RH134: Administración de Sistemas Red Hat II - Libro de Trabajo

Libro de trabajo del estudiante (ROLE) Red Hat Enterprise Linux 8.2 RH134 Administración de sistemas Red Hat II Edición 1 RH134-RHEL8.2-es-1-20200928 Copyright ©2020 Red Hat, Inc. Administración de sistemas Red Hat II RH134-RHEL8.2-es-1-20200928 Copyright ©2020 Red Hat, Inc. Red Hat Enterprise Linux 8.2 RH134 Administración de sistemas Red Hat II Edición 1 20200928 fecha de publicación 20200928 Autores: Editor: Fiona Allen, Adrian Andrade, Hervé Quatremain, Victor Costea, Snehangshu Karmakar, Marc Kesler, Ed Parenti, Saumik Paul, Dallas Spohn Steven Bonneville, Philip Sweany, Ralph Rodriguez, David Sacco, Nicole Muller, Seth Kenlon, Heather Charles Copyright © 2020 Red Hat, Inc. The contents of this course and all its modules and related materials, including handouts to audience members, are Copyright © 2020 Red Hat, Inc. No part of this publication may be stored in a retrieval system, transmitted or reproduced in any way, including, but not limited to, photocopy, photograph, magnetic, electronic or other record, without the prior written permission of Red Hat, Inc. This instructional program, including all material provided herein, is supplied without any guarantees from Red Hat, Inc. Red Hat, Inc. assumes no liability for damages or legal action arising from the use or misuse of contents or details contained herein. If you believe Red Hat training materials are being used, copied, or otherwise improperly distributed, please send email to training@redhat.com or phone toll-free (USA) +1 (866) 626-2994 or +1 (919) 754-3700. Red Hat, Red Hat Enterprise Linux, the Red Hat logo, JBoss, Hibernate, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries. Linux® is the registered trademark of Linus Torvalds in the United States and other countries. Java® is a registered trademark of Oracle and/or its affiliates. XFS® is a registered trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries. The OpenStack® word mark and the Square O Design, together or apart, are trademarks or registered trademarks of OpenStack Foundation in the United States and other countries, and are used with the OpenStack Foundation's permission. Red Hat, Inc. is not affiliated with, endorsed by, or sponsored by the OpenStack Foundation or the OpenStack community. All other trademarks are the property of their respective owners. Colaboradores: Artur Glogowski, Fernando Lozano, Latha Murthy, Samik Sanyal, Chetan Tiwary, Achyut Madhusudan, Rob Locke, Rudolf Kastl, Prashant Rastogi, Heider Souza, Michael Phillips Convenciones del documento ix Introducción xi Administración de sistemas Red Hat II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Orientación sobre el entorno del aula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Internacionalización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xvi 1. Mejora de la productividad con la línea de comandos 1 Redacción de scripts de Bash simples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Ejercicio Guiado: Redacción de scripts de Bash simples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Ejecución de comandos con mayor eficiencia usando bucles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Ejercicio Guiado: Ejecución de comandos con mayor eficiencia usando bucles . . . . . . . . . . . . . . . . . . 15 Texto coincidente en la salida de comando con expresiones regulares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Ejercicio Guiado: Texto coincidente en la salida de comando con expresiones regulares . . . . . 26 Trabajo de laboratorio: Mejora de la productividad con la línea de comandos . . . . . . . . . . . . . . . . . . . . 29 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 2. Programación de tareas futuras 37 Programación de un trabajo de usuario diferido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Ejercicio Guiado: Programación de un trabajo de usuario diferido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Programación de trabajos de usuario recurrentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Ejercicio Guiado: Programación de trabajos de usuario recurrentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Programación de trabajos del sistema recurrentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Ejercicio Guiado: Programación de trabajos del sistema recurrentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Administración de archivos temporales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Ejercicio Guiado: Administración de archivos temporales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Cuestionario: Programación de tareas futuras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 3. Ajuste del rendimiento del sistema 69 Ajuste de perfiles de ajuste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 Ejercicio Guiado: Ajuste de perfiles de ajuste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Influencia en la programación de procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Ejercicio Guiado: Influencia en la programación de procesos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Trabajo de laboratorio: Ajuste del rendimiento del sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 4. Control de acceso a archivos con ACL 91 Interpretación de ACL de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 Cuestionario: Interpretación de ACL de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 Protección de archivos con ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 Ejercicio Guiado: Protección de archivos con ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Trabajo de laboratorio: Control de acceso a archivos con ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 5. Administración de seguridad de SELinux 121 Cambio del modo de cumplimiento de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 Ejercicio Guiado: Cambio del modo de cumplimiento de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Control de contextos de archivo de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Ejercicio Guiado: Control de contextos de archivo de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Ajuste de la política de SELinux con booleanos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Ejercicio Guiado: Ajuste de la política de SELinux con booleanos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Investigación y resolución de problemas de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Ejercicio Guiado: Investigación y resolución de problemas de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 Trabajo de laboratorio: Administración de seguridad de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 6. Administración de almacenamiento básico 157 RH134-RHEL8.2-es-1-20200928 v Adición de particiones, sistemas de archivos y montajes persistentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Ejercicio Guiado: Adición de particiones, sistemas de archivos y montajes persistentes . . . . . 168 Administración de espacio de intercambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Ejercicio Guiado: Administración de espacio de intercambio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Trabajo de laboratorio: Administración de almacenamiento básico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 7. Administración de volúmenes lógicos 191 Creación de volúmenes lógicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Ejercicio Guiado: Creación de volúmenes lógicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Ampliación de volúmenes lógicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Ejercicio Guiado: Ampliación de volúmenes lógicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 Trabajo de laboratorio: Administración de volúmenes lógicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 8. Implementación de funciones avanzadas de almacenamiento 221 Gestión de almacenamiento en capas con Stratis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 Ejercicio Guiado: Gestión de almacenamiento en capas con Stratis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 Compresión y desduplicación de almacenamiento con VDO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 Ejercicio Guiado: Compresión y desduplicación de almacenamiento con VDO . . . . . . . . . . . . . . . . 236 Trabajo de laboratorio: Implementación de funciones avanzadas de almacenamiento . . . . . . 240 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 9. Acceso al almacenamiento conectado a la red 251 Montaje de almacenamiento conectado a la red con NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Ejercicio Guiado: Administración de almacenamiento conectado a la red con NFS . . . . . . . . . . . 255 Montaje automático de almacenamiento conectado a la red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Ejercicio Guiado: Montaje automático de almacenamiento conectado a la red . . . . . . . . . . . . . . . . 263 Trabajo de laboratorio: Acceso al almacenamiento conectado a la red . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 10. Control del proceso de arranque 277 Selección del objetivo de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Ejercicio Guiado: Selección del objetivo de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Restablecimiento de la contraseña de root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Ejercicio Guiado: Restablecimiento de la contraseña de root . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Reparación de problemas del sistema de archivos en el arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 Ejercicio Guiado: Reparación de problemas del sistema de archivos en el arranque . . . . . . . . . . 294 Trabajo de laboratorio: Control del proceso de arranque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 11. Administración de la seguridad de redes 305 Administración de firewalls del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 Ejercicio Guiado: Administración de firewalls del servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Control del etiquetado de puertos de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Ejercicio Guiado: Control del etiquetado de puertos de SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Trabajo de laboratorio: Administración de la seguridad de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 12. Instalación de Red Hat Enterprise Linux 335 Instalación de Red Hat Enterprise Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Ejercicio Guiado: Instalación de Red Hat Enterprise Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Automatización de la instalación con Kickstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 Ejercicio Guiado: Automatización de la instalación con Kickstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Instalación y configuración de máquinas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 Cuestionario: Instalación y configuración de máquinas virtuales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Trabajo de laboratorio: Instalación de Red Hat Enterprise Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 vi RH134-RHEL8.2-es-1-20200928 13. Ejecución de contenedores 371 Introducción a los contenedores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 Cuestionario: Introducción a los contenedores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 Ejecución de un contenedor básico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 Ejercicio Guiado: Ejecución de un contenedor básico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 Búsqueda y administración de imágenes de contenedores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Ejercicio Guiado: Búsqueda y administración de imágenes de contenedores . . . . . . . . . . . . . . . . . . 394 Realización de una administración avanzada de contenedores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Ejercicio Guiado: Realización de una administración avanzada de contenedores . . . . . . . . . . . . . 405 Conexión de almacenamiento persistente a un contenedor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 Ejercicio Guiado: Conexión de almacenamiento persistente a un contenedor . . . . . . . . . . . . . . . . . . 413 Administración de contenedores como servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 Ejercicio Guiado: Administración de contenedores como servicios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 Trabajo de laboratorio: Ejecución de contenedores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436 14. Revisión completa 437 Revisión completa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 Trabajo de laboratorio: Corrección de problemas de arranque y mantenimiento de servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Trabajo de laboratorio: Configuración y administración de sistemas de archivos y almacenamiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449 Trabajo de laboratorio: Configuración y administración de seguridad del servidor . . . . . . . . . . . 456 Trabajo de laboratorio: Ejecución de contenedores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 RH134-RHEL8.2-es-1-20200928 vii viii RH134-RHEL8.2-es-1-20200928 Convenciones del documento Referencias En "Referencias", se describe el lugar donde se puede encontrar documentación externa relevante para un tema. nota Las "Notas" son consejos, atajos o enfoques alternativos para una tarea determinada. Omitir una nota no debería tener consecuencias negativas, pero quizás se pase por alto algún truco que puede simplificar una tarea. Importante En las cajas (boxes) "Importante", se detallan cosas que se olvidan con facilidad: cambios de configuración que solo se aplican a la sesión actual o servicios que se deben reiniciar para poder aplicar una actualización. Ignorar una caja (box) con la etiqueta "Importante" no provocará pérdida de datos, pero puede causar irritación y frustración. Advertencia No se deben ignorar las "advertencias". Es muy probable que ignorar las advertencias provoque la pérdida de datos. RH134-RHEL8.2-es-1-20200928 ix x RH134-RHEL8.2-es-1-20200928 Introducción Administración de sistemas Red Hat II Este curso está diseñado específicamente para estudiantes que hayan completado el curso Red Hat System Administration I (RH124). Red Hat System Administration II (RH134) se centra en las tareas principales necesarias para convertirse en un administrador de Linux de tiempo completo y validar esas habilidades mediante el examen Red Hat Certified System Administrator. Este curso aborda en detalle la administración de Enterprise Linux, que incluye sistemas de archivos y particiones, volúmenes lógicos, SELinux, funciones de firewall y solución de problemas. Objetivos del curso • Ampliar las habilidades obtenidas durante el curso Red Hat System Administration I (RH124). • Desarrollar las habilidades necesarias para un administrador de sistemas Red Hat Enterprise Linux con certificación RHCSA. Destinatarios • Este curso está diseñado particularmente para estudiantes que hayan completado el curso Red Hat System Administration I (RH124). Por la organización de los temas, no es adecuado que los estudiantes usen RH134 como punto de entrada del plan de estudios. Se alienta a los estudiantes que no hayan tomado un curso de Red Hat anterior a tomar System Administration I (RH124) si no conocen Linux o el curso RHCSA Fast Track (RH200) si tienen experiencia con la administración de Enterprise Linux. Requisitos previos • Haber realizado el curso Red Hat System Administration I (RH124), o tener conocimientos equivalentes. RH134-RHEL8.2-es-1-20200928 xi Introducción Orientación sobre el entorno del aula Figura 0.1: Entorno del aula En este curso, la computadora principal usada para las actividades prácticas de aprendizaje es workstation. Los estudiantes también usarán otras dos máquinas para las actividades: servera y serverb. Estos tres sistemas se encuentran en el dominio DNS lab.example.com. Todas las computadoras de los estudiantes tienen una cuenta de usuario estándar (student) con la contraseña student. La contraseña root de todos los sistemas de los estudiantes es redhat. Máquinas del aula Nombre de la máquina Direcciones IP Rol bastion.lab.example.com 172.25.250.254 Sistema de puerta de enlace para conectar la red privada de los estudiantes al servidor del aula (debe estar siempre en ejecución) workstation.lab.example.com 172.25.250.9 Estación de trabajo gráfica usada para la administración del sistema servera.lab.example.com 172.25.250.10 Primer servidor serverb.lab.example.com 172.25.250.11 Segundo servidor utility.lab.example.com (registry.lab.example.com) 172.25.250.220 Servidor del registro de contenedores xii RH134-RHEL8.2-es-1-20200928 Introducción La función principal de bastion es que actúa como enrutador entre la red que conecta las máquinas de los estudiantes y la red del aula. Si bastion está apagada, otras máquinas de estudiantes solo podrán acceder a sistemas en la red de estudiantes individuales. Varios sistemas en el aula brindan servicios de soporte. El host classroom.example.com proporciona dos sistemas, content.example.com y materials.example.com, que son fuentes de software y materiales del trabajo de laboratorio usados en actividades prácticas. Se provee información sobre cómo usar estos servidores en las instrucciones para estas actividades. El host utility.lab.example.com proporciona registry.lab.example.com, que ejecuta un servidor de registro de contenedores de Red Hat Quay que proporciona imágenes de contenedor para ejercicios en el aula. Los sistemas classroom, bastion y utility deben estar todos en ejecución para que el entorno del aula funcione correctamente. nota Al iniciar sesión en servera o serverb, es posible que vea un mensaje sobre la activación de cockpit. El mensaje puede ser ignorado. [student@workstation ~]$ ssh student@serverb Warning: Permanently added 'serverb,172.25.250.11' (ECDSA) to the list of known hosts. Activate the web console with: systemctl enable --now cockpit.socket [student@serverb ~]$ Control de sus sistemas Se le asignan computadoras remotas en un aula de aprendizaje en línea de Red Hat. Se accede a ellas a través de una aplicación web alojada en rol.redhat.com [http://rol.redhat.com]. Debe iniciar sesión en este sitio usando sus credenciales de usuario del Portal de clientes de Red Hat. Control de las máquinas virtuales Las máquinas virtuales del entorno de su aula se controlan a través de una página web. El estado de cada máquina virtual en el aula se muestra en la página en la pestaña Online Lab (Trabajo de laboratorio en línea). Estados de la máquina Estado de la máquina virtual Descripción STARTING (EN INICIO) La máquina virtual está por arrancar. STARTED (INICIADA) La máquina virtual se está ejecutando y está disponible (o bien, cuando arranque, pronto lo estará). STOPPING (EN DETENCIÓN) La máquina virtual está por apagarse. RH134-RHEL8.2-es-1-20200928 xiii Introducción Estado de la máquina virtual Descripción STOPPED (DETENIDA) La máquina virtual se ha apagado completamente. Al iniciarse, la máquina virtual arranca en el mismo estado en que se hallaba en el momento de apagarse (el disco se habrá preservado). PUBLISHING (PUBLICADA) Se está llevando a cabo la creación inicial de la máquina virtual. WAITING_TO_START (EN ESPERA PARA INICIARSE) La máquina virtual está esperando que inicien las demás máquinas virtuales. Según el estado de una máquina, se dispone de una selección de las siguientes acciones. Acciones de aula/máquina Botón o acción Descripción PROVISION LAB (APROVISIONAR TRABAJO DE LABORATORIO) Crea el aula de ROL. Crea todas las máquinas virtuales necesarias para el aula y las inicia. Puede tardar algunos minutos en completarse. DELETE LAB (ELIMINAR TRABAJO DE LABORATORIO) Elimina el aula de ROL. Destruye todas las máquinas virtuales del aula. Precaución: Se perderán los trabajos generados en los discos. START LAB (INICIAR TRABAJO DE LABORATORIO) Inicia todas las máquinas virtuales en el aula. SHUTDOWN LAB (APAGAR TRABAJO DE LABORATORIO) Detiene todas las máquinas virtuales en el aula. OPEN CONSOLE (ABRIR CONSOLA) Abra una nueva pestaña en el navegador y conéctese a la consola de la máquina virtual. Puede iniciar sesión directamente en la máquina virtual y ejecutar los comandos. En la mayoría de los casos, debe iniciar sesión en la máquina virtual workstation y usar ssh para conectarse a las otras máquinas virtuales. ACTION (ACCIÓN) → Start(Iniciar) Inicie (power on [encender]) la máquina virtual. ACTION (ACCIÓN) → Shutdown(Apagar) Apague la máquina virtual correctamente y preserve el contenido del disco. xiv RH134-RHEL8.2-es-1-20200928 Introducción Botón o acción Descripción ACTION (ACCIÓN) → Power Off(Desconectar) Fuerce el apagado de la máquina virtual y preserve el contenido del disco. Esto equivale a desenchufar una máquina física. ACTION (ACCIÓN) → Reset(Restablecer) Fuerce el apagado de la máquina virtual y restablezca el disco para que vuelva a su estado original. Precaución: Se perderán los trabajos generados en el disco. Al inicio de un ejercicio, si se le indica que restablezca el nodo de una máquina virtual, haga clic en ACTION (ACCIÓN) → Reset (Restablecer) solo para la máquina virtual específica. Al inicio de un ejercicio, si se le indica que restablezca todas las máquinas virtuales, haga clic en ACTION (ACCIÓN) → Reset (Restablecer) Si desea que el entorno del aula vuelva a su estado original al inicio del curso, puede hacer clic en DELETE LAB (ELIMINAR TRABAJO DE LABORATORIO) para eliminar el entorno del aula completo. Después de eliminar el trabajo de laboratorio, puede hacer clic en PROVISION LAB (APROVISIONAR TRABAJO DE LABORATORIO) para aprovisionar un nuevo conjunto de sistemas del aula. Advertencia La operación DELETE LAB (ELIMINAR TRABAJO DE LABORATORIO) no puede deshacerse. Se perderán todos los trabajos que haya completado en el entorno del aula hasta el momento. Temporizador de detención automática La inscripción a la capacitación en línea de Red Hat le da derecho a una cierta cantidad de tiempo de uso del equipo. Para ahorrar tiempo asignado de la computadora, el aula de ROL tiene un temporizador de cuenta regresiva asociado, el cual apaga el entorno del aula cuando se termina el tiempo. Para ajustar el temporizador, haga clic en MODIFY (MODIFICAR) para que aparezca el cuadro de diálogo New Autostop Time (Nuevo tiempo de detención automática). Defina la cantidad de horas hasta que el aula deba detenerse automáticamente. Tenga en cuenta que hay un tiempo máximo de diez horas. Haga clic en ADJUST TIME (AJUSTAR TIEMPO) para aplicar este cambio en los ajustes del temporizador. RH134-RHEL8.2-es-1-20200928 xv Introducción Internacionalización Selección de idioma por usuario Es posible que sus usuarios prefieran usar un idioma para su entorno de escritorio distinto al predeterminado del sistema. Quizás también quieran usar una distribución del teclado o un método de entrada distintos para su cuenta. Configuración de idioma En el entorno de escritorio GNOME, posiblemente el usuario deba definir el idioma de su preferencia y el método de entrada la primera vez que inicie sesión. Si no es así, la manera más simple para un usuario individual de definir el idioma de su preferencia y el método de entrada es usando la aplicación Region & Language. Puede iniciar esta aplicación de dos maneras. Puede ejecutar el comando gnome-controlcenter region desde una ventana de terminal, o bien, en la barra superior en el menú de sistema de la esquina derecha, puede seleccionar el botón de configuración (que tiene un icono de un destornillador y una llave inglesa cruzados) ubicado en la parte inferior izquierda del menú. En la ventana que se abre, seleccione Region & Language (Región e idioma). El usuario puede hacer clic en la caja (box) Language (Idioma) y seleccionar el idioma de su preferencia en la lista que aparece. Esto también actualiza la configuración de Formats (Formatos) mediante la adopción del valor predeterminado para ese idioma. La próxima vez que inicie sesión, se efectuarán los cambios. Estas configuraciones afectan el entorno de escritorio GNOME y todas las aplicaciones, como gnome-terminal, que se inician dentro de este. Sin embargo, de forma predeterminada, no se aplican a la cuenta si el acceso a ella es mediante un inicio de sesión ssh