Bash :: Standardowe wejście wyjście i przekierowania :: Łączenie poleceń :: Sterowanie procesami :: Działanie w tle :: Sztuczki z *[]$()? :: Zasoby dyskowe :: Tablica partycji GPT :: RAID i LVM - bezpieczniejsze, większe i bardziej elastyczne partycje dyskowe :: Network File System :: multipath i SAN :: Odświeżanie listy urządzeń SCSI :: SSH, scp, sftp :: Generowanie kluczy SSH :: Montowanie SFTP jako systemu plików :: Tunelowanie SSH :: Restricted SFTP/SSH :: Podstawy "życia" w Debianie :: Instalacja oprogramowania :: Konfiguracja sieci bezprzewodowej :: Tworzenie mirroru zainstalowanego systemu :: Uwagi o hasłach :: Przydatne skróty :: Wycinki z Debian Reference :: Podstawy Unix'a: :: Warto wiedzieć: :: Dla admina: :: Unixowate systemy operacyjne :: *BSD :: (Open)Solaris :: inne ... :: Linki

Systemy POSIXowe

Bash

Bash jest jednym z najpopularniejszych interpretatorów poleceń (jest on oparty na składni sh), podobnie jak inne umożliwia on zarówno pracę interaktywną (wydawanie kolejnych poleceń przez operatora systemu), jak i pracę w trybie wsadowym (czyli wykonywanie skryptów powłokowych, stanowiących zapisane w pliku tekstowym ciągi poleceń - oczym więcej w częsci poświećonej programowaniu w bash).

Praca interaktywna polega na wprowadzaniu ciągu poleceń (przy pomocy jakiejś formy klawiatury), które są wykonywane i ich wyniki widoczne są w postaci zmian w plikach/systemie plików lub w postaci komunikatów wyświetlanych na ekranie. Normalnie odpalony bash uruchamia się w trybie pracy interaktywnej, uprzednio czytając swoje pliki konfiguracyjne (m.in. ~/.bashrc - prosty przykład, bardziej rozbudowany plik zamieszczam w konfiguracja środowiska pracy). W trybie tym możemy:

Standardowe wejście wyjście i przekierowania

Do przekierowywania wejść i wyjść poleceń służą znaki:
| - przekierowanie wyjścia (polecenia z lewej strony) do programu (polecenia po prawej stronie)
> - przekierowanie wyjścia do pliku
< - pobieranie wejścia z pliku.
możliwe jest też przekierowanie stdout dwóch poleceń jako wejść plikowych - np. diff <(cat plik1) <(cat plik2). Dzięki konstrukcji exec 1> plik.txt można przekierować całe standardowe wyjście do pliku, natomiast zmienna=`cat` umożliwi wczystanie standardowego wejścia do pliku. Warto w tym miejscu wspomnieć także o programie tee, który wypisuje swoje standardowe wejście do pliku i na standardowe wyjście jednocześnie.

Łączenie poleceń

Do łączenia poleceń oprócz przekierowywania wejść i wyjść służą także inne znaki:

Polecenia możemy także grupować przy pomocy nawiasów klamrowych { polecenia; } (uwaga średnik i spacje, które możemy ewentualnie zastapić znakami nowej linii są konieczne) lub nawiasów okrągłych (polecenia), wtedy wykonywane są w podpowłoce (uruchomiony jest osobny proces basha).

Sterowanie procesami

W systemach unixowatych z uruchomionymi procesami możemy komunikować się m.in. przy pomocy sygnałów. Do ich wysyłania służy program kill. Warto jednak wspomnieć także o kombinacji klawiszy [Ctrl]+[c] wysyłającej sygnał SIGINT (nr. 2, przerwanie) oraz [Ctrl]+[/] wysyłającej sygnał SIGQUIT (nr. 3, zakończenie programu). Jeżeli jest już mowa o kombinacjach specjalnych kończących działanie programu to trzeba wspomnieć też o [Ctrl]+[d] wysyłającej znak ASCII o numerze 4 czyli EOT (koniec transferu) czyli informację o końcu wprowadzania danych tekstowych (nie jest to EOF ani ETX mające podobne znaczenie). Kombinacja ta wprowadzana np. w bashu kończy jego działanie.

Działanie w tle

Celem uruchomienia polecenia w tle podajemy na końcu linii poleceń znak &. Listę tak uruchomionych zadań z aktualnego shela możemy wyświetlić poprzez polecenie jobs a następnie przenieść na pierwszy plan poleceniem fg %n lub zakończyć poprzez kill %n (gdzie n jest wyświetlonym przez jobs numerem zadania). Warto też wspomnieć o kombinacji [Ctrl]+[z] (wysyłającej sygnał SIGTSTP) zawieszającej wykonywanie aktualnego programu i powodującej ponowne przejście do shela, następnie można spowodować odwieszenie i przesunięcie w tło tak przerwanego procesu poprzez bg [%n]. Procesy uruchomione w tle możemy także odłączyć od powłoki z wykorzystaniem disown.

Sztuczki z *[]$()?

Warto też wspomnieć o możliwości korzystania ze znaków wieloznacznych: * - dowolny ciąg znaków niezaczynający się od kropki, ? - dowolny jeden znak, [-xawA-F] - dowolny ze znaków wymienionych : -, x, a, w oraz przedział od A do F. Aby podejrzeć jakie pliki zostaną dopasowane do naszego wzorca polecam echo - np. echo ?[a-z]* wypisze wszystkie pliki mające na drugiej pozycji mała literę (w Unixach wielkość liter ma znaczenie).

Jest także możliwość przekazania wyniku polecenia jako parametru innego polecenia: inne_polecenie `polecenie`, jeżeli chcemy jeszcze bardziej zagnieżdzać zamiast ` w Bashu możemy używać konstrukcji z $(), np. inne_polecenie $(polecenie).

