NFS v4
NFS version 4
Cambios:
- todo va por el mismo protocolo, mas facil para los firewalls
- se empaquetan peticiones para una sola petición rpc
- se puede delegar en el cliente, cambios en ficheros sin que intervenga
inmediatamente el servidor. Está desactivado por defecto
- se aumenta la seguridad
- acls
- cada export tiene su nombre-path y se pueden montar trasversalmente. No en
hp-ux
- identificadores de nombres nombreusuario@dominio nombredegrupo@dominio (el
cambio a uid lo hace el demonio nfsmapid)
- mejora de locks
Configurar servidor
#vi /etc/default/nfs
NFS_SERVER_VERSMAX=4
#ps -ae|grep rpcbind
comprobar que está arrancado, si no #/sbin/init.d/nfs.core start
verificar que está todo arrancado
#ps -ae | grep rpc.lockd
#ps -ae | grep rpc.statd
si no están #/sbin/init.d/lockmgr start
por último
#/sbin/init.d/nfs.server start
Exportar
Ahora están los exports en /etc/dfs/dfstab no en /etc/exports
Se utiliza el comando share para exportar no exportfs
Cosas a tener en cuenta:
- Si están en el mismo filesystem / y /op no se podrán exportar los dos
a la vez.
- ante diferencia entre permisos del export y permisos unix, los
permisos que prevalecen son los del filesystem original, siempre se dejan los
mas restrictivos.
- Hay que tener cuidado con los links, porque en el cliente irán a su
propio filesystem si están fuera del export.
Procedimiento para exportar:
- Para que exporte en cada arranque, modificar /etc/dfs/dfstab con
share -F nfs -o rw=”Developers” -d “home dirs” /home
ejecutar #shareall para que se exporten
para verificar que está bien
#share
/home rw=Developers, ro= “home dirs”
- Para exportar a mano sin que se quede en el arranque
#share -F nfs -o rw=pepe:ro=juan /tmp
- Para desexportar
#unshare /loquesea
Extender lvol con Onlinejfs
lvdisplay lvolP
lvdisplay /dev/innvg/lvolP
lvextend -L 11264 /dev/innvg/lvolP
fsadm -F vxfs -b 11264M /export/usr/lvolP
bdf
exit
Red
Red
Capas OSI
7 Aplicación (telnet, ftp,etc)
6 Presentación (traducción de códigos)
5 Sesión (quien crea el socket)
4 Transporte (IP-UDP)
3 Red (TCP ) (Routers)
2 Conexión (MAC) Bridges
1 Capa física (el cable)
MAC 12 caracteres 0×080009D41DBB (comando lanscan)
Ethernet 802.3
Token Ring 802.5
Protocolos de enrutado
RIP (Routing Information Protocol)
OSPF (Open Shortest path First Protocol)
BGP (Border Gateway Protocol)
EGP (Exterior Gateway Protocol)
ARP comando arp -a (para saber las macs que conoces)
RARP si solo sabes la MAC, asignarle una ip (diskless client)
ICMP ping 64bytes por defecto a 20.000bytes
Configuración de red
#lsdev -C lan (para ver la lista de dispositivos lan)
Configurar a mano
ifconfig lan2 192.168.3.1 netmask 255.255.255.0 broadcast 192.168.3.255 up
ips virtuales
ifconfig lan2:1 192.168.3.5 netmask 255.255.255.0 broadcast 192.168.3.255 up
Ver la ip
ifconfig lan2
Fichero de configuración
/etc/rc.config.d/netconf
Rutas
/etc/rc.config.d/netconf
ROUTE_GATEWAY[0]=192.168.2.1
ROUTE_COUNT[0]=1
ROUTE_DESTINATION[0]=default
root@HOST:/> netstat -nr
Routing tables
Destination Gateway Flags Refs Interface Pmtu
127.0.0.1 127.0.0.1 UH 0 lo0 4136
10.2.20.17 10.2.20.17 UH 0 lan0 4136
10.2.9.17 10.2.9.17 UH 0 lan1 4136
10.2.9.0 10.2.9.17 U 2 lan1 1500
10.2.20.0 10.2.20.17 U 2 lan0 1500
127.0.0.0 127.0.0.1 U 0 lo0 0
default 10.2.20.200 UG 0 lan0 0
Los flags: U (up) H (single host) G (por Gateway) si solo existe U, entonces es toda esa red.
