צמתים לשימוש בתפקידי מערכת RHEL:
לפני שתוכל להשתמש בתפקידי מערכת RHEL בודדים לניהול שירותים והגדרות,
הכינו את המעורבים מארחים.
1.1. מבוא לתפקידי מערכת RHEL
RHEL System Roles הוא אוסף של תפקידים ומודולים של Ansible. תפקידי מערכת RHEL מספקים א
ממשק תצורה לניהול מרחוק של מערכות RHEL מרובות.
הממשק מאפשר managing תצורות מערכת על פני מספר גרסאות של RHEL,
כמו גם אימוץ מהדורות מרכזיות חדשות.
ב-Red Hat Enterprise Linux 9,
הממשק מורכב כרגע מהתפקידים הבאים:
-
הנפקה וחידוש תעודות
-
הגדרות ליבה (kernel_settings)
-
מדדים (מדדים)
-
Network Bound Disk Encryption לקוח ושרת Network Bound Disk Encryption (nbde_client
-
ו-nbde_server)
-
רשת (רשת)
-
תיקון פוסט (פוסט תיקון)
-
לקוח SSH (ssh)
-
שרת SSH (sshd)
-
מדיניות קריפטוגרפית כלל-מערכתית (crypto_policies)
-
הקלטת סשן מסוף (tlog)
-
כל התפקידים הללו מסופקים על ידי חבילת rhel-system-roles הזמינה במאגר AppStream.
משאבים נוספים
תפקידי מערכת Red Hat Enterprise Linux (RHEL).
/usr/share/doc/rhel-system-roles/ מסופק על ידי חבילת rhel-system-roles.
1.2. טרמינולוגיה תפקידים במערכת RHEL
תוכל למצוא את המונחים הבאים בתיעוד זה:
ספר משחקי Ansible:
ספרי הפעלה הם שפת התצורה, הפריסה והתזמור של Ansible.
הם יכולים לתאר א
מדיניות שאתה רוצה שהמערכות המרוחקות שלך יאכופו,
או קבוצה של שלבים בתהליך IT כללי.
צומת בקרה:
כל מכונה שמותקנת בה Ansible.
אתה יכול להפעיל פקודות וחוברות משחק,
מפעיל את /usr/bin/ansible
או /usr/bin/ansible-playbook, מכל צומת בקרה.
אתה יכול להשתמש בכל מחשב שמותקן עליו Python כצומת בקרה - מחשבים ניידים, שולחנות עבודה משותפים,
והשרתים כולם יכולים להריץ את Ansible. למרות זאת,
אינך יכול להשתמש במחשב Windows כצומת בקרה. אתה יכול לקבל מספר צמתי בקרה.
מלאי:
רשימה של צמתים מנוהלים. קובץ מלאי נקרא לפעמים גם "קובץ מארח". המלאי שלך יכול
ציין מידע כמו כתובת IP עבור כל צומת מנוהל. מלאי יכול גם לארגן מנוהל
צמתים, יצירה וקינון של קבוצות לשינוי קנה מידה קל יותר. למידע נוסף על מלאי, עיין ב-
עבודה עם מדור מלאי.
צמתים מנוהלים:
התקני הרשת, השרתים או שניהם שאתה מנהל עם Ansible. צמתים מנוהלים הם גם
נקראים לפעמים "מארחים". Ansible אינו מותקן בצמתים מנוהלים.
1.3. הכנת צומת בקרה
RHEL כולל Ansible Core במאגר AppStream עם היקף מוגבל של תמיכה.
אם אתה דורש
תמיכה נוספת עבור Ansible,
צור קשר עם Red Hat כדי ללמוד עוד על פלטפורמת האוטומציה של Ansible
מנוי.
דרישות קדם:
רשמתם את המערכת לפורטל הלקוחות.
צירפת למערכת מנוי Red Hat Enterprise Linux Server.
אם זמין בחשבון פורטל הלקוחות שלך, צירפת פלטפורמת אוטומציה של Ansible
מנוי למערכת.
תהליך:
-
התקן את חבילת rhel-system-roles:
-
[root@control-node]# dnf להתקין rhel-system-roles
-
פקודה זו מתקינה את Ansible Core כתלות.
-
צור משתמש שבו אתה משתמש מאוחר יותר כדי לנהל ולהפעיל ספרי הפעלה:
-
[root@control-node]# אפשר להוסיף משתמש
-
עבור למשתמש האפשרי החדש שנוצר:
-
[root@control-node]# סו - אפשרי
-
בצע את שאר ההליך כמשתמש זה.
