По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Если вы новичок в Linux или даже "опытный" боец - без разницы. Ниже приведены все самые важные команды, которые должен знать, каждый кто работает в этой системе. Эти команды также работают в командной строке MacOS.
Основные команды терминала Linux
Linux включает в себя большое количество команд, но мы выбрали 37 наиболее важных для представления здесь. Изучите эти команды, и вы почувствуете себя намного комфортнее при работе в командной строке Linux.
Приведенный ниже список представлен в алфавитном порядке. Позиция команды в списке не отражает ее полезности или простоты. Подробную информацию об использовании команды можно посмотреть см. в встроенном справочнике. Команда man, - сокращение от manual, - которая запустит справочник, тоже рассматривает в нашем руководстве.
1. alias
Команда alias позволяет задать собственное название команде или нескольким командам. Затем при запуске указанного имени выполняется команда или несколько команд, указанных в alias.
alias cls=clear
Данная команда создает псевдоним, называемый cls, который ссылается на команду clear. При вводе cls экран будет очищен так же, как если бы вы ввели clear. Указанный псевдоним экономит очень мало нажатий, но, если вы часто переходите между командной строкой Windows и Linux, вы можете ввести команду Windows cls на компьютере Linux, который не понимает данную команду. Ну что же, теперь поймет.
Псевдонимы могут быть гораздо более сложными, чем этот пример. Вот псевдоним pf (для процесса поиска), который немного сложнее. Обратите внимание на использование кавычек вокруг последовательности команд. Это необходимо, если в последовательности команд есть пробелы. Этот псевдоним использует команду ps для перечисления выполняемых процессов, а затем передает их команде grep. Команда grep выполняет поиск записей среди выходных данных ps, которые соответствуют параметру командной строки $1.
alias pf="ps -e | grep $1"
Итак, если нужно найти PID процесса shutter или вообще проверить, запущен ли данный процесс, то можно использовать данный псевдоним как указано ниже:
pf shutter
Следует отметить, что псевдонимы удаляются при закрытии окна терминала, в котором они были созданы. Чтобы сохранить псевдонимы нужно добавить их в файл .bash_aliases в домашней директории.
2. cat
Команда cat (сокращение от concatenate) выводит содержимое файла в окно терминала. Это намного быстрее чем открывать файл в редакторе, а также исключает случайное изменение файла. Чтобы просмотреть содержимое файла .bash_log_out, нужно запустить следующую команду находясь в домашней папке.
cat .bash_logout
Если длина файла превышает количество строк в окне терминала, текст будет проноситься слишком быстро для чтения. Чтобы управлять количеством выводимых строк, вывод команды cat можно передать команде less. С помощью этой команды можно прокрутить файл вперед и назад с помощью клавиш вверх и вниз, клавиш PgUp и PgDn, а также клавиш Home и End. Введите q, чтобы выйти из less.
cat .bashrc | less
3. cd
Команда cd меняет текущую директорию на указанную в качестве параметра. Другими словами, данная команда помогает перемещаться по файловой системе.
Чтобы перейти в каталог, который находится в текущей директории, достаточно ввести команду cd и название папки, куда нужно переместиться.
cd work
Чтобы перейти в любой другой каталог файловой системы следует указать полный путь к нужной директории, который должен начинаться на /.
cd /usr/local/bin
Чтобы быстро переместиться к домашней директории используйте символ тильда "~" в качестве названия каталога.
cd ~
Еще один трюк: чтобы перейти в родительскую директорию или же на каталог выше, в качестве названия каталога достаточно набрать две точки "..".
cd ..
Представьте, что вы находитесь в каком-то каталоге. В родительском каталоге же есть несколько других папок. Чтобы сэкономить время можно сразу набрать .. и название каталога, в который нужно перейти:
cd ../games
4. chmod
Команда chmod позволяет управлять правами на файлы или папки. Эти права включают в себя право на чтение, запись и запуск. Если вывести список папок и файлов командой ls с ключом -l, то можно увидеть что-то подобное:
-rwxrwxrwx
Первый символ это "-", и означает файл, если бы было "d" - означало бы директорию. Дальше идет строка из трех групп, каждая из которых состоит из трех букв. Слева направо: первые три означают права владельца на файл, следующие три - права группы, а последняя группа - права других. А буквы же означают: r - read (чтение), w - write (запись), x - execute (выполнение).
Если вместо буквы дефис "-", то у соответствующего объектов нет права, которое заменено на "-".
Другой способ задать права - это заменить буквы тремя цифрами. Левая цифра означает права владельца, средняя - группы, правая - других. А значения цифр перечислены ниже:
0: No permission - Нет прав;
1: Execute permission - право на выполнение;
2: Write permission - право на запись;
3: Write and execute permissions - право на запись и выполнение;
4: Read permission - право на чтение;
5: Read and execute permissions - право на чтение и выполнение;
6: Read and write permissions - право на чтение и запись;
7: Read, write and execute permissions - право на чтение, запись и выполнение.