Przy użyciu podwójnych nawiasów możemy korzystać z wbudowanej prostej arytmetyki stałopozycyjnej - echo $((2+2)) wypisze 4. Podobnie działają też pojedyncze nawiasy kwadratowe - np. echo $[2+2] wypisze 4, należy jednak pamiętać iż metoda z nawiasami kwadratowymi (w odróżnieniu od okrągłych) jest nieprzenośna na inne sh. Prostą artmetykę można realizować także przy pomocy polecenia let - np. let zm++ zwiększy wartość zm o jeden, jednak jest to równierz metoda nieprzenośna na inne sh. Do bardziej zaawansowanej matematyki wykorzystać można program bc - echo "2+2" | bc robi to samo ... (więcej man 1 bc).

Kolejną sztuczką jest wbudowane przetwarzanie napisów przy pomocy {%}, np. echo ${PATH%:*} wybisze zawartość zmiennej $PATH bez ostatniego członu (po ostatnim :), proktycznym zastosowaniem może być np. masowa zamiana rozszerzeń plików for f in *.txt ; do mv "$f" "${f%.txt}.htm"; done. Inne zastosowanie klamerek (podstawienia wielkrotne każdy z każdym) pokazuje echo A{7,8}X{1,2}. Warto także wspomnieć o różnicy między echo $zmienna a echo "$zmienna", gdy zmienna zawiera znaki nowej linii (w pierwszym wypadku zostaną ope zastąpione spacjami). Więcej o tego typu sztuczkach w części o zmiennych.

Zasoby dyskowe

Tablica partycji GPT

GUID Partition Table (niekiedy określany także jako tablica partycji EFI) jest jednym z kilku stosowanych typów tablic partycji (należy tutaj wspomnieć o tablicach typu disklabel charakterystycznych dla rodziny BSD, partycjach typu x86 (msdos, fdisk, mbr) charakterystycznych dla platformy PC, typu APM charakterystycznych dla Apple). W porównaniu do wymienionych konkurentów jest rozwiązaniem dość nowym i posiadającym zalety wobec nich (obsługa dużych partycji, bezpośrednia - bez zagnieżdżania bsd disklabel - obsługa systemów BSD, obsługa do 128 partycji, itd).

Do tworzenia tego typu partycji pod linuxem możemy posłużyć się GNU parted (niestety fdisk ich nie wspiera):

# tworzymy tablicę partycji typu gpt
parted $DEV "mklabel gpt"

# tworzy partycję która posłuży do wgrania gruba
# należy zaznaczyć iż nie jest to partycja /boot
# jest to surowe (bez filesystemu) miejsce na dysku gdzie
# zostanie wgrany fragment gruba normalnie wgrywany zaraz za MBR
parted $DEV "mkpart grub 0 2MB";

# ustawiamy dla tej partycji flagę "GRUB BIOS partition"
parted $DEV "set 1 bios_grub on"

# resztę dysku możemy podzielić wg uznania
# w tym przykładzie robimy jedną dużą partycję o nazwie raid
parted $DEV "mkpart raid 2MB 100%"; 

Tak zainstalowany GRUB2 radzi sobie bez problemu z partycjami GPT, macierzami mdadm, wolumenami LVM itd.

RAID i LVM - bezpieczniejsze, większe i bardziej elastyczne partycje dyskowe

Linux oferuje dwie przydatne technologie dotyczące zarządzania pamięciami masowymi - jest to programowy RAID oraz woluminy logiczne LVM. RAID umożliwia realizację różnych form mirroringu mających na celu zabezpieczenie przed utratą danych, a także uzyskiwanie większych przestrzeni złożonych z kilku dysków. LVM służy umożliwieniu bardziej elastycznego podziału dysku oraz uzyskania logicznych partycji złożonych z wielu różnych fragmentów dysków fizycznych. Również główny system plików (/) może korzystać z tych dobrodziejstw, należy tylko pamiętać aby gdy korzystamy z LVM bądź RAID'a innego niż RAID1 zostawić zwykłą partycję na /boot (pliki bootloadera i obrazy jądra).

	# tworzymy RAID1 dla partycji /
	mdadm -C -v /dev/md0 --level=1 -n 2 /dev/sda1 /dev/sdb1
	# tworzymy zdegradowany RAID1 dla dwóch partycji na których będzie /home
	mdadm -C -v /dev/md1 --level=1 -n 2 /dev/sda3 missing
	mdadm -C -v /dev/md2 --level=1 -n 2 /dev/sdb3 missing
	
	# tworzymy volumeny fizyczne na urządzeniach RAID dla potrzeb LVM
	pvcreate /dev/md1
	pvcreate /dev/md2
	# tworzymy grupę voluminów dla LVM
	vgcreate lvm0 /dev/md1
	# dodajemy volumen fizyczny do grupy
	vgextend lvm0 /dev/md2
	# można też usunąć przy pomocy:
	# vgreduce lvm0 /dev/md2
	# tworzenie volumenu logicznego o zadanej wielkości i nazwie w ramch podanej grupy
	# będzie z nim związane urządzenie /dev/lvm0/home
	lvcreate -L 25G -n home lvm0
	# ogladamy to co żesmy stworzyli
	pvdisplay
	vgdisplay
	lvdisplay
	# powiększamy volumen logiczny
	lvextend -L +1GB /dev/sys/homes
	# powiększamy system plików, np.
	# xfs_growfs /home
	# resize2fs /dev/lvm0/home
	# btrfs filesystem resize max /home
	# # więcej poleceń btrfs-owych: https://btrfs.wiki.kernel.org/index.php/Btrfs%28command%29
	
	# uzupełniamy nasz zdegradowany raid
	/sbin/mdadm -a /dev/md1 /dev/sdc1
	/sbin/mdadm -a /dev/md2 /dev/sdc2

Do kasowania macierzy możemy posłużyc się komendą: mdadm -S --zero-superblock /dev/md14; mdadm -S /dev/md11

