سرور لینوکس Archives - صفحه 3 از 4 - مرکز آموزش زاگریو

۱۸ دستور نظارت بر پهنای باند شبکه در سرورهای لینوکس

6.2kviews

در این مقاله قصد داریم تا به صورت کامل به بررسی ۱۸ دستور برای نظارت بر پهنای باند شبکه در سرورهای لینوکسی بپردازیم و در مورد نظارت بر شبکه‌های لینوکسی با شما عزیزان در زاگریو صحبت کنیم.

نظارت بر شبکه‌های لینوکسی:

این مقاله به برخی از ابزارهای خط فرمان لینوکس اشاره می‌کند که می‌توان برای مانیتورینگ مصرف شبکه از آن‌ها استفاده کرد. این ابزارها جریان ترافیک را از طریق رابط‌های شبکه نظارت می‌کنند و سرعت داده هایی که در حال انتقال هستند را اندازه‌گیری می‌کنند. ترافیک ورودی و خروجی به طور جداگانه نمایش داده می‌شود.

برخی از دستورات پهنای باند استفاده شده را برای فرآیندهای تکی نمایش می‌دهد. با این دستورات به آسانی می‌توان فرآیندهایی که بیش از حد از پهنای باند شبکه استفاده می‌کنند را شناسایی کرد.
این ابزارها مکانیزم‌های مختلفی برای تولید گزارش ترافیک دارند. برخی از این ابزارها مانند nload فایل “proc/net/dev” برای دریافت آمار ترافیک می‌خوانند درحالی‌که برخی دیگر از کتابخانه pcap برای دریافت همه بسته‌ها استفاده می‌کنند و سپس حجم کلی بار ترافیکی تخیمن‌زده شده را محاسبه می‌کنند.

در اینجا لیستی از دستورات را داریم که بر اساس ویژگی‌هایشان مرتب شده‌اند.

Bandwidth به صورت کلی: nload ,bmon ,slurm ,bwm-ng ,cbm ,speedometer ,netload
پهنای باند به صورت کلی (خروجی به صورت دسته‌ای): vnstat ,ifstat ,dstat ,collectl
Bandwidth در هر اتصال سوکت: iftop ,iptraf ,tcptrack ,pktstat ,netwatch ,trafshow
پهنای باند برای هر فرآیند: nethogs

1. Nload

Nload یک ابزار خط فرمان است که اجازه می‌دهد کابران ترافیک ورودی و خروجی خود را به طور جداگانه نظارت (مانیتور) کنند. همچنین یک گراف برای شما طراحی می‌کند که همان موارد را نشان می‌دهد و مقیاس آن قابل تنظیم است. استفاده آن راحت و آسان است و گزینه‌های بسیاری را پشتیبانی نمی‌کند.
بنابر این اگر شما فقط نیاز دارید که با یک نگاه سریع کل مصرف پهنای باند را بدون جزئیات فرآیندهای فردی مشاهده کنید Nload می‌تواند مفید باشد.

$ nload

commandmonitoringlinux08

نصب Nload:

Fedora و Ubuntu ابزار را در مخازن پیش‌فرض دارند، کاربران لینوکس نیاز دارند که از مخازن Epel آنرا دریافت کنند.

# fedora or centos
$ yum install nload -y
# ubuntu/debian
$ sudo apt-get install nload

2. Iftop

Iftop جریان داده را از طریق ارتباط‌های سوکت‌های فردی اندازه‌گیری می‌کند، و در این مورد به شیوه‌ای متفاوت با Nload عمل می‌کند. ایف تاپ با استفاده از توابع کتابخانه‌ای pcap بسته‌های درحال حرکت در داخل و خارج از آداپتور شبکه را می‌گیرد و سپس از مجموع تعداد و اندازه آن‌ها کل پهنای باند تحت استفاده را مشخص می‌کند.

اگرچه iftop پهنای باند استفاده شده را برای ارتباطات فردی گزارش می‌دهد، اما نام/شناسه فرآیندی که شامل ارتباط یک سوکت خاص است را نمی‌تواند گزارش دهد. وقتی که برپایه تابع pcap کار می‌کند iftop توانایی فیلتر کردن و ارائه گزارش بر اساس سرورهایی که به آن متصل هستند را داراست.

$ sudo iftop -n

گزینه n مانع از این می‌شود که iftop ip را به صورت hostname یا بالعکس بگیرد که همین مورد باعث ایجاد ترافیک شبکه اضافی می‌شود.

commandmonitoringlinux03

نصب iftop:

کاربران Ubuntu/Debian/Fedora آنرا از مخازن پیش‌فرض دریافت کنند و کاربران لینوکس از Epel می توانند iftop را دریافت کنند.

# fedora or centos
yum install iftop -y
# ubuntu or debian
$ sudo apt-get install iftop

3. Iptraf

Iptraf یک مانیتورینگ رنگارنگ و تعاملی از شبکه IP است، که اتصالات فردی و مقدار داده درحال جریان بین دو میزبان را نشان می‌دهد. در اینجا یک تصویر از این دستور می‌بینید.

$ sudo iptraf

commandmonitoringlinux04

نصب iptraf:

# Centos (base repo)
$ yum install iptraf
# fedora or centos (with epel)
$ yum install iptraf-ng -y
# ubuntu or debian
$ sudo apt-get install iptraf iptraf-ng

4. Nethogs

Nethogs یک ابزار کوچک از ‘net top’ است که پهنای باند مصرف شده توسط فرآیندهای فردی را نشان می‌دهد و آنها را در لیستی مرتب می‌کند که فرآیندهای فشرده‌تر در بالای این لیست قرار می‌گیرند. در صورت افزایش ناگهانی پهنای باند، سریع Nethogs را باز کنید و فرآیندهای مسئول را پیدا کنید. Nethogs کاربر، PID و مسیر برنامه را گزارش می‌دهد.

$ sudo nethogs

commandmonitoringlinux05

نصب Nethogs:

کاربران Ubuntu/Debian/Fedora این ابزار را از مخازن پیش‌فرض دریافت کنند و کاربران لینوکس نیاز به Epel دارند.

# ubuntu or debian (default repos)
$ sudo apt-get install nethogs
# fedora or centos (from epel)
$ sudo yum install nethogs -y

5. Bmon

(Bmon (Bandwith monitor یک ابزار مشابه با Nload است که بار ترافیکی بیش از حد در تمامی رابط‌های شبکه به روی سیتسم را نشان می‌دهد. خروجی یک گراف و یک بخش از جزئیات یکسان بسته‌هاست.

commandmonitoringlinux01

نصب Bmon:

کاربران Ubuntu/Debian/Fedora این ابزار را از مخازن پیش‌فرض نصب کنند و کاربران لینوکس نیاز دارند که repoforge را تنظیم کنند زیرا Epel در دسترس نیست.

# ubuntu or debian
$ sudo apt-get install bmon
# fedora or centos (from repoforge)
$ sudo yum install bmon

Bmon گزینه‌های بسیاری را پشتیبانی می‌کند و قادر است گزارش‌هایی با فرمت html تولید کند. Man page را برای کسب اطلاعات بیشتر در این مورد بررسی کنید.

6. Slurm

Slurm هنوز یکی از ابزارهای نظارت بار شبکه است که آمار دستگاه‌ها را همراه با نمودار ASCII نمایش می‌دهد. این ابزار از سه سبک مختلف نمودار‌ها پشتیبانی می‌کند که هر کدام می‌توانند با استفاده از کلیدهای L C و S فعال شوند. Slurm هیچ اطلاعات بیشتری در مورد بار شبکه نشان نمی‌دهد.

$ slurm -s -i eth0

commandmonitoringlinux10

نصب slurm:

# debian or ubuntu $ sudo apt-get install slurm

# fedora or centos $ sudo yum install slurm -y

7. Tcptrack | پهنای باند

Tcptrack شبیه iftop است و با استفاده از توابع کتابخانه pcap بسته‌ها را تصرف می‌کند و آمارهای مختلف مانند پهنای باند استفاده شده در هر اتصال را محاسبه می‌کند. این ابزار همچنین فیلتر استاندارد pcap را پشتیبانی می‌کند که برای مانیتور اتصالات خاص می‌تواند مورد استفاده قرار گیرد.

$ slurm -s -i eth0

پهنای باند

نصب tctrack:

# ubuntu, debian
$ sudo apt-get install tcptrack
# fedora, centos (from repoforge repository)
$ sudo yum install tcptrack

8. Vnstat

Vnstat با بسیاری از ابزارهای دیگر کمی متفاوت است. این ابزار یک پس زمینه service/daemon را اجرا می‌کند و اندازه داده‌های انتقال یافته را در تمام زمان‌ها نگهداری می‌کند. سپس می‌تواند برای تولید گزارش از تاریخ استفاده شبکه از این اطلاعات استفاده کند.

