Essential System Administration 3rd - PORTUGUESpdf PDF

Capítulo 1
CAPÍTULO 1
Introdução ao Sistema
Administração
A maneira tradicional de começar um livro como este é fornecer uma lista de tarefas de administração do
sistema - já fiz isso várias vezes neste momento. No entanto, é importante lembrar que você deve considerar
essas listas com cautela. Inevitavelmente, eles deixam de fora muitos aspectos intangíveis, o tipo de coisas
que requerem muito tempo, energia ou conhecimento, mas nunca fazem parte das descrições de funções.
Essas listas também tendem a sugerir que o gerenciamento do sistema tem algum tipo de coerência entre os
ambientes amplamente diferentes nos quais as pessoas se consideram responsáveis pelos computadores.
Existem semelhanças, é claro, mas o que é importante em um sistema não será necessariamente importante
em outro sistema em outro site ou no mesmo sistema em um momento diferente. Da mesma forma, sistemas
muito diferentes podem ter necessidades de gerenciamento de sistema semelhantes,
Mas agora para a lista. Em vez de uma lista idealizada, ofereço a seguinte tabela mostrando como passei a maior parte do meu
tempo em meu primeiro trabalho como administrador de sistema em tempo integral (gerenciei vários sistemas centrais dirigindo
várias estações de trabalho CAD / CAM em uma empresa Fortune 500) e como essas atividades se transformaram nas duas
décadas intermediárias.
Tabela 1-1. Tarefas típicas de administração de sistema
Então: início dos anos 1980 Agora: início dos anos 2000
Adicionando novos usuários. Ainda faço isso, mas é automatizado e só preciso adicionar um
usuário uma vez para toda a rede. A conversão para LDAP demorou
muito tempo, no entanto.
Adicionando toner a plotadoras eletrostáticas. As impressoras precisam de muito menos atenção - apenas
limpando o ocasional congestionamento de papel - mas ainda sujo
as mãos trocando os tanques de jato de tinta.
Fazendo backups em fita. Os backups ainda são de alta prioridade, mas o processo é mais
centralizado e usa CDs e, ocasionalmente, discos sobressalentes,
bem como fitas.
Restaurar arquivos de backups que os usuários apagaram Isso nunca vai mudar.
acidentalmente ou jogaram na lixeira.
Responder às perguntas dos usuários (“Como faço para enviar Os usuários sempre terão perguntas. Os meus também reclamam
e-mail?”), Geralmente não pela primeira ou pela última vez. mais: “Por que não consigo uma conexão com a Internet na
minha mesa?” ou “Por que o IRC não funciona através do firewall?”
Este é o título do livro, eMatter Edition

Copyright © 2007 O'Reilly & Associates, Inc. Todos os direitos reservados.
Tabela 1-1. Tarefas típicas de administração do sistema (continuação)
Então: início dos anos 1980 Agora: início dos anos 2000
Monitorar a atividade do sistema e tentar ajustar os parâmetros do Instalar e atualizar o hardware para acompanhar o aumento
sistema para dar a esses sistemas sobrecarregados o tempo de monotônico do apetite por recursos.
resposta de um sistema ocioso.
Movendo os trabalhos para cima na fila de impressão, depois de Este é um problema que não é mais um problema para mim. As
mais ou menos usuários reclamar, implorar ou implorar, ao impressoras são baratas, portanto, não são mais um recurso
contrário da política declarada (sobre mover trabalhos, não sobre choramingar).
assustador que precisa ser gerenciado.
Preocupando-me com a segurança do sistema e obstruindo as falhas A segurança é sempre uma preocupação, e acompanhar os
de segurança mais nocivas que herdei. avisos de segurança e patches leva muito tempo.
Instalação de programas e atualizações do sistema operacional. Mesmo.
Tentando liberar espaço em disco (e especialmente espaço em A ênfase está mais em E / S de disco de alto desempenho
disco contíguo). (espaço em disco é barato): RAID e assim por diante.
Reinicializar o sistema após uma falha (sempre tarde e em horários Os sistemas travam muito menos do que antes (felizmente).
inconvenientes).
Corrigindo falhas de rede (“Por que não aldeia conversando com ophelia? No ano passado, substituí minha última rede Thinnet por cabeamento
”). Ocasionalmente, isso envolvia rastrear fisicamente o cabo de par trançado. Espero nunca mais ver o primeiro. No entanto, agora
Ethernet ao redor do prédio, verificando-o em cada nó. ocasionalmente tenho que substituir segmentos de cabo que não
estão funcionando corretamente.
Reorganizando móveis para acomodar novos equipamentos; As máquinas ainda entram e saem regularmente e precisam ser
instalar o referido equipamento. acomodadas.
Descobrir por que um programa / comando / conta repentina e Os usuários ainda serão usuários.
misteriosamente parou de funcionar ontem, mesmo que o usuário
jure que não mudou nada.
Reparando - ou melhor, tentando consertar - arquivos de dados CAD O análogo atual disso é lidar com anexos de e-mail que os usuários
/ CAMbinary corrompidos. não sabem como acessar. Proteger os usuários de anexos
potencialmente perigosos é outra preocupação.
Indo para reuniões. Sem reuniões, mas muitas conversas casuais.
Adicionando novos sistemas à rede. Nem é preciso dizer: os sistemas são virtualmente sempre
adicionados à rede.
Escrevendo scripts para automatizar o máximo possível das A automação ainda é a salvação do administrador.
atividades acima.
Como esta lista indica, o gerenciamento de sistema é realmente uma miscelânea de atividades e envolve pelo menos
tantas habilidades pessoais quanto as de informática. Embora eu ofereça alguns conselhos sobre o último em um
momento, é melhor aprender a interagir com as pessoas observando os outros, emulando seus sucessos e evitando
seus erros.
Atualmente, eu cuido de um potpourri de estações de trabalho de muitos fornecedores diferentes, bem como de alguns
sistemas maiores (em termos de tamanho físico, mas não necessariamente de poder da CPU), com alguns PCs e Macs
incluídos para manter as coisas interessantes. Apesar dessas mudanças significativas de hardware, é surpreendente quantas
atividades do início dos anos 1980 ainda tenho que realizar. Adicionar toner agora significa trocar um cartucho de toner em
uma impressora a laser ou os tanques de tinta em uma impressora jato de tinta; os backups vão para fitas de 4 mm e CDs em
vez de fitas de 9 trilhas; problemas e dúvidas do usuário estão em áreas diferentes, mas
2 | Capítulo 1: Introdução à administração do sistema

ainda estão muito na lista. E embora não haja (felizmente) mais reuniões, provavelmente haverá ainda mais
movimentação de móveis e puxões de cabos.
Alguns desses tópicos - mover móveis e ir ou evitar reuniões, obviamente - estão além do escopo deste livro. O
espaço não permite que outros tópicos sejam tratados exaustivamente; nesses casos, vou apontar a direção de
outro livro que continua de onde parei. Este livro cobrirá a maioria das tarefas comuns que se enquadram na
categoria de "administração do sistema". A discussão será relevante se você tem um único PC (rodando Unix),
uma sala cheia de mainframes, um prédio cheio de estações de trabalho em rede ou uma combinação de
vários tipos de computadores. Nem todos os tópicos se aplicam a todos, mas aprendi a não descartar nenhum
deles a priori para uma determinada classe de usuário. Por exemplo, muitas vezes pensa-se que apenas
grandes sistemas precisam de recursos de contabilidade de processo, mas agora é muito comum para
pequenas empresas atender às suas necessidades de computação com um sistema Unix de tamanho
moderado. Como eles precisam ser capazes de cobrar seus clientes individualmente, eles precisam controlar a
CPU e outros recursos gastos em nome de cada cliente. A moral é esta: pegue o que você precisa e deixe o
resto; você é o melhor juiz do que é relevante e do que não é.
Pensando na administração do sistema

Mencionei brevemente alguns dos aspectos não técnicos da administração do sistema. Essa dinâmica provavelmente
não será um problema se for realmente apenas você e seu PC, mas se você interagir com outras pessoas, encontrará
esses problemas. É um clichê dizer que a administração do sistema é um trabalho ingrato - um cartoon amplamente
reimpresso tem um usuário dizendo “Eu agradeceria, mas a administração do sistema é um trabalho ingrato” - mas as
coisas são na verdade mais complicadas do que isso. Como diz outro clichê, a administração do sistema é como
manter os trens no horário; ninguém percebe, exceto quando está atrasado.
O gerenciamento do sistema freqüentemente parece envolver uma tensão entre autoridade e

responsabilidade, de um lado, e serviço e cooperação, do outro. Os extremos parecem mais fáceis de
manter do que qualquer meio-termo; ditadores fascistas que governam “seu sistema” com mão de
ferro, desimpedidos pelas necessidades dos usuários, encontram seu oposto nos apressados
gerentes de sistema que pulam de uma solicitação de usuário para a próxima, em modo de
interrupção contínua. O truque é encontrar um equilíbrio entre ser acessível aos usuários e suas
necessidades - e às vezes até mesmo aos seus meros desejos - enquanto ainda mantém sua
autoridade e segue as políticas que você estabeleceu para o bem-estar geral do sistema. Para mim,
o objetivo da administração de sistema eficaz é fornecer um ambiente onde os usuários possam fazer
o que precisam, da maneira mais fácil e eficiente possível,
Pensando na administração do sistema | 3

