На мой взгляд, vi – это очень простой редактор . Если не писать в нем стихи или программы, а использовать для целей администрирования, то нужно знать всего 10 команд. По крайне мере, наизусть я помню именно эти 10 команд, и их мне вполне хватает для решения 99% задач администрирования Unix.

Итак, 10 самых нужных команд vi:

Режим команд:

1. i – Переход в режим редактирования перед текущим символом (вставка, insert).
2. a - Переход в режим редактирования после текущего символа (добавление, append).
3. r – Замена одного символа в текущей позиции курсора (replace).
4. x - Удаление символа в текущей позиции курсора.
5. dd - Удаление всей строки, в которой находиться курсор.
6. u – Отмена предыдущего изменения (undo).
7. /шаблон - Поиск шаблона в файле. Если шаблон встречается несколько раз, то можно использовать команды навигации: n – поиск вперед, N – поиск назад.
8. yy – Копирование текущей строки в буфер обмена (yank). Вставка – p.

Режим последней строки:

9. :wq! - Запись файла и выход из vi.
10. :q! – Выход из vi без записи текущих изменений.

Вот и все 10 самых необходимых команд vi. Ничего сложного, на мой взгляд.

Кроме этих команд, полезно помнить следующие модификаторы:

• Регистр команды. Большинство команд работают как в верхнем, так и в нижнем регистре, но выполняют разные действия. Например, i выполняет переход в режим редактирования в текущей позиции курсора, а I – в начале строки. Поэкспериментировав с 10-ю описанными выше командами, Вы быстро найдете различия.
• Числа. Действия многих команд можно модифицировать, набрав перед ними число. Например, команда 10dd выполняет удаление 10 строк. Если команда состоит из 2 букв, то число можно вставлять между ними, например y5y – копирование в буфер обмена 5 строк.

Запомнив эти 10 команд, можно легко работать с vi. Основное достоинство vi в том, что он есть в каждом Unix и работает одинаково в Linux, Solaris, BSD, AIX и HP-UX. Это означает, что если Вы освоите vi, то получите знакомый инструмент администратора в любом Unix.

Похожие записи:

1. Выход из Zlogin
2. Мониторинг производительности Solaris с помощью sar
3. Подключение ISO образа в Solaris

Конвертируем root в роль

Перед тем, как конвертировать пользователя root в роль, необходимо создать хотя бы одного обычного пользователя, которому будет назначена роль root. В противном случае можно совсем потерять доступ root к Solaris. Пользователь обязательно должен быть локальным, т.е. его учетные данные должны храниться в файлах, а не в LDAP или NIS. Пусть мы создали такого пользователя и назвали его manager.

Последовательность действий:

1. Заходим в систему под обычным пользователем. Если войти в систему пользователем root, перевести его в роль будет нельзя.

2. Становимся суперпользователем:

$ su - root
Password:
#

3. Конвертируем пользователя root в роль:

bash-3.00# usermod -K type=role root

4. Проверяем, что конвертация прошла успешно. В файле /etc/user_attr смотрим тип учетной записи root:

bash-3.00# grep root /etc/user_attr
root::::type=role;auths=solaris.*,solaris.grant;profiles=Web Console Management,All;lock_after_retries=no;clearance=admin_high;min_label=admin_low

5. Назначаем роль root пользователю:

bash-3.00# usermod -R root manager

Не  забудьте назначить роль root минимум одному пользователю! Иначе, потеряете доступ к root!

6. Заходим под обычным пользователем и активируем роль root:

$ id
uid=145(manager) gid=1(other)
$ su -
Password:
Sun Microsystems Inc.   SunOS 5.10      Generic January 2005
#

Пароль роли root такой же, как был у пользователя root.

Можно попробовать активировать роль root от имени пользователя, которому она не назначена:

$ id
uid=126(andrey) gid=1(other)
$ su -
Password:
Roles can only be assumed by authorized users
su: Sorry
$

Вот Вам и дополнительное преимущество: пользователь не может стать root, если ему не назначена соответствующая роль, даже если он знает пароль root.

