreshaetsya zapustit' programmu. Interaktivnye prilozheniya pri otsutstvii svobodnoj licenzii mogut predlozhit' pol'zovatelyu sleduyushchie varianty:

Wait Perejti v rezhim ozhidaniya. Kogda licenziya osvobodit'sya drugim pol'zovatelem, trebuemaya programma zapustitsya.

List Pokazat' spisok sistem ispol'zuyushchih licenzii v nastoyashchee vremya.

Razlichnye prikladnye programmy ispol'zuyut razlichnoe vremya uderzhaniya licenzij (vremya povtornogo oprosa servera licenzij na predmet nalichiya svobodnyh licenzij). Dlinnye intervaly uderzhaniya minimiziruyut setevoj trafik. Korotkie periody pozvolyayut bystree predostavlyat' svobodnye licenzii nuzhdayushchimsya v nih pol'zovatelyam. Mozhno izmenyat' odnominutnymi intervalami. Rekomenduetsya: 5-10 minut. Dlya programmy vhoda v sistemu AIX BOS login eto vremya sostavlyaet 15 minut.

Ustanovka servera "plavayushchih" licenzij

V direktorii /usr/lib/netls/conf soderzhitsya komandnyj fajl netls_config, kotoryj avtomatiziruet proceduru ustanovki.

Common Desktop Environment (CDE)

CHto takoe CDE?

Common Desktop Environment (CDE) desktop - interaktivnyj graficheskij interfejs pol'zovatelya, sovmestno razrabotannyj kompaniyami IBM, HP, Sun, i Novell dlya otkrytyh sistem. Desktop - bogatyj i intuitivnyj interfejs pol'zovatelya, osnovannyj na X11 release 5 i OSF/Motif 1.2. |tot interfejs razrabotan dlya primeneniya v informacionnyh sistemah masshtaba predpriyatiya i na razlichnyh platformah i obrashchen k shirokomu diapazonu pol'zovatelej ot novichka do eksperta.

CDE adresuetsya tr£m kategoriyam pol'zovatelej: konechnym pol'zovatelyam, administratoram sistemy, i razrabotchikam.

Konechnye pol'zovateli obespecheny legkim v ispol'zovanii interfejsom s akcentirovaniem na obshchem predstavlenii, chuvstve, i povedenii. Rabochij stol vizual'no privlekatelen i gibko nastraivaetsya. Podrobnaya interaktivnaya spravka obespechivaet pomoshch' pol'zovatelyam v oznakomlenii s nim v minimal'nyj srok.

Administratory sistemy vysoko ocenyat integrirovannyj podhod CDE po vyzovu prikladnyh programm, ustanovleny li oni lokal'no ili na udalennoj sisteme. CDE takzhe prost v ustanovke i konfigurirovanii, tak kak v bol'shinstve sluchaev ustanovka vypolnyaetsya vstroennymi instrumental'nymi sredstvami. Prikladnye programmy mogut obsluzhivat'sya iz sistem, kotorye ne imeyut ustanovlennogo CDE.

Razrabotchiki najdut, chto integraciya prikladnyh programm budet estestvennoj i netrudnoj.

Komplekt instrumental'nyh sredstv razrabotchika vklyuchen v standartnuyu postavku AIX. Komplekt instrumental'nyh sredstv vklyuchaet biblioteki, fajly zagolovkov i instrumenty postroeniya prikladnyh programm.

Rabochij stol takzhe podderzhivaet sushchestvuyushchie prikladnye programmy X Window, OSF/MOTIF i OPENLOOK.

Pochemu CDE?

Preimushchestva CDE

SHirokoe primenenie v industrii

CDE shiroko primenyaetsya v industrii UNIX, mnogimi nezavisimymi postavshchikami programmnogo obespecheniya i razrabotchiki prikladnyh programm.

Obshirnaya sistema interaktivnoj spravki

Standartnaya sistema interaktivnoj spravki yavlyaetsya sistemnoj, no prikladnye programmy mogut byt' legko s nej integrirovany.

Bogatyj nabor instrumental'nyh sredstv dlya proizvoditel'noj raboty

Mnogo vstroennyh instrumental'nyh sredstv, takih kak kalendar', redaktor piktogramm, tekstovyj redaktor, klient elektronnoj pochty, programma upravleniya pechat'yu i emulyator terminala.

Mnozhestvennye rabochie oblasti

Odna iz bolee populyarnyh osobennostej rabochego stola - mnozhestvennye rabochie oblasti mezhdu kotorymi mozhno pereklyuchat'sya. Uchityvaet osobennosti raboty v raspredelennoj srede

Rabochij stol razrabotan, chtoby pomoch' pol'zovatelyam vospol'zovat'sya preimushchestvom raspredelennyh vychislenij. Naprimer pol'zovatel' mozhet dobavlyat' vstrechu v kalendar' drugogo pol'zovatelya ili vypolnyat' prikladnuyu programmu, kotoraya razmeshchena na udalennoj mashine.

Osnovan na standartah

CDE osnovan na promyshlennyh standartah X-OPEN, X11 release 5, OSF/MOTIF 1.2 i Spec 1170.

Intuitivnost'

CDE osnovan na neprotivorechivom interfejse pol'zovatelya dlya predstavleniya i povedeniya nastol'nyh komponentov.

Kratkoe opisanie rabochego stola AIX CDE

Upravlenie oknami / licevaya panel'

Administrator okon i licevaya panel' upravlyayut dostupom k rabochim oblastyam okna, prikladnym programmam, ustrojstvam i chasto ispol'zuemym ob®ektam.