Para ser mais concreto, a chave para uma administração de sistema produtiva e bem-sucedida é saber quando resolver um
problema de uso excessivo da CPU com um comando como: *
# kill -9 `ps aux | awk '$ 1 == "chavez" {print $ 2}'
(Este comando explode todos os usuários chavez processos.) É também saber quando usar:
$ escrever chavez
Você tem muitos processos idênticos em execução no Dalton. Posso ajudar em

algum problema?
^D
e quando caminhar até sua mesa e conversar cara a cara. A primeira abordagem exibe a sutileza do Unix, bem
como força bruta administrativa, e ambas as táticas são certamente apropriadas - até vitais - às vezes. Em outras
ocasiões, uma abordagem mais simples e menos agressiva funcionará melhor para resolver os problemas de
desempenho do sistema, além da confusão do usuário. Também é importante lembrar que existem alguns
problemas que nenhum comando Unix pode resolver.
Em grande medida, uma administração de sistema bem-sucedida é uma combinação de planejamento

cuidadoso e hábito, por mais que às vezes possa parecer uma intervenção em crise. A chave para lidar bem
com uma crise está em ter tido a visão e tempo para antecipar e planejar o tipo de emergência que acabou de
surgir. Contanto que isso aconteça apenas uma vez em quando, arrancar a vitória das garras da derrota pode
ser muito satisfatório e até mesmo estimulante.
Por outro lado, muitas crises podem ser evitadas por uma dedicação determinada a realizar todos os
procedimentos cuidadosos que você projetou: alterar a senha de root regularmente, fazer backups fielmente (não
importa o quão tedioso), monitorar de perto os logs do sistema, desconectar e limpar a tela do terminal como um
ritual, testando cada mudança várias vezes antes de deixá-la solta, aderindo às políticas que você definiu para o
benefício dos usuários - tudo o que você precisa fazer para o seu sistema. (Emerson disse: "Uma consistência
tola é o hobgoblin das mentes pequenas", mas não uma sábia.)
Minha filosofia de administração de sistema se resume a algumas estratégias básicas que podem ser aplicadas a praticamente
qualquer uma de suas tarefas componentes:
• Saiba como as coisas funcionam. Hoje em dia, quando os sistemas operacionais são comercializados como exigindo
pouca ou nenhuma administração do sistema e as ferramentas onipresentes e simples de usar tentam tornar a
administração do sistema simples para um novato desinformado, alguém precisa entender as nuances e os detalhes de
como as coisas realmente funcionam . Deve ser você.
• Planeje antes de fazer.
• Torne-o reversível (backups ajudam muito com este).
* Em sistemas HP-UX, o comando é ps -ef. Os sistemas Solaris podem ser executados em qualquer formato, dependendo de qual versão
do ps vem primeiro no caminho de pesquisa. O AIX e o Linux podem emular ambas as versões, dependendo se um hífen é usado com opções
(estilo System V) ou não (estilo BSD).
4 Capítulo 1: Introdução à administração do sistema

• Faça alterações gradativamente.
• Teste, teste, teste, antes de liberar no mundo.
Aprendi sobre a importância da reversibilidade com um amigo que trabalhava em um museu reunindo
fragmentos de cerâmica antiga. O museu seguiu esta prática para que se melhores técnicas reconstrutivas
fossem desenvolvidas no futuro, eles pudessem desfazer o trabalho atual e usar o melhor método. Na
medida do possível, tentei fazer o mesmo com os computadores, adicionando mudanças gradualmente e
preservando um caminho para voltar atrás.
Um exemplo simples desse tipo de atitude em ação diz respeito à edição dos arquivos de configuração do sistema. Os
sistemas Unix contam com muitos arquivos de configuração, e cada subsistema principal tem seus próprios arquivos (todos os
quais veremos). Muitos deles precisarão ser modificados de tempos em tempos.
Eu nunca modifico a cópia original do arquivo de configuração, seja como entregue com o sistema ou como eu o
encontrei quando assumi o sistema. Em vez disso, sempre faço uma cópia desses arquivos na primeira vez que os
altero, acrescentando o sufixo. dist ao nome do arquivo; por exemplo:
# cd / etc
# cp inittab inittab.dist
# chmod aw inittab.dist
Eu protejo contra gravação. dist arquivo para que eu sempre tenha como referência. Em sistemas que o suportam, use o cp do
comando - p opção para replicar a hora de modificação atual do arquivo na cópia.
Também faço uma cópia do arquivo de configuração atual antes de alterá-lo de qualquer forma, para que as alterações
indesejáveis possam ser facilmente desfeitas. Eu adiciono um sufixo como. velho ou sav ao nome do arquivo para essas cópias.
Ao mesmo tempo, formulo um plano (pelo menos na minha cabeça) sobre como eu iria me recuperar da pior consequência que
posso imaginar de uma mudança malsucedida (por exemplo, vou inicializar no modo de usuário único e copiar a versão antiga de
volta )
Depois de fazer as alterações necessárias (ou a primeira grande alteração, quando várias são necessárias), testo
a nova versão do arquivo, se possível em um ambiente seguro (de não produção). Obviamente, o teste nem
sempre encontra todos os bugs ou evita todos os problemas, mas elimina os mais óbvios. Fazer apenas uma
alteração importante por vez também torna o teste mais fácil.
Alguns administradores usam um sistema de controle de revisão para rastrear as mudanças em

arquivos importantes de configuração do sistema (por exemplo, CVS ou RCS). Esses pacotes são
projetados para rastrear e gerenciar alterações no código-fonte do aplicativo por vários programadores,
mas também podem ser usados para registrar alterações em arquivos de configuração. O uso de um
sistema de controle de revisão permite registrar o autor e o motivo de qualquer alteração em particular,
bem como reconstruir qualquer versão anterior de um arquivo a qualquer momento.
Pensando na administração do sistema | 5

As seções restantes deste capítulo discutem algumas ferramentas administrativas importantes. O primeiro
descreve como se tornar o superusuário (a conta privilegiada do Unix). Como acredito que um bom gerente de
sistema precisa ter tanto conhecimento técnico quanto conhecimento e sensibilidade para com a comunidade de
usuários da qual ele faz parte, este primeiro capítulo inclui uma seção sobre comandos de comunicação Unix. O
objetivo dessas discussões - bem como deste livro como um todo - é destacar como um gerente de sistema pensa
sobre tarefas e problemas do sistema, em vez de apenas fornecer soluções literais de livro de receitas para
cenários comuns.
Importantes ferramentas administrativas de outros tipos são abordadas em capítulos posteriores deste livro.
Tornando-se Superusuário
Em um sistema Unix, o superusuário se refere a uma conta privilegiada com acesso irrestrito a todos os arquivos e
comandos. O nome de usuário desta conta é raiz. Muitas tarefas administrativas e seus comandos associados
requerem status de superusuário.
Existem duas maneiras de se tornar o superusuário. O primeiro é fazer o login como raiz diretamente. A segunda
maneira é executar o comando su enquanto estiver conectado a outra conta de usuário. o su pode ser usado para
alterar a conta atual de um usuário para a de um usuário diferente, após inserir a senha adequada. Leva o nome
de usuário correspondente à conta desejada como seu argumento; raiz é o padrão quando nenhum argumento é
fornecido.
Depois de entrar no su comando (sem argumentos), o sistema solicita a você o raiz senha. Se você digitar a
senha corretamente, receberá o prompt normal da conta root (por padrão, um sinal numérico: #), indicando
que você se tornou superusuário com sucesso e que as regras que normalmente restringem o acesso ao
arquivo e a execução do comando não se aplicam. Por exemplo:
$ su
Senha: Não ecoou
#
Se você digitar a senha incorretamente, receberá uma mensagem de erro e retornará ao prompt de comando
normal.
Você pode sair da conta de superusuário com Saída ou Ctrl-D. Você pode suspender o shell e colocá-lo no
fundo com o suspender comando; você pode voltar a ele mais tarde usando fg.
Quando você corre su, o novo shell herda o ambiente de seu ambiente shell atual em vez de criar o
ambiente que raiz obteria após o login. No entanto, você pode simular um raiz sessão de login com o
seguinte formulário de comando:
$ su -