Обратная конвертация root в пользователя

С обратной конвертацией все намного проще. Надо выполнить всего одну команду:

# rolemod -K type=normal root

Проверяем, что root снова обычный пользователь (type=normal в файле /etc/user_attr):

# grep root /etc/user_attr
root::::type=normal;auths=solaris.*,solaris.grant;profiles=Web Console Management,All;lock_after_retries=no;clearance=admin_high;min_label=admin_low

После этого root становиться отдельным пользователем, способным самостоятельно зайти в систему. Любой пользователь, знающий пароль root, может с успехом выполнить su – root.

Single user mode

В Single user mode для доступа к системе нужен пароль root. При этом не имеет значения, пользователем или ролью является root.

Когда Вы перевели root в роль, то единственным способом зайти в систему от имени root становиться single user mode. Так что если Вы ошиблись с распределением ролей и остались без root доступа к системе, в single user mode это можно исправить.

Похожие записи:

1. Понимаем RBAC
2. Создаем зеркало root диска на ZFS
3. Безопасность по умолчанию в Solaris, часть 1

Кто-то недавно спросил в форуме opensolaris, возможно ли записывать события входа по ssh на его машину OpenSolaris. Я дал короткий ответ, как использовать аудит в OpenSolaris для записи этой информации, но думаю, что необходимо более основательное руководство по аудиту.

Определяем, аудит чего будем весьти

Возможно, самая сложная часть в аудите – это определение какую информацию Вы хотите отслеживать. В случае вопроса на форуме это очень просто – попытки входа по ssh, успешные и не успешные. Выбирать нужно с осторожностью, т.к. аудит может генерировать огромные объемы данных.

Все, что происходит в OpenSolaris связано с событиями, а события, аудит которых можно вести, сгруппированы в классы. Классы определены в файле: /etc/security/audit_class:

no:invalid class
fr:file read
fw:file write
fa:file attribute access
fm:file attribute modify
fc:file create
fd:file delete
cl:file close
nt:network
ip:ipc
na:non-attribute
lo:login or logout
ap:application
cy:cryptographic
ss:change system state
as:system-wide administration
ua:user administration
am:administrative (meta-class)
aa:audit utilization
ad:old administrative (meta-class)
ps:process start/stop
pm:process modify
pc:process (meta-class)
xp:X - privileged/administrative operations
xc:X - object create/destroy
xs:X - operations that always silently fail, if bad
xx:X - all X events (meta-class)
io:ioctl
ex:exec
ot:other
all:all classes (meta-class)

Например, если Вы хотите проводить аудит удаления файлов, то Вам надо надо настраивать аудит класса fd. Для нашего примера нужен класс lo для входа (login) и выхода (logout) из системы.

Актуальные системные события, которые входят в классы, задаются в файле /etc/security/audit_event, где более 500 уникальных системных событий. События могут входить в один или несколько классов. В класс lo входят следующие события:

6152:AUE_login:login - local:lo
6153:AUE_logout:logout:lo
6154:AUE_telnet:login - telnet:lo
6155:AUE_rlogin:login - rlogin:lo
6158:AUE_rshd:rsh access:lo
6159:AUE_su:su:lo
6162:AUE_rexecd:rexecd:lo
6163:AUE_passwd:passwd:lo
6164:AUE_rexd:rexd:lo
6165:AUE_ftpd:ftp access:lo
6171:AUE_ftpd_logout:ftp logout:lo
6172:AUE_ssh:login - ssh:lo
6173:AUE_role_login:role login:lo
6212:AUE_newgrp_login:newgrp login:lo
6213:AUE_admin_authenticate:admin login:lo
6221:AUE_screenlock:screenlock - lock:lo
6222:AUE_screenunlock:screenlock - unlock:lo
6227:AUE_zlogin:login - zlogin:lo
6228:AUE_su_logout:su logout:lo
6229:AUE_role_logout:role logout:lo
6244:AUE_smbd_session:smbd(1m) session setup:lo
6245:AUE_smbd_logoff:smbd(1m) session logoff:lo
9101:AUE_ClientConnect:client connection to x server:lo
9102:AUE_ClientDisconnect:client disconn. from x server:lo

Настраиваем аудит

Классы, аудит которых Вы хотите проводить, задаются в файле /etc/security/audit_control. Ниже содержимое этого файла по-умолчанию:

dir:/var/audit
flags:
minfree:20
naflags:lo

Каталог по-умолчанию для аудита /var/audit. Вы можете выбрать другой каталог, например, NFS-каталог подключенный с другого сервера. Классы, аудит которых мы хотим выполнять, задаются в поле flags, то есть нам нужно добавит lo в наш файл следующим образом:

dir:/var/audit
flags:lo
minfree:20
naflags:lo

Поле minfree задает минимальный процент свободного места в каталоге аудита. Если места осталось меньше, то будет вызван audit warning script, который, как правило, настроен на отправку email кому-либо. Как работать с audit warning script смотрите в man audit_warn(1M).