-
צור מפתח SSH ציבורי ופרטי
-
[ansible@control-node]$ ssh-keygen
-
יצירת זוג מפתחות RSA ציבורי/פרטי.
-
הזן קובץ שבו יש לשמור את המפתח (/home/ansible/.ssh/id_rsa): סיסמה
השתמש במיקום ברירת המחדל המוצע עבור קובץ המפתח.
אופציונלי: הגדר סוכן SSH כדי למנוע מ-Ansible לבקש ממך את מפתח SSH
סיסמה בכל פעם שאתה יוצר חיבור.
צור את~/.ansible.cfgקובץ עם התוכן הבא:
-
[ברירות מחדל]
-
מלאי = /home/ansible/inventory
-
remote_user = ansible
-
[הסלמה_הרשאות]
-
להיות = נכון
-
word_method = sudo
-
become_user = root
-
become_ask_pass = נכון
עם ההגדרות האלה:
Ansible מנהל מארחים בקובץ המלאי שצוין.
Ansible משתמש בחשבון שהוגדר בפרמטר remote_user כאשר הוא מגדיר SSH
חיבורים לצמתים מנוהלים.
Ansible משתמש בכלי העזר sudo כדי לבצע משימות בצמתים מנוהלים כמשתמש השורש.
מטעמי אבטחה, הגדר את sudo בצמתים מנוהלים כך שידרוש הזנת הסיסמה
של המשתמש המרוחק להפוך לשורש. על ידי ציון ההגדרה become_ask_pass=True ב
~/.ansible.cfg, Ansible מבקש את הסיסמה הזו כאשר אתה מפעיל ספר הפעלה.
להגדרות בקובץ ~/.ansible.cfg יש עדיפות גבוהה יותר והן עוקפות הגדרות מהגלובל
קובץ /etc/ansible/ansible.cfg.
צור את הקובץ ~/inventory. לדוגמה, להלן קובץ מלאי בפורמט INI עם
שלושה מארחים וקבוצה מארחת אחת בשם US:
-
managed-node-01.example.com
-
managed-node-02.example.com ansible_host=192.0.2.100
-
managed-node-03.example.com
שים לב שצומת הבקרה חייב להיות מסוגל לפתור את שמות המארחים.
אם שרת ה-DNS אינו יכול
לפתור שמות מארח מסוימים,
הוסף את הפרמטר ansible_host ליד ערך המארח כדי לציין its כתובת ה - IP.
1.4. הכנת צומת מנוהל
Ansible אינה משתמשת בסוכן במארחים מנוהלים.
הדרישות היחידות הן Python, שמותקן על ידי
ברירת מחדל ב-RHEL, וגישה SSH למארח המנוהל.
עם זאת, גישת SSH ישירה כמשתמש השורש יכולה להוות סיכון אבטחה.
לכן, כאשר אתה מכין
צומת מנוהל,
אתה יוצר משתמש מקומי בצומת זה ומגדיר מדיניות sudo.
Ansible על הבקרה
לאחר מכן,
צומת יכול להשתמש בחשבון זה כדי להיכנס לצומת המנוהל ולהפעיל ספרי הפעלה כמשתמשים שונים,
כגון שורש.
דרישות מוקדמות
הכנת את צומת הבקרה.
תהליך
1. צור משתמש:
[root@managed-node-01]# תוספת משתמש אפשרית
צומת הבקרה משתמש מאוחר יותר במשתמש זה כדי ליצור חיבור SSH למארח זה.
2. הגדר סיסמה למשתמש האפשרי:
[root@managed-node-01]# passwd אפשרי
שינוי סיסמה עבור משתמש ansible.
סיסמה חדשה: סיסמה
הקלד שוב סיסמה חדשה: סיסמה
passwd: כל אסימוני האימות עודכנו בהצלחה.
עליך להזין סיסמה זו כאשר Ansible משתמש ב-sudo כדי לבצע משימות כמשתמש השורש.
3. התקן את מפתח ה-SSH הציבורי של המשתמש בצומת המנוהל:
א. היכנס לצומת הבקרה כמשתמש האפשרי, והעתק את המפתח הציבורי של SSH למנוהל
צומת:
[ansible@control-node]$ ssh-copy-id managed-node-01.example.com
/usr/bin/ssh-copy-id: INFO: מקור המפתח/ים להתקנה:
"/home/ansible/.ssh/id_rsa.pub"
האותנטיות של המארח 'managed-node-01.example.com (192.0.2.100)' לא יכולה להיות
מבוסס.
