系統(tǒng)管理員應(yīng)該定期完成的九件事

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

今天，Linux的發(fā)行版非常地容易安裝也非常容易入門(mén)。就算是一個(gè)缺乏經(jīng)驗(yàn)的系統(tǒng)管理員，建立必須的服務(wù)并完成可運(yùn)行的程序通常也可以在幾小時(shí)內(nèi)完成。

很不幸，容易入門(mén)反而掩蓋了需要做的維護(hù)工作，這些工作是保持系統(tǒng)穩(wěn)定和使系統(tǒng)長(zhǎng)期處于一個(gè)良好的工作次序中所必需的。一個(gè)單一的服務(wù)器通?？梢栽跊](méi)有人工干預(yù)的情況下運(yùn)行很長(zhǎng)時(shí)間。但是前提是所有其他的位和塊必需被提前配置。

關(guān)于這個(gè)列表，最糟糕的事情是你可能已經(jīng)幾個(gè)月或幾年沒(méi)有做這些事情了。你忽略這些事情中的任何一件，它們都會(huì)在最糟糕的時(shí)候回來(lái)作祟：比如流量高峰期，硬盤(pán)驅(qū)動(dòng)器崩潰，或黑客攻擊的時(shí)候。Linux系統(tǒng)管理員每天都應(yīng)該做一些什么工作？我們這就為您來(lái)總結(jié)一下。

系統(tǒng)管理員應(yīng)該定期完成的九件事——配置管理

我用配置管理來(lái)開(kāi)始，是因?yàn)樗瓦@個(gè)列表中的其余項(xiàng)有很大的不同。這一項(xiàng)對(duì)單一的服務(wù)器并不重要，但是如果你有許多系統(tǒng)，這一項(xiàng)就至關(guān)重要了。Puppet或Chef這樣的配置管理工具允許你編寫(xiě)‘recipes’來(lái)定義服務(wù)器應(yīng)該如何的被放置在一起。那些‘recipes’可以在每個(gè)服務(wù)器上運(yùn)行產(chǎn)生一個(gè)一致的、容易復(fù)制的安裝程序。這可以讓你立即啟動(dòng)一個(gè)系統(tǒng)的新拷貝，可以給你的安裝提供極大的自由度。

配置管理是做了，但是，卻給服務(wù)器安裝程序添加了一定的初始化復(fù)雜性，所以如果你膽子小，不用也罷。不過(guò)，即使只有兩個(gè)或三個(gè)服務(wù)器，好處也是相當(dāng)巨大的。

系統(tǒng)管理員應(yīng)該定期完成的九件事——備份

這一項(xiàng)是顯而易見(jiàn)的，大多數(shù)的系統(tǒng)管理員都會(huì)在這方面做點(diǎn)工作的。如果你沒(méi)有一個(gè)可靠的備份策略，你現(xiàn)在需要馬上調(diào)整它。哪怕只等一天，后果很可能就是是災(zāi)難性的。同時(shí)請(qǐng)確保你正確的做了備份，因?yàn)閭浞莺苋菀鬃鲥e(cuò)。Mozy，Carbonite，Backblaze等工具的At-home備份已經(jīng)取得了很大的進(jìn)展，但是類(lèi)似的Linux解決方案還遠(yuǎn)沒(méi)有成熟。Rsync ，tar，和類(lèi)似的腳本工具一直很受歡迎，并且也是可行的替代方案，但是必須要小心，以適應(yīng)像MySQL數(shù)據(jù)庫(kù)那樣的特殊情況。每個(gè)人的備份需求是不同的，所以無(wú)論你選擇什么解決方案也要仔細(xì)研究它潛在的不足。你選擇的解決方案應(yīng)該：