$ service vnstat status
* vnStat daemon is running

اجرای Vnstat بدون هیچ گزینه‌ای به سادگی مقدار کل انتقال اطلاعات را نشان می‌دهد از تاریخی که daemon در حال اجراست.

$ vnstat
Database updated: Mon Mar 17 15:26:59 2014
eth0 since 06/12/13
rx: 135.14 GiB tx: 35.76 GiB total: 170.90 GiB
monthly
rx | tx | total | avg. rate
————————+————-+————-+—————
Feb ’14 8.19 GiB | 2.08 GiB | 10.27 GiB | 35.60 kbit/s
Mar ’14 4.98 GiB | 1.52 GiB | 6.50 GiB | 37.93 kbit/s
————————+————-+————-+—————
estimated 9.28 GiB | 2.83 GiB | 12.11 GiB |
daily
rx | tx | total | avg. rate
————————+————-+————-+—————
yesterday 236.11 MiB | 98.61 MiB | 334.72 MiB | 31.74 kbit/s
today 128.55 MiB | 41.00 MiB | 169.56 MiB | 24.97 kbit/s
————————+————-+————-+—————
estimated 199 MiB | 63 MiB | 262 MiB |

برای نظارت بر استفاده از پهنای باند در زمان واقعی از گزینه ‘-l ‘ (live mode) استفاده کنید. این مورد کل پهنای باند استفاده شده توسط اطلاعات ورودی و خروجی نشان می‌دهد اما به شیوه‌ای بسیار دقیق بدون هیچ‌گونه اطلاعات ورودی در مورد جزئیات داخلی اتصالات یا فرآیندهای آن.

$ vnstat -l -i eth0
Monitoring eth0… (press CTRL-C to stop)
rx: 12 kbit/s 10 p/s tx: 12 kbit/s 11 p/s

Vnstat بیشتر شبیه ابزارهای گزارش‌گیری است که گزارش تاریخی است چه میزان از پهنای باند به صورت روزانه یا در ماه گذشته استفاده شده است. این صرفا یک ابزار برای نظارت بر شبکه در زمان واقعی نیست.
Vnstat گزینه های بسیاری را پشتیبانی می‌کند. جزئیات را در این مورد می‌توانید در man page پیدا کنید.

نصب Vnstat:

# ubuntu or debian
$ sudo apt-get install vnstat
# fedora or centos (from epel)
$ sudo yum install vnstat

9. Bwm-ng

(Bwm-ng (Bandwidth Monitor Next Generation یکی دیگر از ابزارهای بسیار ساده برای مانیتور بار شبکه در زمان واقعی است که خلاصه‌ای از سرعتی که داده در داخل و خارج شبکه موجود بر روی سیستم منتقل می‌شود را گزارش می‌دهد.

$ bwm-ng

bwm-ng v0.6 (probing every 0.500s), press ‘h’ for help
input: /proc/net/dev type: rate
/ iface Rx Tx T
ot==========================================================================
== eth0: 0.53 KB/s 1.31 KB/s 1.84
KB lo: 0.00 KB/s 0.00 KB/s 0.00
KB————————————————————————–
— total: 0.53 KB/s 1.31 KB/s 1.84
KB/s

اگر کنسول به حد کافی بزرگ باشد bwm-ng می‌تواند نمودار میله‌ای را برای ترافیک استفاده شده در حالت خروجی نشان دهد.

$ bwm-ng -o curses2

نصب Bwm-NG:

برای CentOS می‌توان Bwm-NG را از Epel نصب کرد.

# ubuntu or debian
$ sudo apt-get install bwm-ng
# fedora or centos (from epel)
$ sudo apt-get install bwm-ng

10. cbm – Color Bandwidth Meter

کمی نظارت بر پهنای باند که حجم ترافیک را از طریق رابط‌های شبکه نشان می‌دهد ساده است. بدون هیچ گزینه اضافی فقط ترافیک و به‌روزرسانی در زمان واقعی نشان داده می‌شود.

commandmonitoringlinux02

$ sudo apt-get install cbm

11. speedometer

یکی دیگراز ابزارهای ساده و کوجک که نمودارهایی از ترافیک ورودی و خروجی که از طریق یک رابط داده شده است را به خوبی ترسیم می کند.

$ speedometer -r eth0 -t eth0

commandmonitoringlinux11

نصب speedometer:

# ubuntu or debian users
$ sudo apt-get install speedometer

12. Pktstat

Pktstat تمامی اتصالات فعال در زمان واقعی و سرعتی که داده از طریق آن‌ها منتقل می‌شوند را نشان می‌دهد. همچنین نوع اتصالات مانند tcp یا udp و جزئیات در مورد درخواست‌های http نشان می‌دهد.

$ sudo pktstat -i eth0 –nt

commandmonitoringlinux09

$ sudo apt-get install pktstat

13. Netwatch

Netwatch قسمتی از مجموعه ابزار netdiag است و ارتباط‌های بین local host و دیگر remote host ها و سرعت انتقال داده در هر ارتباط را نشان می‌دهد.

$ sudo netwatch -e eth0 -nt

commandmonitoringlinux07

$ sudo apt-get install netdiag

14. Trafshow

Trafshow مانند netwatch و pktstat ارتباطات فعال فعلی، پروتکل‌هایشان و سرعت انتقال داده در هر کدام از این ارتباطات را گزارش می‌دهد. این ابزار می‌تواند با استفاده از فیلتر‌های نوع pcap ارتباطات را فیلتر کند.

$ sudo trafshow -i eth0 tcp

commandmonitoringlinux13

$ sudo apt-get install netdiag

فقط اتصالات tcp را نظارت می‌کند.

15. Netload

دستور Netload فقط گزارش کوچکی از بار ترافیک فعلی شبکه و تعداد کل بایت‌هایی که از زمان شروع برنامه منتقل شده است را نشان می‌دهد. هیچ ویژگی بیشتری وجود ندارد. این ابزار بخشی از netdiag است.

$ netload eth0

commandmonitoringlinux06

$ sudo apt-get install netdiag

16. Ifstat

Instat پهنای باند شبکه را در حالت دسته‌ای گزارش می‌دهد. خروجی در یک فرمتی است که برای ورودی و تجزیه با استفاده از دیگر برنامه‌ها آسان است.

$ ifstat -t -i eth0 0.5
Time eth0
HH:MM:SS KB/s in KB/s out
۰۹:۵۹:۲۱ ۲٫۶۲ ۲٫۸۰
۰۹:۵۹:۲۲ ۲٫۱۰ ۱٫۷۸
۰۹:۵۹:۲۲ ۲٫۶۷ ۱٫۸۴
۰۹:۵۹:۲۳ ۲٫۰۶ ۱٫۹۸
۰۹:۵۹:۲۳ ۱٫۷۳ ۱٫۷۹

نصب ifstat:

کاربران Ubuntu/Debian/Fedora این ابزار را در مخازن پیش‌فرض دارند و کاربران لینوکس نیاز دارند که repoforge را تنظیم کنند زیرا Epel در دسترس نیست.

# ubuntu, debian
$ sudo apt-get install ifstat
# fedora, centos (Repoforge)
$ sudo yum install ifstat

17. dstat

dstst یک ابزار همه‌کاره است که می‌تواند آمار سیستم‌های مختلف را مانیتور کند و آن‌ها را در یک حالت دسته‌ای یا ورود داده‌ها به سیستم csv و یا مشابه فایل گزارش کند.

$ dstat -nt
-net/total- —-system—-
recv send| time
۰ ۰ |۲۳-۰۳ ۱۰:۲۷:۱۳
۱۷۳۸B 1810B|23-03 10:27:14
۲۹۳۷B 2610B|23-03 10:27:15
۲۳۱۹B 2232B|23-03 10:27:16
۲۷۳۸B 2508B|23-03 10:27:17

نصب dstat:

$ sudo apt-get install dstat

18. Collect

Collect آمار سیستم‌هایی را که در یک سبک است را نشان می‌دهد که شبیه به dstat است و مانند dstat آمار را درمورد منابع مختلف سیستم‌های مختلف مانند cpu ،memory ،network و غیره را جمع‌آوری می‌کند. در اینجا یک مثال ساده از نحوه استفاده آن برای گزارش گرفتن از usage/bandwidth آمده است.

