Хорошего понедельника, админы 😎

Как отследить, какой процесс создаёт нагрузку на диск

Избыточная нагрузка на диск может существенно замедлить работу системы. 

Первым шагом в диагностике проблем с дисковыми операциями является мониторинг операций ввода и вывода. Рассмотрим некоторые команды для этого.

⏺iotop — аналог top для отслеживания нагрузки на диск в реальном времени

Команда top в #Linux позволяет увидеть, какие процессы потребляют больше всего процессорного времени и оперативной памяти, но не предоставляет информации о дисковых операциях.

Для этих целей можно использовать iotop, который показывает процессы с наибольшим использованием диска.

Установка #iotop (если еще не установлен):

sudo apt-get install iotop

Для #Debian / #Ubuntu

sudo yum install iotop

Для #CentOS / #RHEL

Использование iotop для мониторинга:

sudo iotop

Вы увидите список процессов, отсортированный по текущей дисковой активности.

Это позволит быстро выявить процесс, который создает наибольшую нагрузку на диск.

⏺pidstat — вывод статистики для задач Linux

Пакет sysstat включает в себя несколько утилит для сбора статистики использования системных ресурсов.

Утилита #pidstat полезна для мониторинга использования диска процессами.

Установка пакета sysstat:

sudo apt-get install sysstat

Для Debian/Ubuntu

sudo yum install sysstat

Для CentOS/RHEL

Использование pidstat для мониторинга операций ввода-вывода:

sudo pidstat -d 1

Эта команда выводит статистику операций чтения и записи на диск для всех процессов каждую секунду.

sudo pidstat -d -p <PID> 1

Эта команда выводит статистику операций чтения и записи на диск для конкретного процесса (замените <PID> на идентификатор процесса) каждую секунду.

⏺iostat — статистика использования устройств и разделов дисков

Утилита iostat также входит в пакет sysstat и предназначена для создания отчетов по статистике ввода-вывода для устройств и разделов.

Использование #iostat для мониторинга:

iostat -xz 1

Эта команда выводит расширенную статистику ввода-вывода по всем устройствам каждую секунду.

Хранилище секретов StarVault включено в реестр российского ПО

Министерство цифрового развития РФ включило решение для безопасного управления секретами StarVault в реестр отечественного ПО.

⏺Решение, разработанное в Orion soft, вышло на рынок в мае 2024 г. и стало полноценным аналогом недоступного в России HashiCorp Vault.

Включение в реестр подтверждает, что продукт соответствует требованиям, которые предъявляет Минцифры к отечественным разработкам.

И плюс ко всему, может использоваться в проектах по импортозамещению, в том числе государственными организациями и компаниями с государственным участием.

StarVault позволяет безопасно хранить чувствительную информацию с защищенным доступом.

Как например: секреты для микросервисов Kubernetes, билдов CI/CD, сертификаты, ключи доступа к API и другие секреты, в том числе в зашифрованном виде.

⚡️Решение обеспечивает также возможность управления пользователями и политиками, удобное создание, управление и ротацию сертификатов, функции OIDC-провайдера для интеграции с внешними системами и облачными сервисами за счет сквозной аутентификации.

5 забавных команд в Linux, которые оживят ваш терминал.
Часть 2

Продолжим смотреть на смешные и забавные команды, которые помогут вам отвлечься от работы и взглянуть на терминал #Linux по новому!

Первая часть тут

⏺Команда espeak

Если вы устали слышать повседневные голоса вокруг вас, то команда espeak может стать вашим спасением.

Вы можете слушать голос вашего компьютера, установив espeak:

$ sudo apt install espeak

Затем в лапках вы можете напечатать текст, который хотели бы, чтобы озвучил ваш компьютер:

$ espeak "Hello from Admin.guides"

Как вам голос вашего компьютера?

⏺Команда figlet

Команда figlet преобразует любую заданную строку в её ASCII-представление.

По умолчанию, данная команда поставляется с набором шрифтов, располагающихся по адресу /usr/share/figlet/fonts/, но вы можете использовать и свои собственные шрифты.

Сначала нужно установить figlet:

$ sudo apt install figlet

Если хотите использовать свой шрифт:

$ figlet [-f путь_к_шрифту] [строка]

Пример:

$ figlet Admin.guides



⏺Команда fortune

Команда fortune отображает случайную цитату в духе печенья с предсказанием.

Сначала нужно установить fortune:

$ sudo apt install fortune

А затем можно использовать (опция -s применятся для ограничения выводимых предложений):

$ fortune [-s]



⏺Команда yes

Очень своеобразная команда, обладающая только одной способностью: бесконечно повторять строку-аргумент до тех пор, пока процесс не будет «убит»:

$ yes [строка]



Не забудьте нажать Ctrl+C, чтобы остановить вывод, иначе он будет работать вечно.

