- 论坛徽章:
- 0
|
第一章
describing interface
configuration
掌握命令ifconfig
-a,banner,snoop,ping
要注意的是如果是非root用户使用ifconfig -a命令,那么只能够看到IP地址
snoop -a:show how to turn on audible clicks
snoop:summary output
snoop -V:summary verbose output
snoop -v:detailed verbose output
snoop -o filename:输出重定向到文件(常用)
snoop -i filename:displays packets that were previously captured in filename
三个重要文件:/etc/rcS.d/S30network.sh,/etc/hostname.xxn,/etc/inet/hosts
第一个文件是脚本文件,系统启动的时候自动运行,这个脚本运行ifconfig命令来配置IP地址相关信息
可以通过编辑/etc/hostname.hme0文件来包含主机名或者IP地址
更改主机名要涉及到的六个文件:
/etc/nodename,/etc/hostname.xxn,/etc/inet/hosts,/etc/net/ticlts/hosts,/etc/net/
ticots/hosts,/etc/net/ticotsord/hosts
sys-unconfig命令只有root用户能够使用,并且完成之后要执行关闭系统操作
********************************************************************************
第二章
describing the client-server model
inetd程序是一个在系统启动的时候不自动运行的,运行在每个系统上和开启服务器进程的网络进程.启用/etc/rc2.d/S72inetsvc脚本,在/etc/inet/inetd.conf文件中
# cat /etc/inet/inetd.conf
当inetd程序收到一个网络请求的时候,它就运行inetd.conf文件中相关的命令,inetd.conf文件里面的一般格式是:
service-name endpoint-type protocol wait-status uid server-program
server-arguments
其中endpoint-type包括stream,dgram,raw,seqpacket,tli
其中wait-status里面包含wait和nowait,wait是针对UDP的,nowait是针对TCP的
例如:# grep ftp
/etc/inet/inetd.conf
ftp stream tcp6 nowait
root /usr/sbin/in.ftpd in.ftpd -a
当/etc/inet/inetd.conf文件发生改变的时候,要发送一个HUP信号到inetd进程强制它重读配置文件
# pkill -HUP inetd
端口的两种类型:well-known,ephemeral(short-lived)
RPC服务和well-known端口无关,一般都是ephemeral类型的.rpcbind进程将RPC号和端口号联系在一起.例如:
# grep rpcbind /etc/services
rpcinfo命令用于执行一个到RPC服务器的RPC调用,并报告发现的内容
# rpcinfo -p:列出所有的rpcbind进程信息
# rpcinfo -d:取消一个RPC服务,一般格式是:rpcinfo -d prognum versnum,例如:
# rpcinfo -d 100012 1
********************************************************************************
第三章
customizing the solaris management console
solaris管理控制台包含三个重要部分:
solaris管理控制台服务器
solaris控制台
solaris管理控制台工具箱编辑器
判断solaris管理控制台服务器的状态:
# /etc/init.d/init.wbem status
关闭solaris管理控制台服务器:
# /etc/init.d/init.wbem stop
开启solaris管理控制台服务器:
# /etc/init.d/init.wbem start
启动控制台:# smc
启动工具箱编辑器:# smc
edit
在对工具箱进行更改之前一般要做好备份:
# cd /var/sadm/smc/toolboxes
# cp smc/smc.tbx smc.tbx.orig
# cp this_computer/this_computer.tbx this_computer.tbx.orig
在命令行方式下用smcregister命令来添加一个工具箱URL:
# /usr/sadm/bin/smcregister toolbox add thxURL
http://sys43:898/toolboxes/this_computer.tbx
-B /var/sadm/smc/toolboxes/smc/smc.tbx
在命令行方式下添加一个工具:
# /usr/sadm/bin/smcregister toolbox add tool
com.sun.admin.diskmgr.client.VDiskMgr -H sys43:898
********************************************************************************
第四章
managing swap configuration
系统的虚拟内存是由RAM和磁盘空间构成的,被称为交换空间(swap space),文件系统不驻留在交换空间上,因为文件系统只是驻留在磁盘上.
默认的page size是8192bytes.