Ao contrário de alguns outros sistemas operacionais, o superusuário Unix tem todos os privilégios o
tempo todo: acesso a todos os arquivos, comandos, etc. Portanto, é muito fácil para um superusuário
travar o sistema, destruir arquivos importantes e criar confusão inadvertidamente. Por este motivo,
as pessoas que sabem a senha de superusuário (incluindo o administrador do sistema) devem não fazer
seu trabalho de rotina como superusuário. Use o status de superusuário apenas quando necessário.
o raiz A conta deve sempre ter uma senha, e essa senha deve ser alterada periodicamente. Apenas
usuários experientes do Unix com requisitos especiais devem saber a senha de superusuário, e o
número de pessoas que a conhecem deve ser mínimo.
Para definir ou alterar a senha de superusuário, torne-se superusuário e execute um dos seguintes comandos:
# senha Funciona na maioria das vezes.
# passwd root Sistemas Solaris e FreeBSD ao fazer root.
Geralmente, você será solicitado a digitar a senha antiga de superusuário e a nova senha duas vezes. o raiz a senha
também deve ser alterada sempre que alguém que a conhece parar de usar o sistema por qualquer motivo (por
exemplo, transferência, novo emprego, etc.), ou se houver qualquer suspeita de que um usuário não autorizado a tenha
aprendido. As senhas são discutidas em detalhes no Capítulo 6.
Tento evitar o login diretamente como raiz. Em vez disso, eu su para raiz apenas conforme necessário, saindo ou
suspendendo o shell do superusuário quando possível. Alternativamente, em um ambiente de janelas, você pode criar
uma janela separada na qual você su para raiz,
novamente executando comandos lá apenas quando necessário.
Por motivos de segurança, não é uma boa ideia deixar qualquer sessão conectada sem supervisão; naturalmente, isso
vale o dobro para um raiz sessão. Sempre que saio de uma estação de trabalho onde estou conectado como raiz, Eu saio
ou bloqueio a tela para evitar que alguém entre no sistema. o xlock comando irá bloquear uma sessão X; a senha do
usuário que executou xlock deve ser inserido para desbloquear a sessão (em alguns sistemas, o raiz a senha também
pode desbloquear sessões bloqueadas por outros usuários. * Embora os programas de bloqueio de tela possam ter suas
próprias armadilhas de segurança, eles evitam quebras oportunistas de segurança do sistema que, de outra forma,
seriam causadas por um lapso momentâneo de preguiça.
Se você estiver logado como raiz em um console serial, você também deve usar um utilitário de
bloqueio fornecido pelo sistema operacional. Em alguns casos, se estiver usando vários consoles
virtuais, você precisará bloquear cada um individualmente.
* Por alguma razão desconhecida, o FreeBSD não fornece xlock. No entanto, o xlockmore ( Vejo http: //www.tux. org / ~ bagleyd / xlockmore.html) utilitário
fornece a mesma funcionalidade (na verdade, é uma sequência de xlock).
Tornando-se Superusuário | 7

Controle de acesso à conta de superusuário
Em muitos sistemas, qualquer usuário que conhece a senha root pode se tornar superusuário a qualquer momento,
executando su. Isso é verdadeiro para sistemas HP-UX, Linux e Solaris em geral. * Solaris permite que você configure alguns
aspectos de como o comando funciona por meio de configurações no / etc / default / su arquivo de configuração.
Tradicionalmente, os sistemas BSD limitam o acesso a su para membros do grupo 0 (geralmente chamados roda); no
FreeBSD, se o roda grupo tem uma lista de usuários nula no arquivo de grupo (/ etc / group), qualquer usuário pode su para
enraizar; caso contrário, apenas membros do roda grupo pode usá-lo. A configuração padrão é um roda grupo consistindo
apenas em raiz.
AIX permite que o administrador do sistema especifique quem pode usar su conta por conta (nenhuma restrição é
imposta por padrão). Os comandos a seguir exibem os grupos atuais que têm permissão para su para raiz e, em
seguida, limitar esse mesmo acesso ao sistema e administradores grupos:
# lsuser -a sugroups root

sugrupos raiz = TODOS
# chuser sugroups = "sistema, administradores" root
A maioria das versões Unix também permite que você restrinja raiz logins em certos terminais. Este tópico é discutido
no Capítulo 12.
Um Armadillo?
O tatu tipifica um atributo que um administrador de sistema de sucesso precisa: uma pele grossa. Os tatus
prosperam em condições ambientais difíceis por meio da força e da perseverança, que também é o que os
administradores de sistema têm que fazer na maior parte do tempo (consulte o colofão no final do livro para
obter mais informações sobre o tatu). Os gerentes de sistema também encontrarão outras qualidades
valiosas, incluindo a rapidez e a inteligência do mangusto (Unix é a cobra), o senso de aventura e brincadeira
de cachorros e gatinhos e, às vezes, a capacidade do camaleão de se misturar com o ambiente, tornando-se
invisível mesmo que você esteja bem na frente dos olhos de todos.
Finalmente, entretanto, como mais de um leitor notou, o tatu também fornece um alerta aos administradores de
sistema para não se tornarem tão obstinados ou estreitamente focados no que estão fazendo a ponto de perderem o
panorama geral. Tatus que não acatam esse conselho acabam como um animal morto na estrada.
* Quando o recurso de autenticação PAM está em uso, ele controla o acesso a su ( consulte “Autenticação do usuário com PAM” no Capítulo 6).

Executando um único comando como root
su também tem um modo em que um único comando pode ser executado como raiz. Este modo não é uma maneira muito
conveniente de executar comandos de superusuário interativamente, e eu tendo a vê-lo como um recurso sem importância
do su. Usando su -c pode ser muito útil em scripts, no entanto, tendo em mente que o usuário alvo não precisa ser raiz.
No entanto, descobri que ele tem um uso importante para um administrador de sistema: permite que
você conserte algo rapidamente quando estiver na estação de trabalho de um usuário (ou não em seu
próprio sistema) sem ter que se preocupar em lembrar de sair de um su sessão. * Existem usuários que
tirarão proveito desses lapsos, então aprendi a ser cauteloso.
Você pode executar um único comando como raiz usando um comando deste formulário:
$ su root -c " comando"
Onde comando é substituído pelo comando que você deseja executar. O comando deve ser colocado entre aspas
se contiver espaços ou caracteres especiais de shell. Quando você executa um comando deste formulário, su solicita
o raiz senha. Se você inserir a senha correta, o comando especificado será executado como raiz, e os comandos
subsequentes são executados normalmente a partir do shell original. Se o comando produzir um erro ou for
encerrado (por exemplo, com CTRL-C), o controle novamente retorna ao shell do usuário sem privilégios.
O exemplo a seguir ilustra o uso de su para desmontar e ejetar o CD-ROM montado no / cdrom diretório:
$ su root -c "ejetar / cdrom"

Senha: senha de root inserida
Os comandos e a saída seriam ligeiramente diferentes em outros sistemas.
Você pode iniciar um comando de fundo como raiz incluindo um E comercial final dentro do comando especificado
( dentro as aspas), mas você deve considerar as implicações de segurança de um usuário trazê-lo para o primeiro
plano antes de fazer isso na estação de trabalho de um usuário.
sudo: acesso seletivo aos comandos do superusuário

O Unix padrão tem uma abordagem tudo ou nada para conceder raiz acesso, mas geralmente o que você realmente
quer é algo intermediário. O disponível gratuitamente sudo facilidade permite que usuários especificados executem
comandos específicos como raiz sem ter que saber o
raiz senha (disponível em http://www.courtesan.com/sudo/). †
* Outra abordagem é sempre abrir uma nova janela quando você precisa fazer algo na estação de trabalho de um usuário. É fácil
adquirir o hábito de sempre fechá-lo ao sair.
† As funções administrativas são outra forma mais sofisticada de particionamento raiz Acesso. Eles são discutidos em detalhes em “Controle de acesso baseado
em funções” no Capítulo 7.

Por exemplo, um não raiz o usuário pode usar isso sudo comando para desligar o sistema:
$ sudo / sbin / shutdown ...

Senha:
sudo requer apenas a própria senha do usuário para executar o comando, não o raiz senha. Uma vez que um usuário
forneceu com sucesso uma senha para sudo, ela pode usá-lo para executar comandos adicionais por um período
limitado de tempo sem ter que digitar uma senha novamente; este período é padronizado para cinco minutos. Um
usuário pode estender o período de tempo por igual, executando sudo -v antes que expire. Ela também pode encerrar o
período de carência executando sudo -K.
sudo usa um arquivo de configuração, geralmente / etc / sudoers, para determinar quais usuários podem usar o sudo comando
e os outros comandos disponíveis para cada um deles após terem iniciado um sudo sessão. O arquivo de configuração
deve ser definido pelo administrador do sistema. Aqui está o início de uma versão de amostra:
# Especificações de alias de host: nomes para listas de host Host_Alias

FÍSICA = aldeia, ofélia, laertes
Host_Alias CHEM = duncan, puck, brutus
# Especificações de alias de usuário: grupos nomeados de usuários User_Alias

BACKUPOPS = chavez, vargas, smith
# Especificações de alias de comando: nomes para grupos de comando Cmnd_Alias

MOUNT = / sbin / mount, / sbin / umount
Cmnd_Alias SHUTDOWN = / sbin / shutdown
Cmnd_Alias BACKUP = / usr / bin / tar, / usr / bin / mt
Cmnd_Alias CDROM = / sbin / mount / cdrom, / bin / eject
Estas três seções do arquivo de configuração definem sudo aliases - nomes simbólicos em maiúsculas - para grupos de
computadores, usuários e comandos, respectivamente. Este arquivo de exemplo define dois conjuntos de hosts
(PHYSICS e CHEM), um conjunto de usuários (BACKUPOPS) e quatro aliases de comando. Por exemplo, o alias do
comando MOUNT é definido como o monte e umount comandos. Seguindo as boas práticas de segurança, todos os
comandos incluem o nome do caminho completo para o executável.
O alias de comando final ilustra o uso de argumentos em uma lista de comandos. Este alias consiste em um
comando para montar um CD em / cdrom e para ejetar a mídia da unidade. Observe, no entanto, que não
concede o uso geral do monte comando.
A seção final do arquivo (veja abaixo) especifica quais usuários podem usar o sudo comando, bem como quais
comandos eles podem executar com ele e em quais computadores eles podem executá-los. Cada linha nesta seção
consiste em um nome de usuário ou alias, seguido por um ou mais itens do formulário:
host = comando (s) [: host = comando (s) ...]
Onde hospedeiro é um nome de host ou um alias de host e comando (s) são um ou mais comandos ou aliases de
comando, com vários comandos ou hosts separados por vírgulas. Várias especificações de acesso podem ser
incluídas para um único usuário, separadas por dois pontos. O alias ALL significa todos os hosts ou comandos,
dependendo de seu contexto.