Хотя данная команда может показаться бесполезной, но она очень удобна, когда вы запускаете скрипты, ожидающие от вас ввода Yes/No.

Например, следующая команда будет каждый раз выдавать y, когда скрипт запросит от вас y/n:

$ yes y [путь_к_скрипту]



⏺Команда banner

С помощью данной команды вы можете отобразить текст в формате большого баннера.

Сначала нужно установить banner:

$ sudo apt install sysvbanner



А затем можно использовать:

$ banner [строка]

A.G. ℹ️ Help

Власти России хотят ввести сбор за использование иностранного ПО для бизнеса

Российские власти планируют ввести новый сбор для частного бизнеса за использование иностранного программного обеспечения (ПО).

Минцифры обсуждает механизм, по которому компании будут вынуждены платить за использование зарубежного ПО.

А это, по мнению министра Максута Шадаева, должно стимулировать переход на российские аналоги.

Хотя частный бизнес не обязан переходить на отечественное ПО, новый сбор станет дополнительным экономическим стимулом для этого.

По словам Шадаева, внедрение российского ПО может быть поддержано налоговыми льготами.

Однако представители бизнеса, как Давид Мартиросов из компании «Базис», отмечают, что переход на российское ПО осложняется техническими и психологическими барьерами.

☄️Несмотря на растущее качество российских продуктов, компании ожидают конкурентоспособные цены и высокое качество, сопоставимое с зарубежным.

Что такое сокеты Unix и как они работают?

Сокеты представляют собой оборудование для перемещения данных.

Они могут быть на основе TCP (потоковые сокеты) или UDP (сокеты для дейтаграмм). 

Потоковые сокеты обеспечивают доставку данных по порядку, в то время как сокеты для дейтаграмм этого не гарантируют.

Использование #Unix-сокетов позволяет избежать сетевых накладных расходов, так как данные передаются внутри одного компьютера.

Пример конфигурации сокетов

Файлы управления сокетами обычно расположены в директории /run/.

Например, файл управления сокетом MariaDB находится по адресу /run/mysqld/mysqld.sock.

Конфигурационный файл для сокета #MariaDB может выглядеть так:

[Unit]
Denoscription=MariaDB 10.6.5 database server (socket activation)
Documentation=man:mariadbd(8)
Documentation=https://mariadb.com/kb/en/library/systemd/

[Socket]
SocketUser=mysql
SocketMode=777
ListenStream=/run/mysqld/mysqld.sock
ListenStream=3306

Использование сокетов на практике

1️⃣Redis

Redis, быстрое хранилище значений ключей, часто использует Unix-сокеты для внутренней связи, что обеспечивает прирост производительности до 25% в некоторых тестах.

2️⃣MySQL

При подключении к #MySQL на том же сервере можно использовать сокеты вместо сетевых интерфейсов для увеличения производительности, особенно при высокой нагрузке.

3️⃣Работа с сокетами вручную

Для работы с сокетами вручную можно использовать утилиту socat.

Она позволяет перенаправлять данные между сокетами и сетевыми портами:

socat TCP-LISTEN:12345 UNIX-CONNECT:/var/lib/socket.sock

Эта команда может быть полезна для отладки транспортного уровня.

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое automounter и для чего он служит?

✅Ответ: Automounter это сервис в операционной системе #Linux которые используется для монтирования удаленной или локальной файловой системы автоматически в момент обращения к ней.

Когда файловая система неактивна в течение определенного периода времени сервис automounter (autofs) автоматически размонтирует ее.

Основная польза от autofs заключается в том, что мы не должны монтировать файловую систему каждый раз когда она нам нужна, automounter сделает это за нас при обращении к этой файловой системе.

Как в Linux симулировать установку пакета (Как создать и установить фиктивный пакет)

В некоторых ситуациях может понадобиться симулировать установку пакета в #Linux.

Это может быть полезно для тестирования, создания зависимостей или обхода проблем с пакетными менеджерами.

1️⃣ Установка необходимых инструментов

Для создания фиктивных пакетов нам понадобятся утилиты dpkg-dev и fakeroot.

Установим их с помощью пакетного менеджера apt:

sudo apt update
sudo apt install dpkg-dev fakeroot

2️⃣ Создание структуры пакета

Создадим рабочую директорию для нашего фиктивного пакета и необходимые подкаталоги:

mkdir -p ~/fakepkg/DEBIAN
cd ~/fakepkg

3️⃣ Создание файла управления пакетом

Создадим файл control в директории #DEBIAN с информацией о нашем пакете:

nano DEBIAN/control

Пример содержимого файла control:

Package: fakepkg
Version: 1.0
Section: base
Priority: optional
Architecture: all
Maintainer: Your Name <your.email@example.com>
Denoscription: This is a fake package for demonstration purposes

4️⃣ Создание скриптов для установки и удаления (опционально)

Вы можете добавить скрипты для выполнения при установке и удалении пакета, создав файлы postinst и prerm соответственно в директории DEBIAN.