Рассмотрим файл example.txt. Как видим во всех трех группах указаны буквы. Это означает, что все имеют все права на этот файл.
Чтобы задать пользователю все права (цифра 7), группе право на чтение и запись (цифра 6), а остальным - чтение и выполнение (цифра 5), нужно ввести следующую команду:
chmod 765 example.txt
5. chown
Данная команда позволяет менять владельца файла и группу, владеющую файлом. Просматривая наш файл example.txt, в описании файла можем увидеть dave dave. Первый из них указывает на имя владельца файла, который в данном случае является пользователем dave. Вторая запись показывает, что название группы владельца также дэйв. Каждый пользователь имеет группу по умолчанию, которая создается при создании пользователя. Этот пользователь является единственным членом этой группы. Это показывает, что файл не является общим для других групп пользователей.
Для изменения владельца или группы файла, или обоих сразу можно использовать функцию chown. Необходимо указать имя владельца и группу, разделенные символом ":". Команду нужно запускать в привилегированном режиме, используя sudo. Чтобы сохранить в качестве владельца файла dave, а mary установить в качестве владельца группы, используйте следующую команду:
sudo chown dave:mary example.txt
Чтобы изменить и владельца, и группу файла, нужно выполнить следующую команду:
sudo chown mary:mary example.txt
6. curl
Команда curl позволяет получать информацию или файла с указанного url или адреса в интернете.
Данная команда может не быть предустановлена. Чтобы установить данный пакет в системе Ubuntu и других системах семейства Debian введите команду apt-get. Для других дистрибутивов нужно использовать соответствующий менеджер пакетов.
sudo apt-get install curl
Предположим, что требуется скачать один файл из репозитория GitHub. Официально поддерживаемого пути для этого нет. Вы вынуждены клонировать весь репозиторий. Однако с помощью curl мы можем получить нужный файл.
Эта команда извлекает файл для нас. Обратите внимание, что для сохранения файла необходимо указать его имя с помощью ключа -o (output). Если этого не сделать, содержимое файла просто отобразиться в окне терминала, но не сохранится на компьютере.
curl https://raw.githubusercontent.com/torvalds/linux/master/kernel/events/core.c -o core.c
Если не хотите, чтобы выводилась информация о загрузке, команду нужно запустить с ключом -s (silent).
curl -s https://raw.githubusercontent.com/torvalds/linux/master/kernel/events/core.c -o core.c
7. df
Команда df показывает размер, используемое и доступное место на подключенных файловых системах компьютера.
Двумя наиболее полезными опциями являются опции -h (human readable) и -x (исключить). Первый параметр позволяет отображать размеры в Мб или Гб, а не в байтах. Опция исключения позволяет указать df не выводить указанные файловые системы. Например, squashfs, вымышленная файловая система, которая создается при установке приложения с помощью команды snap.
df -h -x squashfs
8. diff
Команда diff сравнивает содержимое двух файлов и выводит отличия между ними. Данная команда имеет много опция, позволяющих регулировать отображением согласно вашим нуждам.
Ключ -y (side by side) позволяет выводить отличающиеся строки напротив друг друга. Параметр -w указывает максимальную длину строк, чтобы избежать переводы строк. Команда -suppress-common-lines предотвращает отображение совпадающих строк, позволяя сфокусировать внимание только на отличиях.
diff -y -W 70 alpha1.txt alpha2.txt --suppress-common-lines
9. echo
Команда echo выводит строку в окно терминала.
echo A string of text
С помощью этой команды можно выводить значения переменных сред, таких как $USER, $HOME, $PATH. В данных переменных храниться имя пользователя, название домашнего каталога и путь, по которому система ищет вводимые пользователем команды.
echo $USER
echo $HOME
echo $PATH
В скриптах данная команда используется для отображения хода выполнения или результата выполнения скрипта.
10. exit
Команда exit инициирует выход из окна терминала, выход из скрипта или отключение SSH соединения.
exit
11. find
С помощью команды find можно вести поиск файлов по системе. Для этого команде нужно передать место, откуда начинать поиск и название искомого файла. В данном примере "." означает текущий каталог, а параметр -name указывает команде искать файлы, название которых соответствует шаблону.
Можно также использовать маски, где * означает любой символ любое количество раз, а ? означает один любой символ. В данном примере мы будем искать файл, в название которого включено слово "*ones*". Это могут быть bones, stones, lonesome.
find . -name *ones*
Как мы видим, команда вывела список совпадений, среди которых также папка Ramones. Мы можем ограничить поиск только среди файлов. Для этого команде find нужно передать ключ -type со значением f, что означает файл.
find . -type f -name *ones*
Если нужно чтобы поиск велся независимо от регистра, то нужно передать ключ -iname.
find . -iname *wild*
12. finger
Команда finger предоставляет короткий дамп информации о пользователе, включая время последнего входа пользователя в систему, домашний каталог пользователя и полное имя учетной записи пользователя.