Aqui está o restante do nosso arquivo de configuração de exemplo:
# Especificações do usuário: quem pode fazer o quê onde root

ALL = ALL
% chem CHEM = DESLIGAMENTO, MONTAGEM
chavez FÍSICA = MONTAGEM: Aquiles = / sbin / swapon
Harvey ALL = NOPASSWD: SHUTDOWN
BACKUPOPS ALL,! CHEM = BACKUP, / usr / local / bin
A primeira entrada após o comentário concede raiz acesso a todos os comandos em todos os hosts. A segunda entrada
aplica-se a membros do quimica grupo (indicado pelo sinal de porcentagem inicial), que pode executar o desligamento do
sistema e comandos de montagem em qualquer computador da lista CHEM.
A terceira entrada especifica que o usuário chavez pode executar os comandos de montagem nos hosts da lista
PHYSICS e também pode executar o swapon comando no host Aquiles.
A próxima entrada permite ao usuário Harvey para executar o desligar comando em qualquer sistema, e
sudo não exigirá que ele digite sua senha (via NOPASSWD: precedendo a lista de comandos).
A entrada final se aplica aos usuários especificados para o alias BACKOPS. Em qualquer sistema, exceto
aqueles na lista CHEM (o ponto de exclamação anterior indica exclusão), eles podem executar o comando
listado no alias BACKUP, bem como qualquer comando no / diretório usr / local / bin.
Os usuários podem usar o sudo -l formulário de comando para listar os comandos disponíveis para eles por meio deste recurso.
Os comandos devem ser selecionados para uso com sudo com algum cuidado. Em particular, scripts de
shell não devem ser usados, nem qualquer utilitário que forneça shell escapa - a capacidade de
executar um comando shell de dentro de um programa interativo em execução (editores, jogos e até
mesmo utilitários de exibição de saída como Mais e Menos são exemplos comuns). Aqui está o motivo:
quando um usuário executa um comando com sudo, esse comando é executado como
raiz, portanto, se o comando permite que o usuário execute outros comandos por meio de um escape de
shell, qualquer comando que ele execute de dentro do utilitário também será executado como raiz, e todo o
propósito de sudo -conceder seletivo acesso ao comando do superusuário - será subvertido. Seguindo um
raciocínio semelhante, porque a maioria dos editores de texto fornece escapes de shell, qualquer comando
que permita ao usuário invocar um editor também deve ser evitado. Alguns utilitários administrativos (por
exemplo, SMIT do AIX) também fornecem escapes de shell.
o sudo pacote fornece o visudo comando para edição / etc / sudoers. Ele bloqueia o arquivo, evitando que dois
usuários modifiquem o arquivo simultaneamente, e executa a verificação de sintaxe quando a edição é concluída
(se houver erros, o editor é reiniciado, mas nenhuma mensagem de erro explícita é fornecida).
Existem outras maneiras de personalizar sudo. Por exemplo, desejo usar um intervalo um pouco mais longo
para uso sem senha. Mudanças desse tipo devem ser feitas reconstruindo sudo do código-fonte. Isso requer
executar novamente o configurar roteiro

com opções. Aqui está o comando que usei, que especifica um arquivo de log para todos sudo operações, define o
período sem senha para dez minutos e diz visudo para usar o editor de texto especificado no EDITOR variável de
ambiente:
# CD sudo-source-directory
# / configure --with-logpath = / var / log / sudo.log \
- - with-timeout = 10 --with-env-editor
Assim que o comando for concluído, use o faço comando para reconstruir sudo. *
sudo O recurso de registro do é importante e útil, pois permite que você controle os comandos privilegiados que são
executados. Por este motivo, usando sudo às vezes pode ser preferível a usar su mesmo quando limitando raiz- o acesso
ao comando de nível não é um problema.
A única desvantagem de sudo é que ele não fornece proteção de senha de acesso remoto
integrada. Assim, quando você executa sudo a partir de uma sessão remota insegura, as
senhas são transmitidas pela rede para qualquer intruso ver. Obviamente, o uso de SSH
pode superar essa limitação.
Comunicação com os usuários

Os comandos discutidos nesta seção são simples e familiares para a maioria dos usuários Unix. Por esse motivo,
eles costumam ser esquecidos nas discussões de administração do sistema. No entanto, acredito que você os verá
como parte indispensável de seu repertório. Um outro mecanismo de comunicação importante é o correio eletrônico
(consulte o Capítulo 9).
Enviando uma Mensagem

Um administrador de sistema freqüentemente precisa enviar uma mensagem para a tela (ou janela) de um usuário. Escreva é uma
maneira de fazer isso:
$ Escreva nome de usuário [tty]
Onde nome do usuário indica o usuário para quem você deseja enviar a mensagem. Se você quiser Escreva para um
usuário que está conectado mais de uma vez, o tty O argumento pode ser usado para selecionar o terminal ou janela
apropriada. Você pode descobrir onde um usuário está conectado usando o quem comando.
Uma vez o Escreva o comando é executado, a comunicação é estabelecida entre o seu terminal e o terminal do
usuário: as linhas que você digita em seu terminal serão transmitidas a ele. Encerre sua mensagem com um
CTRL-D. Assim, para enviar uma mensagem ao usuário
Harvey para o qual nenhuma resposta é necessária, execute um comando como este:
* Mais algumas notas de configuração: sudo também pode ser integrado ao sistema de autenticação PAM (consulte “Autenticação do usuário
com PAM” no Capítulo 6). Use o -- use-pam opção para configurar. Por outro lado, se o seu sistema não usa um arquivo de senha shadow,
você deve usar o - desabilitar sombra opção.

$ escreva para Harvey
O arquivo que você precisava foi restaurado.

Linhas adicionais de texto da mensagem
^D
Em algumas implementações (por exemplo, AIX, HP-UX e Tru64), Escreva também pode ser usado em uma rede
acrescentando um nome de host ao nome de usuário. Por exemplo, o comando abaixo inicia uma mensagem para o
usuário chavez no host chamado aldeia:
$ escreva chavez @ hamlet
Quando disponível, o rwho O comando pode ser usado para listar todos os usuários na sub-rede local (requer um
daemon remoto que esteja rodando no sistema remoto).
o falar comando é uma versão mais sofisticada de Escreva. Ele formata as mensagens entre dois usuários em
dois espaços separados na tela. O destinatário é notificado de que alguém está ligando para ela e deve emitir
seu próprio falar comando para iniciar a comunicação. A Figura 1-1 ilustra o uso de falar.
Como as telas aparecem depois que ambos os

usuários executam falar comandos:
[Conexão estabelecida] [Conexão estabelecida]
Não é ruim. Link 501 compila! Oi. Como tá indo?
Certo. De Ali Baba? _ Ótimo. Almoço?
Oi como vai? Não é ruim. Link 501 compila!

Ótimo. Almoço? Claro. De Ali Baba? _
Tela do primeiro usuário Tela do segundo usuário
Figura 1-1. Comunicação bidirecional com conversa
Os usuários podem desativar mensagens de ambos Escreva e falar usando o comando mesg n
(eles podem incluí-lo em seus. Conecte-se ou perfil arquivo de inicialização). Enviar mensagens como superusuário
substitui este comando. Esteja ciente, entretanto, que às vezes os usuários têm bons motivos para desligar as
mensagens.
Em geral, a eficácia das mensagens do sistema é inversamente proporcional à sua

frequência.
Enviando uma mensagem para todos os usuários

Se precisar enviar uma mensagem para todos os usuários do sistema, você pode usar o parede comando. parede significa
“escrever tudo” e permite que o administrador envie uma mensagem a todos os usuários simultaneamente.
Comunicando-se com os usuários | 13

Para enviar uma mensagem a todos os usuários, execute o comando:
$ parede
Seguido pela mensagem que você deseja enviar, encerrado com CTRL-D em uma linha separada
^D
O Unix então exibe uma frase como:
Transmitir mensagem da raiz no console ...
para cada usuário, seguido pelo texto da sua mensagem. Da mesma forma, o Rwall comando envia uma mensagem para
cada usuário na sub-rede local.
Qualquer pessoa pode usar este recurso; não requer status de superusuário. No entanto, como com
Escreva e falar, apenas as mensagens do superusuário substituem os usuários mesg n comandos. Um bom exemplo
de tal mensagem seria dar um aviso prévio de um desligamento iminente, mas não programado do sistema.
A Mensagem do Dia
A hora do login é uma boa hora para comunicar certos tipos de informações aos usuários. É uma das poucas vezes
em que você pode estar razoavelmente certo de ter a atenção de um usuário (enviar uma mensagem para a tela não
adianta muito se o usuário não estiver na estação de trabalho). O arquivo / etc / motd é a mensagem do dia do
sistema. Sempre que alguém efetua login, o sistema exibe o conteúdo deste arquivo. Você pode usá-lo para exibir
informações de todo o sistema, como programações de manutenção, notícias sobre novos softwares, um anúncio
sobre o aniversário de alguém ou qualquer outra coisa considerada importante e apropriada em seu sistema. Este
arquivo deve ser curto o suficiente para caber inteiramente em uma tela ou janela típica. Se não for, os usuários não
poderão ler a mensagem inteira ao fazer login.
Em muitos sistemas, um usuário pode desativar a mensagem do dia criando um arquivo chamado
. hushlogin em seu diretório inicial.
Especificando o Pre-LoginMessage
Em sistemas Solaris, HP-UX, Linux e Tru64, o conteúdo do arquivo / etc / problema é exibido imediatamente antes do
prompt de login em terminais não utilizados. Você pode personalizar esta mensagem editando este arquivo.
Em outros sistemas, os prompts de login são especificados como parte dos arquivos de configuração relacionados ao terminal; estes
são discutidos no Capítulo 12.
Sobre menus e GUIs

