Automatizálás Linuxban: a crontól és a Bash-től az Ansible-ig és a systemd-ig

Informatec Digital » Erőforrás » Automatizálás Linuxban: a crontól és a Bash-től az Ansible-ig és a systemd-ig

Ha naponta használsz Linuxot, előbb-utóbb rájössz, hogy Ugyanazon feladatok újra és újra ismétlése monumentális időpocsékolás.Manuális biztonsági mentések, ideiglenes fájlok tisztítása, csomagok frissítése, rendszerállapot-ellenőrzések... mindezek átruházhatók a rendszerre, hogy automatikusan történjenek, miközben Ön érdekesebb dolgokkal foglalkozik (vagy békésen alszik).

A Linux ökoszisztémát évtizedek óta erre tervezték: Automatizálja a feladatokat megbízhatóan, rugalmasan és biztonságosanA klasszikus cron és at parancsoktól az anacronon át a systemd időzítőkig és az Ansible nagy ligáiig számos eszköz áll rendelkezésedre, amelyek a legegyszerűbb szkriptektől több száz szerver összehangolásáig mindent lefednek. Ebben az útmutatóban összegyűjtjük ezeket az elemeket, és részletes magyarázatokkal és világos példákkal tesszük őket praktikussá.

Mit jelent az automatizálás Linuxban, és miért érdemes foglalkozni vele?

Amikor Linux alatt automatizálásról beszélünk, akkor arra gondolunk, hogy parancsok, szkriptek vagy szolgáltatások végrehajtásának ütemezése emberi beavatkozás nélkülAkár egyszeri, akár rendszeres időközönként. Ez vonatkozik mind a személyes laptopjára, mind az éles szerverklaszterre.

Az automatizálásnak számos egyértelmű előnye van: csökkenti az emberi hibákat az ismétlődő feladatok kiküszöbölésével, időt takarít meg, és biztosítja, hogy A kritikus feladatokat mindig ugyanolyan pontossággal hajtják végre és lehetővé teszi a szabványosított rendszeradminisztrációt. A Linux különösen jó ebben, mert a nulláról úgy tervezték, hogy olyan szkriptekkel és konzoleszközökkel működjön, amelyek könnyen kombinálhatók egymással.

Igaz, hogy egyesek attól tartanak, hogy a túlzott automatizálás technológiai függőséget okoz, vagy hogy a manuális tudás elveszik, de Megfelelő használat esetén időt szabadít fel a nagyobb értékű feladatokra.: architektúratervezés, biztonsági elemzés, folyamatfejlesztés vagy közvetlen fejlesztés.

A mindennapi működés során a Linux automatizálása általában több pilléren alapul: Bash szkriptek, cron/anacron, at, systemd időzítők és konfigurációkezelő eszközök, mint például az AnsibleMindegyik más típusú igényt elégít ki, amit részletesen megvizsgálunk.

Cron: a periodikus automatizálás alapvető klasszikusa

Ha van egy eszköz, amit minden Linux rendszergazdának kívülről kell ismernie, az a cron. A Cron egy démon, amely a háttérben fut, és parancsokat vagy szkripteket indít el meghatározott időpontokban.: percenként, óránként, naponta, hetente, havonta vagy összetettebb kombinációkban.

A neve innen ered kronosz, idő görögülA Vixie Cron az 70-es évek vége óta van jelen a Unixban. A legtöbb modern disztribúció (Debian, Ubuntu, Fedora stb.) a Vixie Cron valamilyen változatát használja, amely jól tesztelt és stabil. Éles környezetben alapvető összetevő, majdnem olyan fontos, mint maga a kernel.

A cron használata lehetővé teszi olyan dolgok automatizálását, mint például éjszakai biztonsági mentések, naplórotáció, monitorozási feladatok, karbantartási szkriptek vagy jelentéskészítésA filozófia egyszerű: te határozod meg, hogy mit és mikor futtass, a cron pedig gondoskodik a többiről, grafikus ablakok vagy történetek nélkül.

Továbbá a cron gyakorlatilag bármilyen Unix-szerű rendszeren elérhető, így Amit a cronnal tanulsz, az sokféle környezetben hasznos lehet.egy olcsó VPS-től egy vállalati szerverig.

Linux cron architektúra: démon, crontabok és speciális könyvtárak

A Cron hatékony használatához hasznos megérteni a belső struktúráját. Általánosságban elmondható, hogy A rendszer a crond démon, a crontab fájlok és számos speciális könyvtár köré épül. a rendszer kezeli.

