Для чего может понадобиться создавать програмный зеркальный RAID на сервере — многие RAID контролеры интегрированные в материнские платы попросту не потдерживаются FreeBSD, даже если они и потдерживаются то зачастую не имеют никаких средств мониторинга состояния RAID, тоже касается и аппаратных рэйд контролеров. Например аппаратный RAID-контроллер Intel® SRCSATAWB имеет драйвера и утилиты только под windows и linux, хотя он и потдерживается последними релизами FreeBSD, но не имеет утилит с помощью которых можно было проводить мониторинг состояния дисков. А это обозначает, что мы узнаем о крахе дисков, когда наш сервер выйдет из строя и смысл такого рейда попросту теряется.
Приступим к созданию програмного RAID:
Имеется два одинаковых по размеру диска, будет хорошо если диски будут одинаковой модели.
/dev/ad0 и /dev/ad1
Делаем разбивку на партиции и устанавливаем ОС на первый жесткий диск ad0(названия дисков в вашей системе могут отличаться в зависимости от типа используемых дисков IDE,SATA,SCSI,SAS)
Читать далее…
By Christopher Negus, Francois Caen
This handy, compact guide teaches you to use BSD UNIX systems as the experts do: from the command line. Try out more than 1,000 commands to find and get software, monitor system health and security, and access network resources. Apply the skills you learn from this book to use and administer servers and desktops running FreeBSD, OpenBSD, NetBSD, or any other BSD flavor.
Expand your BSD UNIX expertise in these and other areas:
* Using the shell
* Finding online software
* Working with files
* Playing with music and images
* Administering file systems
* Backing up data
* Checking and managing running processes
* Accessing network resources
* Handling remote system administration
* Locking down security
Скачать: book.pdf
Введение
Есть такая удобная штука как CDP ( Cisco Discovery Protocol ) — проприетарный протокол второго уровня модели OSI, разработанный компанией Сisco Systems, позволяющий обнаруживать подключенное (напрямую или через устройства первого уровня) сетевое оборудование Сisco, его название, версию IOS и IP-адреса.
Устройство посылает мультикаст анонс на MAC адрес 0100.0ccc.cccc. В конфигурации по-умолчанию анонсы рассылаются каждые 60 секунд на порты Ethernet, Frame Relay и ATM. Каждое устройство, понимающее протокол, сохраняет полученную информацию в таблице и позволяет посмотреть её по команде show cdp neighbours. Если устройство трижды не прислало анонс (при значениях по-умолчанию — 3 минуты), оно удаляется из таблицы. Возникло желание на оборудовании Cisco видеть, какие сервера FreeBSD и через какие сетевые карты подключены.
Практическая реализация Читать далее…
Farrokhi B.Network Administration with FreeBSD
Babak Farrokhi is an experienced UNIX system administrator and Network
Engineer who worked for 12 years in the IT industry in carrier-level network service
providers. He discovered FreeBSD around 1997 and since then he has been using it
on a daily basis. He is also an experienced Solaris administrator and has extensive
experience in TCP/IP networks.
Cкачать: book.pdf
Оригинал: http://it-expert.com.ua/weblog/message/406/
Что же представляет собой netgraph?
Если в двух словах, то netgraph это как высокоуровневый Basic для
сетевых сервисов по сравнению с машинным кодом. Идеология netgraph
позволяет путем создания визуальных графов из «кубиков» протоколов,
портов и сервисов как бы строить взаимодействие сетевых компонентов
простым созданием связей между «кубиками». Читать далее…
Черные дыры.
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
Это превращает машину в черную дыру при попытке подключиться к портам,
которые не слушают. Nmap по настоящему не любит это.
Защита очереди сокета от SYN атак.
Основной из самых популярных атак остается SYN флуд, при которой
очередь сокета атакуемого хоста переполняется некорректными попытками
соединений. Для защиты от таких атак некоторые из UNIX поддерживают
отдельные очереди для входящих запросов на соединение. Одна очередь
для полуоткрытых сокетов (SYN получен, SYN|ACK послан), другая очередь
для полностью открытых сокетов, ждущих вызова accept() от программы.
Эти две очереди должны быть увеличены, чтобы атаки малой и средней
интенсивности почти не влияли на стабильность и доступность сервера.
kern.ipc.somaxconn=1024
Редиректы (Перенаправления)
Атакующий может использовать IP redirect для изменения таблицы
марщрутизации на удаленном хосте. В хорошо разработанной сети
редиректы на конечные станции не должны требоваться. Оба — отправка и
принятие редиректов должны быть отключены.