טביעת אצבע מפתח ECDSA היא
SHA256:9bZ33GJNODK3zbNhybokN/6Mq7hu3vpBXDrCxe7NAvo.
האם אתה בטוח שברצונך להמשיך להתחבר (כן/לא/[טביעת אצבע])? כן
/usr/bin/ssh-copy-id: INFO: מנסה להיכנס עם המפתח/ים החדשים, כדי לסנן כל
כבר מותקנים
Red Hat Enterprise Linux 9 הגדרת הגדרות מערכת בסיסיות
/usr/bin/ssh-copy-id: INFO: נותרו 1 מפתח(ים) להתקין -- אם תתבקשו כעת,
כדי להתקין את המפתחות החדשים
הסיסמה של ansible@managed-node-01.example.com: סיסמה
מספר המפתחות שנוספו: 1
כעת נסה להיכנס למכונה, עם: "ssh 'managed-node-01.example.com'"
ובדוק כדי לוודא שנוספו רק המפתח/ים שרצית.
ב. בצע מרחוק פקודה בצומת הבקרה כדי לאמת את חיבור ה-SSH:
[ansible@control-node]$ ssh managed-node-01.example.com whoami
אפשרי.
4. צור תצורת sudo עבור המשתמש הרלוונטי:
א. השתמש בפקודה visudo כדי ליצור ולערוך את הקובץ /etc/sudoers.d/ansible:
[root@managed-node-01]# visudo /etc/sudoers.d/ansible
היתרון של שימוש ב-Visudo על פני עורך רגיל הוא שכלי השירות הזה מספק שפיות בסיסית
בודק ובודק שגיאות ניתוח לפני התקנת הקובץ.
ב. הזן את התוכן הבא לקובץ /etc/sudoers.d/ansible:
ansible ALL=(ALL) NOPASSWD: ALL
הגדרות אלו מעניקות הרשאות למשתמש האפשרי להפעיל את כל הפקודות כמו כל משתמש ו
קבוצה במארח זה מבלי להזין את הסיסמה של המשתמש הרלוונטי.
משאבים נוספים
הכנת צומת הבקרה
דף האדם של sudoers(5).
1.5. אימות גישה מצומת הבקרה למנוהל
צמתים
לאחר שהגדרת את צומת הבקרה והכנת צמתים מנוהלים, בדוק שאליו Ansible יכול להתחבר
הצמתים המנוהלים.
בצע הליך זה כמשתמש האפשרי בצומת הבקרה.
דרישות מוקדמות
הכנת את צומת הבקרה כמתואר בהכנת צומת בקרה.
הכנת לפחות צומת מנוהל אחד כמתואר בהכנת צומת מנוהל.
אם ברצונך להפעיל ספרי הפעלה על קבוצות מארחות, הצומת המנוהל רשום בקובץ המלאי ב-
צומת הבקרה.
תהליך
פרק 1. הכנת צומת בקרה וצמתים מנוהלים לשימוש בתפקידי מערכת RHEL
1. השתמש במודול הפינג Ansible כדי לוודא שאתה יכול לבצע פקודות בכל המארחים המנוהלים:
[ansible@control-node]$ ansible all -m ping
הפוך לסיסמה: סיסמה
managed-node-01.example.com | הצלחה => {
"ansible_facts": {
"discovered_interpreter_python": "/usr/bin/python3"
},
"changed": false,
"פינג פונג"
}
...
קבוצת הכל המארח בקוד קשיח מכילה באופן דינמי את כל המארחים הרשומים בקובץ המלאי.
2. השתמש במודול הפקודה Ansible כדי להפעיל את כלי השירות whoami על מארח מנוהל:
[ansible@control-node]$ ansible managed-node-01.example.com -m command -a
מי אני
הפוך לסיסמה: סיסמה
managed-node-01.example.com | השתנה | rc=0 >>
שורש
אם הפקודה מחזירה root, הגדרת את sudo בצמתים המנוהלים בצורה נכונה, ו
הסלמה של הרשאות עובדת.
ולאחר מכן ספק את הסיסמה שלו, אשר לא להיות מוצג.