13. free
Команда free предоставляет сводку использования памяти на компьютере. Это выполняется как для основной оперативной памяти (RAM), так и для swap памяти. Для обеспечения вывода данных в удобном для понимания виде используется параметр -h (человек). Без этой опции цифры представлены в байтах.
free -h
14. grep
Утилита grep выполняет поиск строк, соответствующих переданному шаблону. Когда мы рассматривали команду alias, мы использовали grep для поиска среди вывода другой программы - ps. Команда grep также может искать среди содержимого файлов. Здесь мы ищем слово "train" во всех текстовых файлах текущего каталога.
grep train *.txt
На выводе мы получим название всех файлов, содержащих слово train, а также строку, где искомое слово подсвечено.
Более подробно обо всех возможностях данной утилиты можно узнать в руководстве man, а также в нашем материале про команду grep.
15. Groups
Данная команда позволяет узнать членом каких групп является указанный пользователь
groups dave
groups mary
16. gzip
Данная команда сжимает файлы. По умолчания, она удаляет исходный файл, оставляя только сжатую версию. Чтобы сохранить оба файла используйте ключ -k.
gzip -k core.c
17. head
Команда head выводит первые 10 строк файла. Если требуется просмотреть меньшее или большее количество строк, используйте параметр -n (number). В этом примере head запускается со значением по умолчанию. Затем мы повторяем команду, запрашивая только пять строк.
head -core.c
head -n 5 core.c
18. history
Команда history содержит список ранее введенных в командной строке команд. Можно повторить любую команду из истории, введя восклицательный знак "!" и номер команды из списка.
!188
Два восклицательных знака повторно выполнят предыдущую команду.
19. kill
Команда kill позволяет завершить процесс из командной строки. Для этого необходимо указать идентификатор процесса (PID), который нужно завершить. Не рекомендуется принудительно завершать процессы. Для этого нужно иметь вескую причину. В этом примере мы сделаем вид, что программа shutter заблокирована.
Чтобы узнать PID процесса shutter выполним команду:
ps -e | grep shutter
Получив таким образом идентификатор процесса можно перейти к завершение данного процесса.
kill 1692
20. less
Команда less позволяет просматривать файлы без открытия в редактора. Его быстрее запускать, а также нет возможности случайно изменить файл. С less можно прокрутить файл вперед и назад с помощью клавиш вверх и вниз, клавиш PgUp и PgDn и клавиш Home и End. Нажмите клавишу "Q", чтобы выйти из режима "less".
Чтобы просмотреть файл командой less, введите следующую команду
less core.c
Команде less также можно передать вывод других команд. Чтобы просмотреть весь список файлов жесткого диска командой less нужно выполнить следующую команду:
ls -R / | less
"/" позволяет вести поиск вниз по файлу, а "?" - вверх.
21. ls
Команда ls, пожалуй, самая первая команда, с которой имеют дело, начиная пользоваться системой Linux. Она показывает список файлов и папок в указанной директории. По умолчанию, данная команда выводит содержимое текущей директории. Она имеет очень много полезных опций, с которыми настоятельно рекомендует познакомиться в его руководстве. Ниже рассмотрены некоторые из них.
Вывод содержимого текущей директории
ls
Вывод списка файлов и каталогов в текущей директории с подробной информацией.
ls -l
Для вывода списка в удобочитаемом варианте используется ключ -h.
ls -lh
Для вывода всех файлов и папок, включая скрытые используется следующая команда:
ls -lha
22. man
Команда man запускает руководство по конкретной команде. Так как данная команда использует команду less для вывода, то можно воспользоваться возможностями данной команды для поиска.
Например, просмотрим руководство по команде chown
man chown
Для прокрутки используйте клавиши вверх и вниз, PgUp и PgDn. Для выходя из руководства нажмите q.
23. mkdir
Данная команде позволяет создавать новый файл в системе. Команде mkdir нужно передать название нового файла. Если же файл нужно создать за пределами текущей папки, то нужно указать и путь к месту, где нужно создать её.
Чтобы создать две новые папки с названиями invoices и quotes введите:
mkdir invoices
mkdir quotes
Чтобы создать папку 2020 внутри папки invoices введите:
mkdir invoices/2109
Если нужно создать папку, но нет родительской папки для неё, то можно использовать параметр -p (parents) для автоматического создания всех родительских папок. На примере ниже мы создаем папку 2020 в папке yearly, которая находится внутри папки quotes. Но директория yearly еще не создана, но мы указываем команде mkdir попутно создать все нужные папки.
mkdir -p quotes/yearly/2019
24. mv
Эта команда позволяет перемещать файлы и папки из каталога в каталог, также используется для переименования файлов.