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
Читать далее…
UNIX IP Stack Tuning Guide v2.7
http://www.cymru.com/Documents/ip-stack-tuning.html
By Rob Thomas
Introduction
The purpose of this document is to strengthen the UNIX IP stack
against a variety of attack types prevalent on the Internet today.
This document details the settings recommended for UNIX servers
designed to provide network intensive services such as HTTP or routing
(firewall services). This document covers the following UNIX variants:
A. IBM AIX 4.3.X
B. Sun Solaris 7
C. Compaq Tru64 UNIX 5.X
D. HP HP-UX 11.0 (research ongoing)
E. Linux kernel 2.2 (tested both SuSE Linux 7.0 and RedHat 7.0)
F. FreeBSD
G. IRIX 6.5.10
Читать далее…
Книга известного профессионала в области операционных систем и сетевых технологий посвящена очередной версии самой популярной в настоящее время операционной системе с открытым исходным кодом — FreeBSD 6. Подробно рассматриваются такие вопросы, как установка, сборка и конфигурирование FreeBSD из коллекции портов, загрузка и завершение работы системы, работа в командной строке и в графических оболочках X Window System, настройка безопасности и организация сетей на базе FreeBSD 6. Большое внимание уделяется файловым системам, установке программного обеспечения Web-сервера Apache, совместной работе множества пользователей, а также поиску и устранению неполадок. Книга изобилует не только множеством примеров из реальной жизни, но также снабжена теоретическими сведениями по таким сложным темам, как протоколы и маршрутизация.
Прилагаемый к книге DVD-диск содержит дистрибутив FreeBSD 6.1, текущую коллекцию портов и многое другое.
Книга рассчитана на пользователей и администраторов разной квалификации, а также может быть полезна для студентов и преподавателей соответствующих специальностей.
Скачать: freebsd6taimen.djvu
Стенограмма выступления Игоря Сысоева с конференции РИТ-2007.
mbuf clusters
FreeBSD хранит сетевые данные в mbuf clusters, размер каждого 2Кб, но из
них используется только около 1500 байт (по размеру Ethernet пакета).
mbufs
Для каждого mbuf кластера нужен «mbuf», который имеет размер 256 байт и
нужен для организации связи цепочек из mbuf кластеров. В mbuf можно поместить
полезную информацию в районе 100 байт, но это не всегда используется.
Если в машине 1Гб и больше памяти, то по умолчанию будет создано 25 тыс. mbuf кластеров,
что не всегда достаточно.
При ситуации исчерпания числа свободных mbuf кластеров FreeBSD попадает в
состояние zonelimit и перестает отвечать на запросы по сети,
в top это выглядит как «zoneli». Единственная возможность как-то повлиять на
ситуацию — это зайти с локальной консоли и перезагрузить систему, уничтожить
процесс находящийся в состоянии «zoneli» невозможно. Для Linux 2.6.x данная проблема
тоже характерна, причем работать переставала даже консоль.
PID USERNAME THR PRI NICE SIZE RES STATE TIME WCPU COMMAND
13654 nobody 1 4 0 59912K 59484K zoneli 209:26 0.00% nginx
Для выхода из этой ситуации существует патч возвращающий приложению ошибку ENOBUFS,
сигнализирующий о попадании в состояние «zoneli», после чего программа может
закрыть лишние соединения. К сожалению патч пока не принят в состав FreeBSD. Читать далее…
И так имеем платформу intel 2500LX на борту 2 четырехядерных Intel Xeon E5420 2500MHz, 8 гигабайт оперативной памяти, Adaptec RAID 5805 c 1,5 терабайтным массивом RAID 5E. RAID5E подобен уровню RAID5, только со встроенным в массив резервным диском. Задача настроить на базе этой платформы систему для хостинга виртуальных машин на ОС FreeBSD с помощью продукта VDSmanager от ISPsystem.
Выдержки с сайта ISPsystem:
Ниже приведён краткий список основных изменений, коснувшихся стандартного ядра FreeBSD:
- поддержка ограничений CPU для виртуальной среды.
- поддержка ограничений оперативной памяти для виртуальной среды, с системой остановки больших процессов при превышении лимита.
- персональные параметры работы со свопом (swap): лимиты, использование, статистика.
- файловая система, основанная на шаблонах.
- поддержка дисковых квот внутри виртуальной среды.
- поддержка ограничений на количество процессов.
- поддержка ограничений на количество открытых дескрипторов (файлов, сокетов и т.д.).
- возможность привязки множества IP-адресов к одной виртуальной среде.
- sysctl параметры: скрыты ненужные, добавлены необходимые.
- возможность изменения абсолютно всех лимитов «на лету».
- поддержка персонального ipfw (firewall) для каждой виртуальной среды.
- поддержка полноценного персонального sysV. Читать далее…