Administrator okon osnovan na standartah OSF/MOTIF 1.2 i vklyuchaet v sebya rasshireniya dlya podderzhki mnozhestvennyh rabochih oblastej (dopolnitel'nye oblasti ekrannogo prostranstva).

Licevaya panel' obespechivaet dostup k chasto ispol'zuemymi piktogrammam. Imeetsya takzhe udobnye piktogrammy blokirovki ekrana i vyhoda iz sistemy. Licevaya panel' nastraivaetsya cherez prostye menyu; pol'zovateli mogut dobavlyat', udalyat' ili pereimenovyvat' rabochie oblasti, sozdavat' subpaneli i upravlyat' imi. Opytnye pol'zovateli mogut redaktirovat' fajly konfiguracii licevoj paneli. |ti fajly mogut izmenyat' licevuyu panel' tak, chtoby podderzhivat' specificheskie potrebnosti zakazchika, naprimer, izmenenie razmerov licevoj paneli, razmeshcheniya e£ na ekrane, a takzhe zameny ili dobavleniya piktogramm.

Administrator fajlov

Administrator fajlov ispol'zuetsya, chtoby prosmatrivat' i upravlyat' ob®ektami i papkami. Administrator fajlov podderzhivaet mnogokratnye predstavleniya ob®ektov, takih kak derevo direktorij, piktogrammy ili podrobnogo predstavleniya.

Administrator fajlov pozvolyaet sozdavat', peremeshchat', kopirovat' i udalyat' ob®ekty, a takzhe izmenyat' ih svojstva. Bol'shinstvo etih dejstvij mozhet byt' vypolneno ili cherez pryamoe manipulirovanie (metodom drag and drop) ili cherez menyu.

Administrator stilya

Vneshnij vid rabochego stola mozhet byt' nastroen cherez administratora stilya. Administrator stilya pozvolyaet pol'zovatelyam izmenyat' takie harakteristiki predstavleniya kak: cvetovuyu palitru, fon, ustanovki myshi, ustanovki klaviatury, povedenie okon i hranitel' ekrana.

Interaktivnaya spravka CDE

Desktop obespechivaet interaktivnuyu sistemu kontekstno-chuvstvitel'noj spravki, kotoraya vklyuchaet prosmotr i podderzhku giperteksta dlya informacii osnovannoj na SGML. Administrator spravki vklyuchaet API kotorye pozvolyayut prikladnym programmam predstavlyat' ih sobstvennye kontekstno-chuvstvitel'nye okna pomoshchi. |ti API pozvolyayut razrabotchikam prikladnyh programm sekonomit' vremya dlya sozdaniya sistemy pomoshchi.

Instrumental'nye sredstva pol'zovatelya

CDE Desktop predlagaet nabor graficheskih instrumentov dlya prosmotra i redaktirovaniya dannyh i dlya svyazi s drugimi pol'zovatelyami. V sostav etih instrumentov vhodyat tekstovyj redaktor, redaktor piktogramm, klient elektronnoj pochty, kalendar' i instrumenty pechati. |ti prikladnye programmy sil'no integrirovany drug s drugom i s uslugami desktop. Takzhe standartno postavlyayutsya programmy graficheskogo kal'kulyatora, chasov, prosmotr man-stranic i t.p.

Instrumenty razrabotok programm

Desktop standartno vklyuchaet v sebya dva instrumental'nyh sredstva, kotorye podderzhivayut bystrodejstvuyushchie prototipirovanie i razrabotku graficheskih interfejsov. |ti instrumental'nye sredstva - Application Builder i dtscript.

Dtscript - graficheskij interfejs sozdaniya dialogov i scenariev, osnovannyj na tehnologii Windowing Korn Shell.

Application Builder - dopolnitel'nyj prostoj instrument razrabotki, kotoryj podderzhivaet novye widgets CDE.

Oba iz etih instrumenta pozvolyayut pol'zovatelyu sozdavat' graficheskij interfejs, ispol'zuya tehniku drag and drop.

Internacionalizaciya

Desktop dostupen na mnogih razlichnyh yazykah (v tom chisle i na russkom). Realizaciya podderzhivaet nezavisimost' ot kodovoj tablicy i takzhe pozvolyaet pol'zovatelyu vybirat' yazyk pri vhode v sistemu.

Prilozheniya

Planirovanie bezopasnosti

OS AIX - polnost'yu "otkrytaya sistema". |ta OS sama po sebe ne imeet nikakoj effektivnoj zashchity, no ona obespechivaet administratora instrumental'nymi sredstvami dlya sozdaniya bezopasnoj sistemy.

Pri nachal'noj ustanovke

3. Ustanovite sleduyushchie ogranicheniya parolya v zadannoj po umolchaniyu stanze fajla /etc/security/user:

4. Opredelite znachenie blokirovki po vremeni. Pomestite ego v fajl /etc/profile, esli znachenie blokirovki po vremeni dolzhno byt' edinym dlya vseh pol'zovatelej:

Znachenie blokirovki po vremeni vyrazheno v sekundah. Naprimer, znachenie 1800 oznachaet, chto obolochka dolzhna blokirovka po vremeni, esli ne proizvoditsya nikakogo dejstviya v techenie 30 minut. Ustanovite, i TMOUT i TIMEOUT, esli vashi pol'zovateli mogut ispol'zovat' lyubuyu obolochku.

6. Perenaznach'te vyvod skulker i podobnyh emu otchetov v odin fajl, naprimer, /tmp/dailyreport - eto sdelaet proshche ezhednevnyj kontrol' dejstvij sistemy i e£ sostoyaniya.

7. Komanda securetcpip otklyuchaet nekotorye setevye servisnye demony. Esli ne trebuetsya primenenie komandy rlogin i svyazannyh s neyu, to ispol'zujte etu komandu.