A cron démon a rendszerrel együtt indul (általában a systemd-n vagy a hozzá tartozó init-en keresztül), és Ébren marad, és percenként ellenőrzi, hogy milyen feladatokat kell végrehajtania.Amikor azt észleli, hogy egy sor egyezik az aktuális perccel, elindítja a hozzá tartozó parancsot egy új shell folyamatban.

A rendszer minden felhasználójának lehet saját ütemezési fájlja, amelyet crontabnak neveznek. A felhasználói crontabok jellemzően olyan elérési utakban tárolódnak, mint a /var/spool/cron/ vagy a /var/spool/cron/crontabs/.A disztribúciótól függően. Fontos, hogy ne manuálisan, hanem parancs segítségével szerkesszük őket. crontab, amely ellenőrzi a szintaxist, és értesíti a démont a változásokról.

A felhasználói crontabokon kívül vannak még a rendszerhez tervezett cron mechanizmusokAz /etc/crontab fájl, az /etc/cron.d/ könyvtár, valamint az időszakos könyvtárak, mint például az /etc/cron.hourly, az /etc/cron.daily, az /etc/cron.weekly és az /etc/cron.monthly. Ez utóbbi könyvtárak olyan szkripteket tartalmaznak, amelyeket a rendszer periodikusan futtat olyan eszközök segítségével, mint az anacron vagy a run-parts segédprogramok.

Az általános elképzelés az A cron démon ezeket a fájlokat és könyvtárakat használja fel.és percenként ellenőrzi, hogy kell-e valamit végrehajtani. Ez a moduláris architektúra megkönnyíti a rendszercsomagok számára a saját feladatok telepítését a globális konfiguráció befolyásolása nélkül.

crontab szintaxis: az öt mező és operátoraik

A cron használatának megkezdésekor az egyik legfontosabb dolog, amit megjegyezünk, a sorok szintaxisa. Minden felhasználói crontab bejegyzés öt időbélyeg mezőből, valamint a végrehajtandó parancsból áll.Bár nem reprodukáljuk a literáltáblázatot, a klasszikus mezők a perc, az óra, a hónap napja, a hónap és a hét napja.

Minden mező elfogad numerikus értékeket, tartományokat, vesszővel elválasztott listákat, perjellel elválasztott lépéseket, sőt a tipikus csillagot is, amely az „összes lehetséges érték” jelzésére szolgál. Ezeknek az operátoroknak köszönhetően összetett mintákat fejezhet ki anélkül, hogy húsz különböző sort kellene írnia.

Ezenkívül számos cron implementáció elfogadja a speciális billentyűparancsok, mint például a @daily, @hourly, @weekly, @monthly, @reboot és hasonlók. Ezek az álnevek leegyszerűsítik a gyakori feladatokat, így még a mezők sorrendjét sem kell megjegyezni.

Amikor az /etc/crontab vagy az /etc/cron.d/ fájllal dolgozol, Egy hatodik mező kerül hozzáadásra, amely megadja azt a felhasználót, aki alatt a feladat futni fog.Ez kulcsfontosságú azoknál a rendszerfeladatoknál, amelyeket root vagy más szolgáltatásfiókként kell futtatni.

A szintaxis memorizálása és néhány valós példával való gyakorlás teszi a különbséget a cron nehézkes használata és a sikeres használata között. Tiszta, olvasható és könnyen karbantartható automatizálás idővel.

Professzionális crontab kezelés: szerkesztés, listázás és verziókezelés

A parancs crontab Ez a hivatalos felület a felhasználók ütemezett feladatainak kezeléséhez. Ezzel létrehozhatja, szerkesztheti, listázhatja és akár törölheti is a crontab-ot, és ami a legfontosabb: Kerüli a rendszer belső fájljainak közvetlen megérintését, ami csökkenti a hibákat és az engedélyezési problémákat.

Súlyos környezetben erősen ajánlott gyakorlat a Crontab tartalmának karbantartása verziózott szövegfájlokban Git használatávalÍgy áttekintheti, hogy ki mit és mikor módosított, összehasonlíthatja a régebbi verziókat, és gyorsan visszaállíthatja a korábbi konfigurációt, ha valami elromlik egy módosítás után.

A crontab külső fájlból is telepíthető, ami nagyon jól illeszkedik a következőkhöz: automatizált telepítési eljárások vagy infrastruktúra kódkéntÍgy ahelyett, hogy manuálisan szerkesztenéd az egyes szervereken, ugyanazt a fájlt küldöd el mindenkinek, és egységesen alkalmazod a módosításokat.

A gyakorlatban a tapasztalt adminisztrátorok jellemzően minden sort egy megelőző megjegyzéssel dokumentálnak, csoportosítják a kapcsolódó feladatokat, és a szkriptek egyértelmű elnevezési és elérési útjának konvencióját kell alkalmazni amelyeket a cronban használnak. Ez a fegyelem hónapokkal később sokkal könnyebbé teszi az életet.