查看交换分区信息有两种方式,一种是通过swap -s命令可以查看虚拟交换空间,例如:
# swap -s
total: 106240k bytes allocated+8258k reserved=114768k used,566776k available
另外一种是通过swap -l查看物理交换空间:
# swap -l
swapfile dev swaplo blocks free
/dev/dsk/c0t0d0s1 136,1 16 1206736 1084736
增加交换分区要遵循三步骤:
1,编辑/etc/vfstab文件
2,添加信息(/dev/dsk/c1t0d0s3
- - swap - no -)到/etc/vfstab文件中
3,执行swap -a命令# swap -a c1t0d0s3
增加交换文件要遵循四步骤:
1,# mkfile 20m
/export/data/swapfile
2,# swap -a /export/data/swapfile
3,# swap -l
4,# swap -s
5,# vi /etc/vfstab
移除交换分区:
1,# swap -d /dev/dsk/c1t0d0s3
2,编辑并移除/etc/vfstab文件里面有关交换分区信息
移除交换文件:
1,# swap -d /export/data/swapfile
2,# rm /export/data/swapfile
3,编辑并移除/etc/vfstab文件里面有关交换分区信息
第五章
managing crash dumps and core
files
当操作系统崩溃的时候,savecore命令在启动的时候自动执行,并将内核信息存放在/var/crash/nodename/vmcore.X文件里面,将名字列表存放在/var/crash/nodename/unix.X文件里面.
在crash dump目录下,还创建了一个bounds的文件
# dumpadm
# cat /etc/dumpadm.conf
注意尽量使用dumpadm命令而避免直接编辑/etc/dumpadm.conf文件
dumpadm的一般语法格式是:
/usr/sbin/dumpadm [nuy] [-c content-type] [-d dump-device] [-m mink| minm|
min%]
[-r root-dir] [-s savecore-dir]
其中-n是禁止重启之后自动运行savecore命令,-u是执行更新,-y是允许重启之后自动运行savecore命令.content-type包括三种类型:kernel,all,curproc.-r是指定根目录,如果没有这个参数那么默认是"/"目录.
当一个core文件发生的时候,要创建两个core文件的副本,分别是global core file,per-process core file,global core file只有root用户可以操作.后一个文件只有所有者可以操作.
# coreadm
# cat /etc/coreadm.conf
带-p参数的coreadm命令任何用户都可以使用,而带其他参数的coreadm命令则只有root用户可以使用.
coreadm -i pattern命令和coreadm -p pattern命令大同小异,区别在于前者在系统重启之后才生效.coreadm -i pattern命令的作用是设定per-process core文件名模式
coreadm -e包含四项:global,process,global-setid,proc-setid,log
coreadm -d:让设定的选项失效
coreadm -u:更新
coreadm -g pattern:设定global core文件名模式
********************************************************************************
第六章
configuring NFS
通过使用NFS server
files,NFS server daemons,NFS server commands来配置NFS服务器
NFS server files包括:
/etc/dfs/dfstab:列出在启动的时候共享的本地资源(文件内容包括:系统运行级别是3;超级用户运行shareall命令;超级用户运行/etc/init.d/nfs.server脚本来启动NFS服务器进程)
/etc/dfs/sharetab:列出当前正在被NFS服务器共享的本地资源.比如:
# cat /etc/dfs/sharetab
/export/sys44_data - nfs no
/etc/dfs/fstypes:列出默认的远程文件系统的类型,比如:
# cat /etc/dfs/fstypes
nfs NFS utilities
autofs AUTOFS utilities
cachefs CACHEFS utilities
/etc/rmtab:列出被NFS客户端挂接的远程文件系统,比如:
# the format of this file follows the syntax
# hostname:fsname
sys42:/export/sys44_data
sys41:/usr/share/man
sys43:/export/sys44_data
/etc/nfs/nfslog.conf:列出NFS服务器的日志
/etc/default/nfslogd:列出描述nfslogd程序行为的配置信息
NFS daemon包括mountd,nfsd,statd,lockd,nfslogd
启动NFS服务器程序:
# /etc/init.d/nfs.server start
关闭NFS服务器程序(/etc/rc0/S/1/2.d/K28nfs.server
script):
# /etc/init.d/nfs.server stop
NFS服务器命令包括:share,unshare,shareall,unshareall,dfshares,dfmounts
启动NFS客户端程序:
# /etc/init.d/nfs.client start
关闭NFS客户端程序:
# /etc/init.d/nfs.client stop
NFS logging parameters:
IDLE_TIME:空闲时间默认是300秒
MIN_PROCESSING_SIZE:默认是524288bytes
UMASK:默认是0137
CYCLE_FREQUENCY:默认是24小时
MAX_LOGS_PRESERVE:默认是10个
各种错误分析:
1,the "no such file" error:
no such file or directory
出现这种情况,一般是在/etc/vfstab中检查目录或者文件名拼写是否有错误
2,the "mount point" error:
mount: mount-point /DS9 does not exist
出现这种情况,一般检查/etc/vfstab中挂载点的拼写是否有错误
3,the "unknown host" error:
nfs mount: sserver1:: RPC: unknown host
出现这种情况,在对应的文件里面检查主机名是否正确
4,the "stale NFS file handle" error:
stale NFS file handle
出现这种情况,在客户端上执行卸载再挂载
5,the "program not registered" error:
nfs mount: dbserver: RPC: program not registered
nfs mount: retrying: /mntpoint
出现这种情况,首先执行who -r命令判断是否处于3运行级别.然后用pgrep -xl mountd命令,如果mountd程序没有运行,就启用/etc/init.d/nfs.server脚本,先关闭再启用.最后检查/etc/dfs/dfstab文件
6,the "service not responding" error:
nfs mount: dbserver: NFS: service not responding
nfs mount: retrying: /mntpoint
出现这种情况,首先用who -r判断是否处于3运行级别,然后用ps -e命令查看NFS服务器是否运行
********************************************************************************
第七章
configuring AutoFS
autoFS映射类型包括:
master map:列出了其他映射
direct map:以绝对路径列出了挂载点
indirect map:以相对路径列出来了挂载点
special:使用主机名来提供对NFS服务器的访问
automount maps可以从ASCII数据文件,NIS映射,NIS+映射或者LDAP数据库中得到.
