一、統一賬號管理 1.LDAP 統一管理各種平臺帳號和密碼,包括但不限於各種操作系統(Windows、Linux),Linux系統sudo集成,系統用戶分組,主機登入限制等;可與Apache,HTTP,FTP,SAMBA,ZABBIX,Jenkins等集成;支持密碼策略(密碼強度、密碼過期時間、強制 ...
收藏在日常運維雜燴系列
一、統一賬號管理
1.LDAP
統一管理各種平臺帳號和密碼,包括但不限於各種操作系統(Windows、Linux),Linux系統sudo集成,系統用戶分組,主機登入限制等;可與Apache,HTTP,FTP,SAMBA,ZABBIX,Jenkins等集成;支持密碼策略(密碼強度、密碼過期時間、強制修改、超過驗證錯誤次數鎖定帳號)等;支持插件式鑒別模塊PAM;不同平臺許可權的設定、劃分;
2.JumpServer
一款由python編寫開源的跳板機(堡壘機)系統,實現了跳板機應有的功能。基於ssh協議來管理,客戶端無需安裝agent,目前本版本處於beta階段,線上環境慎用。試用了一下demo,感覺在統一帳號管理方面並不成熟。
3.NIS
類似於LDAP。
二、自動化部署
1. Fabric
優點:小巧,無需裝agent,可以做一些簡單的伺服器部署操作,使用簡單,容易上手,但功能比較有限,用了兩天就切到ansible了;
缺點:部署機與伺服器交互不太友好。
2. Ansible
優點:無需agent,基於ssh實現,對新申請的機器做初始化擴展不錯;特性較多,日常部署需要的功能基本上都覆蓋了,比如git、打包解壓、copy文件、yum安裝等等都已經集成到了核心模塊裡面,alternatives、xattr等模塊也有所集成,當然,理論上所有操作都能用命令模塊來完成。
缺點:比較依賴網路的健壯性,網路不好的話會比較坑;
此外還有SaltStack、Pupet、Chef等。
三、DNS
1. dnsmasq
提供 DNS 緩存,DNS重定向、記錄轉發,DNS反向解析, DHCP 服務功能,配置簡單;
可以配置對上層DNS輪詢請求記錄,配置支持通配符,不用批量修改hosts。
2. pdnsd
提供DNS緩存服務;
設置向上級DNS請求方式(TCP、UDP,Both),設置多個上級DNS並設置請求規則,配置緩存保留時間。
3. namebench
Google自行研發的一款DNS測速工具。
四、壓力測試
1. ApacheBench
創建多併發線程模擬多用戶對URL訪問進行壓力測試
Apache中有個自帶的,名為ab的程式,ab可以創建很多的併發訪問線程,模擬多個訪問者同時對某一URL地址進行訪問。
2. TCPcopy、UDPcopy
直接對某一機器流量copy到另一機器進行壓力測試;
提到壓力測試,可能大多數人首先想到的就是ApacheBench,但ab是模擬訪問,模擬畢竟是模擬,然而線上會遇到的錯誤可能往往無法預知,其實國內已經有人開發了一款線上流量copy的工具,就是TCPcopy、UDPcopy,能夠之間copy線上流量到測試環境,大大減少了上線前的風險。支持設置copy流量倍數放大、縮小,修改流量的客戶端IP源地址。
3. TCPburn
類似ApacheBench
tcpburn是由網易自主研發的能夠模擬千萬級別併發用戶的一個軟體,目的是能夠用較少的資源來模擬出大量併發用戶,並且能夠更加真實地進行壓力測試, 以解決網路消息推送服務方面的壓力測試的問題和傳統壓力測試的問題。
五、安全
1. PortSentry
對埠掃描的機器做防禦策略;
特點:給出虛假的路由信息,把所有的信息流都重定向到一個不存在的主機;
自動將對伺服器進行埠掃描的主機加到TCP-Wrappers的/etc/hosts.deny文件中,利用Netfilter機制、包過濾程式,比如iptables和ipchain等,把所有非法數據包(來自對伺服器進行埠掃描的主機)都過濾掉;
通過syslog()函數給出一個目志消息,甚至可以返回給掃描者一段警告信息。
2.fail2ban
對SSH密碼暴力破解的機器做防禦策略;
防禦 SSH 伺服器的暴力破解攻擊,對安全性要求過高的伺服器還是建議禁止密碼登入,使用密鑰或者密鑰+密碼驗證。
3. Google Authenticator
可以將第二部驗證設置為通過簡訊或語音電話接收驗證碼,同時也支持 Android、iPhone 或 BlackBerry 設備來生成驗證碼;
一款開源的,可基於開放規則(如 HMAP/基於時間)生成一次性密碼的軟體。Google公司同時也支持插件式鑒別模塊PAM,使其能和其他也適用PAM進行驗證的工具(如OpenSSH)協同工作。
4. knockd
害怕伺服器被入侵,但是奈何經常在不同的地方登入或者登入的IP經常變動?knock一下吧。在伺服器端設置只有你知道的“暗語”來讓伺服器給你芝麻開門。
knockd可以讓server監聽特定的埠,如果client按指定的順序及協議(TCP/UDP)訪問server指定埠,則運行指定命令,於是我們就可以用它來做一些有趣的事,比如利用IPTABLES動態增加防火牆等等。
另外,knock client也可以用來模擬發包探測網路連通性。比如不確定本機到對端的某個埠是否可通,可以在遠程用tcpdump監聽對應埠,然後用knock客戶端模擬發包。
六、虛擬化
1.vagrant
每次用想要新建一個虛擬機是不是都得設置虛擬機名稱?設置虛擬機類型、版本、選擇鏡像、記憶體大小、虛擬機CPU核心數量、設備等一堆東西,然後還要裝系統。。。
然而我只需要在終端下麵輸入一條vagrant up machine 就能新建一個預配置好的虛擬機哦,實為自己測試和給開發人員創建統一編程環境的一個好選擇。
-
支持快速新建虛擬機
-
支持快速設置埠轉發
-
支持自定義鏡像打包(原始鏡像方式、增量補丁方式)
-
基本上日常能用到的基礎配置都能快速設置
-
支持開機啟動自動運行命令
-
可以自己寫擴展
2.docker
每次搭建一套新環境是不是很麻煩?有兩個不同程式依賴於同一環境的不同版本怎麼辦?在程式里指定絕對路徑?做軟鏈接?
docker幫你解決了這個煩惱,鏡像打包好之後推送到register之後再到對應機器上pull下來,放上代碼,done..
七、日誌採集
1. ELK
平常我們可能需要對一些日誌進行分析、報警,比如nginx日誌,我們想要統計http請求響應碼的數量、統計請求IP的地域分佈,對請求體的關鍵字及時報警等等。使用ELK能夠很容易地做到上述事情,還能結合zabbix等工具進行報警。
八、監控
1. smokeping
IDC選址很頭疼吧,不知道某一節點網路質量怎樣,不相信供應商給的數據?試試smokeping吧,能夠測試某地、多地到某一節點的質量情況(包括丟包率,速率)
