Халабия Р.Ф. Администрирование вычислительных систем и сетей (1088254), страница 5
Текст из файла (страница 5)
При таком подходе файловый кэш ни с кем несоперничает за место в памяти.В результате этих изменений в системах Solaris, начиная с версии 8,vmstat сообщает иные цифры, чем в той же ситуации в более старых системах,а именно:- скорость возврата страниц выше;- весь файловый кэш показывается как свободная память;- скорость сканирования страниц (scan rate) низкая (даже близка к нулю),за исключением ситуаций, когда в системе ощущается острая нехватка памятидля приложений.Для получения отдельного отчета по пейджингу страниц приложений(executables), данных (anonymous) и файловой системы используйте командуvmstat –p.Если системе в течение некоторого времени (обычно 30 секунд подряд)не хватает памяти (объем свободной оперативной памяти падает ниже desfree),то начинается свопинг процессов.
Планировщик задач выгружает те процессы,которые не претендовали на процессорное время в течение более чем maxslpсекунд. По умолчанию maxslp равно 20. Этот режим свопинга называетсямягким.Если дело дошло до того, что памяти меньше, чем desfree, и, кроме того,два и более процессов выстроились в очередь к процессору, а активностьпейджинга превышает maxpgio, начинается жесткий свопинг. Это означает, чтоядро выгружает модули и страницы кэша, а затем начинает последовательновыгружать процессы до тех пор, пока объем свободной памяти не станетбольше desfree.Не выгружаются:процессы классов планирования SYS и RT;процессы, запускаемые в данный момент или остановленные по сигналу(например, при отладке);процессы, завершающие работу;процессы, находящиеся в состоянии зомби;системные потоки;процессы, которые блокируют другие, более высокоприоритетныепотоки.Значительный объем чтения и записи данных может вызвать нехваткупамяти из-застремлениясистемыдействительносущественныхкэшироватьобъемахвесьввода-выводаввод-вывод.можноПриотменитькэширование и производить ввод-вывод напрямую.Для этого можно использовать функцию directio() или параметрforcedirectio при монтировании файловой системы командой mount.
Файловаясистема VxFS включает ввод-вывод в обход кэша всегда, когда объем операцииввода-вывода превышает значение параметра discovered_direct_iosz (см. manvxtunefs) (по умолчанию - 256 Kбайт).Если в вашей системе преобладают множественные операции вводавывода небольших объемов данных и даже VxFS не помогает освободитьпамять от большого количества кэшируемых данных, попробуйте уменьшитьдо приемлемого размера значение discovered_direct_iosz.Если вы не уверены в том, что сетевой интерфейс вашего компьютераработает или, что он верно настроен, потребуйте эту информацию от ifconfigОбратите внимание: псевдонимы интерфейсов и интерфейсы, неявляющиеся сетевыми адаптерами Ethernet, не имеют MAC-адреса.Сетевые интерфейсы, от которых ожидается работа в данный момент,должны присутствовать, иметь корректные IP-адреса, маски и верные MACадреса (00:00:00:00:00 в поле MAC-адреса вывода ifconfig говорит о том, чтодрайвер сетевого адаптера не считал адрес или не нашел адаптер).
Кроме того,работающий интерфейс обязан находиться в состоянии UP.Не забывайте давать команду ifconfig имя_устройства plumb, дляактивизации интерфейса, если интерфейс добавлен вручную. Эта командасоздает необходимые драйверу сетевого адаптера потоки для работы с TCP/IP иоткрывает доступ к устройству. До того, как будет дана эта команда, интерфейсне будет показан в выводе ifconfig -a, даже если драйвер и сетевой адаптерработают нормально.Как узнать, работает ли ваша сеть? Попробуйте зайти по адресуwww.playboy.com и сразу узнаете, есть ли доступ в Интернет.