# cat /etc/auto_master
当对master map做修改或者创建一个direct map的时候,运行automount命令来使更改生效
语法格式是:automount
[-t duration] [-v]
-t是指定一个时间,当文件系统没有用的时候还可以持续挂载的时间,默认600秒
-v是列出automount的输出
当运行automount命令之后,没有必要再通过关闭,开始automountd程序来使它的改动生效
在脚本/etc/rcS/1/2.d/K41autofs下运行# /etc/init.d/autofs stop命令来关闭automount系统
在脚本/etc/rc2.d/K41autofs下运行# /etc/init.d/autofs start来启动automount系统
********************************************************************************
第八章
describing RAID and the solaris volume manager
software
RAID 0:non-redundant disk array(concatenation and striping)
RAID 1:mirrored disk array
RAID 5:block-interleaved distributed-party
RAID 0有两种类型,一种是将数据逐渐放入所有分区(concatenations),一种是将数据平均放入所有分区(stripes),不提供数据冗余,如果有分区损坏,那么所有数据都丢失
RAID 1又叫mirror
volumes.它由RAID 0组成,并提供数据冗余.缺点是代价高.
RAID 0+1的特点是如果有一个地方发生了故障,那么整个磁盘阵列都要发生故障
RAID 1+0的特点是如果有一个地方发生了故障,那么影响到的只是它那个子镜像,对整个磁盘阵列没有多大影响
mirror read policies:round robin,geometric,first
mirror write policies:parallel(同时写数据),serial(一个一个子镜像写数据)
第九章
configuring solaris volume manager software
用metadb命令创建状态数据库,语法结构是:
metadb -a [-f] [-c n] [-l nnnn] disk_slice
-a表示添加一个state
database replica
-f表示强制性执行创建状态数据库的操作
-c n表示要添加的replicas的数量
-l nnnn表示新replicas的大小
不带参数的metadb命令指出所有replicas的状态
# metadb -a -f c1t1d0s0 c1t1d0s1 c1t1d0s3
# metadb
用metainit命令强制性创建RAID-0,必须带-f参数,因为根文件系统不能被卸载,语法格式是:
metainit -f concat/stripe numstripes width component,比如:
# /usr/sbin/metainit -f d11 1 1 c0t0d0s0
用metainit命令创建RAID-1,语法格式是:
metainit mirror -m submirror [read_options] [write_options] [pass_num]
-m指定子镜像名称
read_options包括-g和-r,-g代表geometric读选项,-r是all读权限赋予第一个子镜像.如果没有-g或者-r,那么代表round-robin读权限
write_options中S代表执行sirial写权限给子镜像,默认是parallel写权限
例如:#
/usr/sbin/metainit d10 -m d11
当对根文件系统做镜像的时候,用metaroot命令来更改/etc/vfstab和/etc/system文件,例如:metaroot device
# metaroot d10
用metattach命令将第二个子镜像挂接
# metattach d10 d12
d10:submirror d12 is attached
卸载根文件系统上的镜像步骤:
1,列出所有镜像的状态:
# metastat d10
2,run the metadetach command on the mirror to make a one-way mirror.
