Linux系统管理经验总结分享

Akira 2013-08-10

版本

什么样的Linux版本才适合企业和个人使用? 我想每个人接触的时候都会有这个问题,包括我也是,因为开源以及可定制性方面,导致Linux世界里百花齐放, 各种版本进入我们的视线,所以我们选择自己满意适合的版本的时候很是纠结,这也导致了在学校的时候,我差不多“玩过”差不多不下十种Linux版本。当然也并不是说玩了那么多版本就什么什么的,至少后来自己觉得浪费了很多宝贵的时间去探索更深层次的东西。

先说个人使用的版本吧,如果你喜欢玩儿什么网游,不喜欢自己动手,去探究,自己谷歌的话还是绕过吧,至少目前的Linux世界不适合你。我想大部分人接触Linux的时候都是Ubuntu吧,都被Ubuntu那些特效吸引,装完系统后总是首先找各种美化的方法,把自己的系统界面展现给别人看,别说你没做过,因为爱美好的事物是人的天性,谁也不喜欢天天对着一堆字符界面敲来敲去,耍帅对吧,估计会有人喷,只能送你两字儿:SB。呵呵。当你看见网上别人的桌面是如何如何漂亮的时候,自己也会暗地下决心,也要整出来,于是乎自己在网上找各种方法,不会的一些命令啥的也都看多了差不多记住了。过段时间,或许是Ubuntu把桌面改的别扭后,你想换个版本玩玩,于是乎OpenSUSE,Debian,LinuxMint,ArchLinux,CentOS等等成了你的预选者。

我个人使用的最久的也就是Debian。其实完全没必要用那么多版本。我总结的就是,你可以对着Linux系统族谱,仔细看看分支来源,学习下不同分支源的包管理机制,以及包管理工具,其实其他的部分都是差不多的,没必要在那个上面耗时间,个人还是推荐使用debian和LinuxMint作为DEB包系列的入门系统,不仅界面不用过多折腾就已经很赖看了,也能学习,何乐而不为?要是学习RPM包管理系列的话首选CentOS了,另外就是OpenSUSE虽说也是用rpm作为默认的软件包,界面也很华丽,包管理工具不错,也可以学习下,虽说国内用SUSE系列的不多,纯属个人感觉。

在这个“入门”的阶段,有的人因为嫌麻烦放弃了,投奔win了,有的还是坚持下来了,并把Linux系统管理作为今后的职业时候,那就来说说企业版本的选择吧,国内的话,还是个人感觉吧,CentOS应该比较多,所以选择好版本了,就要开始折腾了,技术从折腾开始。学习的时候也并不是非得把自己机器装一个CentOS来做,而且一招不慎导致系统垮掉或者格式化了那就后悔了,我因为手贱全格不下四次。。。可以借助虚拟化软件比如VB,VM之类的,在虚拟机里面装。下载一个mini版本的,装的东西越少越好,以后按需求来进行安装,不仅降低安全上的风险,也可以减少以后莫名其妙的麻烦。不要盲目追求新的东西,毕竟稳定才是重中之重。什么样的阶段什么样的需求,用什么样的技术,什么样的架构。

通过远程工具连进去,进入无图界面,当然你得先熟悉最基础的命令。开始折腾用源码自己编译定制些东西吧,LAMP环境肯定是先得跑上一遍,不然你都不好意思说你是做系统管理员的了。然后就是各种企业环境的各种网络服务的搭建,比如DNS,Nginx,LVM等等等等。这个过程需要一定时间,期间就是遇见各种错误复制错误信息谷歌去,进入循环状态,当然不要进入死循环了。当实在是各种方法都用尽的时候,去相应的社区去提问吧,那里的高手都会很乐意回答,前提是你自己做过最大的努力,并且要学会提问的技巧,可以在网上搜一篇文章叫提问的艺术,仔细看看。别一看标题就是跪求高手,坐等之类的,谁也不欠谁的,看了这样的问题,大部分人也就是看看而已,都不会怎么鸟你。其实Linux下面出错了大部分都有回显提示以及日志可以看,早有人碰到过并分享出来了,所以你得学习下搜索引擎的技巧,不然搜出来的也不一定能解决你遇见的问题。

最后就是解决之后要善于总结,并分享出来,帮助别人的时候其实也在帮助自己。接下来就是深入的了解一些常用命令以及编译安装上的参数,安全配置以及优化方面的了,善用命令能得到事半功倍的效果。学习下shell脚本,多实际的操作,这时候也差不多算是入门了吧。。。还是个人感觉。当真正从事linux系统管理方面的工作的时候,要学的东西突然变得多了起来,还是那句话,多动手,动脑,善于总结。