8. V direktorii /var/adm/cron, ispol'zujte fajly cron.allow, cron.deny, at.allow, i at.deny dlya upravleniya dostupom k funkciyam cron.

11. Naznach'te razlichnye paroli root dlya razlichnyh mashin. Administrator dolzhen garantirovat', chto dlya razlichnyh mashin paroli root otlichayutsya drug ot druga. Mozhno pozvolit' obychnym pol'zovatelyam imet' te zhe samye paroli na razlichnyh mashinah, no nikogda delajte etogo dlya pol'zovatelya root.

12. Produmajte plan meropriyatij chrezvychajnyh mer. V tom sluchae, kogda administrator ne smozhet byt' pri avarii, drugoj upolnomochennyj chelovek dolzhen imet' dostup k neobhodimomu parolyu. Ispol'zovanie etoj procedury dolzhno registrirovat'sya i parol' dolzhen byt' izmenen nemedlenno posle ego ispol'zovaniya v chrezvychajnoj situacii.

13. Rassmotrite neobhodimost' otklyucheniya vseh udalennyh i dial-in terminalov v konce rabochego dnya. Razreshite im dostup utrom.

14. Tshchatel'no prover'te vse v zadannyh po umolchaniyu parametrah stanzy fajla /etc/security/user. Ustanovite sootvetstvuyushchie znacheniya po umolchaniyu prezhde sozda-niya pol'zovatelej. |to pozvolit ne opredelyat' bol'shinostvo parametrov dlya vnov' sozdavaemyh pol'zovatelej.

15. Rassmotrite neobhodimost' otklyucheniya vozmozhnosti vhoda v sistemu pod imenem root na lyuboj sisteme, na kotoroj bolee chem odin chelovek znaet parol' root. Takoe otklyuchenie vynudit pol'zovatelej vhodit' v sistemu pod ih sobstvennym userid i zatem vypolnyat' komandu su root. Sredstva audita i/ili zapisi v fajle/var/adm/sulog budut kontrolirovat' etih pol'zovatelej.

17. Rassmotrite predostavlenie SAK dlya vseh terminalov, i razresheniya vseh pol'zovatelej, chtoby ispol'zovat' doverennuyu obolochku.

Prodolzhenie dejstvij

1. Delajte kopii. Hranite arhivy. Ubedites', chto eshch£ kto-to krome vas znaet, kak vosstanovit' fajly s samoj svezhej kopii.

2. Osteregajtes' "svobodno rasprostranyaemogo programmnogo obespecheniya", "PO obshchego pol'zovaniya" ili fajlov, poluchennyh s anonimnogo ftp-servera. Nikogda ne zapuskajte obshchij fajl pri rabote v sisteme s polnomochiyami root, esli vy ne issledovali etot fajl i polnost'yu ne doveryaete emu.

Vypolnenie etogo trebovaniya mozhet byt' trudnym delom. Pol'zovatel' (ili dazhe vash nachal'nik) mozhet prijti k vam s "zamechatel'noj" programmoj, kotoraya emu srochno neobhodima. Pri etom ona byla poluchena "otkuda-to" (iz ne ochen' doverennogo istochnika) i razlichnymi sposobami peredachi fajla (s pomoshch'yu ne ochen' doverennogo kanala) i dolzhna byt' ustanovlena s polnomochiyami root.

3. Novyj pol'zovatel', sozdannyj cherez SMIT, ne sposoben rabotat' v sisteme, poka ego parol' ne sozdan (s pomoshch'yu SMIT ili komandoj passwd). Vy mozhete sozdavat' novyh pol'zovatelej prezhde, chem oni neobhodimy i vremenno ne sozdavat' dlya nih paroli, poka etim pol'zovatelyam ne trebuetsya dostup k sisteme.

5. Ne pozvolite pol'zovatelyam sovmestno ispol'zovat' userid (sovmestno ispol'zuya parol') ili UID (ustanavlivaya neskol'ko schetov s tem zhe samym UID).

6. Pri okazanii pomoshchi pol'zovatelyu, ne delajte su root iz ego seansa. Esli vy delaete eto, vy ispol'zuete ego sredu (s ego PATH) i eto otkryvaet bol'shoe kolichestvo defektov bezopasnosti. Esli vy vs£ zhe delaete su root iz seansa pol'zovatelya, to ispol'zujte polnye imena puti dlya vseh komand, kotorye vy ispol'zuete pri vypolnenii ih kak root.

7. Osteregajtes' pol'zovatelej, kotorye izmenyayut IFS (vhodnoj razdelitel' polej) v svoih profilyah. Ne pozvolyajte im izmenyat' fajl /etc/profile. Horosho osvedomlennyj pol'zovatel' mozhet proigryvat' mnogo umnyh priemov terminala s IFS i vyzyvat' beskonechnye problemy.

8. Ne pomestite tekushchuyu direktoriyu v PATH dlya root. Dlya otmeny zadannogo po umolchaniyu PATH v zadannom po umolchaniyu profile (v fajle /etc/profile) vy dolzhny sozdat' fajl a.profile dlya root. a.profile nahoditsya v ishodnom kataloge pol'zovatelya.

9. Znachenie umask dolzhno byt' ustanovleno dlya pol'zovatelej. Znachenie umask po umolchaniyu - 022, hotya znachenie 027 (otklyuchaet lyuboj dostup "ostal'nym") mozhet byt' luchshe. Specificheskie znacheniya umask mogut byt' pomeshcheny v individual'nye fajly nastroek pol'zovatelej $HOME/.profile (ne zabud'te, chto pol'zovatel' mozhet izmenyat' ego sobstvennoe znachenie umask v lyuboe vremya).