desde un sistema remoto o un inicio de sesión basado en texto en una consola virtual (como tty5). nota Puede hacer que su entorno de shell use la misma configuración de LANG que su entorno gráfico, incluso cuando inicia sesión a través de una consola virtual basada en texto o mediante ssh. Una manera de hacer esto es colocar un código similar al siguiente en su archivo ~/.bashrc. Este código de ejemplo definirá el idioma empleado en un inicio de sesión en interfaz de texto de modo que coincida con el idioma actualmente definido en el entorno de escritorio GNOME del usuario. i=$(grep 'Language=' /var/lib/AccountsService/users/${USER} \ | sed 's/Language=//') if [ "$i" != "" ]; then export LANG=$i fi Es posible que algunos idiomas, como el japonés, coreano, chino y otros con un conjunto de caracteres no latinos, no se vean correctamente en consolas virtuales basadas en texto. xvi RH134-RHEL8.2-es-1-20200928 Introducción Se pueden crear comandos individuales para usar otro idioma mediante la configuración de la variable LANG en la línea de comandos: [user@host ~]$ LANG=fr_FR.utf8 date jeu. avril 25 17:55:01 CET 2019 Los comandos subsiguientes se revertirán y usarán el idioma de salida predeterminado del sistema. El comando locale se puede usar para determinar el valor actual de LANG y otras variables de entorno relacionadas. Configuración del método de entrada GNOME 3 en Red Hat Enterprise Linux 7 o posterior usa de manera automática el sistema de selección de método de entrada IBus, que permite cambiar las distribuciones del teclado y los métodos de entrada de manera rápida y sencilla. La aplicación Region & Language (Región e idioma) también se puede usar para habilitar métodos de entrada alternativos. En la ventana de la aplicación Region & Language (Región e idioma), la caja (box) Input Sources (Fuentes de entrada) muestra los métodos de entrada disponibles en este momento. De forma predeterminada, es posible que English (US) (Inglés [EE. UU.]) sea el único método disponible. Resalte English (US) (Inglés [EE. UU.]) y haga clic en el icono de keyboard (teclado) para ver la distribución actual del teclado. Para agregar otro método de entrada, haga clic en el botón +, en la parte inferior izquierda de la ventana Input Sources. Se abrirá la ventana Add an Input Source (Agregar una fuente de entrada). Seleccione su idioma y, luego, el método de entrada o la distribución del teclado de su preferencia. Cuando haya más de un método de entrada configurado, el usuario puede alternar entre ellos rápidamente escribiendo Super+Space (en ocasiones denominado Windows+Space). También aparecerá un indicador de estado en la barra superior de GNOME con dos funciones: por un lado, indica el método de entrada activo; por el otro lado, funciona como un menú que puede usarse para cambiar de un método de entrada a otro o para seleccionar funciones avanzadas de métodos de entrada más complejos. Algunos de los métodos están marcados con engranajes, que indican que tienen opciones de configuración y capacidades avanzadas. Por ejemplo, el método de entrada japonés Japanese (Kana Kanji) (japonés [Kana Kanji]) permite al usuario editar previamente texto en latín y usar las teclas de Down Arrow (flecha hacia abajo) y Up Arrow (flecha hacia arriba) para seleccionar los caracteres correctos que se usarán. El indicador también puede ser de utilidad para los hablantes de inglés de Estados Unidos. Por ejemplo, en English (United States) (Inglés [Estados Unidos]) está la distribución de teclado English (international AltGr dead keys) (Inglés [internacional, teclas inactivas AltGr]), que trata AltGr (o la tecla Alt derecha) en un teclado de 104/105 teclas de una PC como una tecla modificadora "Bloq Mayús secundaria" y tecla de activación de teclas inactivas para escribir caracteres adicionales. Hay otras distribuciones alternativas disponibles, como Dvorak. RH134-RHEL8.2-es-1-20200928 xvii Introducción nota Cualquier carácter Unicode puede ingresarse en el entorno de escritorio GNOME si conoce el código Unicode del carácter. Escriba Ctrl+Shift+U, seguido por el código. Después de ingresar Ctrl+Shift+U, aparecerá una u subrayada que indicará que el sistema espera la entrada del código Unicode. Por ejemplo, la letra del alfabeto griego en minúscula lambda tiene el código U +03BB y puede ingresarse escribiendo Ctrl+Shift+U, luego 03BB y, por último, Enter. Configuración de idioma predeterminado en todo el sistema El idioma predeterminado del sistema está definido en US English (inglés de EE. UU.), que usa la codificación UTF-8 de Unicode como su conjunto de caracteres (en_US.utf8), pero puede cambiarse durante o después de la instalación. Desde la línea de comandos, el usuario root puede cambiar los ajustes de configuración regional de todo el sistema con el comando localectl. Si localectl se ejecuta sin argumentos, muestra los ajustes actuales de configuración regional de todo el sistema. Para configurar el idioma predeterminado de todo el sistema, ejecute el comando localectl set-locale LANG=locale, donde locale es el valor adecuado para la variable de entorno LANG de la tabla "Referencia de códigos de idioma" en este capítulo. El cambio entrará en vigencia para los usuarios en su siguiente inicio de sesión y se almacena en /etc/locale.conf. [root@host ~]# localectl set-locale LANG=fr_FR.utf8 En GNOME, un usuario administrativo puede cambiar esta configuración en Region & Language (Región e idioma) haciendo clic en el botón Login Screen (Pantalla de inicio de sesión) ubicado en la esquina superior derecha de la ventana. Al cambiar la opción Language (Idioma) de la pantalla de inicio de sesión gráfico, también se ajustará el valor de idioma predeterminado de todo el sistema almacenado en el archivo de configuración /etc/locale.conf. Importante Las consolas virtuales basadas en texto, como tty4, pueden mostrar una cantidad más limitada de fuentes que los terminales en una consola virtual que ejecuta un entorno gráfico, o pseudoterminales para sesiones ssh. Por ejemplo, los caracteres del japonés, coreano y chino posiblemente no se visualicen como se espera en una consola virtual basada en texto. Por este motivo, debe considerar el uso de inglés u otro idioma con un conjunto de caracteres latinos para los valores predeterminados para todo el sistema. De manera similar, las consolas virtuales basadas en texto soportan una cantidad limitada de métodos de entrada; y esto se administra de manera separada desde el entorno gráfico de escritorio. Las opciones de entrada globales pueden ser configuradas a través localectl de la consola de texto virtual y del entorno gráfico. Para obtener más información, consulte las páginas del manual localectl(1) y vconsole.conf(5). xviii RH134-RHEL8.2-es-1-20200928 Introducción Paquetes de idiomas Paquetes de RPM especiales llamados langpacks instalan paquetes de idiomas que agregan soporte para idiomas específicos. Estos paquetes de idiomas usan dependencias para instalar automáticamente paquetes de RPM adicionales que contienen localizaciones, diccionarios y traducciones para otros paquetes de software en su sistema. Use yum list langpacks-* para enumerar los paquetes de idiomas que están instalados y que pueden instalarse: [root@host ~]# yum list langpacks-* Updating Subscription Management repositories. Updating Subscription Management repositories. Installed Packages langpacks-en.noarch 1.0-12.el8 @AppStream Available Packages langpacks-af.noarch 1.0-12.el8 rhel-8-for-x86_64-appstream-rpms langpacks-am.noarch 1.0-12.el8 rhel-8-for-x86_64-appstream-rpms langpacks-ar.noarch 1.0-12.el8 rhel-8-for-x86_64-appstream-rpms langpacks-as.noarch 1.0-12.el8 rhel-8-for-x86_64-appstream-rpms langpacks-ast.noarch 1.0-12.el8 rhel-8-for-x86_64-appstream-rpms ...output omitted... Para agregar soporte de idioma, instale el paquete langpacks correcto. Por ejemplo, el siguiente comando agrega soporte para francés: [root@host ~]# yum install langpacks-fr Use yum repoquery --whatsupplements para determinar qué paquetes de RPM pueden ser instalados por un paquete de idiomas: [root@host ~]# yum repoquery --whatsupplements langpacks-fr Updating Subscription Management repositories. Updating Subscription Management repositories. Last metadata expiration check: 0:01:33 ago on Wed 06 Feb 2019 10:47:24 AM CST. glibc-langpack-fr-0:2.28-18.el8.x86_64 gnome-getting-started-docs-fr-0:3.28.2-1.el8.noarch hunspell-fr-0:6.2-1.el8.noarch hyphen-fr-0:3.0-1.el8.noarch libreoffice-langpack-fr-1:6.0.6.1-9.el8.x86_64 man-pages-fr-0:3.70-16.el8.noarch mythes-fr-0:2.3-10.el8.noarch RH134-RHEL8.2-es-1-20200928 xix Introducción Importante Los paquetes langpacks usan dependencias débiles de RPM para instalar paquetes complementarios solo cuando el paquete principal (core) que lo necesita también está instalado. Por ejemplo, al instalar langpacks-fr como se muestra en los ejemplos anteriores, el paquete mythes-fr solo se instalará si el tesauro mythes también está instalado en el sistema. Si mythes se instala posteriormente en ese sistema, el paquete mythes-fr también se instalará automáticamente debido a la débil dependencia del paquete langpacksfr ya instalado. Referencias Páginas del manual: locale(7), localectl(1), locale.conf(5), vconsole.conf(5), unicode(7) y utf-8(7). Las conversiones entre los nombres de las distribuciones X11 del entorno de escritorio gráfico y sus nombres en localectl se pueden encontrar en el archivo / usr/share/X11/xkb/rules/base.lst. Referencia de códigos de idioma nota Es posible que en esta tabla no se reflejen todos los paquetes de idiomas disponibles en su sistema. Use yum info langpacks-SUFFIX para obtener más información sobre un paquete de idiomas en particular. Códigos de idioma Idioma Sufijo de los paquetes de idiomas Valor $LANG Inglés (EE. UU.) en en_US.utf8 Asamés as as_IN.utf8 Bengalí bn bn_IN. UTF8 Chino (Simplificado) zh_CN zh_CN.utf8 Chino (Tradicional) zh_TW zh_TW.utf8 Francés fr fr_FR.utf8 Alemán de de_DE.utf8 Guyaratí gu gu_IN.utf8 xx RH134-RHEL8.2-es-1-20200928 Introducción Idioma Sufijo de los paquetes de idiomas Valor $LANG Hindi hi hi_IN.utf8 Italiano it it_IT.utf8 Japonés ja ja_JP.utf8 Canarés kn kn_IN.utf8 Coreano ko ko_KR.utf8 Malayalam ml ml_IN.utf8 Maratí mr mr_IN.utf8 Odia or or_IN.utf8 Portugués (Brasil) pt_BR pt_BR. UTF8 Punyabí pa pa_IN.utf8 Ruso ru ru_RU.utf8 Español es es_ES.utf8 Tamil ta ta_IN.utf8 Telugú te te_IN.utf8 RH134-RHEL8.2-es-1-20200928 xxi xxii RH134-RHEL8.2-es-1-20200928 capítulo 1 Mejora de la productividad con la línea de comandos Meta Ejecutar los comandos de manera más eficiente mediante el uso de las funciones avanzadas de la shell de Bash, los scripts de shell y diversas utilidades proporcionadas por Red Hat Enterprise Linux. Objetivos • Automatizar las secuencias de comandos escribiendo un simple script de shell. • Ejecutar comandos con eficiencia con listas de ítems en un script o desde la línea de comandos usando bucles for y condicionales. • Encontrar texto que coincida con un patrón en los archivos de registro y la salida del comando con el comando grep y las expresiones regulares. • Redacción de scripts de Bash simples (y ejercicio guiado) • Ejecución de comandos con mayor eficiencia usando bucles (y ejercicio guiado) • Texto coincidente en la salida de comando con expresiones regulares (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Mejora de la productividad con la línea de comandos 1 capítulo 1 | Mejora de la productividad con la línea de comandos Redacción de scripts de Bash simples Objetivos Después de completar esta sección, debe ser capaz de automatizar secuencias de comandos escribiendo un simple script de shell. Creación y ejecución de scripts de shell de Bash Muchas tareas simples y comunes de administración de sistemas se realizan usando herramientas de la línea de comandos. Las tareas que revisten mayor complejidad suelen requerir la concatenación de varios comandos que se pasen resultados entre ellos. Usando el entorno de shell Bash y las funciones de scripting, los comandos de Linux se combinan en scripts de shell para resolver fácilmente los problemas repetitivos y difíciles del mundo real. En su forma más simple, un script de shell Bash es un archivo ejecutable que contiene una lista de comandos, y posiblemente con lógica de programación para controlar la toma de decisiones en la tarea general. Si está bien escrito, un script de shell puede convertirse en una eficiente herramienta de la línea de comandos cuando se ejecuta solo, y otros scripts pueden usarlo. Para que los administradores de sistemas de Linux se desempeñen correctamente en todos los entornos operativos, es esencial que tengan experiencia con scripting de shell. El conocimiento práctico de scripting de shell resulta de especial importancia en entornos empresariales en los que su uso puede traducirse en mayores eficiencia y precisión en la realización de tareas de rutina. Puede crear un script de shell de Bash abriendo un archivo vacío en un editor de texto. Si bien puede usar cualquier editor de texto, los editores avanzados, como vim o emacs, entienden la sintaxis de shell de Bash y pueden proporcionar resaltado codificado por colores. Este resaltado ayuda a identificar errores comunes, como sintaxis incorrecta, comillas faltantes, paréntesis, llaves y corchetes faltantes, y mucho más. Especificación del intérprete de comandos La primera línea de un script comienza con la notación '#!', que comúnmente se denominan sh-bang o she-bang, a partir de los nombres de esos dos caracteres, sharp y bang . Esta notación específica de número mágico de dos bites indica un script interpretativo; la sintaxis que sigue a la notación es el nombre del archivo completamente calificado para el intérprete de comandos correcto necesario para procesar las líneas de este script. Para entender como los números mágicos indican los tipos de archivos en Linux, consulte las páginas del manual file(1) y magic(5). Para los archivos de script que usan la sintaxis de scripting de Bash, la primera línea de un script de shell comienza de la siguiente manera: #!/bin/bash Ejecución de un script de shell de Bash Un script de shell completado debe ser ejecutable para ejecutarse como un comando ordinario. Use el comando chmod para agregar un permiso de ejecución, posiblemente junto con el comando chown para cambiar la propiedad del archivo del script. Otorgue permiso de ejecución solo para los usuarios previstos del script. 2 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Si coloca el script en uno de los directorios listados en la variable ambiental PATH de la shell, puede invocar el script de shell usando solo el nombre del archivo como con cualquier otro comando. La shell usa el primer comando que encuentra con ese nombre de archivo; evite usar nombres de comandos existentes para su nombre de archivo del script de shell. Alternativamente, puede invocar un script de shell ingresando un nombre de ruta al script en la línea de comandos. El comando which, seguido del nombre de archivo del script ejecutable, muestra el nombre de la ruta al comando que se ejecutará. [user@host ~]$ which hello ~/bin/hello [user@host ~]$ echo $PATH /home/user/.local/bin:/home/user/bin:/usr/share/Modules/bin:/usr/local/bin:/usr/ bin:/usr/local/sbin:/usr/sbin Entrecomillado de caracteres especiales Una serie de caracteres y palabras tienen significados especiales para la shell de Bash. Sin embargo, ocasionalmente querrá usar estos caracteres para sus valores literales, en lugar de para sus significados especiales. Para ello, use una de las tres herramientas para eliminar (o escape) el significado especial: la barra invertida (\), comillas simples ('') o comillas dobles (""). El carácter de escape barra invertida quita el significado especial del carácter individual que le sigue inmediatamente. Por ejemplo, para visualizar la cadena # not a comment con el comando echo, el signo # no debe ser interpretado por Bash con su significado especial. Coloque el carácter de barra invertida delante del signo #. [user@host ~]$ echo # not a comment [user@host ~]$ echo \# not a comment # not a comment Cuando se debe eludir más de un carácter en una cadena de texto, los usuarios pueden usar el carácter de escape varias veces o usar comillas simples (''). Las comillas simples conservan el significado literal de todos los caracteres que encierran. Observe el carácter de escape y las comillas simples en acción: [user@host ~]$ echo # not a comment # [user@host ~]$ echo \# not a comment # # not a comment [user@host ~]$ echo \# not a comment \# # not a comment # [user@host ~]$ echo '# not a comment #' # not a comment # Use comillas dobles para suprimir el globbing y la expansión de la shell, pero permita la sustitución de comandos y variables. A nivel conceptual, la sustitución de variables es idéntica a la sustitución de comandos, pero puede usar sintaxis de llaves opcional. Observe los ejemplos de las diversas formas de uso de comillas a continuación. Use comillas simples para interpretar todo el texto literalmente. Además de suprimir el globbing y la expansión de la shell, las comillas dirigen a la shell para que también suprima la sustitución de RH134-RHEL8.2-es-1-20200928 3 capítulo 1 | Mejora de la productividad con la línea de comandos comandos y variables. El signo de interrogación (?) es un metacarácter que también necesita protección para evitar la expansión. [user@host ~]$ var=$(hostname -s); echo $var host [user@host ~]$ echo "***** hostname is ${var} *****" ***** hostname is host ***** [user@host ~]$ echo Your username variable is \$USER. Your username variable is $USER. [user@host ~]$ echo "Will variable $var evaluate to $(hostname -s)?" Will variable host evaluate to host? [user@host ~]$ echo 'Will variable $var evaluate to $(hostname -s)?' Will variable $var evaluate to $(hostname -s)? [user@host ~]$ echo "\"Hello, world\"" "Hello, world" [user@host ~]$ echo '"Hello, world"' "Hello, world" Proporcionar salida de un script de shell El comando echo visualiza texto arbitrario al asignar el texto como argumento del comando. De manera predeterminada, el texto se visualiza en salida estándar (STDOUT), pero también puede dirigirse a error estándar (STDERR) si se usa la redirección de la salida. En el siguiente script de Bash simple, el comando echo muestra el mensaje "Hello, world" (Hola, mundo) a STDOUT. [user@host ~]$ cat ~/bin/hello #!/bin/bash echo "Hello, world" [user@host ~]$ hello Hello, world nota Este usuario solo puede ejecutar hello en el prompt porque el directorio ~/bin (/ home/user/bin) está en la variable PATH del usuario y el script hello en este es ejecutable. La shell encuentra automáticamente el script allí, siempre que no haya otro archivo ejecutable llamado hello en cualquiera de los directorios enumerados antes de /home/user/bin en la PATH. El comando echo se usa ampliamente en scripts de shell para mostrar mensajes informativos o de error. Estos mensajes pueden ser indicadores útiles del progreso de un script y pueden dirigirse a salida estándar, error estándar, o bien ser redirigidos a un archivo de registro para su archivado. Cuando se visualizan mensajes de error, se recomienda dirigirlos a STDERR a fin de facilitar la diferenciación entre mensajes de error y mensajes de estado normal. [user@host ~]$ cat ~/bin/hello #!/bin/bash echo "Hello, world" echo "ERROR: Houston, we have a problem." >&2 4 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos [user@host ~]$ hello 2> hello.log Hello, world [user@host ~]$ cat hello.log ERROR: Houston, we have a problem. El comando echo también puede resultar de utilidad cuando se intenta depurar un script de shell problemático. La adición de sentencias echo a la parte del script que no se comporta según lo previsto puede ser de ayuda para aclarar los comandos que se ejecutan, así como los valores de las variables que se invocan. Referencias Páginas del manual: bash(1), magic(5), echo(1) y echo(1p). RH134-RHEL8.2-es-1-20200928 5 capítulo 1 | Mejora de la productividad con la línea de comandos Ejercicio Guiado Redacción de scripts de Bash simples En este ejercicio, escribirá una secuencia de comandos de Bash simple que contiene una secuencia de comandos y la ejecutará desde la línea de comandos. Resultados Usted deberá ser capaz de realizar lo siguiente: • Escribir y ejecutar un simple script de Bash • Redirigir la salida de un script de Bash simple a un archivo Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab console-write start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. El script le avisará si no está disponible. También instala el paquete vim-enhanced si es necesario. [student@workstation ~]$ lab console-write start 1. Desde workstation, abra una sesión de SSH en servera como student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Cree y ejecute un script simple de Bash. 2.1. Use el editor de texto vim para crear un nuevo archivo de texto en su directorio de inicio y asígnele el nombre firstscript.sh. [student@servera ~]$ vim firstscript.sh 2.2. Inserte el siguiente texto y guarde el archivo. Tenga en cuenta que la cantidad de señales hash (#) es arbitraria. #!/bin/bash echo "This is my first bash script" > ~/output.txt echo "" >> ~/output.txt echo "#####################################################" >> ~/output.txt 2.3. 6 Use el comando sh para ejecutar el script. RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos [student@servera ~]$ sh firstscript.sh 2.4. Revise el archivo de salida generado por el script. [student@servera ~]$ cat output.txt This is my first bash script ##################################################### 3. Agregue más comandos al script firstscript.sh, ejecútelo y revise la salida. 3.1. Use el editor de texto vim para editar el firstscript.sh. [student@servera ~]$ vim firstscript.sh 3.2. Agregue las siguientes líneas en negrita al archivo firstscript.sh. #!/bin/bash # echo "This is my first bash script" > ~/output.txt echo "" >> ~/output.txt echo "#####################################################" >> ~/output.txt echo "LIST BLOCK DEVICES" >> ~/output.txt echo "" >> ~/output.txt lsblk >> ~/output.txt echo "" >> ~/output.txt echo "#####################################################" >> ~/output.txt echo "FILESYSTEM FREE SPACE STATUS" >> ~/output.txt echo "" >> ~/output.txt df -h >> ~/output.txt echo "#####################################################" >> ~/output.txt 3.3. Haga que el archivo firstscript.sh sea ejecutable con el comando chmod. [student@servera ~]$ chmod a+x firstscript.sh 3.4. Ejecute el script firstscript.sh. [student@servera ~]$ ./firstscript.sh 3.5. Revise el archivo de salida generado por el script. [student@servera ~]$ cat output.txt This is my first bash script ##################################################### LIST BLOCK DEVICES NAME sr0 MAJ:MIN RM SIZE RO TYPE MOUNTPOINT 11:0 1 1024M 0 rom RH134-RHEL8.2-es-1-20200928 7 capítulo 1 | Mejora de la productividad con la línea de comandos vda 252:0 └─vda1 252:1 vdb 252:16 0 0 0 10G 10G 5G 0 disk 0 part / 0 disk ##################################################### FILESYSTEM FREE SPACE STATUS Filesystem Size Used Avail Use% Mounted on devtmpfs 892M 0 892M 0% /dev tmpfs 915M 0 915M 0% /dev/shm tmpfs 915M 17M 899M 2% /run tmpfs 915M 0 915M 0% /sys/fs/cgroup /dev/vda1 10G 1.5G 8.6G 15% / tmpfs 183M 0 183M 0% /run/user/1000 ##################################################### 4. Elimine los archivos de ejercicio y cierre sesión en servera. 4.1. Elimine el archivo de script firstscript.sh y el archivo de salida output.txt. [student@servera ~]$ rm firstscript.sh output.txt 4.2. Cierre sesión en servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab console-write finish para terminar este ejercicio. [student@workstation ~]$ lab console-write finish Esto concluye el ejercicio guiado. 