系統(tǒng)管理員應該定期完成的九件事

申請免費試用、咨詢電話：400-8352-114

今天，Linux的發(fā)行版非常地容易安裝也非常容易入門。就算是一個缺乏經(jīng)驗的系統(tǒng)管理員，建立必須的服務并完成可運行的程序通常也可以在幾小時內(nèi)完成。

很不幸，容易入門反而掩蓋了需要做的維護工作，這些工作是保持系統(tǒng)穩(wěn)定和使系統(tǒng)長期處于一個良好的工作次序中所必需的。一個單一的服務器通?？梢栽跊]有人工干預的情況下運行很長時間。但是前提是所有其他的位和塊必需被提前配置。

關于這個列表，最糟糕的事情是你可能已經(jīng)幾個月或幾年沒有做這些事情了。你忽略這些事情中的任何一件，它們都會在最糟糕的時候回來作祟：比如流量高峰期，硬盤驅(qū)動器崩潰，或黑客攻擊的時候。Linux系統(tǒng)管理員每天都應該做一些什么工作？我們這就為您來總結(jié)一下。

系統(tǒng)管理員應該定期完成的九件事——配置管理

我用配置管理來開始，是因為它和這個列表中的其余項有很大的不同。這一項對單一的服務器并不重要，但是如果你有許多系統(tǒng)，這一項就至關重要了。Puppet或Chef這樣的配置管理工具允許你編寫‘recipes’來定義服務器應該如何的被放置在一起。那些‘recipes’可以在每個服務器上運行產(chǎn)生一個一致的、容易復制的安裝程序。這可以讓你立即啟動一個系統(tǒng)的新拷貝，可以給你的安裝提供極大的自由度。

配置管理是做了，但是，卻給服務器安裝程序添加了一定的初始化復雜性，所以如果你膽子小，不用也罷。不過，即使只有兩個或三個服務器，好處也是相當巨大的。

系統(tǒng)管理員應該定期完成的九件事——備份

這一項是顯而易見的，大多數(shù)的系統(tǒng)管理員都會在這方面做點工作的。如果你沒有一個可靠的備份策略，你現(xiàn)在需要馬上調(diào)整它。哪怕只等一天，后果很可能就是是災難性的。同時請確保你正確的做了備份，因為備份很容易做錯。Mozy，Carbonite，Backblaze等工具的At-home備份已經(jīng)取得了很大的進展，但是類似的Linux解決方案還遠沒有成熟。Rsync ，tar，和類似的腳本工具一直很受歡迎，并且也是可行的替代方案，但是必須要小心，以適應像MySQL數(shù)據(jù)庫那樣的特殊情況。每個人的備份需求是不同的，所以無論你選擇什么解決方案也要仔細研究它潛在的不足。你選擇的解決方案應該：

◆定期運行

◆保持多輪的備份

◆自動的刪除舊的備份

◆在你的現(xiàn)在的操作系統(tǒng)以外存儲備份

◆保持和你的原始數(shù)據(jù)一樣的安全性

◆合并所有的關鍵數(shù)據(jù)，關鍵的配置文件（更換服務器以后啟動和運行系統(tǒng)可能會需要的任何東西），和最近的日志

系統(tǒng)管理員應該定期完成的九件事——測試你的備份

緊跟著備份計劃的是測試它。這意味著定期檢查備份是否一直在做，產(chǎn)生的文件是否是有效的并且是否沒有被損壞，以及他們是否包括你需要的所有數(shù)據(jù)。一個好的經(jīng)驗法則是如果你的備份每30天一輪換，那么你應該經(jīng)常的重新檢查他們。這里自動化工具可以幫一些忙（自動地檢查備份文件是否是最新的，是否是合理的大小并且是否有效）。盡管如此，沒有任何東西可以替代人的眼睛……否則，當你發(fā)現(xiàn)你并沒有備份那些你認為你已經(jīng)備份的數(shù)據(jù)時，就只有哭的份了。

系統(tǒng)管理員應該定期完成的九件事——日志輪換

在最近幾年，Ubuntu，RedHat和其他主要的發(fā)行版針對他們提供的軟件包的logrotate的運行和配置有了很大的改善。所以你的apache和mysql日志也可以被合適的輪換（默認設置是相當合理的，雖然可能并不是你希望的方式）。但是你添加的“額外”的東西，例如Rails應用程序，需要建立它自己的logrotate條目。缺少這個步驟會在最不合適的時刻引發(fā)無數(shù)的“硬盤驅(qū)動器已滿”的服務器錯誤。當然，通常你甚至不知道你的日志引發(fā)了這個問題。針對這種情況，資源監(jiān)視才是關鍵。