Лично яиспользую для проверки, есть ли связь с Сетью, менее одиозные сайты,например, домашнюю страницу главной финской сети FUNET. Это не такотвлекает от работы. В частности, потому, что на www.funet.fi почти всенаписано по-фински, а финский язык я знаю в объеме приветствий на вокзале.Может быть, стоит попробовать www.playboy.fi?Проверка связи: pingДля того чтобы выяснить, работает ли сеть в офисе, достаточнообратиться к соседнему компьютеру.
А вдруг на нем нет web-сайта? Тогда напомощь приходит маленькая, но важная программа ping.Вместо IP-адреса можно использовать имя компьютера.Программа ping посылает маленький (обычно - 56 байт) пакетуказанному компьютеру, а тот должен ответить таким же пакетом. Нашкомпьютер измеряет время прохождения пакетов туда и обратно и показываетего. Некоторые версии ping, в том числе и ping в Solaris 9, по умолчаниюсообщают не время прохождения пакета, а сам факт ответа ("host is alive"). Есливсе же требуется время прохождения, вызывайте ping с ключом s:Если ping показывает, что пакеты не проходят, это может случиться понескольким причинам. Иногда ping выдает однозначную диагностику, а иногдаприходится прерывать его, т.к.
программа замирает в ожидании ответа,который никак не приходит.Диагностика host is down говорит о том, что маршрутизация пакетов доискомого компьютера работает, а сам компьютер - нет. Возможно, еговыключили,отключилиоткомпьютернойоднопользовательский режим для профилактики.сетиилиперевеливДиагностика no route to host показывает, что маршрутизация пакетов доадресата не работает. Возможной причиной может быть сбой в таблицемаршрутизации вашего компьютера(например, отсутствует запись обосновном шлюзе).Проверка соответствия адресов: arpЕсли попытка "пинговать" тот или иной адрес в локальной сети даетстранные результаты, может пригодиться программа arp, которая показываетлокальную таблицу соответствий MAC-адресов и IP-адресов в сети:Если сбой в arp-таблице произошел на компьютере, который являетсяосновным шлюзом для многих компьютеров в сети, то выход из сети можетоказаться заблокированным для всех пакетов, которые пытаются выйти запределы сети.Проверка маршрутов: traceroute и route.Чтобы проследить путь, по которому пакет данных движется к местуназначения, проходя по дороге через маршрутизаторы, используют программуtraceroute.Онапрослеживает весь путьпакета,при этомпоумолчаниюинспектируются и показываются не более чем тридцать "hop'ов".
Hop (читается"хоп") - это один переход от одного сетевого интерфейса до другого. Еслиговорят, что до получателя - один hop, это значит, что в дороге пакет непройдет ни через один маршрутизатор, выполнит только один переход - ототправителя к получателю:Идея traceroute такова: программа отправляет пакеты с адресомполучателя, путь до которого мы хотим проследить. В поле TTL IP-пакета дляначала ставится число 1. В поле номера порта ставится номер заведомонеиспользуемого порта (обычно это большое число).
Естественно, первый жемаршрутизатор на пути пакета сообщает, что TTL пакета истекло. Ответмаршрутизатора учитывается и выводится на экран, а затем посылается пакет сTTL, равным двум. Ответ про истечение времени присылает следующиймаршрутизатор по пути следования пакета, и так происходит до тех пор, покапакет не дойдет до получателя. Когда это случится, сообщение об ошибке будетиным: "порт не обслуживается" (ведь порт специально задан таким, чтобы он необслуживался).Программа traceroute посылает три пакета с каждым из значений TTL,чтобы подсчитать среднее время прохождения пакета до каждого изпромежуточныхмаршрутизаторов.Еслиответоткакого-нибудьмаршрутизатора не пришел за пять секунд, traceroute выводит звездочку (*)вместо времени ответа маршрутизатора, и это символизирует превышениетайм-аута.Анализ маршрута пакета с помощью traceroute не всегда возможен, таккак в некоторых сетях пересылка пакетов на нестандартные порты запрещена, ав некоторых - запрещена пересылка пакетов ICMP, в которые пакуются ответымаршрутизаторов типа "истекло TTL вашего пакета".
