天天看点

精简Linux系统管理工作的五个秘诀

在数据中心,linux可以是一把双刃剑:它提供灵活性,但也有复杂的风险。幸运的是,您可以使用的工具库可以使linux系统管理变得更加容易。

最近,新的工具出现来帮助管理员在linux服务器管理的各个方面。例如,red hat linux enterprise(rhel)7的更新使管理员能够更好地控制策略和安全性,以及管理linux引导过程可作为新的工具。

熟悉这些工具和更多的精简管理流程。

rhel 7引导过程采用grub 2,systemd

rhel 7为曾经使用rhel 6版本的管理员们引入了两方面的主要变化:grub 2和systemd,两者都在linux引导过程中起到重要的作用。

管理员使用systemd——服务管理器来启动服务,可在特定条件下启动任务,初始化硬件和装载文件系统。在引导过程中,systemd为linux系统管理提供的主要优势有:统一的接口来启动服务、套接字、挂载或其他组件。但是,(管理员)很容易被systemd的配置选项所淹没。在开始之前,理解关键概念,如目标单元和需求(是什么)。

管理员不会像使用systemd那样频繁地使用grub 2,因为它只涉及重新启动过程,但它仍然是一项需要知晓的重要功能。大多数情况下,grub 2不需要很多维护,但有时需要重新配置。要更改其配置,请从名为/etc/default/grub的文件开始。

了解linux的开源powershell

2016年8月,powershell成为开放源代码,并将其功能扩展到linux操作系统。它现在支持各种版本的linux:包括ubuntu 16.04,centos 7,oracle linux 7和rhel 7。通常,只有部分powershell的专有版本的powershell的模块和cmdlet可以在开源版本中使用,但管理员可以仍然找到一些有用的功能,用于linux系统管理。

例如,开源powershell中的脚本创建与当前microsoft版本实质上是相同的。管理员可以使用powershell建立所需的状态配置,与microsoft的operations management suite集成并执行其他任务。但是,适用于linux的powershell不支持集成脚本环境(integrated scripting environment),并且不提供作业控制或计划支持。有希望的是,社区将在未来的版本中填补这些空白。

尝试使用salt配合suse manager 3

suse manager是一种基础设施管理工具,使linux管理员可以更轻松地管理rhel和suse linux enterprise server上的配置。最近,suse发布了suse manager 3,它与以前的版本有很大的不同。虽然suse的旧版本仅在spacewalk上构建,但suse manager 3还将salt(一种配置管理系统)集成为业务流程引擎。这使管理员能够在受控节点上通过脚本执行复杂的任务。

除了与salt进行集成,suse manager 3比以往版本的工具支持更多的产品。例如,传统上,suse manager只能在特定条件下管理rhel。但是suse manager 3具有对rhel 6和7的原生支持,同时还支持suse cloud和suse storage。

借助rhel 7.3管理linux安全和灾难恢复

在2016年11月,red hat发布了一个新版本的rhel 7.3版本。该版本使管理员能够通过安全增强型linux(security-enhanced linux,selinux)更好地控制策略,包括覆盖具有更高优先级自定义模块的系统模块的能力。rhel 7.3还通过原子扫描改进了openscap workbench—一种安全内容自动化协议的开源版本,可以检测容器漏洞。

rhel 7.3对安全性的关注表明,rhel 8将针对工业互联网设备,这些设备很脆弱,易受攻击。

新的更新包括用于linux系统管理的其他功能。例如,内置的灾难恢复功能使管理员可以在没有第三方的情况下设置多站点灾难恢复(dr)服务。要启用这种多站点功能并设置状态更改的警报,管理员可以使用pacemaker。

使用selinux通过策略管理安全性

selinux是大多数linux发行版中的访问控制模块,帮助管理员能够通过策略更好地管理安全性。这些策略在基本的linux系统管理中也发挥着作用。例如,管理员可以使用它们来管控进程初始化、继承和执行程序、以及管理文件、文件系统、目录、消息传递接口和其他组件。

selinux有三种不同的模式:强制(enforcing)、许可(permissive)和禁用(disabled)。在强制模式下,selinux根据策略设置的规则拒绝访问。在许可模式下,平台记录所有拒绝,但不会拒绝访问。禁用模式意味着selinux被禁用。尽管管理员使用禁用模式听起来很不错,然而由于该工具的复杂性,因此出于安全考虑,不建议这样做。

如果您需要借助selinux解决的应用程序性能问题,请切换到许可模式。扫描审核日志以了解问题所在,并标识被拒绝的进入申请。收集信息(例如流程id和目标名称)完成,您就会明白selinux和特定服务无法协同工作的原因。

本文转自d1net(转载)

继续阅读