◆定期運(yùn)行

◆保持多輪的備份

◆自動(dòng)的刪除舊的備份

◆在你的現(xiàn)在的操作系統(tǒng)以外存儲(chǔ)備份

◆保持和你的原始數(shù)據(jù)一樣的安全性

◆合并所有的關(guān)鍵數(shù)據(jù)，關(guān)鍵的配置文件（更換服務(wù)器以后啟動(dòng)和運(yùn)行系統(tǒng)可能會(huì)需要的任何東西），和最近的日志

系統(tǒng)管理員應(yīng)該定期完成的九件事——測(cè)試你的備份

緊跟著備份計(jì)劃的是測(cè)試它。這意味著定期檢查備份是否一直在做，產(chǎn)生的文件是否是有效的并且是否沒(méi)有被損壞，以及他們是否包括你需要的所有數(shù)據(jù)。一個(gè)好的經(jīng)驗(yàn)法則是如果你的備份每30天一輪換，那么你應(yīng)該經(jīng)常的重新檢查他們。這里自動(dòng)化工具可以幫一些忙（自動(dòng)地檢查備份文件是否是最新的，是否是合理的大小并且是否有效）。盡管如此，沒(méi)有任何東西可以替代人的眼睛……否則，當(dāng)你發(fā)現(xiàn)你并沒(méi)有備份那些你認(rèn)為你已經(jīng)備份的數(shù)據(jù)時(shí)，就只有哭的份了。

系統(tǒng)管理員應(yīng)該定期完成的九件事——日志輪換

在最近幾年，Ubuntu，RedHat和其他主要的發(fā)行版針對(duì)他們提供的軟件包的logrotate的運(yùn)行和配置有了很大的改善。所以你的apache和mysql日志也可以被合適的輪換（默認(rèn)設(shè)置是相當(dāng)合理的，雖然可能并不是你希望的方式）。但是你添加的“額外”的東西，例如Rails應(yīng)用程序，需要建立它自己的logrotate條目。缺少這個(gè)步驟會(huì)在最不合適的時(shí)刻引發(fā)無(wú)數(shù)的“硬盤(pán)驅(qū)動(dòng)器已滿”的服務(wù)器錯(cuò)誤。當(dāng)然，通常你甚至不知道你的日志引發(fā)了這個(gè)問(wèn)題。針對(duì)這種情況，資源監(jiān)視才是關(guān)鍵。

系統(tǒng)管理員應(yīng)該定期完成的九件事——資源監(jiān)視

跟蹤C(jī)PU，內(nèi)存的使用情況，硬盤(pán)空間，帶寬，等可以讓你更好的洞察你的系統(tǒng)狀態(tài)。當(dāng)流量增加的時(shí)候，你可以比較你的增加的內(nèi)存或IO使用情況，來(lái)提前規(guī)劃你的“scaling”。RRDTool/Munin，ServerDensity和Cloudkick是觀察這些隨著時(shí)間的推移而變化的數(shù)據(jù)的很好的選擇。如果你選擇的工具包括對(duì)意外的變化（失控的進(jìn)程，驅(qū)動(dòng)器已滿等）的警報(bào)功能，你將會(huì)領(lǐng)先任何潛在的問(wèn)題一步。

系統(tǒng)管理員應(yīng)該定期完成的九件事——進(jìn)程監(jiān)視

對(duì)你的網(wǎng)站來(lái)說(shuō)，讓你的Apache，MySQL和類(lèi)似的進(jìn)程一直處于運(yùn)行狀態(tài)至關(guān)重要。有幾個(gè)很好的工具，例如Monit和God，可以幫助你確保你的進(jìn)程一直處于運(yùn)行狀態(tài)。通過(guò)檢查進(jìn)程的響應(yīng)性，打開(kāi)的端口，或進(jìn)程id那些工具可以重新啟動(dòng)一個(gè)已死的服務(wù)或在一個(gè)失控的進(jìn)程使你的整個(gè)系統(tǒng)崩潰前終止它。配置這件事的規(guī)則是個(gè)老大難問(wèn)題，但是當(dāng)一切都做好的時(shí)候，可以節(jié)省大量的凌晨3點(diǎn)鐘的宕機(jī)時(shí)間。