Há vários anos, fornecedores e programadores independentes têm desenvolvido aplicativos de administração
de sistema elaborados. O primeiro deles era orientado por menu, contendo muitos níveis de menus aninhados
organizados por subsistema ou administrativo

tarefa. Agora, a tendência é para ferramentas independentes baseadas em GUI, cada uma projetada para gerenciar alguma área
particular do sistema e executar as tarefas associadas.
Qualquer que seja seu design, todos eles são projetados para permitir que até mesmo relativamente novatos executem tarefas
administrativas de rotina. O escopo e a complexidade estética dessas ferramentas variam consideravelmente, variando de scripts
de shell que empregam listas de seleções simples e prompts a utilitários baseados em formulários executados em X. Alguns até
oferecem uma interface baseada em mouse com a qual você executa operações arrastando ícones (por exemplo , soltar um
ícone de usuário em cima de um ícone de grupo adiciona esse usuário a esse grupo, arrastar um ícone de disco para a lixeira
desmonta um sistema de arquivos e semelhantes).
Nesta seção, daremos uma olhada nessas ferramentas, começando com conceitos gerais e depois passando para
algumas notas práticas sobre as ferramentas disponíveis nos sistemas que estamos considerando (geralmente coisas
que eu gostaria de ter sabido antes). As ferramentas são muito fáceis de usar, por isso não incluirei instruções
detalhadas sobre como usá-las (consulte a documentação apropriada para isso).
Altos e baixos
As ferramentas gráficas e de administração do sistema baseadas em menus têm alguns pontos positivos definitivos:
• Eles podem fornecer um início rápido para a administração do sistema, permitindo que você execute tarefas enquanto
aprende sobre o sistema operacional e como as coisas funcionam. As melhores ferramentas incluem ajudas para
ajudá-lo a aprender os comandos administrativos padrão subjacentes.
Da mesma forma, essas ferramentas podem ser úteis para descobrir como realizar alguma tarefa pela primeira vez;
quando você não sabe como começar, pode ser difícil encontrar uma solução apenas com as páginas de manual.
• Eles podem ajudá-lo a obter a sintaxe certa para comandos complexos com muitas opções.
• Eles tornam certos tipos de operações mais convenientes ao combinar várias etapas em uma única tela de menu (por
exemplo, adicionar um usuário ou instalar uma atualização do sistema operacional).
Por outro lado, eles também têm seu lado negativo:
• Digitar o comando equivalente geralmente é significativamente mais rápido do que executá-lo em uma ferramenta
administrativa.
• Nem todos os comandos estão sempre disponíveis por meio do sistema de menus e, às vezes, apenas parte da
funcionalidade é implementada para os comandos incluídos. Freqüentemente, apenas os comandos e / ou
opções usados com mais freqüência estão disponíveis. Portanto, você ainda precisará executar algumas
versões de comandos manualmente.
• Usar uma ferramenta administrativa pode desacelerar o processo de aprendizagem e, às vezes, interrompê-lo
completamente. Eu conheci administradores inexperientes que se tornaram
Sobre menus e GUIs | 15

convencido de que certas operações simplesmente não eram possíveis simplesmente porque o sistema de
menu não as incluía.
• A GUI fornece funcionalidade exclusiva acessível apenas por meio de sua interface, portanto, criar scripts
para automatizar tarefas frequentes torna-se muito mais difícil ou impossível, especialmente quando você
deseja fazer as coisas de uma forma que o autor original não imaginou.
Na minha opinião, uma ferramenta administrativa ideal tem todas essas características:
• A ferramenta deve executar comandos normais do sistema operacional, não programas opacos e não documentados
armazenados em algum diretório obscuro e fora do caminho. A ferramenta, portanto, facilita a administração do
sistema, deixando o pensamento para o ser humano que a utiliza.
• Você deve ser capaz de exibir os comandos sendo executados, de preferência antes de serem executados.
• A ferramenta deve registrar todas as suas atividades (pelo menos opcionalmente).
• Tanto quanto possível, a ferramenta deve validar os valores inseridos pelo usuário. Na verdade, os administradores
novatos freqüentemente presumem que as ferramentas garantem que suas seleções sejam razoáveis, pensando
erroneamente que estão protegidas de qualquer coisa prejudicial.
• Todas as opções de comandos incluídos na ferramenta devem estar disponíveis para uso, exceto
quando isso violar o próximo item.
• A ferramenta não deve incluir todos os comandos administrativos. Mais especificamente, ele deve omitir
deliberadamente comandos que podem causar consequências catastróficas se forem usados incorretamente. Os
itens a serem omitidos dependem do tipo de administrador para o qual a ferramenta foi projetada; o escopo da
ferramenta deve ser diretamente proporcional à quantidade de conhecimento que o usuário presume ter. Em casos
extremos, arrastar um ícone de disco para um ícone de lata de lixo nunca deve fazer nada além de desmontá-lo e
não deve haver nenhuma maneira de, digamos, reformatar um sistema de arquivos existente. Visto que tal
ferramenta é projetada conscientemente para administradores minimamente competentes, incluir esses recursos é
apenas pedir para ter problemas.
Além disso, esses recursos tornam o uso de uma ferramenta administrativa muito mais eficiente, mas não são
absolutamente essenciais:
• Uma maneira de especificar o local de início desejado em uma árvore de menu profunda ao chamar a ferramenta.
• Um comando de saída de um toque de tecla que funciona em todos os pontos do sistema de menus.
• Ajuda contextual.
• A capacidade de limitar o acesso às subseções da ferramenta pelo usuário.
• Recursos de personalização.
Se alguém usar esses critérios, o SMIT do AIX chega mais perto de uma ferramenta administrativa ideal, uma descoberta que muitos
consideram irônica.

Como de costume, usar interfaces de menu com moderação é provavelmente a melhor abordagem. Esses
aplicativos são ótimos quando economizam tempo e esforço, mas contar com eles para conduzi-lo em todas as
situações inevitavelmente levará à frustração e decepção em algum ponto da linha.
As versões Unix que estamos considerando oferecem vários recursos de administração de sistema. Eles são resumidos
e comparados na Tabela 1-2. As colunas da tabela contêm a versão Unix, comando ou nome da ferramenta, tipo de
ferramenta, se o comando a ser executado pode ou não ser visualizado antes da execução, se a instalação pode ou
não registrar suas ações e se a ferramenta pode ou não ser usada para administrar sistemas remotos.
Tabela 1-2. Alguns recursos de administração do sistema
Versão Unix Comando / ferramenta Tipo Visualização do comando? Cria logs? uma Administrador remoto?
AIX ferir cardápio sim sim não

WSM GUI não não sim
FreeBSD sysinstall cardápio não não não
HP-UX sam ambos não sim sim
Linux Linuxconf ambos não não não
Red Hat Linux redhat-config- * GUI não não não
SuSE Linux yast cardápio não não não

yast2 GUI não não não
Solaris admintool cardápio não não não

Ferramentas de administração CDEGUI não não não
AdminSuite / SMC cardápio não sim sim
Tru64 sysman cardápio não não não

sysman -station cardápio não não sim
uma Algumas ferramentas fazem um registro um tanto indiferente no recurso de syslog, mas não é muito útil.
Existem também algumas outras ferramentas em alguns desses sistemas que serão mencionadas neste livro quando
apropriado, mas são ignoradas aqui.
AIX: SMIT e WSM

O AIX oferece dois recursos principais de administração de sistema: o System Management Interface Tool
(SMIT) e o recurso Workspace System Manager (WSM). Ambos são executados em modo gráfico e de texto.
O SMIT consiste em uma série de vários níveis de menus aninhados. Seu menu principal é ilustrado na Figura 1-2.
Um dos recursos mais úteis do SMIT é a visualização do comando: se você clicar no botão Comando ou
pressionar F6, o SMIT exibirá o comando a ser executado pelo diálogo atual. Este recurso é ilustrado na
janela à direita na Figura 1-2.
Você também pode ir diretamente para qualquer tela, incluindo o correspondente caminho rápido palavra-chave no ferir
linha de comando. Muitos atalhos do SMIT são iguais ao comando