A cronnal végzett automatizált feladatok gyakori példái

A cronban rejlő lehetőségek megértéséhez egyszerűen tekintse át a tipikus használati eseteket. Az egyik leggyakoribb a rendszeres rendszerkarbantartás: naplók forgatása és tömörítése, ideiglenes fájlok tisztítása, keresési indexek újragenerálása vagy régi biztonsági mentések törlése.

Egy másik nagyon gyakori blokk a monitoring feladatokatViszonylag gyakoriak olyan szkriptek futtatása, amelyek ellenőrzik a lemezhasználatot, a rendszer terhelését, bizonyos szolgáltatások állapotát vagy a memória-fogyasztást, és ha veszélyes küszöbértéket észlelnek, naplót generálnak, e-mailt küldenek, vagy riasztást indítanak el egy külső rendszer felé.

A fejlesztés és az adatbázisok területén a cronnak szintén nagy lehetőségei vannak. Például az ütemezett feladatokat arra használják, hogy adatbázis-mentéseket készíthet, metrikákat generáló szkripteket futtathat, vagy jelentéseket exportálhat CSV-fájlokbavagy akár kis adatfeldolgozási folyamatok összehangolására is.

Mindezt szinte mindig Bash szkriptek vagy más nyelvek támogatják, amelyek elvégzik a tényleges munkát, míg a cron a „mikor”-ért felel. A felelősségek ilyen szétválasztása tisztán tartja a crontab-ot, és az üzleti logikát külön fájlokba ágyazva tartja.

Környezeti változók a cronban: a hibák klasszikus forrása

Az egyik leggyakoribb hiba, amikor valaki a cronnal kezd, az az, hogy feltételezi, hogy a feladatok automatikusan végrehajtódnak. ugyanolyan környezetben, mint amikor az interaktív terminálon dolgozolSemmi sem állhatna távolabb az igazságtól: a cron nagyon korlátozott kontextusban, korlátozott elérési úttal és a shell testreszabásai nélkül futtat parancsokat.

Ez azt jelenti, hogy sok olyan szkript, ami manuálisan futtatva tökéletesen működik, cron alatt hibát jelez, mert Nem találják a bináris fájlokat, nem találják a relatív elérési utakat, vagy olyan környezeti változóktól függenek, amelyek nem léteznek.A megoldás egyszerű: explicit módon definiáljuk a PATH-ot és minden más szükséges változót magában a crontab-ban vagy a szkriptben.

Az is gyakori, hogy az e-mail viselkedését a változóval szabályozzák. MAILTOígy a feladatok szabványos kimenete vagy eléri a felhasználó postaládáját, vagy elvetődik. Olyan környezetekben, ahol a levelezőrendszer nincs konfigurálva, célszerű a kimenetet a /dev/null könyvtárban található fájlokba átirányítani a csendes felhalmozódás elkerülése érdekében.

Összefoglalva, a cron feladatok tervezésekor úgy kell elképzelni őket, mint amelyek egyfajta "minimalista környezetben" futnak, és hogy Mindent, amire a szkriptednek szüksége van, explicit módon deklarálni kell.

Az /etc/crontab és /etc/cron.dy periodikus könyvtárak

Az egyes crontabok mellett a Linux egy A rendszer crontab általában az /etc/crontab fájlban találhatóEz a fájl abban különbözik a felhasználói fájloktól, hogy tartalmaz egy további mezőt, amely jelzi azt a fiókot, amellyel a parancsot elindítják, ami alapvető fontosságú a globális feladatokhoz.

Ez a fájl általában többek között a következőket határozza meg: a /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly és /etc/cron.monthly fájlokban található szkriptek végrehajtásaSok rendszerben ezeket a végrehajtásokat olyan eszközökre delegálják, mint az anacron, amelyek biztosítják, hogy a feladatok akkor is végrehajtásra kerüljenek, ha a számítógép nincs bekapcsolva a pontos időben.

Könyvtár /etc/cron.d/ További crontab fájlokat tárol, amelyeket általában rendszercsomagok vagy külső eszközök telepítenek. Minden fájl ugyanazt a formátumot követi, mint az /etc/crontab, beleértve a felhasználói mezőt is. Ez az ajánlott módszer a ... Rendszerfeladatok hozzáadása a fő crontab megérintése nélkül.Ez javítja a karbantartást és megakadályozza a konfliktusokat a frissítések során.

A tipikus munkafolyamat az, hogy a cron démon rendszeresen ellenőrzi ezeket a fájlokat, és az anacron vagy a run-parts paranccsal kombinálva, A periodikus könyvtárakban található szkripteket a megfelelő időpontban indítja el.Adminisztrátorként csak a megfelelően előkészített szkripteket kell a megfelelő helyen hagynia.