בדרך זו, נגיע למערכת כמנהל, root:
איור 3.4 - תהליך הכניסה שהושלם עבור root
62 פקודות בסיסיות ותסריטי מעטפת פשוטים
הערה חשובה
מעל לבקשת הכניסה, יש הודעה המציעה כיצד ההפעלה של קונסולת האינטרנט
(קוקפיט) ניתן לעשות - תא הטייס הוא סט כלים המאפשר ניהול אינטרנט למערכת.
תא הטייס מכוסה בפרק 4, כלים לפעולות רגילות.
שימוש והבנת שורת הפקודה
שורת הפקודה שמופיעה לאחר שנכנסנו ומחכים להקלדת הפקודות שלנו
והפעלה נקראת שורת הפקודה.
בתצורת ברירת המחדל שלו, הוא יציג את שם המשתמש ושם המארח בין סוגריים כדי ליידע אותנו
עם איזה משתמש אנחנו עובדים. לאחר מכן, אנו רואים את הנתיב, במקרה זה, ~, שהוא קיצור הדרך ל-
ספריית הבית של המשתמש (במילים אחרות, /home/user עבור משתמש, ו-/root עבור root).
החלק האחרון, וכנראה החשוב ביותר, הוא הסמל לפני ההנחיה:
• הסמל $ משמש למשתמשים רגילים ללא הרשאות ניהול.
• הסמל # משמש לשורש או לאחר שמשתמש רכש הרשאות ניהול.
הערה חשובה
היזהר בעת שימוש בהנחיה עם הסימן #, מכיוון שאתה תפעל כמנהל מערכת
וסביר שהמערכת לא תמנע ממך לפגוע בה.
לאחר שזיהינו את עצמנו בתוך המערכת, אנו מחוברים ומבצעים סשן ריצה.
זה הזמן ללמוד כיצד לעבור ממשתמש אחד למשנהו בסעיף הבא.
החלפת משתמשים עם הפקודה su
מכיוון שנכנסנו למערכת מרובת משתמשים, הגיוני לחשוב שנוכל להחליף ביניהם
משתמשים. גם כאשר זה יכול להיעשות בקלות על ידי פתיחת מפגש לכל אחד, לפעמים אנחנו רוצים לפעול כמו
מספר משתמשים בתוך הפעלה אחת.
לשם כך, אנו יכולים להשתמש בכלי su. שם הכלי מכונה בדרך כלל משתמש חלופי.
בוא נשתמש בסשן האחרון, שבו נכנסנו כ-root, ונהפוך את עצמנו למשתמש.
לפני שנעשה זאת, אנחנו תמיד יכולים לשאול לאיזה משתמש אנחנו מחוברים על ידי הפעלת הפקודה whoami:
[@rhel-instance ~] # whoami
שורש
החלפת משתמשים עם הפקודה su 63
כעת, אנו יכולים לבצע את השינוי משורש למשתמש:
[root@rhel-instance ~] user su
[user@rhel-instance root]$ whoami
משתמש
כעת, יש לנו הפעלה כמשתמש. נוכל לסיים הפעלה זו באמצעות פקודת היציאה:
[user@rhel-instance root]$ יציאה
יציאה
[root@rhel-instance ~] # whoami
שורש
כפי שאולי ראית, כאשר אנו מחוברים כ-root, אנו יכולים לפעול ככל משתמש מבלי לדעת
הסיסמה שלו. אבל איך אנחנו יכולים להתחזות לשורש? נוכל לעשות זאת על ידי הפעלת הפקודה su ו
ציון משתמש השורש. במקרה זה, הסיסמה של משתמש השורש תתבקש:
[user@rhel-instance ~]$ su root
סיסמה:
[@rhel-instance user] # whoami
שורש
כ-root הוא המשתמש עם המזהה 0 והחשוב ביותר, כאשר מפעיל su מבלי לציין
המשתמש שאנו רוצים להפוך אליו, הוא יהפוך אותנו כברירת מחדל לשורש:
[user@rhel-instance ~]$ su
סיסמה:
[root@rhel-instance user] # whoami
שורש
כל משתמש יכול להגדיר מספר אפשרויות בסביבה שלו, כמו למשל, המועדף עליו
עורך. אם אנחנו רוצים להתחזות לחלוטין למשתמש האחר ולקחת את ההעדפות שלו (או הסביבה
משתנים, כפי שהם מכונים בהזדמנויות רבות), נוכל לעשות זאת על ידי הוספת - אחרי הפקודה su:
[user@rhel-instance ~]$ su -
סיסמה:
התחברות אחרונה: 15 בפברואר 04:57:29 CET 2022 ב-pts/0
[root@rhel-instance ~]#
64 פקודות בסיסיות ותסריטי מעטפת פשוטים
אנחנו יכולים גם לעבור משורש למשתמש:
[root@rhel-instance ~]# su -user
כניסה אחרונה: יום שלישי 15 בפברואר 04:53:02 CET 2022 מתאריך 192.168.122.1 ואילך
נקודות/0
[user@rhel-instance ~]$
כפי שניתן לראות, זה מתנהג כאילו בוצעה התחברות חדשה,
אבל בתוך אותה הפעלה. עכשיו, בואו נמשיך הלאה
לניהול ההרשאות עבור המשתמשים השונים במערכת,
כפי שנדון בסעיף הבא.