8 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Ejecución de comandos con mayor eficiencia usando bucles Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Iterar en listas usando bucles for. • Evaluar los códigos de salida de comandos y scripts. • Realizar pruebas con operadores. • Crear estructuras condicionales con declaraciones if Uso de bucles para iterar comandos Los administradores de sistemas a menudo se encuentran con tareas repetitivas en sus actividades cotidianas. Las tareas repetitivas pueden implicar la realización de una acción varias veces en un objetivo, como controlar un proceso una vez por minuto durante 10 minutos para ver si ha finalizado. La repetición de tareas también puede implicar la realización de una acción una vez en varios objetivos, como realizar una copia de seguridad de cada base de datos de un sistema. El bucle for es una de las tantas construcciones de bucles de shell que ofrece Bash que puede usarse para iteraciones de tareas. Procesamiento de ítems desde la línea de comandos La construcción del bucle for de Bash emplea la siguiente sintaxis. for VARIABLE in LIST; do COMMAND VARIABLE done El bucle procesa las cadenas proporcionadas en LIST en orden, de a una por vez, y termina después de procesar la última cadena de la lista. Cada cadena de la lista se almacena provisoriamente como el valor de VARIABLE, mientras que el bucle for ejecuta el bloque de comandos incluido en su construcción. El nombre asignado a la variable es arbitrario. Normalmente, se hace referencia al valor de la variable a través de comandos en el bloque de comandos. La lista de cadenas proporcionadas a un bucle for puede proporcionarse de distintas maneras. Puede ser una lista de cadenas ingresadas directamente por el usuario o generada a partir de distintos tipos de expansión de shell, como expansión de variable, expansión de llave, expansión de nombre de archivo o sustitución de comandos. A continuación se incluyen algunos ejemplos que demuestran las distintas maneras en que se pueden proporcionar cadenas a bucles for. [user@host ~]$ for HOST in host1 host2 host3; do echo $HOST; done host1 host2 host3 [user@host ~]$ for HOST in host{1,2,3}; do echo $HOST; done host1 host2 RH134-RHEL8.2-es-1-20200928 9 capítulo 1 | Mejora de la productividad con la línea de comandos host3 [user@host ~]$ for HOST in host{1..3}; do echo $HOST; done host1 host2 host3 [user@host ~]$ for FILE in file*; do ls $FILE; done filea fileb filec [user@host ~]$ for FILE in file{a..c}; do ls $FILE; done filea fileb filec [user@host ~]$ for PACKAGE in $(rpm -qa | grep kernel); \ do echo "$PACKAGE was installed on \ $(date -d @$(rpm -q --qf "%{INSTALLTIME}\n" $PACKAGE))"; done abrt-addon-kerneloops-2.1.11-12.el7.x86_64 was installed on Tue Apr 22 00:09:07 EDT 2014 kernel-3.10.0-121.el7.x86_64 was installed on Thu Apr 10 15:27:52 EDT 2014 kernel-tools-3.10.0-121.el7.x86_64 was installed on Thu Apr 10 15:28:01 EDT 2014 kernel-tools-libs-3.10.0-121.el7.x86_64 was installed on Thu Apr 10 15:26:22 EDT 2014 [user@host ~]$ for EVEN in $(seq 2 2 10); do echo "$EVEN"; done 2 4 6 8 10 Uso de códigos de salida en un script Después de que un script haya procesado todos sus contenidos, sale al proceso que lo llamó. Sin embargo, es posible que ocasionalmente se desee finalizar un script antes de que termine, como cuando se detecta una condición de error. Para ello, debe usarse el comando exit dentro de un script. Cuando un script detecta el comando exit, finaliza de inmediato y no procesa el resto del script. El comando exit puede ejecutarse con un argumento entero opcional entre 0 y 255, que representa un código de salida. Un código de salida es un código que se devuelve después de que se ha completado un proceso. Un valor de código de salida igual a 0 indica que no hay error. Todos los demás valores diferentes a cero indican un código de salida con error. Puede usar valores que no son cero distintos para diferenciar los diversos tipos de errores detectados. El código de salida se traslada al proceso principal, que lo almacena en la variable ? y al que puede accederse con $?, conforme se demuestra en los siguientes ejemplos. [user@host bin]$ cat hello #!/bin/bash echo "Hello, world" exit 0 [user@host bin]$ ./hello Hello, world 10 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos [user@host bin]$ echo $? 0 Si el comando exit se solicita sin un argumento, el script finaliza y pasa el estado de salida del último comando ejecutado al proceso principal. Prueba de entradas de script Para asegurarse de que condiciones imprevistas no ocasionen fácilmente la falla de scripts, se recomienda que no se hagan suposiciones con respecto a las entradas, como argumentos de la línea de comandos, entradas del usuario, sustituciones de comandos, expansiones de variables y expansiones de nombres de archivo. La verificación de la integridad puede realizarse usando el comando test de Bash. Al igual que todos los comandos, el comando test, tras finalizar, genera un código de salida, que se almacena como el valor $?. Para ver la conclusión de una prueba, muestre el valor de $? que se encuentra inmediatamente a continuación de la ejecución del comando test. Una vez más, un estado de salida igual a 0 indica que la prueba se realizó correctamente, mientras que un estado de salida distinto a cero indica que la prueba no se realizó correctamente. Las pruebas se realizan con una variedad de operadores. Los operadores pueden usarse para determinar si un número es mayor que, mayor o igual que, menor que, menor o igual que, o igual a otro número. Se pueden usar para probar si una cadena de texto es igual o no a otra cadena de texto. Los operadores también pueden usarse para evaluar si una variable tiene un valor o no. nota Muchos tipos de operadores se usan en scripting de shell, además de los operadores de comparación que se enseñan aquí. La página del manual de test(1) enumera los operadores de expresiones condicionales importantes con descripciones. La página del manual de bash(1) también explica el uso y la evaluación del operador, pero es una lectura muy difícil para los principiantes. Se recomienda que los estudiantes amplíen sus necesidades avanzadas sobre scripting de shell con libros y cursos dedicados a la programación de shell. A continuación se ejemplifica el uso del comando test con los operadores comparativos numéricos de Bash. [user@host ~]$ test 1 -gt 0 ; echo $? 0 [user@host ~]$ test 0 -gt 1 ; echo $? 1 Las pruebas pueden realizarse mediante el uso de la sintaxis de comandos de prueba de Bash: [ <TESTEXPRESSION> ]. También pueden llevarse a cabo mediante el uso de la sintaxis de comandos de prueba ampliada más nueva de Bash: [[ <TESTEXPRESSION> ]], que está disponible a partir de la versión 2.02 de Bash y que proporciona características como coincidencia de patrones de comodines y coincidencia de patrones de expresiones regulares. A continuación se ejemplifica el uso de la sintaxis de comandos de prueba y los operadores comparativos numéricos de Bash. RH134-RHEL8.2-es-1-20200928 11 capítulo 1 | Mejora de la productividad con la línea de comandos [user@host ~]$ [ 1 -eq 1 ]; echo $? 0 [user@host ~]$ [ 1 -ne 1 ]; echo $? 1 [user@host ~]$ [ 8 -gt 2 ]; echo $? 0 [user@host ~]$ [ 2 -ge 2 ]; echo $? 0 [user@host ~]$ [ 2 -lt 2 ]; echo $? 1 [user@host ~]$ [ 1 -lt 2 ]; echo $? 0 A continuación se ejemplifica el uso de operadores comparativos de cadenas de Bash. [user@host ~]$ [ abc = abc ]; echo $? 0 [user@host ~]$ [ abc == def ]; echo $? 1 [user@host ~]$ [ abc != def ]; echo $? 0 A continuación se ejemplifica el uso de operadores individuales de cadenas de Bash. [user@host ~]$ STRING=''; [ -z "$STRING" ]; echo $? 0 [user@host ~]$ STRING='abc'; [ -n "$STRING" ]; echo $? 0 nota Los caracteres de espacio dentro de los corchetes de prueba son obligatorios, porque separan las palabras y los elementos dentro de la expresión de prueba. La rutina de análisis de comandos de la shell divide todas las líneas de comandos en palabras y operadores al reconocer espacios y otros metacaracteres con reglas de análisis incorporadas. Para obtener un análisis completo de este concepto avanzado, consulte la página del manual getopt(3). El carácter de corchete izquierdo ([) es en sí un alias incorporado para el comando test. Las palabras de shell, ya sean comandos, subcomandos, opciones, argumentos u otros elementos de token, están siempre delimitadas por espacios. Estructuras condicionales Los scripts de shell simples representan una recopilación de comandos que se ejecutan de principio a fin. Las estructuras condicionales permiten que los usuarios incorporen la toma de decisiones en scripts de shell, de modo que ciertas partes del script se ejecutan solo cuando se cumplen determinadas condiciones. Uso de la construcción if/then La estructura condicional más simple en Bash es la construcción if/then, que tiene la siguiente sintaxis: 12 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos if <CONDITION>; then <STATEMENT> ... <STATEMENT> fi Con esta construcción, si se cumple una determinada condición, se realizan una o más acciones. Si la condición no se cumple, no se realiza ninguna acción. Las pruebas de números, cadenas y archivos demostradas anteriormente se usan con frecuencia para la prueba de condiciones en declaraciones if/then. La declaración if del final cierra la construcción if/then. En la siguiente sección de código, se demuestra el uso de una construcción if/then para iniciar el servicio psacct si no se encuentra activo. [user@host ~]$ systemctl is-active psacct > /dev/null 2>&1 [user@host ~]$ if [ $? -ne 0 ]; then > sudo systemctl start psacct > fi Uso de la construcción if/then/else La construcción if/then puede expandirse aún más para que diversas acciones puedan realizarse en función de si una condición se cumple o no. Esto se logra con la construcción if/ then/else. if <CONDITION>; then <STATEMENT> ... <STATEMENT> else <STATEMENT> ... <STATEMENT> fi En la siguiente sección de código, se demuestra el uso de una declaración if/then/else para iniciar el servicio psacct si no se encuentra activo y para detenerlo si está activo. [user@host ~]$ systemctl is-active psacct > /dev/null 2>&1 [user@host ~]$ if [ $? -ne 0 ]; then > sudo systemctl start psacct > else > sudo systemctl stop psacct > fi Uso de la construcción if/then/elif/then/else Por último, la estructura condicional if/then/else puede expandirse aún más para probar más de una condición y se ejecutará un conjunto de acciones diferente cuando se cumpla una condición. La construcción se muestra en el siguiente ejemplo: RH134-RHEL8.2-es-1-20200928 13 capítulo 1 | Mejora de la productividad con la línea de comandos if <CONDITION>; then <STATEMENT> ... <STATEMENT> elif <CONDITION>; then <STATEMENT> ... <STATEMENT> else <STATEMENT> ... <STATEMENT> fi Es esta estructura condicional, Bash prueba las condiciones en el orden presentado. Cuando encuentra una condición verdadera, Bash ejecuta las acciones asociadas con la condición y, luego, omite el resto de la estructura condicional. Si ninguna condición es verdadera, Bash ejecuta las acciones enumeradas en la cláusula else. En la siguiente sección de código, se demuestra el uso de una declaración if/then/elif/ then/else para ejecutar el cliente mysql si el servicio mariadb está activo, para ejecutar el cliente psql si el servicio postgresql está activo o para ejecutar el cliente sqlite3 si los servicios mariadb y postgresql no están activos. [user@host ~]$ systemctl is-active mariadb > /dev/null 2>&1 MARIADB_ACTIVE=$? [user@host ~]$ sudo systemctl is-active postgresql > /dev/null 2>&1 POSTGRESQL_ACTIVE=$? [user@host ~]$ if [ "$MARIADB_ACTIVE" -eq 0 ]; then > mysql > elif [ "$POSTGRESQL_ACTIVE" -eq 0 ]; then > psql > else > sqlite3 > fi Referencias Página del manual (1)bash 14 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Ejercicio Guiado Ejecución de comandos con mayor eficiencia usando bucles En este ejercicio, usará bucles para imprimir de manera eficiente el nombre de host desde varios servidores. Resultados Debe ser capaz de crear un bucle for para iterar a través de una lista de ítems de la línea de comandos y en un script de shell. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab console-commands start. Este comando ejecuta un script de inicio que determina si los hosts servera y serverb están accesibles en la red. El script le avisará si no están disponibles. [student@workstation ~]$ lab console-commands start 1. Use los comandos ssh y hostname para imprimir el nombre de host de servera y serverb en la salida estándar. [student@workstation ~]$ ssh student@servera hostname servera.lab.example.com [student@workstation ~]$ ssh student@serverb hostname serverb.lab.example.com 2. Cree un bucle for para realizar la misma tarea de manera más eficiente. [student@workstation ~]$ for HOST in servera serverb do ssh student@${HOST} hostname done servera.lab.example.com serverb.lab.example.com 3. Cree un script de shell para ejecutar el mismo bucle for. 3.1. Cree el directorio /home/student/bin para contener el script de shell. [student@workstation ~]$ mkdir ~/bin 3.2. Verifique que el directorio recién creado esté en su variable ambiental PATH. RH134-RHEL8.2-es-1-20200928 15 capítulo 1 | Mejora de la productividad con la línea de comandos [student@workstation ~]$ echo $PATH /home/student/.local/bin:/home/student/bin::/usr/local/bin:/usr/bin:/usr/local/ sbin:/usr/sbin 3.3. Cree un script de shell en /home/student/bin/printhostname.sh para realizar el bucle for. Use el comando cat para verificar el contenido de printhostname.sh. [student@workstation ~]$ vim ~/bin/printhostname.sh [student@workstation ~]$ cat ~/bin/printhostname.sh #!/bin/bash #Execute for loop to print server hostname. for HOST in servera serverb do ssh student@${HOST} hostname done exit 0 3.4. Asegúrese de que el script recién creado sea ejecutable. [student@workstation ~]$ chmod +x ~/bin/printhostname.sh 3.5. Ejecute el script desde su directorio de inicio. [student@workstation ~]$ printhostname.sh servera.lab.example.com serverb.lab.example.com 3.6. Verifique que el código de salida de su script sea 0. [student@workstation ~]$ echo $? 0 Finalizar En workstation, ejecute el script lab console-commands finish para terminar este ejercicio. [student@workstation ~]$ lab console-commands finish Esto concluye el ejercicio guiado. 16 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Texto coincidente en la salida de comando con expresiones regulares Objetivos Tras finalizar esta sección, los estudiantes deben ser capaces de realizar lo siguiente: • Crear expresiones regulares que correspondan a los datos deseados • Aplicar expresiones regulares a archivos de texto con el comando grep • Usar grep para buscar archivos y datos de comandos canalizados Escritura de expresiones regulares Las expresiones regulares proporcionan un mecanismo de coincidencia de patrones que facilita la búsqueda de contenido específico. Los comandos vim, grep y less pueden usar expresiones regulares. Los lenguajes de programación, como Perl, Python y C usan expresiones regulares cuando usan criterios que corresponden a patrones. Las expresiones regulares son un lenguaje en sí mismas, lo que significa que tienen su propia sintaxis y reglas. En esta sección, se da un vistazo a la sintaxis usada en la creación de expresiones regulares y se mostrarán algunos ejemplos del uso de expresiones regulares. Descripción de una expresión regular simple La expresión regular más simple es una coincidencia exacta. Una coincidencia exacta es cuando los caracteres de la expresión regular coinciden con el tipo y el orden de los datos que se están buscando. Supongamos que un usuario está explorando el siguiente archivo en busca de todas las veces que aparece el patrón cat: cat dog concatenate dogma category educated boondoggle vindication chilidog cat es una correspondencia exacta de una c, seguida de una a, seguida de una t sin otros caracteres en el medio. El uso de cat como expresión regular para buscar el archivo anterior arroja las siguientes coincidencias: RH134-RHEL8.2-es-1-20200928 17 capítulo 1 | Mejora de la productividad con la línea de comandos cat concatenate category educated vindication Coincidencias con el inicio y el final de una línea En la sección anterior, se usó una expresión regular de correspondencia exacta en un archivo. Observe que la expresión regular coincidiría con la cadena de búsqueda independientemente de en qué parte de la línea se encuentre: al principio, al final o en el medio de la palabra o línea. Use un delimitador de línea para controlar la ubicación donde la expresión regular busca una coincidencia. Para buscar al principio de una línea, use el carácter de intercalación (^). Para buscar al final de una línea, use el signo de dólar ($). Usando el mismo archivo que arriba, la expresión regular ^cat coincidiría con dos palabras. La expresión regular $cat no encontraría ninguna palabra coincidente. cat dog concatenate dogma category educated boondoggle vindication chilidog Para localizar líneas del archivo que terminen con dog, use esa expresión exacta y un delimitador de final de línea para crear la expresión regular dog$. Si se aplica dog$ al archivo, se arrojarán dos coincidencias: dog chilidog Para localizar la única palabra en una línea, use el tanto el delimitador del principio y el del final de línea. Por ejemplo, para localizar la palabra cat cuando es la única palabra en una línea, use ^cat$. cat dog rabbit cat horse cat cow cat pig Adición de comodines y multiplicadores a expresiones regulares Las expresiones regulares usan un punto (.) para hacer coincidir un carácter único con la excepción del carácter de nueva línea. Una expresión regular de c.t busca una cadena que contenga una c seguida de un carácter individual seguido por una t. Ejemplos de coincidencias incluyen cat, concatenate, vindication, c5t y c$t. 18 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Al usar un comodín no restringido, no puede predecir el carácter que coincidirá con el comodín. Para hacer coincidir caracteres específicos, reemplace el comodín no restringido con caracteres aceptables. Se cambia la expresión regular a c[aou]t, coincidirá con patrones que comiencen con una c, seguida de una a, una o o una u, seguida de una t. Los multiplicadores son un mecanismo usado a menudo con comodines. Los multiplicadores se aplican al carácter anterior en la expresión regular. Uno de los multiplicadores más comunes que se usan es el asterisco o el carácter de estrella. (*). Cuando se usa en una expresión regular, este multiplicador significa que coincida con cero o más de la expresión anterior. Puedes usar * con expresiones, no solo con personajes. Por ejemplo, c[aou]*t. Una expresión regular de c.*t coincide con cat, coat, culvert e incluso ct (cero caracteres entre la c y la t). Cualquier dato que comience con una c, luego cero o más caracteres, y que finalice con una t. Otro tipo de multiplicador indicaría la cantidad de caracteres anteriores deseados en el patrón. Un ejemplo del uso de un multiplicador explícito sería 'c.\{2\}t'. Esta expresión regular coincidirá con cualquier palabra que comience con c, seguida de exactamente dos caracteres cualesquiera, y que termine con una t. La expresión 'c.\{2\}t' coincidiría con dos palabras en el siguiente ejemplo: cat coat convert cart covert cypher nota Se recomienda usar comillas simples para encapsular la expresión regular porque a menudo contienen metacaracteres de shell (como $, * y {}). Esto asegura que los caracteres sean interpretados por el comando y no por la shell. nota Este curso ha presentado dos sistemas distintos de análisis de texto de metacaracteres: coincidencia de patrones de shell (también conocido como comodín de archivo o expansión de nombre de archivo) y expresiones regulares. Debido a que ambos sistemas usan metacaracteres similares, como el asterisco (*), pero tienen diferencias en la interpretación y las reglas de los metacaracteres, estos sistemas pueden resultar confusos hasta que se los domine a cada uno lo suficiente. La coincidencia de patrones es una técnica de análisis de líneas de comandos diseñada para especificar fácilmente muchos nombres de archivos, y se admite principalmente solo para representar patrones de nombres de archivos en la línea de comandos. Las expresiones regulares están diseñadas para representar cualquier forma o patrón en las cadenas de texto, sin importar cuán complejas sean. Las expresiones regulares son compatibles internamente con numerosos comandos de procesamiento de texto, como grep, sed, awk, python, perl y muchas aplicaciones, con algunas mínimas variaciones dependientes del comando en las reglas de interpretación. RH134-RHEL8.2-es-1-20200928 19 capítulo 1 | Mejora de la productividad con la línea de comandos Expresiones regulares Opción Descripción . El punto (.) coincide con cualquier carácter individual. ? El ítem anterior es opcional y coincidirá como máximo una vez. * El ítem anterior coincidirá cero o más veces. + El ítem anterior coincidirá una o más veces. {n} El ítem anterior coincide exactamente n veces. {n,} El ítem anterior coincide n o más veces. {,m} El ítem anterior coincide como máximo m veces. {n,m} El ítem anterior coincide como mínimo n veces y como máximo m veces. [:alnum:] Caracteres alfanuméricos: '[:alpha:]' y '[:digit:]'; en la configuración regional 'C' y en la codificación de caracteres ASCII, esto es lo mismo que '[0-9AZa-z]'. [:alpha:] Caracteres alfanuméricos: '[:lower:]' y '[:upper:]'; en la configuración regional 'C' y en la codificación de caracteres ASCII esto es lo mismo que '[A-Za-z]'. [:blank:] Caracteres en blanco: espacio y tabulación. [:cntrl:] Caracteres de control. En ASCII, estos caracteres tienen códigos octales del 000 al 037, y 177 (DEL). En otros conjuntos de caracteres, estos son los caracteres equivalentes, si los hay. [:digit:] Dígitos: 0 1 2 3 4 5 6 7 8 9. [:graph:] Caracteres gráficos: '[:alnum:]' y '[:punct:]'. [:lower:] Letras minúsculas; en la configuración regional 'C' y en la codificación de caracteres ASCII, esto es a b c d e f g h i j k l m n o p q r s t u v w x y z. [:print:] Caracteres imprimibles: '[:alnum:]','[:punct:]' y el espacio. [:punct:] Caracteres de puntuación; en la configuración regional 'C' y la codificación de caracteres ASCII, esto es ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ' { | } ~. En otros conjuntos de caracteres, estos son los caracteres equivalentes, si los hay. [:space:] Caracteres de espacio: en la configuración regional 'C', esto es tabulación, nueva línea, tabulación vertical, avance de página, retorno de carro y espacio. [:upper:] Letras mayúsculas; en la configuración regional 'C' y en la codificación de caracteres ASCII, esto es A B C D E F G H I J K L M N O P Q R S T U V W X Y Z. [:xdigit:] Dígitos hexadecimales: 0 1 2 3 4 5 6 7 8 9 A B C D E F a b c d e f. 20 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Opción Descripción \b Coincidir con la cadena vacía en el extremo de una palabra. \B Coincidir con la cadena vacía, siempre que no sea en el extremo de una palabra. \< Coincidir con la cadena vacía al principio de una palabra. \> Coincidir con la cadena vacía al final de una palabra. \w Coincidir con el componente de la palabra. Sinónimo de '[_[:alnum:]]'. \W Coincidir con la ausencia de componente de la palabra. Sinónimo de '[^_[:alnum:]]'. \s Coincidir con el espacio en blanco. Sinónimo de '[[:space:]]'. \S Coincidir con la ausencia de espacio en blanco. Sinónimo de '[^[:space:]]'. Coincidencia de expresiones regulares con Grep El comando grep, proporcionado como parte de la distribución, usa expresiones regulares para aislar los datos correspondientes. Aislamiento de datos usando el comando grep El comando grep proporciona una expresión regular y un archivo con el cual la expresión regular debe coincidir. [user@host ~]$ grep '^computer' /usr/share/dict/words computer computerese computerise computerite computerizable computerization computerize computerized computerizes computerizing computerlike computernik computers nota Se recomienda usar comillas simples para encapsular la expresión regular porque a menudo contienen metacaracteres de shell (como $, * y {}). Esto asegura que los caracteres sean interpretados por el comando grep y no por la shell. El comando grep se puede usar junto con otros comandos mediante el uso de un operador de pipe (|). Por ejemplo: RH134-RHEL8.2-es-1-20200928 21 capítulo 1 | Mejora de la productividad con la línea de comandos [root@host ~]# ps aux | grep chrony chrony 662 0.0 0.1 29440 2468 ? S 10:56 0:00 /usr/sbin/chronyd Opciones de grep El comando grep tiene muchas opciones útiles para ajustar cómo usa la expresión regular con datos. Tabla de opciones de grep comunes Opción Función -i Usa la expresión regular proporcionada, pero no detecta diferencias entre