Для перемещения файла необходимо указать mv, текущий путь к файлу и путь к пункту назначения. В этом примере мы перемещаем файл apache.pdf из каталога "~/Document/Ukulele" и помещаем его в текущий каталог, обозначенный символом точка ".".
mv ~/Documents/Ukulele/Apache.pdf
Чтобы переименовать файл, "переместите" его в файл с новым именем.
mv Apache.pdf The_Shadows_Apache.pdf
Для перемещения файла с новым названием используйте следующую команду:
mv ~/Documents/Ukulele/Apache.pdf ./The_Shadows_Apache.pdf
25. passwd
Данная команда позволяет устанавливать или менять пароль пользователя. Чтобы поменять свой пароль просто введите passwd.
Также можно менять пароль другого пользователя, но для этого команда должна быть запущена с повышенными правами. При этом система попросит два раза ввести новый пароль.
sudo passwd mary
26. ping
Эта команда, наверное, известна всем, кто пользуется компьютером. Ну почти всем. Она позволяет проверить доступность удаленного хоста, чаще всего используется для выявления неполадок в сети. Для использования этой команды достаточно передать IP адрес или название хоста.
ping 192.168.4.18
В системе Linux данная команда выполняется бесконечно. Завершить выполнение команды можно комбинацией клавиш Ctrl+C.
Теперь поясним вывод команды:
Устройство с IP адресом 192.168.4.18 отвечает на наши запросы и посылает пакеты размером 64 байт
Номера пакетов ICMP позволяет определить не потерялся ли пакет в пути
TTL означает время жизни пакета. При каждом проходе через очередной маршрутизатор TTL уменьшается на одну единицу. Если TTL достигнет нуля пакет сбрасывается. Данный механизм предотвращает петли в сети.
Значение time показывает время за которое запрос прошел путь от хоста инициатора до адресата и обратно. Чем меньшее значение, тем лучше.
Чтобы послать конкретное число запросов используется ключ -c
ping -c 5 192.168.4.18
А параметр -a позволяет услышать ответы на запросы ping.
ping -a 192.168.4.18
27. ps
Данная команда выводит список процессов, запущенных в системе. Если запустить её без параметров, то она отобразить процессы запущенные в данной сессии.
ps
Чтобы отобразить процессы, запущенные конкретным пользователем, используется ключ -u с именем пользователя в качестве значения. Список может быть длинным, поэтому целесообразно передать вывод команде less.
ps -u dave | less
Чтобы увидеть все процессы запустите команду с ключом -e.
ps -e | less
28. pwd
Данная команда выводит полный путь к текущей папке. Другими словами показывает директорию в которой находится пользователь в данное время.
pwd
29. shutdown
Эта команда позволяет перезагрузить машину или вовсе завершить работу системы. Если запустить команду без параметров, то она через минуту она завершить работу системы.
Чтобы завершить работы системы немедленно используется параметр now
shutdown now
Также можно запланировать завершение работы системы и послать уведомление всем пользователям. Для планирования нужно передать команде время завершения работы. Можно указать как в минутах с текущего момента, например, +90, так и точное время. Далее идет текст уведомления для пользователей.
shutdown 23:00 Shutdown tonight at 23:00, save your work and log out before then!
Чтобы отменить завершение работы нужно ввести команду:
shutdown -c
30. ssh
Команда ssh используется для подключения к удаленной Linux машине и входа в свой аккаунт. Для подключения нужно ввести имя пользователя и IP или имя хоста. В данном примере пользователь mary выполняет вход в машину с адресом 192.168.4.23. После установки соединения система просит пользователя ввести пароль.
ssh mary@192.168.4.23
Затем она выполняет команду w чтобы узнать вывести список пользователей, которые тоже работает в данной системе. Перед ее именем можно увидеть pts/1 - это означает виртуальный терминал, то есть терминал не подключенный к машине напрямую.
Чтобы завершить сессию она вводит команду exit.
w
exit
31. sudo
Команда sudo требуется при выполнении действий, требующих прав пользователя root или суперпользователя, таких как изменение пароля другого пользователя.
sudo passwd mary
32. tail
Команда tail выводит последние 10 строк файла. Если требуется просмотреть меньшее или большее количество строк, используется параметр -n (number). В этом примере tail запущен со значением по умолчанию. Затем мы повторяем команду, запрашивая только пять строк.
tail core.c
tail -n 5 core.c
33. tar
С помощью команды tar можно создать архивный файл (также называемый tarball), который может содержать множество других файлов. Это значительно упрощает распространение файлов. Её также можно использовать для извлечения файлов из архива. Обычно команде tar указывается, что надо сжать файлы при архивации. Но если не требуется сжатие, архивный файл создается без сжатия.
Для создания архивного файла необходимо указать утилите tar, какие файлы следует включить в архивный файл, а также название архивного файла. На примере ниже мы заархивируем все файлы, которые находятся в папке Ukulele.