10. Esli Vy aktivizirovali lyubye funkcii revizii, Vy dolzhny proverit' ih vyvod po krajnej mere ezhednevno, pri poiske neobychnyh sobytij. Neobychnye sobytiya mogut vklyuchat' v sebya dejstviya v nerabochie chasy, povtorennye otkazy vhoda v sistemu, povtorennye otkazy s komandoj su, i t.d.

12. Modificirujte profil' tcbck, kogda vazhnye fajly (iz tochki zreniya zashchity) ili programmy suid dobavleny k sisteme.

Dopolnitel'naya autentifikaciya AIX pozvolyaet Vam opredelyat' dopolnitel'nye pervichnye opoznavatel'nye shagi ("metody") i vtorichnye opoznavatel'nye shagi. V terminologii AIX, pervichnyj opoznavatel'nyj metod mozhet otklonyat' vhod v sistemu pol'zovatelya; vtorichnyj opoznavatel'nyj metod ne mozhet otklonyat' vhod v sistemu.

Vtorichnyj opoznavatel'nyj shag - metod dlya upravleniya specificheskoj programmoj kak chast' processa vhoda v sistemu specificheskogo pol'zovatelya. (|ta terminologiya unikal'na AIX.)

Vhod v sistemu s dvumya parolyami

Odin obshchij metod uvelicheniya zashchity vhoda v sistemu sostoit v tom, chtoby trebovat' ot pol'zovatelya dva parolya. Dlya togo chtoby vojti v sistemu dolzhny prisutstvovat' dva razlichnyh cheloveka (s dvumya razlichnymi parolyami). Dva razlichnyh parolya svyazany s dvumya razlichnymi schetami.

Ne imeetsya nikakogo sposoba, ispol'zuya standartnye sredstva, podderzhivat' dva parolya dlya odnogo scheta. Vy mozhete opredelyat' vhod v sistemu s dvumya parolyami opredelennym obrazom, ustanavlivaya sleduyushchie parametry, ispol'zuya SMIT:

SMIT Security and Users Users Change/Show Characteristics of a User *User NAME [alex] ... PRIMARY Authentication Method [SYSTEM,SYSTEM;serg]

Kogda alex registriruetsya v sisteme, v etom primere, ego zaprosyat vvesti ego parol'. Esli on otvechaet pravil'no, sistema zaprosit zatem vvesti parol' pol'zovatelya serg (konechno, alex mog by znat' oba parolya, no togda teryaetsya smysl vhoda v sistemu s dvumya parolyami).

Vy dolzhny ustanovit' PERVICHNYJ Opoznavatel'nyj Metod tochno kak pokazano vyshe. Parametr SYSTEM opredelyaet, chto dolzhna ispol'zovat'sya obychnaya programma ustanovleniya podlinnosti parolya. Po umolchaniyu, ona proveryaet parol' registriruyushchegosya pol'zovatelya.

Vtoroj parametr SYSTEM opredelyaet vtoruyu proverku. V etom sluchae imeetsya operand ;serg, i proveryaetsya parol' scheta, opredelennogo v etom operande.

Fajly bezopasnosti

Nizhesleduyushchie ASCII fajly soderzhat atributy pol'zovatelej i kontrolya dostupa:

ž /etc/passwd dopustimye pol'zovateli
ž /etc/group dopustimye gruppy
ž /etc/security direktoriya ne dostupnaya obychnym pol'zovatelyam
ž /etc/security/passwd paroli pol'zovatelej
ž /etc/security/user atributy pol'zovatelej, ogranicheniya na paroli
ž /etc/security/limits ogranicheniya pol'zovatelej
ž /etc/security/environ ustanovki okruzheniya pol'zovatelej
ž /etc/security/login.cfg ustanovki vhoda v sistemu
ž /etc/security/group atributy grupp

Fajl /etc/passwd

Fajl /etc/passwd yavlyaetsya spiskom pol'zovatelej sistemy i nekotorymi ih atributami. |tot fajl dolzhen byt' dostupen dlya chteniya vsemi pol'zovatelyami. Primer fajla (fragment):

ž imya pol'zovatelya - do 8-mi alfavitno-cifrovyh simvolov.
ž parol' - v staryh sistemah UNIX zdes' soderzhalsya zashifrovannyj parol'. V AIX eto pole soderzhit simvol "!" kak ssylka na fajl /etc/security/passwd. Drugimi obshchimi znacheniyami etogo polya mozhet byt' simvol "*", kotoryj oznachaet, chto identifikator pol'zovatelya nevernyj i eto pole mozhet byt' pustym, chto oznachaet, chto parolya net.
ž identifikator pol'zovatelya - nomer identifikatora pol'zovatelya.
ž indetifikator gruppy - nomer identifikatora gruppy vysheukazannogo pol'zovatelya.
ž polnoe imya - lyuboj opisatel'nyj tekst dlya pol'zovatelya.
ž direktoriya -direktoriya pol'zovatelya pri vhode v sistemu i iniciiruyushchee znachenie dlya peremennoj $HOME.
ž login programma - obolochka pol'zovatelya pri vhode v sistemu i iniciiruyushchee znachenie dlya peremennoj $SHELL.

Fajl /etc/security/passwd

Dostup k etomu fajlu est' tol'ko u pol'zovatelya root. Izmenyaetsya etot fajl s pomoshch'yu komand login, passwd, pwdadm i pwdck, ispolnyayushchihsya s polnomochiyami root.

V etom fajle hranyatsya zashifrovannye paroli i svyazannaya s nimi informaciya. |tot fajl imeet format stanz so stanzami na kazhdogo pol'zovatelya.