הבנת משתמשים, קבוצות והרשאות בסיסיות
סביבות מרובות משתמשים מוגדרות על ידי היכולת לטפל ביותר ממשתמש אחד בו זמנית. אבל
כדי להיות מסוגל לנהל את משאבי המערכת, שתי יכולות עוזרות במשימות:
• קבוצות: יכול לצבור משתמשים ולספק הרשאות עבורם בבלוקים.
לכל משתמש יש קבוצה ראשית.
כברירת מחדל, קבוצה נוצרת עבור כל משתמש ומוקצה לו כראשי עם אותו שם
בתור שם המשתמש.
• הרשאות: הוקצו לקבצים, הקובע אילו משתמשים וקבוצות יכולים לגשת לכל קובץ.
הרשאות לינוקס סטנדרטיות (ו-UNIX או POSIX) כוללות משתמש, קבוצה ואחרות (ugo).
המערכת כולה מגיעה עם סט הרשאות המוקצות כברירת מחדל לכל קובץ וספרייה. להיות
זהירות בעת החלפתם.
יש עיקרון מסוים ב-UNIX שלינוקס ירשה: הכל קובץ. גם כששם
יכול להיות כמה מקרים פינתיים לעיקרון הזה, זה נשאר נכון כמעט בכל הזדמנות. זה אומר ש
דיסק מיוצג כקובץ במערכת (במילים אחרות, כגון /dev/sdb המוזכר ב-
התקנה), תהליך יכול להיות מיוצג כקובץ (תחת /proc), ורכיבים רבים אחרים ב
המערכת מיוצגת גם כקבצים.
המשמעות היא שכאשר מקצה הרשאות לקבצים, אנו יכולים להקצות הרשאות גם לרבים אחרים
רכיבים ויכולות המיושמים על ידם מכוח העובדה ש
המקרה הראשוני לכך, שאנו מכסים כאן, הוא
כיצד משתמש ניגש אליו כאשר הוא מתקין מכונה פיזית (כגון מחשב נייד) או באמצעות הוירטואליזציה
ממשק תוכנה. במקרה זה, אנו ניגשים למערכת דרך קונסולה.
במהלך ההתקנה, המשתמש נוצר עם סיסמה מוקצית, ולא היה ממשק גרפי
מותקן. אנו ניגשים למערכת במקרה זה דרך מסוף הטקסט שלה.
הדבר הראשון שאנחנו הולכים אליו לעשות הוא להיכנס למערכת באמצעותו.
לאחר שנתחיל את המכונה ותהליך האתחול הושלם,
ניכנס, כברירת מחדל, לסביבת מצב הטקסט מרובה המשתמשים בה אנו מתבקשים
ספק את פרטי הכניסה שלנו:
איור 3.1 - תהליך הכניסה ובקשת שם המשתמש
הסמן המהבהב יודיע לנו שאנחנו מוכנים להזין את שם המשתמש שלנו, במקרה זה, משתמש ו
לאחר מכן הקש Enter. תופיע שורה המבקשת את הסיסמה:
איור 3.2 - תהליך הכניסה ובקשת הסיסמה
כעת אנו עשויים להקליד את סיסמת המשתמש כדי להשלים את ההתחברות ועל ידי לחיצה על Enter במקלדת שלך,
להתחיל הפעלה. שימו לב כי לא יוצגו תווים על המסך בעת הקלדת הסיסמה ל
להימנע מצותת. צילום המסך הבא מציג את הפעלת ההפעלה:
כניסה כמשתמש וניהול סביבות מרובות משתמשים 61
איור 3.3 - תהליך הכניסה שהושלם וההפעלה של הפגישה
כעת, אנו מחוברים במלואם למערכת עם האישורים של משתמש בשם משתמש. זה יגדיר
מה אנחנו יכולים לעשות במערכת,
לאילו קבצים אנחנו יכולים לגשת, ואפילו כמה שטח דיסק מוקצה לנו.