Warto zachęcać LVM do używania identyfikatorów dysków w tym celu: w /etc/mdadm/mdadm.conf umieszczamy wpis DEVICE /dev/disk/by-id/*, macierz budujemy (w tym przykładzie raid 6 na 8 dyskach) np. mdadm -C -v --auto=mdp --level=raid6 --raid-devices=8 /dev/disk/by-id/scsi-*part2 i w oparciu o wynik mdadm --detail --scan edytujemy /etc/mdadm/mdadm.conf

W zasadzie LVM sam się konfiguruje przy uruchamianiu jądra, ale niekiedy może zajść potrzeba ręcznego uruchamiania LVM w trakcie startu systemu. Procedura takiej operacji wygląda następująco:

 1. załadowanie modułów od devicemaper dm-mod i od lvm lvm* (jeżeli jest jako moduły)
 2. jeżeli udev nie potworzył urządzeń to tworzymy ręcznie:
  mknod --mode=600 /dev/lvm c 109 0
  mknod --mode=600 /dev/mapper/control c 10 62
  # numery możemy odczytać z /proc/device:
  # major = misc
  # minor = device-mapper
 3. wykonanie /sbin/vgscan, ewentualnie z opcjami --ignorelockingfailure i/lub --mknodes
 4. wykonanie /sbin/vgchange -a y, ewentualnie z opcją --ignorelockingfailure
 5. ustawienie odpowiednich uprawnień do urządzeń

W przypadku ręcznej konfiguracji LVM na wczesnych etapach działania systemu może pojawić się problem z tworzeniem pliku blokady - "LVM - Locking type 1 initialisation failed", spowodowane to może być tym iż partycja zawierająca /var/lock jest w trybie tylko do odczytu, rozwiązaniem jest np. mount -t tmpfs tmpfs /var/lock

Niekiedy (np. niezgodne UUIDy dysków/partycji wchodzących w skład RAIDa) może zajść potrzeba ręcznego wystartowania RAIDa wg podanego trybu i na podanych urządzeniach. W tym celu należy (po zatrzymaniu raida który wystartował z błędem poprzez mdadm -S /dev/mdX) skorzystać z opcji --create --assume-clean do polecenia mdadm wraz z określeniem jaki typ raida, z ilu dysków i wylistoiwaniem tych dysków, np. mdadm --create --assume-clean --level=1 --raid-devices=2 /dev/md1 /dev/sda1 /dev/sdb1. Odczyt UUIDów oraz innych informacji odnośnie RAIDa zapisanych na składowym dysku możliwy jest za pomocą: mdadm --examine /dev/sda1. W przypadku kłopotów z mdadm'em przydatne mogą być także opcje --scan, --detail, --verbose.

Zobacz w Sieci: RAID programowy, Instalacja Linuksa Na Raid1, Migracja Serwera Na RAID1, LVM, LVM.

Network File System

NFS jest opartym o protokół IP (UDP lub TCP) protokołem do udostępniania systemów plików poprzez sieć. Udostępnianie zasobów dyskowych po nfs wymaga zainstalowanego serwera NFS (dla linuxów występuje on w dwóch wersjach - działającej w przestrzeni jądra oraz działającej jako normalny daemon). Konfiguracja udostępnianych zasobów ustawiana jest w /etc/exports (dla linuxa) i zatwierdzana (przeładowywana) przy pomocy komendy exportfs (opcja -r dla ponownego eksportu - przeładowania configu, -v dla pokazania co jest obecnie wyeksportowane). Plik składa się z dwóch kolumn - w pierwszej podawana jest ścieżka do udostępnianego systemu plików, w drugiej podawane są adresy uprawnionych hostów i opcje exportu dla każdego z hostów. Konfiguracja montowania odbywa się standardowo w /etc/fstab i wymaga podania jako typu systemu plików nfs.

Możliwe jest także eksportowanie drzewa katalogów po nfs-ie bez umieszczania wpisów w plikach konfiguracyjnych - exportfs -o rw lub ro host-klienta:/eksportowana/sciezka (w niektórych -nie linuxowych - systemach share -o rw=host-klienta-z-prawem-zapisu,ro=host-klienta-tylko-do-odczytu /eksportowana/sciezka) oraz montowanie - mount -t nfs serwer:/eksportowana/sciezka /punkt/montowania

multipath i SAN

Multipath może być uzyty do konfioguracji ścieżek dostepu do dysków/macierzy dyskowych SAN podłączanych naprzykład poprzez Fibre Channel. Na ogół jest narzędziem na tyle sprytnym iż radzi sobie z autodetekcją poprawnej ścieżki itd, oczywiście istnieje także możlwiość manualnej konfiguracji ścieżek.

Multipath pokazuje identyfikatory Fibre Channel LUN - konkretnie "tgt_node_name" (np. 0x500a09808657d365) oraz "h:b:t:l" (np. 0:0:2:5), gdzie "h:b:t" to ${target_id}, "tgt_port_name", "port_id" i inne można zobaczyć w /sys/class/fc_transport/target${target_id}/port_name i jemu podobnych. Z koleji identyfikator WWN karty (interfejsu) FC (potrzebny do wystawienia zasobów z macierzy) możemy odczytać przez: cat /sys/class/fc_host/host0/port_name.

Uwaga: włączenie multipath może spowodować jego zadziałanie na dysku lokalnym co objawi się np. komunikatem o zajętości urządzenia przy próbie tworzenia systemu plików na nim (mkfs mówi "is apparently in use by the system; will not make a filesystem here") - należy wtedy (jeżeli nie jest nam potrzebne) wyłączyć działanie multipath na takim urządzeniu lub operować na urządzeniu multipathowym.

Aby zabronić odpalania się multipath na konkretnym urządzeniu należy w pliku /etc/multipath.conf umieścić wpis postaci:

blacklist {
	wwid NASZ_WWID
}

gdzie NASZ_WWID można uzyskać z wyniku komendy multipath -ll jest to to identyfikator bez spacji pokazywany w pierwszej linii opisującej dany zastaw ścieżek - należy odrzucić ostatnie znaki tożsame z oznaczeniem urządzenia device mappera w /dev (np. dm-0). Opcjonalnie zamiast wpisu wwid NASZ_WWID można podać wpis typu devnode /dev/sda*, ale może to rodzić problemy gdy oznaczenia dysków z jakiś powodów się pozmieniają.