系統(tǒng)管理員應該定期完成的九件事——資源監(jiān)視

跟蹤CPU，內(nèi)存的使用情況，硬盤空間，帶寬，等可以讓你更好的洞察你的系統(tǒng)狀態(tài)。當流量增加的時候，你可以比較你的增加的內(nèi)存或IO使用情況，來提前規(guī)劃你的“scaling”。RRDTool/Munin，ServerDensity和Cloudkick是觀察這些隨著時間的推移而變化的數(shù)據(jù)的很好的選擇。如果你選擇的工具包括對意外的變化（失控的進程，驅(qū)動器已滿等）的警報功能，你將會領先任何潛在的問題一步。

系統(tǒng)管理員應該定期完成的九件事——進程監(jiān)視

對你的網(wǎng)站來說，讓你的Apache，MySQL和類似的進程一直處于運行狀態(tài)至關重要。有幾個很好的工具，例如Monit和God，可以幫助你確保你的進程一直處于運行狀態(tài)。通過檢查進程的響應性，打開的端口，或進程id那些工具可以重新啟動一個已死的服務或在一個失控的進程使你的整個系統(tǒng)崩潰前終止它。配置這件事的規(guī)則是個老大難問題，但是當一切都做好的時候，可以節(jié)省大量的凌晨3點鐘的宕機時間。

系統(tǒng)管理員應該定期完成的九件事——安全加固（Hardening）

Hardening包含了許多不同的操作，這些操作可以使你的stock系統(tǒng)更安全。許多簡單的操作經(jīng)常會被遺漏。你真的知道那些正在運行的進程中的每一個都做了什么嗎？在你的系統(tǒng)上，哪些額外的端口和服務被打開了？有合適的PAM模塊載入來進行安全認證嗎？又一次，RedHat和Ubuntu走在了時代的前列，他們提供了安全stock系統(tǒng)，并確保最常見的軟件包遵守正確的安全協(xié)議。但是，這并不意味著你可以跳過這個步驟。

系統(tǒng)管理員應該定期完成的九件事——安全更新

在一個基于apt或RPM的系統(tǒng)上，安全更新是很容易執(zhí)行的。這個過程的陷阱是很難知道升級包是否會在你的棧里引發(fā)某些類型的錯誤。為了確切知道升級包將對你的系統(tǒng)產(chǎn)生怎樣的影響，擁有一臺同樣配置的模擬服務器是唯一的好辦法。幸運的是，由安全更新引發(fā)的麻煩是十分罕見的。修復一個更新的兼容性問題，需要花費一些停機時間，這個風險要比你的系統(tǒng)上的一個已知安全漏洞被利用的風險小很多。所以，不要讓“not knowing”阻止你進行正確的升級。最后，不是每一個安全漏洞都能馬上獲得一個安裝補丁。查看CVE字典上的可用警報，可以讓你在補丁可用前，在保持你的系統(tǒng)安全性方面爭取主動。為了確保一切都平滑的運行并保持最新，在這方面真的沒有什么可以代替人的肉眼。

系統(tǒng)管理員應該定期完成的九件事——日志監(jiān)視/安全掃描/入侵檢測

這個列表中的所有項都是最低限度需要完成的。它們很容易被忘記，直到你的系統(tǒng)已經(jīng)被入侵為止，你可能都不會想起它們。對異常活動，黑客攻擊和其他惡意行為的持續(xù)掃描，對于幫助阻止或減輕攻擊來說，是十分重要的。

總結(jié)

這當然不是一個完整的列表，但是它也是十分廣泛的，許多開發(fā)者和系統(tǒng)管理員只是沒有時間、興趣或知識來處理它們。更糟糕的是，許多開發(fā)項目被移交給了客戶，而一旦技術(shù)團隊遷移到另一個項目上，這些客戶就沒有能處理這些事情的職員了。

【推薦閱讀】

◆設備管理系統(tǒng)運維管理專區(qū)

◆系統(tǒng)管理員如何面對角色裂變？

◆企業(yè)級設備管理系統(tǒng)者的七大職責

◆強迫癥會害死系統(tǒng)管理員

◆設備管理軟件軟件專區(qū)