Anacron: amikor a berendezés nincs mindig bekapcsolva

A cron egy ismert korlátja, hogy ha a számítógépet kikapcsolják, amikor egy feladat futtatásának ideje van, a végrehajtás elvész. Az Anacront pontosan azért hozták létre, hogy betöltse ezt a hiányt.különösen olyan gépeken, amelyek nincsenek folyamatosan bekapcsolva, például laptopokon vagy irodai asztali számítógépeken.

Az Anacront nem annyira a pontos dátum és idő vezérli, hanem az, hogy hány nap telt el egy feladat utolsó végrehajtása óta. Amikor a rendszer elindul, ellenőrzi, hogy mely napi, heti vagy havi feladatokat hagyta ki. és átprogramozza őket, hogy egy kis, konfigurálható késleltetéssel fussanak.

A percekben megadott késleltetési mező azért fontos, mert Megakadályozza, hogy az összes függőben lévő feladat egyszerre induljon el indításkor.Ez túlterhelheti a rendszert. Ehelyett el vannak tolva, lehetővé téve a csapat számára, hogy fokozatosabban induljon.

Sok modern rendszerben, ha jelen van az anacron, akkor az felelős az /etc/cron.daily, /etc/cron.weekly és /etc/cron.monthly fájlokban található szkriptekért, míg a cron a finomabb, gyakoribb feladatokat kezeli. Ez a kombináció lehetővé teszi, hogy Az automatizálási rendszereknek robusztusnak kell lenniük még a gyakran leállított gépeken is..

Az at parancs: egyszeri végrehajtás a jövőben

Míg a cron és az anacron az ismétlődő feladatokra összpontosít, a parancs egy nagyon egyszerű és hasznos esetet fed le: egy parancs ütemezése csak egyszeri futtatásra egy adott jövőbeli időpontban. Olyan, mintha egy üzenetet hagynál a rendszeren, hogy csináljon valamit "holnap 9:30-kor" vagy "2 óra múlva".

Az `at` szintaxisa meglehetősen felhasználóbarát, és lehetővé teszi a természetes időkifejezéseket. Miután definiálta a feladatot, A rendszer egy várakozási sorban tárolja, és a megadott időben végrehajtja.Ezután a feladat eltűnik, ellentétben a cronnal, amely a feladatot mindaddig megtartja, amíg módosítod vagy törlöd.

Ez az eszköz különösen kényelmes a olyan konkrét feladatok, amelyeket nem akarsz elfelejteni, de amelyeknek nincs értelme ismétlődő feladatokként: ütemezett újraindítások, egy munkaablak utáni karbantartási futtatások, vagy olyan tesztek, amelyeket egy adott időpontban kell elindítani.

Jó szkriptekkel kombinálva az `at` egy elegáns helyettesítő karakterré válik, amelynek létezéséről sok felhasználó elfelejtkezik, de mégis Nagyban leegyszerűsítheti a mindennapi életet, amikor egy új cron bejegyzés létrehozása nem éri meg..

systemd időzítők: a cron modern alternatívája

A systemd-t használó modern disztribúciókban (Ubuntu, Debian, Fedora, CentOS és sok más) van egy másik módja a feladatok ütemezésének: a rendszerezett időzítőkA crontabok helyett itt szolgáltatásegységeket (.service) és időzítőegységeket (.timer) definiálhatsz, amelyeket a systemd a többi szolgáltatáshoz hasonlóan kezel.

A Systemd időzítők azért tűnnek ki, mert Tökéletesen integrálódnak a systemd ökoszisztéma többi részébeAz állapotot, a naplókat és a függőségeket ugyanazokkal a megszokott eszközökkel (journalctl, systemctl stb.) tekintheti meg. Ez ideális összetett feladatokhoz, amelyeknek más szolgáltatások után kell elindulniuk, újraindítási szabályzatokat kell érvényesíteniük, vagy részletes naplókat kell fenntartaniuk.

Egy tipikus időzítő egy szolgáltatásfájlból áll, amely meghatározza, hogy mi kerüljön végrehajtásra (egy szkript, egy bináris fájl, egy adott művelet), és egy időzítőfájlból, amely meghatározza, hogy mikor és milyen gyakran induljon el. A Systemd rugalmas naptárkifejezéseket és olyan opciókat kínál, mint a perzisztencia.amelyek biztosítják, hogy a munka egy leállás után is folytatódjon, ha azt „kihagyták”.