Zobacz też inne zagadnienia związane z rozproszonym storagem: iSCSI, Lustre, RAID, NAS, DAS oraz FreeNAS - serwer NAS dla FreeBSD

Odświeżanie listy urządzeń SCSI

W przypadku korzystania z urządzeń SCSI hot-plug (np. dysków hot-swap) zachodzi niekiedy potrzeba odświeżenia wykazu urządzeń w systemie, możemy to wykonać w następujący sposób:

odświeżenie listy urządzeń (utworzenie plików w /dev, ...)
	echo - - - >/sys/class/scsi_host/HOST/scan #HOST określa który konroler poddawany jest ponownemu skanowaniu

Często bywa tez potrzebne odświerzenie informacji o wielkości istniejącego urządzenia (np. zmiana rozmiaru LUNa na macierzy). Uzyskać to możemy przy pomocy komend:

	# reskan urządzenia (niekiedy wymagane dla ścieżek multipath-owych)
	echo 1 > /sys/block//dev/sda/device/rescan
	
	# odświeżenie informacji o wielkości urządzenia
	blockdev --rereadpt /dev/sda
	# wielkość możemy sprawdzić komendą (uwaga wynik w blokach 0.5kB):
	blockdev --getsz /dev/sda
	
	# zmiana rozmiaru urządzenia multipath-owego
	multipathd -k"resize map 360a980006467435a6c5a6441686d5652"

Dla sieciowej odmiany SCSI (iscsi) odświeżenie rozmiaru zasobu wykonujemy poleceniem iscsiadm -m node -R

Dodatkowo przydatne mogą być polecenia postaci:

lsscsi
echo 'scsi-add-single-device  HOST CHAN DEV LUN' > /proc/scsi/scsi
echo 'scsi-remove-single-device HOST CHAN DEV LUN' > /proc/scsi/scsi

SSH, scp, sftp

Składnia poleceń SSH:
ssh użytkownik@serwer (następnie akceptujemy klucz kodowania (przy pierwszym połączeniu) i podajemy hasło) lub ssh serwer (następnie podajemy nazwę użytkownika, akceptujemy klucz kodowania (przy pierwszym połączeniu) i podajemy hasło)
scp ścieżka-źródła ścieżka-celu lub scp -r ścieżka-źródła ścieżka-celu (pozwala na rekurencyjne kopiowanie katalogów), gdzie ścieżka oznacza ścieżkę lokalną lub użytkownik@serwer: ścieżka-na-serwerze (następnie również akceptujemy klucz kodowania (przy pierwszym połączeniu) i podajemy hasło)
sftp

Przy pomocy ssh (bez scp) tez da się przesyłać pliki (w przypadku dużej ilości plików jest to metoda wydajniejsza, którą możemy także łatwo wzbogacić o kompresję):

W przypadku gdy chcemy bezpośrednio poprzez ssh wywołać jakąś komendę interaktywną po zdalnej stronie (bez odpalania shell'a przydatna może być opcja -t wymuszająca utworzenie wirtualnego terminala - dzięki niej zadziała poprawnie ssh 'sudo bash' itp komendy.

W ~/.ssh/config możemy definiować skrócone nazwy dla hostów wraz z określeniem opcji używanych przy logowaniu (np. port, użytkownik). Ponadto nazwy hostów podane w tym pliku będą rozwijane w ramach pakietu "bash_completion" poprzez tab. Dodanie do tego pliku HashKnownHosts no powoduje że nazwy hostów w ~/.ssh/known_hosts będą zapisywane w sposób jawny i również będą autouzupełniane przez "bash_completion".

W przypadku systemów Windows konieczna jest instalacja programów "Putty" (do połączeń SSH, tekstowe programy scp, sftp dostarczane z Putty noszą nazwy pscp i psftp) i/lub WinSCP (graficzny interfejs do SCP) i/lub "ssh secure shell client" (terminal SSH i graficzny interfejs do SFTP).

Generowanie kluczy SSH

SSH umożliwia także opcję nawiązywania połączeń bez potrzeby podawania hasła - wykorzystuje się do tego klucze asymetryczne. Aby je wygenerować korzystamy z komendy ssh-keygen -t rsa (możemy także wybrać inny typ klucza - dsa), jeżeli zależy nam na uniknięciu podawania hasła generujemy klucze niezabezpieczone hasłem (bezpieczniej jest używać kluczy z hasłem i ssh-agent aby podawać je tylko raz ...). Wygenerowane klucze znajdą się w ~/.ssh/id_rsa - prywatny, ~/.ssh/id_rsa.pub - publiczny. Klucz publiczny należy przekopiować na komputer z którym chcemy się łączyć (np[. przy pomocy scp) i dopisać do ~/.ssh/authorized_keys - cat id_rsa.pub >> ~/.ssh/authorized_keys.

Możliwa jest także konwersja pomiędzy formatem kluczy openssh a ssh2: ssh-keygen -e -f id_dsa.pub > id_dsa_ssh2.pub i w drugą stronę: ssh-keygen -i -f id_dsa_ssh2.pub > id_dsa.pub

Montowanie SFTP jako systemu plików

Możliwe jest montowanie zdalnych zasobów SFTP jako lokalnego systemu plików. Wymaga to zainstalowania pakietu z sshfs oraz załadowania modułu fuse (mechanizm fs opartego na fuse zastąpił opisywany tu niegdyś shfs stanowiący moduł jądra). Montowanie wykonujemy przy pomocy polecenia sshfs -o workaround=rename serwer:katalog punkt_montowania (dość istotna jest opcja "workaround=rename" umożliwiająca przenoszenie plików na takim systemie). Oczywiście użytkownik wykonujący to polecenie musi mieć prawa do /dev/fuse (należeć do grupy fuse). Warto na koniec też zwrócić uwagę iż możliwe jest korzystanie z standardowych kluczy generowanych przez ssh-keygen (i umieszczanych w $HOME/.ssh/ jako: authorized_keys , id_rsa , id_rsa.pub).

