Solaris, Виконую установку, налаштування, супровід серверів
Огляд нового менеджера пакетів pkg
УSolaris 11 з'явився новий менеджер пакетівpkg. Він дуже зручний, тому що дозволяє не тільки працювати з пакетами (встановлювати, видаляти, оновлювати і т.д.), а й оновлювати ОС.
У статті розповім деякі застосуванняpkg.
ACL у Solaris
В останніх попередніх версіяхSolaris підтримувалася реалізація списківACL, в першу чергу заснована на специфікації списківACL згідно з проектом стандартуPOSIX. СпискиACL на основі проектуPOSIX використовуються для захисту файлівUFS. Вони перетворюються у версіяхNFS, що передують версії4.
При впровадженніNFSv4 нова модель списківACL повністю підтримує можливості спільного функціонування клієнтівUNIX і неUNIX, що забезпечуютьсяNFSv4. Нова реалізація списків ACL згідно специфікаціїNFSv4 забезпечує розширену семантику на основі списківACL типуNT.
Захист від fork бомб
Solaris
УSolaris є зручний механізм для обмеження кількості процесів/потоків, що запускаються - це проект. Щоб користувачі не змогли покласти серверfork -бомбою, потрібно їм обмежити кількістьLWP. Створимо проект і помістимо туди користувача testuser:
#projadd -U testuser -K 'project.max-lwps=(privileged,2048,deny)' user.testuser
Тепер користувач testuser не зможе запустити більше2048 потоків.
Для тестування можна використовувати таку бомбу:
Linux
Якщо у вас запустилиfork -бомбу, але у вас залишилася сесіяssh, то можнаубити всі програми ось так:
звідки в циклі вбити всі процеси, не породжуючи нових процесів.
Рекомендації щодо налаштування нового сервера Solaris
Змінюємо швидкість та дуплекс мережевої карти
FreeBSD
Щоб дізнатися які режими підтримуються даною карткою, використовуємо таку команду:
reply-to в Solaris
Розглянемо, як уSolaris реалізований механізм, коли роутер обслуговує кілька підмереж. За замовчуванням, зворотні пакети посилаються за всіма активними інтерфейсами поround-robin. Але нам потрібно, щоб пакет відправлявся туди, звідки прийшов. Вплинути на це може параметрip_strict_dst_multihoming (за умовчанням має значення0 ). Встановлення параметра1 вирішує цю проблему:
Якщо система не завантажується
Якщо щось пішло не так і ваша система не завантажується, то не поспішайте засмучуватися. Можна завантажитись із інсталяційного абоLiveCD, вмонтувати пул і виправити помилки.
У цій статті я опишу лише як можна отримати доступ до пулів за допомогою LiveCD .
Тестовий стенд :Solaris 11
Порядок запуску стартових скриптів
FreeBSD
$rcorder /etc/rc.d/* /usr/local/etc/rc.d/*
Linux
$ls /etc/rc`runlevel cut -d' -f 2`.d sort
Solaris
Консолі управління у різних брендів
Більшість брендових виробників укомплектовують свої сервери (іноді не всі) додатковими портами (консолями управління) для віддаленого підключення, у разі недоступності сервера по мережі, є можливість підключитися через керуючу консоль. Розглянемо бренди та їх реалізацію керуючих консолей
Тюнінг TCP/IP стека в Solaris
Solaris 10
Ось невеликірекомендації щодо тюнігу та захисту від невеликогоDDoS'a
- Змінюємо стандартне значенняmaximux segmet size.
ndd -set /dev/tcp tcp_mss_def 546
— Відключимо «path MTU discovery » і система перестане ставити біт «don't fragment »