A cron és a systemd időzítők közötti választás során jó ökölszabály, hogy kérdezd meg magadtól, hogy szükséged van-e rá integrált naplók, szolgáltatásfüggőségek vagy fejlett adatmegőrzésHa a válasz igen, akkor az időzítő általában jobb. Egyszerű, univerzális feladatokhoz a cron továbbra is egy veterán és tökéletesen érvényes lehetőség.

Végső soron nincs konfliktus a két megközelítés között: A cront egyszerű feladatokhoz, az időzítőket pedig bonyolultabbakhoz használhatod., problémamentesen létezhetnek ugyanabban a rendszerben.

Biztonság és hozzáférés-vezérlés a cronban

Mivel a cron gyakorlatilag bármilyen parancsot végrehajthat a megfelelő felhasználói jogosultságokkal, a biztonság kulcsfontosságú kérdés. A Linux magában foglalja az /etc/cron.allow és /etc/cron.deny fájlokon alapuló vezérlőmechanizmusokamelyek meghatározzák, hogy mely felhasználók használhatják a cront.

A konfigurációtól függően a rendszer csak a fehérlistán szereplők számára engedélyezheti a cron parancsot, vagy kifejezetten megtagadhatja azt a feketelistán szereplőktől. Ezen fájlok megfelelő kezelése létfontosságú többfelhasználós környezetekben vagy kitett szervereken.ahol egyetlen fiók esetében sem kívánatos, hogy rosszul megtervezett feladatokkal terhelje az erőforrásokat.

Ezenkívül ajánlott korlátozni, hogy mely szkriptek futhatnak root felhasználóként, és gondosan áttekinteni minden ütemezett feladat kódját magas jogosultságokkal. Egy egyszerű figyelmetlenség egy rendszergazdai jogosultságokkal rendelkező cron szkriptben biztonsági rést okozhat. nagyon komoly.

Fejlettebb környezetekben az olyan eszközök, mint az SELinux vagy az AppArmor, további kontrollrétegeket adhatnak hozzá a cron által indított folyamatokhoz, tovább erősítve a rendszer biztonsági helyzetét.

Cron feladatok hibakeresése: módszertan és tipikus hibák

Amikor egy ütemezett feladat nem azt teszi, amit vársz, a legjobb stratégia nem az, hogy „céltalanul forgolódj”, hanem hogy folytasd. egy kis diagnosztikai módszerAz első lépés annak ellenőrzése, hogy a cron démon valóban aktív és engedélyezve van-e a disztribúció szervizeszközeinek használatával.

Utána muszáj Tekintse át a rendszernaplókat és a konkrét cron-naplókat Igen, léteznek. Gyakran találhatsz szintaktikai hibákat a crontabban, jogosultsági problémákat vagy szkriptfuttatási hibákat, amelyek nem voltak azonnal nyilvánvalóak.

A következő logikus lépés a cron által elindítani kívánt szkript vagy parancs manuális végrehajtása, de a cron környezet lehető legjobb szimulációjaugyanaz a felhasználó, ugyanazok az útvonalak, függetlenül az interaktív shell aliasaitól vagy függvényeitől.

A leggyakoribb hibák közé tartoznak: a standard és a hibakimenet átirányításának elfelejtése, olyan relatív elérési utak használata, amelyeknek nincs értelme, amikor a cron futtatja a szkriptet, annak feltételezése, hogy a PATH olyan könyvtárakat is tartalmaz, amelyek valójában nincsenek ott, vagy annak figyelmen kívül hagyása, hogy ugyanazon feladat több példánya időben átfedésben lehet.

Ezen problémák megoldása magában foglalja Mindent explicit módon definiálj, abszolút elérési utakat használj, hibakeresési naplókat adj hozzá, és védd a feladatokat az egyidejű végrehajtástól. ha fennáll ez a lehetőség.

Jó szakmai gyakorlatok a cronnal

Az évek során a rendszergazdai közösség számos ajánlást dolgozott ki, amelyek megkülönböztetik a „négy cron feladat véletlenszerű beállítása” és a „…” közötti különbséget. professzionálisan kezelje az automatizálást.

Egy aranyszabály az minden egyes feladat kimenetét mindig egy /dev/null naplófájlba irányítsa átHa ezt nem teszed meg, a cron megpróbálja elküldeni a kimenetet e-mailben a felhasználónak, ami megtöltheti a root postaládáit, vagy egyszerűen elveszhet, ha a levelezőrendszer nincs konfigurálva, ami rendkívül megnehezíti a diagnózist.

Egy másik kulcsfontosságú gyakorlat az, a logikát külön szkriptekbe csomagoljuk ahelyett, hogy kilométer hosszú parancsokat írnánk közvetlenül a crontabbaÍgy verziózhatod a szkriptet, manuálisan tesztelheted, dokumentálhatod és könnyebben újra felhasználhatod.