Por que menus e ícones não são suficientes
Cada site precisa de pelo menos um administrador de sistema experiente que pode executar as tarefas que estão além das
habilidades da ferramenta administrativa. Não apenas todas as ferramentas atuais deixam uma quantidade significativa de
território descoberto, mas também todas sofrem de limitações inerentes aos programas projetados para operações de rotina
em condições normais do sistema. Quando o sistema está com problemas e essas suposições não são mais válidas, as
ferramentas não funcionam.
Por exemplo, já estive em uma situação em que a ferramenta administrativa não conseguiu configurar uma
substituição porque o disco antigo não foi desconfigurado corretamente antes de ser removido. Uma parte da
ferramenta pensava que o disco antigo ainda estava no sistema e não iria substituí-lo, enquanto outra parte não
apagaria os dados de configuração antigos porque não conseguia acessar o disco físico correspondente.
Consegui resolver esse problema porque entendi o suficiente sobre o banco de dados de dispositivos daquele sistema
para consertar as coisas manualmente. Essas coisas não acontecerão apenas a todos os sistemas de vez em quando,
mas também a todos, mais cedo ou mais tarde. É muito mais fácil fazer um sistema voltar à vida do modo de usuário único
após uma queda de energia quando você entende, por exemplo, o que o item de menu Check Filesystem Integrity
realmente faz. No final, vocês precisa saber como as coisas realmente funcionam.
Figura 1-2. A instalação AIX SMIT
executado a partir de uma tela específica. Muitos outros atalhos seguem um padrão previsível, começando
com um dos prefixos mk fazer ou iniciar), CH ( alterar ou reconfigurar),
ls ( lista), ou rm ( remover ou parar), ao qual um código de objeto é anexado: mkuser, chuser,

lsuser, rmuser para trabalhar com contas de usuário; mkprt, chprt, lsprt, rmprt para trabalhar com impressoras e assim por diante.
Portanto, geralmente é fácil adivinhar o caminho rápido que você deseja.
Você pode exibir o atalho para qualquer tela SMIT pressionando F8 na versão ASCII da ferramenta:
Atalho atual:
"mkuser"
Se a tela não tiver um caminho rápido, a segunda linha ficará em branco. Outros atalhos úteis que são mais difíceis
de adivinhar incluem o seguinte:
chgsys
Visualize / altere os parâmetros do AIX.
configtcp
Reconfigure o TCP / IP.
crfs
Crie um novo sistema de arquivos.
lvm
Menu principal do gerenciador de volume lógico.
_nfs
Menu principal do NFS.
spooler
Manipule trabalhos de impressão.
Aqui estão algumas notas adicionais do SMIT:
• O smitty O comando pode ser usado para iniciar a versão ASCII do SMIT de dentro de uma sessão X
(em que a versão gráfica é chamada por padrão).
• Embora eu goste deles, muitas pessoas ficam incomodadas com os arquivos de log do SMIT. Você pode usar um comando
como este para eliminar os arquivos de log SMIT:
$ smit -s / dev / null -l / dev / null ...
Você pode definir um alias em seu arquivo de inicialização do shell para se livrar desses arquivos permanentemente (os
usuários do shell C omitiriam o sinal de igual):
alias smit = "/ usr / sbin / smitty -s / dev / null -l / dev / null"
• smit -x fornece um modo de visualização de comando. Os comandos que seriam executados são gravados no arquivo de
log, mas não executados.
• Versões mais recentes de ferir têm o seguinte recurso irritante: quando um comando foi concluído com êxito e
você clica em Concluído para fechar a janela de saída, você é levado de volta à janela de configuração do
comando. Neste ponto, para sair, você deve clicar em Cancelar, não em OK. Fazer o último fará com que o
comando seja executado novamente, o que não é o que você deseja e às vezes é bastante problemático!
O recurso WSM contém uma variedade de ferramentas baseadas em GUI para gerenciar vários aspectos do sistema.
Sua funcionalidade é um superconjunto do SMIT e tem a vantagem de ser capaz de administrar sistemas remotos
(requer que os sistemas remotos estejam em execução

um servidor da web). Você pode acessar o WSM por meio da área de aplicativos do Common Desktop Environment:
clique no ícone do arquivo (aquele com a calculadora aparecendo); as ferramentas de administração do sistema estão
acessíveis no ícone System_Admin. Você também pode executar uma versão de linha de comando do WSM por meio
do wsm comando.
As ferramentas WSM são executadas em um sistema remoto por meio de um navegador da web habilitado para Java. Você pode se
conectar às ferramentas apontando o navegador para http: // nome de anfitrião/ wsm.html, Onde
nome de anfitrião corresponde ao sistema remoto desejado. Claro, você também pode executar a versão em texto
digitando o wsm comando em uma sessão de terminal remoto.
HP-UX: SAM
O HP-UX fornece o System Administration Manager, também conhecido como SAM. O SAM é fácil de usar e pode executar
uma variedade de tarefas de gerenciamento de sistema. O SAM opera tanto no modo baseado em menu quanto no modo
GUI, embora o último exija suporte para Motif.
Os itens nos menus do SAM invocam uma combinação de comandos normais do HP-UX e scripts e programas especiais,
portanto, nem sempre é óbvio o que eles fazem. Uma maneira de descobrir mais é usar o recurso de registro integrado do
SAM. O SAM permite que você especifique o nível de detalhe nas exibições do arquivo de log e, opcionalmente, você
pode manter o log aberto enquanto trabalha para monitorar o que realmente está acontecendo. A janela principal do SAM
e a tela de registro são ilustradas na Figura 1-3.
Se você realmente deseja saber o que o SAM está fazendo, você precisará consultar seus arquivos de configuração, armazenados
nos subdiretórios de / usr / sam / lib. A maioria dos subdiretórios tem nomes de dois caracteres, intimamente relacionados a um
ícone de nível superior ou item de menu. Por exemplo, o
ug subdiretório contém arquivos para o módulo Usuários e Grupos e o PM subdiretório contém aqueles para
gerenciamento de processos. Se você examinar o. tm arquivo lá, você pode descobrir o que alguns dos itens de
menu fazem. Este exemplo ilustra os tipos de itens a serem procurados nesses arquivos:
# egrep '^ tarefa [az] | ^ * execute' pm.tm

task pm_get_ps {
execute "/ usr / sam / lbin / pm_parse_ps"
tarefa pm_add_cron {
execute a tarefa "/ usr / sam / lbin / cron_change ADD / var / sam / pm_tmpfile"
pm_add_cron_check {
execute a tarefa "/ usr / sam / lbin / cron_change CHECK / var / sam / pm_tmpfile"
pm_mod_nice {
execute a tarefa "unset UNIX95; / usr / sbin / renice -n% $ INT_ID%% $ STRING_ID%" pm_rm_cron
{
execute "/ usr / sam / lbin / cron_change REMOVE / var / sam / pm_tmpfile"
Os itens vêm em pares, relacionando um item de menu ou ícone e um comando real do HP-UX. Por exemplo,
o quarto par na saída anterior permite que você descubra o que o item de menu Modify Nice Priority faz
(executa o Renice comando). O segundo par indica que o item relacionado à adição cron entradas executa o
script de shell listado; você pode examinar esse arquivo diretamente para obter mais detalhes.

Figura 1-3. A instalação do SAM HP-UX
Há outro arquivo de configuração para cada item do menu principal no / usr / sam / lib / C
subdiretório, nomeado pm.ui nesse caso. Examinar as linhas que contêm “ação” e “fazer” fornece informações semelhantes.
Observe que as entradas "fazer" que terminam com parênteses (por exemplo, faça pm_forcekill_xmit ()) indique uma chamada
para uma rotina em uma das bibliotecas compartilhadas de componentes do SAM, o que significará o fim da trilha de seu
trabalho de detetive.
O SAM permite que você conceda acesso de maneira seletiva às suas áreas funcionais por usuário. Invoque-o via sam
-r para configurar privilégios e restrições de usuário. Neste modo, você seleciona o usuário ou grupo para o qual
deseja definir o acesso permitido e, em seguida, navega pelos vários ícones e menus, habilitando ou desabilitando
itens conforme apropriado. Quando terminar, você pode salvar essas configurações e também salvar grupos de
configurações como modelos de permissão nomeados que podem ser posteriormente aplicados a outros usuários e
grupos.
Neste modo, o display do SAM muda e os ícones são coloridos indicando o acesso permitido: vermelho
para proibido, verde para permitido e amarelo quando alguns recursos são permitidos e outros
proibidos.
Você pode usar o SAM para administração remota selecionando o ícone Executar SAM no Sistema Remoto na janela
principal. Na primeira vez que você se conecta a um sistema remoto específico, o SAM configura automaticamente o
ambiente.

Solaris: admintool e SunManagement Console
De um certo ponto de vista, as versões atuais do Solaris realmente oferecem três opções de ferramentas distintas:
• admintool, o pacote de administração do sistema baseado em menu disponível no Solaris por muitos anos. Você deve
ser um membro do administrador de sistema grupo para executar este programa.
• Um conjunto de ferramentas baseadas em GUI encontradas sob o ícone System_Admin da janela do Gerenciador
de Aplicativos sob o Common Desktop Environment (CDE), que é ilustrado à esquerda na Figura 1-4. Selecione
os aplicativos Ý Caminho do menu do Application Manager a partir do menu do CDE para abrir esta janela. A
maioria dessas ferramentas são utilitários muito simples e de uma tarefa relacionados ao gerenciamento de mídia,
embora também haja um ícone lá para admintool.
• O Solaris AdminSuite, cujos componentes são controlados pelo Sun Management Console
(SMC). A janela principal da instalação é ilustrada à direita na Figura 1-4.
Em alguns casos, este pacote está incluído no sistema operacional Solaris. Também está disponível para
download (gratuito) (de http://www.sun.com/bigadmin/content/ adminpack /). Na verdade, vale a pena fazer o
download durante a noite necessário se você tiver apenas um modem lento (duas noites se você quiser a
documentação também).
Esta ferramenta pode ser usada para realizar tarefas administrativas em sistemas remotos. Você especifica o
sistema no qual deseja operar ao efetuar login nas instalações.
Figura 1-4. Ferramentas de administração do sistema Solaris
Linux: Linuxconf
Muitos sistemas Linux, incluindo algumas versões do Red Hat, oferecem a ferramenta administrativa gráfica
Linuxconf escrita por Jacques Gélinas. Esta ferramenta também pode ser usada com outras distribuições Linux
(veja http://www.solucorp.qc.ca/linuxconf/). É ilustrado na Figura 1-5.