Meter rutas a mano
route add net 192.168.4.0 netmask 255.255.255.0 192.168.2.1
route add host 192.168.4.23 netmask 255.255.255.255 192.168.2.1
route delete net 192.168.4.0 192.168.2.1
route add default 192.168.2.1 1
Solucionar problemas
ping
netstat -in
netstat -rn
ping 255.255.255.255
netstat -sv (analiza todos los paquetes rec/env)
lanadmin (resetear el interfaz, cambiar la velocidad,etc)
lanadmin -a 2 (dá la mac)
lanadmin -m 2 (dá el mtu)
lanadmin -M 1500 2 (cambia el mtu a 1500)
lanadmin -s 2 (dá la velocidad)
ndd -h supported (nos dá todos los parámetros “tunables” de tcp/ip)
Si no se vé la tarjeta de red, confirmar que está conectada, verificar que el driver está en el kernel, si sigue estando mal, entonces puede estar mal la tarjeta
Servicios de red
/etc/hosts.equiv
+ usuario
host usuario
- usuario
$HOME/.rhosts
El fichero que arranca los servicios /etc/inetd.conf y sus demonios
telnet stream tcp nowait root /usr/lbin/telnetd telnetd
Securizar los servicios
/var/adm/inetd.sec
ftp allow 192.168.2.* hp0
Bastille
BASTILLE
Instalación (prerequisito, perl)
swinstall -s <path_to_depot> B6849AA (Bastille v2.1)
swinstall -s <path_to_depot> HPUXBastille (Bastille v3.0)
Securizar un sistema
1: Primero se crea un perfil de configuración. La herramienta cambia el PATH, /opt/sec_mgmt/bastille/bin/bastille para arrancar la herramienta.
2: Contestar las preguntas y aplicar
3: Mirar los logs .
/var/opt/sec_mgmt/bastille/log/error-log (la ejecución de la aplicación)
/var/opt/sec_mgmt/bastille/log/action-log (los cambios)
/etc/opt/sec_mgmt/bastille/config (fichero de configuración)
4: Mirar las cosas que se tienen que cambiar en /var/opt/sec_mgmt/bastille/TODO.txt y cambiarlas
5: Si algo va mal, la marcha atrás (bastille -r) mirar en /var/opt/sec_mgmt/bastille/TOREVERT.txt por si algo quedara pendiente.
HP Sistem Management Homepage SMH
HP SMH
http://hostname:2301/
https://hostname:2381/
Con problemas rearrancar el proceso:
# /opt/hpsmh/bin/hpsmh autostart
Requerimientos:
SysMgmtWeb (SMH)
hpuxwsApache (Apache)
KRNGlli (strong random number generation)
hpuxwsTomcat (tomcat)
B8465BA (wbem services)
Java2 1.4
OpenSSL
SysMgmtBase (common system management enablers)
CDE
X11
Arrancar
smhstartconfig [ -a <on|off> -b <on|off> ] [ -t <on|off> ]
Options:
-a <on|off>
Enable/disable the autostart URL mode.
-b <on|off>
Enable/disable the automatic startup on boot mode.
-t <on|off>
Set the Tomcat startup mode where:
on
Start Tomcat when HP SMH starts.
off
Start Tomcat on demand (default).
