1、网络管理员的必备技能 计算机网络正日益延伸到世界的每一个角落,也许就在明天,新的 网络建成,而匮乏的人 力使得你可能就成为系统管理员。面对多样而又庞杂的设备,用户的诸多要求又纷至沓来, 是否使你眼花缭乱之外又一脑浆糊,多么渴望快速地熟悉整个系统,使尴尬成为过去。 本文并不能提供一劳永逸的窍门,只不过是面对新手,就个人经验,讲述一些系统管 理必备的知识,以提供一快速入门的办法。 一般说来,网络系统划为五个部分,即:主机系统、交换设备、路由设备、布线系统 以及其它辅助系统,如 UPS、稳压电源之类。幸运的是,一般系统集成商在完成系统集成 后,诸如布线系统、辅助系统都已一次性调试成功。交换设备和路由
2、设备也已大体就绪, 至多需要你做一些小小改动。作为系统管理员的你,只需了解这些设备的状态灯的含义, 判断是否发生硬件故障,一般小的故障,关掉设备重启后,大多会自动排除。真正的问题, 大都需要厂商协助解决,也就是说,快速入门的关键只需要掌握占整体五分之一的主机系 统,即可从容应对。当然,交换与路由设备上也许你会做一些设置改变,但那是你成为高 级管理员之后的事了,这里就暂且不提,以下就是快速入门的重点。 用户管理 无论是 UNIX 还是 NT,对于用户的管理都是居于第一位的,作为一个新手,首先必须 立刻掌握对用户的增加和删除以及限制等操作。这包括两个方面: 一个是学会使用友好的图形界面的管理工具集
3、,在 SUN Solaris 系统中是 Openwin 环 境下的/usr/bin/admintools 工具集;在 SCO UNIX 中使用 Sysadmsh 管理 Shell 来管理用 户;在 Novell 系统中,则只需使用 Syscon 菜单即可完成用户及用户组的添加、删除以及 限制设置等等,多用户的同批管理,则使用 makeusr 和 userdef 实用程序来做;在 NT 中, 则使用程序组中管理工具(公用)组下的域用户管理工具或用户管理工具。使用这些工具, 就可以十分简单明了地进行用户的创建、删除以及锁定和权限限制等操作。在 NT 下用户组 的管理和控制面板中的系统属性程序管理用
4、户环境设置简要文件,使用 System Policy Editor 配置一个域范围的基于计算机或用户的配置以及编写登录脚本。 二是学会字符命令行下的用户管理,主要在 UNIX 或 Linux 环境下,包括用编辑工具 Vi、emacs 等对/etc/passwd 进行操作或直接使用 addusr、deleusr 等用户管理命令以及使 用 pwconv 命令使/etc/passwd 与 shadow 文件保持一致,使用 SCO 的/etc/rmuser 命令删除 用户,用 newgrp 命令将用户添加到新组,另外包括用户目录的建立命令 mkdir,赋于用户 属性和组属性命令 chown 和 chg
5、rp,以及用户区域限制命令 quota 限制用户区域大小,用来 避免用户区域占用硬盘空间过大,而使系统崩溃。其中,特别提醒一点,如果想对用户权 限进行严格限制时,用户的注册 shell 可使用/usr/lib/rsh。用户的.profile 和.login 文 件可使用系统标准的配置文件,或者也可在.profile 中进行相应设置,用 SU 命令或 SU Username 进入用户环境以进行具体检测。另外,对用户的消息发布系统,在 NT 中是使用 Alert 功能发出,对远程主机则使用 Server Manager 中的 computer|send message 功能。 在 Novell 中
6、采用 send 命令。在 UNIX 中是使用 wall 或 write 指令,也可使用每日消息文 件/etc/motd 或 news 命令发出/usr/new 文件内容。 安全及日志管理 作为一个系统管理员,必须要能对系统事故找到故障原因,这就涉及到必须对系统的 各项日志进行察看分析。在 NT 中是使用 Administrative Tools 菜单中 Event Viewer 查看 系统的 SYSTEM、SECURITY、APPLICATION 日志文件。对 Netware 而言,错误日志是 SYSLOG.ERR 文件,通过 syscon 菜单中 supervisor options 下 v