Figura 1-5. A facilidade Linuxconf
O sistema de menus da ferramenta está localizado na área à esquerda e os formulários relacionados à seleção atual são
exibidos à direita. Várias das subseções do programa podem ser acessadas diretamente por meio de comandos separados
(que são na verdade apenas links para o principal
Linuxconf executável): fsconf, mailconf, modemconf, netconf, userconf, e uucpconf,
que administram sistemas de arquivos, correio eletrônico, modems, parâmetros de rede, usuários e grupos e
UUCP, respectivamente.
As primeiras versões do Linuxconf eram terríveis: cheias de bugs e incrivelmente lentas. No entanto, as versões mais
recentes melhoraram um pouco, e a versão atual é muito boa. O Linuxconf tende a suportar todas as opções disponíveis
em detrimento da facilidade de uso do novato às vezes (uma escolha com a qual não vou brigar). Como resultado, é uma
ferramenta que pode tornar muitos tipos de tarefas de configuração mais fáceis para um administrador experiente;
usuários menos experientes podem achar o número de configurações em algumas caixas de diálogo um tanto
desanimador. Você também pode especificar o acesso ao Linuxconf e suas várias subseções por usuário (isso é
configurado por meio das configurações da conta do usuário).
Red Hat Linux: redhat-con ﬁ g- *

O Red Hat Linux fornece várias ferramentas de administração baseadas em GUI, incluindo estas:
redhat-config-bindconf
Configure o servidor DNS ( redhat-config-bind na versão 7.2).
redhat-config-network
Configure a rede no host local (novo no Red Hat Versão 7.3).
redhat-config-printer-gui
Configure e gerencie as filas de impressão e o servidor de impressão.
redhat-config-services
Selecione os servidores a serem iniciados no momento da inicialização.

redhat-config-date e redhat-config-time
Defina a data e / ou hora.
redhat-config-users
Configure contas de usuário e grupos.
Freqüentemente, há links para alguns desses utilitários com nomes diferentes (mais curtos). Eles também podem ser
acessados por meio de ícones no ícone Configurações do sistema em Iniciar aqui. A Figura 1-6 ilustra as caixas de diálogo
para criar uma nova conta de usuário (esquerda) e especificar o servidor DNS do sistema local (direita).
Figura 1-6. Ferramentas de configuração do sistema Red Hat Linux
SuSE Linux: YaST2

O “YaST” no YaST2 significa “mais uma ferramenta de configuração”. É uma continuação do YaST original e,
como o programa anterior (que também está disponível), é um recurso de administração baseado em menu um
tanto aprimorado. A janela principal do programa é ilustrada na Figura 1-7.
o yast2 comando é usado para iniciar a ferramenta. Geralmente, a ferramenta é fácil de usar e faz seu trabalho
muito bem. No entanto, tem uma desvantagem. Sempre que você adiciona um novo pacote ou faz outros tipos
de alterações na configuração do sistema, o
SuSEconfig script é executado (na verdade, uma série de scripts em / sbin / conf.d). Antes do SuSE versão 8, esse processo era
terrivelmente lento.
SuSEconfig as ações de são controladas pelas configurações no / etc / rc.config arquivo de configuração,
bem como aqueles em / etc / rc.config.d ( SuSE Versão 7) ou / etc / sysconfig ( SuSE Versão 8). Sua lentidão
decorre do fato de que toda ação é executada sempre que algo muda no sistema; em outras palavras, não
possui nenhuma inteligência que lhe permita operar apenas nos itens e áreas que foram modificados.
Pior ainda, em sistemas SuSE 7, SuSEconfig as ações de ocasionalmente são simplesmente erradas. Um
exemplo particularmente notório ocorre com o pacote de correio eletrônico Postfix. Por padrão, o arquivo de
configuração Postfix principal, main.cf, é sobrescrito

Figura 1-7. O recurso SuSE Linux YaST2
toda vez que o Postfix SuSEconfig o subscrito é executado. * O último acontece sempre SuSEconfig é executado, o que acontece
praticamente toda vez que você muda alguma coisa no sistema com o YaST ou YaST2 (independentemente de sua falta de
relevância para o Postfix). O resultado líquido é que qualquer personalização local para main.cf dá o fora. Claramente, adicionar
um novo pacote de jogo, por exemplo, não deve destruir um arquivo de configuração de correio eletrônico importante.
Felizmente, esses problemas foram resolvidos no SuSE versão 8. Eu também uso o YaST2 em sistemas SuSE 7,
mas examinei todos os subscritos de componentes completamente e fiz alterações nos arquivos de configuração
para desabilitar ações indesejadas. Você deveria fazer o mesmo.
FreeBSD: sysinstall
FreeBSD oferece apenas o sysinstall utilitário em termos de ferramentas administrativas, o mesmo programa que
gerencia as instalações e atualizações do sistema operacional (seu menu principal é ilustrado na Figura 1-8).
Conseqüentemente, as tarefas que ele pode realizar são limitadas às que surgem no contexto das instalações do
sistema operacional: gerenciamento de discos e partições, configuração de rede básica e assim por diante.
* Você pode evitar isso definindo POSTFIX_CREATECF como no em / etc / rc.config.d / postfix.rc.config.

Figura 1-8. O recurso sysinstall do FreeBSD
Os itens de menu Configurar e Índice são de interesse para tarefas gerais de administração do sistema. O último é
especialmente útil porque lista individualmente todas as operações disponíveis que a ferramenta pode realizar.
Tru64: SysMan
O sistema operacional Tru64 oferece o recurso SysMan. Essa ferramenta é essencialmente orientada por menus, apesar do fato
de poder ser executada em vários ambientes gráficos, inclusive por meio de um navegador habilitado para Java 1.1. O SysMan
pode ser executado em dois modos diferentes, conforme mostrado na Figura 1-9: como um utilitário de administração do sistema
para o sistema local ou como uma estação de monitoramento e gerenciamento para a rede. Esses dois modos de operação são
selecionados com o sysman do comando - cardápio e - estação opções, respectivamente; - cardápio é o padrão.
Este utilitário não possui nenhuma visualização de comando ou recursos de registro, mas possui uma variedade de “aceleradores”:
palavras-chave que podem ser usadas para iniciar uma sessão em um ponto de menu específico. Por exemplo, desligamento do
sysman leva você diretamente para a caixa de diálogo de desligamento do sistema. Use o comando sysman -list para obter uma lista
completa de todos os aceleradores definidos.
Uma nota final: o perspicácia o daemon deve estar em execução para poder acessar a ajuda online do
SysMan.
Outras ferramentas de administração disponíveis gratuitamente

Os sistemas operacionais disponíveis gratuitamente geralmente fornecem algumas ferramentas administrativas adicionais
como parte dos vários pacotes de gerenciador de janelas que eles incluem. Por exemplo, os ambientes de desktop Gnome
e KDE incluem vários ambientes administrativos

Figura 1-9. A instalação SysMan
miniaplicativos e utilitários. Aqueles disponíveis no KDE em um sistema SuSE Linux são ilustrados na Figura 1-10.
Vamos considerar algumas das melhores dessas ferramentas de tempos em tempos neste livro.
As ferramentas de configuração do Ximian
O projeto Ximian reúne a versão mais recente do desktop Gnome, o recurso de atualização de software do sistema
baseado na web Red Carpet e vários outros itens no que foi projetado para ser um ambiente de desktop de qualidade
comercial. No momento em que este livro foi escrito, ele estava disponível para várias distribuições Linux e sistemas
Solaris. Portas adicionais, incluindo BSD, estão planejadas para o futuro.
As ferramentas de configuração Ximian são uma série de miniaplicativos projetados para facilitar a administração do sistema, em
última análise, em um ambiente multiplataforma. Módulos atuais permitem que você

Figura 1-10. Ferramentas administrativas KDE em um sistema SuSE Linux
administre a configuração de inicialização (ou seja, seleção de kernel), discos, espaço de troca, usuários, rede básica, sistemas de
arquivos compartilhados, impressão e a hora do sistema. O miniaplicativo para o último é ilustrado na Figura 1-11.
Figura 1-11. As ferramentas de configuração do Ximian
Este applet, mesmo nesta encarnação inicial, vai muito além de um simples diálogo permitindo que você defina a data e hora
atuais; também permite especificar servidores de horário para sincronização de horário com base na Internet. As outras
ferramentas são de qualidade semelhante, e o pacote parece muito promissor para aqueles que desejam ferramentas de
administração de sistema baseadas em GUI.