Для этого нужно передать команде tar опцию -c (create) и -v (verbose). Ключ verbose визуализирует процесс архивации, показывая какой файл в текущий момент архивируется. Затем передается ключ -f за которым следует название архива. В нашем случае он называется songs.tar.
tar -cvf songs.tar Ukulele/
По мере их добавления файлов в архив они отображаются в окне терминала.
Существует два способа сообщить tar о необходимости сжатия архивного файла. Первый - с опцией -z (gzip). Это позволяет tar использовать утилиту gzip для сжатия архива после его создания.
Обычно в этом случае к названию архива добавляется еще ".gz". Это позволяет знать, какие команды нужно передать tar для правильного извлечения файлов.
tar -cvzf songs.tar.gz Ukulele/
В данном случае процесс архивации занимает больше времени, так как приходится еще и сжимать файлы.
Чтобы создать архив при этом сжать файлы так, чтобы итоговый объем архива был меньше используется ключ -j (bzip).
tar -cvjf songs.tar.bz2 Ukulele/
Как и в случае с gzip, процесс архивации займет заметно больше времени.
Если нужно заархивировать большое число файлов, целесообразно использовать либо ключ -z, либо ключ -j. Следует отметить, чтоб при первом варианте получите приемлемое сжатие с разумно скоростью, а второй вариант займет больше времени, но размер окажется намного меньше, как и видно на скриншоте ниже.
Для извлечения файлов из архива команде нужно передать те же ключи, с тем лишь отличием, что вместо -c используется -x (extract).
tar -xvf songs.tar
Для извлечения файлов из gzip или bzip архива к параметрам добавляется ключ -z или -j соответственно.
tar -xvzf songs.tar.gz
tar -xvjf songs.tar.bz2
34. top
Команда top в реальном времени отображение данные о состоянии системы. В верхней части экрана отображается сводка.
В первой строке отображается время и продолжительность работы компьютера, количество пользователей, вошедших в систему, а также среднее значение нагрузки за последние одну, пять и пятнадцать минут.
Во второй строке показано количество задач и их состояния: запущенные, остановленные, в режиме ожидания и зависшие (зомби).
Зомби процессы в Linux это дочерний процесс многопоточного приложения, которое было уничтожено или неожиданно завершено, оставив после себя повисший процесс.
В третьей строке отображается информация о ЦП:
us - это время ЦП, затрачиваемое на выполнение процессов для пользователей в "пользовательском пространстве";
sy - это время ЦП, затрачиваемое на выполнение системных процессов "пространства ядра";;
ni - это время ЦП, затраченное на выполнение процессов с заданным вручную значением;
id - время простоя ЦП;
wa - это время, затрачиваемое процессором на ожидание завершения операций ввода-вывода.;
hi - время ЦП, потраченное на обслуживание аппаратных прерываний;
si - время ЦП, потраченное на обслуживание прерываний программного обеспечения;
st - потерянное из-за работы виртуальных машин ("украденное время").
В четвертой строке отображается общий объем физической памяти, а также количество свободной, используемой и буферизованной или кэшированной памяти.
В пятой строке отображается общий объем файла подкачки, а также количество свободной, используемой и доступной памяти (с учетом памяти, которая, как ожидается, может быть восстановлена из кэш-памяти).
Чтобы отображать информацию в более понятном для человека виде нужно нажать клавишу E.
Названия же столбцов означают следующее:
PID - идентификатор процесса;
USER - имя пользователя запустившего процесс;
PR - приоритет процесса;
NI - приоритет присвоенный командой nice;
VIRT - виртуальная память, которую использует процесс;
RES - физическая память, занятая процессом;
SHR - общий объем распределенной памяти;
S - текущий статус процесса. Об этом чуть ниже;
%CPU - процент используемого времени ЦП;
%MEM - процент ОЗУ используемого процессом;
TIME+ - продолжительность работы процесса;
COMMAND - название команды запустившего процесс.
Статус процесса может быть одним из следующих:
D - непрерываемый сон;
R - запущен;
S - в режиме ожидания;
T - остановлен;
Z - зависшие процессы.
35. uname
Данная команда предоставляет различную информацию о системе, на которой работаете. Для этого используются соответствующие ключи.
-a - отображает всю информацию;
-s - отображает тип ядра;
-r - отображает версию ядра;
-v - отображает версию системы.
36. w
Данная команда показывает список пользователей, залогинившихся в в систему.
37. whoami
Эта команда показывает под каким именем сейчас пользователь работает в системе.
whoami
Итоги
Вот и весь набор базовых инструментов. Обучение Linux - это все равно, что учиться чему-либо еще. Вам понадобится какая-то практика, прежде чем привыкнуть к этим командам. Но когда уже станете на "ты" с этими утилитами, начнется путь к мастерству.