7、iew file server errorlog 观察记录,另外文卷错误日志文件是各文卷中的 VOLLOG.LOG 以及事务跟踪处 理系统错误日志文件 SYS:文卷中的 TTSLOG.ERR 文件;UNIX 中各项日志包括/usr/adm 目 录下的系统错误登记文件 message、使用 su 命令的记录文件 sulog、每个用户记录上次注 册时间的登记文件 lastlog、系统中注册用户的有关信息文件 wtmp、每个用户所执行命令 的内容项文件 acct 以及/etc 目录下当前注册用户的有关信息文件 utmp 和其他应用程序产 生的日志文件。对于其中的一些日志文件,可以采用 who 或 w
8、 命令查看当前系统的登录使 用者(XENIX 系统中还可以用 whodo 命令确定当前用户的行为) ;last 命令查看以前的登录 情况,这些命令都可以合并使用 grep 进行条件控制选择过滤;用 find 查看文件及其属主, 特别监控具有根访问权的进程及文件以及检查开机文件 /etc/inetd.conf、/etc/rc.local、/etc/passwd 和 corn 或 at 运行的文件,并用 corntab l 与 corntab r 命令对用户的 corntab 文件进行列出与删除管理;使用 ls lR 生成 主检查表,并定期生成新表,使用 diff 命令进行比较,并使检查通过的新表
9、成为新的主检 查表,直到下一次检查为止。个人强烈建议在 inetd.conf 中注释掉所有的 r 打头的命令文 件,以及去掉/etc/hosts.equiv 中的所有项并不允许用户设立个人的.rhosts 文件,使可 信主机不予设立或为空以加强系统的安全。 系统进程管理 在 UNIX 中,系统报告命令包括 df 用来报告自由磁盘块数;du 用来总结磁盘使用状况; nice 用来改变某个命令所设优先权;Pstat 用来报告系统信息,如节点表或进程表;sar 用来报告系统的活动状态如 CPU 的使用和缓冲区的活动状况;time 用来打印过去的时间、 系统时间以及命令的执行时间;uptime 用来报
10、告系统的活动状况,如系统启动时间及已运 行时间;vmsfat 用来报告页数及系统统计数字,如分支点的情况。BSD UNIX 中的 ps aux 或 system V 中的 ps ef 以及 LINUX 中的 ps aux 用来查看进程状态及其宿主,并 使用 kill 命令及时停止不正常的进程。在 NT 中则使用 Task Manager 查看 cpu 和内存的使 用情况,进行进程管理,另外也使用 performance monitor 进行状态监控,以及时做出调 节。值得注意的是,随着网络应用的扩大,病毒成为对网络安全的一大威协。为此,在网 络上安装病毒检测和清除工具已经成为网络管理必须要做的
11、。 备份管理 作为一个较重要的系统,及时备份是必需的,那么在一开始就必须养成及时定时备份 的习惯。掌握备份的基本方法和步骤,以及使用基本的备份还原命令,如:NT 中使用管理 工具集中的 NTBackup 程序。因在 Backup 中不存在调度能力,备份必须手工完成或用 AT 命 令行实现调度;以及采用第三方的备份解决方案。UNIX 中系统 V 使用 tar、cpio 以及 backup、restor、rolcopy,BSD 中则使用 tar、dump、restor 等等,SCO 中使用 sysadmin 进行文件系统后备和恢复文件。备份还必须制定计划,指定何时进行何种备份,包括全集 备份和递增
12、备份,如可以每周做一次全集备份,每天进行一次递增备份,或者如系统不经 常变化,则可每月一次全集备份,每周一次递增备份。 恢复与容错管理 当系统出现故障 时,作为系统管理员必须能定位并解决问题,这依赖于对控制台出错信息以及日志文件的 分析,更重要的是平日的备份以及应急系统盘的制备。对于 NT 而言,是建立系统引导盘、 紧急修复盘等,并使用 Disk Adminstrator 建立镜像等 RAID 操作。对于 UNIX 而言,也依 赖于系统安装盘与紧急修复盘的建立。特别地,系统做任何改动后,都要重新生成新的系 统恢复盘,并进行同步备份和使用单用户模式来排除系统的绝大部分问题,即启动时使用 boot
