[[186417]]

統(tǒng)一帳號(hào)管理

你還在自己寫腳本批量增加機(jī)器的用戶名、分組和修改密碼或者同步主機(jī)的/etc/passwd嗎?你還在使用腳本批量對(duì)用戶設(shè)置權(quán)限嗎?如果有一臺(tái)帳號(hào)主機(jī)能夠提供所有服務(wù)器的帳號(hào)、密碼、權(quán)限控制，如此一來，如果想要增加、修改、刪除用戶，只要到這臺(tái)服務(wù)器上面處理即可，這樣是不是很方便?

1. LDAP

統(tǒng)一管理各種平臺(tái)帳號(hào)和密碼，包括但不限于各種操作系統(tǒng)(Windows、Linux)，Linux系統(tǒng)sudo集成，系統(tǒng)用戶分組，主機(jī)登入限制等;

可與Apache，HTTP，F(xiàn)TP，SAMBA，ZABBIX，Jenkins等集成;

支持密碼策略(密碼強(qiáng)度、密碼過期時(shí)間、強(qiáng)制修改、超過驗(yàn)證錯(cuò)誤次數(shù)鎖定帳號(hào))等;

支持插件式鑒別模塊PAM;

不同平臺(tái)權(quán)限的設(shè)定、劃分;

2. jumpserver

一款由python編寫開源的跳板機(jī)(堡壘機(jī))系統(tǒng)，實(shí)現(xiàn)了跳板機(jī)應(yīng)有的功能?；趕sh協(xié)議來管理，客戶端無需安裝agent,目前本版本處于beta階段，線上環(huán)境慎用。試用了一下demo，感覺在統(tǒng)一帳號(hào)管理方面并不成熟。

3. NIS

類似于LDAP

自動(dòng)化部署

1. Fabric

優(yōu)點(diǎn)

小巧，無需裝agent，可以做一些簡(jiǎn)單的服務(wù)器部署操作，使用簡(jiǎn)單，容易上手，但功能比較有限，用了兩天就切到ansible了;

缺點(diǎn)

部署機(jī)與服務(wù)器交互不太友好

2. Ansible

無需agent，基于ssh實(shí)現(xiàn)，對(duì)新申請(qǐng)的機(jī)器做初始化擴(kuò)展不錯(cuò);

特性較多，日常部署需要的功能基本上都覆蓋了，比如git、打包解壓、copy文件、yum安裝等等都已經(jīng)集成到了核心模塊里面，alternatives、xattr等模塊也有所集成，當(dāng)然，理論上所有操作都能用命令模塊來完成。

缺點(diǎn)

比較依賴網(wǎng)絡(luò)的健壯性，網(wǎng)絡(luò)不好的話會(huì)比較坑;

還有SaltStack、Pupet、Chef等;

DNS

1. dnsmasq

提供 DNS 緩存，DNS重定向、記錄轉(zhuǎn)發(fā)，DNS反向解析， DHCP 服務(wù)功能，配置簡(jiǎn)單;

可以配置對(duì)上層DNS輪詢請(qǐng)求記錄;

配置支持通配符，不用批量修改hosts;

2. pdnsd

提供DNS緩存服務(wù)

設(shè)置向上級(jí)DNS請(qǐng)求方式(TCP、UDP，Both)

設(shè)置多個(gè)上級(jí)DNS并設(shè)置請(qǐng)求規(guī)則

配置緩存保留時(shí)間

3. namebench

Google自行研發(fā)的一款DNS測(cè)速工具

還有Bind等

壓力測(cè)試

1. ApacheBench

創(chuàng)建多并發(fā)線程模擬多用戶對(duì)URL訪問進(jìn)行壓力測(cè)試

Apache中有個(gè)自帶的，名為ab的程序，ab可以創(chuàng)建很多的并發(fā)訪問線程，模擬多個(gè)訪問者同時(shí)對(duì)某一URL地址進(jìn)行訪問。

2. TCPcopy、UDPcopy

直接對(duì)某一機(jī)器流量copy到另一機(jī)器進(jìn)行壓力測(cè)試;

提到壓力測(cè)試，可能大多數(shù)人首先想到的就是ApacheBench，但ab是模擬訪問，模擬畢竟是模擬，然而線上會(huì)遇到的錯(cuò)誤可能往往無法預(yù)知，其實(shí)國(guó)內(nèi)已經(jīng)有人開發(fā)了一款線上流量copy的工具，就是TCPcopy、UDPcopy，能夠之間copy線上流量到測(cè)試環(huán)境，大大減少了上線前的風(fēng)險(xiǎn)。支持設(shè)置copy流量倍數(shù)放大、縮小，修改流量的客戶端IP源地址。

3. TCPburn

類似ApacheBench

tcpburn是由網(wǎng)易自主研發(fā)的能夠模擬千萬級(jí)別并發(fā)用戶的一個(gè)軟件，目的是能夠用較少的資源來模擬出大量并發(fā)用戶，并且能夠更加真實(shí)地進(jìn)行壓力測(cè)試， 以解決網(wǎng)絡(luò)消息推送服務(wù)方面的壓力測(cè)試的問題和傳統(tǒng)壓力測(cè)試的問題。

安全

1. PortSentry

對(duì)端口掃描的機(jī)器做防御策略;

特點(diǎn)

給出虛假的路由信息，把所有的信息流都重定向到一個(gè)不存在的主機(jī);

自動(dòng)將對(duì)服務(wù)器進(jìn)行端口掃描的主機(jī)加到TCP-Wrappers的/etc/hosts.deny文件中

利用Netfilter機(jī)制、包過濾程序，比如iptables和ipchain等，把所有非法數(shù)據(jù)包(來自對(duì)服務(wù)器進(jìn)行端口掃描的主機(jī))都過濾掉;

通過syslog()函數(shù)給出一個(gè)目志消息，甚至可以返回給掃描者一段警告信息。

2.fail2ban

對(duì)SSH密碼暴力破解的機(jī)器做防御策略;

防御 SSH 服務(wù)器的暴力破解攻擊，對(duì)安全性要求過高的服務(wù)器還是建議禁止密碼登入，使用密鑰或者密鑰+密碼驗(yàn)證。

3. Google Authenticator

可以將第二部驗(yàn)證設(shè)置為通過短信或語(yǔ)音電話接收驗(yàn)證碼，同時(shí)也支持 Android、iPhone 或 BlackBerry 設(shè)備來生成驗(yàn)證碼;

一款開源的，可基于開放規(guī)則(如 HMAP/基于時(shí)間)生成一次性密碼的軟件。Google公司同時(shí)也支持插件式鑒別模塊PAM，使其能和其他也適用PAM進(jìn)行驗(yàn)證的工具(如OpenSSH)協(xié)同工作。