ž password zashifrovannyj parol' ili simvol "*" dlya zablokirovannyh schetov ili pustoj parol'.
ž lastupdate data i vremya poslednego obnovleniya parolya v sekundah nachinaya s 1 yanvarya 1970 goda.
ž flags ADMCHG - parol' mozhet byt' izmenen tol'ko administratorom ili pol'zovatelem root. ADMIN - parol' pol'zovatelya mozhet byt' izmenen tol'ko root. NOCHECK - ogranicheniya parolya ne imeyut sily dlya etogo pol'zovatelya.

Fajl /etc/security/user

admin Opredelyaetsya administrativnyj status pol'zovatelya. Vozmozhnye znacheniya true i false.
login Opredelyaetsya to, mozhet li pol'zovatel' vhodit' v sistemu. Vozmozhnye znacheniya true i false.
su Opredelyaetsya to, mogut li drugie pol'zovateli pereklyuchatsya na etot schet komandoj su ili net. Vozmozhnye znacheniya true i false.
daemon Opredelyaetsya to, mozhet li pol'zovatel' ispolnyat' programmy pol'zuyas' demonom cron ili sistemnym kontrollerom resursov (SRC). Vozmozhnye znacheniya true i false.
rlogin Opredelyaetsya to, mozhno li poluchit' dostup k schetu pol'zovatelya ispol'zuya udalennyj vhod v sistemu. Ispol'zuetsya komandami telnet i rlogin. Vozmozhnye znacheniya true i false.
sugroups Opredelyayutsya gruppy kotorye mogut pereklyuchatsya na etot schet pol'zovatelya. Esli vy vstavite simvol "!" pered imenem gruppy, ee pol'zovateli naoborot budet isklyucheny iz vozmozhnosti pereklyuchatsya na etot schet. Vozmozhnye znacheniya: spisok dopustimyh grupp, razdelennyh zapyatymi, znachenie ALL ili simvol "*".
admgroups Spisok grupp, kotorymi upravlyaet pol'zovatel'. Znachenie: spisok dostupnyh grupp, razdelennyh zapyatymi.
ttys Opredelyayutsya terminaly, s kotoryh pol'zovatelyu vozmozhen dostup. Ispol'zuya simvol "!" pered imenem terminala vy zapretite ispol'zovat' ego dlya dostupa pol'zovatelyu. Vozmozhnye znacheniya: spisok polnyh putej k ustrojstvam, razdelennyj zapyatymi, znachenie ALL ili simvol "*".
auth1 Opredelyaetsya pervichnyj metod autentifikacii dlya pol'zovatelya, kotoryj po umolchaniyu ustanavlivaetsya dlya programmy parolya. |tot metod autentifikacii budut ispol'zovat' programmy login, telnet, rlogin i su. Dlya udvoennogo vhoda v sistemu znacheniem etogo polya budet SYSTEM;NAME1,SYSTEM;NAME2.
auth2 Opredelyaet dlya pol'zovatelya vtorichnyj metod autentifikacii.
tpath Opredelyaet dlya pol'zovatelya harakteristiki doverennogo puti. Vozmozhnye znacheniya: nosak, notsh, always ili on.
umask Opredelyaet dlya pol'zovatelya znachenie peremennoj umask po umolchaniyu. Rekomenduetsya ustanovit' v 027.
expires Opredelyaetsya vremya dejstvitel'nosti scheta pol'zovatelya. Vozmozhnye znacheniya: data dopuska v formate MMDDHHMMYY ili 0, esli schet ne imeet opredelennogo vremeni dopustimosti. Pri znachenii 0101000070 schet otmenen.
SYSTEM Opredelyayutsya trebovaniya k autentifikacii versii 4. |to pole ispol'zuetsya dlya opredeleniya mnozhestvennyh ili al'ternativnyh metodov autentifikacii kotorye pol'zovatel' dolzhen uspeshno projti pered polucheniem dostupa k sisteme. Vozmozhnye znacheniya:

logintimes Opredelyaet vremya, kogda pol'zovatel' mozhet vhodit' v sistemu. Znacheniem yavlyaetsya spisok vremen, razdelennyj zapyatymi, v sleduyushchem formate: [!] [MMdd[-MMdd]]:hhmm-hhmm ili [!] [MMdd[-MMdd][:hhmm-hhmm] ili [!] [w[-w]]:hhmm-hhmm ili [!] w[-w][:hhmm-hhmm] gde, MM - nomer mesyaca (00=yanvar', 11=dekabr'), dd - den' mesyaca, hh - chasy dnya (00-23), mm - minuty chasa i w - den' nedeli (0=voskresen'e, 6=subbota).
pwdwarntime Kolichestvo dnej pered smenoj parolya kogda poyavlyaetsya preduprezhdenie pol'zovatelyu s informaciej o neobhodimosti skoroj smeny parolya. Vozmozhnye znacheniya: polozhitel'noe celoe chislo ili 0 dlya vyklyucheniya etoj funkcii.
account_disable Ustanavlivaetsya v true, esli schet po umolchaniyu zablokirovan i ne mozhet byt' is-pol'zovan dlya vhoda v sistemu. V obratnom sluchae ustanavlivaetsya v false.
logintries Kolichestvo popytok nepravil'nyh vhodov v sistemu, posle chego pol'zovatel' ne imeet vozmozhnosti vojti v sistemu. Vozmozhnye znacheniya: polozhitel'noe celoe chislo ili 0 dlya vyklyucheniya etoj funkcii.
histexpire Opredelyaet period v nedelyah v techenii kotorogo pol'zovatel' ne mozhet primenit' snova svoj staryj parol'. Vozmozhnye znacheniya: celoe chislo ot 0 do 260. Rekomendovannoe znachenie - 26 (okolo 6-ti mesyacev).
histsize Opredelyaetsya kolichestvo staryh parolej, kotorye ne mogut byt' povtoreny. Vozmozhnye znacheniya: celye chisla ot 0 do 50.
minage Opredelyaetsya minimal'noe kolichestvo nedel' mezhdu smenami parolej. Po umolchaniyu=0. Diapazon ot 0 do 52. Rekomenduetsya ostavit' znachenie po umolchaniyu.
maxage Rabotaet sovmestno s peremennoj pwdwarntime (sm.vyshe). Opredelyaet maksimal'noe kolichestvo nedel' kogda parol' yavlyaetsya dejstvuyushchim. Po umolchaniyu=0, chto oznachaet neogranichennoe vremya ispol'zovaniya. Dopustimyj diapazon znachenij ot 0 do 52.
maxexpired Opredelyaetsya maksimal'noe kolichestvo nedel' posle istecheniya perioda, ukazannogo v peremennoj maxage, v techenii kotorogo pol'zovatelyu daetsya vozmozhnost' izmenit' svoj parol'. Po umolchaniyu=-1, chto ekvivalentno neogranichennomu sroku. Dopustimyj diapazon ot -1 do 52.
minalpha Opredelyaetsya minimal'noe kolichestvo alfavitnyh simvolov v parole. Po umolchaniyu=0. Diapazon - ot 0 do 8.
minother Opredelyaetsya minimal'noe kolichestvo nealfavitnyh simvolov v parole. Po umolchaniyu=0. Diapazon - ot 0 do 8. Summa znachenij parametrov minalpha i minother dolzhna ne prevyshat' 8. Esli eta summa bol'she 8 to znachenie parametra minother vychislyaetsya kak raznica mezhdu 8 i znacheniem parametra minalpha.
minlen Opredelyaetsya minimal'naya dlina parolya. Po umolchaniyu=0. Diapazon - ot 0 do 8. Minimal'naya dlina parolya beretsya iz znacheniya etogo parametra ili iz summy znachenij parametrov minalpha+minother, v zavisimosti ot togo, kakaya velichina bol'she.
mindiff Opredelyaetsya minimal'noe kolichestvo simvolov v novom parole, kotorye ne dolzhny sovpadat' s simvolami v starom pri ego smene. Po umolchaniyu=0. Vozmozhnye znacheniya - ot 0 do 8.
maxrepeats Opredelyaetsya maksimal'noe kolichestvo povtorenij odnogo simvola v parole. Po umolchaniyu=8, chto ekvivalentno neogranichennomu kolichestvu povtorenij. Vozmozhnye znacheniya - ot 0 do 8.
dictionlist Opredelyaet slovar' parolej ispol'zuemyj dlya proverki na "stojkost'" novogo parolya. Vozmozhnye znacheniya: razdelennyj zapyatymi spisok absolyutnyh putej k fajlam slovarej. Fajl slovarya dolzhen soderzhat' po odnomu slovu na stroku, prichem kazhdoe slovo ne dolzhno imet' probelov ni vperedi ni szadi. Slova mogut soderzhat' tol'ko 7-mi bitnye simvoly ASCII. Vse slovari i direktorii dolzhny byt' zashchishcheny ot za-pisi ot vseh pol'zovatelej, krome root. Po umolchaniyu ne ispol'zuetsya nikakogo fajla slovarej.
pwdchecks Opredelyaetsya vneshnij ogranichivayushchij metod ispol'zuemyj dlya proverki kachestva parolya. Vozmozhnye znacheniya: razdelennyj zapyatymi spisok absolyutnyh putej metodov proverki i/ili put' k metodu otnositel'no direktorii /usr/lib. Po umolchaniyu vneshnij ogranichivayushchij metod proverki parolya ne ispol'zuetsya.

Fajly /etc/group i /etc/security/group

ž gruppa do 8 alfavitno-cifrovyh simvolov.
ž parol' ne ispol'zuetsya AIX 4-j versii i dolzhen soderzhat' "!" ž gruppovoj identifikator
ž chleny razdelennyj zapyatymi spisok pol'zovatelej, chlenov gruppy.

Fajl /etc/security/group postroen v formate stanz dlya kazhdoj gruppy. Vozmozhnye parametry:
ž admin true ili false, v zavisimosti ot togo administrativnaya gruppa ili net.
ž adms razdelennyj zapyatymi spisok pol'zovatelej, kotorye yavlyayutsya administratorami gruppy. Esli parametr admin=true, to etot parametr ignoriruetsya, tak kak tol'ko root mozhet upravlyat' administrativnoj gruppoj.

Fajl /etc/security/login.cfg

default:
:
herald="\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\nThis is the console. Restricted use only.\nlogin:
logintimes=
logindisable=0
logininterval=0
loginreenable=0
logindelay=0

herald Opredelyaetsya pervoe soobshchenie vydavaemoe na ekran pered priglasheniem vojti v sistemu. Znacheniem yavlyaetsya stroka. Esli herald yavno ne opredelen, to ispol'zuetsya herald po umolchaniyu iz direktorii soobshchenij associirovannyh s tem yazykom, kotoryj ustanovlen v fajle /etc/environment.

logintimes Opredelyaet period v techenie kotorogo pol'zovatel' mozhet ispol'zovat' port dlya vhoda v sistemu.

logindisable Kolichestvo neuspeshnyh popytok vhoda v sistemu posle kotoryh port budet zablokirovan. Ispol'zuetsya sovmestno s parametrom logininterval (sm.nizhe).

logininterval CHislo sekund v techenii kotoryh port budet zablokirovan pri dostizhenii kolichestva neuspeshnyh popytok vhoda v sistemu soglasno znacheniya, ustanovlennogo v parametre logindisable.

loginreenable Kolichestvo minut posle proshestviya kotoryh zablokirovannyj port avtomaticheski razblokiruetsya.

logindelay Vremya zaderzhki v sekundah mezhdu popytkami neudachnogo vhoda v sistemu. Zaderzhka uvelichivaetsya s kazhdoj popytkoj na etu velichinu. To est' esli znachenie u etogo parametra - 2, to pervaya zaderka budet 2 sekundy, vtoraya - 4, tret'ya - 6 sekund i tak dalee.