Система доменных имен (DNS – Domain Name System) обеспечивает сетевую коммуникацию. DNS может показаться какой-то невидимой силой или сущностью до тех пор, пока что-то пойдет не так, потому что если DNS выйдет из строя, то ничего работать не будет.
В данной статье будут рассмотрены передовые методы и наиболее важные меры безопасности для поддержания работоспособности вашей инфраструктуры DNS. Чтобы создать безопасную и надежную DNS, обязательно изучите перечисленные ниже пункты.
Передовые технологии для обеспечения высокой производительности DNS
Обеспечение избыточности и высокой доступности DNS
DNS является основой сетевых приложений, поэтому инфраструктура DNS должна быть высоко доступной. А чтобы обеспечить необходимый уровень избыточности, в вашей организации должно быть, как минимум, два DNS-сервера, первичный и вторичный.
Чтобы обеспечить работу критически важных для бизнеса систем, необходимо иметь, как минимум, два внутренних DNS-сервера. Все системы активного каталога, обмена данными и электронной почты полагаются на корректную работу DNS. Без исправно функционирующих внутренних DNS-серверов внутренние устройства не будут иметь возможности обмениваться данными.
Если на одном DNS-сервере возникнет проблема, то второй сразу же заменяет его. Администраторы настраивают оборудование так, чтобы автоматически использовался вторичный DNS, если первичный не отвечает. IP-адрес внутреннего DNS-сервера может быть любым в диапазоне IP-адресов частной сети.
Обеспечивая избыточность DNS-серверов, вы можете добиться высокой доступности инфраструктуры DNS. Непрерывная репликация с первичных серверов на вторичные обеспечит синхронизацию ваших DNS-записей и защитит систему от сбоев. Вы можете быть уверены в том, что конечный пользователь всегда будет иметь возможность получить доступ к системам.
Сокрытие DNS-серверов и DNS-информации
Не каждый DNS-сервер и не каждая информация должна быть доступна для всех пользователей.
Во-первых, откройте только те серверы и данные, которые необходимы лицам, непосредственно использующим эти серверы. Это особенно важно, если ваши доменные имена являются общедоступными.
Во-вторых, скройте свой основной DNS-сервер. Внешние пользователи не должны видеть первичные серверы. Записи для этих серверов не должны быть видны ни в одной общедоступной базе данных серверов имен. Запросы от пользователей должны обрабатывать только вторичные DNS-серверы.
Если DNS-сервер доступен за пределами вашей сети, то это должен быть авторитативный DNS-сервер. Внешним пользователям не нужно обращаться к вашим рекурсивным DNS-серверам. Системная конфигурация будет высокопроизводительной только тогда, когда сервер будет отвечать только на итеративные запросы для соответствующих зон, за которые он отвечает.
В довершение ко всему, иметь доступ к первичным серверам должны только системные администраторы и IT-персонал вашей организации. Если ваши первичные DNS-серверы будут открыты для всех внутренних пользователей, то это может создать серьезную угрозу для безопасности. Как показывает практика, лучше скрывать DNS-серверы и некоторые данные от пользователей, которым доступ к ним не нужен.
Нужно ли использовать внешний или внутренний DNS-сервер?
Ответ на данный вопрос зависит от внутренней настройки.
Чтобы устройства в одном домене могли общаться друг с другом, вам необходимо указать внутренний DNS-сервер. Внешние DNS-серверы не могут работать с именами хостов внутренних устройств.
Например, когда компьютер DESKTOP1 отправляет DNS-запрос для офисного принтера или сервера hr-1, только внутренняя DNS может предоставить запись ресурса. Если вы настроите устройство на использование внешнего DNS, например, 8.8.8.8 Google, то вы не сможете использовать внутренние ресурсы.
Во внутренних средах необходимо установить, как первичный, так и вторичный DNS на внутренний сервер имен. Даже если основной DNS-сервер даст сбой, проблем с подключением не будет. Дополнительный DNS-сервер содержит все записи и действует как резервная копия. В случае возникновения какой-либо проблемы, этот сервер отвечает на все запросы до тех пор, пока не заработает основной сервер.
Использование локального или ближайшего DNS-сервера
Офисы крупных организаций часто расположены по всему миру. В таком случае следует настроить локальный DNS-сервер в каждом офисе, если позволяет инфраструктура.
А все потому, что локальный сервер сокращает время ответа на DNS-запросы. Если же запрос проходит через глобальную сеть к удаленному серверу имен, то время загрузки увеличивается.
При большом количестве клиентов, естественно, увеличивается количество DNS-запросов. Одна централизованная группа DNS-серверов, конечно, может обрабатывать все эти запросы, но с большой задержкой. Если компьютеры пользователей будут направляться на локальный или ближайший сервер имен, то время отклика может существенно сократиться.