Пример файла postinst:

#!/bin/bash
echo "Fake package installed successfully."

Не забудьте сделать скрипты исполняемыми:

chmod +x DEBIAN/postinst

5️⃣ Сборка фиктивного пакета

Соберем пакет с помощью команды dpkg-deb:

dpkg-deb --build ~/fakepkg

В результате, у нас появится файл fakepkg.deb в директории ~/fakepkg.

6️⃣ Установка фиктивного пакета

Теперь можно установить созданный фиктивный пакет с помощью команды dpkg:

sudo dpkg -i ~/fakepkg.deb

После выполнения команды, пакет будет установлен в систему, и можно проверить его наличие:

dpkg -l | grep fakepkg

Управление дисковыми квотами с помощью FSRM

File Server Resource Manager (#FSRM) предоставляет администратору мощные инструменты для управления дисковыми квотами на файловом сервере.

С его помощью можно контролировать использование дискового пространства, предотвращать переполнение дисков и автоматизировать управление квотами.

⏺Настройка и управление дисковыми квотами на файловом сервере

Перед началом работы необходимо установить роль FSRM на вашем файловом сервере.

После установки FSRM можно приступить к созданию квот для управления дисковым пространством.

• Откройте File Server Resource Manager. В левом меню выберите Quota Management и затем Quotas.
• Выберите тип квоты: Create quota on path или Auto apply template and create quotas on existing and new subfolders. И настройте параметры квоты.

Пример создания квоты с помощью PowerShell:

New-FsrmQuota -Path "D:\Data" -Size 10GB -Template "10 GB Limit"

⏺Управление квотами
Пример удаления квоты с помощью PowerShell:

Remove-FsrmQuota -Path "D:\Data"

Создание отчетов о использовании дискового пространства

FSRM позволяет создавать отчеты для анализа использования дискового пространства и управления квотами.

Пример создания отчета с помощью PowerShell:

New-FsrmReport -Name "Disk Usage Report" -ReportType FilesByOwner, LargeFiles -Namespace "D:\Data" -ScheduleType Daily -Format HTML -MailTo "admin@example.com"

⏺Автоматизация управления квотами с помощью PowerShell

#PowerShell предоставляет возможности для автоматизации многих задач, связанных с управлением дисковыми квотами.

Создание квоты:

New-FsrmQuota -Path "D:\Data" -Size 10GB -Template "10 GB Limit"

Изменение квоты:

Set-FsrmQuota -Path "D:\Data" -Size 20GB

Удаление квоты:

Remove-FsrmQuota -Path "D:\Data"

Создание отчета:

New-FsrmReport -Name "Disk Usage Report" -ReportType FilesByOwner, LargeFiles -Namespace "D:\Data" -ScheduleType Daily -Format HTML -MailTo "admin@example.com"

Запуск отчета:

Start-FsrmReport -Name "Disk Usage Report"

💬 Вопросы на собеседовании для сисадмина

Собеседование на роль сисадмина – это проверка не только твоих общих знаний по теме, но и умения решать задачи.

Давайте разберем, одни из самых частых вопросов, которые могут быть заданы и как на них отвечать.

- Что такое Kdump и для чего предназначен?

- Как узнать когда файловая система проверялась последний раз?

- Как изменить срок действия пароля пользователя без изменения самого пароля?

- Как заставить fsck проверить файловую систему ОС при следующей перезагрузке?

- Как установить все патчи за исключением патчей ядра в CentOS и RHEL?

- Как проверить, что вы работаете на физическом или виртуальном сервере?

- Что такое automounter и для чего он служит?

- Как принудить пользователя изменить пароль при регистрации?

- Как узнать как завершилась последняя команда — успешно или нет?

Дайте реакцию 🔥, если полезный материал!

#Сисадмин #Sysadmin

Альтернативные файловые системы

Существует несколько альтернативных файловых систем, поддерживаемых ядром #Linux.

XFS

#XFS — это 64-разрядная файловая система, которая впервые была представлена в 1994 году и встроена в ядро Linux с 2001 года.

XFS поддерживает максимальный размер файла в 8 эксбибайт и ограничивает длину имени файла 255 байтами. 

Она поддерживает ведение логов и, как и ext4, сохраняет изменения в лог-файле до того, как они будут зафиксированы в основной файловой системе.

Это снижает вероятность повреждения файлов.

⏺Данные структурированы в виде B+- деревьев, что обеспечивает эффективное распределение пространства и, следовательно, повышение производительности.