Поле naflags (non-attributable flags) для событий, которые не могут быть отнесены к какому-либо пользователю. Как правило, эти события связаны с программами, автоматически запускающимися во время загрузки.

Включение аудита

Включение аудита требует запуска /etc/security/bsmconv и перезагрузки машины.

bleonard@os200906:~$ pfexec /etc/security/bsmconv
This script is used to enable Solaris Auditing and device allocation.
Shall we continue with the conversion now? [y/n] y
bsmconv: INFO: checking startup file.
bsmconv: INFO: turning on audit module.
bsmconv: INFO: initializing device allocation.

Solaris Auditing and device allocation is ready.
If there were any errors, please fix them now.
Configure Solaris Auditing and device allocation by editing files
located in /etc/security.
Reboot this system now to come up with auditing and device allocation enabled.
bleonard@os200906:~$ pfexec reboot

После перезагрузки в /var/audit появится один файл:

bleonard@os200906:~$ ls /var/audit
20100621202538.not_terminated.os200906

Посмотреть файл можно с помощью утилиты praudit (сокращение от print audit trail file).

bleonard@os200906:~$ pfexec praudit /var/audit/20100621202538.not_terminated.os200906 > audit.txt
bleonard@os200906:~$ cat audit.txt
file,2010-06-21 16:25:38.984 -04:00,
header,44,2,system booted,na,2010-06-21 16:23:25.458 -04:00
text,booting kernel
header,69,2,login - local,,localhost,2010-06-21 16:27:25.183 -04:00
subject,bleonard,bleonard,staff,bleonard,staff,477,3112795690,0 0 localhost
return,success,0
header,69,2,login - local,,localhost,2010-06-21 16:28:24.881 -04:00
subject,bleonard,bleonard,staff,bleonard,staff,615,3530634311,0 0 localhost
return,success,

Однако, данные аудита могут быть извлечены в виде XML и затем конвертированы в HTML для лучшего форматирования:

bleonard@os200906:~$ pfexec praudit -x /var/audit/20100621202538.not_terminated.os200906 > audit.xml
bleonard@os200906:~$ xsltproc audit.xml > audit.html

Затем просто откройте файл в Firefox:

bleonard@os200906:~$ firefox audit.html &
[1] 1919

Вы можете видеть в этом коротком отрывке, что я зашел в OpenSolaris в 16:28 в понедельник, 21 июня.

Изменяем аудит

Если Вы решили, что хотите проводить аудит еще каких-то событий, то просто добавьте эти события в файл audit_control. Например, очень популярен аудит запускаемых команд. Запускаемые команды могут быть записаны с использованием класса ex:

dir:/var/audit
flags:lo,ex
minfree:20
naflags:lo

Файл audit_control читается, когда пользователь входит в систему. Если посмотреть на конфигурацию аудита в текущий момент, то увидим, что мы все еще отслеживаем только класс lo:

bleonard@os200906:~$ pfexec auditconfig -getaudit
audit id = bleonard(101)
process preselection mask = lo(0x1000,0x1000)
terminal id (maj,min,host) = 0,0,localhost(127.0.0.1)
audit session id = 3530634311

Однако, если мы зайдем по ssh на машину, то изменения в конфигурации аудита будут учтены:

bleonard@os200906:~$ ssh -X bleonard@os200906
The authenticity of host 'os200906 (127.0.0.1)' can't be established.
RSA key fingerprint is 6c:c7:63:7f:dc:1f:33:1e:94:ee:eb:24:23:de:8f:90.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'os200906' (RSA) to the list of known hosts.
Password:
Last login: Mon Jun 21 16:28:24 2010
Sun Microsystems Inc.   SunOS 5.11      snv_111b        November 2008
bleonard@os200906:~$ pfexec auditconfig -getaudit
audit id = bleonard(101)
process preselection mask = ex,lo(0x40001000,0x40001000)
terminal id (maj,min,host) = 12324,202240,localhost(127.0.0.1)
audit session id = 3339125594

Давайте теперь запустим команду, например zfs list -t all, и снова извлечем информацию аудита:

В третьей записи вы можете увидеть, что была запущена команда /sbin/zfs. Также интересно, как Вы можете видеть из первой записи, что была запущена команда /usr/sbin/auditconfig. Именно так изменения в конфигурации аудита обнаруживаются, когда мы входим в систему.