Comandos de texto:
# /usr/sbin/fsweb -t # Disks and File Systems
# /usr/sbin/kcweb -t # Kernel Configuration
# /usr/sbin/ncweb -t # Networking and Communications
# /usr/sbin/pdweb -t # Peripheral Devices
# /usr/sbin/secweb -t # Security Attributes Config
# /usr/sbin/ugweb -t # Accounts for Users and Groups
Servicios de Red
Servicios de red
/etc/inetd.conf (cuando se modifica, para que coja cambios #inetd -c
telnet
ftp
remsh
rlogin
rcp
bootp
tftp
/etc/rc.config.d/netdaemons (configuración de servicios on|off)
# vi /etc/rc.config.d/netdaemons (para que haga log en /var/adm/syslog/syslog.log)
export INETD_ARGS=”-l”
/var/adm/inetd.sec (seguridad servicio allow|deny redes ahost|anetwork)
ftp deny 128.1.1.1
telnet deny 128.1.*.*
shell allow 192.1.1.* 192.1.3.*
login allow 192.1.1-3.* host1 host2
/home/user/.rhosts
hosta (el usuario user del host hosta se le permite entrar como user)
hostb user1 (el usuario user1 del hostb
hostb root (el usuario root del hostb)
hostc + (todos los usuarios del hostc)
Para deshabilitar los .rhosts
# vi /etc/inetd.conf
login stream tcp nowait root /usr/lbin/rlogind rlogind –l
shell stream tcp nowait root /usr/lbin/remshd remshd –l
# inetd -c
NIS
NIS
hpux 10 nis
hpux 11 nis y nis+
Demonios
ypserv Proceso que corre en el servidor maestro y en el esclavo
rpc.yppasswdd Corre solo en el maestro. Este demonio es quien cambia la password en las tablas cuando un usuario lo hace
ypxfrd Corre en el maestro y esclavo. Hace forward de los mapas entre maestros y esclavos.
rpc.updated Corre en el maestro. Es parte del secure rpc.
keyserv Corre en todos clientes y servidores . Es parte de secure rpc y securiza los updates en los mapas.
ypbind El proceso cliente. Este proceso se comunica con ypserv.
Master
1 instalar el software NFS (incluye nis)
2 ftp /etc/bootparams,/etc/ethers,/etc/netmask sunhost (solo si hay que dar soporte a solaris)
3 copy /etc/passwd a /etc/passwd.nis (sirve para distinguir los usuarios nis de los locales)
4 configurar /var/yp/Makefile (# vi /var/yp/Makefile PWFILE=$(DIR)/passwd.nis)
5 configurar /var/yp/ypmake (# vi /var/yp/ypmake PWFILE=${PWFILE:-$DIR/passwd.nis})
6 configurar /etc/rc.config.d/namesvrs
# vi /etc/rc.config.d/namesvrs
NIS_MASTER_SERVER=1
NIS_CLIENT=1
NIS_DOMAIN=california
YPPASSWDD_OPTIONS=”/etc/passwd.nis –m passwd PWFILE=/etc/passwd.nis”
7 ejecutar #domainname nombredeldominio
8 #ypinit -m
9 configurar /var/yp/securenets
# vi /var/yp/securenets
255.255.0.0 128.1.0.0
255.255.0.0 128.2.0.0
10 # /sbin/init.d/nis.server stop # /sbin/init.d/nis.server start
NFS
NFS
Scripts de arranque
# /sbin/init.d/nfs.server stop
# /sbin/init.d/nfs.client stop
# /sbin/init.d/nfs.client start
# /sbin/init.d/nfs.server start
-r-xr-xr-x 1 bin bin 10810 Jun 5 2007 nfs.client (arranca en 2)
-r-xr-xr-x 1 bin bin 6858 Sep 3 2003 nfs.core (arranca en 2)
-r-xr-xr-x 1 bin bin 8059 Sep 3 2003 nfs.server (arranca en 3)
/etc/rc.config.d/nfsconf (servidor)
# vi /etc/rc.config.d/nfsconf
NFS_SERVER=1 Set to 1 to ensure that the NFS server daemons start
START_MOUNTD=1 Set to 1 to ensure that the NFS mount daemon starts
NUM_NFSD=16 Configurable; determines the number of nfsd daemons
PCNFS_SERVER=0 Optional; set to 1 to enable to authentication of PC
NFS_TCP=1 Determines if NFS over TCP is enabled.