הקונסולה יכולה לקיים יותר מהפעלה אחת. כדי לאפשר את זה, יש לנו טרמינלים שונים
דרכו נוכל להיכנס. ניתן להגיע למסוף ברירת המחדל על ידי לחיצה בו-זמנית על
מקשי Ctrl + Alt + F1. במקרה שלנו לא יקרה כלום,
מכיוון שאנחנו כבר באותו טרמינל.
היינו יכולים עבור למסוף השני על ידי לחיצה על Ctrl + Alt + F2,
אל השלישי על ידי הקשה על Ctrl + Alt + F3,
וכן הלאה עבור שאר המסופים (כברירת מחדל, מוקצים שישה).
בדרך זו, נוכל לרוץ אחרת פקודות במסופים שונים.
שימוש בחשבון השורש משתמשים רגילים לא יוכלו לבצע שינויים במערכת,
כגון יצירת משתמשים חדשים או הוספה
תוכנה חדשה לכל המערכת.
לשם כך, אנו זקוקים למשתמש עם הרשאות ניהול ועבור
שמשתמש ברירת המחדל הוא root.
משתמש זה קיים תמיד במערכת והמזהה שלה - User ID (UID) - בעל הערך 0.
בהתקנה הקודמת,
הגדרנו את סיסמת השורש,
מה שהופך את החשבון לנגיש דרך
הקונסולה.
כדי להשתמש בו על ידי כניסה למערכת,
אנחנו צריכים רק להקליד את שורש המשתמש באחד מה
מסופים המוצגים ממש ליד הכניסה, ולאחר מכן הקש על Enter,
ניתן לגשת למערכת בדרכים רבות.
שם משתמש וסיסמה, כמה פיסות מידע המכונה לעתים קרובות אישורים.
התחברות היא התהליך שבמהלכו משתמש מזהה את עצמו במערכת - בדרך כלל, על ידי מתן
סביבות
כניסה כמשתמש וניהול ריבוי משתמשים
60 פקודות בסיסיות ותסריטי מעטפת פשוטים
• שימוש במשאבי תיעוד מערכת
• יצירת סקריפטים מעטפת בסיסיים
• שימוש ב-tar ו-gzip
• רישום, יצירה, העתקה והעברה של קבצים, ספריות, קישורים וקישורים קשיחים
• סינון פלט עם grep ו-sed
• הבנת ניתוב מחדש של I/O בשורת הפקודה
• שימוש בשורת הפקודה, משתני סביבה וניווט במערכת הקבצים
• הבנת משתמשים, קבוצות והרשאות בסיסיות
• החלפת משתמשים עם הפקודה su
• כניסה כמשתמש וניהול סביבות מרובות משתמשים
הנושאים הבאים יכוסו בפרק זה:
מערך הפקודות והתרגולים המתוארים בפרק זה ישמש בהזדמנויות רבות בעת ניהול מערכות,
לכן חשוב ללמוד אותם בזהירות.
ברגע שתפעיל את מערכת Red Hat Enterprise Linux (RHEL) הראשונה שלך,
אתה רוצה להתחיל להשתמש בה,
להתאמן ולהרגיש איתה בנוח.
בפרק זה נסקור את יסודות הכניסה למערכת,
ניווט בה והכרת היסודות מבחינת הניהול שלה.
פקודות בסיסיות ותסריטי מעטפת פשוטים
3
סקור את היסודות של המערכת כדי שיהיה לנו נוח ולצבור ביטחון בשימוש במערכת.
כעת יש לך מופע של RHEL 9 זמין לעבודה ולתרגל איתו. בפרק הבא, נעשה זאת
כעת, לאחר שהשלמת פרק זה, אתה מוכן להמשיך עם שאר הספר הזה, מאז
מההתחלה.
(אוטומציה של התקנות, מעקב אחר תוכנות מותקנות, צמצום משטח ההתקפה וכן הלאה)
כשאתה עובד עם לינוקס כמקצוען. זה המפתח להתחיל עם מערכת טובה של שיטות עבודה
חשוב גם להבין את הצורך בסטנדרטיזציה של הסביבות שלך ואת ההשפעה של עשייה זו
עדיין להשתמש כדי לספק שירותים ציבוריים משלך (כגון פריסת בלוג).