Политика аудита

В дополнение к событиям, выбранным для аудита, Вы можете настроить объем данных, собираемых для каждого события с помощью политики аудита. Политика может быть настроена динамически с помощью команды auditconfig, или статически в файле /etc/security/audit_startup. Одна из популярных политик аудита – установка параметра +argv, которая позволяет включать в аудит событий exec аргументы, которые передаются запускаемой команде.

Например, в записи аудита ZFS выше мы знаем, что пользователь bleonard запустил команду zfs, но с какими параметрами? Он создал моментальный снимок, клон, или экспортировал данные?

Включите запись аргументов exec():

bleonard@os200906:~$ pfexec auditconfig -setpolicy +argv

Чтобы изменения действовали после перезагрузки, нужно добавить команду, включающую политику +argv в файл audit_startup:

/usr/sbin/auditconfig -setpolicy +argv

Затем запустите команду zfs list -t all и заново генерируйте отчет аудита:

Здесь мы видим, что секция EXEC_ARGS сейчас является частью отчета аудита, и аргументы list, -t и all были переданы zfs.

Остановка аудита

Сервис аудит управляется SMF:

bleonard@os200906:~$ svcs -l auditd
fmri         svc:/system/auditd:default
name         Solaris audit daemon
enabled      true
state        online
next_state   none
state_time   Mon Jun 21 16:25:41 2010
logfile      /var/svc/log/system-auditd:default.log
restarter    svc:/system/svc/restarter:default
contract_id  73
dependency   require_all/none svc:/system/filesystem/local (online)
dependency   require_all/none svc:/milestone/name-services (online)
dependency   require_all/none svc:/system/system-log (online)

Чтобы остановить его, просто запустите:

bleonard@os200906:~$ svcadm disable auditd

Остановка сервиса аудита также останавливает журнал. Когда сервис будет запущен снова, будет создан новый файл журнала аудита.

Скрипт для аудита

Вот удобный скрипт для извлечения и конвертации в HTML записей аудита. После запуска Firefox, скрипт обновляет HTML каждые 10 секунд, и обновление в браузере будет показывать последние записи.

bleonard@os200906:~$ cat showauditlive
pfexec praudit -x /var/audit/*not_term* > audit.xml
xsltproc audit.xml > audit.html
firefox audit.html &
while [ true ]; do
        pfexec praudit -x /var/audit/*not_term* > audit.xml
        xsltproc audit.xml > audit.html
        sleep 10
done

Статья включает только основы того, что можно делать с помощью аудита. Детально с возможностью аудита можно ознакомиться в руководстве System Administration Guide: Security Services, секция Solaris Auditing.

Дополнения от solarisblog.ru:

1. Хотя статья написана про OpenSolaris, она также применима и к Solaris 10.

2. В комментариях к оригинальной статье написано, что bsmconv/unconv устарели и аудит включен по-умолчанию (http://arc.opensolaris.org/caselog/PSARC/2009/354/ и http://bugs.opensolaris.org/bugdatabase/view_bug.do?bug_id=6192139). Я пробовал в OpenSolaris 2009.06 и Solaris 10 10/09 – bsmconv все еще нужен для запуска аудита. В официальной документации по Solaris 10 System Administration Guide: Security Services также применяется bsmconv. Возможно, в будущие релизы эти изменения уже войдут, но пока для включения аудита нужна перезагрузка системы.

Похожие записи:

1. Понимаем RBAC

Как поменять строки в работающем ядре.

Например, изменить имя и релиз работающей операционной системы (uname -sr).

Для этого необходимо изменить значения структуры ядра utsname.