Az átfedő problémák elkerülése érdekében olyan eszközöket, mint például nyáj Lehetővé teszik egyszerű blokkoló mechanizmusok megvalósítását: ha egy feladat egyik példánya még fut, a következő vagy várakozik, vagy végrehajtás nélkül leáll. Ez létfontosságú a nagy teljesítményű biztonsági mentési vagy adatfeldolgozási feladatokhoz.

Végül, érdemes a crontab minden sorát egyértelmű leírással kommentelni, és megőrizni a fájlt. verziókövetés alatt Git vagy hasonló rendszerekkelAz idő múlásával (vagy az adminisztrátor változásával) ezek a megjegyzések és a változástörténet aranyat ér majd.

Bash szkriptelés: Az automatizálásokat futtató motor

A fentiek mind kudarcot vallanak, ha nincs valami hasznos futtatható programunk, és itt jönnek képbe a Bash szkriptek. Egy szkript egyszerűen egy egy szöveges fájl, amelyben a shell által egymás után végrehajtott parancsok találhatók., mintha te magad gépelnéd őket, de anélkül, hogy elfáradnál.

Történelmileg a shell szkriptek az 70-es évek óta az Unix automatizálásának középpontjában állnak. A Bash, mint alapértelmezett shell megjelenésével számos disztribúcióban, Egy egyszerű, de nagyon hatékony szkriptnyelvet konszolidáltak, tökéletes a rendszerösszetevők összekapcsolására, fájlok feldolgozására és külső programok koordinálására.

Gyakorlati szinten egy tipikus Bash szkript a következő sorral kezdődik: #! / bin / bash hogy jelezze azt a shell-t, amelynek értelmeznie kell, változókat definiáljon, parancsokat hajtson végre, feltételes utasításokat és ciklusokat használjon, valamint informatív üzeneteket adjon hozzá az echo függvénnyel, hogy tudjuk, mi történik.

Vannak nagyon egyszerű szkriptek, amelyek csak néhány fájlt mozgatnak, és vannak sokkal bonyolultabbak is, amelyek teljes biztonsági mentéseket végeznek, jelentéseket generálnak, és A cron vagy az at függvényekkel kombinálva automatikusan futnak. néha-néha.

A lényeg az, hogy minden olyan feladat, amelyet túl gyakran ismételnek a terminálban, tökéletes jelölt lehet arra, hogy szkript legyen belőle, így középtávon időt és buta hibákat takaríthatsz meg.

Gyakorlati példa: napi biztonsági mentés Bash-sel és cronnal

Egy nagyon gyakori eset az, hogy valaki Készítsen napi biztonsági másolatot egy bizonyos fontos mappárólA Bash-sel ezt néhány sorban megoldjuk, létrehozva egy könyvtárat az aktuális dátummal, és belefoglalva a releváns adatokat.

Az általános logika általában valami ilyesmi: generálj egy karakterláncot a mai dátummal, építs egy cél elérési utat, amely tartalmazza azt, hozd létre a könyvtárat, ha az nem létezik, rekurzívan másold át a fontos adataidat, és végül jeleníts meg egy üzenetet, amely jelzi, hogy a biztonsági mentés sikeresen befejeződött.

Ha ezt a biztonsági mentések titkosításával is kombinálja, akkor a használata tar/gz Linuxon vagy biztonságos átvitel egy másik szerverre VPN vagy SSH alagutakon keresztül, Gond nélkül beállíthat egy megfelelő biztonsági mentési stratégiát, kizárólag klasszikus Linux eszközökre támaszkodva.

Elmentheted ezt a szkriptet egy könyvtárba, például a /usr/local/sbin-be, vagy a szkriptek mappádba, és végrehajtási jogosultságokat adhatsz neki. Ezután a cron segítségével futtathatod a programot. automatikus végrehajtás olyan időpontban, amikor a szerver nincs terhelvePéldául minden este éjfélkor.

Ha ezt a biztonsági mentések titkosításával vagy egy másik szerverre VPN-en vagy SSH-alagutakon keresztül történő biztonságos átvitellel is kombinálja, Gond nélkül beállíthat egy megfelelő biztonsági mentési stratégiát, kizárólag klasszikus Linux eszközökre támaszkodva.

Alapvető automatizálás Bash szkriptekkel: első lépések

Ha most kezded a szkriptelést, a legbölcsebb, amit tehetsz, az, hogy lépésről lépésre haladsz. Először hozz létre egy üres fájlt, szerkeszd meg a kedvenc szerkesztőddel, és adj hozzá néhány sornyi parancsot.Mentsd el, adj neki végrehajtási engedélyeket, és teszteld.