mayúsculas y minúsculas. -v Solo muestra las líneas que no contienen coincidencias con la expresión regular. -r Aplica la búsqueda de datos que coincidan con la expresión regular de forma recursiva para un grupo de archivos o directorios. -A NUMBER Muestra NUMBER (número) de líneas después de la coincidencia de la expresión regular. -B NUMBER Muestra NUMBER (número) de líneas antes de la coincidencia de la expresión regular. -e Si se usan varias opciones -e, se pueden suministrar varias expresiones regulares y se usarán con un OR lógico. Hay muchas otras opciones para grep. Use la página man para investigarlas. Ejemplos de grep Los siguientes ejemplos usan archivos de configuración y de registro variados. Las expresiones regulares distinguen entre minúsculas y mayúsculas de manera predeterminada. Use la opción -i con grep para ejecutar una búsqueda que distinga entre minúsculas y mayúsculas. En el siguiente ejemplo, se busca el patrón serverroot. [user@host ~]$ cat /etc/httpd/conf/httpd.conf ...output omitted... ServerRoot "/etc/httpd" # # Listen: Allows you to bind Apache to specific IP addresses and/or # ports, instead of the default. See also the <VirtualHost> # directive. # # Change this to Listen on specific IP addresses as shown below to # prevent Apache from glomming onto all bound IP addresses. # 22 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos #Listen 12.34.56.78:80 Listen 80 ...output omitted... [user@host ~]$ grep -i serverroot /etc/httpd/conf/httpd.conf # with "/", the value of ServerRoot is prepended -- so 'log/access_log' # with ServerRoot set to '/www' will be interpreted by the # ServerRoot: The top of the directory tree under which the server's # ServerRoot at a non-local disk, be sure to specify a local disk on the # same ServerRoot for multiple httpd daemons, you will need to change at ServerRoot "/etc/httpd" En los casos en que sabe lo que no está buscando, la opción -v es muy útil. La opción -v solo muestra las líneas que no coinciden con la expresión regular. En el siguiente ejemplo, se muestran todas las líneas, independientemente de las mayúsculas y las minúsculas, que no contienen la expresión regular server. [user@host ~]$ cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 172.25.254.254 classroom.example.com classroom 172.25.254.254 content.example.com content 172.25.254.254 materials.example.com materials 172.25.250.254 workstation.lab.example.com workstation ### rht-vm-hosts file listing the entries to be appended to /etc/hosts 172.25.250.10 172.25.250.11 172.25.250.254 servera.lab.example.com servera serverb.lab.example.com serverb workstation.lab.example.com workstation [user@host ~]$ grep -v -i server /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 172.25.254.254 classroom.example.com classroom 172.25.254.254 content.example.com content 172.25.254.254 materials.example.com materials 172.25.250.254 workstation.lab.example.com workstation ### rht-vm-hosts file listing the entries to be appended to /etc/hosts 172.25.250.254 workstation.lab.example.com workstation Para ver un archivo sin distraerse por las líneas de comentario, use la opción -v. En el siguiente ejemplo, la expresión regular busca todas las líneas que comiencen con un # o ; (caracteres típicos que indican que la línea será interpretada como un comentario). Esas líneas se omiten en la salida. [user@host ~]$ cat /etc/ethertypes # # Ethernet frame types # This file describes some of the various Ethernet # protocol types that are used on Ethernet networks. RH134-RHEL8.2-es-1-20200928 23 capítulo 1 | Mejora de la productividad con la línea de comandos # # This list could be found on: # http://www.iana.org/assignments/ethernet-numbers # http://www.iana.org/assignments/ieee-802-numbers # # <name> <hexnumber> <alias1>...<alias35> #Comment # IPv4 0800 ip ip4 # Internet IP (IPv4) X25 0805 ARP 0806 ether-arp # FR_ARP 0808 # Frame Relay ARP [RFC1701] ...output omitted... [user@host ~]$ grep -v '^[#;]' /etc/ethertypes IPv4 0800 ip ip4 # Internet IP (IPv4) X25 0805 ARP 0806 ether-arp # FR_ARP 0808 # Frame Relay ARP [RFC1701] El comando grep con la opción -e le permite buscar más de una expresión regular a la vez. En el siguiente ejemplo, usando una combinación de less y grep, se localizan todas las apariciones de pam_unix, user root y Accepted publickey en el archivo de registro /var/log/secure. [root@host ~]# cat /var/log/secure | grep -e 'pam_unix' \ -e 'user root' -e 'Accepted publickey' | less Mar 19 08:04:46 host sshd[6141]: pam_unix(sshd:session): session opened for user root by (uid=0) Mar 19 08:04:50 host sshd[6144]: Disconnected from user root 172.25.250.254 port 41170 Mar 19 08:04:50 host sshd[6141]: pam_unix(sshd:session): session closed for user root Mar 19 08:04:53 host sshd[6168]: Accepted publickey for student from 172.25.250.254 port 41172 ssh2: RSA SHA256:M8ikhcEDm2tQ95Z0o7ZvufqEixCFCt +wowZLNzNlBT0 Para buscar texto en un archivo abierto usando vim o less, use el carácter de barra (/) y escriba el patrón que desea encontrar. Presione Intro para iniciar la búsqueda. Presione N para encontrar la siguiente coincidencia. [root@host ~]# vim /var/log/boot.log ...output omitted... [^[[0;32m OK ^[[0m] Reached target Initrd Default Target.^M Starting dracut pre-pivot and cleanup hook...^M [^[[0;32m OK ^[[0m] Started dracut pre-pivot and cleanup hook.^M Starting Cleaning Up and Shutting Down Daemons...^M Starting Plymouth switch root service...^M Starting Setup Virtual Console...^M [^[[0;32m OK ^[[0m] Stopped target Timers.^M [^[[0;32m OK ^[[0m] Stopped dracut pre-pivot and cleanup hook.^M [^[[0;32m OK ^[[0m] Stopped target Initrd Default Target.^M /Daemons 24 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos [root@host ~]# less /var/log/messages ...output omitted... Feb 26 15:51:07 host NetworkManager[689]: <info> [1551214267.8584] Loaded device plugin: NMTeamFactory (/usr/lib64/NetworkManager/1.14.0-14.el8/libnm-deviceplugin-team.so) Feb 26 15:51:07 host NetworkManager[689]: <info> [1551214267.8599] device (lo): carrier: link connected Feb 26 15:51:07 host NetworkManager[689]: <info> [1551214267.8600] manager: (lo): new Generic device (/org/freedesktop/NetworkManager/Devices/1) Feb 26 15:51:07 host NetworkManager[689]: <info> [1551214267.8623] manager: (ens3): new Ethernet device (/org/freedesktop/NetworkManager/Devices/2) Feb 26 15:51:07 host NetworkManager[689]: <info> [1551214267.8653] device (ens3): state change: unmanaged -> unavailable (reason 'managed', sys-iface-state: 'external') /device Referencias Páginas del manual regex(7) y grep(1) RH134-RHEL8.2-es-1-20200928 25 capítulo 1 | Mejora de la productividad con la línea de comandos Ejercicio Guiado Texto coincidente en la salida de comando con expresiones regulares En este trabajo de laboratorio, buscará texto en los registros del sistema y la salida de comandos para encontrar información de manera más eficiente. Resultados Debe ser capaz de buscar de manera eficiente el texto en los archivos de registro y los archivos de configuración. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab console-regex start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También instala el paquete postfix. [student@workstation ~]$ lab console-regex start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. El paquete postfix fue instalado hoy por el script start. Use el comando grep para encontrar el GID y el UID para los grupos y usuarios postfix y postdrop. Para reducir la salida del comando grep, visualice todos los registros de una determinada hora de inicio. 3.1. Use el comando date para determinar la hora actual. [root@servera ~]# date Fri Mar 22 08:23:56 CET 2019 26 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos 3.2. Use el comando grep con las opciones de fecha, hora de inicio y GID para buscar el GID y el UID del usuario postfix y postdrop. El script de configuración del trabajo de laboratorio se ejecutó unos minutos antes de la hora actual. Tenga esto en cuenta cuando busque el archivo de registro /var/log/secure. [root@servera ~]# grep '^Mar 22 08:2.*GID' /var/log/secure Mar 22 08:20:04 servera groupadd[2514]: group added to /etc/group: name=postdrop, GID=90 Mar 22 08:20:04 servera groupadd[2514]: new group: name=postdrop, GID=90 Mar 22 08:20:04 servera groupadd[2520]: group added to /etc/group: name=postfix, GID=89 Mar 22 08:20:04 servera groupadd[2520]: new group: name=postfix, GID=89 Mar 22 08:20:04 servera useradd[2527]: new user: name=postfix, UID=89, GID=89, home=/var/spool/postfix, shell=/sbin/nologin 4. Modifique su expresión regular para localizar los primeros dos mensajes en el archivo / var/log/maillog. Observe que en esta búsqueda no está usando el carácter de acento circunflejo (^) porque no está buscando el primer carácter en una línea. [root@servera ~]# grep 'postfix' /var/log/maillog | head -n 2 Mar 22 08:21:02 servera postfix/postfix-script[3879]: starting the Postfix mail system Mar 22 08:21:02 servera postfix/master[3881]: daemon started -- version 3.3.1, configuration /etc/postfix 5. Debe encontrar el nombre del directorio queue para el servidor Postfix. Busque el archivo de configuración /etc/postfix/main.cf para obtener toda la información sobre colas. Use la opción -i para ignorar distinciones entre mayúsculas y minúsculas. [root@servera ~]# grep -i 'queue' /etc/postfix/main.cf # testing. When soft_bounce is enabled, mail will remain queued that # The queue_directory specifies the location of the Postfix queue. queue_directory = /var/spool/postfix # QUEUE AND PROCESS OWNERSHIP # The mail_owner parameter specifies the owner of the Postfix queue # is the Sendmail-compatible mail queue listing command. # setgid_group: The group for mail submission and queue management 6. Confirme que postfix está escribiendo mensajes a /var/log/messages. Use el comando less y, luego, el carácter de barra (/) para buscar el archivo. Presione n para pasar a la siguiente entrada que coincida con la búsqueda. Use la tecla q para salir del comando less. [root@servera ~]# less /var/log/messages ...output omitted... Mar 22 07:58:04 servera systemd[1]: Started Postfix Mail Transport Agent. ...output omitted... Mar 22 08:12:26 servera systemd[1]: Stopping Postfix Mail Transport Agent... Mar 22 08:12:26 servera systemd[1]: Stopped Postfix Mail Transport Agent. ...output omitted... /Postfix RH134-RHEL8.2-es-1-20200928 27 capítulo 1 | Mejora de la productividad con la línea de comandos 7. Use el comando ps aux para confirmar que el servidor postfix se está ejecutando actualmente. Reduzca la salida de ps aux combinándola con el comando grep. [root@servera ~]# ps aux | grep postfix root 3881 0.0 0.2 121664 5364 ? libexec/postfix/master -w postfix 3882 0.0 0.4 147284 9088 ? -u postfix 3883 0.0 0.4 147336 9124 ? u Ss 08:21 0:00 /usr/ S 08:21 0:00 pickup -l -t unix S 08:21 0:00 qmgr -l -t unix - 8. Confirme que las colas qmgr, cleanup y pickup estén configuradas correctamente. Use el comando grep con la opción -e para hacer coincidir múltiples entradas en el mismo archivo. El archivo de configuración es /etc/postfix/master.cf. [root@servera ~]# grep -e qmgr -e pickup -e cleanup /etc/postfix/master.cf pickup unix n n 60 1 pickup cleanup unix n n 0 cleanup qmgr unix n n 300 1 qmgr #qmgr unix n n 300 1 oqmgr 9. Cierre sesión en servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab console-regex finish para terminar este ejercicio. [student@workstation ~]$ lab console-regex finish Esto concluye el ejercicio guiado. 28 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Trabajo de laboratorio Mejora de la productividad con la línea de comandos Lista de verificación de rendimiento En este trabajo de laboratorio, creará un script de Bash que puede filtrar y obtener información relevante de diferentes hosts. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un script Bash y redirigir su salida a un archivo • Usar bucles para simplificar su código • Filtrar el contenido relevante usando grep y expresiones regulares Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab console-review start. Este comando ejecuta un script de inicio que determina si las máquinas workstation, servera y serverb son accesibles en la red. El script le avisará si no están disponibles. También instala los paquetes vim-enhanced y util-linux si es necesario, configura sudo y prepara el contenido de /var/log/secure en servera y serverb. [student@workstation ~]$ lab console-review start 1. Cree el archivo de script /home/student/bin/bash-lab en workstation. 2. Edite su archivo de script recién creado para cumplir con la siguiente información solicitada de los hosts servera y serverb. Los sistemas se configuran para que usen claves SSH para la autenticación; no se necesita una contraseña. RH134-RHEL8.2-es-1-20200928 29 capítulo 1 | Mejora de la productividad con la línea de comandos Comando o archivo Contenido solicitado hostname -f Obtenga toda la salida. echo "#####" Obtenga toda la salida. lscpu Obtenga solo las líneas que comienzan con la cadena UPC. echo "#####" Obtenga toda la salida. /etc/selinux/config Ignore las líneas vacías. Ignore las líneas que comienzan con #. echo "#####" Obtenga toda la salida. /var/log/secure Obtenga todas las entradas de "Failed password". echo "#####" Obtenga toda la salida. Guarde la información requerida en los nuevos archivos /home/student/outputservera y /home/student/output-serverb. nota Puede usar sudo sin requerir una contraseña en los hosts servera y serverb. Recuerde usar un bucle para simplificar su script. También puede usar múltiples comandos grep concatenados con el uso del carácter pipe (|). Ejecute el script /home/student/bin/bash-lab y revise el contenido de la salida en workstation. 3. Evaluación En workstation, ejecute el comando lab console-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab console-review grade Finalizar En workstation, ejecute el script lab console-review finish para terminar este ejercicio. [student@workstation ~]$ lab console-review finish Esto concluye el trabajo de laboratorio. 30 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Solución Mejora de la productividad con la línea de comandos Lista de verificación de rendimiento En este trabajo de laboratorio, creará un script de Bash que puede filtrar y obtener información relevante de diferentes hosts. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un script Bash y redirigir su salida a un archivo • Usar bucles para simplificar su código • Filtrar el contenido relevante usando grep y expresiones regulares Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab console-review start. Este comando ejecuta un script de inicio que determina si las máquinas workstation, servera y serverb son accesibles en la red. El script le avisará si no están disponibles. También instala los paquetes vim-enhanced y util-linux si es necesario, configura sudo y prepara el contenido de /var/log/secure en servera y serverb. [student@workstation ~]$ lab console-review start 1. Cree el archivo de script /home/student/bin/bash-lab en workstation. 1.1. En workstation, cree la carpeta /home/student/bin/ si es necesario. [student@workstation ~]$ mkdir -p /home/student/bin 1.2. Use vim para crear y editar el archivo de script /home/student/bin/bash-lab. [student@workstation ~]$ 1.3. vim ~/bin/bash-lab Inserte el siguiente texto y guarde el archivo. #!/bin/bash 1.4. Haga el archivo de script sea ejecutable. [student@workstation ~]$ chmod a+x ~/bin/bash-lab RH134-RHEL8.2-es-1-20200928 31 capítulo 1 | Mejora de la productividad con la línea de comandos 2. Edite su archivo de script recién creado para cumplir con la siguiente información solicitada de los hosts servera y serverb. Los sistemas se configuran para que usen claves SSH para la autenticación; no se necesita una contraseña. Comando o archivo Contenido solicitado hostname -f Obtenga toda la salida. echo "#####" Obtenga toda la salida. lscpu Obtenga solo las líneas que comienzan con la cadena UPC. echo "#####" Obtenga toda la salida. /etc/selinux/config Ignore las líneas vacías. Ignore las líneas que comienzan con #. echo "#####" Obtenga toda la salida. /var/log/secure Obtenga todas las entradas de "Failed password". echo "#####" Obtenga toda la salida. Guarde la información requerida en los nuevos archivos /home/student/outputservera y /home/student/output-serverb. nota Puede usar sudo sin requerir una contraseña en los hosts servera y serverb. Recuerde usar un bucle para simplificar su script. También puede usar múltiples comandos grep concatenados con el uso del carácter pipe (|). Use vim para abrir y editar el archivo de script /home/student/bin/bash-lab. 2.1. [student@workstation ~]$ vim ~/bin/bash-lab 2.2. Agregue las siguientes líneas en negrita al archivo del script /home/student/bin/ bash-lab. nota El siguiente es un ejemplo de cómo puede lograr el script solicitado. En scripting de Bash, puede adoptar diferentes enfoques y obtener el mismo resultado. 32 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos #!/bin/bash # USR='student' OUT='/home/student/output' # for SRV in servera serverb do ssh ${USR}@${SRV} "hostname -f" > ${OUT}-${SRV} echo "#####" >> ${OUT}-${SRV} ssh ${USR}@${SRV} "lscpu | grep '^CPU'" >> ${OUT}-${SRV} echo "#####" >> ${OUT}-${SRV} ssh ${USR}@${SRV} "grep -v '^$' /etc/selinux/config|grep -v '^#'" >> ${OUT}-${SRV} echo "#####" >> ${OUT}-${SRV} ssh ${USR}@${SRV} "sudo grep 'Failed password' /var/log/secure" >> ${OUT}-${SRV} echo "#####" >> ${OUT}-${SRV} done 3. Ejecute el script /home/student/bin/bash-lab y revise el contenido de la salida en workstation. 3.1. En workstation, ejecute el script /home/student/bin/bash-lab. [student@workstation ~]$ bash-lab 3.2. Revise el contenido de /home/student/output-servera y /home/student/ output-serverb. [student@workstation ~]$ cat /home/student/output-servera servera.lab.example.com ##### CPU op-mode(s): 32-bit, 64-bit CPU(s): 2 CPU family: 21 CPU MHz: 2294.670 ##### SELINUX=enforcing SELINUXTYPE=targeted ##### Mar 21 22:30:28 servera sshd[3939]: Failed password for invalid user operator1 from 172.25.250.9 port 58382 ssh2 Mar 21 22:30:31 servera sshd[3951]: Failed password for invalid user sysadmin1 from 172.25.250.9 port 58384 ssh2 Mar 21 22:30:34 servera sshd[3953]: Failed password for invalid user manager1 from 172.25.250.9 port 58386 ssh2 ##### [student@workstation ~]$ cat /home/student/output-serverb serverb.lab.example.com ##### CPU op-mode(s): 32-bit, 64-bit CPU(s): 2 RH134-RHEL8.2-es-1-20200928 33 capítulo 1 | Mejora de la productividad con la línea de comandos CPU family: 6 CPU MHz: 2294.664 ##### SELINUX=enforcing SELINUXTYPE=targeted ##### Mar 21 22:30:37 serverb sshd[3883]: Failed password for invalid user operator1 from 172.25.250.9 port 39008 ssh2 Mar 21 22:30:39 serverb sshd[3891]: Failed password for invalid user sysadmin1 from 172.25.250.9 port 39010 ssh2 Mar 21 22:30:43 serverb sshd[3893]: Failed password for invalid user manager1 from 172.25.250.9 port 39012 ssh2 ##### Evaluación En workstation, ejecute el comando lab console-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab console-review grade Finalizar En workstation, ejecute el script lab console-review finish para terminar este ejercicio. [student@workstation ~]$ lab console-review finish Esto concluye el trabajo de laboratorio. 34 RH134-RHEL8.2-es-1-20200928 capítulo 1 | Mejora de la productividad con la línea de comandos Resumen En este capítulo, aprendió lo siguiente: • Cómo crear y ejecutar scripts de Bash simples • Cómo usar un bucle para iterar a través de una lista de ítems de la línea de comandos y en un script de shell • Cómo buscar texto en los archivos de registro y configuración usando expresiones regulares y grep RH134-RHEL8.2-es-1-20200928 35 36 RH134-RHEL8.2-es-1-20200928 capítulo 2 Programación de tareas futuras Meta Programar tareas para que se ejecuten automáticamente en el futuro Objetivos • Configurar un comando que se ejecute una vez en algún momento en el futuro • Programar comandos para que se ejecuten en un horario de repetición usando el archivo crontab de un usuario • Programar comandos para que se ejecuten en un horario de repetición usando el archivo crontab del sistema y directorios • Habilitar y deshabilitar los temporizadores de systemd y configurar un temporizador que administre archivos temporales • Programación de un trabajo de usuario diferido (y ejercicio guiado) • Programación de trabajos de usuario recurrentes (y ejercicio guiado) • Programación de trabajos del sistema recurrentes (y ejercicio guiado) • Administración de archivos temporales (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Programación de tareas futuras 37 capítulo 2 | Programación de tareas futuras Programación de un trabajo de usuario diferido Objetivos Después de completar esta sección, debe ser capaz de configurar un comando que se ejecute una vez en algún momento en el futuro. Descripción de tareas de usuario diferidas A veces es posible que necesite ejecutar un comando, o un conjunto de comandos, en un punto fijo en el futuro. Entre los ejemplos, se incluyen personas que desean programar un correo electrónico para su jefe, o un administrador de sistemas que está trabajando en una configuración de firewall que pone un trabajo de “seguridad” en vigencia para restablecer la configuración de firewall en un tiempo de diez minutos, a menos que desactive el trabajo antes. Estos comandos programados son a menudo se denominan tareas o trabajos y el termino diferido indica que estas tareas o trabajos se ejecutarán en el futuro. Una de las soluciones disponibles para los usuarios de Red Hat Enterprise Linux para la programación de tareas diferidas es at. El paquete at proporciona el daemon del sistema (atd) junto con un conjunto de herramientas de línea de comandos para interactuar con el daemon (at, atq y más). En una instalación Red Hat Enterprise Linux predeterminada, el daemon atd se instala y se habilita automáticamente. Los usuarios (incluido root) pueden poner en cola trabajos para el daemon atd con el comando at. El daemon atd proporciona 26 colas, de la a a la z, con trabajos en colas ordenadas alfabéticamente que obtienen menos prioridad en el sistema (los valores buenos más altos, se analizan en un capítulo posterior). Programación de tareas de usuario diferidas Use el comando at TIMESPEC para programar un nuevo trabajo. A continuación, el comando at lee los comandos para ejecutar desde el canal stdin. Cuando ingresa comandos manualmente, puede terminar su entrada presionando Ctrl+D. Para comandos más complejos que son propensos a errores tipográficos, a menudo es más fácil usar la redirección de entrada desde un archivo de script, por ejemplo, at now +5min < myscript, en lugar de escribir todos los comandos manualmente en una ventana de terminal. El argumento TIMESPEC con el comando at acepta muchas combinaciones poderosas, lo que permite a los usuarios describir exactamente cuándo se debe ejecutar un trabajo. Típicamente, comienzan con una hora, p. ej., 02:00 p. m., 15:59 o incluso teatime (hora del té), seguida de una fecha opcional o una cantidad de días en el futuro. A continuación, se detalla una lista con algunos ejemplos de combinaciones que se pueden usar. • now +5min (ahora + 5 min) • teatime tomorrow (hora del té mañana) (la hora del té es 16:00) • noon +4 days (mediodía + 4 días) • 5pm august 3 2021 (3 de agosto de 2021 a las 5:00 p. m.) 38 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras Para obtener una lista completa de las especificaciones de tiempo válidas, consulte la definición timespec como se indica en las referencias. Inspección y administración de trabajos de usuario diferidos Para obtener una descripción general de los trabajos pendientes de su usuario, use el comando atq o los comandos at -l. [user@host ~]$ atq 28 Mon Feb 2 05:13:00 2015 a 29 Mon Feb 3 16:00:00 2014 h user 27 Tue Feb 4 12:00:00 2014 a user user En la salida anterior, cada línea representa un trabajo diferente programado para ejecutarse en el futuro. El número de trabajo único para este trabajo. La fecha y hora de ejecución del trabajo programado. Indica que el trabajo está programado con la cola predeterminada a. Se pueden programar diferentes trabajos con diferentes colas. El propietario del trabajo (y el usuario con el cual se ejecutará el trabajo). Importante Los usuarios no privilegiados solo pueden ver y controlar sus propios trabajos. El usuario root puede ver y administrar todos los trabajos. Para inspeccionar los comandos reales que se ejecutarán cuando se ejecute un trabajo, use el comando at -c JOBNUMBER. Este comando muestra el entorno para el trabajo que se configura para reflejar el entorno del usuario quien creó el trabajo en el momento en que se creó, seguido de los comandos reales que se ejecutarán. Eliminación de trabajos El comando atrm JOBNUMBER elimina un trabajo programado. Elimine el trabajo programado cuando ya no es necesario; por ejemplo, cuando una configuración de firewall remota dio un resultado satisfactorio, y no es necesario que se restablezca. Referencias Páginas del manual: at(1) y atd(8) /usr/share/doc/at/timespec RH134-RHEL8.2-es-1-20200928 39 capítulo 2 | Programación de tareas futuras Ejercicio Guiado Programación de un trabajo de usuario diferido En este ejercicio, usara el comando at para programar varios comandos para ejecutar en momentos específicos en el futuro. Resultados Usted deberá ser capaz de realizar lo siguiente: • Programar un trabajo para que se ejecute en un momento específico en el futuro • Inspeccionar los comandos que ejecuta un trabajo programado • Eliminar los trabajos programados Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab scheduling-at start para comenzar el ejercicio. Este script asegura que el entorno esté limpio y configurado correctamente. [student@workstation ~]$ lab scheduling-at start 1. Desde workstation, abra una sesión de SSH en servera como student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Programe un trabajo para ejecutar en tres minutos a partir de ahora usando el comando at. El trabajo debe guardar la salida del comando date en /home/student/myjob.txt. 2.1. Use el comando echo para pasar la cadena fecha >>/home/student/ myjob.txt como entrada al comando at para que el trabajo se ejecute en tres minutos a partir de ahora. [student@servera ~]$ echo "date >> /home/student/myjob.txt" | at now +3min warning: commands will be executed using /bin/sh job 1 at Thu Mar 21 12:30:00 2019 2.2. Use el comando atq para enumerar los trabajos programados. [student@servera ~]$ atq 1 Thu Mar 21 12:30:00 2019 a student 40 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras 2.3. Use el comando watch atq para monitorear la cola de los trabajos diferidos en tiempo real. El trabajo se elimina de la cola después de su ejecución. [student@servera ~]$ watch atq Every 2.0s: atq servera.lab.example.com: Thu Mar 21 12:30:00 2019 1 Thu Mar 21 12:30:00 2019 a student De manera predeterminada, el comando watch precedente actualiza la salida de atq cada dos segundos. Después de que el trabajo aplazado se elimine de la cola, presione Ctrl+c para salir de watch y volver al prompt de shell. 