1. Смотрим файл  /usr/include/sys/utsname.h

        #define _SYS_NMLN       257     /* 4.0 size of utsname elements */
        struct utsname {
	    char	sysname[_SYS_NMLN];
	    char	nodename[_SYS_NMLN];
	    char	release[_SYS_NMLN];
	    char	version[_SYS_NMLN];
	    char	machine[_SYS_NMLN];
        };

2. Получаем информацию о текущих значениях структуры:

    1. echo "utsname::print" | mdb -k

3. Определяем смещение:

    1. echo "0t257=x" | mdb
    2. 101

4. Конвертируем строку:

    1. echo "FunOS" | od -t x1
    2. 0000000 46 75 6e 4f 53 0a

5. Вносим изменения:

    1. Внимание: Изменяем работающее ядро!
    2. echo "utsname/v 46 75 6e 4f 53" | mdb -kw

6. Конвертируем строку:

    1. echo "5.12" | od -t x1
    2. 0000000 35 2e 31 32 0a

7. Вносим изменения:

    1. Внимание: Изменяем работающее ядро!
    2. echo "utsname+0x202/v 35 2e 31 32" | mdb -kw

8. Проверяем результат:

    1. Прямо из ядра:
        echo "utsname::print" | mdb -k
    2. Из утилиты в примере:
        /usr/bin/uname -sr
        FunOS 5.12

Я проверил, это работает не только в Solaris, но и в OpenSolaris. Вот скриншот OpenSolaris с изменениями в ядре, и актуальной информацией по системе из /etc/release:

Нет похожих записей.

Вопросы хотя и названы редко задаваемыми, половина из них бывает нужна довольно часто (конечно, не каждый день), например:

• Как создать файл заданного размера?
• Что можно сделать с «зомби»-процессами?
• Как настроить параметры ядра?
• Что делать, если потерян boot block?

Есть действительно экзотичные, но интересные вопросы:

• Как узнать вчерашнюю дату?
• Почему cd встроенная в shell, а не запускаемая команда?
• Как заменить строки в существующем ядре? (Например, чтобы вместо uname -sr вместо «SunOS» выдавал «FunOS»).

Наиболее полезное и интересное я попытаюсь перевести и опубликовать в этом блоге.

Похожие записи:

1. c0t0d0s0.org – The sun in a lighthungry universe
2. Дэвид Корн

Результат исследований получился неожиданным. Хотя в целом исследование отметило снижение популярности UNIX, для критически важных систем большинство компаний по прежнему используют Unix. Почти две третьи из них отказ от Unix даже не рассматривают.

Исследование охватывало различные секторы экономики: финансовый, ритейл, госсектор, и показало, что UNIX используется во всех секторах.

Самое интересное, что, хотя исследование проводилось по заказу HP, первое место по популярности для критически важных систем заняла Solaris. На втором месте HP-UX, на третьем Windows.

Мне кажется, этому исследованию можно верить. Наверняка исследование объективно, если платило за него HP, а на первом месте оказалась конкурирующая ОС от Sun и Oracle.

А как по Вашему, какая ОС лучше всего подходит для критически важных систем?

Похожие записи:

1. Копирование файлов с Windows на Solaris через SSH

Нет похожих записей.

Role Based Access Control (RBAC) – функциональность OpenSolaris (Прим. переводчика. И просто Solaris, начиная с версии Solaris 8), предоставляющая большие возможности. Однако, ее трудно понять из-за обилия раздельных компонентов, связанных между собой. В этой записи я попытаюсь написать, что понял я.

Сначала несколько определений:

Пользователь

Пользователь в системе. Основная информация об учетных записях пользователей определяется в /etc/passwd:

bleonard@opensolaris:~$ grep "bleonard" /etc/passwd
bleonard:x:101:10:Brian Leonard:/export/home/bleonard:/bin/bash

Информация включает имя пользователя, пароль, id, id группы, полное имя, домашний каталог и командный интерпретатор по-умолчанию.

Дополнительная информация о пользователях для RBAC определяется в /etc/user_attr:

bleonard@opensolaris:~$ grep "bleonard" /etc/user_attr
bleonard::::profiles=Primary Administrator;roles=root

Для пользователя bleonard определен один профиль, Primary administrator, и одна роль, root.