אשראי חינם להתכונן ל-RHCSA. כמו כן, לאחר השלמת תהליך האימון העצמי, המכונות יכולות
מופעים מהענן הציבורי, מה שעשוי לפשט את הצריכה שלנו ולספק לנו מספיק
הספר הזה. חלופה לכך היא שימוש במופעי ענן, שאיתם אנו יכולים לצרוך VM
בפרק הקודם הזכרנו כיצד להכין מכונה שנוכל לעבוד איתה לאורך כל הדרך
סיכום
מתן שירותים לצוותים אחרים בצורה מהירה ועמידה.
עם זה, אתה יודע איך לפרוס RHEL על מערכת בצורה מובנית וניתנת לחזרה תוך כדי
ביצוע שיטות עבודה מומלצות אלה יעזור לך להימנע מבעיות ולהפוך את הבסיס המותקן לניהול יותר.
• סקור את מדיניות ה-logrotate כדי למנוע שגיאות "דיסק מלא" עקב יומנים.
• שמור את זמן המערכת מסונכרן.
לבסוף, נסתכל על סוג miscellanea, כדלקמן:
58 RHEL 9 אפשרויות התקנה מתקדמות
פרופיל Security Content Automation Protocol (SCAP) בעזרת צוות האבטחה שלך).
• סקור את המערכות שלך עם OpenSCAP כדי לבדוק את האבטחה (במידת הצורך, צור חומרה משלך
• נסו להימנע משימוש בסיסמאות (במיוחד עבור חשבון השורש שלכם) והשתמשו בסיסמאות חזקות במידת הצורך.
• סקירת מקשי התקנת תוכנה (RPM) GNU Privacy Guard (GPG), כמו גם תמונות ISO,
ל להבטיח שלמות.
fapolicyd, ארכיטקטורת מדידת יושרה (IMA), וביקורת).
שלמות וביקורת (כלומר, סביבת זיהוי פריצה מתקדמת (AIDE), logwatch,
• תקן את כלי האבטחה והתצורה שברצונך להתקין כדי לבדוק את המערכת
• הפניית יומנים למיקום מרכזי במידת האפשר.
• אל תשבית את חומת האש. הפוך את פתיחת הפורט לאוטומטית עם פריסת השירות.
במקום להשבית אותו לחלוטין).
גרסאות ולא סביר שזה יפריע למערכת שלך (אם נדרש, הגדר אותה במצב מתירני
• אל תשבית את לינוקס משופרת באבטחה (SELinux). זה שופר מאוד לאחרונה
הסוג החמישי הוא אבטחה. פעל לפי ההנחיות הבאות:
עבור מערכות ארוכות חיים,
יש לפחות מחיצות נפרדות עבור / (root) /var, /usr, /tmp,ו /home,
ושקול אפילו אחד נפרד עבור /var/log ו-/opt
(עבור ארעיות מופעי ענן או מערכות קצרות מועד, זה לא חל).
מחיצת ההחלפה המוגדרת כברירת מחדל היא ההימור הבטוח ביותר,
אלא אם כן לתוכנת הצד השלישי יש ספציפיות דרישות.
שמור את מחיצת האתחול המוגדרת כברירת מחדל עם גודל ברירת המחדל שלה.
אם תשנה אותו, הגדל אותו (אפשר צריך מקום שם במהלך שדרוגים).
• חלק את הדיסק בזהירות על ידי ביצוע הפעולות הבאות:
• אם אתה חושב שתצטרך לצמצם את מערכות הקבצים שלך,
השתמש ב-ext4; אחרת, עבור על ברירת המחדל של xfs.
• עבור שרתים, השתמש ב-Logical Volume Manager (LVM) במידת האפשר
(בדרך כלל, הכל מלבד /boot או /boot/efi).
הסוג הרביעי הוא אחסון. הנה כמה הצעות שימושיות כיצד להשתמש בזה בצורה הטובה ביותר:
באמצעות רשתות וירטואליות מקומיות (VLANs).
• במכונות פיזיות, השתמש בצוות/קשר ממשק במידת האפשר. פלח רשתות
• ב-VM, השתדלו לא לעשות שימוש יתר במספר ממשקי הרשת.
הסוג השלישי הוא רשתות. להלן מספר המלצות בעניין זה:
שיטות עבודה מומלצות להתקנה 57
• קבע לוח זמנים לתיקון.
• ארוז את יישומי הצד השלישי שלך כך שיהיה לך ניהול מחזור חיים בריא
(בין אם עם RPM Package Manager (RPM) או בקונטיינרים).