系統(tǒng)管理員應(yīng)該定期完成的九件事——安全加固（Hardening）

Hardening包含了許多不同的操作，這些操作可以使你的stock系統(tǒng)更安全。許多簡(jiǎn)單的操作經(jīng)常會(huì)被遺漏。你真的知道那些正在運(yùn)行的進(jìn)程中的每一個(gè)都做了什么嗎？在你的系統(tǒng)上，哪些額外的端口和服務(wù)被打開(kāi)了？有合適的PAM模塊載入來(lái)進(jìn)行安全認(rèn)證嗎？又一次，RedHat和Ubuntu走在了時(shí)代的前列，他們提供了安全stock系統(tǒng)，并確保最常見(jiàn)的軟件包遵守正確的安全協(xié)議。但是，這并不意味著你可以跳過(guò)這個(gè)步驟。

系統(tǒng)管理員應(yīng)該定期完成的九件事——安全更新

在一個(gè)基于apt或RPM的系統(tǒng)上，安全更新是很容易執(zhí)行的。這個(gè)過(guò)程的陷阱是很難知道升級(jí)包是否會(huì)在你的棧里引發(fā)某些類(lèi)型的錯(cuò)誤。為了確切知道升級(jí)包將對(duì)你的系統(tǒng)產(chǎn)生怎樣的影響，擁有一臺(tái)同樣配置的模擬服務(wù)器是唯一的好辦法。幸運(yùn)的是，由安全更新引發(fā)的麻煩是十分罕見(jiàn)的。修復(fù)一個(gè)更新的兼容性問(wèn)題，需要花費(fèi)一些停機(jī)時(shí)間，這個(gè)風(fēng)險(xiǎn)要比你的系統(tǒng)上的一個(gè)已知安全漏洞被利用的風(fēng)險(xiǎn)小很多。所以，不要讓“not knowing”阻止你進(jìn)行正確的升級(jí)。最后，不是每一個(gè)安全漏洞都能馬上獲得一個(gè)安裝補(bǔ)丁。查看CVE字典上的可用警報(bào)，可以讓你在補(bǔ)丁可用前，在保持你的系統(tǒng)安全性方面爭(zhēng)取主動(dòng)。為了確保一切都平滑的運(yùn)行并保持最新，在這方面真的沒(méi)有什么可以代替人的肉眼。

系統(tǒng)管理員應(yīng)該定期完成的九件事——日志監(jiān)視/安全掃描/入侵檢測(cè)

這個(gè)列表中的所有項(xiàng)都是最低限度需要完成的。它們很容易被忘記，直到你的系統(tǒng)已經(jīng)被入侵為止，你可能都不會(huì)想起它們。對(duì)異?；顒?dòng)，黑客攻擊和其他惡意行為的持續(xù)掃描，對(duì)于幫助阻止或減輕攻擊來(lái)說(shuō)，是十分重要的。

總結(jié)

這當(dāng)然不是一個(gè)完整的列表，但是它也是十分廣泛的，許多開(kāi)發(fā)者和系統(tǒng)管理員只是沒(méi)有時(shí)間、興趣或知識(shí)來(lái)處理它們。更糟糕的是，許多開(kāi)發(fā)項(xiàng)目被移交給了客戶，而一旦技術(shù)團(tuán)隊(duì)遷移到另一個(gè)項(xiàng)目上，這些客戶就沒(méi)有能處理這些事情的職員了。

【推薦閱讀】

◆設(shè)備管理系統(tǒng)運(yùn)維管理專區(qū)

◆系統(tǒng)管理員如何面對(duì)角色裂變？

◆企業(yè)級(jí)設(shè)備管理系統(tǒng)者的七大職責(zé)

◆強(qiáng)迫癥會(huì)害死系統(tǒng)管理員

◆設(shè)備管理軟件軟件專區(qū)