0504 dump, nfs, acl, RBAC, syslog

crash and core dump
 

crash dump
cpu및 기타 하드웨어 장애로인한 재부팅시 crash dump file 이생성된다. 

/etc/dumpadm.conf파일에 설정된 값을 기본으로 하여 크래쉬 발생시 저장한다. 

dumpadm.conf에 설정값 말고 새로운 설정을 할때. 명령어
dumpadm   -c all -m 20% -y            

커널에대한 것만 아니라 -c 옵션을 통해 all(전체) 에 대한 것도 저장가능하다.

-m옵션은  하드디스크 공간이 20프로이상은 남아줘야 저장한다는 전제 조건

yes는 세이브 코어라고 하는 프로그램이 파일로 저장하는것(/var/crash/'hostname'

 
core dump 
 리부팅은 되지 않지만 실행중인 프로세스에서 치명적인 오류가 발생하여 프로세서가 중단되는 경우 생성된다.

 /etc/oreadm.conf 에 설정된 값을 기본으로 하여 파일이 생성된다. 

coreadm 명령어는 사용자 프로파일에 선언한다.

coreadm -p core.%f.%p.%u.$$

옵션은 인터넷 참고

 
 

테스트 방법

# sleep 300 &  

# kill -8 sleepPID
사용자 홈디렉토리에 가서 core파일을 확인해볼수 있다 . 텍스트파일아님

---

명령어가 커널에 보내는 시그널 확인해보기

# $$    // 현재 터미널의 PID값을 확인하는 명령어
# truss -p PID   // 커널이 보내는 시그널 정보를 확인할 수 있다.

---

NFS

용법

-----서버구성--

# mkdir /share

# touch /share/file1 /share/file2

#vi /etc/dfs/dfstab

share -F nfs -o ro -d "share directory" /share   추가

# /etc/init.d/nfs.server start

# svcs -a | grep nfs                  ///////// 확인

# share

# dfshares
 # more /etc/dfs/sharetab            //확인

---클라이언트

# dfshares NfsServerIP 

확인했으면

# mount -F nfs NfsServerIP:/[share디렉토리]     // share디렉토리는 dfshares로 확인했을때 디렉토리이름

# vi /etc/vfsatab에서   //부팅시 자동으로 마운트하기위해 설정

NfsServerIP:/share디렉토리 - 마운트포인트 nfs yes ro.bg.soft

** 장애처리***
# share 명령어로 제대로 올라오지 않았을 때 확인해 보는 방법

# svcs -a | grep nfs           //  나온결과를 보고 해당 줄의 앞에 offline가 뜨면

# svcs -d [svc:/network/~~~]    //[  ]는 offline라고 표시되어있는 부분의 내용

세부적으로 올라오는 서비스들을 볼 수 있는데 동작하지 않는 값들을 enable로 바꾸어준다. 
offline이 보이면 위의 명령어를 통해 disable되어있는 세부 사항을 확인해 보고 enable로 바꾸어야 한다. 세부사항이 다 online되어야 최초에 확인했던 값들도 online이 된다.
# /etc/init.d/nfs.server start 그리고 다시 스타트해보면올라온다.

svcs -l svc;/network/~~~~ 하면 세부정보가올라온다.

---

NFS를 시용한 솔라리스 웹서버 구축

=======>>>>> 하다말았는데 인터넷 보고 하는게 빠를듯.

cd /var/apache/htdocs/          ==>요기   

index.html추가

svcs - a |grep http

disable되어있으면 svcadm으로 활성화하고 

svc로 할 수도 있지만 수동으로 하는 방법은 아래와같다

/etc/apache2/httpd-std.conf 파일을 /etc/apache2/httpd.conf 파일로 복사해놓는다.

/usr/apache2/bin/apachectl restart 

현재 되지 않음

문제 해결 방법

svcs -xv와 tail -f /var/adm/messages 로 확인하는데 .. 예전엔 이랬음 ㅋ

---

ACL 

특정 파일이나 디렉토리에 속에서만 다른 권한을 주는 것이다. 

명령어

setfacl

getfacl  ;;보는거

디렉토리만들고

setfacl -m d:user::rwx, d:group::r-x:other:r-x, d:user:user:test1:rwx,d:mask:rwx 디렉토리

파일생성후

su - test1

해당디렉토리가서 파일 수정 가능

----------------------------------

test1이 test2 와 만 데이터쓰고 읽기를 원할 때 주고 ACL을 사용한다.

setfacl -s u::rw-, g::---, o:---,m:rw-,u:test2:rw- test file           ;;;; -s 옵션은 수정할때 기존것을...

getfacl -a test_file

su - test2

cd /export/home/test1

ls -l test_file   ;;other에 권한 없는것을 확인

cat test_file    ;;하지만 보이는걸 확인

---

Role Based Access Control

RBAC

sudo 와같이특정 역할을 할때만 권한을 부여 

root의 비번을 알 필요없이 role계정의 비번만 알아서 해 볼 수 있다. 

실제로는 인증이 들어가는것이 좋다. 

/etc/security/prof_attr

여기에 임의의 명칭을 추가시켜주고 이렇게 

mymy:::

/etc/security/exec_attr   

여기에 마지막에 mymy:suser:cmd:::/usr/bin/passwd:uid=0    이렇게 실행될 루트권한의 명령어를 적어준다.

이후 일반 유저계정 생성하고 암호지정하고

role계정생성한다

roleadd -m -d /홈디렉토리 로긴이름

role계정 암호생성

일반 유저계정에 Role를 적용한다

usermod -R role계정로긴이름 유저계정로긴이름

Role에 Profile적용한다

rolemod -P mymy role계정로긴이름

하지만 여기에는 인증과정이 없다. 

실제로는 인증과정을 거치게되어 /etc/user_attr에 인증부분이 추가되어진다.  실무에선 꼭 인증을 해야함..

 이거 둘다 확인해서 시스템 명령어를 확인하고 

거기 안에 있는 profiles=SystemShutdown 을 보고 SystemShutdown 이 항목을 확인해야한다. 

그래서 없으면 임의로 추가해서 테스트 해보자

다 되면

/etc/user_attr 정보를 확인해야한다.

하지만,,,,실습에서는..인증을  꼭 해서 하자

---

syslog

/etc/syslog.conf

*.alert * 콘솔

root 사용자이름

/var 파일

@ 원격

*.debug= 딱 요것만

*.debug; debug이상

*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages

==>> 모든개체에 대해서 남기는데 커널은 디버그이상, 데몬은 노티스이상 메일은 cirt이상만 남겨라

*.info;mail.nonelcron.none   /var/adm/test

=====>> 해석???

syslog는 /var/adm/messages 에 저장된다

TEST

inetadm -p |grep trace

inetadm -M tcp_trace=TRUE

ftp접속해서 확인  종료후 로그확인해서 정보있나보자