Основным недостатком этой системы является сложный процесс изменения размера существующей файловой системы XFS.

OpenZFS

#OpenZFS — это платформа, которая объединяет функционал традиционных файловых систем и диспетчера томов.

Впервые была представлена в 2013 году. OpenZFS поддерживает максимальный размер файла в 16 эксбибайт.

А также ограничивает максимальную длину имени файла 255 символами.

⏺В качестве особенностей данной системы можно выделить защиту от повреждения данных, шифрование данных, поддержку накопителей увеличенного объема, копирование при записи и RAID-Z.

Основным недостатком OpenZFS является юридическая несовместимость между лицензиями CDDL (OpenZFS) и GPL (ядро Linux).

Эта проблема решается путем компиляции и загрузки кода ZFS в ядро Linux.

Рассказать о других альтернативных файловых системах в другом посте?
Ставьте 👍 / 🔥

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Как принудить пользователя изменить пароль при регистрации?

✅Ответ: Команда 'chage' позволяет задать время окончания действия пользовательского пароля, например «chage -d 0 <user_name>».

После этого, при попытке регистрации пользователя в системе (в том числе и по #ssh), он будет получать предупреждение «Срок действия вашего пароля истек. Вы должны изменить ваш пароль и войти заново».

В реестре российского ПО появилась первая система анализа трафика с #ИИ — PT NAD

Она представляет собой инновационное решение от Positive Technologies.

Она базируется на технологиях машинного обучения и поведенческого анализа сетевого трафика.

Система позволяет создавать пользовательские правила для обнаружения аномалий и профилирования трафика.

⏺Это значит, что операторы могут настраивать систему под конкретные потребности и интересы своей сетевой безопасности, опираясь на различные метрики, такие как количество соединений или объем входящего трафика.

Благодаря алгоритмам машинного обучения, PT NAD способна обнаруживать даже те приложения, которые используют шифрование и маскируются под другие протоколы, включая популярные мессенджеры, например, #Telegram.

Это повышает уровень защиты от потенциальных киберугроз.

Таким образом, PT NAD не только предоставляет возможности по обнаружению аномалий и киберугроз, но и позволяет операторам эффективно адаптировать систему под свои потребности.

🔥Что делает её ценным инструментом в области информационной безопасности.

Как узнать, какой процесс изменяет файл

В #Linux имеется платформа аудита, которая позволяет узнать обо всех случаях доступа к файлу, его изменениях или запуске.

Также можно вести наблюдение за изменением целых директорий.

⏺Как установить auditd (auditctl)

В #Debian, Linux #Mint, #Kali Linux, #Ubuntu и их производных для установки выполните команду:



sudo apt install auditd



В #CentOS для установки выполните команду:



yum install audit



⏺Как запустить монитор доступа и изменений файла

Необходимо начать с добавления правил.

Следующая команда добавляет монитор доступа и изменения файла /etc/resolv.conf:



sudo auditctl -w /etc/resolv.conf -p wa



Это пример команды с другой нотацией, но выполняет она идентичное действие — мониторит все изменения и доступ к файлу /etc/resolv.conf:



sudo auditctl -a always,exit -F path=/etc/resolv.conf -F perm=wa



Проверить, какие правила добавлены, можно следующей командой:



sudo auditctl -l



Хотя правило добавлено, служба аудита ещё не запущена. Для её запуска выполните команду:



sudo systemctl start auditd.service



Если вы хотите добавить данную службу в автозагрузку, то выполните:



sudo systemctl enable auditd.service



⏺Запуск auditd без перевода в фон

Предыдущая команда запустит auditd как демон, то есть служба в фоне.

Если вам это не нужно и вы хотите запустить auditd на переднем плане, то выполните следующую команду:



sudo auditd -f



В этом случае все события с отслеживаемыми файлами или папками будут отображаться в стандартном выводе.

⏺Как просмотреть журнал auditd

Журнал auditd хранится в файле /var/log/audit/audit.log.

Но вместо того, что просматривать его напрямую, можно воспользоваться утилитой ausearch, например:



sudo ausearch -f /etc/resolv.conf



Если будет выведено



<no matches>



значит данный файл ещё не трогала ни одна программа.

Чтобы узнать, какая программа выполнила действие, смотрите строку «exe=».

⏺Как остановить службу auditd

Чтобы удалить службу из автозагрузки, выполните команду:



sudo systemctl disable auditd.service



Если вы попытаетесь остановить службу следующей командой:



sudo systemctl stop auditd.service



То вы получите сообщение, что это не удалось, так как операция отклонена:



Failed to stop auditd.service: Operation refused…



Для остановки службы выполните команду:



sudo auditctl --signal TERM



☄️Полезно? Делать ли вторую часть?