IT運維管理必備工具大全,讓你成為真正的高手!
你還在自己寫指令碼批量增加機器的使用者名稱、分組和修改密碼或者同步主機的/etc/passwd嗎?你還在使用指令碼批量對使用者設定許可權嗎?如果有一臺帳號主機能夠提供所有伺服器的帳號、密碼、許可權控制,如此一來,如果想要增加、修改、刪除使用者,只要到這臺伺服器上面處理即可,這樣是不是很方便?
1. LDAP統一管理各種平臺帳號和密碼,包括但不限於各種作業系統(Windows、Linux),Linux系統sudo整合,系統使用者分組,主機登入限制等;
可與Apache,HTTP,FTP,SAMBA,ZABBIX,Jenkins等整合;
支援密碼策略(密碼強度、密碼過期時間、強制修改、超過驗證錯誤次數鎖定帳號)等;
支援外掛式鑑別模組PAM;
不同平臺許可權的設定、劃分;
2. jumpserver一款由python編寫開源的跳板機(堡壘機)系統,實現了跳板機應有的功能。基於ssh協議來管理,客戶端無需安裝agent,目前本版本處於beta階段,線上環境慎用。試用了一下demo,感覺在統一帳號管理方面並不成熟。
3. NIS類似於LDAP
自動化部署< 1. Fabric優點
小巧,無需裝agent,可以做一些簡單的伺服器部署操作,使用簡單,容易上手,但功能比較有限,用了兩天就切到ansible了;
缺點
部署機與伺服器互動不太友好
2. Ansible無需agent,基於ssh實現,對新申請的機器做初始化擴充套件不錯;
特性較多,日常部署需要的功能基本上都覆蓋了,比如git、打包解壓、copy檔案、yum安裝等等都已經整合到了核心模組裡面,alternatives、xattr等模組也有所整合,當然,理論上所有操作都能用命令模組來完成。
缺點
比較依賴網路的健壯性,網路不好的話會比較坑;
還有SaltStack、Pupet、Chef等;
DNS 1. dnsmasq提供 DNS 快取,DNS重定向、記錄轉發,DNS反向解析, DHCP 服務功能,配置簡單;
可以配置對上層DNS輪詢請求記錄;
配置支援萬用字元,不用批量修改hosts;
2. pdnsd提供DNS快取服務
設定向上級DNS請求方式(TCP、UDP,Both)
設定多個上級DNS並設定請求規則
配置快取保留時間
3. namebenchGoogle自行研發的一款DNS測速工具
還有Bind等
壓力測試 1. ApacheBench建立多併發執行緒模擬多使用者對URL訪問進行壓力測試
Apache中有個自帶的,名為ab的程式,ab可以建立很多的併發訪問執行緒,模擬多個訪問者同時對某一URL地址進行訪問。
2. TCPcopy、UDPcopy直接對某一機器流量copy到另一機器進行壓力測試;
提到壓力測試,可能大多數人首先想到的就是ApacheBench,但ab是模擬訪問,模擬畢竟是模擬,然而線上會遇到的錯誤可能往往無法預知,其實國內已經有人開發了一款線上流量copy的工具,就是TCPcopy、UDPcopy,能夠之間copy線上流量到測試環境,大大減少了上線前的風險。支援設定copy流量倍數放大、縮小,修改流量的客戶端IP源地址。
3. TCPburn類似ApacheBench
tcpburn是由網易自主研發的能夠模擬千萬級別併發使用者的一個軟體,目的是能夠用較少的資源來模擬出大量併發使用者,並且能夠更加真實地進行壓力測試, 以解決網路訊息推送服務方面的壓力測試的問題和傳統壓力測試的問題。
安全 1. PortSentry對埠掃描的機器做防禦策略;
特點
給出虛假的路由資訊,把所有的資訊流都重定向到一個不存在的主機;
自動將對伺服器進行埠掃描的主機加到TCP-Wrappers的/etc/hosts.deny檔案中
利用Netfilter機制、包過濾程式,比如iptables和ipchain等,把所有非法資料包(來自對伺服器進行埠掃描的主機)都過濾掉;
通過syslog()函式給出一個目志訊息,甚至可以返回給掃描者一段警告資訊。
2.fail2ban對SSH密碼暴力破解的機器做防禦策略;
防禦 SSH 伺服器的暴力破解攻擊,對安全性要求過高的伺服器還是建議禁止密碼登入,使用金鑰或者金鑰+密碼驗證。
3. Google Authenticator可以將第二部驗證設定為通過簡訊或語音電話接收驗證碼,同時也支援 Android、iPhone 或 BlackBerry 裝置來生成驗證碼;
一款開源的,可基於開放規則(如 HMAP/基於時間)生成一次性密碼的軟體。Google公司同時也支援外掛式鑑別模組PAM,使其能和其他也適用PAM進行驗證的工具(如OpenSSH)協同工作。(來源:知乎)