2.4. Use el comando cat para verificar que el contenido de /home/student/ myjob.txt coincida con la salida del comando date. [student@servera ~]$ cat myjob.txt Thu Mar 21 12:30:00 IST 2019 La salida anterior coincide con la salida del comando date, confirmando que el trabajo programado se ejecutó con éxito. 3. Use el comando at para programar interactivamente un trabajo con la cola g que se ejecuta en teatime (16:00). El trabajo debe ejecutar un comando que imprima el mensaje It's teatime (Es la hora del té) en /home/student/tea.txt. Los nuevos mensajes deben adjuntarse al archivo /home/student/tea.txt. [student@servera ~]$ at -q g teatime warning: commands will be executed using /bin/sh at> echo "It's teatime" >> /home/student/tea.txt at> Ctrl+d job 2 at Thu Mar 21 16:00:00 2019 4. Use el comando at para programar interactivamente otro trabajo con la cola b que se ejecuta en 16:05. El trabajo debe ejecutar un comando que imprima el mensaje The cookies are good (Las galletas están bien) en /home/student/cookies.txt. Los nuevos mensajes deben adjuntarse al archivo /home/student/cookies.txt. [student@servera ~]$ at -q b 16:05 warning: commands will be executed using /bin/sh at> echo "The cookies are good" >> /home/student/cookies.txt at> Ctrl+d job 3 at Thu Mar 21 16:05:00 2019 5. Inspeccione los comandos en los trabajos pendientes. 5.1. Use el comando atq para ver los números de trabajo de los trabajos pendientes. [student@servera ~]$ atq 2 Thu Mar 21 16:00:00 2019 g student 3 Thu Mar 21 16:05:00 2019 b student Tenga en cuenta los números de trabajo de la salida anterior. Estos números de trabajo pueden variar en su sistema. RH134-RHEL8.2-es-1-20200928 41 capítulo 2 | Programación de tareas futuras 5.2. Use el comando at para ver los números de trabajo del trabajo pendiente número 2. [student@servera ~]$ at -c 2 ...output omitted... echo "It's teatime" >> /home/student/tea.txt marcinDELIMITER28d54caa Observe que el trabajo programado anterior ejecuta un comando echo que agrega el mensaje It's teatime (Es la hora del té) a /home/student/tea.txt. 5.3. Use el comando at para ver los comandos del trabajo pendiente número 3. [student@servera ~]$ at -c 3 ...output omitted... echo "The cookies are good" >> /home/student/cookies.txt marcinDELIMITER1d2b47e9 Observe que el trabajo programado anterior ejecuta un comando echo que agrega el mensaje The cookies are good (Las galletas están bien) a /home/student/ cookies.txt. 6. Use el comando atq para ver el número de trabajo de un trabajo que se ejecuta en teatime(16:00) y quítelo usando el comando atrm. [student@servera ~]$ atq 2 Thu Mar 21 16:00:00 2019 g student 3 Thu Mar 21 16:05:00 2019 b student [student@servera ~]$ atrm 2 7. Verifique que el trabajo programado para ejecutarse en teatime (16:00) ya no exista. 7.1. Use el comando atq para ver la lista de trabajos pendientes y confirmar que el trabajo programado para ejecutarse en teatime (16:00) ya no existe. [student@servera ~]$ atq 3 Thu Mar 21 16:05:00 2019 b student 7.2. Cierre sesión en servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute lab scheduling-at finish para terminar este ejercicio. Este script elimina los archivos creados durante el ejercicio para garantizar que el entorno quede limpio. [student@workstation ~]$ lab scheduling-at finish Esto concluye el ejercicio guiado. 42 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras Programación de trabajos de usuario recurrentes Objetivos Después de finalizar esta sesión, debe programar comandos para que se ejecuten en un horario de repetición usando el archivo crontab de un usuario. Descripción de trabajos de usuario recurrentes Los trabajos programados para ejecutarse repetidamente se llaman trabajos recurrentes. Los sistemas Red Hat Enterprise Linux se envían con el daemon crond, proporcionado por el paquete cronie, habilitado e iniciado de forma predeterminada específicamente para trabajos recurrentes. El daemon crond lee múltiples archivos de configuración: uno por usuario (editado con el comando crontab) y un conjunto de archivos en todo el sistema. Estos archivos de configuración les dan a los usuarios y administradores el control detallado cuando sus trabajos recurrentes deben ser ejecutados. Si un comando programado no produce ninguna salida o un error de que no está redirigido, el daemon crond intenta enviar por correo electrónico esa salida al usuario que es propietario de ese trabajo (a menos que se haya anulado) usando el servidor de correo configurado en el sistema. Según el entorno, es posible que sea necesaria una configuración adicional. La salida o el error del comando programado se puede redirigir a diferentes archivos. Programación de trabajos de usuario recurrentes Los usuarios normales pueden usar el comando crontab para administrar sus trabajos. Este comando se puede denominar de cuatro maneras diferentes: Ejemplos de crontab Comando Uso previsto crontab -l Detallar los trabajos para el usuario actual. crontab -r Eliminar todos los trabajos del usuario actual. crontab -e Editar trabajos para el usuario actual. crontab filename Eliminar todos los trabajos y reemplazar con los trabajos leídos de nombre de archivo. Si no se especifica ningún archivo, se usa stdin. nota El superusuario puede usar la opción -u con el comando crontab para administrar trabajos para otro usuario. No debe usar el comando crontab para administrar trabajos del sistema; en cambio, use los métodos descritos en la siguiente sección. RH134-RHEL8.2-es-1-20200928 43 capítulo 2 | Programación de tareas futuras Descripción del formato de trabajo del usuario El comando crontab -e invoca a Vim de manera predeterminada, a menos que la variable de entorno EDITOR se haya establecido en otro ajuste. Ingrese un trabajo por línea. Otras entradas válidas incluyen: líneas vacías, generalmente para facilitar la lectura; comentarios, identificados por líneas que comienzan con el signo de número (#); y variables de entorno usando el formato NAME=value, que afecta a todas las líneas debajo de la línea donde se declaran. Los ajustes de variables comunes incluyen la variable SHELL, que declara qué shell usar para interpretar las líneas restantes del archivo crontab; y la variable MAILTO, que determina quién debe recibir la salida enviada por correo electrónico. Importante Enviar un correo electrónico puede requerir la configuración adicional del servidor de correo local o la retransmisión SMTP en un sistema. Los campos en el archivo crontab aparecen en el siguiente orden: • Minutes (Minutos) • Hours (Horas) • Day of month (Día del mes) • Month (Mes) • Day of week (Día de la semana) • Command (Comando) Importante Cuando los campos Day of month (Día del mes) y Day of week (Día de la semana) son ambos distintos de *, el comando se ejecuta cuando se cumple cualquiera de estos dos campos. Por ejemplo, para ejecutar un comando el 15 de cada mes, y todos los viernes a las 12:15, use el siguiente formato de trabajo: 15 12 15 * Fri command Los primeros cinco campos usan las mismas reglas de sintaxis: • * para “No importa”/siempre. • Un número para especificar una cantidad de minutos u horas, una fecha o un día de la semana. Para los días de semana, 0 equivale a domingo, 1 equivale a lunes, 2 equivale a martes, etc. 7 también equivale a domingo. • x-y para un rango, x hasta y inclusive. • x,y para listas. Las listas también pueden incluir rangos, por ejemplo, 5,10-13,17 en la columna Minutes (Minutos) para indicar que un trabajo debe ejecutarse a los 5 minutos, a los 10 minutos, a los 11 minutos, a los 12 minutos, a los 13 minutos y a los 17 minutos de la hora. • */x para indicar un intervalo de x, por ejemplo, */7 en la columna Minutes (Minutos) ejecuta un trabajo exactamente cada siete minutos. 44 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras Asimismo, se pueden usar abreviaturas en inglés de tres letras para los meses y los días de la semana, por ejemplo, Jan (enero), Feb (febrero) y Mon (lunes), Tue (martes). El último campo contiene el comando que se ejecutará usando la shell predeterminada. La variable del entorno SHELL se puede usar para cambiar la shell para el comando programado. Si el comando contiene un símbolo de porcentaje no codificado (%), ese símbolo de porcentaje se tratará como el carácter de una línea nueva, y todo lo que esté después del símbolo de porcentaje se enviará al comando en stdin. Ejemplos de trabajos de usuario recurrentes En esta sección, se describen algunos ejemplos de trabajos recurrentes. • El siguiente trabajo ejecuta el comando /usr/local/bin/yearly_backup exactamente a las 9:00 a. m. el 2 de febrero, todos los años. 0 9 2 2 * /usr/local/bin/yearly_backup • El siguiente trabajo envía un correo electrónico que contiene la palabra Chime al propietario de este trabajo, cada cinco minutos entre las 9:00 a. m. y las 5:00 p. m., todos los viernes de julio. */5 9-16 * Jul 5 echo "Chime" El rango de horas precedente 9-16 significa que el temporizador de trabajo comienza a la hora novena (09:00) y continúa hasta el final de la decimosexta hora (16:59). El trabajo comienza a ejecutarse a las 09:00 con la última ejecución a las 16:55 porque a cinco minutos de las 16:55 es 17:00 que está más allá del alcance de las horas dadas. • El siguiente trabajo ejecuta el comando /usr/local/bin/daily_report todas las semanas dos minutos antes de la medianoche. 58 23 * * 1-5 /usr/local/bin/daily_report • El siguiente trabajo ejecuta el comando mutt para enviar el mensaje de correo Checking in al destinatario boss@example.com en cada día de trabajo (lunes a viernes), a las 9:00 a. m. 0 9 * * 1-5 mutt -s "Checking in" boss@example.com % Hi there boss, just checking in. Referencias Páginas del manual: crond(8), crontab(1), crontab(5) RH134-RHEL8.2-es-1-20200928 45 capítulo 2 | Programación de tareas futuras Ejercicio Guiado Programación de trabajos de usuario recurrentes En este ejercicio, programará comandos para ejecutar en un programa de repetición como un usuario no privilegiado, usando el comando crontab. Resultados Usted deberá ser capaz de realizar lo siguiente: • Programar trabajos recurrentes para ejecutar como usuario no privilegiado • Inspeccionar los comandos que ejecuta un trabajo recurrente programado • Eliminar trabajos recurrentes programados Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab scheduling-cron start para comenzar el ejercicio. Este script asegura que el entorno esté limpio y configurado correctamente. [student@workstation ~]$ lab scheduling-cron start 1. Desde workstation, abra una sesión de SSH en servera como student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Programar un trabajo recurrente como student que anexa la fecha y hora actual a /home/ student/my_first_cron_job.txt cada dos minutos entre 8:00 a. m. y 9:00 p. m. El trabajo solo debe ejecutarse de lunes a viernes, no los sábados ni los domingos. Importante Si está trabajando en este laboratorio fuera del día y la hora mencionados en la instrucción anterior, debe ajustar la hora o la fecha del sistema en consecuencia para que el trabajo se ejecute mientras está trabajando. 2.1. Use el comando crontab -e para abrir el crontab usando el editor de texto predeterminado. [student@servera ~]$ crontab -e 2.2. 46 Inserte la siguiente línea. RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras */2 08-20 * * Mon-Fri /usr/bin/date >> /home/student/my_first_cron_job.txt 2.3. Mientras esté en el editor de texto, presione Esc y escriba :wq para guardar los cambios y salir del editor. Cuando el editor sale, debe ver la siguiente salida: ...output omitted... crontab: installing new crontab [student@servera ~]$ En la salida anterior, se confirma que el trabajo se programó correctamente. 3. Use el comando crontab -l para enumerar los trabajos recurrentes programados. Inspeccione el comando que programó para que se ejecute como un trabajo recurrente en el paso anterior. [student@servera ~]$ crontab -l */2 08-20 * * Mon-Fri /usr/bin/date >> /home/student/my_first_cron_job.txt Observe que el trabajo programado anterior ejecuta el comando /usr/bin/date y agrega su salida a /home/student/my_first_cron_job.txt. 4. Use el comando while para que su prompt de shell duerma hasta que se cree el archivo / home/student/my_first_cron_job.txt como resultado de la ejecución exitosa del trabajo recurrente que programó. Espere a que regrese su prompt de shell. [student@servera ~]$ while ! test -f my_first_cron_job.txt; do sleep 1s; done El comando anterior while usa ! test -f para continuar ejecutando un bucle de comandos sleep 1s hasta que se crea el archivo my_first_cron_job.txt en el directorio /home/student. 5. Use el comando cat para verificar que el contenido de /home/student/ my_first_cron_job.txt coincida con la salida del comando date. [student@servera ~]$ cat my_first_cron_job.txt Fri Mar 22 13:56:01 IST 2019 La salida anterior puede variar en su sistema. 6. Elimine todos los trabajos recurrentes programados para ejecutarse como student. 6.1. Use el comando crontab -r para eliminar todos los trabajos recurrentes programados para student. [student@servera ~]$ crontab -r 6.2. Use el comando crontab -l para verificar que no existen trabajos recurrentes para student. RH134-RHEL8.2-es-1-20200928 47 capítulo 2 | Programación de tareas futuras [student@servera ~]$ crontab -l no crontab for student 6.3. Cierre sesión en servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute lab scheduling-cron finish para terminar este ejercicio. Este script elimina los archivos creados durante el ejercicio para garantizar que el entorno quede limpio. [student@workstation ~]$ lab scheduling-cron finish Esto concluye el ejercicio guiado. 48 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras Programación de trabajos del sistema recurrentes Objetivos Después de finalizar esta sesión, debe programar comandos para que se ejecuten en una programación de repetición usando el archivo crontab y directorios del sistema. Descripción de trabajos del sistema recurrentes Los administradores de sistemas a menudo necesitan ejecutar trabajos recurrentes. La mejor práctica es ejecutar estos trabajos desde cuentas del sistema en lugar de desde cuentas de usuario. Es decir, no programe para ejecutar estos trabajos usando el comando crontab, pero en su lugar usa archivos crontab en todo el sistema. Las entradas de trabajo en los archivos crontab en todo el sistema son similares a los de las entradas de crontab de los usuarios, excepto que los archivos crontab en todo el sistema tienen un campo adicional antes del campo de comando; el usuario bajo cuya autoridad debe ejecutarse el comando. El archivo /etc/crontab tiene un diagrama de sintaxis útil en los comentarios incluidos. # For details see man 4 crontabs # Example of job definition: # .---------------- minute (0 - 59) # | .------------- hour (0 - 23) # | | .---------- day of month (1 - 31) # | | | .------- month (1 - 12) OR jan,feb,mar,apr ... # | | | | .---- day of week (0 - 6) (Sunday=0 or 7) OR sun,mon,tue ... # | | | | | # * * * * * user-name command to be executed Los trabajos recurrentes del sistema se definen en dos ubicaciones: el archivo /etc/crontab y los archivos dentro del directorio /etc/cron.d/. Siempre debe crear sus archivos crontab personalizados bajo el directorio /etc/cron.d para programar trabajos recurrentes del sistema. Coloque el archivo crontab personalizado en /etc/cron.d para evitar que se sobrescriba si se produce alguna actualización del paquete al proveedor de /etc/crontab, que puede sobrescribir los contenidos existentes en /etc/crontab. Los paquetes que requieren trabajos recurrentes del sistema colocan sus archivos crontab en /etc/cron.d/ que contiene las entradas de trabajo. Los administradores también usan esta ubicación para agrupar trabajos relacionados en un solo archivo. El sistema crontab también incluye repositorios para scripts que necesitan ejecutarse cada hora, día, semana y mes. Estos repositorios son directorios llamados /etc/cron.hourly/, /etc/ cron.daily/, /etc/cron.weekly/ y /etc/cron.monthly/. Una vez más, estos directorios contienen scripts de shell ejecutables, no archivos crontab. RH134-RHEL8.2-es-1-20200928 49 capítulo 2 | Programación de tareas futuras Importante Recuerde hacer que todos los scripts que coloque en estos directorios sean ejecutables. Si un script no es ejecutable, no se ejecutará. Para hacer un script ejecutable, use el comando chmod +x script_name. Un comando llamado run-parts desde el archivo /etc/cron.d/0hourly ejecuta los scripts / etc/cron.hourly/*. El comando run-parts también ejecuta los trabajos diarios, semanales y mensuales también, pero desde un archivo de configuración diferente denominado /etc/ anacrontab. nota En el pasado, un servicio separado llamado anacron se usaba para manejar el archivo /etc/anacrontab, pero en Red Hat Enterprise Linux 7 y posterior, el servicio crond regular analiza este archivo. El propósito de /etc/anacrontab es garantizar que los trabajos importantes siempre se ejecuten, y que no se omitan accidentalmente porque el sistema se apagó o quedó inactivo cuando el trabajo debería haberse ejecutado. Por ejemplo, si un trabajo del sistema que se ejecuta diariamente no se ejecutó la última vez que venció debido a que el sistema se estaba reiniciando, el trabajo se ejecuta cuando el sistema está listo. Sin embargo, puede haber una demora de varios minutos para comenzar el trabajo según el valor del parámetro Delay in minutes especificado para el trabajo en /etc/anacrontab. Hay diferentes archivos en /var/spool/anacron/ para cada uno de los trabajos diarios, semanales y mensuales para determinar si un trabajo en particular se ha ejecutado. Cuando crond comienza un trabajo desde /etc/anacrontab, actualiza los sellos de hora de esos archivos. El mismo sello de hora se usa para determinar cuándo se ejecutó un trabajo por última vez. La sintaxis de /etc/anacrontab es diferente a la de los archivos de configuración de crontab regulares. Contiene exactamente cuatro campos por línea, como se detalla a continuación. • Period in days (Período en días) El intervalo en días para el trabajo que se ejecuta en una programación de repetición. Este campo acepta un entero o una macro como su valor. Por ejemplo, la macro @daily es equivalente al entero 1, lo que significa que el trabajo se ejecuta diariamente. De manera similar, la macro @weekly es equivalente al entero 7, lo que significa que el trabajo se ejecuta diariamente. • Delay in minutes (Demora en minutos) Cantidad de tiempo que el daemon crond debe esperar antes de iniciar este trabajo. • Job identifier (Identificador del trabajo) El nombre único con se identifica en los mensajes de registro. • Comando (Comando) El comando que se ejecutará. El archivo /etc/anacrontab también contiene declaraciones variables del entorno que usan la sintaxis NAME=value. De especial interés es la variable START_HOURS_RANGE, que especifica el intervalo de tiempo para que se ejecuten los trabajos. Los trabajos no se inician fuera de este 50 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras rango. Si en un día en particular, un trabajo no se ejecuta dentro de este intervalo de tiempo, el trabajo tiene que esperar hasta el día siguiente para su ejecución. Presentación del temporizador systemd Con el advenimiento de systemd en Red Hat Enterprise Linux 7, una nueva función de programación ya está disponible: unidades de temporizador systemd. Una unidad de temporizador systemd activa otra unidad de un tipo diferente (como un servicio) cuyo nombre de unidad coincide con el nombre de la unidad del temporizador. La unidad del temporizador permite la activación basada en el temporizador de otras unidades. Para facilitar la depuración, systemd registra los eventos del temporizador en los diarios (journals) del sistema. Unidad de temporizador de muestra El paquete sysstat proporciona una unidad de temporizador systemd llamada sysstatcollect.timer para recopilar estadísticas del sistema cada 10 minutos. En la siguiente salida, se muestran las líneas de configuración de /usr/lib/systemd/system/sysstatcollect.timer. ...output omitted... [Unit] Description=Run system activity accounting tool every 10 minutes [Timer] OnCalendar=*:00/10 [Install] WantedBy=sysstat.service El parámetro OnCalendar=*:00/10 significa que esta unidad de temporizador activa la unidad correspondiente (sysstat-collect.service) cada 10 minutos, Sin embargo, puede especificar intervalos de tiempo más complejos. Por ejemplo, un valor de 2019-03* 12:35,37,39:16 frente al parámetro OnCalendar hace que la unidad del temporizador active la unidad de servicio correspondiente en 12:35:16, 12:37:16 y 12:39:16 todos los días durante todo el mes de marzo de 2019. También puede especificar temporizadores relativos usando parámetros tal como OnUnitActiveSec. Por ejemplo, la opción OnUnitActiveSec=15min hace que la unidad del temporizador desencadena la unidad correspondiente 15 minutos después de la última vez que la unidad del temporizador activó su unidad correspondiente. Importante No modifique ningún archivo de configuración de la unidad bajo el directorio /usr/ lib/systemd/system porque cualquier actualización al paquete del proveedor del archivo de configuración puede anular los cambios de configuración que realizó en ese archivo. Por lo tanto, haga una copia del archivo de configuración de la unidad que desea cambiar bajo el directorio /etc/systemd/system y, luego, modifique la copia para que los cambios de configuración que realice con respecto a una unidad no se anulen con ninguna actualización del paquete del proveedor. Si existen dos archivos con el mismo nombre bajo los directorios /usr/lib/ systemd/system y /etc/systemd/system, systemd analiza el archivo bajo el directorio /etc/systemd/system. RH134-RHEL8.2-es-1-20200928 51 capítulo 2 | Programación de tareas futuras Después de cambiar el archivo de configuración de la unidad del temporizador, use el comando systemctl daemon-reload para asegurar que systemd tenga conocimiento de los cambios. Este comando recarga la configuración del administrador de systemd. [root@host ~]# systemctl daemon-reload Después de recargar la configuración del administrador systemd, use el siguiente comando systemctl para activar la unidad del temporizador. [root@host ~]# systemctl enable --now <unitname>.timer Referencias Páginas del manual crontab(5),anacron(8),anacrontab(5), systemd.time(7), systemd.timer(5) y crond(8) 52 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras Ejercicio Guiado Programación de trabajos del sistema recurrentes En este ejercicio, programará comandos para que se ejecuten en varios horarios agregando archivos de configuración a los directorios crontab del sistema. Resultados Usted deberá ser capaz de realizar lo siguiente: • Programar un trabajo del sistema recurrente para contar el número de usuarios activos • Actualizar la unidad de temporizador systemd que recopila los datos de actividad del sistema. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab scheduling-system start para comenzar el ejercicio. Este script asegura que el entorno esté limpio y configurado correctamente. [student@workstation ~]$ lab scheduling-system start 1. Desde workstation, abra una sesión de SSH en servera como student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar a la cuenta del usuario root. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Programe un trabajo del sistema recurrente que genere un mensaje de registro que indique la cantidad de usuarios activos actualmente en el sistema. El trabajo debe ejecutarse diariamente. Puede usar el comando w -h | wc -l para recuperar el número de usuarios actualmente activos en el sistema. También, use el comando logger para generar el mensaje de registro. 3.1. Cree un archivo de script llamado /etc/cron.daily/usercount con el siguiente contenido. Puedes usar el comando vi /etc/cron.daily/usercount para crear el archivo de script. RH134-RHEL8.2-es-1-20200928 53 capítulo 2 | Programación de tareas futuras #!/bin/bash USERCOUNT=$(w -h | wc -l) logger "There are currently ${USERCOUNT} active users" 3.2. Use el comando chmod para habilitar el permiso ejecutable (x) en /etc/ cron.daily/usercount. [root@servera ~]# chmod +x /etc/cron.daily/usercount 4. El paquete sysstat proporciona las unidades systemd denominadas sysstatcollect.timer y sysstat-collect.service. La unidad del temporizador desencadena la unidad de servicio cada 10 minutos para recopilar datos de actividad del sistema usando el script de shell llamado /usr/lib64/sa/sa1. Asegúrese de que el paquete sysstat se instale y cambie el archivo de configuración de la unidad del temporizador para que recopile los datos de actividad del sistema cada dos minutos. 4.1. Use el comando yum para instalar el paquete sysstat. [root@servera ~]# yum install sysstat ...output omitted... Is this ok [y/N]: y ...output omitted... Installed: sysstat-11.7.3-2.el8.x86_64 lm_sensorslibs-3.4.0-17.20180522git70f7e08.el8.x86_64 Complete! 4.2. Copie /usr/lib/systemd/system/sysstat-collect.timer en /etc/ systemd/system/sysstat-collect.timer. [root@servera ~]# cp /usr/lib/systemd/system/sysstat-collect.timer \ /etc/systemd/system/sysstat-collect.timer Importante No debe editar archivos bajo el directorio /usr/lib/systemd. Con systemd, puede copiar el archivo de la unidad al directorio /etc/systemd/system y editar esa copia. El proceso de systemd analiza su copia personalizada en lugar del archivo bajo el directorio /usr/lib/systemd. 4.3. Edite /etc/systemd/system/sysstat-collect.timer para que la unidad del temporizador funcione cada dos minutos. Además, reemplace todas las apariciones de la cadena 10 minutes con 2 minutes en todo el archivo de configuración de la unidad, incluidos los de las líneas comentadas. Puede usar el comando vi / etc/systemd/system/sysstat-collect.timer para editar el archivo de configuración. ... # 54 Activates activity collector every 2 minutes RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras [Unit] Description=Run system activity accounting tool every 2 minutes [Timer] OnCalendar=*:00/02 [Install] WantedBy=sysstat.service Los cambios anteriores causan que la unidad sysstat-collect. timer desencadene la unidad de sysstat-collect.service cada dos minutos, que ejecuta /usr/lib64/sa/sa1 1 1. La ejecución de /usr/lib64/sa/sa1 1 1 recopila los datos de actividad del sistema en un archivo binario bajo el directorio / var/log/sa. 4.4. Use el comando systemctl daemon-reload para asegurarse de que systemd conozca los cambios. [root@servera ~]# systemctl daemon-reload 4.5. Use el comando systemctl para activar la unidad del temporizador sysstatcollect.timer. [root@servera ~]# systemctl enable --now sysstat-collect.timer 4.6. Use el comando while para esperar hasta que el archivo binario se cree bajo el directorio /var/log/sa. Espere a que regrese su prompt de shell. [root@servera ~]# while [ $(ls /var/log/sa | wc -l) -eq 0 ]; do sleep 1s; done \ En el comando while de arriba, el ls /var/log/sa | wc -l devuelve un 0 si el archivo no existe y un 1 si existe. El while determina si es igual a 0 y si es así, ingresa al bucle, que se detiene por un segundo. Cuando el archivo existe, el bucle while se cierra. 4.7. Use el comando ls -l para verificar que el archivo binario bajo el directorio /var/ log/sa se modificó en los últimos dos minutos. [root@servera ~]# ls -l /var/log/sa total 8 -rw-r--r--. 1 root root 5156 Mar 25 12:34 sa25 [root@servera ~]# date Mon Mar 25 12:35:32 +07 2019 La salida del comando anterior puede variar en su sistema. 4.8. Salga de la shell del usuario root y cierre sesión en servera. RH134-RHEL8.2-es-1-20200928 55 capítulo 2 | Programación de tareas futuras [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute lab scheduling-system finish para terminar este ejercicio. Este script elimina los archivos creados durante el ejercicio para garantizar que el entorno quede limpio. [student@workstation ~]$ lab scheduling-system finish Esto concluye el ejercicio guiado. 56 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras Administración de archivos temporales Objetivos Después de finalizar esta sesión, debe ser capaz de habilitar y deshabilitar los temporizadores de systemd y configurar un temporizador que administre archivos temporales. Administración de archivos temporales Un sistema moderno requiere una gran cantidad de archivos y directorios temporales. Algunas aplicaciones (y usuarios) usan el directorio /tmp para almacenar datos temporales, mientras que otros usan una ubicación específica de la tarea como daemon y directorios volátiles específicos del usuario bajo /run. En este contexto, volátil significa que el sistema de archivos que almacena estos archivos solo existe en la memoria. Cuando el sistema vuelva a arrancar o pierda potencia, todo el contenido del almacenamiento volátil desaparecerá. Para mantener un sistema ejecutándose de forma ordenada, es necesario que estos directorios y archivos se creen cuando no existen, dado que los daemons y scripts podrían contar con que estos estén allí, y que los archivos antiguos se purguen de modo que no puedan llenar espacio en el disco ni proporcionar información errónea. Red Hat Enterprise Linux 7 y posteriores incluyen una nueva herramienta llamada systemdtmpfiles, que proporciona un método estructurado y configurable para administrar directorios y archivos temporales. Cuando systemd inicia un sistema, una de las primeras unidades de servicio iniciadas es systemd-tmpfiles-setup. Este servicio ejecuta el comando systemd-tmpfiles --create --remove. Este comando lee los archivos de configuración de /usr/lib/tmpfiles.d/ *.conf, /run/tmpfiles.d/*.conf y /etc/tmpfiles.d/*.conf. Todos los archivos y directorios marcados para la eliminación en esos archivos de configuración se eliminarán, y todos los archivos y directorios marcados para la creación (o arreglos de permisos) se crearán con los permisos correctos si es necesario. Limpieza de archivos temporales con un temporizador de systemd Para asegurar que los sistemas de larga duración no llenan sus discos con datos obsoletos, una unidad de temporizador systemd llamada systemd-tmpfiles-clean.timer desencadena systemd-tmpfiles-clean.service en un intervalo regular, que ejecuta el comando systemd-tmpfiles --clean. Los archivos de configuración de la unidad del temporizador systemd tienen una sección [Timer] que indica con qué frecuencia debe iniciarse el servicio con el mismo nombre. Use el siguiente comando systemctl para ver los contenidos del archivo de configuración de la unidad systemd-tmpfiles-clean.timer. [user@host ~]$ systemctl cat systemd-tmpfiles-clean.timer # /usr/lib/systemd/system/systemd-tmpfiles-clean.timer # SPDX-License-Identifier: LGPL-2.1+ # RH134-RHEL8.2-es-1-20200928 57 capítulo 2 | Programación de tareas futuras # # # # # # # This file is part of systemd. systemd is free software; you can redistribute it and/or modify it under the terms of the GNU Lesser General Public License as published by the Free Software Foundation; either version 2.1 of the License, or (at your option) any later version. [Unit] Description=Daily Cleanup of Temporary Directories Documentation=man:tmpfiles.d(5) man:systemd-tmpfiles(8) [Timer] OnBootSec=15min OnUnitActiveSec=1d En la configuración anterior, el parámetro OnBootSec=15min indica que la unidad de servicio llamada systemd-tmpfiles-clean.service se desencadena 15 minutos después de que el sistema se haya iniciado. El parámetro OnUnitActiveSec=1d indica que cualquier otro desencadenador para la unidad de servicio systemd-tmpfiles-clean.service ocurre 24 horas después de que la unidad de servicio se activó por última vez. En función de sus necesidades, puede cambiar los parámetros en el archivo de configuración de la unidad del temporizador systemd-tmpfiles-clean.timer. Por ejemplo, el valor 30 min para el parámetro OnUnitActiveSec desencadena la unidad de servicio systemd-tmpfilesclean.service 30 minutos después de la última activación de la unidad de servicio. Como resultado, systemd-tmpfiles-clean.service se activa cada 30 minutos después de que los cambios surtan efecto. Después de cambiar el archivo de configuración de la unidad del temporizador, use el comando systemctl daemon-reload para asegurar que systemd tenga conocimiento de los cambios. Este comando recarga la configuración del administrador systemd. [root@host ~]# systemctl daemon-reload Después de recargar la configuración del administrador systemd, use el siguiente comando systemctl para activar la unidad systemd-tmpfiles-clean.timer. [root@host ~]# systemctl enable --now systemd-tmpfiles-clean.timer Limpieza de archivos temporales manualmente El comando systemd-tmpfiles --clean analiza los mismos archivos de configuración que el comando systemd-tmpfiles --create, pero en lugar de crear archivos y directorios, purgará todos los archivos a los que no se haya accedido, y que no hayan sido modificados ni cambiados en una fecha anterior a la antigüedad máxima definida en el archivo de configuración. El formato de los archivos de configuración para systemd-tmpfiles se detalla en la página del manual tmpfiles.d(5). La sintaxis básica consta de siete columnas: Tipo, Ruta, Modo, UID, GID, Edad y Argumento. Tipo se refiere a la acción que debe realizar systemd-tmpfiles; por ejemplo, d ara crear un directorio si no existe aún, o Z para restaurar recursivamente contextos de SELinux y propiedad y permisos de archivos. A continuación, se dan algunos ejemplos con explicaciones: 58 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras d /run/systemd/seats 0755 root root - Cuando cree archivos y directorios, cree el directorio /run/systemd/seats si aún no existe, propiedad del usuario root y el grupo root, con permisos establecidos para rwxr-xr-x. Este directorio no se purgará automáticamente. D /home/student 0700 student student 1d Cree el directorio /home/student si aún no existe. Si existe, vacíe todos los contenidos. Cuando systemd-tmpfiles --clean se ejecute, elimine todos los archivos a los que no se haya accedido, ni se hayan modificado ni cambiado en más de un día. L /run/fstablink - root root - /etc/fstab Cree el enlace simbólico /run/fstablink que apunte a /etc/fstab. Nunca purgue automáticamente esta línea. Precedencia de archivos de configuración Los archivos de configuración pueden encontrarse en tres lugares: • /etc/tmpfiles.d/*.conf • /run/tmpfiles.d/*.conf • /usr/lib/tmpfiles.d/*.conf Los archivos en /usr/lib/tmpfiles.d/ son proporcionados por los paquetes de RPM relevantes, y no debe editarlos. Los archivos bajo /run/tmpfiles.d/ son archivos volátiles, normalmente usados por daemons para administrar sus propios archivos temporales de tiempo de ejecución. Los archivos bajo /etc/tmpfiles.d/ están pensados para que los administradores configuren ubicaciones temporales personalizadas y anulen los valores predeterminados provistos por el proveedor. Si un archivo en /run/tmpfiles.d/ tiene el mismo nombre de archivo que un archivo en / usr/lib/tmpfiles.d/, se usa el archivo en /run/tmpfiles.d/. Si un archivo en /etc/ tmpfiles.d/ tiene el mismo nombre de archivo que un archivo en /run/tmpfiles.d/ o / usr/lib/tmpfiles.d/, se usa el archivo en /etc/tmpfiles.d/. Dadas estas reglas de precedencia, puede reemplazar fácilmente la configuración proporcionada por el proveedor si copia el archivo relevante en /etc/tmpfiles.d/ y, luego, lo edita. Trabajar de esta manera garantiza que la configuración proporcionada por el administrador se puede administrar fácilmente desde un sistema de administración de configuración central, y que no se sobrescriba por una actualización de un paquete. nota Cuando evalúe configuraciones nuevas o modificadas, puede ser útil solo aplicar los comandos de un archivo de configuración. Esto se puede lograr si se especifica el nombre del archivo de configuración en la línea de comandos. RH134-RHEL8.2-es-1-20200928 59 capítulo 2 | Programación de tareas futuras Referencias Páginas del manual: systemd-tmpfiles(8), tmpfiles.d(5), stat(1), stat(2) y systemd.timer(5). 60 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras Ejercicio Guiado Administración de archivos temporales En este ejercicio, configurará systemd-tmpfiles para cambiar la rapidez con la que elimina los archivos temporales de /tmp, y también para purgar periódicamente los archivos de otro directorio. Resultados Usted deberá ser capaz de realizar lo siguiente: • Configurar systemd-tmpfiles para eliminar archivos temporales no usados de /tmp. • Configurar systemd-tmpfiles para purgar periódicamente archivos de otro directorio. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab scheduling-tempfiles start para iniciar el ejercicio. Este script crea los archivos necesarios y asegura la configuración correcta del entorno. [student@workstation ~]$ lab scheduling-tempfiles start 1. Desde workstation, abra una sesión de SSH en servera como student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Configure systemd-tmpfiles para limpiar el directorio /tmp para que no contenga archivos que no se hayan usado en los últimos cinco días. Asegúrese de que la configuración no se sobrescriba con ninguna actualización del paquete. 2.1. Use el comando sudo -i para cambiar al usuario root. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 2.2. Copie /usr/lib/tmpfiles.d/tmp.conf en /etc/tmpfiles.d/tmp.conf. [root@servera ~]# cp /usr/lib/tmpfiles.d/tmp.conf \ /etc/tmpfiles.d/tmp.conf 2.3. Busque la línea de configuración en /etc/tmpfiles.d/tmp.conf que se aplica al directorio /tmp. Reemplace la edad existente de los archivos temporales en esa línea de configuración con la nueva edad de 5 días. Elimine todas las otras líneas del RH134-RHEL8.2-es-1-20200928 61 capítulo 2 | Programación de tareas futuras archivo, incluidas las comentadas. Puede usar el comando vim /etc/tmpfiles.d/ tmp.conf para editar el archivo de configuración. El archivo /etc/tmpfiles.d/ tmp.conf debe aparecer de la siguiente manera: q /tmp 1777 root root 5d En la configuración anterior, el tipo q es idéntico a d e indica a systemd-tmpfiles que cree el directorio /tmp si no existe. El directorio debe tener los permisos octales establecidos en 1777. Tanto el usuario propietario como el grupo de /tmp deben ser root. El directorio /tmp no debe contener los archivos temporales que no se han usado en los últimos cinco días. 2.4. Use el comando systemd-tmpfiles --clean para verificar que el archivo /etc/ tmpfiles.d/tmp.conf contenga la configuración correcta. [root@servera ~]# systemd-tmpfiles --clean /etc/tmpfiles.d/tmp.conf Debido a que el comando anterior no devolvió ningún error, confirma que los ajustes de configuración son correctos. 3. Agregue una nueva configuración que asegure que el directorio /run/momentary exista con la propiedad del usuario y del grupo establecida en root. Los permisos octales para el directorio deben ser 0700. La configuración debe purgar los archivos de este directorio que no se hayan usado en los últimos 30 segundos. 3.1. Cree el archivo llamado /etc/tmpfiles.d/momentary.conf con el siguiente contenido. Puede usar el comando vim /etc/tmpfiles.d/momentary.conf para crear el archivo de configuración. d /run/momentary 0700 root root 30s La configuración anterior hace que systemd-tmpfiles asegure que el directorio /run/momentary exista con sus permisos octales establecidos en 0700. El usuario propietario y el grupo de /run/momentary deben ser root. Los archivos de este directorio que no se hayan usado en los últimos 30 segundos se deben purgar. 3.2. Use el comando systemd-tmpfiles --create para verificar que el archivo / etc/tmpfiles.d/momentary.conf contenga la configuración adecuada. El comando crea el directorio /run/momentary si aún no existe. [root@servera ~]# systemd-tmpfiles --create \ /etc/tmpfiles.d/momentary.conf Debido a que el comando anterior no devolvió ningún error, confirma que los ajustes de configuración son correctos. 3.3. Use el comando ls para verificar que el directorio /run/momentary se crea con los permisos, el propietario y el propietario del grupo adecuados. [root@servera ~]# ls -ld /run/momentary drwx------. 2 root root 40 Mar 21 16:39 /run/momentary Tenga en cuenta que el conjunto de permisos octales de /run/momentary es 0700 y que la propiedad del usuario y del grupo se establece en root. 62 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras 4. Verifique que cualquier archivo bajo el directorio /run/momentary, no usado en los últimos 30 segundos, se elimina, en función de la configuración de systemd-tmpfiles para el directorio. 4.1. Use el comando touch para crear un archivo denominado /run/momentary/ testfile. [root@servera ~]# touch /run/momentary/testfile 4.2. Use el comando sleep para configurar su prompt de shell para que no regrese durante 30 segundos. [root@servera ~]# sleep 30 4.3. Después de que vuelva a aparecer el prompt de shell, use el comando systemdtmpfiles --clean para limpiar archivos obsoletos de /run/momentary, sobre la base de la regla mencionada en /etc/tmpfiles.d/momentary.conf. [root@servera ~]# systemd-tmpfiles --clean \ /etc/tmpfiles.d/momentary.conf El comando anterior elimina /run/momentary/testfile porque el archivo no se usó durante 30 segundos y debería haberse eliminado según la regla mencionada en /etc/tmpfiles.d/momentary.conf. 4.4. Use el comando ls -l para verificar que el archivo /run/momentary/testfile no exista. [root@servera ~]# ls -l /run/momentary/testfile ls: cannot access '/run/momentary/testfile': No such file or directory 4.5. Salga de la shell del usuario root y cierre sesión en servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute lab scheduling-tempfiles finish para terminar este ejercicio. Este script elimina los archivos creados durante el ejercicio para garantizar que el entorno quede limpio. [student@workstation ~]$ lab scheduling-tempfiles finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 63 capítulo 2 | Programación de tareas futuras Cuestionario Programación de tareas futuras Elija las respuestas correctas para las siguientes preguntas. 1. ¿Qué comando muestra todos los trabajos de usuario que actualmente están programados para ejecutarse como trabajos diferidos? a. atq b. atrm c. at -c d. at --display 2. ¿Qué comando elimina el trabajo de usuario diferido que tiene el número de trabajo 5? a. at -c 5 b. atrm 5 c. at 5 d. at --delete 5 3. ¿Qué comando muestra todos los trabajos de usuario recurrentes programados para el actual usuario que inició sesión actualmente? a. crontab -r b. crontab -l c. crontab -u d. crontab -V 4. ¿Qué formato de trabajo ejecuta /usr/local/bin/daily_backup cada hora desde las 9:00 a. m. a las 6:00 p. m. todos los días de lunes a viernes? a. 00 ***Mon-Fri/usr/local/bin/daily_backup b. * */9 * * Mon-Fri /usr/local/bin/daily_backup c. 00 */18 * * * /usr/local/bin/daily_backup d. 00 09-18 * * Mon-Fri /usr/local/bin/daily_backup 5. ¿Qué directorio contiene los scripts de shell destinados a ejecutarse diariamente? a. /etc/cron.d b. /etc/cron.hourly c. /etc/cron.daily d. /etc/cron.weekly 64 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras 6. ¿Qué archivo de configuración define la configuración de los trabajos del sistema que se ejecutan de forma diaria, semanal y mensual? a. /etc/crontab b. /etc/anacrontab c. /etc/inittab d. /etc/sysconfig/crond 7. ¿Qué unidad systemd desencadena regularmente la limpieza de los archivos temporales? a. systemd-tmpfiles-clean.timer b. systemd-tmpfiles-clean.service c. dnf-makecache.timer d. unbound-anchor.timer RH134-RHEL8.2-es-1-20200928 65 capítulo 2 | Programación de tareas futuras Solución Programación de tareas futuras Elija las respuestas correctas para las siguientes preguntas. 1. ¿Qué comando muestra todos los trabajos de usuario que actualmente están programados para ejecutarse como trabajos diferidos? a. atq b. atrm c. at -c d. at --display 2. ¿Qué comando elimina el trabajo de usuario diferido que tiene el número de trabajo 5? a. at -c 5 b. atrm 5 c. at 5 d. at --delete 5 3. ¿Qué comando muestra todos los trabajos de usuario recurrentes programados para el actual usuario que inició sesión actualmente? a. crontab -r b. crontab -l c. crontab -u d. crontab -V 4. ¿Qué formato de trabajo ejecuta /usr/local/bin/daily_backup cada hora desde las 9:00 a. m. a las 6:00 p. m. todos los días de lunes a viernes? a. 00 ***Mon-Fri/usr/local/bin/daily_backup b. * */9 * * Mon-Fri /usr/local/bin/daily_backup c. 00 */18 * * * /usr/local/bin/daily_backup d. 00 09-18 * * Mon-Fri /usr/local/bin/daily_backup 5. ¿Qué directorio contiene los scripts de shell destinados a ejecutarse diariamente? a. /etc/cron.d b. /etc/cron.hourly c. /etc/cron.daily d. /etc/cron.weekly 66 RH134-RHEL8.2-es-1-20200928 capítulo 2 | Programación de tareas futuras 6. ¿Qué archivo de configuración define la configuración de los trabajos del sistema que se ejecutan de forma diaria, semanal y mensual? a. /etc/crontab b. /etc/anacrontab c. /etc/inittab d. /etc/sysconfig/crond 7. ¿Qué unidad systemd desencadena regularmente la limpieza de los archivos temporales? a. systemd-tmpfiles-clean.timer b. systemd-tmpfiles-clean.service c. dnf-makecache.timer d. unbound-anchor.timer RH134-RHEL8.2-es-1-20200928 67 capítulo 2 | Programación de tareas futuras Resumen En este capítulo, aprendió lo siguiente: • Los trabajos que están programados para ejecutarse una vez en el futuro se llaman trabajos o tareas diferidos. • Los trabajos de usuario recurrentes ejecutan las tareas del usuario en una programación de repetición. • Los trabajos recurrentes del sistema realizan tareas administrativas en una programación de repetición que tiene impacto en todo el sistema. • Las unidades de tipo temporizador de systemd pueden ejecutar tanto los trabajos diferidos como los recurrentes. 