Кроме того, пакетыразных типов могут проходить через маршрутизаторы по разным путям.Одинаковые пакеты могут быть направлены разными путями, в зависимости отзагрузки сети. Поэтому маршрут пакета, показанный с помощью traceroute,верен только на момент выполнения этой программы.
Вы можете применятьtraceroute и для проверки маршрутизации вашей сети. Например, если пакеты,предназначенные внешней сети, не отправляются на основной шлюз, а ищутдругой путь (это будет видно посредством traceroute при попытке отследитьпуть пакета), то это верный признак сбоя в настройках.Программа traceroute имеет ряд ключей для изменения параметровпересылаемых пакетов - смотрите man traceroute.Для анализа и модификации локальной таблицы маршрутизацииприменяется программа route.
Используйте программу route для добавлениястатических маршрутов и внесения оперативных изменений в маршрутизациючерез ваш компьютер, когда это необходимо.Безопасность в сети - это тема для отдельной книги или даже целогомноготомника, поэтому здесь мы рассмотрим только основные аспекты,связанные с обеспечением безопасности систем Solaris в сети: все сетевые службы (демоны) в системе представляют собой корректноработающие программы, реализующие стандартные протоколы работы; система предоставляет доступ к ограниченному набору сетевых служб, этотдоступ жестко контролируется посредством аутентификации и авторизацииобращающихся, сообщение о разрешении доступа сохраняется в файлепротокола; при работе в сети используются безопасные протоколы передачи данных,там, где это применимо, данные передаются зашифрованными надежными (наданный момент) алгоритмами шифрования; администратор(ы) и пользователи системы всегда применяют своисобственные пароли и никогда не сообщают их другим лицам.Картина получилась идеальной.
Если вы работаете в компании, где всепроисходит в точности так, как здесь описано, вы - счастливый человек!Что надо сделать, чтобы приблизиться к идеалу?Для того чтобы все программы работали так, как вы ожидаете, следует: регулярно следить за сообщениями о найденных в ПО уязвимостях. Дляэтого существует ряд списков рассылки, на которые вы можете подписатьсясовершенно бесплатно. Наиболее толковый вариант, по-моему, рассылка отCERT (Computer Emergency Response Team) - зайдите на www.cert.org ипроверьте сами! всегдаустанавливатьрекомендованныерассылкойотCERTилипроизводителем системы заплатки и обновления системы или отдельныхпрограмм; строго следовать рекомендациям производителей программ, например, еслисказано, что демона squid нельзя запускать от имени привилегированногопользователя root, то и не надо этого делать!Ограничение набора служб, к которым можно обратиться, так же как иограничение доступа к каждой службе в отдельности, мы рассмотрим ниже, вразделе "Ограничение доступа к сетевым службам".
О протоколированииработы демонов заботятся программисты, которые их пишут, поэтомуадминистратору надо знать лишь, где хранятся файлы протокола и к чему ониотносятся.Применяйте только безопасные протоколы в сети, для этого:вместо telnet всегда используйте secure shell (ssh);используйте https вместо http там, где через web-интерфейс передаютсяконфиденциальные данные;запрещайте на сервере протоколы, позволяющие узнавать информацию овашей сети (например, finger);пользуйтесь только теми программами, назначение которых вам известно.Запретите всем пользователям системы (себе - тоже!) передавать важныепароли открытым текстом через сеть, сообщать кому-либо свой пароль всистеме, реагировать на провокационные сообщения по e-mail (мошенники ужепытались убедить вас в том, что вам нужно где-то перерегистрироваться исообщить им свой пароль?), оставлять свой пароль записанным на видномместе, придумывать примитивные пароли.Список глупостей можно продолжить, но мы ограничимся призывомвести себя осторожно: от нас зависит безопасность сетей в большом числеорганизаций!Сетевые службы делятся на два типа: запускаемые в начале работысистемы и запускаемые по запросу.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