$ collectl -sn -oT -i0.5
waiting for 0.5 second sample…
# <———-Network———->
#Time KBIn PktIn KBOut PktOut
۱۰:۳۲:۰۱ ۴۰ ۵۸ ۴۳ ۶۶
۱۰:۳۲:۰۱ ۲۷ ۵۸ ۳ ۳۲
۱۰:۳۲:۰۲ ۳ ۲۸ ۹ ۴۴
۱۰:۳۲:۰۲ ۵ ۴۲ ۹۶ ۹۶
۱۰:۳۲:۰۳ ۵ ۴۸ ۳ ۲۸

نصب Collect:

# Ubuntu/Debian users
$ sudo apt-get install collectl
#Fedora
$ sudo yum install collectl

خلاصه:

این دستورات چند فرمان سودمند بودند که به سرعت می‌توانید پهنای باند شبکه را بر روی سرور لینوکس خود بررسی کنید. برای اجرای این دستورات نیاز است که کاربر با استفاده از SSH به سرور خود log in کند. ابزارهای مانیتورینگ مبتنی بر وب می‌توانند برای همین کار استفاده شوند.
Ntop و Darkstat برخی از ابزارهای مانیتورینگ مبتنی بر وب برای لینوکس هستند. صرف‌نظر از این دروغ که ابزارهای مانیتورینگ در سطح سازمانی مانند Nagios که نه تنها یک میزبان از ویژگی‌ها برای مانیتور و نظارت بر شبکه فراهم می‌کنند بلکه کل زیر ساخت را هم دربرمی‌گیرند.

چگونه یک گروه CSF برای همگام‌سازی Blacklists و Whitelists ایجاد کنیم؟

زاگریو20 تیر 1397

969views

ما دیده‌ایم که بسته‌های کانفیگ فایروال سرور (CSF) یک راه‌حل امنیتی استاندارد قدرتمند است برای سرورهایی که درحال اجرای WHM هستند.

یکی از اجزای فعال که lfd نامیده می‌شود (Login Failure Daemon) که همه سوابق و تلاش‌هایی که برای Login شدن به سرور از طریق SSH و یا از طریق رابط گرافیکی GUI و ایجاد لیست‌های سفید و سیاه از IP آدرس‌ها به منظور جلوگیری از حملات را ثبت می‌کند.اگر شما تعدادی سرور درحال اجرای WHM دارید و اگر یک گروه DNS تنظیم کرده‌اید شما قطعا هر نمونه از CSF که شامل لیست‌های سفید و سیاه مرتبط با خود باشد را نگهداری خواهید کرد. به جای تکرار این عمل در هر زمان، راحت‌تر نیست اگر سرویس‌دهنده شما این اطلاعات را خودشان به اشتراک بگذارند؟ بنابراین اگر یکی از آنها یک حمله brute force که از یک آدرس IP خاص صورت گرفته را تشخیص دهد دیگران نیاز نیست قبل از این‌که بیش از حد محاصره شوند، صبر کنند. آن‌ها می‌توانند این اطلاعات را برای پیش‌دستی کردن در مقابل حملات به یکدیگر انتقال دهند.

این به عنوان یک گروه CSF شناخته می‌شود. گروه‌هایی از سرورها که لیست‌های سفید و سیاه را به اشتراک می‌گذارند. انجام این تنظیمات بسیار آسان است وتنها نیاز به چند تغییر در فایل “csf.conf” بر روی هر یک از اعضای گروه دارد. در این‌جا به شما آموزش می‌دهیم که چگونه این کار را انجام دهید:

پیکربندی سرورها:

برای شرکت در یک گروه CSF سرورها باید در حال اجرای WHM یا DNSONLY با CSF به علاوه installed.In باشند. در فایل “csf.conf” پارامتر “TESTING” باید با مقدار ۰ تنظیم شود و یا اینکه lfd شروع نشود. در هنگام نصب و راه‌اندازی CSF به طور پیش‌فرض TESTING فعال است. بنابراین این گزینه را باید برای هر سرور انجام دهید.

در این مثال ما قصد داریم از ConfigServer اکسپلورر (CSE) به عنوان سیستم مدیریت فایل استفاده کنیم. شما می‌توانید در صورت تمایل از نرم‌افزار ویرایش فایل‌هایتان را به طور مستقیم از CLI استفاده کنید.

مشخص کردن گروه‌ها:

اولین کاری که شما باید انجام دهید این است که آدرس IP همه اعضای شرکت کننده در گروه را بدست آورید. در این مثال ما فقط دو آدرس IP داریم:

87.76.280.180

176.58.116.232

فایل csf.conf موجود در دایرکتوری etc/csf/ در زیر نمایش داده شده است را باز کنید.

اکنون در فایلی که در پیش رو دارید دو پارامتر زیر را جستجو کنید:

CLUSTER_SENDTO

CLUSTER_RECVFROM

آدرس IP هر دو سرور را با استفاده از کاما از هم جدا کنید و هر دو IP را مانند شکل زیر در داخل یک ” ” قرار دهید:

با این تنظیمات تمام اعضای درون گروه قادر به ارسال و دریافت اطلاعات لیست سیاه و لیست سفید با یکدیگر هستند. شما در حال ایجاد یک نوع شبکه هستید که هر سرور با دیگر سرورها یک لینک مستقیم دارد.

گزینه بعدی که باید فعال شود CLUSTER_BLOCK نامیده می‌شود. این گزینه به صورت پیش‌فرض فعال است مگر اینکه در جایی چیزی تغییر کرده باشد. شما نیازی نیست آن را تغییر دهید:

مقدار CLUSTER_PORT یک شماره پورت است که نیاز است در بین تمامی سرورهای به اشتراک گذاشته شود. فقط مطمئن شوید که هر فایل csf.conf همان متغییر CLUSTER_PORT را دارد.

CLUSTER_KEY مسئولیت تضمین تمامی ارتباطات رمزگذاری شده بین تمای سرورها را بر عهده دارد. یک رشته عدد و الفبا بین ۸ تا ۵۶ کاراکتر انتخاب کنید و توصیه می‌شود که ترجیحا بیش از ۲۰ کاراکتر باشد. ضروری است که این کلید در فایل‌های csf.conf تمامی سرورها یکسان باشد و مخفی نگه داشته شود. اگر این‌گونه نباشد ممکن است حمله کننده یک پیغام را از سمت سرور شما شناسایی کنند و امنیت سرور شما را به خطر بیندازد.

تغییرات فایل csf.conf طول می‌کشد. مطمئن شوید که برای هر نود (node) در گروه خود این تغییرات را انجام داده‌اید.

راه‌اندازی مجدد و پینگ کردن:

هنگامی که فایل csf.conf اصلاح شد، نیاز داریم که هر دو CSF و همچنین lfd را Restart کنیم. برای انجام این کار از طریق SSH به سرورها Login کنید و دستورات زیر را تایپ کنید:

csf -r

service lfd restart

هنگامی‌که این دو سرویس Restart شد باید گروه را تست کنیم. از طریق ترمینال SSH دستور زیر را تایپ کنید:

csf --cping

اگر تمامی مراحل به درستی انجام شده باشد سرور باید تمامی آدرس IPهای اضافه شده به فایل csf.config را بدون هیچ مشکلی Ping کند.

اگر نتوانید با یکی از سرورها ارتباط برقرار کنید به شما اطلاع‌رسانی شکست خواهد شد. ایجاد یک گروه CSF به شما اجازه می‌دهد که تشخیص خطرات خود را بهبود دهید و این بخش مهمی از معماری امنیتی است.

نصب ZFS روی یک سرور لینوکس CentOS 6

زاگریو20 تیر 1397

845views

فایل سیستم ZFS برای لینوکس به صورت source code وجود دارد که شما می‌توانید به صورت ماژول کرنل آن را اجرا کنید. از یک سری ابزارها مانند ZFS، Zpool و غیره استفاده می‌کنند.

این آزمون بر روی یک CentOS6 انجام شده:

$ cat /etc/redhat-release CentOS release 6.5 (Final)

نصب متعلقات:

$ yum install gcc kernel-devel zlib-devel libuuid-devel libblkid-devel libselinux-devel parted lsscsi rpm-build

هنگامی که نصب تمام شد ، شما می توانید پکیج های ZFS و SPL را از لینک زیر اصلاح و یا ایجاد کنید:

http://zfsonlinux.org/download.html

پس از دانلود مراحل زیر را انجام دهید:

$ tar xfvz spl-0.6.0-rc14.tar.gz $ cd spl-0.6.*

$ ./configure $ make rpm

$ rpm -Uvh *.x86_64.rpm

Preparing... ########################################### [100%] ۱:spl-modules-devel ########################################### [ 33%] ۲:spl-modules ########################################### [ 67%] ۳:spl ########################################### [100%]

$ wget http://github.com/downloads/zfsonlinux/zfs/zfs-0.6.0-rc6.tar.gz

$ tar xfvz zfs-0.6.0-rc14.tar.gz $ cd zfs-0.6.*

$ ./configure $ make rpm

$ rpm -Uvh *.x86_64.rpm

Preparing... ########################################### [100%] ۱:zfs-test ########################################### [ 17%] ۲:zfs-modules-devel ########################################### [ 33%] ۳:zfs-modules ########################################### [ 50%] ۴:zfs-dracut ########################################### [ 67%] ۵:zfs-devel ########################################### [ 83%] ۶:zfs ########################################### [100%]

اگر همه مراحل به درستی انجام شود ماژول‌های کرنل ZFS و موارد کاربردی userland نصب می‌شوند. برای استفاده از ZFS نیاز است که بار اول ماژول‌های کرنل modprobe بارگذاری نمائید.

$ modprobe zfs

برای بررسی ماژول اجرایی شما می‌توانید مسیر /var/log/messages را دنبال کنید:

Feb 12 17:54:27 centos6 kernel: SPL: Loaded module v0.6.0, using hostid 0x00000000 Feb 12 17:54:27 centos6 kernel: zunicode: module license 'CDDL' taints kernel. Feb 12 17:54:27 centos6 kernel: Disabling lock debugging due to kernel taint Feb 12 17:54:27 centos6 kernel: ZFS: Loaded module v0.6.0, ZFS pool version 28, ZFS filesystem version 5

و lsmode را به منظور بررسی آن‌ها اجرا کنید:

$ lsmod | grep -i zfs

zfs 1038053 0 zcommon 42478 1 zfs znvpair 47487 2 zfs,zcommon zavl 6925 1 zfs zunicode 323120 1 zfs spl 210887 5 zfs,zcommon,znvpair,zavl,zunicode

برای ایجاد اولین pool ما می‌توانیم با استفاده از کاربردهای zpool، این مورد را ایجاد کنیم:

$ zpool create mysqlpool mirror sdb sdc

در مثال بالا یک mirrored pool در دستگاه‌های sdb و sdc ایجاد شده است. ما می‌توانیم این طرح را در خروجی zpool status ببینیم:

$ zpool status -v

pool: mysqlpool state: ONLINE scan: none requested config:

NAME STATE READ WRITE CKSUM mysqlpool ONLINE 0 0 0 mirror-0 ONLINE 0 0 0 sdb ONLINE 0 0 0 sdc ONLINE 0 0 0

errors: No known data errors

pool version 28h به ما این امکان را می‌دهد که atime updates را غیرفعال و compression و deduplication را فعال کنیم.

$ zfs set compression=on mysqlpool $ zfs set dedup=on mysqlpool $ zfs set atime=off mysqlpool

برای یک آزمون واقعی یکی از MySQL slaves را متوقف کردیم و در مسیر /var/lib/mysql یک pool را بارگذاری کردیم. اطلاعات قبلی روی سیستم فایل ZFS را همگام‌سازی کردیم و بعد از آن MySQL به خوبی شروع به کار کرد.

$ dd if=/dev/zero of=/dev/sdb $ zpool scrub mysqlpool

اجازه می‌دهیم که این دستور چند دقیقه اجرا شود بعد از اتمام آن zpool status به منظور بررسی اسکراب ثابت همه موارد اجرا شود:

$ zpool status -v pool: mysqlpool state: ONLINE status: One or more devices has experienced an unrecoverable error. An attempt was made to correct the error. Applications are unaffected. action: Determine if the device needs to be replaced, and clear the errors using 'zpool clear' or replace the device with 'zpool replace'. see: http://www.sun.com/msg/ZFS-8000-9P scan: scrub repaired 966K in 0h0m with 0 errors on Sun Feb 12 18:54:51 2012 config:

NAME STATE READ WRITE CKSUM mysqlpool ONLINE 0 0 0 mirror-0 ONLINE 0 0 0 sdb ONLINE 0 0 175 sdc ONLINE 0 0 0

سرور و کلاینت NFS: نحوه راه‌اندازی روی CentOS 7.2

زاگریو20 تیر 1397

2.9kviews

در این مقاله چگونگی راه‌اندازی یک سرور NFS و یک کلاینت NFS روی یک CentOS 7.2 آموزش داده می‌شود. از طریق NFS یک کلاینت می‌تواند به صورت Remote روی یک سرور NFS دسترسی (خواندن و نوشتن ) داشته باشد به صورتی‌که فایل‌هایی که بر روی سرور هستند انگار که روی کامپیوتر خود شخص قرار دارند. ما به عنوان پایه از یک سرور CentOS 7.2 minimal برای نصب و راه‌اندازی استفاده می‌کنیم.

۱- نکات مقدماتی‌ سرور و کلاینت NFS:

ما در اینجا از دو سیستم CentOS استفاده می‌کنیم:

• NFS Server: server.example.com, IP address: 192.168.1.100
• NFS Client: client.example.com, IP address: 192.168.1.101

در این آموزش از یک ویرایشگر نانو برای ویرایش فایل‌های پیکربندی استفاده می‌کنیم. نانو می‌تواند با استفاده از دستور زیر نصب شود:

yum -y install nano

۲- پیکربندی فایروال:

توصیه می‌کنیم که یک فایروال نصب شده داشته باشید. اگر فایروالی نصب ندارید و می‌خواهید از فایروال استفاده کنید با استفاده از دستور زیر می‌توانید آنرا نصب کنید:

yum -y install firewalld

شروع فایروال و فعال شدن آن در زمان بوت آغاز می‌شود.

systemctl start firewalld.service systemctl enable firewalld.service

در ادامه بعد از باز کردن SSH و پورت‌های NFS مطمئن شوید که از طریق SSH قادر خواهید بود که به سرور متصل شوید برای انجام اهداف مدیریتی توسط NFS و کلاینهای NFS.

firewall-cmd --permanent --zone=public --add-service=ssh firewall-cmd --permanent --zone=public --add-service=nfs firewall-cmd --reload

۳- نصب NFS:

سرور:

برای سرور NFS دستور زیر را اجرا می کنیم:

yum -y install nfs-utils

سپس برای فعال‌سازی و شروع سرویس‌های NFS دستورات زیر را اجرا کنید:

systemctl enable nfs-server.service systemctl start nfs-server.service

کلاینت:

بر روی کلاینت‌ها می‌توانیم NFS را مطابق زیر نصب کنیم (در واقع بر روی همان سرور است):

yum install nfs-utils

۴- مسیرهای خروجی بر روی سرور و کلاینت NFS:

سرور:

ما می‌خواهیم دایرکتوری home/ و var/nfs/ برای کلاینت‌ها در دسترس باشد. بنابراین باید آن‌ها را بر روی سرور Export کنیم.
وقتی که یک کلاینت به یک NFS share دسترسی داشته باشد به طور معمول به عنوان کاربر nfsnobody است. معمولا دایرکتوری home/ متعلق به nfsnobody نیست (و من توصیه می‌کنم که مالکیت آنرا به nfsnobody تغییر ندهید) و چون ما می‌خواهیم در home/ بخوانیم و بنویسیم پس باید دسترسی به NFS share به عنوان root ایجاد شود (اگر home فقط خواندنی باشد نیازی به انجام این کار نیست). دایرکتوری var/nfs/ وجود ندارد، بنابراین ما می‌توانیم آن را ایجاد کنیم و مالکیت آن را به کاربر و nfsnobody تغییر دهیم.

mkdir /var/nfs chown nfsnobody:nfsnobody /var/nfs chmod 755 /var/nfs

اکنون ما باید /etc/exports که NFS shares خود را export می‌کنیم را اصلاح کنیم. ما home/ و var/nfs/ را به عنوان NFX share مشخص می‌کنیم و دسترسیhome/ را به عنوان root ایجاد می‌کنیم.

man 5 exports nano /etc/exports /home 192.168.1.101(rw,sync,no_root_squash,no_subtree_check) /var/nfs 192.168.1.101(rw,sync,no_subtree_check)

گزینه no_root_squash باعث می شود که home/ به عنوان ریشه در دسترس باشد.
هر زمان که ما /etc/exports را اصلاح کردیم باید دستور زیر را اجرا کنیم:

exportfs –a

پس از آن،ایجاد تغییرات موثر است.

۵- نصب و راه‌اندازی NFS Shares روی سرور و کلاینت NFS:

کلاینت:

در ابتدا ما یک دایرکتوریهایی را ایجاد می کنیم که می خواهیم NFS shares در آن قرار بگیرند مانند:

mkdir -p /mnt/nfs/home mkdir -p /mnt/nfs/var/nfs

در ادامه می‌توانیم به صورت زیر آن‌ها را مقدار دهیم:

mount 192.168.1.100:/home /mnt/nfs/home mount 192.168.1.100:/var/nfs /mnt/nfs/var/nfs

اکنون باید دو فایل NFS shares در خروجی داشته باشید:

[root@client ~]# df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/centos-root 28G 1.7G 26G 7% / devtmpfs 909M 0 909M 0% /dev tmpfs 919M 0 919M 0% /dev/shm tmpfs 919M 8.6M 910M 1% /run tmpfs 919M 0 919M 0% /sys/fs/cgroup /dev/sda1 497M 208M 290M 42% /boot tmpfs 184M 0 184M 0% /run/user/0 ۱۹۲٫۱۶۸٫۱٫۱۰۰:/home 28G 1.2G 27G 5% /mnt/nfs/home ۱۹۲٫۱۶۸٫۱٫۱۰۰:/var/nfs 28G 1.2G 27G 5% /mnt/nfs/var/nfs

mount mount[root@client ~]# mount sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime,seclabel) proc on /proc type proc (rw,nosuid,nodev,noexec,relatime) devtmpfs on /dev type devtmpfs (rw,nosuid,seclabel,size=930320k,nr_inodes=232580,mode=755) securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime) tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev,seclabel) devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,seclabel,gid=5,mode=620,ptmxmode=000) tmpfs on /run type tmpfs (rw,nosuid,nodev,seclabel,mode=755) tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,seclabel,mode=755) cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd) pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime) cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event) cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb) cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices) cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer) cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset) cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpuacct,cpu) cgroup on /sys/fs/cgroup/net_cls type cgroup (rw,nosuid,nodev,noexec,relatime,net_cls) cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio) cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory) configfs on /sys/kernel/config type configfs (rw,relatime) /dev/mapper/centos-root on / type xfs (rw,relatime,seclabel,attr2,inode64,noquota) selinuxfs on /sys/fs/selinux type selinuxfs (rw,relatime) systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=25,pgrp=1,timeout=300,minproto=5,maxproto=5,direct) mqueue on /dev/mqueue type mqueue (rw,relatime,seclabel) debugfs on /sys/kernel/debug type debugfs (rw,relatime) hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime,seclabel) sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw,relatime) nfsd on /proc/fs/nfsd type nfsd (rw,relatime) /dev/sda1 on /boot type xfs (rw,relatime,seclabel,attr2,inode64,noquota) tmpfs on /run/user/0 type tmpfs (rw,nosuid,nodev,relatime,seclabel,size=188060k,mode=700) ۱۹۲٫۱۶۸٫۱٫۱۰۰:/home on /mnt/nfs/home type nfs4 (rw,relatime,vers=4.0,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,port=0,timeo=600,retrans=2,sec=sys,clientaddr=192.168.1.101,local_lock=none,addr=192.168.1.100) ۱۹۲٫۱۶۸٫۱٫۱۰۰:/var/nfs on /mnt/nfs/var/nfs type nfs4 (rw,relatime,vers=4.0,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,port=0,timeo=600,retrans=2,sec=sys,clientaddr=192.168.1.101,local_lock=none,addr=192.168.1.100)-

۶- تست کردن سرور و کلاینت NFS:

اکنون شما می‌توانید روی کلاینت یک فایل تست در NFS shares ایجاد کنید:

کلاینت:

touch /mnt/nfs/home/test.txt touch /mnt/nfs/var/nfs/test.txt

اکنون به سرور بروید و بررسی کنید که آیا هر دو فایل تست را می‌توانید مشاهده کنید:

سرور:

ls -l /home/ [root@server1 ~]# ls -l /home/ total 0 drwx------. 2 administrator administrator 59 Jun 21 16:13 administrator -rw-r--r--. 1 root root 0 Jun 29 13:07 test.txt ls -l /var/nfs [root@server1 ~]# ls -l /var/nfs total 0 -rw-r--r--. 1 nfsnobody nfsnobody 0 Jun 29 13:07 test.txt

(لطفا به مالکیت‌های مختلف فایل‌های تست توجه داشته باشید. home NFS share/ بعنوان ریشه (root) دیده می‌شود. بنابراین /home/test.txt متعلق به ریشه است. /var/nfs share به عنوان nobody/65534 دیده می‌شود بنابراین /var/nfs/test.txt متعلق به nobody است).

۷- نصب و راه‌اندازی NFS Shares در زمان بوت:

به جای نصب و راه‌اندازی NFS Shares به صورت دستی روی سرور، شما می‌توانید /etc/fstab را تغییر دهید به‌صورتی‌که NFS shares به طور خودکار هنگامی‌که کلاینت بوت می‌شود نصب و راه‌اندازی شود.

کلاینت:

etc/fstab/ را باز کنید و خطوط زیر را دنبال کنید:

nano /etc/fstab [...] ۱۹۲٫۱۶۸٫۱٫۱۰۰:/home /mnt/nfs/home nfs rw,sync,hard,intr 0 0 ۱۹۲٫۱۶۸٫۱٫۱۰۰:/var/nfs /mnt/nfs/var/nfs nfs rw,sync,hard,intr 0 0

به جای rw,sync,hard,intr شما می‌توانید گزینه‌های مختلفی استفاده کنید. برای کسب اطلاعات بیشتر در مورد گزینه‌های موجود نگاهی بیندازید به:

man nfs

برای اینکه تست کنید که فایل اصلاح شده /etc/fstab کار می‌کند، کلاینت را reboot کنید:

Reboot

پس از راه‌اندازی مجدد سیستم، شما باید دو NFS shares در خروجی داشته باشید:

df –h [root@client ~]# df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/centos-root 28G 1.7G 26G 7% / devtmpfs 909M 0 909M 0% /dev tmpfs 919M 0 919M 0% /dev/shm tmpfs 919M 8.6M 910M 1% /run tmpfs 919M 0 919M 0% /sys/fs/cgroup /dev/sda1 497M 208M 290M 42% /boot tmpfs 184M 0 184M 0% /run/user/0 ۱۹۲٫۱۶۸٫۱٫۱۰۰:/home 28G 1.2G 27G 5% /mnt/nfs/home ۱۹۲٫۱۶۸٫۱٫۱۰۰:/var/nfs 28G 1.2G 27G 5% /mnt/nfs/var/nfs

mount [root@client ~]# mount sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime,seclabel) proc on /proc type proc (rw,nosuid,nodev,noexec,relatime) devtmpfs on /dev type devtmpfs (rw,nosuid,seclabel,size=930320k,nr_inodes=232580,mode=755) securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime) tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev,seclabel) devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,seclabel,gid=5,mode=620,ptmxmode=000) tmpfs on /run type tmpfs (rw,nosuid,nodev,seclabel,mode=755) tmpfs on /sys/fs/cgroup type tmpfs (ro,nosuid,nodev,noexec,seclabel,mode=755) cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/usr/lib/systemd/systemd-cgroups-agent,name=systemd) pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime) cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event) cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb) cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices) cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer) cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset) cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpuacct,cpu) cgroup on /sys/fs/cgroup/net_cls type cgroup (rw,nosuid,nodev,noexec,relatime,net_cls) cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio) cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory) configfs on /sys/kernel/config type configfs (rw,relatime) /dev/mapper/centos-root on / type xfs (rw,relatime,seclabel,attr2,inode64,noquota) selinuxfs on /sys/fs/selinux type selinuxfs (rw,relatime) systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=25,pgrp=1,timeout=300,minproto=5,maxproto=5,direct) mqueue on /dev/mqueue type mqueue (rw,relatime,seclabel) debugfs on /sys/kernel/debug type debugfs (rw,relatime) hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime,seclabel) sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw,relatime) nfsd on /proc/fs/nfsd type nfsd (rw,relatime) /dev/sda1 on /boot type xfs (rw,relatime,seclabel,attr2,inode64,noquota) tmpfs on /run/user/0 type tmpfs (rw,nosuid,nodev,relatime,seclabel,size=188060k,mode=700) ۱۹۲٫۱۶۸٫۱٫۱۰۰:/home on /mnt/nfs/home type nfs4 (rw,relatime,vers=4.0,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,port=0,timeo=600,retrans=2,sec=sys,clientaddr=192.168.1.101,local_lock=none,addr=192.168.1.100) ۱۹۲٫۱۶۸٫۱٫۱۰۰:/var/nfs on /mnt/nfs/var/nfs type nfs4 (rw,relatime,vers=4.0,rsize=262144,wsize=262144,namlen=255,hard,proto=tcp,port=0,timeo=600,retrans=2,sec=sys,clientaddr=192.168.1.101,local_lock=none,addr=192.168.1.100)

۸- لینک‌های سرور و کلاینت NFS:

Linux NFS: http://nfs.sourceforge.net/
CentOS: http://www.centos.org/

بررسی فرآیندهای در حال اجرا روی لینوکس با استفاده از دستورات PS

زاگریو20 تیر 1397

2.9kviews

دستورات بسیاری وجود دارد که با استفاده از آن‌ها می‌توان فرآیندهای درحال اجرای بر روی سیستم لینوکس را بررسی کرد. در این مقاله شما را برخی از این دستورات آشنا می کنیم.

دستور PS یک گزارش تصویری از فرآیندهای جاری را برای ما نشان می‌دهد. دستور PS بدون هیچ گزینه‌ای خروجی زیر را نشان می‌دهد.

[root@fedora ~]# ps PID TTY TIME CMD ۲۷۰۸ pts/1 00:00:00 bash ۲۹۵۸ pts/1 00:00:00 ps

PID: این گزینه IP فرآیند در حال اجرا است.
TTY: مکانی است که دستور در آن اجرا می‌شود.
TIME: زمانی که CPU توسط فرآیند در حال اجرا استفاده می‌شود.
CMD: دستوری است که توسط فرآیند فعلی اجرا می‌شود.

برای مشاهده همه فرآیندهای فعال بر روی سیستم از دستورات زیر استفاده کنید، دستور ps aux # جزئیات بیشتری از فرآیندها برای شما نشان می‌دهد.

# ps ax # ps axu

با استفاده از گزینه “u” و یا “f-” مطابق با دستورات زیر می‌توانید جزئیات دقیق مربوط به هر فرآیند را مشاهده کنید.

$ ps aux $ ps -ef -f

با اضافه کردن گزینه “u” و افزودن username در انتهای دستور می‌توانید فرآیندهای مربوط به یک کاربر را مشخص کنید.

$ ps -f -u username

برای جستجو در فرآیندها بر اساس نام و یا دستور استفاده شده “c” در دنباله دستور استفاده می‌کنیم.

$ ps -C apache2 PID TTY TIME CMD ۲۳۵۹ ? ۰۰:۰۰:۰۰ apache2 ۴۵۲۴ ? ۰۰:۰۰:۰۰ apache2 ۴۵۲۵ ? ۰۰:۰۰:۰۰ apache2 ...

مدیران سیستم اغلب می‌خواهند فرآیندهایی که درحال مصرف بیش از اندازه از حافظه و یا CPU هستند را پیدا کنند، با استفاده از دستور زیر می‌توانید فرآیندها را بر اساس میزان مصرف CPU و یا میزان مصرف حافظه مرتب کرد. اگر بخواهیم بر اساس چند مورد جستجو را انجام دهیم با استفاده از کاما آنها را از هم جدا می‌کنیم. با استفاده از “+” و یا “- ” می‌توانیم مشخص کنیم که جستجو صعودی باشد یا نزولی.

$ ps aux --sort=-pcpu,+pmem

دستور زیر ۵ پروسه‌ای که بیشترین مصرف CPU را دارد نمایش می‌دهد:

$ ps aux --sort=-pcpu | head -5

با استفاده از دستورات زیر می‌توان فرآیندها را به صورت درختی مشاهده کرد:

# ps -ejH # ps axjf

دستورات مفید SSH برای مدیریت CFS

زاگریو20 تیر 1397

1.3kviews

CFS یکی از بهترین نرم‌افزارهای فایروال برای سرورهای لینوکسی است. در این مقاله برخی از دستورات SSH که برای تنظیمات CSF استفاده می‌شود برای شما آورده شده است.

برای ری‌استارت کردن CSF از دستور زیر استفاده می شود:

csf -r

دستور زیر برای start کردن ruleهای فایروال استفاده می‌شود:

csf –s

دستور زیر یک آدرس IP را از لیست csf.deny (IP های حذف شده) پاک می‌کند و IP را آزاد می‌کند:

csf -dr IP address

با استفاده از دستور زیر می‌توان یک IP آدرس را در لیست csf.deny قرار دهیم ( بلاک کردن IP):

csf -d IP address

با استفاده از دستور زیر می‌توانیم یک IP آدرس را در لیست سفید (whitelist) فایروال قرار دهیم:

csf -a IP address

برای اضافه کردن یک IP به لیست temp IP ban از دستور زیر استفاده می‌کنیم:

csf -td IP address

دستور زیر به ما این امکان را می‌دهد که یک IP برای یک مدت مشخص با استفاده از port مشخص در لیست سفید قرار بگیرد.

csf -ta ipaddress TTL [-p port] [-d direction] [comment]

در دستور بالا TTL برای مشخص کردن زمان برحسب ثانیه است. Port شماره پورت مورد نظر و direction برای مشخص کردن in یا outbound است و از comment هم برای درج پیام استفاده می‌شود.

دستور زیر یک IP آدرس را بطور موقت از لیست حذف می‌کند و یا اجازه میدهد موقتا در لیست باشد.

csf -tr

نحوه باز کردن فایل‌ های فشرده rar در لینوکس

زاگریو20 تیر 1397

7.7kviews

فایل‌ های فشرده rar، یکی از محبوبترین ابزارهای فشرده‌سازی و ایجاد و استخراج فایل است. هنگامی‌که ما یک فایل فشرده را از وب دانلود می‌کنیم نیاز به ابزارهایی داریم که بتوانیم آنرا باز کنیم. در زاگریو ما به شما چگونگی نصب و استفاده برنامه‌های لازم برای باز کردن فایل‌های RAR را برای شما آموزش می‌دهیم.

در ابتدا با استفاده از دستورات زیر پکیج‌های مورد نیاز را برای باز کردن فایل‌ های فشرده rar نصب می‌کنیم

yum install libc.so.6 yum install libgcc_s.so.1 yum install libstdc++.so.6

در ادامه با استفاده از دستور زیر فایل rpm را دانلود می‌کنیم.

wget http://packages.sw.be/unrar/unrar-4.0.6-1.el5.rf.i386.rpm rpm -Uvh unrar-4.0.6-1.el5.rf.i386.rpm

نصب به اتمام رسید. اکنون با استفاده از دستور زیر می‌توانیم فایل‌هایی که با فرمت RAR فشرده شده‌اند را باز کنیم.

unrar e file.rar

مشاهده لیست آدرس‌ های ip متصل به سرور

زاگریو20 تیر 1397

14.1kviews

امروز در زاگریو، قصد داریم تا لیست آدرس‌ های ip متصل به سرور را به شما عزیزان، به صورت کامل توضیح دهیم، زیرا ممکن است گاهی به این فکر کنید که به سرور شما حمله شده است و می‌خواهید بدانید که چه کسی سرور شما را مورد حمله Ddos قرار داده است. شما با پیدا کردن IP شخص حمله کننده می توانید که IP آن را مسدود کنید.

دستورات در UNIX | ای پی سرور

با استفاده از دستور زیر در UNIX می‌توانید کلیه آدرس‌های متصل به پورت ۸۰ سرور خود را مشاهده کنید:

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

نمونه خروجی : تمامی آدرس‌ های ip متصل، به ترتیب تعداد اتصال از بیشتر به کمتر

97 114.198.236.100 56 67.166.157.194 44 170.248.43.76 38 141.0.9.20 37 49.248.0.2 37 153.100.131.12 31 223.62.169.73 30 65.248.100.253 29 203.112.82.128 29 182.19.66.187

نکته: این دستور برای نشان دادن این‌که آیا حمله DDoS ای بر روی سرور شما در حال وقوع است به کار می‌رود.

اجاره دهید دستور بلند بالا را در قسمت‌های کوچک برای شما توضیح دهیم:

1- netstat -tn 2>/dev/null

با استفاده از دستور netstat تمامی ارتباطات ورودی و خروجی سرور خود را می‌توانید مشاهده کنید.
n- آدرس‌های را به صورت عدد به جای نام به شما نشان می‌دهد.
t- صرفا ارتباطات به پورت‌های TCP را به شما نشان می‌دهد.
/dev/null خروجی‌های ناخواسته را به مکانی خاص منتقل می‌کند تا درخواست شما مرتب نمایش داده شود.

خروجی:

#Examples - 7 connections tcp 0 0 64.91.*.*:80 114.198.236.100:12763 TIME_WAIT tcp 0 0 64.91.*.*:80 175.136.226.244:51950 TIME_WAIT tcp 0 0 64.91.*.*:80 175.136.226.244:51951 TIME_WAIT tcp 0 0 64.91.*.*:23 202.127.210.2:14517 TIME_WAIT tcp 0 0 64.91.*.*:80 149.238.193.121:65268 TIME_WAIT tcp 0 0 64.91.*.*:80 114.198.236.100:44088 ESTABLISHED tcp 0 0 64.91.*.*:80 175.136.226.244:51952 TIME_WAIT 2- grep:80

صرفا آدرس‌ های ip را نشان می‌دهد که به پورت ۸۰ سرور شما متصل شده‌اند.

tcp 0 0 64.91.*.*:80 114.198.236.100:12763 TIME_WAIT tcp 0 0 64.91.*.*:80 175.136.226.244:51950 TIME_WAIT tcp 0 0 64.91.*.*:80 175.136.226.244:51951 TIME_WAIT tcp 0 0 64.91.*.*:80 149.238.193.121:65268 TIME_WAIT tcp 0 0 64.91.*.*:80 114.198.236.100:44088 ESTABLISHED tcp 0 0 64.91.*.*:80 175.136.226.244:51952 TIME_WAIT 3- awk ‘{print $5}’

awk به شما کمک می‌کند تا رکورد شماره ۵ (آدرس‌ های ip به همراه پورت مربوطه که در خروجی بالا نمایش داده شده‌اند) به صورت جداگانه نمایش داده شود:

۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰:۱۲۷۶۳ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴:۵۱۹۵۰ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴:۵۱۹۵۱ ۱۴۹٫۲۳۸٫۱۹۳٫۱۲۱:۶۵۲۶۸ ۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰:۴۴۰۸۸ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴:۵۱۹۵۲

4- cut -d: -f1

دستور cut کمک می‌کند تا محتوای مورد نظر شما از محتوای ناخواسته جدا شود:
۱٫ d- کاراکتری را که بلافاصله پس از دستور d- نمایش داده می‌شود را مشخص می‌کند، در این مثال : است. به صورت پیش‌فرض tab را انتخاب می‌کند.
۲٫ f- مشخص می‌کند که چه لیستی از کارکترها، بایت‌ها یا قسمت‌ها باید انتخاب شوند.

5- sort | uniq -c | sort -nr
این دستور لیست را مرتب می‌کند، آن‌ها را در یک گروه قرار می‌دهد و مجددا آن‌ها را به صورت ترتیبی مرتب می‌کند:
1٫ sort

۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰ ۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰ ۱۴۹٫۲۳۸٫۱۹۳٫۱۲۱ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴

۲٫ uniq -c – آن‌ها را در گروه قرار می‌دهد.

۲ ۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰ ۱ ۱۴۹٫۲۳۸٫۱۹۳٫۱۲۱ ۳ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴

۳٫ sort -nr آن‌ها را بر اساس شماره، از بیشتر به کمتر مرتب می‌کند.

۳ ۱۷۵٫۱۳۶٫۲۲۶٫۲۴۴ ۲ ۱۱۴٫۱۹۸٫۲۳۶٫۱۰۰ ۱ ۱۴۹٫۲۳۸٫۱۹۳٫۱۲۱

۶- دستور head اختیاری است و صرفا ۱۰ رکورد اول را به شما نشان می‌دهد.

۵ روش برای افزایش سرعت بازسازی و Rebuild درایوهای نرم‌افزاری RAID

زاگریو20 تیر 1397

1.7kviews

ایجاد، تایید و بازسازی RAID های نرم‌افزاری برای درایوهایی که سایز کوچکی دارند مشکلی ندارد، اما برای مواقعی که اطلاعات شما زیاد هستند و یا از دیسک‌های حجیم برای این کار استفاده می‌کنید، این عمل ممکن است تا روزها نیز ادامه داشته باشد، همیشه به یاد داشته باشید که شما می‌توانید سرعت انجام این کار برای درایوهای RAID 0/1/5/6 را افزایش دهید.
اخیرا یک NAS با ۵ هارد ۴ ترابایتی را در یک محیط RAID 6 برای یک مشتری پیاده‌سازی کردم، با زدن دستور cat /proc/mdstat وضعیت درایو md0 در حالت فعال و بازیابی اطلاعات بود، سرعت این بازیابی حدود ۴۰۰۰K/sec بود که حدود ۲۲ ساعت دیگر به پایان می‌رسید و من زمان کافی برای این کار نداشتم و نیازمند پایان یافتن آن به سریعتر حالت ممکن بودم.

روش اول:

فایل /proc/sys/dev/raid/speed_limit_min حاوی تنظیماتی است که مشخص می‌کند در زمان‌هایی که درایو فعالیتی در حال انجام دارد با چه سرعتی عملیات بازسازی را انجام دهد. سرعت بر مبنای کیلوبایت بر ثانیه و به ازای هر دستگاه محاسبه می‌شود و نه درایو RAID. مقدار پیش‌فرض ۱۰۰۰ است.
فایل /proc/sys/dev/raid/speed_limit_max حاوی تنظیماتی است که مشخحص می‌کند در زمانهایی که درایر فعالیتی ندارد با سرعت درج شده در این فایل عملیات بازسازی را انجام می‌دهد.

برای مشاهده مقادیر مندرج در این فایلها از دستور زیر استفاده کنید:

# sysctl dev.raid.speed_limit_min # sysctl dev.raid.speed_limit_max

نمونه‌های خروجی:

dev.raid.speed_limit_min = 10000 dev.raid.speed_limit_max = 20000

نکته: این روش‌ها صرفا برای بازیابی درایوهای RAID نرم‌افزاری لینوکس و افزایش سرعت آن‌ها کاربرد دارد، هر چند تنظیمات این موارد مشکلی برای سیستم ایجاد نمی‌کند اما میزان فشار بر سرور و مصرف منابع CPU و RAM را به میزان چشمگیری افزایش می‌دهد.

برای افزایش سرعت:

echo value > /proc/sys/dev/raid/speed_limit_min

یا

sysctl -w dev.raid.speed_limit_min=value

در این مثال مقدار را ما بر روی ۵۰۰۰۰K/Sec قرار می‌دهیم:

# echo 50000 > /proc/sys/dev/raid/speed_limit_min

یا

# sysctl -w dev.raid.speed_limit_min=50000

اگر می‌خواهید تنظیمات پیش‌فرض را تغییر دهید، این دو مقدار را در فایل /etc/sysctl.conf وارد نمائید.

#################NOTE ################ ## You are limited by CPU and memory too # ########################################### dev.raid.speed_limit_min = 50000 ## good for 4-5 disks based array ## dev.raid.speed_limit_max = 2000000 ## good for large 6-12 disks based array ### dev.raid.speed_limit_max = 5000000

روش دوم:

تنظیمات readahead (پیش خوان در سکتورهای ۵۱۲ بایتی) را به ازای هر درایو افزایش دهید:

# blockdev --setra 65536 /dev/mdX ## Set read-ahead to 32 MiB ## # blockdev --setra 65536 /dev/md0 # blockdev --setra 65536 /dev/md1

روش سوم:

مقدار stripe_cache_size را برای RAID5 یا RAID6 تنظیم کنید.
این تنظیم فقط برای RAID 5/6 امکان‌پذیر است و بهره‌وری این درایوها را بین ۳ تا ۶ برابر افزایش می‌دهد. مقدار مندرج بلاک‌های سایز کش را برای ذخیره اطلاعات و خواندن اطلاعات در حافظه رم ذخیره می‌کند، مقدار پیش‌فرض ۲۵۶ است و مقادیر ۱۷ تا ۳۲۷۶۸ قابل تنظیم است. هر چند افزایش این مقدار تاثیر بسزایی در سرعت این درایوها دارد اما میزان بسزایی از RAM سرور را اشغال می‎کند، تنظیم این مقدار به عدد بسیار زیاد باعث به وجود آمدن مشکل “out of memory” می‎شود.

فرمول محاسبه:

memory_consumed = system_page_size * nr_disks * stripe_cache_size

مقدار رم مصرف شده = حجم system page * تعداد دیسک * stripe_cache_size
برای تنظیم این مقدار بر روی ۱۶MiB برای درایو md0:

# echo 16384 > /sys/block/md0/md/stripe_cache_size

برای تنظیم این مقدار بر روی ۳۲MiB برای درایو md3:

# echo 32768 > /sys/block/md3/md/stripe_cache_size

روش چهارم:

غیر فعال کردن NCQ برای تمامی دیسک ها
دستور زیر NCQ را برای تمامی دیسک ها /dev/sda, /dev/sdb و .. غیر فعال میکند:

for i in sd[abcde] do echo 1 > /sys/block/$i/device/queue_depth done

روش پنجم:

مقدار Bitmap زمان بازسازی دیسک ها را در صورت خراب شدن و یا در صورت جابجایی دییک ها بهینه می‌کنند.
با استفاده از دستور زیر آن را فعال کنید:

# mdadm --grow --bitmap=internal /dev/md0

پس از اتمام rebuild آن را با دستور زیر غیرفعال کنید:

# mdadm --grow --bitmap=none /dev/md0

نتیجه:

سرعت من از ۴k به ۵۱k افزایش یافت:

cat /proc/mdstat

نمونه خروجی:

Personalities : [linear] [raid0] [raid1] [raid10] [raid6] [raid5] [raid4] [multipath] md5 : active raid1 sde2[2](S) sdd2[3](S) sdc2[4](S) sdb2[1] sda2[0] ۵۳۰۰۴۸ blocks [2/2] [UU]

md0 : active raid6 sde3[4] sdd3[3] sdc3[2] sdb3[1] sda3[0] ۵۸۵۵۸۳۶۸۰۰ blocks level 6, 64k chunk, algorithm 2 [5/5] [UUUUU] [============>........] resync = 61.7% (1205475036/1951945600) finish=242.9min speed=51204K/sec

برای مشاهده real-time مانند یک حرفه ای با دستور زیر آن را بررسی کنید:

# watch -n1 cat /proc/mdstat

نمونه خروجی:

Rebuild-raid01

تصویر۱: وضعیت بهره‌وری و بهینه‌سازی درایو raid6 برای /dev/md2

دستور زیر گزارش درایو /dev/md2 را از نظر وضعیت و سلامتی به شما می‌دهد:

# mdadm --detail /dev/md2

Rebuild-raid02

تصویر دوم: دریافت اطلاعات در خصوص درایو md2 raid array

همچنین با دستور iostat نیز می‌توانید وضعیت فعلی دیسک‌ها را مشاهده کنید:

watch iostat -k 1 2 watch -n1 iostat -k 1 2

Rebuild-raid03

تصویر سوم: میزان مصرف منابع CPU و اطلاعات I/O برای درایو ها و پارتیشن‌ها

نصب Postfix Dovecot ClamAVRoundcube و Fail2ban روی سرور لینوکس با استفاده از iRedmail

زاگریو20 تیر 1397

2.9kviews

در هفته‌های گذشته درخواست‌هایی را در خصوص ارائه آموزش نصب و راه‌اندازی سرور ایمیل امن از کاربران و بازدید کنندگان خود دریافت کردیم.

سرورهای مجازی ایمیل لینوکس به همراه وب میل اغلب برای کسب و کارهای کوچک که تمایل دارند خودشان سرور ایمیل داشته باشند و یا افرادی که نیاز به ارسال ایمیل‌های تعداد بالا دارند ممکن است کمی چالش برانگیز باشد.

از آن‌جایی که برای داشتن یک سرور ایمیل بهینه و امن لازم است نرم‌افزارهای متعددی نصب و نگهداری و تنظیم شوند، درصد بروز خطا و یا عملیاتی نشدن این نوع پروژه‌ها خصوصا در بلند مدت زیاد است.

برخی با راه‌اندازی سرورهای ایمیل بدون تنظیمات دقیق و نظارت صحیح باعث از دست رفتن ارتباطات یک سازمان و یک شرکت با شرکای تجاری خود می‌شوند که بعضا ضررهای جبران‌ناپذیری را به چرخه کاری و اعتبار آن‌ها وارد می‌کنند.

حال به اصل موضوع می‌پردازیم.

در این مقاله نحوه نصب کلیه این سرویس‌ها در قالب نرم‌افزار iRedmail را آموزش خواهیم داد، در مقاله بعدی آموزش حرفه‌ای‌تر برای نصب تک‌تک موارد ذیل را بدون نیاز به این نرم‌افزار آموزش خواهیم داد.

بسته‌های مورد نیاز جهت داشتن یک سرور ایمیل امن و آنلاین به شرح ذیل است:

نام	توضیحات
Postfix	Mail Transfer Agent (MTA) عامل انتقال ایمیل
Dovecot	POP3, IMAP and Managesieve server عامل اتصال کاربری
Apache, Nginx	Web server سرویس دهنده وب
OpenLDAP, ldapd(8)	LDAP server, used for storing mail accounts – optional اتصال به Active Directory و نرم‌افزارهای مشابه (اختیاری)
MySQL, MariaDB, PostgreSQL	SQL server used to store application data. Could be used to store mail accounts too بانک اطلاعاتی جهت ذخیره‌سازی اطلاعات و حساب‌های کاربری
Amavisd-new	Interface between Postfix and SpamAssassin, ClamAV. it calls SpamAssassin and ClamAV for content-based spam/virus scanning رابط بین Postfix و SpamAssassin و آنتی ویروس ClamAV برای اسکن محتوای ایمیل‌ها از نظر ویروس و هرزنامه
SpamAssassin	Content-based spam scanner اسکن محتوای ایمیل‌ها برای شناسایی هرزنامه‌ها
ClamAV	Virus scanner اسکن ویروس
Roundcube	Webmail ) نرم‌افزار مدیریت ایمیل تحت وب به زبان پی‌اچ‌پی
SOGo Groupware	A groupware which provides calendar (CalDAV), contact (CardDAV), tasks and ActiveSync services نرم‌افزارهای جانبی جهت پشتیبانی از تقویم، مدیریت مخاطبان، فعالیت‌ها و ActiveSync
Fail2ban	Scans log files and bans IPs that show the malicious signs — too many password failures, seeking for exploits, etc بررسی فایل‌های log جهت مسدودسازی IP ها و اکانت‌هایی که ورود ناموفق داشته‌اند.
Awstats	Apache and Postfix log analyzer نرم‌افزار تحلیل و آمار سرویس‌دهنده وب و ارسال‌کننده ایمیل

نصب تمامی این نرم‌افزارها به صورت تکی و اعمال تنظیمات بر روی آن‌ها نیازمند دقت، تجربه و اطلاعات کافی است.
البته نرم‌افزار iRedMail با ارائه یک اسکریپت این مشکل را تا حدی برطرف نموده است.

لازم است یک سرور Minimal که صرفا SSH Server بر روی آن نصب است در اختیار داشته باشید، به منظور عدم وجود اختلال در نصب بهتر است هیچ برنامه‌ای بر روی این سرور نصب نشده باشد.

1- بررسی Hostname

سرور باید حتما دارای یک نام FQDN باشد. جهت مشاهده:

$ hostname -f mx.zagrio.com

در RHEL/CentOS/SL نسخه ۶ در فایل زیر:

/etc/sysconfig/network HOSTNAME=mx.zagrio.com

در نسخه ۷ در فایل

/etc/hostname mx.zagrio.com

و در فایل
/etc/hosts جهت اتصال IP ها به نامهای سرور

127.0.0.1 mx.zagrio.com mx localhost localhost.localdomain

پس از تغییر با دستور زیر بررسی کنید:

$ hostname -f mx.zagrio.com

2- غیرفعال‌سازی SELinux در Centos/RHEL

فایل /etc/selinux/config را ویرایش و مقدار ذیل را جایگزین کنید:

SELINUX=disabled

و برای غیرفعال‌سازی فوری آن بدون نیاز به ری‌استارت دستور زیر را اجرا کنید:

# setenforce 0

3- فایل نصب در زمان نگارش این مقاله به شرح ذیل است، می‌توانید از صفحه دانلود آخرین نسخه را دانلود کنید و با دستورات ذیل آن را نصب نمائید:

# wget https://bitbucket.org/zhb/iredmail/downloads/iRedMail-0.9.5-1.tar.bz2 # cd /root/ # tar xjf iRedMail-0.9.5-1.tar.bz2 # cd /root/iRedMail-x.y.z/ # bash iRedMail.sh<br />

4- سپس مراحل نصب را مطابق تصاویر زیر به پیش ببرید.

5- در این قسمت محل ذخیره‌سازی ایمیل‌ها را مشخص کنید.

6- در این مرحله سرویس‌دهنده وب را انتخاب نمائید.

7- در این قسمت بانک اطلاعاتی مورد نظر خود را انتخاب کنید.

8- در این قسمت باید نام دامنه‌ای که مد نظرتان است را وارد نمائید.

9- در این قسمت رمز عبور postmaster خود را وارد نمائید. با این ایمیل به عنوان می‌توانید سیستم را مدیریت نمائید.

10- نرم‌افزارهای جانبی مورد نیاز خود را انتخاب نمائید.

11- در این قسمت اطلاعات نهایی را مشاهده و تایید نمائید تا عملیات نصب آغاز شود.

12- پس از نصب حتما موارد زیر را بررسی کنید.

13- فایل /root/iRedMail-x.y.z/iRedMail.tips دارای محتوای مورد نیاز شما در خصوص مسیر URL ها، مسیر دسترسی مدیریت، مسیر LOG ها و .. است که بایدحتما توسط شما مطالعه شود.

14- تنظیمات DNS خود را انجام دهید.

15- اکیدا پیشنهاد می‌شود به منظور حفظ امنیت ارتباطات خود یک گواهینامه امنیتی SSL برای خود تهیه و نصب نمائید.

16- مسیر ایمیل تحت وب: https://your_server/mail

17- مسیر پنل مدیریت: httpS://your_server/iredadmin

18- مسیر آمارگیر: httpS://your_server/awstats/awstats.pl?config=web (or ?config=smtp for SMTP traffic log)