W przypadku KDE możliwe jest też korzystanie z zasobów SFTP bez ich montowania - wystarczy w Konqueror'ze wpisać sftp://uzytkownik@nazwa.serwera .

Tunelowanie SSH

Możliwości SSH nie kończą się na udostępnieniu zdalnego shella i możliwości bezpiecznego przesyłu plików, umożliwia on także zdalny dostęp do programów działających w trybie graficznym. Wymaga to jednak włączenia opcji przekazywania protokołu X'ów (w przypadku ssh z linii poleceń opcja -X) oraz działającego na maszynie z której się łączymy serwera X'ów (na maszynie docelowej takiego serwera może nie być w ogóle - musza być tylko stosowne biblioteki oraz program który chcemy odpalić). Po uzyskaniu połączenia shellowego z włączoną opcją przekazywania X'ów programy graficzne odpala się tak jak każdy inny program.

SSH umożliwia także tworzenie tuneli przekierowujących połączenia TCP na zadany port komputera z którego wykonujemy połączenie ssh do określonego adresu IP (wraz z portem) dostępnego z maszyny (serwera ssh) do której się łączymy (może być to np. prywatny adres IP dostępny tylko wewnątrz LANu): ssh -L lokalny_port:mapowany_adres_ip:mapowany_port uzytkownik@serwer_ssh. Możliwe jest też tunelowanie w drugą stronę (ssh -R mapowany_port_serwera:adres_ip:port uzytkownik@serwer_ssh) co umożliwia utworzenie (na serwerze ssh) portu nasłuchujacego który umożliwi połączenie do komputera (z którego zestawiony został tunel) do którego może nie być bezpośredniego dostępu (np. za firewallem); należy tutaj zaznaczyć iż domyślnie nasłuchiwanie na zadanym porcie odbywa się tylko lokalnie aby to zmienić należy przed tym portem określić adres nasłuchiwania (lub * dla wszystkich), aby było to skuteczne musi być włączona w konfiguracji serwera opcja "GatewayPorts". Umożliwia to także proste tworzenie swego rodzaju sieci VPN o bardzo dobrym zabezpieczeniu.

Inną intersującą opcją jest wykozystanie ssh w roli proxy którego jeden koniec mamy lokalnie, a drugi gdzieś daleko. Funkconalność taką zapewnia opcja -D w ssh i wykorzystanie lokalnego końca tunelu jako proxy typu SOCKS. Kolejną z ciekawych opcji jest -w pozwalająca na tworzenie urządzeń tunelowych, które mogą posłużyć do realizacji prawdziwego VPN.

Restricted SFTP/SSH

Niekiedy zachodzi potrzeba nałożenia pewnych ograniczeń na to co mogą robić użytkownicy którym dajemy dostęp poprzez ssh i pochodne.

Jednym z takich ograniczeń może być dostęp tylko przez klucze do jakiejś wskazanej komendy - wymaga to utworzenia użytkownika baz hasła (w /etc/shadow dajemy coś co na pewno nie jest hashem hasła) oraz utworzeniu wpisu w ~/.ssh/authorized_keys postaci: command="svnserve -t",no-port-forwarding,no-agent-forwarding,no-X11-forwarding,no-pty ssh-rsa __KLUCZ__ITD (podana w przykładzie svnserve -t pozwala na dostęp do svn poprzez ssh - svn ls svn+ssh://serwer/repo/path).

Innym ograniczeniem jest dostęp tylko do SFTP bez możliwości zalogowania się do shella, uzyskać to można poprzez wpis w /etc/passwd postaci: sftponly:x:UID:GID:SFTP uploader:HOME/PATH:/usr/lib/openssh/sftp-server. Jeżeli chemy udostępnic także inne protokoły kopiowania plików - takie jak np. rsync możemy skorzystać także z rssh.

Aby użytkownik nie tylko nie miał dostępu do shella ale także nie mógł wyjść poza swój katalog trzeba zastosować chroot, współczesne wersje OpenSSH bardzo ułatwiają budowę takiego środowiska należy w konfiguracji SSH umieścić następujące wpisy (polecam zwrócić uwagę na informacje w komentarzach):

Subsystem sftp internal-sftp
# zamiast Subsystem sftp /usr/lib/openssh/sftp-server
Match User ftplim1
	ForceCommand internal-sftp
	# należy też ustawić "Subsystem sftp" na internal-sftp
	X11Forwarding no
	AllowTcpForwarding no
	ChrootDirectory /var/chroot-sftp/%u
	# %u podmieniane jest na nazwę użytkownika, dzięki czemu można zamiast Match User użyć Match Group
	# w passwd $HOME musi wskazywać na coś nadrzędnego $SHELL może być /dev/null
	# jeżeli nie chcemy robić go global-writable to wewnątrz niego powinien być katalog który należy do ftplim1

Wpisanie session optional pam_lastlog.so w /etc/pam.d/sshd spowoduje logowaniw wszystkich połączeń ssh (np. połączeń sftp) w pliku wtmp (podobnie można uczynić z /etc/pam.d/su). Natomiast jeżeli występuje problem z starszymi klientami ssh (nieprzyjmowanie poprawnego hasła) to warto w konfiguracji tego serwera ustawić opcję "PasswordAuthentication yes".