VNC
Fecharei esta seção examinando brevemente uma ferramenta administrativa adicional que pode ser muito útil
para administração remota, especialmente em um ambiente heterogêneo. É chamado de VNC, que significa
“computação de rede virtual”. O pacote está disponível para uma ampla variedade de sistemas Unix * em http://www.uk.research.att.com/vnc/.
Isso é mostrado na Figura 1-12.
Figura 1-12. Usando VNC para administração remota do sistema
A ilustração mostra toda a área de trabalho em um sistema SuSE Linux. Você pode ver vários de seus ícones ao longo da
borda esquerda, bem como a barra de ferramentas na parte inferior da tela (onde você pode determinar que ele está
executando o gerenciador de janelas KDE).
As quatro janelas abertas são três sessões VNC individuais para diferentes computadores remotos, cada um executando
um sistema operacional diferente e uma sessão YaST local. Começando no canto superior esquerdo e movendo no
sentido horário, as sessões remotas são um sistema Red Hat Linux (o Linuxconf está aberto), um sistema Solaris
(podemos ver admintool), e um sistema HP-UX (executando SAM).
O VNC tem algumas vantagens sobre as sessões de aplicativo remoto exibidas por meio do sistema X Windows:
* Versões binárias oficiais das várias ferramentas estão disponíveis para alguns sistemas na página mainweb. Além disso, consulte o contrib área para portos
para sistemas adicionais. Normalmente, também é fácil construir as ferramentas a partir do código-fonte.

• Com o VNC, você vê toda a área de trabalho, não apenas uma janela do aplicativo. Assim, você pode acessar os
aplicativos por meio dos ícones e menus do próprio sistema remoto (que podem ser muito menos convenientes para
iniciar por meio de comandos).
• Você elimina problemas de fontes ausentes e muitos outros problemas de exibição e recursos,
porque está usando o servidor X no sistema remoto para gerar as imagens de exibição em vez
do sistema local.
Para usar o VNC, você deve baixar o software e construir ou instalar os cinco executáveis que o compõem
(convencionalmente, eles são colocados em / usr / local / bin). Em seguida, você deve iniciar um processo de
servidor em sistemas que deseja administrar remotamente, usando o vncserver comando:
jardim- $ vncserver
Você precisará de uma senha para acessar seus desktops.
Senha: Não ecoou.

Verificar:
A nova área de trabalho 'X' é jardim: 1
Criando script de inicialização padrão /home/chavez/.vnc/xstartup Iniciando aplicativos

especificados em /home/chavez/.vnc/xstartup O arquivo de log é
/home/chavez/.vnc/garden:1.log
Este exemplo inicia um servidor no host jardim. A primeira vez que você executa o vncserver
comando, será solicitada uma senha. Esta senha, que é independente da sua senha Unix normal,
será necessária para se conectar ao servidor.
Assim que o servidor estiver em execução, você se conecta a ele executando o vncviewer comando. Neste exemplo, nos
conectamos ao vncserver em jardim:
deserto- $ vncviewer garden: 1
O parâmetro fornecido é o mesmo que foi indicado quando o servidor foi iniciado. O VNC permite que vários
servidores funcionem simultaneamente.
Para desligar um servidor VNC, execute um comando como este no sistema remoto (ou seja, o
sistema onde o servidor foi iniciado):
jardim- $ vncserver -kill: 1
Apenas a senha do servidor VNC é necessária para a conexão. Os nomes de usuário não são verificados,
então um usuário comum pode se conectar a um servidor iniciado por
raiz se ela souber a senha correta. Portanto, é importante selecionar senhas fortes para
a senha do servidor (consulte “Administração de senhas de usuários” no Capítulo 6) e
usar uma senha diferente da normal se essas conexões de usuário cruzado forem
necessárias.
Além disso, as senhas do VNC são enviadas em texto simples pela rede. Portanto, usar o VNC é
problemático em uma rede insegura. Nessas circunstâncias, o tráfego VNC pode ser
criptografado por meio de um túnel por meio de um protocolo seguro, como SSH.

Para onde o tempo vai?
Fecharemos este capítulo com uma breve olhada em um utilitário interessante que pode ser útil para controlar como
você gasta seu tempo, informações que os administradores de sistema encontrarão que serão úteis com muita
frequência. É chamado penoso e foi escrito por Hal Pomeranz (ver http://bullwinkle.deer-run.com/~hal/plod/). Embora
existam utilitários semelhantes com uma interface GUI (por exemplo, gtt e karm, dos pacotes de gerenciadores de
janela Gnome e KDE, respectivamente), eu prefiro este mais simples que não requer um ambiente gráfico.
penoso funciona mantendo um arquivo de log contendo entradas com carimbo de hora que você fornece; o local padrão dos
arquivos é ~ /. logdir / yyyymm, Onde aaaa e milímetros indicar o ano e mês em curso, respectivamente. penoso os arquivos de
log podem ser opcionalmente criptografados.
O comando tem muitas opções, mas sua forma mais simples é a seguinte:
$ plod [ texto]
Se algum texto for incluído no comando, ele será gravado no arquivo de log (marcado com a data e hora
atuais). Caso contrário, você entra no modo interativo do comando, no qual pode digitar o texto desejado. A
entrada termina com uma linha contendo um ponto único.
Depois de acumular algumas entradas de registro, você pode usar o comando - C, -P, e -
E opções para exibi-los, seja como saída contínua, canalizada por meio de um comando de paginação como Mais ( Apesar
Menos é o padrão) ou por meio de um editor ( vi é o padrão). Você pode especificar um programa de paging diferente ou
editor com o PAGER e EDITOR variáveis de ambiente (respectivamente).
Você também pode usar o - G opção para pesquisar penoso arquivos de log; difere de grep em que as entradas correspondentes são
exibidas em sua totalidade. Por padrão, as pesquisas não diferenciam maiúsculas de minúsculas, mas você pode usar - g para torná-los
assim.
Aqui está um exemplo de comando que pesquisa o arquivo de registro atual:
$ plod -g hp-ux
-----
11/05/2001, 22:56 -
Começando a configurar a nova caixa HP-UX.
-----
11/05/2001, 23:44 -
Concluída a configuração da nova caixa HP-UX.
Dados esses recursos, penoso pode ser usado para registrar e categorizar as várias tarefas que você
executa. Veremos um roteiro que pode ler e resumir penoso dados no Capítulo 14.
Para onde o tempo vai? | 31


Essential System Administration 3rd - PORTUGUESpdf PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Essential System Administration 3rd - PORTUGUESpdf PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Capítulo 1

Tabela 1-1. Tarefas típicas de administração de sistema

Este é o título do livro, eMatter Edition

Instalação de programas e atualizações do sistema operacional. Mesmo.

Indo para reuniões. Sem reuniões, mas muitas conversas casuais.

2 | Capítulo 1: Introdução à administração do sistema

Este é o título do livro, eMatter Edition

Pensando na administração do sistema

O gerenciamento do sistema freqüentemente parece envolver uma tensão entre autoridade e

Pensando na administração do sistema | 3

Este é o título do livro, eMatter Edition

# kill -9 `ps aux | awk '$ 1 == "chavez" {print $ 2}'

Você tem muitos processos idênticos em execução no Dalton. Posso ajudar em

Em grande medida, uma administração de sistema bem-sucedida é uma combinação de planejamento

qualquer uma de suas tarefas componentes:

• Planeje antes de fazer.

• Torne-o reversível (backups ajudam muito com este).

4 Capítulo 1: Introdução à administração do sistema

Este é o título do livro, eMatter Edition

• Teste, teste, teste, antes de liberar no mundo.

Alguns administradores usam um sistema de controle de revisão para rastrear as mudanças em

Pensando na administração do sistema | 5

Este é o título do livro, eMatter Edition

6 | Capítulo 1: Introdução à administração do sistema

Este é o título do livro, eMatter Edition

# senha Funciona na maioria das vezes.

# passwd root Sistemas Solaris e FreeBSD ao fazer root.

Este é o título do livro, eMatter Edition

# lsuser -a sugroups root

8 | Capítulo 1: Introdução à administração do sistema

Este é o título do livro, eMatter Edition

$ su root -c " comando"

$ su root -c "ejetar / cdrom"

Os comandos e a saída seriam ligeiramente diferentes em outros sistemas.

sudo: acesso seletivo aos comandos do superusuário

Este é o título do livro, eMatter Edition

$ sudo / sbin / shutdown ...

# Especificações de alias de host: nomes para listas de host Host_Alias

# Especificações de alias de usuário: grupos nomeados de usuários User_Alias

# Especificações de alias de comando: nomes para grupos de comando Cmnd_Alias

host = comando (s) [: host = comando (s) ...]

10 Capítulo 1: Introdução à administração do sistema

Este é o título do livro, eMatter Edition

# Especificações do usuário: quem pode fazer o quê onde root

Este é o título do livro, eMatter Edition

Comunicação com os usuários

Enviando uma Mensagem

maneira de fazer isso:

$ Escreva nome de usuário [tty]

12 Capítulo 1: Introdução à administração do sistema

Este é o título do livro, eMatter Edition

O arquivo que você precisava foi restaurado.

$ escreva chavez @ hamlet

Como as telas aparecem depois que ambos os

[Conexão estabelecida] [Conexão estabelecida]

Não é ruim. Link 501 compila! Oi. Como tá indo?

Certo. De Ali Baba? _ Ótimo. Almoço?

Oi como vai? Não é ruim. Link 501 compila!

Tela do primeiro usuário Tela do segundo usuário

Figura 1-1. Comunicação bidirecional com conversa

Em geral, a eficácia das mensagens do sistema é inversamente proporcional à sua

Enviando uma mensagem para todos os usuários

Comunicando-se com os usuários | 13