В таком случае задержка не превышает 50 мс. Более того, это значение обычно даже намного ниже. Использование ближайшего DNS-сервера сокращает время загрузки для всех устройств. Таким образом, вы также уменьшаете нагрузку на удаленный сервер в штаб-квартире и повышаете его производительность. Здесь также остается актуальной рекомендация иметь, как минимум, два DNS-сервера.
Передовые методы обеспечения безопасности DNS
DNS-серверы очень часто становятся целью кибератак. Важным шагом в предотвращении вторжений в вашу организацию является защита инфраструктуры DNS. Чтобы избежать серьезного нарушения настроек DNS, обязательно изучите меры безопасности, описанные ниже.
Ведение журнала DNS-сервера
Ведение журнала DNS-сервера – это один из самых эффективных способов отслеживания активности DNS. Журналы сообщают вам, если кто-то пытается вмешаться в ваши DNS-серверы. Помимо активности пользователей, журналы отладки сообщают вам о проблемах с DNS-запросами или обновлениями.
Журналы DNS также показывают следы отравления кэша. При таком виде атаки злоумышленник изменяет хранящиеся в кэше данные и сбивают пользователей с курса. Например, IP-адрес www.youtube.com может быть заменен на IP-адрес вредоносного сайта. Когда пользователь отправляет запрос в DNS для youtube.com, сервер теперь возвращает неверный IP-адрес. В результате чего пользователи попадают на тот веб-сайт, который они не хотели посещать и становятся мишенью для хакеров.
Несмотря на то, что ведение журнала отладки DNS повышает уровень безопасности, некоторые системные администраторы решают этим пренебречь. Основная причина такого решения – повышение производительности. Отслеживание сетевой активности может помочь вам обнаружить некоторые атаки, такие как DDoS, но не отравление кэша. Поэтому мы настоятельно рекомендуем использовать ведение журналов отладки DNS.
Блокировка кэша DNS
Всякий раз, когда появляется запрос от клиента, DNS находит информацию и сохраняет ее в кэше для будущего использования. Этот процесс позволяет серверу быстрее отвечать на одни и те же запросы. Злоумышленники могут воспользоваться этой функцией путем изменения сохраненной информации.
Следующий шаг после использования журналов отладки DNS – это блокировка кэша DNS. Это функция определяет, когда кэшированные данные могут быть изменены. Сервер хранит информацию о поиске в течение времени, определяемого TTL (Time To Life - время жизни). Если блокировка кэша не используется, то информация может быть перезаписана до истечения TTL. Это оставляет место для атак с отравлением кэша.
В некоторых операционных системах блокировка кэша может быть включена по умолчанию. Масштаб блокировки кэша может достигать 100%. Когда установлено значение 70, то перезапись данных невозможна до истечения 70% TTL. При определении блокировки кэша равным 100 изменение кэшированной информации блокируется до истечения всего TTL.
Фильтрация DNS-запросов для блокировки вредоносных доменов
Фильтрация DNS – это эффективный способ ограничить доступ пользователей к веб-сайту или домену. Основная причина для блокировки разрешения имен для домена – наличие информации о вредоносности этого домена. Когда клиент отправляет запрос на заблокированный веб-сайт, DNS-сервер прекращает любую связь между ними.
DNS-фильтрация значительно снижает вероятность проникновения вирусов и вредоносных программ в вашу сеть. Когда пользователь не может получить доступ к вредоносной странице, то и количество угроз, которые могут проникнуть в вашу инфраструктуру, крайне мало. Таким образом, вашему IT-персоналу не требуется круглосуточно работать, чтобы очищать систему от вирусов.
Помимо соображений безопасности, есть еще одна причина, по которой организации могут заблокировать домен – бизнес-политика или по соображениям производительности. В список заблокированных доменов могут входить социальные сети, азартные игры, порнография, страницы потокового видео или любые другие веб-сайты. DNS может фильтровать запросы по пользователю, группе или блокировать доступ для всех пользователей.
Современные системы обеспечения защиты ПО и брандмауэры имеют DNS-фильтрацию в стандартной комплектации. Некоторые из них предоставляют списки плохих доменов, которые регулярно обновляются. Вы можете использовать готовое программное решение и таким образом автоматизировать фильтрацию DNS, а не добавлять новые записи вручную.
Проверка целостности данных DNS с помощью DNSSEC
Модули безопасности службы доменных имен (DNSSEC – Domain Name System Security Extensions) гарантируют, что пользователи получат действительные ответы на свои запросы. Целостность данных достигается за счет цифровой подписи DNSSEC на данных DNS, предоставляемых серверам имен. Когда конечный пользователь отправляет запрос, DNS-сервер предоставляет цифровую подпись с ответом. Стало быть, пользователи знают, что они получили достоверную информацию в качестве ответа на отправленный ими запрос.
Этот дополнительный уровень безопасности помогает бороться с атаками на протокол DNS. Атаки «спуфинга» DNS и отравления кэша успешно предотвращаются, поскольку DNSSEC обеспечивает целостность данных и авторизацию их источника. В дальнейшем пользователи будут уверены, что посещают именно те страницы, которые хотели посетить.