Роль

Роль – это именованное множество полномочий, которые могут быть активированы. Роли, как и пользователи, определяются в файле /etc/passwd:

bleonard@opensolaris:~$ grep "root" /etc/passwd
root:x:0:0:Super-User:/root:/usr/bin/bash

Однако, по-умолчанию в OpenSolaris root определен как роль, а не как пользователь.

bleonard@opensolaris:~$ grep "root:" /etc/user_attr 
root::::type=role;auths=solaris.*,solaris.grant;profiles=All;lock_after_retries=no;min_label=admin_low;clearance=admin_high

Пользователь может активировать роль. Это похоже на надевание костюма. Однако, Вы на самом деле становитесь тем, что одеваете. Роль активируется командой su. Необходимо ввести пароль root, который Вы назначили при установке:

bleonard@opensolaris:~$ su root
Password:
bleonard@opensolaris:~#

Профиль

Профиль - это именованное множество полномочий, которые могут быть выполнены. По этой причине они еще называются выполняемые профили. Запуск производится с помощью команды pfexec, сокращение от «profile execution». Многие сравнивают pfexec с sudo, и они часто могут использоваться заменяя друг друга. Но когда Вы на самом деле поймете pfexec, Вы осознаете, насколько более мощной она может быть.

Команды, которые позволяет запускать данный профиль, определяются в файле /etc/security/exec_attr.

bleonard@opensolaris:~$ grep "Primary Administrator" /etc/security/exec_attr
Primary Administrator:suser:cmd:::*:uid=0;gid=0

Звездочка  »*» означает, что Primary Administrator может запускать любые команды, и они будут работать от имени пользователя root (uid=0).

Полномочия, связанные с профилем, задаются в файле /etc/security/prof_attr:

bleonard@opensolaris:~$ grep "Primary Administrator" /etc/security/prof_attr
Primary Administrator:::Can perform all administrative tasks:auths=solaris.*,solaris.grant;help=RtPriAdmin.html

Полномочия

Полномочия дают Вам привилегию на выполнение некоторой операции. Привилегия со звездочкой solaris.*  дает Primary Administrator право выполнять любую операцию. Полный список привилегий можно посмотреть в /etc/security/auth_attr.

RBAC в действии

Чтобы понять, как все это работает, давайте поэкспериментируем с ролями и профилями.

Действия с ролями

Давайте уберем роль root у пользователя bleonard:

bleonard@opensolaris:~$ pfexec usermod -R "" bleonard
UX: usermod: bleonard is currently logged in, some changes may not take effect until next login.
bleonard@opensolaris:~$ grep "bleonard" /etc/user_attr
bleonard::::type=normal;profiles=Primary Administrator

Теперь не получится активировать роль root:

bleonard@opensolaris:~$ su root
Password:
Roles can only be assumed by authorized users
su: Sorry

Но так как bleonard все еще Primary Administrator, он может получить привилегии root используя pfexec:

bleonard@opensolaris:~$ pfexec su root
bleonard@opensolaris:~#

Возвращаем роль root обратно:

bleonard@opensolaris:~# usermod -R root bleonard
UX: usermod: bleonard is currently logged in, some changes may not take effect until next login.

Действия с профилями

Давайте удалим профиль Primary Administrator у пользователя bleonard (если Вы пытаетесь сделать это на своей системе, убедитесь, что Вы вернули роль root, иначе можете совсем потерять доступ root).

bleonard@opensolaris:~$ pfexec usermod -P "" bleonard 
UX: usermod: bleonard is currently logged in, some changes may not take effect until next login.

Теперь давайте попробуем вернуть профиль:

bleonard@opensolaris:~$ pfexec usermod -P "Primary Administrator" bleonard
UX: usermod: ERROR: Permission denied.

К счастью, Вы все еще можете активировать роль root:

bleonard@opensolaris:~$ su
Password:
bleonard@opensolaris:~# usermod -P "Primary Administrator" bleonard
UX: usermod: bleonard is currently logged in, some changes may not take effect until next login.