Podstawy "życia" w Debianie

Debian jest to wolny system operacyjny, zawierający bardzo dużo oprogramowania, od innych dystrybucji odróżnia go położenie bardzo dużego nacisku na kwestie wolności poszczególnych składników oraz posiadanie wersji opartych na różnych jądrach (Linux, Hurd, BSD). W standardowej dystrybucji znajdziemy większość opisywanych wyżej programów. Należy jednak zwrócić uwagę iż w pojedynczej paczce .deb może być kilka programów (np. procmail zawiera formail; w takich wypadkach przydatna jest wyszukiwarka wewnątrz pakietowa - http://packages.debian.org/, gdyż komendy włączające program są na ogół zgodne z jego nazwą ...), jak również jeden pakiet może być podzielony na bardzo wiele paczek .deb na ogół (ale nie zawsze) powiązanych zależnościami (np. KDE). Jednak niektórych wymienionych wyżej programów (cinelerra) nie ma (jeszcze ...) w oficjalnej dystrybucji, stosownych paczek warto dodać do /etc/apt/sources.list. Warto także zwrócić uwagę na snapshot.debian.net przechowujący starsze wersje pakietów (może być bardzo przydatny gdy używając Sid'a dorobimy się zabugowanej wersji kluczowego dla nas pakietu).

Instalacja oprogramowania

Polecam zakończenie działania programu dokonującego podstawowej konfiguracji systemu (automatycznie uruchamianego przy pierwszym starcie po ewentualnym wybraniu dodatkowych źródeł apta - w przypadku dobrego łącza do Internetu warto wybrać źródła HTTP lub FTP). System ten posiada na tyle wygodny system zarządzania pakietami (chyba najlepszy z jakim się spotkałem), że późniejsze dodanie potrzebnego oprogramowania nie będzie problemem. Poniżej omówię kilka poleceń i programów związanych z zarządzaniem pakietami w Debianie.

aptitude - najbardziej wysokopoziomowy i "user-friendly" (z standardowych) program do zarządzania pakietami, mogący pracującować w tzw. "trybie pełnoekranowym". Do najważniejszych jego poleceń zaliczyć należy {podane w postaci: "znak wywołujący akcje w trybie pełnoekranowym" - "opis" ("komenda trybu linii poleceń")}:
+ - instaluje wybrany pakiet (install)
- - odinstalowywuje wybrany pakiet (remove)
_ - wykasowywuje (w raz z plikami konfiguracyjnymi) wybrany pakiet (purge)
L - reinstaluje wybrany pakiet
R - rekonfiguruje wybrany pakiet {odpowiada wywołaniu: dpkg-reconfigure nazwa_pakietu}
= - wstrzymuje aktualizację wybranego pakietu (hold)
I - instaluje "pojedyńczo" (bez spełniania zależności) wybrany pakiet
M - dodaje znacznik automatycznej instalacji (markauto)
m - usuwa znacznik automatycznej instalacji (unmarkauto)
/ - wyszukiwanie pakietu (standardowo według nazwy, aby szukać w opisie ~d szukany_tekst, aby znaleźć niedokasowane ~c lub nieoficjalne !~Odebian, aby szukać tylko w zainstalowanych ~i)
\ - wyszukiwanie wstecz
n - następny wyszukany pakiet
N - poprzedni wyszukany pakiet
l - filtr pakietów (np. ?any-version(~i !~Astable !~Atesting) zawęzi listę wyświetlanych pakietów tylko do tych których zainstalowana wersja jest różna od wersji z stable i testing)
d - wyświetla zależności danego pakietu
r - wyświetla zależności od pakietu
i - wyświetla informacje o pakiecie
g - wykonuje zaplanowane akcje
q - wychodzi z aktualnego okna bądź z programu
? - pomoc
jednym z mniej znanych, a bardzo przydatnych wywołań jest aptitude -F '%c%a%M %p %V' search '~Rdepends:nazwa_pakietu' wypisujące pakietów wymaganych itp dla danego
więcej: menu Pomoc w programie i man 8 aptitude

Warto także zwrócić uwage na plik konfiguracyjny aptitude (i apt'a) - /etc/apt/apt.conf (lub jego odpowiedniki w katalogu domowym) - umożliwia on m.in. wyłączenie instalowania pakietów polecanych:

# nie trzyma polecanych i sugerowanych jak zalezności
APT::AutoRemove::RecommendsImportant "false";
APT::AutoRemove::SuggestsImportant "false";

# nie instaluje automatycznie olecanych i sugerowanych
APT::Install-Recommends "false";
APT::Install-Suggests "false";

# wyłączenie wyszukiwania przyrostowego w aptitude
aptitude::UI::Incremental-Search "false";

# wyłączenie pobierania aktualizacji listy pakietów jako pdiff
# (polecam jeżeli stosunkowo rzadko aktualizujemy listy pakietów np. na testingu)
Acquire::PDiffs "false";

apt-get - program do pobierania i instalowania pakietów ...

apt-file - program umożliwiający wyszukiwanie pakietu zawierającego plik o podanej nazwie lub ścieżce (w odróżnieniu od dpkg -S nie ogranicza się tylko do zainstalowanych pakietów) - apt-file update - aktualizacja informacji o pakietach, apt-file search test - wyszukanie pakietów zawierających plik test

apt-build - program ułatwiający kompilowanie Debiana ze źródeł, celem optymalizacji

dpkg - potężne niskopoziomowe narządzie do zarządzania pakietami. Do najważniejszych opcji zaliczyć należy:
-i nazwa_pakietu [...] - instaluje pakiet(y)
-l wzorzec_nazwy_pakietu [...] - wypisuje informacje o stanie pakietów (w szczególności czy jest zainstalowany)
-L nazwa_pakietu [...] - lista plików zawartych w pakietach
-S sciezka_do_pliku - lista pakietów zawierających plik
--get-selections - lista zainstalowanych pakietów wraz z statusem - aktualnie zainstalowany (install) lub usunięty (deinstall)
warto zwrócić uwagę na możliwość zapisania listy zainstalowanych pakietów do pliku - dpkg --get-selections > pakiety.txt oraz zaznaczenia do instalacji pakietów zapisanych w tak wygenerowanej liście - dpkg --set-selections < pakiety.txt

więcej - tradycyjnie: man 8 dpkg, dpkg --help | less

Zachęcam do zapoznania się także z pozostałymi programami z rodziny apt-* (niektóre z nich to osobne paczki, wymagające doinstalowania) - umożliwiają one m.in. budowę systemu Debian ze źródeł (jak Gentoo ...) oraz programem aptsh (shell do zarządzania pakietami, podobnie jak jest w PLD).