68 RH134-RHEL8.2-es-1-20200928 capítulo 3 Ajuste del rendimiento del sistema Meta Mejorar el rendimiento del sistema estableciendo parámetros de ajuste y ajustando la prioridad de programación de los procesos. Objetivos • Optimizar el rendimiento del sistema seleccionando un perfil de ajuste administrado por el daemon tuned. • Dar o quitar la prioridad a procesos específicos con los comandos nice y renice. • Ajuste de perfiles de optimización (y ejercicio guiado) • Influencia en la programación de procesos (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Ajuste del rendimiento del sistema 69 capítulo 3 | Ajuste del rendimiento del sistema Ajuste de perfiles de ajuste Objetivos Después de completar esta sección, debe ser capaz de optimizar el rendimiento del sistema seleccionando un perfil de ajuste administrado por el daemon tuned. Sistemas de ajuste Los administradores del sistema pueden optimizar el rendimiento de un sistema ajustando diversas configuraciones de dispositivos basadas en una variedad de cargas de trabajo de casos de uso. El daemon tuned aplica la configuración de ajuste de forma estática y dinámica, con perfiles de optimización que reflejan los requisitos particulares de la carga de trabajo. Configuración de ajuste estático El daemon tuned aplica la configuración del sistema cuando se inicia el servicio o al seleccionar un nuevo perfil de ajuste. El ajuste estático configura los parámetros predefinidos del kernel en los perfiles a los que se aplica tuned en el tiempo de ejecución. Con el ajuste estático, los parámetros del kernel se establecen para las expectativas de rendimiento general y no se ajustan a medida que cambian los niveles de actividad. Configuración de ajuste dinámico Con el ajuste dinámico, el daemon tuned monitorea la actividad del sistema y ajusta la configuración según los cambios de comportamiento del tiempo de ejecución. El ajuste dinámico se ajusta continuamente para adaptarse a la carga de trabajo actual, comenzando con las configuraciones iniciales declaradas en el perfil de ajuste elegido. Por ejemplo, los dispositivos de almacenamiento experimentan un alto uso durante el arranque y el inicio de sesión, pero tienen una actividad mínima cuando las cargas de trabajo de los usuarios consisten en el uso de navegadores web y clientes de correo electrónico. De manera similar, la actividad de la CPU y los dispositivos de red aumentan durante el uso máximo en un día laboral. El daemon tuned monitorea la actividad de estos componentes y ajusta la configuración de parámetros para maximizar el rendimiento durante momentos de mucha actividad y reducir los ajustes durante momentos de poca actividad. El daemon tuned usa los parámetros de rendimiento proporcionados en los perfiles de ajuste predefinidos. Instalación y habilitación de ajuste La instalación mínima de Red Hat Enterprise Linux 8 incluye y habilita el paquete tuned de manera predeterminada. Para instalar y habilitar el paquete manualmente: [root@host ~]$ yum install tuned [root@host ~]$ systemctl enable --now tuned Created symlink /etc/systemd/system/multi-user.target.wants/tuned.service → /usr/ lib/systemd/system/tuned.service. 70 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema Selección de un perfil de ajuste La aplicación Tuned proporciona perfiles divididos en las siguientes categorías: • Perfiles de ahorro de energía • Perfiles de aumento de rendimiento Los perfiles de aumento de rendimiento incluyen perfiles que se centran en los siguientes aspectos: • Baja latencia de almacenamiento y red • Alto rendimiento de almacenamiento y red • Rendimiento de máquinas virtuales • Rendimiento del host de virtualización Perfiles de ajuste distribuidos con Red Hat Enterprise Linux 8 Perfil de Tuned Propósito balanced (balanceado) Ideal para los sistemas que requieren un balance entre ahorro de energía y rendimiento. desktop (escritorio) Derivado del perfil balanced. Proporciona una respuesta más rápida de las aplicaciones interactivas. throughput-performance (rendimiento de productividad) Ajusta el sistema para maximizar el rendimiento. latency-performance (rendimiento de latencia) Ideal para los sistemas de servidores que requieren baja latencia a expensas del consumo de energía. network-latency (latencia de red) Derivado del perfil latency-performance. Habilita parámetros de ajuste de red adicionales para proporcionar una baja latencia de red. network-throughput (rendimiento de red) Derivado del perfil throughput-performance. Se aplican parámetros de ajuste de red adicionales para maximizar el rendimiento de la red. powersave (ahorro de energía) Ajusta el sistema para maximizar el ahorro de energía. oracle Optimizado para cargas de base de datos de Oracle, basado en el perfil throughput-performance. virtual-guest (invitado virtual) Ajusta el sistema para maximizar el rendimiento si se ejecuta en una máquina virtual. virtual-host (host virtual) Ajusta el sistema para maximizar el rendimiento si actúa como host de máquinas virtuales. Administración de perfiles desde la línea de comandos El comando tuned-adm puede usarse para modificar la configuración del daemon tuned. El comando tuned-adm puede consultar la configuración actual, listar los perfiles disponibles, recomendar un perfil de ajuste para el sistema, modificar los perfiles directamente o desactivar los ajustes. RH134-RHEL8.2-es-1-20200928 71 capítulo 3 | Ajuste del rendimiento del sistema Un administrador del sistema identifica el perfil de ajuste activo actualmente con tuned-adm active. [root@host ~]# tuned-adm active Current active profile: virtual-guest El comando tuned-adm list enumera todos los perfiles de optimización disponibles, incluidos ambos perfiles incorporados y los perfiles de optimización personalizados creados por un administrador del sistema. [root@host ~]# tuned-adm list Available profiles: - balanced - desktop - latency-performance - network-latency - network-throughput - powersave - sap - throughput-performance - virtual-guest - virtual-host Current active profile: virtual-guest Use tuned-adm profile profilename para cambiar el perfil activo a uno diferente que se adapte mejor a los requisitos de ajuste actuales del sistema. [root@host ~]$ tuned-adm profile throughput-performance [root@host ~]$ tuned-adm active Current active profile: throughput-performance El comando tuned-adm puede recomendar un perfil de ajuste para el sistema. Este mecanismo se usa para determinar el perfil predeterminado de un sistema después de la instalación. [root@host ~]$ tuned-adm recommend virtual-guest nota La salida tuned-adm recommend se basa en diversas características del sistema, entre ellas, si el sistema es una máquina virtual y otras categorías predefinidas seleccionadas durante la instalación del sistema. Para revertir los cambios de configuración realizados por el perfil actual, cambie a otro perfil o desactive el daemon ajustado. Desactive la actividad de ajuste de tuned con tuned-adm off. [root@host ~]$ tuned-adm off [root@host ~]$ tuned-adm active No current active profile. 72 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema Administración de perfiles con la consola web Para administrar los perfiles de rendimiento del sistema con la consola web, inicie sesión con acceso privilegiado. Haga clic en la opción Reuse my password for privileged tasks (Reutilizar mi contraseña para tareas privilegiadas). Esto permite que el usuario ejecute comandos, con privilegios de sudo, que modifican los perfiles de rendimiento del sistema. Figura 3.1: Inicio de sesión privilegiado con la consola web Como usuario privilegiado, haga clic en la opción del menú Systems (Sistemas) en la barra de navegación izquierda. El perfil activo actual se muestra en el campo Performance Profile (Perfil de rendimiento). Para seleccionar un perfil diferente, haga clic en el enlace del perfil activo. Figura 3.2: Perfil de rendimiento activo En la interfaz de usuario de Change Performance Profile (Cambiar perfil de rendimiento), desplácese por la lista de perfiles para seleccionar el que mejor se adapte al propósito del sistema. RH134-RHEL8.2-es-1-20200928 73 capítulo 3 | Ajuste del rendimiento del sistema Figura 3.3: Seleccione un perfil de rendimiento preferido Para verificar los cambios, vuelva a la página principal de System y confirme que se muestra el perfil activo en el campo Performance Profile. Figura 3.4: Verifique el perfil de rendimiento activo Referencias Páginas del manual: tuned(8), tuned.conf(5), tuned-main.conf(5) y tunedadm(1) 74 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema Ejercicio Guiado Ajuste de perfiles de ajuste En este ejercicio, ajustará el rendimiento de un servidor activando el servicio tuned y aplicando un perfil de ajuste. Resultados Debe ser capaz de configurar un sistema para usar un perfil de ajuste. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab tuning-profiles start. El comando ejecuta un script de inicio que determina si el host servera es accesible en la red. [student@workstation ~]$ lab tuning-profiles start 1. En workstation, use SSH para iniciar sesión en servera con el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Verifique que el paquete tuned esté instalado, habilitado e iniciado. 2.1. Use yum para confirmar que el paquete tuned esté instalado. [student@servera ~]$ yum list tuned ...output omitted... Installed Packages tuned.noarch 2.10.0-15.el8 2.2. @anaconda El comando systemctl is-enabled tuned muestra si el servicio está habilitado. [student@servera ~]$ systemctl is-enabled tuned enabled 2.3. El comando systemctl is-active tuned muestra si el servicio se está ejecutando actualmente. [student@servera ~]$ systemctl is-active tuned active RH134-RHEL8.2-es-1-20200928 75 capítulo 3 | Ajuste del rendimiento del sistema 3. Enumere los perfiles de ajuste disponibles e identifique el perfil activo. Si sudo solicita una contraseña, ingrese student después del aviso. [student@servera ~]$ sudo tuned-adm list [sudo] password for student: student Available profiles: - balanced - General non-specialized tuned profile - desktop - Optimize for the desktop use-case - latency-performance - Optimize for deterministic performance at the cost of increased power consumption - network-latency - Optimize for deterministic performance at the cost of increased power consumption, focused on low latency network performance - network-throughput - Optimize for streaming network throughput, generally only necessary on older CPUs or 40G+ networks - powersave - Optimize for low power consumption - throughput-performance - Broadly applicable tuning that provides excellent performance across a variety of common server workloads - virtual-guest - Optimize for running inside a virtual guest - virtual-host - Optimize for running KVM guests Current active profile: virtual-guest 4. Cambie el perfil de ajuste activo actual a powersave y, a continuación, confirme los resultados. Si sudo solicita una contraseña, ingrese student después del aviso. 4.1. Cambie el perfil de ajuste activo actual. [student@servera ~]$ sudo tuned-adm profile powersave 4.2. Confirme que powersave es el perfil de ajuste activo. [student@servera ~]$ sudo tuned-adm active Current active profile: powersave 5. Salga de servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab tuning-profiles finish para terminar este ejercicio. [student@workstation ~]$ lab tuning-profiles finish Esto concluye el ejercicio guiado. 76 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema Influencia en la programación de procesos Objetivos Después de completar esta sección, debe ser capaz de priorizar o quitar la prioridad de procesos específicos, con los comandos nice y renice. Programación y multitareas de procesos de Linux Los sistemas de computación modernos varían de los sistemas de gama baja, que tienen una CPU y solo pueden ejecutar una única instrucción a la vez, hasta las supercomputadoras de alto rendimiento con cientos de CPU cada una y decenas o incluso centenas de núcleos de procesamiento en cada CPU, que permiten ejecutar enormes cantidades de instrucciones en paralelo. Aun así, todos estos sistemas tienen algo en común: la necesidad de ejecutar más procesos y subprocesos que la cantidad de CPU que tienen. Linux y otros sistemas operativos ejecutan más procesos que la cantidad de unidades de procesamiento que tienen, con una técnica llamada particionamiento de tiempo o multitarea. El programador de procesos del sistema operativo cambia rápidamente entre procesos en un único núcleo, lo que da la impresión de que hay varios procesos ejecutándose al mismo tiempo. Prioridades relativas Los diferentes procesos tienen diferentes niveles de importancia. El programador de procesos se puede configurar para usar diferentes políticas de programación para diferentes procesos. La política de programación usada para la mayoría de los procesos que se ejecutan en un sistema normal se denomina SCHED_OTHER (también denominada SCHED_NORMAL), pero hay otras políticas disponibles para las diversas necesidades de cargas de trabajo. Debido a que no todos los procesos son igual de importantes, a los procesos que se ejecutan con la política SCHED_NORMAL se les puede dar una prioridad relativa. Esta prioridad se denomina el valor bueno de un proceso, y se organizan en 40 niveles buenos diferentes para todos los procesos. Los valores de nivel bueno van desde -20 (prioridad más alta) a 19 (prioridad más baja). De forma predeterminada, los procesos heredan su nivel bueno de sus procesos principales, que es generalmente 0. Los niveles buenos más altos indican menos prioridad (el proceso abandona fácilmente el uso de la CPU), mientras que los niveles buenos más bajos indican una mayor prioridad (el proceso tiene menos tendencia a abandonar el uso de la CPU). Si no hay disputa por recursos (por ejemplo, cuando hay menos procesos activos que núcleos de la CPU disponibles), incluso los procesos con un nivel bueno alto usarán todos los recursos de la CPU disponibles que puedan. Sin embargo, cuando hay más procesos que solicitan tiempo de CPU que núcleos disponibles, los procesos con un nivel bueno más alto recibirán menos tiempo de la CPU que aquellos con un nivel bueno más bajo. Configuración de niveles buenos y permisos Dado que establecer un nivel bueno bajo en un proceso que requiere mucha CPU podría afectar de forma negativa el rendimiento de otros procesos que se ejecutan en el mismo sistema, solo el usuario root puede reducir el nivel bueno de un proceso. RH134-RHEL8.2-es-1-20200928 77 capítulo 3 | Ajuste del rendimiento del sistema Los usuarios no privilegiados solo están autorizados a incrementar los niveles buenos de sus propios procesos. No pueden reducir los niveles buenos de sus procesos ni pueden modificar el nivel bueno de los procesos de otros usuarios. Informe de niveles buenos Varias herramientas muestran los niveles buenos de los procesos en ejecución. Las herramientas de gestión de procesos, como top, muestran el nivel bueno de manera predeterminada. Otras herramientas, como el comando ps, muestran niveles buenos cuando se usan las opciones adecuadas. Visualización de niveles buenos con el comando top Use el comando top para visualizar y administrar procesos de forma interactiva. La configuración predeterminada muestra dos columnas de interés sobre niveles buenos y prioridades. La columna NI muestra el valor bueno del proceso y la columna PR muestra su prioridad programada. En la interfaz top, el nivel bueno se asigna a una cola de prioridad interna del sistema, como se muestra en el siguiente gráfico. Por ejemplo, un nivel bueno de -20 se asigna a 0 en la columna PR. Un nivel bueno de 19 se asigna a una prioridad de 39 en la columna PR. Figura 3.5: Niveles buenos y cómo se informan con el comando top Visualización de niveles buenos desde la línea de comandos El comando ps muestra los niveles buenos de los procesos, pero solo al incluir las opciones de formato correctas. El siguiente comando ps muestra una lista de todos los procesos, con su PID, nombre, nivel bueno y clase de programación, ordenados de forma descendente por nivel bueno. Los procesos que muestran TS en la columna de clase de programación CLS se ejecutan con la política de programación SCHED_NORMAL. Los procesos con un guión (-) como nivel bueno se ejecutan con otras políticas de programación y son interpretados como una prioridad más alta por el programador. Los detalles de las políticas de programación adicionales están más allá del alcance de este curso. [user@host ~]$ ps axo pid,comm,nice,cls --sort=-nice PID COMMAND NI CLS 30 khugepaged 19 TS 29 ksmd 5 TS 1 systemd 0 TS 2 kthreadd 0 TS 9 ksoftirqd/0 0 TS 10 rcu_sched 0 TS 11 migration/0 - FF 12 watchdog/0 - FF ...output omitted... 78 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema Inicio de procesos con niveles buenos diferentes Durante la creación del proceso, este hereda el nivel bueno del proceso superior. Cuando un proceso se inicia desde la línea de comandos, heredará el nivel bueno del proceso de la shell desde donde se inició. Generalmente, esto genera nuevos procesos que se ejecutarán con un nivel bueno de 0. El siguiente ejemplo inicia un proceso desde la shell y muestra el valor bueno del proceso. Tenga en cuenta el uso de la opción PID en ps para especificar la salida solicitada. [user@host ~]$ sha1sum /dev/zero & [1] 3480 [user@host ~]$ ps -o pid,comm,nice 3480 PID COMMAND NI 3480 sha1sum 0 Todos los usuarios pueden usar el comando nice para iniciar comandos con un nivel bueno predeterminado o superior. Sin opciones, el comando nice inicia un proceso con el valor bueno predeterminado de 10. En el siguiente ejemplo, se inicia el comando sha1sum como una tarea en segundo plano con el nivel bueno predeterminado y se muestra el nivel bueno del proceso: [user@host ~]$ nice sha1sum /dev/zero & [1] 3517 [user@host ~]$ ps -o pid,comm,nice 3517 PID COMMAND NI 3517 sha1sum 10 Use la opción -n para aplicar un nivel bueno definido por el usuario para el proceso de arranque. El proceso predeterminado es agregar 10 al nivel bueno actual del proceso. En el siguiente ejemplo, se inicia un comando como una tarea en segundo plano con el valor bueno definido por el usuario y se muestra el nivel bueno del proceso: [user@host ~]$ nice -n 15 sha1sum & [1] 3521 [user@host ~]$ ps -o pid,comm,nice 3521 PID COMMAND NI 3521 sha1sum 15 Importante Los usuarios sin privilegios solo pueden aumentar el nivel bueno de su valor actual a un máximo de 19. Una vez aumentado, los usuarios sin privilegios no pueden reducir el valor para volver al nivel bueno anterior. El usuario root puede reducir el nivel bueno de cualquier nivel actual a un mínimo de -20. Cambio del nivel bueno de un proceso existente El nivel bueno de un proceso existente se puede cambiar con el comando renice. En este ejemplo, se usa el identificador PID del ejemplo anterior para cambiar el nivel bueno actual de 15 al nivel bueno deseado de 19. RH134-RHEL8.2-es-1-20200928 79 capítulo 3 | Ajuste del rendimiento del sistema [user@host ~]$ renice -n 19 3521 3521 (process ID) old priority 15, new priority 19 El comando top también se puede usar para cambiar el nivel bueno de un proceso. Desde la interfaz interactiva top, elija la opción r para acceder al comando renice, seguido por el PID que se cambiará y el nuevo nivel bueno. Referencias Páginas del manual: nice(1), renice(1), top(1) y sched_setscheduler(2). 80 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema Ejercicio Guiado Influencia en la programación de procesos En este ejercicio, ajustará la prioridad de programación de los procesos con los comandos nice y renice, y observará los efectos que esto tiene en la ejecución de procesos. Resultados Debe poder ajustar las prioridades de programación para los procesos. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab tuning-procscheduling start. El comando ejecuta un script de inicio que determina si el host servera es accesible en la red. [student@workstation ~]$ lab tuning-procscheduling start 1. En workstation, use SSH para iniciar sesión en servera con el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Determine la cantidad de núcleos de CPU en servera y, a continuación, inicie dos instancias del comando sha1sum /dev/zero & para cada núcleo. 2.1. Use grep para analizar la cantidad de procesadores virtuales existentes (núcleos de CPU) del archivo /proc/cpuinfo. [student@servera ~]$ grep -c '^processor' /proc/cpuinfo 2 2.2. Use un comando de bucle para iniciar varias instancias del comando sha1sum / dev/zero &. Inicie dos por procesador virtual encontrado en el paso anterior. En este ejemplo, serían cuatro instancias. Los valores de PID en su salida variarán con respecto al ejemplo. [student@servera ~]$ for i in $(seq 1 4); do sha1sum /dev/zero & done [1] 2643 [2] 2644 [3] 2645 [4] 2646 RH134-RHEL8.2-es-1-20200928 81 capítulo 3 | Ajuste del rendimiento del sistema 3. Verifique que las tareas en segundo plano se estén ejecutando para cada uno de los procesos sha1sum. [student@servera ~]$ jobs [1] Running [2] Running [3]- Running [4]+ Running sha1sum /dev/zero & sha1sum /dev/zero & sha1sum /dev/zero & sha1sum /dev/zero & 4. Use los comandos ps y pgrep para mostrar el porcentaje de uso de CPU para cada proceso sha1sum. [student@servera ~]$ ps u $(pgrep sha1sum) USER PID %CPU %MEM VSZ RSS TTY student 2643 49.8 0.0 228360 1744 pts/0 student 2644 49.8 0.0 228360 1780 pts/0 student 2645 49.8 0.0 228360 1748 pts/0 student 2646 49.8 0.0 228360 1780 pts/0 5. STAT START R 11:15 R 11:15 R 11:15 R 11:15 TIME COMMAND 6:09 sha1sum /dev/zero 6:09 sha1sum /dev/zero 6:09 sha1sum /dev/zero 6:09 sha1sum /dev/zero Cierre todos los procesos sha1sum y, a continuación, verifique que no haya trabajos en ejecución. 5.1. Use el comando pkill para cerrar todos los procesos en ejecución con el patrón de nombre sha1sum. [student@servera ~]$ pkill sha1sum [2] Terminated sha1sum /dev/zero [4]+ Terminated sha1sum /dev/zero [1]- Terminated sha1sum /dev/zero [3]+ Terminated sha1sum /dev/zero 5.2. Verifique que no haya tareas en ejecución. [student@servera ~]$ jobs [student@servera ~]$ 6. Inicie varias instancias de sha1sum /dev/zero & y, a continuación, inicie una instancia adicional de sha1sum /dev/zero & con un nivel bueno de 10. Inicie tantas instancias como procesadores virtuales tenga el sistema. En este ejemplo, se inician 3 instancias normales y otra con el nivel bueno más alto. 6.1. Use los bucles para iniciar tres instancias de sha1sum /dev/zero &. [student@servera ~]$ for i in $(seq 1 3); do sha1sum /dev/zero & done [1] 1947 [2] 1948 [3] 1949 6.2. 82 Use el comando nice para iniciar la cuarta instancia con un nivel bueno de 10. RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema [student@servera ~]$ nice -n 10 sha1sum /dev/zero & [4] 1953 7. Use los comandos ps y pgrep para mostrar el PID, el porcentaje de uso de CPU, el valor bueno y el nombre ejecutable para cada proceso. La instancia con el valor bueno de 10 debe mostrar un porcentaje menor de uso de CPU que las otras instancias. [student@servera ~]$ ps -o pid,pcpu,nice,comm $(pgrep sha1sum) PID %CPU NI COMMAND 1947 66.0 0 sha1sum 1948 65.7 0 sha1sum 1949 66.1 0 sha1sum 1953 6.7 10 sha1sum 8. Use el comando sudo renice para bajar el nivel bueno de un proceso del paso anterior. Observe el valor de PID de la instancia de proceso con el nivel bueno de 10. Use ese PID de proceso para bajar su nivel bueno a 5. [student@servera ~]$ sudo renice -n 5 1953 [sudo] password for student: student 1953 (process ID) old priority 10, new priority 5 9. Repita los comandos ps y pgrep para volver a mostrar el porcentaje de CPU y el nivel bueno. [student@servera ~]$ ps -o pid,pcpu,nice,comm $(pgrep sha1sum) PID %CPU NI COMMAND 1947 63.8 0 sha1sum 1948 62.8 0 sha1sum 1949 65.3 0 sha1sum 1953 9.1 5 sha1sum 10. Use el comando pkill para cerrar todos los procesos en ejecución con el patrón de nombre sha1sum. [student@servera ~]$ pkill sha1sum ...output omitted... 11. Salga de servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab tuning-procscheduling finish para terminar este ejercicio. RH134-RHEL8.2-es-1-20200928 83 capítulo 3 | Ajuste del rendimiento del sistema [student@workstation ~]$ lab tuning-procscheduling finish Esto concluye el ejercicio guiado. 