LOCKD_OPTIONS=”" Optional; defines options to pass to rpc.lockd.
STATD_OPTIONS=”" Optional; defines options to pass to rpc.statd.
MOUNTD_OPTIONS=”" Optional; defines options to pass to rpc.mountd.
/etc/rc.config.d/nfsconf (cliente
# vi /etc/rc.config.d/nfsconf
NFS_CLIENT=1 Set to 1 to ensure that the NFS client daemons start.
NUM_NFSIOD=16 Configurable; determines the number of biod daemons
LOCKD_OPTIONS=”" Optional; defines options to pass to rpc.lockd.
STATD_OPTIONS=”" Optional; defines options to pass to rpc.statd.
NFS_TCP=1 Determines whether NFS over TCP is enabled.
/etc/exports
/exportnfs -access=hosta:hostb
/export -ro
#exportfs -a
Procesos
rpc.lockd
rpc.statd
rpc.mountd
Comprobar qué se está exportando
#showmount -e
#exportfs
Comandos utiles (servidor)
# exportfs –i /opt Export a file system not listed in /etc/exports
# exportfs –u /opt Unexport a file system.
# exportfs –a Export all file systems listed in /etc/exports.
# exportfs –ua Unexport all file systems.
# showmount –a List clients with this server’s file systems currently mounted.
# rpcinfo –p List registered rpc programs (including rpc.mountd & nfsd).
# nfsstat Display NFS usage statistics.
# nfsstat –z Reset (zero) the nfsstat registers.
Comandos utiles (cliente)
# umount /app Unmount a specific NFS file system.
# umount –aF nfs Unmount all NFS file systems.
# mount –aF nfs Mount all NFS file systems.
# mount -v List all mounted file systems (including NFS file
# rpcinfo –p List all locally registered rpc programs (including
# rpcinfo –p svr List all rpc’s registered on the NFS server.
# showmount -e svr List file systems exported by an NFS server.
Automounter
Modificar /etc/rc.config.d/nfsconf
NFS_CLIENT=1 NFS client functionality is required!
AUTOMOUNT=1 Start the automount deamon at boot time.
AUTO_MASTER=”/etc/auto_master” Choose a “master map” file.
AUTO_OPTIONS=”-f $AUTO_MASTER” Specify logging, timeout and other options.
AUTOFS=0 Disable AutoFS.
(si es AUTOFS, AUTOFS=1 y AUTOMOUNT=0)
# view /etc/auto_master
/net –hosts -soft Automatically soft mounts file systems under /net.
/home /etc/auto.home Refers automounter to the /etc/auto.home map.
/data /etc/auto.data Refers automounter to the /etc/auto.data map.
/tools /etc/auto.tools Refers automounter to the /etc/auto.tools map.