13、 single 命令,这是一个关键。当然,管理员的口令是绝对不能忘记的,否则,那 会造成很大麻烦,但对于管理人员而言,自己以及其它用户都加上口令的使用限制,如口 令字长度和日期限制以及其它限制,是非常必要的。太过简单的口令往往会造成不安全的 隐患。在容错上则还包括经常地运行各类维护系统命令,如超级块维护命令 SYNC,文件系 统检查命令 fsck。 文件系统与开关机管理 在所有的多用户系统中,由于广泛采用文件缓冲,使对文件的修改在内存进行之后再 写入磁盘,内核程序定时刷新这些缓冲区,以保持文件与缓冲区间同步。因而,不终止系 统就关机,往往会造成同步的破坏,而出现文件系统的错误。在 NT 中,使
14、用启动菜单中的 关闭系统选项来关闭系统;UNIX 则采用 shutdown、halt(haltsys)、reboot 等命令。一般 推荐使用 shutdown 加参数来关机或进入单用户备份状态,直到完成关机程序后,才能关闭 电源,无论如何,这是必须牢记的。 另外,在维护文件系统时,应经常运行超级块一致命令 sync,文件系统检查及错误 修改命令 fsck,新建一个文件系统时使用 mkfs 命令,系统 V 的 fsstat 将报告文件系统的 状态,以及设备管理命令 mount、umount。 NOVELL 中采用 FILER 菜单管理文件服务器的文 件系统。 网络管理 网络管理,包括对 E-ma
15、il、DNS 以及 WWW 的调试。对于 E-mail 而言,是使用 sendmail bt C filename 进行,或先 mail user,再 telnet host 110,通过 user username;pass passwd;list;retr ;quit 等 pop3 命令进行调试。对于 DNS,则使用 nslookup 命令进行域名解析,看能否正确解析出 IP 地址。对于 WWW,则是通过浏览器进行 检查。另外是察看/httpd/下的浏览日志,对于 NT 而言,则通过管理工具下的 server manager 察看各服务程序是否正常运行,其余检测步骤则与 UNIX 系统相同
16、,只是不使用 sendmail 命令,而采用 telnet host 25,用 helo host,send from:,rcpt to:,data,messagebody, “.”, exit 等 smtp 命令进行检测,POP3 命令都相同。WWW 的管理则直接通过 http 形式的在线管 理方式进行,操作简易明了,应该不会有什么问题。 另外,在网络日常管理中,则包括使 用 ping 察看网络连接状态,netstat 察看协议统计数据和当前网络的连接状态,ifconfig 进行网络接口设置,tracert 进行路由状态监察。对 NT 系统而言,除以上命令外,还包括 使用/winnt/sys
17、tem32/Regedit32 来控制注册表,以及 IPconfig 察看 IP 设置,以及用与 NT server 配套的 Network monitor 进行网络负载和性能统计。Novell 系统中则使用 NETADMIN 实用程序或图形界面的管理工具 Netware Adminstrator 来管理和规划网络,以 及用 monitor 菜单监控本地服务器的各项状态。相对于 UNIX 的第三方工具集,能够作为管 理者运行的网络管理软件主要有 HP 的 OpenView、BAY 的 optivity、IBM 的 Netview 和 SUN 的 SunNetManager。 小结 总之,作为一个系统管理人员,掌握以上的操作是起码而且必须的,另外就是及时进 行系统升级,使得系统的已知漏洞均被修复,以防黑客入侵。但有一点必须指出,作为一 个新手,无论如何,不犯一些操作错误几乎是不可能的,唯一的办法就是在做任何改动操 作之前,首先应做好要改动部分的备份,并详细地记录下自己的操作,做一步记一步,细 致、小心、认真,这样才能尽量使系统的正常运行得到一个相对可靠的保证。另外作为一 个特别的提醒,当你外出时,不要忘记使用锁屏程序使屏幕锁定,以免外人乘机入侵系统。