Ob avtore

Bykov Aleksej Gennadievich - menedzher informacionnoj sistemy ZAO "Komtek", g.Krivoj Rog, Ukraina.

V 1990 godu posle okonchaniya 2-go kursa na kafedre "Fizika poluprovodnikovyh materialov i priborov" MISiS rabotal v nauchno-issledovatel'skom i proektnom institute "Mehanobrchermet", gde proshel put' ot tehnika tehnicheskogo otdela do nachal'nika reklamnogo otdela. Zatem rukovodil reklamnoj firmoj "Soft-Press", posle chego pereshel v 1992 godu rabotat' v PKF "Komtek" (v dal'nejshem preobrazovannoe v zakrytoe akcionernoe obshchestvo), gde i rabotaet v nastoyashchee vremya.

Vypolnyaet zadachi po razvitiyu i upravleniyu korporativnoj informacionnoj sistemoj ZAO "Komtek", postroennoj na serverah s operacionnymi sistemami Microsoft Windows NT Server, IBM AIX, personal'nyh komp'yuterah i setevom oborudovanii IBM, Hewlett-Packard, Cisco, 3Com. Uchastvuet v tehnicheskom rukovodstve informacionnoj sistemoj Krivorozhskogo processingovogo centra ZAO "Komtek" po obsluzhivaniyu sistemy beznalichnyh raschetov s ispol'zovaniem smart-kart (sistema postroena na ispol'zovanii AIX, Oracle, sistemy SmartCity, marshrutizatorov i serverov dostupa firmy Cisco).

IMYA PRILOZHENIYA	KOMANDA
Upravlenie pol'zovatelyami/gruppami	xuserm
Upravlenie diskovymi podsistemami	xlvm
Upravlenie pechat'yu	xprintm
Upravlenie ustrojstvami	xdevicem
Upravlenie ustanovkoj programm	xinstallm
Upravlenie obsluzhivaniem i obnovleniem	xmaintm

	Po opredeleniyu	Inache
access	write	both (ispol'zuetsya dlya modemov ili vyhodnyh programm trebuyushchih vozmozhnosti chteniya)
header	never	always, group
trailer	never	always, group
feed	never	Integer
aling	FALSE	TRUE

Sostoyanie	Opisanie
DEV_BUSY	Printer zanyat obsluzhivaniem drugih zaprosov na pechat'. \|to sostoyanie voznikaet v tom sluchae, esli s odnim printerom svyazano neskol'ko ocheredej i inaya ochered' ispol'zuet printer v nastoyashchij moment. Takoe sostoyanie voznikaet takzhe v tot moment, kogda prilozhenie, otlichnoe ot qdaemon ispol'zuet dannyj printer. Vashi dejstviya: podozhdite, poka printer ne osvoboditsya ili kill (ubejte) process ili rabotu, kotorye ispol'zuyut port printera.
DEV_WAIT	Ochered' ozhidaet printer. Takoe sostoyanie voznikaet v takie momenty, kogda printer nahoditsya v sostoyanii offline (net bumagi, zamyata bumaga, problema s kabelem i t.p.)
DOWN	Ozhidanie.\|to sostoyanie voznikaet v situacii, kogda istekaet vremya ozhidaniya popytok drajvera printera ustanovit' svyaz' s nim. Operator mozhet vvesti ochered' v eto sostoyanie na vremya sistemnogo obsluzhivaniya.
OPR_WAIT	Ochered' ozhidaet izmeneniya proizvodimye operatorom. \|to sostoyanie ustanavlivaetsya togda, kogda operator zamenyaet bumagu (razmer, orientaciyu) i t.p. Obychno programmnym putem.
QUEUED	Rabota v ocheredi i ozhidaet.
READY	Ochered' gotova dlya polucheniya zadanij na pechat'.
RUNNING	Fajl pechataetsya.
UNKNOWN	Problema s ochered'yu. \|to sostoyanie voznikaet v takie momenty, kogda pol'zovatel' sozdaet ochered' dlya fajla ustrojstva, kotoroe ispol'zuetsya drugoj ochered'yu i ee sostoyanie DEV_WAIT.

Naimenovanie	Kolichestvo
Gruppa tomov	do 255 na sistemu
Fizicheskij tom	do 32 na gruppu tomov
Fizicheskij razdel	do 1016 na fizicheskij tom, kazhdyj razmerom do 256MB
Logicheskij tom	do 256 na gruppu tomov
Logicheskij razdel	do 32512 na logicheskij tom

Server DHCP	Klienty DHCP
AIX V4.2	MacOS, Windows 3.x, Windows 95,Windows NT 3.5, Chameleon,FTP Software, AIX V4.1.4
AIX V4.1.4	OS/2 Warp Connect
OS/2 Warp Server, SUN Solaris,FTP Software, Competitive Automation	AIX V4.2, AIX V4.1.4