ejemplo /usr/export “-o vers=3,proto=udp” SERVIDOR:/nombredelexport
Reiniciar con los cambios:
#automount -av
#kill pidautomount
# ps –ef | grep automount
# automount –f /etc/auto_master
(nunca matarlo con -9)
Configurar servicio dns
Configurar un master
1 Editar /etc/hosts con los nombres full-domain
192.168.1.1 localhost dnsmaster
192.168.1.2 host1.pepe.com.es host1
192.168.1.3 host2.pepe.com.es host2
2 #mkdir /etc/named.data
3 #chmod 755 /etc/named.data
4 #cd /etc/named.data
5 editar /etc/named.data/param
-d pepe.com.es
-n 192.168.1
-z 192.168.1.1
-b /etc/named.conf
(-d el nombre del dominio principal, -n la subnet del dominio, -z servidor, -b /fichero.conf “por
def. /etc/named.conf”)
6 Crear la bbdd hosts_to_named -f /etc/named.conf/param
7 bajarse por ftp db.cache y ponerlo en /etc/named.data
8 Modificar /etc/rc.config.d/namesrvrs
NAMED=1
NAMED_ARGS=”"
9 Arrancar el servicio
#/sbin/init.d/named start
Configurar esclavo
1 crear el /etc/named.data
2 copiar del maestro /etc/named.data/db.* en /etc/named.data
3 copiar del maestro /etc/named.data/conf.sec.save y moverla a /etc/named.conf
4 editar /etc/rc.config.d/namesvrs
NAMED=1
NAMED_ARGS=”"
5 Arrancar el servicio
#/sbin/init.d/named start
Solo caché
1 Crear /etc/named.data
2 chmod 755
3 copiar del maestro /etc/named.data/db.cache y db.127.0.0
4 copiar del maestro /etc/named.data/conf.cacheonly en /etc/named.conf
5 editar /etc/rc.config.d/namesvrs
NAMED=1
NAMED_ARGS=”"
5 Arrancar el servicio
#/sbin/init.d/named start
Probar el servidor
#nslookup host1.pepe.com.es o #nslookup 192.168.1.2
Clientes
#vi /etc/resolv.conf
search pepe.com.es
nameserver 192.168.1.1
nameserver 192.168.1.2
#vi /etc/nsswitch.conf
hosts: dns files
Recuperar sistema
Restaurar sistema
Recuperar ficheros, filesystems
fbackup -f dispositivo -i /home -I index.home
frestore -f dispositivo -i /home -xv (xv restaurar lo que se ponga en -i, -rv toda la cinta) Se
restaura en el path absoluto.
frestore -f dispositivo -i /home -xXV (lo restaura en el subdirectorio donde estés)
Filesystemcheck
1 umount /
2 fsck -F vxfs /dev/vg00/rlvol1
2 fsck -F vxfs -o full,nolog /dev/vg00/rvol1
2 fsck -F hfs -b 200 -y -f /dev/vg00/rlvol1 ( -b numero de superbloque, que están en /var/adm/sbtab)
3 mount
4 Mirar en lost+found los ficheros que se han creado
Defragmentación
fsadm -F vxfs -DE /filesystem (dá estadísticas)
fsadm -F vxfs -e /filesystem (reorganiza extends)
fsadm -F vxfs -d /filesystem (reorganiza subdirectorios)
fsadm -F vxfs -de /filesystem (reorganiza subdirectorios y extends)
Backup de LVM
vgcfgbackup /dev/vg01 crea en /etc/lvmconf/vg01.conf y si existe otro .conf lo renombra a
.conf.old)
Se hace backup cada vez que se hacen cambios
Restaurar
vgchange -a n vg01
vgcfgrestore -n /dev/vg01 /dev/rdsk/c0t3d0
vgchange -a y vg01
vgsync vg01 (si hubiera mirror)
mount -a
Recuperar de desastre en vg00
Ignite
Con cinta en /dev/rmt/0m (tape por defecto)
1 comprobar que está instalado el soft de ignite (swlist -l product Ignite-UX)
2 make_tape_recovery
3 revisar logs en /var/opt/ignite/recovery/datetime/recovery.log
Para recuperar de cinta
1 Arrancar la máquina y que arranque desde el path de la cinta.
PA-RISC (search ipl —-> boot p2 “donde esté la cinta” )
itanium (bootmanager)
Desde cinta
Antes tenemos que configurar un servidor de ignite, instalar el cliente y hacer un make_net_recovery
incluyendo el vg00.
Para restaurar, arrancar la máquina desde la tarjeta de red con la mac asociada en el servidor.
Checklist para tener un buen backup:
Full backups e incrementales
make_tape_recovery o make_net_recovery reciente.
/etc/lvmconf
print_manifest
vgdisplay -v de cada volumen
lvdisplay -v de cada lvol
pvdisplay -v de cada disco
lvlnboot -v del arranque
/etc/fstab
bdf
swapinfo
ioscan -fun
ioscan -kf