Niekiedy przydatna może być sztuczka z fałszywym zainstalowaniem paczki. Operacja taka sprowadza się do:

Konfiguracja sieci bezprzewodowej

W trybie klienta podstawowym narzędziem konfiguracji dostępu sieci bezprzewodowej są narzędzia z pakietu iwconfig (umożliwiające włączanie interfejsów, skanowanie, etc) oraz wpa_supplicant (umożliwijący dostęp do sieci zabezpieczonych WPA - Przykładowy plik konfiguracyjny).

Możliwe jest także zastosowanie systemu linux (z odpowiednią kartą sieciową) jako access-pointa - służy temu hostapd (Przykładowy plik konfiguracyjny) wraz z serwerem DHCP (i ew. DNS) - np. dnsmasq.

Przykładowa konfiguracja dnsmasq:

interface=wlan0
dhcp-range=wlan0,192.168.22.193,192.168.22.222,255.255.255.0,1h
log-dhcp

Tworzenie mirroru zainstalowanego systemu

Jako że w systemach POSIXowatych "wszystko jest plikiem", zdecydowaną większość z nich możemy przenosić na inny sprzęt, powielać, backupować po prostu kopiując pliki (wraz z atrybutami). W celu wykonania kopii systemu na innym dysku/partycji (przeniesienia działającego systemu) należy najpierw utworzyć system plików na tym urządzeniu z wykorzystaniem stosownych narzędzi - fdisk, mkfs, tune2fs, następnie podmontować gdzieś ten system plików i przy pomocy cp -a skopiować pliki z starego na nowy dysk (warto tutaj skorzystać z symboli wieloznacznych basha np. /[a-o]* tak aby wyspecyfikować wszystkie katalogi za wyjątkiem /proc /sys oraz katalogu w którym podmontowaliśmy nowy system). Po skopiowaniu systemu należy odpowiednio zmodyfikować /etc/fstab na nowym systemie oraz konfigurację bootloadera.

Najprostszą metodą stworzenia kopi zapasowej systemu czy też przeniesienia zainstalowanego systemu na kilka maszyn (nie muszą być nawet takie same) jest wykorzystanie programu tar oraz ssh do zdalnego zapisu/odczytu pliku kopi:

	# utworzenie kopii zapasowej
	cd / && tar -cf - --exclude="./proc/*" --exclude="./sys/*" --exclude="./dev/*" --exclude="./run/*" --exclude="./mnt/*" --exclude="./media/*" --exclude="./srv/*" --exclude="./home/*" --exclude="./tmp/*" . | ssh user@host 'cat > /path/to/file.tar'
	
	# przywrócenie systemu
	# uprzednio fdisk, mkfs, mount nowego FS
	cd /mount/point/of/root/fs && ssh user@host 'cat /path/to/file.tar' | tar --numeric-owner -xf -
	grub-install --root-directory=/mount/point/of/root/fs --recheck /dev/device_witch_system
	
	# bezpośrednie kopiowanie pomiędzy dyskami (nowy zamontowany w /mnt):
	cd / && tar -cf - --exclude="./proc/*" --exclude="./sys/*" --exclude="./dev/*" --exclude="./run/*" --exclude="./mnt/*" --exclude="./media/*" --exclude="./srv/*" --exclude="./home/*" --exclude="./tmp/*" . | tar --numeric-owner -C /mnt/ -xf -

W przypadku przenoszenia w ten sposób systemu na inną maszynę może być konieczna edycja plików konfiguracyjnych związanych z siecią (dla Debiana /etc/network/interfaces, /etc/udev/rules.d/*-persistent-net.rules, /etc/hosts, /etc/hostname, ...) oraz w przypadku specyficznych ustawień innych plików ...

Oczywiście możliwe jest także kopiowanie całych urządzeń blokowych (z odmontowanymi systemami plików) przy pomocy dd. Tak powstały obraz dysku może zostać zamontowany bezpośrednio z postaci pliku. Przykład montowania (dla obrazu karty SD dla Raspberry Pi):

IMAGE=rpi.img
MNT=/mnt

# map image to loop device
kpartx -va $IMAGE

# get loop device name, and mount partitions
DEV=/dev/mapper/`kpartx -l $IMAGE | awk '/^loop[0-9]/ { print gensub("^(loop[0-9]*)p.*$", "\\\1", "", $1); exit; }'`
mount ${DEV}p2 $MNT
mount ${DEV}p1 $MNT/boot

# chroot
chroot $MNT

[...]

# umount and remove map
umount $MNT/boot
umount $MNT
kpartx -d $IMAGE

Uwagi o hasłach

Do zmiany hasła korzystamy z polecenia passwd (podając następnie stare hasło i dwukrotnie nowe), zmiana ta nie dotyczy jednak zazwyczaj haseł do innych usług (np.: MySQL'a - hasło to zmieniamy poleceniem mysqladmin -unazwa-użytkownika -pstare-hasło password nowe-hasło, uwaga nazwę użytkownika poprzedza u (bez spacji), a stare hasło p (również bez spacji))

Przydatne skróty

Kilka przydatnych skrótach klawiszowych:

Z innych wygodnych "skrótów" warto wspomnie o środkowym i prawym przycisku myszy na ikonie maksymalizacji okna w KDE - powodują maksymalizację odpowiednio w pionie i poziomie

Wycinki z Debian Reference

Jest to subiektywny wybór linków do kilku fragmentów Debian Reference (bardziej aktualna wersja).

Podstawy Unix'a:

Warto wiedzieć:

Dla admina:

Unixowate systemy operacyjne

Wbrew pozorom/wrażeniom które niekiedy można odnieść Linux nie jest jedynym współczesnym "posixowatym" systemem operacyjnym. Z istotnych pozycji na rynku open-source należy wymienić przynajmniej także rodzinę BSD oraz OpenSolaris'a. Co prawda większość prezentowanych w tym serwisie artykułów powstała w oparciu o system GNU/Linux, a konkretnie dystrybucję Debian, to jednak wiele z tych rozwiązań sprawdzi się w innych dystrybucjach (nie tylko tych debiano-podobnych), a często także innych systemach "posixowych".