安全

安全是个永恒的话题,也是重中之重,这时候你就得学习下黑客安全攻防方面的原理,想深入的那就是后话了。最初整体架构搭建的时候,先用测试环境测试好,记录相关问题,因为谁也不能保证上线提供服务的时候完全无误,不要暴露错误信息给客户。上线之前做整体的程序上的安全测试,比如常见的SQL注入,跨站等等,如果倒在这些地方,那就不划算了,现在的很多“黑客”随便拿个工具就可以扫到,如果不是你写的程序你不能控制,至少你得记录后反馈给开发人员,不测试好就尽量不要弄上去,除非逼不得已,至少我被逼过。。。

ssh的话做ip限制登录,安装fail2ban或者denyhost防护软件,定期检查日志,屏蔽异常ip。root账户不能直接登录到系统,建立个最低权限的用户作为入口,使用完之后保存历史命令记录后并清除,将备份文件下载下来按日期保存或者放到服务器的隐藏目录里面,这样即使被入侵了,别人也不能很快获取相关的信息,而且自己命令操作失误之后也能还原出错场景。 应用日志独立存放,并设置权限,程序文件按最小化权限分配,能跑起来不影响业务即可,特别是上传目录,有条件的话上传单独拿台服务器,做上传权限控制。定期压缩备份网站访问,对程序日志文件进行分析,找出异常。

减少前端入口,其他机器能不开外网的话,全部去掉,不要遗留在上面,如果使用了Nginx等代理软件的话,只留一个入口机器,并什么服务都不放,定期修改密码,还要做ip用户的访问策略。一般入口机器使用windows稍微方便些,个人习惯而定,有条件的也可以买那种kvm远程控制终端,插到入口机器上,然后禁用掉所有的远程连接,虽说这样显得特别麻烦,但能省不少事儿,放公网上谁也不能保证不中招。

上传程序的话,先删除里面的一些无用以及敏感信息,比如删除项目里面的SVN文件,可以使用以下脚本。[点击之][1].其他的话,自己找去吧。等其他都测试完成之后,慢慢来缩小权限,开启防火墙,这期间会遇见各种因为权限以及防火墙导致稀奇古怪的问题,逐个去解决。特别要注意ftp文件以及相应目录的权限访问控制,程序你改不了的话,你得做相关的安全测试以及记录,以防不测,fail2ban可以防ftp暴力破解。

总结:权限最小化,按需求安装相应的软件,定期更改密码,分析日志,进行总结,做程序文件和系统关键文件的快照,这个可以百度或者谷歌。

备份

这个也是除了安全外,最重要的了,特别注意一些“高危漏洞"的命令,如 rm -rf (我是吃过大亏的),cp -R, sed ,\cp -R 等,操作文件目录的时候,必须先备份,不然错了你连后悔的机会都没有,不要图一时快捷。更改文件的时候先备份两份,操作其中的一份备份文件,确认无误之后再进行相应的操作。

怎样合理进行备份?最好是每天或者每两三天做全备份,周期性不要太长。备份文件的命令,以及目录的说明信息也很有”讲究“,备份单文件的话,我一般按照这样的格式: **原始文件名-当前时间-叠加说明或则次数.ext** 这个可以按照自己的需要,目录的话,里面最好是放一个说明文件(readme.txt),就算英文不行,不能输入中文,你用拼音可以吧,免得以后自己都不知道了,压缩后文件名和单文件备份命名规则一样。多文件的话,按照上级目录层次来,命名同上。最后就是放到公共目录以外,或者上传到专用的备份服务器,也可以下载到本地。

深入

当你实际工作了有段时间了,就要深入了解了,至少到现在所了解的真的还只是个皮毛,系统架构,安全测试,优化,都是要工作之外要学习并实践的。多学习下python,shell,perl中的一门或者多门语言,进行自动化方面的,自己每次都一条条命令输入也挺烦的,当然前提就是要做好足够的测试。虚拟化平台如KVM,XenServer自己最好是也接触了解下,php的话最好也还是多学点儿吧,至少为以后的谋生多了条路子,不要总拿语言的优缺点来说事儿,什么需要用什么样的语言,做出来就是对的,瞎喷的都是别人的,学到的才是自己的。

推荐阅读:

相关推荐