# metadetach d10 d12
3,成为root用户运行metaroot命令来更新/etc/vfstab和/etc/system文件
# metaroot /dev/dsk/c0t0d0s0
# grep c0t0d0s0 /etc/vfstab
4,重启系统
# init 6
5,运行metaclear命令来清除镜像和子镜像
# metaclear -r d10
# metaclear d12
********************************************************************************
第十章
configuring access control
lists(ACLs)
每个ACL的语法格式是:
entry-type:[UID or GID]:perm
getfacl filename
setfacl -m acl_entries filename(创建或者更改ACL entries)
setfacl -s acl_entries filename(用新的ACL entries替换旧的)
setfacl -d acl_entries filename(删除)
setfacl -f acl_file filename(替换配置文件)
setfacl -r filename(重新计算mask值)
例如:# getfacl
file2
# file:file2
# owner:userc
# group:sysadmin
user::rw-
user:usera:rwx #effective:r--
group::r--
mask:r--
other:r--
在这种情况下,虽然usera被赋予读写执行三种权限,但是因为mask里面只有读权限,所以usera实际可行的只有读权限
将一个ACL从一个文件复制到另一个文件,一般要将getfacl和setfacl命令结合起来,语法格式是:
getfacl filename1 | setfacl -f - filename2,例如:
# getfacl file1 | setfacl -f - file3
创建默认的ACLs
1,setfacl -m d:u::rwx,d:g::r-x,d:o:r-x,d:m:r-x dir1(d代表default)
2,添加一项ACL条目
setfacl -m default:user:usera:rwx dir1
如果一个目录具有ACL,那么在这个目录下创建一个子目录,这个子目录自动具有和目录同样的ACL条目.如果在这个目录下创建一个文件,那么文件的ACL和目录不一样
对目录默认的umask是777,而对文件默认的是666
********************************************************************************
第十一章
configuring role-based access control(RBAC)
rights profiles包括:all,primary
administrator,system administrator,operator,basic solaris user,printer
management
角色和授权的关系:
primary administrator:
solaris.admin.usermgr.read
solaris.admin.usermgr.write
solaris.admin.usermgr.pswd
system administrator:
solaris.admin.usermgr.read
solaris.admin.usermgr.write
operator:
solaris.admin.usermgr.read
pfsh和sh对应,pfcsh和csh对应,pfksh和ksh对应.shell和profile shell具有同样的inode号
,例如:
# ls -i /usr/bin/sh /usr/bin/pfsh
247741 /usr/bin/pfsh 247742 /usr/bin/sh
RBAC的四个组成部分和对应关系:
user_attr(users or
roles),prof_attr(profiles),auth_attr(authorization),exec_attr(privileges)
/etc/user_attr的格式是:
user:qualifier:res1:res2:attr
其中中间三个没有多大用处,attr的值包括type,auths,profiles,roles
/etc/security/prof_attr的格式是:
profname:res1:res2:desc:attr
其中res1和res2是没有用处的,desc是一个描述.attr的值包括help,auths
/etc/security/exec_attr的格式是:
name:policy:type:res1:res2:id:attr
其中name是一个vprofile name,policy的值是suser,type的值是cmd,res1和res2没有用处,id一般是指定一个路径名,attr的值包括euid,uid,egid,gid
/etc/security/auth_attr的格式是:
authname:res1:res2:short_desc:long_desc:attr
/etc/security/policy.conf文件赋予rights profiles和authorizations给所有用户,两个变量是AUTHS_GRANTED=authorization,PROFS_GRANTED=right_profile
命令行下管理RBAC的三个命令是roleadd,rolemod,useradd
1,roleadd命令添加一个role到/etc/passwd,/etc/shadow,/etc/user_attr文件,例如:
# roleadd -m -d /export/home/tarback -c "privileged tar backup role"
-P "media backup,media restore" tarback
********************************************************************************
第十二章
performing smartcard
authentication
smartcard包含一个微处理器和一个内存芯片
图形化界面操作,考得应该很少
第十三章
configuring system messaging
/etc/syslog.conf文件包含两部分:selector,action.其中selector包含两部分facility和level.