*BSD

Jest to znana i ceniona rodzina systemów operacyjnych, wywodząca się od oryginalnego Unixa, dystrybuowana na bardzo liberalnej licencji. Do użytkowania i konfiguracji systemów z tej rodziny odnoszę się w kilku artykułach w tym serwisie. Większość informacji dotyczy FreeBSD i OpenBSD co nie znaczy że nie mogą one być przydatne w innych systemach z tej rodziny takich jak NetBSD, BSD/OS.

(Open)Solaris

Solaris jest unixowym systemem operacyjnym opracowanym przez Sun jest następcą SunOs'ów i niekiedy nazywany jest SunOS 5.x, gdzie x to numer wersji Solarisa (pierwotnie numery Solarisów poprzedzane były dodatkowo 2.). W wielu aspektach przypomina systemy *BSD, z którymi łączy go wspólny przodek. Elementem wyróżniającym go z pośród innych systemów operacyjnych jest zaawansowany system plików ZFS (Zettabyte File System). System ten posiada wbudowane mechanizmy zarządzania dyskami będące odpowiednikiem programowego RAID oraz LVM (stanowiące dodatkową warstwę abstrakcji pomiędzy sprzętem a samym systemem plików). System obok oficjalnej Sun'owskiej gałęzi posiada także gałąź na wolnej licencji - OpenSolaris. Poniżej przedstawię kilka uwag konfiguracyjnych dotyczących tego systemu, a w szczególności OpenSolarisa.

inne ...

Oczywiście wyżej przedstawione systemy nie wyczerpują całej gamy systemów operacyjnych (nawet jeżeli brać pod uwagę tylko te POSIXowate lub tylko te typu FLOS). Z systemów o których uważam że trzeba tu wspomnieć są jeszcze dwa systemy wywodzące się z architektury PPC (stare Mac'i) - są to Haiku (dawniej OpenBeOS) oraz Darwin.

Haiku jest będącym ciągle w (dość wczesnej) fazie rozwojowej wolnym (na licencji MIT X11) klonem BeOSa. Sam BeOS był posixowym systemem operacyjnym, wyposarzonym w środowisko graficzne, ale bez X-serwera. Oprócz dobrego wsparcia dla multimediów system charakteryzował się interesującym systemem plików z bardzo rozbudowanymi atrybutami (np. wszystkie dane książki adresowej były przechowywane jako atrybuty pustych (!!) plików). W serwisie tym kiedyś było trochę więcej na temat tego systemu - zainteresowanych zapraszam do archiwum oraz działu o C/C++. System pomimo swojej unixowatości odbiegał jednak dość znacznie (np. strukturą katalogów) od powszechnie spotykanych unixów - programy były przechowywane np. w katalogach /boot/beos/bin i /boot/home/config/bin, ten drugi miał wyższy priorytet w ścieżce wyszukiwania, konfiguracja umieszczona była w /boot/home/config/settings/, a za autostart odpowiadał skrypt bashowy /boot/home/config/boot/UserBootscript, sam basz natomiast był dostępny tylko jako /bin/sh (a nie jako /bin/bash).

Darwin jest unixowatym systemem operacyjnym, stanowiącym podstawę dla Mac OS X. Swoimi korzeniami sięga systemów z rodziny BSD.

Jeszcze innym, niekiedy bardzo przydatnym system operacyjnym FLOS jest FreeDOS, warta uwagi jest także jego odmiana w formie bootującej dyskietki - Balder.

Linki

Zobacz także: man nazwa-polecenia i/albo info nazwa-polecenia i/albo nazwa-polecenia --help.

Zachęcam też do zapoznania się z artykułemi o konfiguracji sieci IP, podstawowych usługach w sieciach komputerowych, bazą przydatnych programów, obróbce multimediów, poradami konfiguracyjnymi.

Zobacz w Sieci: The Debian Administrator's Handbook, The Linux Documentation Project - Guides, Debian refcard, Unix Toolbox, Identyfikacja i testowanie sprzętu PC pod Linuksem, A Quick Introduction to Unix, Guide to Unix, Guide to X11, FOSS Network Infrastructure and Security

Warty uwagi jest także commandlinefu.com - serwis gromadzący przykłady użycia różnych komend unixowych. Aby wykodnie kożystać z poziomu powłoki możemy w jej pliku startowym zdefiniować funkcję wyświetlającą przykłady dla danego polecenia - np.: fu() { wget -O - "http://www.commandlinefu.com/commands/matching/$@/$(echo -n $@ | openssl base64)/plaintext" 2>/dev/null; };Copyright (c) 1999-2019, Robert Paciorek (http://www.opcode.eu.org/), BSD/MIT-type license


Redystrybucja wersji źródłowych i wynikowych, po lub bez dokonywania modyfikacji JEST DOZWOLONA, pod warunkiem zachowania niniejszej informacji o prawach autorskich. Autor NIE ponosi JAKIEJKOLWIEK odpowiedzialności za skutki użytkowania tego dokumentu/programu oraz za wykorzystanie zawartych tu informacji.

This text/program is free document/software. Redistribution and use in source and binary forms, with or without modification, ARE PERMITTED provided save this copyright notice. This document/program is distributed WITHOUT any warranty, use at YOUR own risk.

Valid XHTML 1.1 Dokument ten (URL: http://www.opcode.eu.org/debian_and_posix) należy do serwisu OpCode. Autorem tej strony jest Robert Paciorek, wszelkie uwagi proszę kierować na adres e-mail serwisu: webmaster@opcode.eu.org.
Data ostatniej modyfikacji artykulu: '2019-04-19 17:13:27 (UTC)' (data ta może być zafałszowana niemerytorycznymi modyfikacjami artykułu).