Name	Nodename	Mount Pt	VFS	Size	Options	Auto
/dev/hd4	-	/	jfs	8192	-	yes
/dev/hd1	-	/home	jfs	90112	-	yes
/dev/hd2	-	/usr	jfs	507904	-	yes
/dev/hd9var	-	/var	jfs	8192	-	yes
/dev/hd3	-	/tmp	jfs	16384	-	yes
/dev/cd0	-	/infocd	cdrfs		ro	yes
/dev/lv00	-	/home/john	jfs	8192	rw	yes

node	mounted	mounted over	vfs	date	options
	/dev/hd4	/	jfs	Jul 11 20:14	rw,log=/dev/hd8
	/dev/hd2	/usr	jfs	Jul 11 20:15	rw,log=/dev/hd8
	/dev/hd9var	/var	jfs	Jul 11 20:15	rw,log=/dev/hd8
	/dev/hd3	/tmp	jfs	Jul 11 20:15	rw,log=/dev/hd8
	/dev/hd1	/home	jfs	Jul 11 20:16	rw,log=/dev/hd8
	/dev/lv00	/home/john	jfs	Jul 11 20:16	rw,log=/dev/hd8

Page Space	Physical Volume	Volume Group	Size	%Used	Active	Auto	Type
hd6	hdisk0	rootvg	64MB	44%	yes	yes	lv
paging00	hdisk1	uservg	64MB	9%	yes	yes	lv
paging01	hdisk1	uservg	16MB	86%	yes	yes	lv

Podustrojstvo	Nizkaya £mkost'	Perematyvanie(uderzhanie)na nachalo pri otkrytii	Perematyvanie na nachalo pri zakrytii operacii
/dev/rmtX	net	net	da
/dev/rmtX.1	net	net	net
/dev/rmtX.2	net	da	da
/dev/rmtX.3	net	da	net
/dev/rmtX.4	da	net	da
/dev/rmtX.5	da	net	net
/dev/rmtX.6	da	da	da
/dev/rmtX.7	da	da	net

Tip apparatury	Apparatnyj adres	IP adres	Rezul'tat
0	0	<IP adres>	<IP adres> dolzhen byt' udalen iz diapazona
0	<stroka>	<IP adres>	Klientu, kotoryj identificirovan <strokoj> dolzhen byt' prisvoen <IP adres>
<type>	<address>	<IP adres>	Konkretnomu ustrojstvu <type> s adresom <address> dolzhen byt' prisvoen adres IP <IP adres>
<type>	<address>	none	Ne davat' IP adres dlya konkretnoj apparatury s konkretnym adresom
0	<stroka>	none	Ne otvechat' dlya konkretnogo klienta identificirovannogo <strokoj>
<type>	<address>	any	Predostavit' lyuboj svobodnyj adres IP dlya konkretnoj apparatury s konkretnym apparatnym adresom. Ispol'zuetsya v kombinacii s vystavlennym parametrom supportunlistedclients=no.
0	<stroka>	any	Predostavit' lyuboj svobodnyj adres IP dlya klienta identificirovannogo <strokoj>. Ispol'zuetsya v kombinacii s vystavlennym parametromsupportunlistedclients=no.

Bit dostupa	Fajl	Direktoriya
r	pol'zovatel' mozhet chitat' soderzhimoe fajla	pol'zovatel' mozhet prosmatrivat' soderzhimoe direktorii
w	pol'zovatel' mozhet izmenyat' soderzhimoe fajla	pol'zovatel' mozhet sozdavat' fajly i peremeshchat' fajly v direktoriyu
x	pol'zovatel' mozhet ispol'zovat' imya fajla kak komandu	pol'zovatel' mozhet vhodit' (cd) v direktoriyu i pomeshchat' e£ v PATH
SUID	programma vypolnyaetsya s effektivnym UID vladel'ca	-
SGID	programma vypolnyaetsya s effektivnym GID vladel'ca	fajly, sozdannye v direktorii nasleduyut prinadlezhnost' k toj zhe gruppe, chto i direktoriya
SVTX	-	dlya udaleniya fajla v direktorii pol'zovatel' dolzhen byt' vladel'cem fajla ili direktorii

process getty	startuetsya processom initparametry portov v ODM
login	Fajl /etc/security/login.cfg
Pol'zovatel' vvodit svoe imya vhoda
Pol'zovatel' vvodit svoj parol'
Proverka imeni i parolya pol'zovatelya	Fajly /etc/password i/etc/security/password	V sluchae oshibki delaetsya zapis' v fajl /etc/security/failedlogin
Ustanovka okruzheniya	Fajly /etc/security/environ,/etc/security/limits, /etc/security/user
Soobshchenie dnya	Fajl /etc/motd	Esli v direktorii pol'zovatelya sushchestvuet fajl $HOME/.hushlogin to soobshchenie dnya emu ne pokazyvaetsya
shell	Zapusk obolochki
Ustanovka okruzheniya pol'zovatelya	Fajly /etc/environment, /etc/profile i $HOME/.profile

Sluzhba	Vypolnyaemye funkcii
Imena	Baza Dannyh (BD) imen pol'zovatelej i sredstv, prednaznachennyh dlya dostupa pol'zovatelej k setevym sluzhbam.
Udalennyj dostup	Tehnologiya, obespechivayushchaya vzaimodejstvie dvuh prikladnyh programm, raspolozhennyh v razlichnyh abonentskih sistemah.
Zashchita dannyh	Programmnoe Obespechenie (PO) razresheniya na dostup k resursam sistemy ili seti, vklyuchayushchee shemu Kerberos na baze RPC
Mnogopotochnost'	ONT>OCT Programmy, obespechivayushchie odnovremennoe vypolnenie neskol'kih zadach. Pozvolyaet odnovremenno vypolnyat' mnozhestvo vyzovov RPC v asinhronnom rezhime