• תקן את הכלים המותקנים במידת האפשר כדי להיות מסוגלים להגיב במהירות במקרה חירום.
• ככל שמותקנת פחות תוכנה, כך משטח ההתקפה קטן יותר.
נסה לשמור שרתים עם סט מינימלי של חבילות שנדרש עליהם כדי שיפעלו ויפעלו
(כלומר, השתדלו לא להוסיף ממשק משתמש גרפי (GUI) לשרתים שלך).
הסוג השני הוא תוכנה.
להלן מספר הנחיות בנושא:
סביבות בהן תשתמש.
היו מודעים לדרישות שעליכם להחיל על השרטוטים התבניתיים שלכם ולהתאים את עצמם ל
למכונה אחת בודדת).
נסה להפוך את המארזים למודולריים
(כלומר, שרת אפליקציות; ניתן לשלב שרטוטים של מסד נתונים
נסה להשתמש בפלטפורמת אוטומציה כדי לבנות מקרים מורחבים (כלומר, Ansible).
• בנו סט של שרטוטים למקרים נפוצים בעת הצורך:
ופריסות.
שרטוט זה יהיה מינימלי מספיק כדי לשמש כבסיס לכל שאר השרטוטים
• תקן את התקנת הליבה וצור תוכנית עבורה:
הסוג הראשון הוא שרטוטים. כך תוכל להשתמש בהם:
סוגים נפוצים.
למקרה השימוש הספציפי שלך.
עם זאת, חלות כמה המלצות נפוצות. בואו נסתכל הכי הרבה
ומה שתבחר צריך להיות מותאם
להתקנות RHEL יש הרבה אפשרויות שתוכלו לבחור מהן,
שיטות עבודה מומלצות להתקנה
אין צורך להמשיך - הם נחוצים רק כדי ליצור מכונה עם אותה תצורה כמו בהפרק הקודם.
כעת מוגדרת לך מכונה שתוכל להשתמש בה לאורך האתר הזה.
השינויים המקומיים האלה הם
RHEL 9 אפשרויות התקנה מתקדמות
פריסת X11: לא
מפת מפתח VC: אנחנו
מיקום מערכת: LANG=es_ES.utf8
[root@rhel-instance ~]# localectl
[root@rhel-instance ~]# localectl set-locale es_ES.utf8
... [פלט הושמט] ...
[root@rhel-instance ~]# install yum glibc-langpack-es –y
כדי לשנות מיקום או תמיכה בשפה,
תצטרך להתקין תחילה את חבילת השפה שלו, באופן הבא:
פריסת X11: לא
מפת מפתח VC: אנחנו
מיקום מערכת: LANG=en_US.UTF-8
[root@rhel-instance ~]# localectl
אתה יכול גם לשנות את תצורת השפה עם localectl, כך:
RTC ב-TZ מקומי: לא
שירות NTP: פעיל
שעון מערכת מסונכרן: כן
אזור זמן: אירופה/מדריד (CET, +0100)
זמן RTC: שבת 2021-12-12 17:20:32
זמן אוניברסלי: שבת 2021-12-12 17:20:32 UTC
זמן מקומי: שבת 2021-12-12 18:20:32 CET
[root@rhel-instance ~]# timedatectl
[root@rhel-instance ~]# timedatectl הגדר אזור זמן אירופה/מדריד
RTC ב-TZ מקומי: לא
שירות NTP: פעיל
שעון מערכת מסונכרן: כן
אזור זמן: UTC (UTC, +0000)
זמן RTC: שבת 2021-12-12 17:13:29
זמן אוניברסלי: שבת 2021-12-12 17:13:29 UTC
זמן מקומי: שבת 2021-12-12 17:13:29 UTC
[root@rhel-instance ~]# timedatectl
כעת,
אתה יכול לבדוק את תצורת הזמן עם timedatectl ולשנות אותה,
באופן הבא:
[root@rhel-instance ~]#
[miguel@rhel-instance ~]$ sudo -i
כדי להפוך למנהל,
אתה רק צריך להפעיל את הפקודה הבאה:
מופע חדש פועל.
יוצג בפרק 8, ניהול מערכות מרחוק),
אבל ברגע שהכל הוגדר, קל להשיג
לוקח קצת זמן להתקין בענן,
להגדיר את החשבון שלך ולמצוא את מפתח ה-SSH
(אשר
RHEL 9 ב-Google Cloud Platform:
