În timpul instalării inițiale Debian configurăm fusul orar cu un pachet. În viitor, sincronizarea orei și fusului orar poate fi efectuată cu comenzile:
$ su $ parola $ dpkg-reconfigure tzdata
Folosiți săgețile pentru a selecta Europa și apăsați introduce .
De asemenea, alegem fusul orar.
Ca urmare a sincronizării obținem un universal ( gMT) și ora locală.
Fișierul de configurare este stocat în / etc / fus orar ... Puteți deschide fișierul utilizând comanda:
$ gedit / etc / fus orar
În plus, fișierul de date corespunzător se află în director / usr / share / zoneinfo și copiat în / etc / localtime , acest fișier conține regulile care guvernează ora de vară sau ora de vară pentru țările care îl utilizează.
Există două surse de timp în computer: pe placa de bază, ceasul hardware - " CMOS "și în nucleul sistemului de operare, controlat de servere de timp prin rețea. În practică, există o problemă, din moment ce ceasul CMOS nu este altceva decât un contor și nu conține informații despre fusul orar.
Problema apare atunci când un computer se află într-o rețea sau are mai multe sisteme (de exemplu, pornirea altor sisteme printr-o mașină virtuală) atunci apare haosul și nu este clar ce oră este corectă.
Sincronizarea orei poate părea exagerată pe un singur computer, dar este foarte importantă într-o rețea. Deoarece în cazul unui atac, este mai ușor să restabiliți cronologia evenimentelor pe diferite mașini. Datele colectate de la mai multe mașini nu vor avea mult sens dacă nu sunt sincronizate.
Deoarece calculatoarele sunt pornite și repornite în mod regulat (pentru a economisi energie), este convenabil să sincronizați mașinile folosind NTP în timpul încărcării. Pentru a face acest lucru, trebuie doar să instalați pachetul ntpdate, acesta vă permite să sincronizați rapid ceasul computerului cu serverele de timp conectate la World Wide Web. Vom instala ntpdate din depozit folosind managerul de pachete Sinaptic sau executând comenzi într-un terminal:
$ su $ parola $ apt-get install ntpdate
Pentru stațiile de lucru, puteți schimba serverul NTPutilizat dacă este necesar prin modificarea / etc / default / ntpdate fişier.
Pentru servere, deoarece acestea se repornește rar și există o mare nevoie de menținere a timpului exact, trebuie să instalați un server local NTP.
Instalarea NTP
$ aptitude install ntp ntpdateÎn configurația implicită, serverul se va sincroniza cu pool.ntp.org și va oferi timp ca răspuns la solicitările din rețeaua locală. Îl puteți personaliza editând /etc/ntp.conf fişier.
Din motive de securitate, pentru a accesa serverul dvs. din exterior, adăugați la fișier /etc/ntp.conf următoarele linii (aceste linii pot fi deja prezente):
Dezactivare monitor restricționare cod implicit nomodify notrap nopeer noquery restrict -6 implicit kod nomodify notrap nopeer noquery restrict 127.0.0.1 restriction -6 :: 1
dezactivați monitorul - dezactivarea interogărilor monlist care returnează o listă a ultimilor 600 de clienți ntp. restricționează codul implicit nomodifică notrap nopeer noquery
restricționare -6 cod implicit nomodifică notrap nopeer noquery - Dezactivați cererile de stare a serverului.
De asemenea, puteți specifica serverele pentru sincronizarea orei, de exemplu, adresele serverelor NTP din Rusia: https://www.ntp-servers.net/servers.html și editați fișierul /etc/ntp.conf executând comanda:
$ gedit /etc/ntp.conf
Sincronizare unică
Serverul este folosit ca exemplu ntp1.stratum1.ru:
$ ntpdate ntp1.stratum1.ru
Înainte de sincronizare
După sincronizare
Pentru a organiza sincronizarea constantă a timpului, vom instala daemonul (serverul) ntp
Editați fișierul /etc/ntp.conf sau creați-l dacă nu există un astfel de fișier.
$ server ntp1.stratum1.ru iburst
Lansați ntp și adăugați încărcarea automată
$ /etc/init.d/ntp start $ update-rc.d ntp implicit
La 26 octombrie 2014, a fost adoptată o lege privind schimbarea fusurilor orare din Rusia. Cu aceste facturi, problemele legate de sincronizarea orei locale utilizând protocolul NTP au apărut peste tot.
Astăzi vom analiza una dintre modalitățile de a rezolva problema sincronizării timpului de sistem pe serverele și desktopurile Ubuntu \\ Debian. Decizia care va fi discutată astăzi este cea mai logică, corectă și eficientă.
Este atat de simplu!
Pachetul tzdata este responsabil pentru fusurile orare de pe sistemele Ubuntu și Debian. Pentru ca sincronizarea NTP și timpul sistemului să funcționeze corect, trebuie să actualizați baza de date cu fus orar tzdata. De asemenea, vom lua în considerare instalarea și configurarea unui client NTP pentru a sincroniza ora sistemului cu servere sau clustere NTP folosind exemplul Ubuntu, Debian.
Actualizarea tzdata - fixarea timpului sistemului pe Ubuntu sau Debian
Până în prezent, actualizările pentru tzdata au venit din depozitele standard Ubuntu sau Debian. Actualizarea bazei de date cu fus orar tzdata este absolut simplă.
Pentru a actualiza tzdata din depozite, trebuie să efectuați următoarea succesiune de operații:
1. Actualizăm arborele pachetelor din depozitele conectate.
Sudo apt-get update
2. Instalăm o versiune mai nouă a tzdata.
Sudo apt-get install tzdata
3. Realizați configurația tzdata și selectați fusul nostru orar
Sudo dpkg-reconfigure tzdata
4. Reporniți sistemul pentru a actualiza ora sistemului de software terță parte
Sudo reporniți
Instalarea și configurarea unui client NTP pe Ubuntu sau Debian
Sincronizarea periodică și ajustarea timpului sistemului sunt necesare pentru servere și de dorit pentru sistemele desktop, deoarece Ceasul hardware BIOS are o eroare semnificativă și „fuge” în sus sau în jos la intervale regulate.
Instalarea și configurarea unui client NTP în Ubuntu sau Debian pot fi considerate o sarcină banală care nu cauzează dificultăți și întrebări. Instalarea și configurarea clientului au loc în 3 etape:
1. Instalarea clientului NTP:
Sudo apt-get install ntp
2. Configurarea unui client NTP folosind un editor de text și un fișier de configurare
# Verificați și, dacă este necesar, înlocuiți în fișierul de configurare lista serverelor NTP # pentru sincronizare. În mod implicit, acestea sunt: \u200b\u200bserver 0.ubuntu.pool.ntp.org server 1.ubuntu.pool.ntp.org server 2.ubuntu.pool.ntp.org server 3.ubuntu.pool.ntp.org # Dacă nu știți care servere sunt mai bine utilizate pentru sincronizare - # vă recomandăm să utilizați acest cluster de servere: http://www.pool.ntp.org/
3. Verificați grupul de adrese pentru sincronizare, care este emis de clusterul sau serverele de sincronizare specificate în fișierul de configurare /etc/ntp.conf:
Dacă obțineți o ieșire similară cu aceasta - totul este în regulă, sincronizarea orei sistemului ntp funcționează corect:
Reîncărcare la distanță când sondajul ajunge la întârziere offset jitter \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d \u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d\u003d * webhost2.mitht. 193.67.79.202 2 u 52 64 17 16.412 -35.137 0.886 mail.sonur.ru. PPS. 1 u 48 64 17 79.297 -58.992 1.493 guard.qword.ru .INIT. 16 u - 64 0 0.000 0.000 0.000 ns.davydkovo.ne 130.173.91.58 2 u 45 64 17 23.343 -40.480 1.351 golem.canonical 192.93.2.20 2 u 45 64 17 66.089 -34.140 1.669
4. Reporniți sistemul pentru ca clientul ntp să funcționeze corect și să sincronizeze ora la pornire. În principiu, totul funcționează corect după instalare, dar atunci când se utilizează programe terțe sau specifice, este necesară o repornire, este mai ușor să reporniți sistemul:
Sudo reporniți
În această etapă, instalarea și configurarea clientului NTP pentru sincronizarea orei sistemului sunt finalizate. Sistemul dvs. acum ajustează în mod transparent și discret ora sistemului, folosind servere de sincronizare a timpului mai precise, prin protocolul NTP.
Deci, am rezolvat 2 întrebări principale legate de ora exactă pe serverul sau sistemul dvs. desktop Ubuntu, Debian:
- Prima problemă de ajustare este legată de schimbarea fusurilor orare pe teritoriul Rusiei, asociată cu legislația care a intrat în vigoare la 26 octombrie 2014 și cu baza de date a fusului orar tzdata.
- A doua problemă a ajustării orei exacte a sistemului este legată de instalarea și configurarea clientului NTP și sincronizarea NTP a orei sistemului cu servere sau clustere mai precise.
După ce ați citit articolul, ar trebui să aveți o înțelegere exactă a principiilor de ajustare a timpului sistemului și a sincronizării NTP a serverului, a sistemului de desktop Ubuntu sau Debian cu servere sau clustere NTP.
După instalarea unui server nou, trebuie să efectuați același set de setări implicite. Astăzi ne vom ocupa de configurația de bază a unui server care rulează un sistem de operare. Debian... Voi oferi câteva sfaturi practice pentru o creștere ușoară a securității și a confortului administrării pe baza experienței mele personale.
Acest articol face parte dintr-o singură serie de articole despre server.
Introducere
Orice lucrare cu serverul începe de cele mai multe ori cu acțiuni obligatorii standard, fără de care fie nu va fi posibil să mergeți mai departe, fie va fi incomod să lucrați. De exemplu, în orice caz, trebuie să efectuați setări de rețea, este recomandabil să actualizați sistemul și să setați fusul orar. Se recomandă să configurați imediat ora de actualizare automată, să ajustați parametrii sshd, să instalați comandantul de la miezul nopții și să efectuați alte setări.
Vreau să vorbesc despre acest lucru în articol. Voi împărtăși experiența mea reală de lucru. Asta nu înseamnă că trebuie să faci așa cum fac eu. S-ar putea să mă înșel cu privire la ceva, să fac ceva nu este atât de convenabil pe cât s-ar putea face. Acestea sunt doar sfaturi care vor ajuta pe cineva să învețe ceva nou, iar cineva ar putea să-mi împărtășească ceva nou pentru mine sau să-mi arate greșelile. Mi-aș dori să fie așa. Cu materialele mele, nu numai că îți împărtășesc cunoștințele, dar eu însumi învăț ceva nou, inclusiv de la comentarii și scrisori la poștă.
Specificarea parametrilor de rețea
Deci, avem în stoc noul sistem instalat. Puteți afla sau verifica versiunea acestuia cu comenzile:
# uname -a Linux debian10 4.19.0-5-amd64 # 1 SMP Debian 4.19.37-5 (2019-06-19) x86_64 GNU / Linux # lsb_release -a Nu sunt disponibile module LSB. ID distribuitor: Debian Descriere: Debian GNU / Linux 10 (buster) Lansare: 10 Codename: buster
Puteți vizualiza lista pachetelor care sunt pregătite pentru upgrade utilizând comanda:
# apt list --upgradable
Acum să efectuăm o actualizare simplă a tuturor pachetelor de pe sistem:
Cheie actualizare actualizează doar o versiune a unui pachet la o altă versiune mai recentă. Nu va instala sau elimina pachete, chiar dacă este necesar pentru a actualiza altele. Aceasta este cea mai sigură și mai fiabilă opțiune de actualizare, dar este posibil să nu actualizeze totul. De exemplu, nu poate fi folosit pentru a actualiza nucleul la o versiune mai recentă.
Cheie dist-upgrade sau actualizare completă (acesta este același lucru) în plus față de upgrade, gestionează toate modificările dependenței pentru pachetele noi și, în timp ce rulează, poate elimina inutile și instala pachetele necesare pentru upgrade. Iată un extras din documentația pentru aceste două chei.
Deci, după actualizarea obișnuită, mai facem o actualizare completă.
# apt full-upgrade Citirea listelor de pachete ... Efectuat Construirea arborelui de dependență Citirea informațiilor despre starea ... Efectuat Calculul actualizării ... Efectuat Următoarele pachete au fost instalate automat și nu mai sunt necesare: dh-python guile-2.0-libs libbind9- 140 libdns162 \u200b\u200blibicu57 libisc160 libisccc140 libisccfg140 liblvm2app2.2 liblvm2cmd2.02 liblwres141 libperl5.24 libpython3.5-minim libpython3.5-stdlib linux-image-4.9.0-3-amd64 python3-distutils redenumire minimă sgml-base tcpd xml-core Utilizați „apt autoremove” pentru a le elimina. 0 actualizat, 0 nou instalat, 0 pentru eliminat și 0 nu actualizat.
Mi se cere să elimin pachetele vechi care nu mai sunt necesare. Acestea sunt dependențe de versiunile vechi de software, care au fost deja actualizate și au primit pachete noi de la dependențe, dar acestea nu mai sunt necesare. Să le ștergem cu comanda:
Aceasta finalizează actualizarea sistemului. De exemplu, dacă doriți să actualizați versiunea de lansare, citiți materialul separat.
Configurare Ssh
Acum să facem câteva modificări la setările serverului ssh... Vă recomand să îl rulați pe un port non-standard pentru a exclude comunicațiile inutile cu roboții care scanează în mod regulat internetul și preluează parolele utilizatorilor folosind dicționare.
Există o credință populară că schimbarea portului ssh este naivă, nu securitate. Trebuie doar să configurați certificate, să fail2ban sau să protejați cumva portul ssh, de exemplu, folosind restricții iptables etc. Cu toate acestea, recomand totuși schimbarea portului la unul non-standard. Chiar dacă totul este protejat de ghicirea parolei, deoarece utilizați certificate, cereri inutile către resursele serverului de deșeuri ale portului ssh, deși nu foarte mari. Se stabilește conexiunea, strângerea mâinii etc. De ce ai nevoie de asta?
În mod implicit, în Debian, ca în orice altă distribuție Linux, serverul ssh rulează pe portul 22. Să schimbăm acest port în, de exemplu, 23331. De asemenea, modific configurația pentru a permite root ssh folosind o parolă. În Debian, din cutie, utilizatorul root ssh nu se poate autentifica cu o parolă. Să schimbăm și asta. Deschideți fișierul de setări:
# nano / etc / ssh / sshd_config
Și schimbăm următoarele rânduri acolo. Le aducem la formularul:
Portul 23331 PermitRootLogin da
Salvați modificările și reporniți serverul ssh cu următoarea comandă:
# service sshd reporniți
Verificarea modificărilor:
# netstat -tulnp | grep ssh tcp 0 0 0.0.0.0:23331 0.0.0.0:* LISTEN 925 / sshd tcp6 0 0 ::: 23331 ::: * LISTEN 925 / sshd
Totul este în regulă, serverul ascultă pe portul 23331. Acum noua conexiune se va face numai pe portul 23331. În același timp, după repornirea ssh, vechea conexiune nu va fi terminată.
Știu că mulți oameni se opun înrădăcinării pe server. Se presupune că este nesigur etc. etc. Aceste argumente nu mi se par convingătoare. Nu înțeleg care ar putea fi problema dacă am o parolă root complexă normală pe care nu o pot ghici sau înșela. În toată munca mea de administrator de sistem, nu am avut niciodată probleme cu acest moment. Dar este mult mai convenabil să lucrați astfel, mai ales atunci când trebuie să vă conectați rapid undeva din cauza unor circumstanțe de forță majoră.
Am discutat separat subiectul conectării la un server ca root în articolul despre. Oricine este interesat, mergeți la el și împărtășiți-vă părerea cu privire la această chestiune.
Instalarea utilitarelor mc, htop, iftop
Următorul pas este de a configura câteva utilitare utile pe care le folosesc în mod regulat în munca mea zilnică. Primul dintre ei este binecunoscutul manager de fișiere cu două panouri Midnight Commander. Instalare mc pe serverul nostru:
# apt install mc
Și imediat pentru aceasta activez evidențierea sintaxică a tuturor fișierelor care nu sunt indicate în mod explicit în fișier / usr / share / mc / sintaxă / sintaxă sintaxa pentru scripturile sh și bash. Această sintaxă generică este bună pentru fișierele de configurare care sunt cel mai frecvent utilizate pe un server. Suprascrieți fișierul necunoscută.sintaxă... Acesta este șablonul care va fi aplicat fișierelor .conf și .cf, deoarece nu există o sintaxă explicită atașată acestora.
# cp /usr/share/mc/syntax/sh.syntax /usr/share/mc/syntax/unknown.syntax
Am setat imediat editorul implicit mcedit... Pentru a face acest lucru, pur și simplu selectați-l din meniu când editați pentru prima dată un fișier. Dacă nu aveți un astfel de meniu, îl puteți apela singur și selectați editorul implicit necesar:
# select-editor Selectați un editor. Pentru a schimba mai târziu, rulați „select-editor”. 1. / bin / nano<---- easiest 2. /usr/bin/mcedit 3. /usr/bin/vim.tiny Choose 1-3 : 2
# apt install htop
Un utilitar util care vă permite să urmăriți descărcările de rețea în timp real este iftop... Recomand. Nu am întâlnit un instrument mai simplu și mai convenabil, deși am încercat multe lucruri similare. Instalați iftop pe server:
# apt install iftop
Configurarea și actualizarea orei în Debian
Acum, să verificăm fusul orar setat, ora și să activăm sincronizarea automată a orei de pe serverul de la distanță. Am analizat această problemă în detaliu într-un articol separat -.
Puteți afla data, ora, fusul orar cu ajutorul comenzii data:
Dacă totul este corect, atunci nu trebuie schimbat nimic. Dacă aveți o oră greșită sau fusul orar specificat nu se potrivește cu al tău, atunci îl poți configura astfel. Mai întâi, să actualizăm fusurile orare:
# apt install tzdata
Acum să selectăm fusul orar corect folosind comanda:
# dpkg-reconfigure tzdata
Alegând elementele vrăjitorului corespunzătoare, indicați fusul orar.
# apt install ntpdate
Și sincronizăm ora:
# ntpdate-debian 12 Aug 14:30:21 ntpdate: ajustați serverul de timp 89.109.251.21 offset 0.004529 sec
Dacă apare o eroare:
Deci, aveți deja serviciul ntp rulat. Trebuie să îl opriți și să actualizați ora manual. Deși dacă funcționează, atunci ar trebui să fii bine oricum.
Pentru ca timpul să fie sincronizat automat fără participarea dvs. la o anumită frecvență, este utilizat instrumentul ntp... Să-l instalăm:
# apt install ntp
După instalare, se va porni singur și va sincroniza automat ceasul serverului. Să verificăm dacă a început serviciul ntpd:
# netstat -tulnp | grep ntp udp 0 0 10.20.1.16:123 0.0.0.0:* 8855 / ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 8855 / ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 8855 / ntpd udp6 0 0 fe80 :: cce1: 23ff: fe4: 123 ::: * 8855 / ntpd udp6 0 0 :: 1: 123 ::: * 8855 / ntpd udp6 0 0 ::: 123 ::: * 8855 / ntpd
Configurarea firewall-ului (iptables) în Debian
Paravanul de protecție implicit din Debian este iptables, și îl vom configura. Inițial, paravanul de protecție este complet deschis și permite tot traficul. Puteți verifica lista regulilor iptables cu următoarea comandă:
# iptables -L -v -n Chain INPUT (politica ACCEPT 0 pachete, 0 octeți) pkts octeți țintă prot opt \u200b\u200bîn ieșire sursă destinație Chain FORWARD (politică ACCEPT 0 pachete, 0 octeți) (politica ACCEPTĂ 0 pachete, 0 octeți) pkts octeți țintă prot opt \u200b\u200bîn afara destinației sursă
Vă atrag atenția asupra faptului că nu ar trebui să configurați firewall-ul fără acces direct la consola serverului. Mai ales dacă nu sunteți foarte versat în acest sens și copiați comenzile de pe site. Șansa de a greși este foarte mare. Pur și simplu veți pierde accesul de la distanță la server.
Să creăm un fișier cu reguli iptables:
# mcedit /etc/iptables.sh
Verificați dacă regulile sunt scrise în fișier / etc / iptables_rules... Dacă nu sunt acolo, atunci le notăm manual.
# / sbin / iptables-save\u003e / etc / iptables_rules
Regulile au fost aplicate și au fost scrise în dosar / etc / iptables_rules... Acum trebuie să vă asigurați că acestea sunt aplicate la pornirea serverului. Pentru a face acest lucru, efectuați următoarele. Deschiderea fișierului / etc / network / interfaces și adăugați linia pre-up iptables-restaurare la ea< /etc/iptables_rules Должно получиться вот так:
# cat / etc / network / interfaces allow-hotplug eth0 iface eth0 inet dhcp pre-up iptables-restore< /etc/iptables_rules
Pentru a verifica, reporniți serverul și consultați regulile iptables. Setul de reguli configurat trebuie încărcat din fișier / etc / iptables_rules.
Configurarea jurnalelor cron
În mod implicit, Debian nu are un fișier jurnal separat pentru evenimentele cron, toate sunt turnate într-un jurnal comun / var / log / syslog... Personal, nu-mi place foarte mult, prefer să trimit aceste evenimente într-un fișier separat. Am scris despre asta separat -. Vă recomand să urmați linkul și să îl configurați dacă aveți nevoie de el. Acolo este foarte scurt și doar despre caz, nu voi copia aceste informații aici.
Instalarea și configurarea ecranului
Sunt obișnuit să folosesc utilitatea consolei de ecran în munca mea. Inițial, a fost conceput ca un instrument care vă permite să rulați ceva de la distanță în consolă, să vă deconectați de la server și, în același timp, tot ceea ce este executat în consolă va continua să funcționeze. Puteți reveni în siguranță la aceeași sesiune și puteți continua să lucrați.
Prima dată am folosit acest utilitar în acest fel. Rareori l-am lansat, dacă nu am uitat, când se desfășura un proces îndelungat, pe care a fost păcat să îl întrerup din cauza unei deconectări accidentale a conexiunii sau a nevoii de a deconecta laptopul de la rețea și de a vă muta undeva.
Mai târziu, am decis să arunc o privire mai atentă asupra acestui instrument și am constatat că există mai multe puncte convenabile care pot fi utilizate în munca de zi cu zi. Acesta este modul în care folosesc utilitarul de ecran. Când mă conectez la server, ecranul începe cu trei ferestre 1, 2, 3. Prima fereastră trece automat la directorul /, a doua la / etc, a treia la / var / log. Am denumit în mod semnificativ aceste ferestre: Main, etc, respectiv jurnale. Mai jos este bara de stare, care afișează o listă cu toate ferestrele deschise și fereastra activă este evidențiată.
Cu ajutorul tastelor rapide, trec foarte repede între ferestre, dacă este necesar. Așa arată fereastra mea de conexiune ssh de lucru:
Comut între ferestre folosind tastele rapide ale ecranului standard: ctrl + a 1, ctrl + a 2, ctrl + a 3. Am schimbat în mod deliberat numerotarea, astfel încât să înceapă nu de la 0 în mod implicit, ci de la 1. Este mai convenabil să comutați ferestrele de pe tastatură. ... Butonul 0 este prea departe de 1 și 2.
Este nevoie de câțiva pași simpli pentru ca ecranul să funcționeze ca al meu. Mai întâi, instalați ecranul:
# ecran de instalare apt
Creăm în catalog / rădăcină fișier config .screenrc cu următorul conținut:
# mcedit /root/.screenrc # Afișează bara de stare hardstatus alwayslastline "% -Lw% (\u003d BW)% 50\u003e% n% f *% t% (-)% + Lw%<" # Добавляем некоторые настройки startup_message off defscrollback 1000 defutf8 on shell -$SHELL # Создаем несколько окон chdir screen -t Main 1 chdir /etc screen -t etc 2 chdir /var/log screen -t logs 3 # Активное первое окно после запуска select 1
Pentru a vă familiariza cu setările, tastele rapide și opțiunile de utilizare a utilitarului ecran, vizitați http://itman.in/ssh-screen/ Acest material m-a ajutat. Scris pe scurt, la obiect și clar.
Concluzie
Acum puteți reporni serverul și puteți verifica dacă totul este în ordine. Sunt bine, l-am verificat :) Aceasta completează configurarea de bază a serverului debian. Puteți începe să configurați diverse servicii pentru care a fost configurat. Vorbesc despre asta în articole separate.
Permiteți-mi să vă reamintesc că acest articol face parte dintr-o singură serie de articole despre server.
Curs online "Inginer de rețea"
Dacă doriți să învățați cum să construiți și să întrețineți rețele extrem de disponibile și de încredere, vă recomand să aruncați o privire la cursul online „Inginer de rețea” de la OTUS. Acesta este un program propriu combinat cu practica la distanță pe echipamente reale și un certificat academic de la Cisco! Studenții dobândesc abilități practice în lucrul la echipamente folosind un laborator online la distanță care funcționează pe baza unui partener de instruire - RTU MIREA: routerele Cisco 1921, Cisco 2801, Cisco 2811; comută Cisco 2950, \u200b\u200bCisco 2960. Caracteristicile cursului:- Cursul conține două lucrări de proiectare.
- Studenții sunt înscriși la Cisco Academy oficial (OTUS, Cisco Academy, ID 400051208) și au acces la toate părțile cursului CCNA Routing and Switching;
- Studenții pot susține examenul și pot primi, împreună cu certificatul OTUS, un alt certificat de curs „Routare și comutare CCNA: rețele de scalare”;
Este important să mențineți timp mai mult sau mai puțin precis pe server. Pentru a facilita citirea jurnalelor, astfel încât serverul dvs. să nu trimită scrisori altora din trecut sau din viitor, astfel încât ... da, nu vă pasă - este doar important și atât.
Datorită diferitelor erori, erori în hardware, opriri și incluziuni, timpul de pe server poate rămâne în urmă și se grăbește în raport cu timpul atomic. De obicei - nu mai mult de o secundă pe zi, în practică - pentru o secundă pe lună, sau chiar mai puțin. Dar un fier de lucru de rahat poate zbate mult mai mult timp (în general, fluctuațiile puternice în timp sunt un motiv pentru a ne gândi la sănătatea bucății de fier).
Există două moduri populare de sincronizare a timpului în linux - ntpdate peste coroană sau rularea ntpd tot timpul. Sunteți liber să alegeți oricare dintre ele, despre cele două voi scrie. Dar, pe cont propriu, vă recomand încă să utilizați ntpdate pentru coroană, mai ales dacă nu este foarte important pentru dvs. să păstrați în mod constant timpul pe server cu o eroare mai mică de 0,1 s.
A apărut o problemă cu ntpd când o vulnerabilitate a făcut posibilă utilizarea serverelor ntpd pentru a efectua un atac de amplificare udp (când un pachet mic lansat către serverul dvs. a permis generarea unui pachet udp mare către serverul atacat al altcuiva) - http://habrahabr.ru / post / 209438 /
Desigur, această vulnerabilitate a fost remediată (și au scris cum să scape de ea fără actualizări ntpd), dar unde sunt garanțiile că nu mai există astfel de probleme? Și, din nou, ntpd funcționează în continuare pe udp și sunt posibile atacuri de tip similar, deși fără o amplificare a traficului prea mare (dar acest lucru vă va permite să ascundeți atacatorul, înlocuind serverul pentru abuz). Apropo, am dat peste faptul că ntpd încorporat în modulul ipmi al serverului a fost susceptibil la acest atac și a depus cu bucurie vecinii din țară \u003d)
Prin urmare, dacă nu sunteți gata să citiți în mod constant mesajele de securitate, urmați actualizările și așa mai departe, nu ar trebui să instalați ntpd.
Deci, primul mod: rulăm ntpdate o dată pe zi pentru coroană.
Demolăm ntpd, dacă există:
[e-mail protejat]:~# apt-get remove --purge ntpd
Punem ntpdate:
[e-mail protejat]:~# apt-get install ntpdate
Și creați un fișier /etc/cron.d/ntpdate cu următorul conținut:
0 6 * * * root ntpdate ntp.ubuntu.com 1\u003e / dev / null 2\u003e & 1
Acum, în fiecare zi, la 6 dimineața (setați singur ora și frecvența), ceasul va fi adus la starea actuală.
A doua cale: nptd.
Trebuie să spunem dimpotrivă:
[e-mail protejat]:~# apt-get install ntpd
Și scrie la config /etc/ntpd.conf configurație mai mult sau mai puțin corectă:
dezactivare autentificare
dezactivați statisticile
serverul 0.ubuntu.pool.ntp.org
serverul 1.ubuntu.pool.ntp.org
server 2.ubuntu.pool.ntp.org
server 3.ubuntu.pool.ntp.org
Apoi îl repornim:
[e-mail protejat]:~# /etc/init.d/ntp reporniți
Gata, acum ceasul nostru este rezumat în timp real, sincronizat cu grupul de servere ntp.