Az első gyakorlatok általában a következőkből állnak: Automatizáljon egyszerű feladatokat, például fájlok listázását, áthelyezésüket adott mappákba vagy ideiglenes könyvtárak törlését.Ez megismerteti Önt a szintaxissal, a változókkal, az engedélyekkel és a kimeneti üzenetekkel.

Később olyan szkripteket is megfontolhatsz, amelyek időnként naplóba rögzítik a dátumot és az időt, tömörített másolatokat készítenek az /etc/ fájlról éjszaka, vagy ellenőrzik a lemezterületet, és riasztást küldenek, ha a kihasználtság meghalad egy bizonyos százalékot.

Egy nagyon egészséges szokás az, hogy használjuk Echo, mint hibakereső eszközÍgy a szkript kinyomtatja, hogy melyik lépést hajtja végre, a kulcsváltozók értékeit, és hogy találkozott-e bármilyen problémával. Ez nagyban leegyszerűsíti a logikai hibák megtalálását.

Gyakorlással végül egy kis "személyes könyvtárat" fogsz létrehozni szkriptekből, amelyek a csendes asszisztenseiddé válnak, és készen állnak arra, hogy önállóan futjanak a cron, at vagy systemd időzítőknek köszönhetően.

Automatizálás és biztonság: a Linux szerver megerősítése

Szinte minden alkalommal, amikor komoly szerverek automatizálásáról esik szó, a beszélgetés elkerülhetetlenül a biztonságra terelődik. Egy Linux szerver megerősítése magában foglalja a támadási felület csökkentését, a legjobb gyakorlatok alkalmazását és a biztonsági ellenőrzések automatizálását. hogy ne a „kézzel való” emlékezésre támaszkodjanak.

Az első kulcsfontosságú blokk a felhasználói fiók kezeléseJavasolt az általános vagy nyilvánvaló felhasználónevek (például „admin” vagy „oracle”) kerülése, kevésbé kiszámítható nevek használata, robusztus jelszószabályzatok létrehozása időszakos lejárattal, valamint az UID-tartományok módosítása úgy, hogy ne legyenek könnyen kitalálhatók.

Egy másik figyelembe veendő terület a telepített szoftvercsomagok. Minél több felesleges szoftverrel rendelkezel, annál nagyobb a támadási felületed. Ezért jó gyakorlat... Listázza a telepített csomagokat, távolítsa el a nem használt csomagokat, és figyelje a függőségeket. hogy elkerüljük a kritikus szolgáltatások akaratlan megzavarását.

A futó szolgáltatásokat is ellenőrizned kell olyan eszközökkel, mint a systemctl, leállítva és letiltva azokat, amelyek nem járulnak hozzá semmihez, és Ellenőrizd a figyelőportokat olyan segédprogramokkal, mint a netstat vagy az ss. hogy csak a feltétlenül szükségesek legyenek nyitva.

Ha ehhez hozzátesszük a jó SSH-erősítést (közvetlen root bejelentkezés letiltása, kulcshitelesítés használata, időtúllépések beállítása) és tűzfalak, például a firewalld vagy az iptables használatát, Többrétegű védelmet kapunk a külső támadásokkal szemben túlzott bonyodalom nélkül.

SELinux, tűzfalak és optimalizálás hangolva

Azokban a környezetekben, ahol a biztonság prioritás, olyan eszközök, mint például edzés SELinux-szal További kötelező hozzáférés-vezérlési korlátként működnek, korlátozva, hogy mely folyamatok mit tehetnek a hagyományos engedélyeken túl.

Fontos ellenőrizni az SELinux állapotát, lehetőleg szigorú alkalmazásmódban konfigurálva, és a szabályzatok rendszer igényeihez igazítása bizonyos segédprogramokkal. Bár elsőre kissé ijesztőnek tűnhet, megfelelő konfigurálás esetén számos nem kívánt műveletet blokkol.

Hálózati környezetben a firewalld vagy az iptables Lehetővé teszik a bejövő és kimenő forgalomra vonatkozó részletes szabályok meghatározását.csak bizonyos szolgáltatásokat, például SSH-t, HTTP-t vagy bármi mást nyitnak meg, amire ténylegesen szükség van. Ez jelentősen csökkenti a potenciális támadási vektorok számát.

Másrészt vannak olyan eszközök, mint pl. hangolt, tervezett optimalizálja a rendszer teljesítményét előre definiált profilok használata a munkaterhelés típusa alapján: szerver, asztali számítógép, virtuális vendég stb. A megfelelő profil aktiválása és bizonyos paraméterek hangolt kezelésére hagyása időt takarít meg és javítja az általános teljesítményt.