例如:文件/var/adm/messages中的条目*.err /var/adm/messages."*.err"表示selector,*表示facility,err表示level."/var/adm/messages"表示action
selector中facility选项包括:kern,user,mail,daemon,auth,syslog,lpr,news,uucp,cron,loca10-7,mark,*
selector中level选项包括:emerg,alert,crit,err,warning,notice,info,debug,none
在对/etc/syslog.conf文件做了任何修改之后,必须重启系统使之生效
关闭syslogd程序:
# /etc/init.d/syslog stop
启动syslogd程序:
# /etc/init.d/syslog start
查看被送到/var/adm/messages文件里面的消息,可以通过命令:
# tail -f /var/adm/messages
logger命令用来将消息送到syslogd程序里面,语法格式是:
logger [-i] [-f file] [-p priority] [-t tag] [message]
-i是列出PID,-f file是用指定的文件来记录日志消息,-p priority是赋予优先权,默认的优先权是user.notice
********************************************************************************
第十四章
using name services
secondary servers(slaves)是对master servers内容的拷贝,它的作用在于平衡工作负载并回馈用户的请求
DNS域名服务器把IP地址和主机名保存在一个叫zone的文件当中,系统启动的时候驱动脚本/etc/rc2.d/S72inetsvc来运行DNS进程.NIS信息保存在称为NIS maps的文件当中
使用命令ypwhich -m可以查看所有maps的配置情况
所有服务器通过运行ypserv程序来运行NIS,所有NIS客户端和主机通过运行ypbind程序来交换NIS信息
DNS,NIS+,LDAP都是层次结构
状态信息代码:SUCCESS,UNAVAIL,NOTFOUND,TRYAGAIN
status code actions:return,continue
nscd:name service cache daemon.它提供了一些cashing包括passwd,group,hosts,ipnodes,exec_attr,prof_attr,user_attr数据库
关闭nscd程序:# /etc/init.d/nscd stop
开启nscd程序:# /etc/init.d/nscd start
可以通过命令ypcat(查看NIS信息),nslookup(查看DNS信息),niscat,ldaplist命令来查看域名服务信息
getent命令的语法格式是:
getent database [key]...
database可以是passwd,group,hosts,ipnodes,services,protocols,ethers,networks,netmasks.
key可以是主机名或者IP地址
********************************************************************************
第十五章
configuring name service
clients
the client resolver code is controlled by the following files:
/etc/resolv.conf,/etc/nsswitch.conf
/etc/resolv.conf文件里面包括:nameserver(一般是IP地址),domain,search
# cat /etc/nsswitch.conf
...
hosts: files dns
...
如果想增加DNS name
resolution,不能单纯的把nsswitch模板里面的内容拷贝到nsswitch.conf文件里面,必须编辑/etc/nsswitch.conf文件将内容添加上去,例如:
# cat /etc/nsswitch.conf
...
hosts: nis
files dns
...
一个LDAP客户端必须跟LDAP服务器建立一个会话,这个授权的进程叫做binding.
# ldapclient init -a proxypassword=proxy -a
proxyDN=cn=proxyagent,ou=suned,dc=sun,dc=com -a domainname=suned.sun.com 192.168.0.100
# ldapclient init
# ldapclient uninit
********************************************************************************
第十六章
configuring the network information
service(NIS)
NIS maps存在于/var/yp/domainname目录,这个目录下每个map都包含两个文件(.pag,.dir)
NIS maps的语法格式是:map.key.pag和map.key.dir
map是map的名称,例如hosts,passwd等等.key是搜索的关键字,例如byname,byaddr等等.pag是map的数据
# ypcat hosts
# ypmatch sys44 hosts
# ypmatch usera passwd
五个重要的程序:ypserv,ypbind,rpc.yppasswdd,ypxfrd,rpc.ypupdated
有两种方法阻止NIS中的安全漏洞,一个是使用securenets文件来限制对单个主机或者子网的访问;一个是使用passwd.adjunct文件来限制对网络中密码的访问,比如:
# ypmatch -k usera passwd
usera: usera:LoJYTdiQev5i2:3001:10::/export/home/usera:/bin/ksh
在passwd.adjunct下:
# ypmatch -k usera passwd
usera: usera:##usera:3001:10::/export/home/usera:/bin/ksh
如果对/var/yp/securenets文件做了任何更改,必须杀死ypserv和ypxfrd程序再重启:
# /usr/lib/netsvc/yp/ypstop
# /usr/lib/netsvc/yp/ypstart
更改源文件所处的位置,更改/var/yp/makefile文件里面的两个参数DIR,PWDIR,将默认到/etc目录的路径更改为任意的路径
配置NIS主服务器的时候:
# /usr/sbin/ypinit -m
配置NIS客户端的时候:
# ypinit -c
配置NIS从服务器的时候:
# ypinit -c
# ps -ef | grep ypserv
# ypinit -s master
用make命令更新NIS map:
1,更新源目录(/etc)中的文本文件
2,进入到/var/yp目录
3,执行make命令:# /usr/ccs/bin/make
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u1/33807/showart_386136.html |
|
免费注册
发表于 2007-09-20 14:27