Простой пользовательский интерфейс

Наконец, есть простой пользовательский интерфейс для управления пользователями и ролями. Вы найдете его в System > Administration > Users and Groups:

Дополнительные материалы:

• RBAC and Privileges – Parts 1 – 4.
• Introducing pfexec, a Convenient Utility in the OpenSolaris OS

Похожие записи:

1. Конвертируем пользователя root в роль
2. Аудит

Если Вам надо получить доступ к рабочему столу OpenSolaris по сети, то можно использовать встроенный сервер VNC. Он находится в System > Preferences > Desktop Sharing:

Прелесть подхода OpenSolaris в том, что сервер Remote Desktop включает Java клиент VNC, то есть Вам просто нужно дать URL для доступа к своему рабочему столу (и не надо предварительно устанавливать VNC Viewer). На клиенте Вы просто открываете полученную ссылку в браузере (обратите внимание, что имя OpenSolaris не ресолвится в сети, поэтому вместо него используется IP-адрес):

Через некоторое время Вы увидите диалог подключения VNC:

После того, как Вы нажмете ОК, на OpenSolaris Вы увидите окно с предупреждением (предполагается, что сервер VNC настроен так, что входящие соединения должны получать подтверждения):

После разрешения, на клиенте откроется удаленный рабочий стол:

На сервере появиться небольшая иконка с количеством подключенных пользователей:

Икона позволяет вызвать небольшое меню управления подключениями пользователей:

Функция Remote Desktop Sharing является динамической, то есть Вы можете разрешать и запрещать пользователям подключаться к Вашему серверу без перезагрузки ОС.

Похожие записи:

1. Hostname «unknown» при использовании DHCP

Network file system (NFS) – клиент-серверное приложение, которое позволяет пользователям смотреть, сохранять и обновлять файлы на удаленной системе так, как если бы они находились на локальной системе.
Примечание: информация в этой статье относится к Solaris 9 и 10 и NFS версии 4 (NFSv4), хотя иногда описываются NFSv2 и NFSv3.

Конфигурация NFS

Конфигурация NFS состоит из двух компонентов:

• Сервер NFS, который содержит файловые ресурсы, разделяемые с другими системами.
• Клиент NFS, который подключает разделяемые файловые ресурсы по сети и представляет их так, как будто они находятся на локальной системе.

Файлы NFS-сервера

• /etc/dfs/dfstab - содержит список ресурсов, разделяемых во время загрузки.
• /etc/nfs/nfslogd.conf – определяет расположение журнальных файлов, используемым NFS.
• /etc/dfs/sharetab – содержит список ресурсов, разделяемых NFS-сервером в настоящее время.
• /etc/rmtab – содержит список файловых систем, подключенных NFS-клиентами. НЕ редактируйте этот файл вручную!
• /etc/nfs/nfslog.conf – содержит список информации, определяющих расположение журнальных файлов, используемым NFS.

Формат файла dfstab

# cat /etc/dfs/dfstab
# Place share(1M) commands here for automatic execution
# on entering init state 3.
#
# Issue the command 'svcadm enable network/nfs/server' to
# run the NFS daemon processes and the share commands, after adding
# the very first entry to this file.
#
# share [-F fstype] [-o options] [-d "<text>"] <pathname> [resource]
# .e.g,
# share -F nfs -o rw=engineering -d "home dirs" /export/home2

Например, мы сделаем разделяемым в режиме «только для чтения» (read only, ro) домашний каталог /export/home/<dir_name>:

share -o ro /export/home/<dir_name>

Демоны NFS-сервера в Solaris 10

Описание демонов:

• mountd - обрабатывает запросы удаленных систем на подключение файловых систем и обеспечивает проверку прав доступа. Не используется в NFSv4.
• nfsmapid – демон, который обеспечивает отображение User ID и Group ID, используемый в NFSv4.
• nfsd – обрабатывает запросы клиентов к файловой системе, используется в NFSv4.
• statd - работает совместно с lockd, обеспечивает восстановление после сбоев и управление блокировками.
• lockd – реализует блокировки на NFS-файлах.
• nfslogd – обеспечивает журналирование в NFSv2 и NFSv3.

В Solaris 10 и NFSv4 для работы NFS нужно всего 2 демона: nfsmapid и nfsd. Демоны mountd и lockd объединенные вместе, и демоны nfsmapid и nfsd поддерживаются в Solaris 10 на порту 2049, что обеспечивает лучшую работу NFS через межсетевые экраны.

Если вы хотите использовать NFSv2 или NFSv3 в Solaris 10, то поддерживаются все демоны.