Настройка списков контроля доступа
Списки контроля доступа (ACL – Access Control Lists) – это еще один способ защиты DNS-серверов от несанкционированного доступа и атак «спуфинга». К вашему основному DNS-серверу доступ должны иметь только системные и IT-администраторы. Настройка ACL для разрешения входящих подключений к серверу имен с определенных хостов гарантирует то, что только определенная часть персонала сможет обращаться к вашим серверам.
Кроме того, ACL должны определять, какие серверы могут выполнять передачу зон. Злоумышленники могут попытаться определить настройки вашей зоны, отправив запросы на передачу зоны через вторичные DNS-серверы. Если вы заблокируете все запросы на передачу зоны через вторичные серверы, то злоумышленник не сможет получить информацию о зоне. Эта конфигурация не позволяет третьим лицам получить представление о том, как организована ваша внутренняя сеть.
Заключение
Всегда есть возможности для улучшения системной архитектуры DNS и ее безопасности. Постоянные угрозы скрываются и ждут, когда появится уязвимость в вашей информационной системе, чтобы воспользоваться ей.
Но тем не менее, если вы будете следовать рекомендациям, описанным в данном руководстве, то вы охватите наиболее важные аспекты, которые необходимы для обеспечения безопасности и отказоустойчивости вашей инфраструктуры DNS.
Когда сервер Windows работает в течение длительного периода времени, приложения и функции операционной системы могут работать нестабильно. Нестабильная операционная система может иметь сбои приложений, зависание приложений или утечки памяти. Иногда даже важные системные функции перестают отвечать.
Простым решением является перезагрузка. В этом руководстве вы узнаете, как перезапустить Windows Server 2016 с несколькими параметрами команды.
Перезагрузить Windows Server через графический интерфейс
Интерфейс Windows Server 2016 представляет собой графический интерфейс, который упрощает многие задачи.
Нажмите: меню Пуск -> Кнопка питания -> Перезагрузить.
Как перезагрузить Windows Server с помощью командной строки
В некоторых случаях у вас может не быть установлен компонент GUI. Или ваша операционная система столкнулась с проблемой, и все, что вы можете получить доступ, это командная строка.
Шаг 1: Откройте командную строку
Нажмите Ctrl + Alt + Del.
Система должна показать меню - щелкните Task Manager (Диспетчер задач).
В окне Task Manager (Диспетчер задач) нажмите More Details (Подробнее).
Откройте меню File (Файл) и выберите Run new task (Запустить новое задание).
В поле введите cmd.exe–, затем установите флажок, чтобы создать задачу с правами администратора. Нажмите ОК.
Должно появиться черное окно с белым текстом.
Шаг 2. Перезагрузите операционную систему Windows Server.
В окне командной строки введите команду перезагрузки Windows Server и нажмите клавишу Enter:
shutdown –r
Параметр –r заставляет Windows перезагружаться, а не просто выключаться.
Перезапуск из PowerShell
Windows PowerShell напоминает расширенную версию командной строки. Он основан на .NET Framework и включает язык сценариев. PowerShell полезен для работы под операционной системой Windows.
Шаг 1. Запустите PowerShell
Нажмите Ctrl + Alt + Del и выберите Task Manager (Диспетчер задач).
Откройте меню File (Файл) и выберите Run new task (Запустить новое задание).
В командной строке введите powershell.exe и установите флажок, чтобы начать с правами администратора. Нажмите ОК.
Должно открыться новое окно с темно-синим фоном. Вы можете понять, что находитесь в окне PowerShell, если подсказка начинается с PS.
Шаг 2: перезагрузите систему
В окне PowerShell введите следующую команду и нажмите Enter:
Restart-Computer
По умолчанию вы получите 5-секундный обратный отсчет, затем система перезагрузится. Вы можете добавить опцию, чтобы отложить перезапуск на более чем 5 секунд по умолчанию:
Restart-Computer –delay 15
Перезагрузка удаленного сервера Windows с помощью PowerShell
Шаг 1. Запустите PowerShell
Если вы находитесь в командной строке, введите команду:
PowerShell
Подсказка добавит PS в начале, и ваши набранные команды должны появиться в желтом цвете.
Шаг 2. Перезагрузитесь удаленно
В окне PowerShell введите следующее:
Restart-Computer –ComputerName “NAME_OF_SYSTEM”
Замените NAME_OF_SYSTEM на имя компьютера, который вы хотите перезагрузить. Не забудьте поставить кавычки.
Примечание. Предполагается, что ваши текущие учетные данные те же, что и для удаленной системы. Обычно это может выглядеть как имя пользователя администратора, и один и тот же пароль для обеих систем. Это также может работать, если обе системы находятся в одном домене, а ваша учетная запись пользователя имеет соответствующие разрешения.