Mindez értelmetlen, ha csak egyszer csináljuk meg, aztán elfelejtjük. A biztonság és a teljesítmény folyamatos felülvizsgálatot, rendszeres javításokat és állandó felügyeletet igényel.És pontosan itt jön képbe az automatizálás: ezek közül a rutinfeladatok közül sok programozható úgy, hogy magától fusson.

Ansible: nagyméretű automatizálás és konfigurációkezelés

Amikor egy vagy két szerverről több tucat vagy több száz szerverre váltunk, a cron és a helyi szkriptek nem tudják fenntartani a konzisztenciát. Az Ansible automatizálási és konfigurációkezelő eszközként lép a színre. Nem igényel ügynököket a csomópontokon, és SSH-ra, valamint olvasható YAML-fájlokra támaszkodik.

Az Ansible segítségével definiálhat hosztleltárakat, SSH kulcspárokat generálhat jelszó nélküli hitelesítéshez, és automatizálhatja a... Linux rendszer adminisztráció írás a szerverek kívánt állapotát leíró forgatókönyvek: mely csomagokat kell telepíteni, mely szolgáltatásoknak kell aktívnak lenniük, mely konfigurációs fájloknak kell jelen lenniük stb.

A nagy előnye, hogy ugyanazt a forgatókönyvet egyszerre több rendszerre is alkalmazhatod, és hogy következetes és megismételhető eredményt kapjunkEz nagyon nehéz elérni, ha minden adminisztrátor manuálisan alkalmazza a változtatásokat. Továbbá az Ansible idempotens: ugyanazon playbook többszöri futtatása nem okoz törést; egyszerűen csak biztosítja, hogy minden úgy legyen, ahogy lennie kell.

Például egy egyszerű playbook képes kezelni a tmux telepítését egy "web" csoport összes szerverére mindössze néhány sornyi kóddal. Innen összetettebb automatizálások építhetők fel: alkalmazások telepítése, tömeges konfigurációs változtatások, kulcsrotáció és így tovább.

Biztonsági szempontból az Ansible ideális a következőkhöz: Keményítő szabályzatok alkalmazása, tűzfalak konfigurálása, SSH beállítás vagy audit szkriptek telepítése minden csomópontban központosított módon, elkerülve a felügyeletet és az eltéréseket.

Mindennapi automatizálás: példák és működési filozófia

A konkrét eszközökön túl van egy gondolkodásmód, amely idővel kialakul: Minden alkalommal, amikor valamit manuálisan néhányszor megismételsz, érdemes megkérdezned magadtól, hogy nem automatizálható-e.A Linux szó szerint erre készült.

Vannak, akik a terminált egy csendes asszisztensként látják, amely a háttérben elvégzi a szükséges feladatokat: e-mail emlékeztetőket ütemez, heti összefoglalókat generál, szinkronizálja a könyvtárakat távoli szerverekkel, vagy Tisztítsa meg a letöltési és ideiglenes mappákat anélkül, hogy egy ujját is megmozdítaná.

Még az olyan eszközök is, mint a gyakran elfeledett, lehetővé teszik Ütemezzen be egy egyszeri végrehajtást holnapra egy adott időpontban anélkül, hogy bonyolítaná az életét egy cron feladattal.Jól strukturált szkriptekkel kombinálva ezek a segédprogramok egyfajta digitális "mosogatógéppé" alakítják a Linuxot, amely gondoskodik az ismétlődő feladatokról.

A lényeg az automatizálás megközelítése ítélőképesség és józan észNem az automatizálásról van szó, mert az divatos, hanem arról, hogy kiértékeljük, mely feladatok időigényesek, hajlamosak az emberi hibára, vagy hatásosak, ha elfelejtjük őket, és ezeket rangsoroljuk elsőbbségként.

Idővel kisebb feladatokat fogsz írni magadnak: cron feladatokat, amelyek rögzítik a dátumot és az időt, hogy ellenőrizzék a szintaxis helyes konfigurálását, biztonsági mentési szkripteket, monitorozó szkripteket, sőt, ezek közül néhányat systemd időzítőkké alakítasz át perzisztenciával és véletlenszerű késleltetéssel a terhelés elosztása érdekében.

Ha ezeket az elemeket összeilleszti – Bash szkriptek, cron, anacron, at, systemd időzítők, Ansible, biztonsági gyakorlatok, tűzfalak és optimalizáló eszközök –, akkor egy olyan környezetet épít, ahol A Linux a nap 24 órájában, a hét minden napján dolgozik érted, biztonsági mentéseket készít, erősíti a biztonságot és gondoskodik a teljesítményről., miközben te kevésbé mechanikus és érdekesebb problémáknak szenteled magad.