Запуск и остановка сервиса NSF-сервера

Сервис svc:/network/nfs/server запускает демоны NFS-сервера, когда система переходит на уровень 3.
Чтобы запустить NFS-сервер вручную, запустите следующую команду:

# svcadm enable svc:/network/nfs/server

(Прим. переводчика: NFS-сервер не запустится, если в файле /etc/dfs/dfstab нет ни одной строки, т.е. нечего разделять).
Чтобы остановить NFS-сервер вручную, запустите следующую команду:

# svcadm disable svc:/network/nfs/server

Проверка зависимостей NFS

Зависимости проверяются с помощью команды svcs:

# svcs | grep nfs
# svcs -l nfs/server

Команды NFS-сервера

• shareall - читает и выполняет команды из файла /etc/dfs/dfstab.
• share - делает локальный каталог на NFS-сервере разделяемым и доступным для подключения к клиентам.
• dfshares - при использовании без аргументов показывает ресурсы, которые разделяются в настоящее время.
• dfmount - показывает список каталогов NFS-сервера, которые в настоящее время подключены к клиентам.
• unshare - делает ресурс неразделяемым и недоступным для подключения к клиентам.

Настройка NFS-сервера для разделения ресурсов

Синтаксис:

# share [-F <FSType>] [-o <option>] [<pathname>]

где:

• -F <FSType> задает тип файловой системы.
• -o <option> задает список опций, с которыми выполняется разделение, например, режим «только для чтения»
• <pathname> указывает абсолютный путь к разделяемому ресурсу

Например, если Вы хотите сделать разделяемым каталог /export/home/<dir_name>, добавьте в файл /etc/dfs/dfstab строку:

#share -F nfs -o ro /export/home/<dir_name>

В этом примере -F nfs указывает тип файловой системы nfs, -o ro указывает режим доступа «только для чтения» (read only, ro), и /export/home/<dir_name> – абсолютный путь к разделяемому каталогу.

Аналогично, использую опцию -o rw (read-write, чтение и запись), Вы можете сделать ресурс разделяемым в режиме чтения и записи, а использую опцию -o root=<dir_name> Вы включаете привилегии root для каталога <dir_name>.

Прекращение разделения файловых ресурсов

Синтаксис:

# unshare [-F <FSType>] [<pathname>]

Например:

#unshare -F nfs /export/home/<dir_name>

Подключение удаленной файловой системы

Синтаксис:

mount [-F <FSType>] [-o <options>] <server>:<pathname> [<mount_point>]

Например:

# mount -F nfs -o ro  gladiator:/export/home/<dir_name> /mymountpoint

где:

• gladiator – имя удаленного сервера (Прим. переводчика: вместо имени можно использовать IP-адрес сервера)
• /export/home/<dir_name> – разделяемый каталог на удаленном сервере
• /mymountpoint – каталог на локальной системе, куда будет подключен разделяемый каталог /export/home/<dir_name>

Другой пример:

# mount -o ro Gladiator,Sun,Moon:/Central_data /mymountpoint

В этом примере, если сервер Gladiator будет недоступен, запрос будет перенаправлен на сервер с именем Sun, и, при необходимости, на сервер Moon.

Отключение удаленной файловой системы от клиента

Синтаксис:

umount [<mount_point>]

Например:

# umount /mymountpoint

Подключение удаленных файловых ресурсов во время загрузки

Для подключения удаленной файловой системы во время загрузки, нужно добавить соответствующую строку в файл /etc/vfstab. Например:

Gladiator:/export/home/<dir_name>  - /mymountpoint nfs - yes bg

где:

• устройство для подключения: Gladiator:/export/home/<dir_name>
• устройство для fsck: – (Прим. переводчика: символ «-» означает, что проверка fsck не будет проводиться)
• каталог для подключения: /mymountpoint
• тип файловой системы: nfs
• количество проходов fsck: -
• флаг подключения во время загрузки: yes (Прим. переводчика: yes означает, что файловая система будет подключаться во время загрузки, no – не будет)
• опции подключения: bg (background, подключение в фоновом режиме).

Похожие записи:

1. Подключение ISO образа в Solaris
2. Hostname «unknown» при использовании DHCP
3. Настройка клиента NTP в Solaris 10