84 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema Trabajo de laboratorio Ajuste del rendimiento del sistema Lista de verificación de rendimiento En este trabajo de laboratorio, aplicará un perfil de ajuste específico y ajustará la prioridad de programación de un proceso existente con un alto uso de CPU. Resultados Usted deberá ser capaz de realizar lo siguiente: • Activar un perfil de ajuste específico para un sistema de cómputo. • Ajustar la prioridad de programación de CPU de un proceso. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. Desde workstation, ejecute el comando lab tuning-review start. Este comando ejecuta un script de inicio para determinar si el host serverb es accesible en la red. [student@workstation ~]$ lab tuning-review start 1. Cambie el perfil de ajuste actual para serverb a balanced, un perfil de ajuste general no especializado. 2. Dos procesos en serverb están consumiendo un alto porcentaje de uso de CPU. Ajuste el nivel de nice de cada proceso en 10 para permitir más tiempo de CPU para otros procesos. Evaluación En workstation, ejecute el comando lab tuning-review grade para confirmar que ha realizado correctamente este ejercicio de laboratorio. [student@workstation ~]$ lab tuning-review grade Finalizar En workstation, ejecute el script lab tuning-review finish para terminar este ejercicio. [student@workstation ~]$ lab tuning-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 85 capítulo 3 | Ajuste del rendimiento del sistema Solución Ajuste del rendimiento del sistema Lista de verificación de rendimiento En este trabajo de laboratorio, aplicará un perfil de ajuste específico y ajustará la prioridad de programación de un proceso existente con un alto uso de CPU. Resultados Usted deberá ser capaz de realizar lo siguiente: • Activar un perfil de ajuste específico para un sistema de cómputo. • Ajustar la prioridad de programación de CPU de un proceso. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. Desde workstation, ejecute el comando lab tuning-review start. Este comando ejecuta un script de inicio para determinar si el host serverb es accesible en la red. [student@workstation ~]$ lab tuning-review start Cambie el perfil de ajuste actual para serverb a balanced, un perfil de ajuste general no especializado. 1. 1.1. Desde workstation, abra una sesión de SSH en serverb como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 1.2. Use yum para confirmar que el paquete tuned esté instalado. [student@serverb ~]$ yum list tuned ...output omitted... Installed Packages tuned.noarch 2.10.0-15.el8 1.3. @anaconda Use el comando systemctl is-active tuned para mostrar el estado del servicio tuned. [student@serverb ~]$ systemctl is-active tuned active 86 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema 1.4. Enumere todos los perfiles de ajuste disponibles y sus descripciones. Tenga en cuenta que el perfil activo actual es virtual-guest. [student@serverb ~]$ sudo tuned-adm list [sudo] password for student: student Available profiles: - balanced - General non-specialized tuned profile - desktop - Optimize for the desktop use-case - latency-performance - Optimize for deterministic performance at the cost of increased power consumption - network-latency - Optimize for deterministic performance at the cost of increased power consumption, focused on low latency network performance - network-throughput - Optimize for streaming network throughput, generally only necessary on older CPUs or 40G+ networks - powersave - Optimize for low power consumption - throughput-performance - Broadly applicable tuning that provides excellent performance across a variety of common server workloads - virtual-guest - Optimize for running inside a virtual guest - virtual-host - Optimize for running KVM guests Current active profile: virtual-guest 1.5. Cambie el perfil de ajuste activo actual al perfil balanced. [student@serverb ~]$ sudo tuned-adm profile balanced 1.6. Enumere la información de resumen del perfil activo actual de tuned. Use el comando tuned-adm profile_info para confirmar que el perfil activo sea el perfil balanced. [student@serverb ~]$ sudo tuned-adm profile_info Profile name: balanced Profile summary: General non-specialized tuned profile ...output omitted... 2. Dos procesos en serverb están consumiendo un alto porcentaje de uso de CPU. Ajuste el nivel de nice de cada proceso en 10 para permitir más tiempo de CPU para otros procesos. 2.1. Determine los dos consumidores de CPU principales en serverb. Los consumidores de CPU principales aparecen en último lugar en la salida del comando. Los valores porcentuales de CPU varían. [student@serverb ~]$ ps aux --sort=pcpu USER PID %CPU %MEM VSZ RSS TTY ...output omitted... root 2983 100 0.0 228360 1744 ? root 2967 101 0.0 228360 1732 ? [student@serverb ~]$ RH134-RHEL8.2-es-1-20200928 STAT START TIME COMMAND R< RN 0:23 md5sum /dev/zero 0:23 sha1sum /dev/zero 21:08 21:08 87 capítulo 3 | Ajuste del rendimiento del sistema 2.2. Identifique el nivel actual de nice para los dos consumidores de CPU principales. [student@serverb ~]$ ps -o pid,pcpu,nice,comm \ $(pgrep sha1sum;pgrep md5sum) PID %CPU NI COMMAND 2967 99.6 2 sha1sum 2983 99.7 -2 md5sum 2.3. Use el comando sudo renice -n 10 2967 2983 para ajustar el nivel de nice de cada proceso en 10. Use los valores de PID identificados en la salida del comando anterior. [student@serverb ~]$ sudo renice -n 10 2967 2983 [sudo] password for student: student 2967 (process ID) old priority 2, new priority 10 2983 (process ID) old priority -2, new priority 10 2.4. Verifique que el nivel actual de nice de cada proceso sea 10. [student@serverb ~]$ ps -o pid,pcpu,nice,comm \ $(pgrep sha1sum;pgrep md5sum) PID %CPU NI COMMAND 2967 99.6 10 sha1sum 2983 99.7 10 md5sum 2.5. Salga de serverb. [student@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ Evaluación En workstation, ejecute el comando lab tuning-review grade para confirmar que ha realizado correctamente este ejercicio de laboratorio. [student@workstation ~]$ lab tuning-review grade Finalizar En workstation, ejecute el script lab tuning-review finish para terminar este ejercicio. [student@workstation ~]$ lab tuning-review finish Esto concluye el trabajo de laboratorio. 88 RH134-RHEL8.2-es-1-20200928 capítulo 3 | Ajuste del rendimiento del sistema Resumen En este capítulo, aprendió lo siguiente: • El servicio tuned modifica automáticamente la configuración del dispositivo para satisfacer las necesidades específicas del sistema en función del perfil de ajuste predefinido seleccionado. • Para revertir todos los cambios realizados en la configuración del sistema por el perfil seleccionado, cambie a otro perfil o desactive el servicio tuned. • El sistema asigna una prioridad relativa a un proceso para determinar su acceso a la CPU. Esta prioridad se denomina el valor nice de un proceso. • El comando nice asigna una prioridad a un proceso cuando se inicia. El comando renice modifica la prioridad de un proceso en ejecución. RH134-RHEL8.2-es-1-20200928 89 90 RH134-RHEL8.2-es-1-20200928 capítulo 4 Control de acceso a archivos con ACL Meta Interpretar y establecer listas de control de acceso (ACL) en archivos para manejar situaciones que requieren permisos complejos de acceso de usuarios y grupos. Objetivos • Describir los casos de uso de las ACL, identificar los archivos que tienen ACL configuradas e interpretar el efecto de esas ACL. • Establecer y eliminar las ACL de los archivos y definir las ACL predeterminadas establecidas automáticamente por un directorio en los archivos recién creados. • Interpretación de las ACL de archivos (y ejercicio guiado) • Protección de archivos con ACL (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Control de acceso a archivos con ACL 91 capítulo 4 | Control de acceso a archivos con ACL Interpretación de ACL de archivos Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Describir las ACL y las opciones de montaje en sistemas de archivos. • Ver e interpretar las ACL con ls y getfacl. • Describir la máscara de ACL y la precedencia de permisos de ACL. • Identificar en qué ocasiones Red Hat Enterprise Linux usa las ACL de manera predeterminada. Conceptos de lista de control de acceso Los permisos estándares de archivos de Linux son satisfactorios cuando a los archivos los usa un solo propietario y un solo grupo de personas designado. Sin embargo, algunos casos de uso requieren que varios usuarios y grupos nombrados accedan a los archivos con diferentes conjuntos de permisos de archivos. Las listas de control de acceso (ACL) proporcionan esta función. Con las ACL, puede otorgar permisos a varios usuarios y grupos, identificados por nombre de usuario, nombre de grupo, UID o GID, con los mismos indicadores de permiso que se usan para los permisos de archivos normales: leer, escribir y ejecutar. Estos usuarios y grupos adicionales, más allá del propietario del archivo y la afiliación de grupo del archivo, se denominan named users (usuarios nombrados) y named groups (grupos nombrados) respectivamente, porque se nombran no en una lista larga, sino dentro de una ACL. Los usuarios pueden establecer ACL en los archivos y directorios que poseen. Los usuarios privilegiados, a los que se asigna la capacidad de Linux CAP_FOWNER, pueden establecer ACL en cualquier archivo o directorio. Los archivos y subdirectorios nuevos pueden heredar automáticamente la configuración de ACL de las ACL predeterminadas del directorio principal, si están configuradas. Al igual que las reglas de acceso a archivos normales, la jerarquía del directorio principal necesita al menos el otro conjunto de permisos de búsqueda (ejecutar) para habilitar el acceso de usuarios y grupos nombrados. Compatibilidad del sistema de archivos con ACL Los sistemas de archivos deben montarse con el soporte para ACL habilitado. Los sistemas de archivos XFS tienen soporte para ACL incorporado. Otros sistemas de archivos, como ext3 o ext4 creados en Red Hat Enterprise Linux 8, tienen la opción acl habilitada de forma predeterminada, aunque en versiones anteriores debe confirmar que el soporte de ACL esté habilitado. Para habilitar el soporte de ACL en el sistema de archivos, use la opción de ACL con el comando mount o la entrada del sistema de archivos en el archivo de configuración /etc/fstab. Visualización e interpretación de permisos de ACL El comando ls -l solo produce detalles de configuración de ACL mínimos: [user@host content]$ ls -l reports.txt -rwxrw----+ 1 user operators 130 Mar 19 23:56 reports.txt 92 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL El signo más (+) al final de la cadena de permiso de 10 caracteres indica que existe una estructura de ACL ampliada con entradas en este archivo. usuario: muestra la configuración de ACL del usuario, que es la misma que la configuración estándar de archivos del usuario; rwx. grupo: muestra la configuración actual de la máscara de ACL, no la configuración del propietario del grupo; rw. otro: muestra la configuración de ACL de otro, que es la misma que la configuración estándar de archivos de otro; sin acceso. Importante Si se modifican los permisos del grupo en un archivo con ACL mediante el uso de chmod, no se modifican los permisos del propietario del grupo, pero sí se modifica la máscara de ACL. Use setfacl -m g::perms file si lo que intenta es actualizar los permisos del propietario del grupo de archivos. Ver ACL de archivos Para visualizar la configuración de ACL en un archivo, use getfacl file: [user@host content]$ getfacl reports.txt # file: reports.txt # owner: user # group: operators user::rwx user:consultant3:--user:1005:rwx #effective:rwgroup::rwx #effective:rwgroup:consultant1:r-group:2210:rwx #effective:rwmask::rwother::--- Repase cada sección del ejemplo anterior: Entradas comentadas: # file: reports.txt # owner: user # group: operators Las primeras tres líneas son comentarios que identifican el nombre del archivo, el propietario (user) y el propietario del grupo (operators). Si hay indicadores de archivos adicionales (por ejemplo, setuid o setgid), aparecerá una cuarta línea de comentarios que muestra los indicadores establecidos. Entradas de usuarios: RH134-RHEL8.2-es-1-20200928 93 capítulo 4 | Control de acceso a archivos con ACL user::rwx user:consultant3:--user:1005:rwx #effective:rw- Permisos del propietario de archivos. user tiene rwx. Permisos de usuarios nombrados. Una entrada para cada usuario nombrado asociado con este archivo. consultant3 no tiene permisos. Permisos de usuarios nombrados. El UID 1005 tiene rwx, pero la máscara limita los permisos efectivos a rw solamente. Entradas de grupos: group::rwx #effective:rwgroup:consultant1:r-group:2210:rwx #effective:rw- Permisos de propietario de grupo. operators tiene rwx, pero la máscara limita los permisos efectivos a rw solamente. Permisos de grupos nombrados. Una entrada para cada grupo nombrado asociado con este archivo. consultant1 tiene r solamente. Permisos de grupos nombrados. El GID 2210 tiene rwx, pero la máscara limita los permisos efectivos a rw solamente. Entrada de la máscara: mask::rw- La configuración de la máscara muestra los máximos permisos posibles para todos los usuarios nombrados, el propietario del grupo y los grupos nombrados. El UID 1005, operators y el GID 2210 no pueden ejecutar este archivo, aunque cada entrada tenga establecido el permiso de ejecución. Otra entrada: other::--- Otro permiso o permisos "globales". Todos los demás UID y GID NO tienen permisos. Visualización de ACL de directorios Para visualizar la configuración de ACL en un directorio, use el comando getfacl directory: [user@host content]$ getfacl . # file: . # owner: user # group: operators # flags: -suser::rwx user:consultant3:--user:1005:rwx group::rwx group:consultant1:r-x group:2210:rwx 94 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL mask::rwx other::--default:user::rwx default:user:consultant3:--default:group::rwx default:group:consultant1:r-x default:mask::rwx default:other::--- Repase cada sección del ejemplo anterior: Abrir entradas de comentarios: # file: . # owner: user # group: operators # flags: -s- Las primeras tres líneas son comentarios que identifican el nombre del directorio, el propietario (user) y el propietario del grupo (operators). Si hay indicadores de directorio adicionales (setuid, setgid, sticky), una cuarta línea de comentario mostrará los indicadores establecidos (en este caso, setgid). Entradas de ACL estándares: user::rwx user:consultant3:--user:1005:rwx group::rwx group:consultant1:r-x group:2210:rwx mask::rwx other::--- Los permisos de ACL en este directorio son los mismos que los del archivo del ejemplo anterior, pero se aplican al directorio. La diferencia clave es la inclusión del permiso de ejecución en estas entradas (cuando corresponda) para habilitar el permiso de búsqueda del directorio. Entradas del usuario predeterminadas: default:user::rwx default:user:consultant3:--- Permisos de ACL del propietario del archivos predeterminados. El propietario del archivo obtendrá rwx, lectura/escritura en archivos nuevos y ejecución en subdirectorios nuevos. Permisos de ACL de usuarios nombrados predeterminados. Una entrada para cada usuario nombrado al que se aplicará automáticamente la ACL predeterminada a los archivos o subdirectorios nuevos. De manera predeterminada, consultant3 no tendrá permisos. Entradas del grupo predeterminadas: default:group::rwx default:group:consultant1:r-x RH134-RHEL8.2-es-1-20200928 95 capítulo 4 | Control de acceso a archivos con ACL Permisos de ACL predeterminados del propietario del grupo El propietario del grupo de archivos obtendrá rwx, lectura/escritura en archivos nuevos y ejecución en subdirectorios nuevos. Permisos de ACL del grupo nombrado predeterminados. Una entrada para cada grupo nombrado que obtendrá automáticamente la ACL predeterminada. consultant1 obtendrá rx, solo lectura en archivos nuevos y ejecución en subdirectorios nuevos. Entrada de la máscara ACL predeterminada: default:mask::rwx La configuración de máscara predeterminada muestra los permisos máximos iniciales posibles para todos los archivos y directorios nuevos creados que tienen ACL de usuarios nombrados, ACL del propietario del grupo o ACL de grupos nombrados: lectura y escritura para archivos nuevos y permiso de ejecución en subdirectorios nuevos. Los archivos nuevos nunca obtienen permiso de ejecución. Entrada de otro predeterminada: default:other::--- Permisos "globales" o de otro predeterminados. Todos los demás UID y GID no tienen permisos para archivos nuevos o subdirectorios nuevos. Las entradas predeterminadas del ejemplo anterior no incluyen el usuario nombrado (UID 1005) ni el grupo nombrado (GID 2210); consecuentemente, no obtendrán entradas de ACL iniciales automáticamente agregadas para estas a ningún archivo nuevo o subdirectorio nuevo. Esto las limita de manera efectiva a archivos y subdirectorios que ya tienen ACL, o si el propietario del archivo relevante agrega la ACL más tarde usando setfacl. Aún pueden crear sus propios archivos y subdirectorios. nota La salida del comando getfacl se puede usar como entrada para setfacl a fin de restaurar las ACL, o para copiar las ACL de un archivo o directorio de origen y guardarlas en un archivo nuevo. Por ejemplo, para restaurar las ACL desde una copia de seguridad, use getfacl -R /dir1 > file1 para generar un archivo recursivo de volcado de salida de ACL para el directorio y su contenido. A continuación, esta salida se puede usar para la recuperación de las ACL originales al pasar la salida guardada como entrada al comando setfacl. Por ejemplo, para realizar una actualización masiva del mismo directorio en la ruta actual, use el siguiente comando: setfacl --set-file=file1 La máscara ACL La máscara de ACL define los permisos máximos que se pueden otorgar a usuarios nombrados, el propietario del grupo y los grupos nombrados. No restringe los permisos del usuario propietario del archivo ni otro. Todos los archivos y directorios que implementan ACL tendrán una máscara de ACL. La máscara se puede visualizar con getfacl y establecer explícitamente con setfacl. Se calculará y se agregará automáticamente si no se la establece de forma explícita, pero también podría heredarse de una configuración de máscara predeterminada de un directorio principal. De 96 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL forma predeterminada, la máscara se calcula nuevamente siempre que se agregue, se modifique o se elimine cualquiera de las ACL afectadas. Precedencia de permisos de ACL Al determinar si un proceso (un programa en ejecución) puede acceder a un archivo, los permisos del archivo y las ACL se aplican de la siguiente manera: • Si el proceso se ejecuta como el usuario que es propietario del archivo, se aplican los permisos de ACL del usuario del archivo. • Si el proceso se ejecuta como un usuario que está detallado en una entrada de ACL del usuario, se aplican los permisos de ACL de usuario nombrado (siempre que esté permitido por la máscara). • Si el proceso se ejecuta como grupo que coincide con el propietario del grupo del archivo, o como un grupo con una entrada de ACL de grupos nombrados explícitamente, se aplican los permisos de ACL que coinciden (siempre que esté permitido por la máscara). • De lo contrario, se aplican los otros permisos de ACL del archivo. Ejemplos de uso de ACL por el sistema operativo Red Hat Enterprise Linux tiene ejemplos que demuestran el uso típico de ACL para los requisitos de permisos ampliados. ACL en archivos de diario (journal) de Systemd systemd-journald usa entradas de ACL para permitir el acceso de lectura al archivo / run/log/journal/cb44...8ae2/system.journal a los grupos adm y wheel. Esta ACL permite que los miembros de los grupos adm y wheel tengan acceso de lectura a los registros administrados por journalctl sin tener la necesidad de dar permisos especiales al contenido privilegiado dentro de /var/log/, como messages, secure o audit. Debido a la configuración de systemd-journald, la carpeta principal del archivo system.journal puede cambiar, pero systemd-journald aplica ACL a la nueva carpeta y al archivo automáticamente. nota Los administradores del sistema deben establecer una ACL en la carpeta / var/log/journal/ cuando systemd-journald está configurado para usar almacenamiento persistente. [user@host ]$ getfacl /run/log/journal/cb44...8ae2/system.journal getfacl: Removing leading '/' from absolute path names # file: run/log/journal/cb44...8ae2/system.journal # owner: root # group: systemd-journal user::rwgroup::r-group:adm:r-group:wheel:r-mask::r-other::--- RH134-RHEL8.2-es-1-20200928 97 capítulo 4 | Control de acceso a archivos con ACL ACL en dispositivos administrados por Systemd systemd-udev usa un conjunto de reglas de udev que permiten el uso de la etiqueta uaccess en algunos dispositivos, como reproductores o grabadoras de CD/DVD, dispositivos de almacenamiento USB, tarjetas de sonido y muchos otros. Las reglas de udev mencionadas anteriormente establecen las ACL en esos dispositivos para permitir que los usuarios que hayan iniciado sesión en una interfaz gráfica de usuario (por ejemplo gdm) tengan control total de esos dispositivos. Las ACL permanecerán activas hasta que el usuario cierre la sesión de la GUI. Al siguiente usuario que inicie sesión en la GUI se le aplicará una nueva ACL para los dispositivos requeridos. En el siguiente ejemplo, puede ver que user tiene una entrada de ACL con permisos rw aplicados al dispositivo /dev/sr0 que es una unidad de CD/DVD. [user@host ]$ getfacl /dev/sr0 getfacl: Removing leading '/' from absolute path names # file: dev/sr0 # owner: root # group: cdrom user::rwuser:group:rwgroup::rwmask::rwother::--- Referencias Páginas del manual: acl(5), getfacl(1), journald.conf(5), ls(1), systemdjournald(8) y systemd-udevd(8) 98 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL Cuestionario Interpretación de ACL de archivos Establezca una coincidencia entre los siguientes elementos y sus equivalentes de la tabla. Archivo g::rw Archivo user::rx Archivo user:mary:rx default:m::rx /directory default:user:mary:rx /directory g::rw /directory getfacl /directory group:hug:rwx /directory Descripción Operación de ACL Visualizar la ACL en un directorio. Usuario nombrado con permisos de lectura y ejecución para un archivo. Propietario del archivo con permisos de lectura y ejecución para un archivo. Permisos de lectura y escritura para un directorio otorgados al propietario del grupo del directorio. Permisos de lectura y escritura para un archivo otorgados al propietario del grupo del archivo. Permisos de lectura, escritura y ejecución para un directorio otorgados a un grupo nombrado. Permisos de lectura y ejecución establecidos como la máscara predeterminada. Permiso de lectura inicial otorgado a usuario nombrado para archivos nuevos y permisos de lectura y ejecución para subdirectorios nuevos. RH134-RHEL8.2-es-1-20200928 99 capítulo 4 | Control de acceso a archivos con ACL Solución Interpretación de ACL de archivos Establezca una coincidencia entre los siguientes elementos y sus equivalentes de la tabla. Descripción Operación de ACL Visualizar la ACL en un directorio. getfacl /directory Usuario nombrado con permisos de lectura y ejecución para un archivo. Archivo user:mary:rx Propietario del archivo con permisos de lectura y ejecución para un archivo. Archivo user::rx Permisos de lectura y escritura para un directorio otorgados al propietario del grupo del directorio. g::rw /directory Permisos de lectura y escritura para un archivo otorgados al propietario del grupo del archivo. Archivo g::rw Permisos de lectura, escritura y ejecución para un directorio otorgados a un grupo nombrado. group:hug:rwx /directory Permisos de lectura y ejecución establecidos como la máscara predeterminada. default:m::rx /directory Permiso de lectura inicial otorgado a usuario nombrado para archivos nuevos y permisos de lectura y ejecución para subdirectorios nuevos. default:user:mary:rx /directory 100 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL Protección de archivos con ACL Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Cambiar permisos de archivos de ACL regulares usando setfacl. • Controlar permisos de archivos de ACL predeterminados para archivos y directorios nuevos. Cambio de permisos de archivos de ACL Use setfacl para agregar, modificar o eliminar ACL en archivos y directorios. Las ACL usan la representación de permisos de sistema de archivos normal, "r" para permiso de lectura, "w" para permiso de escritura y "x" para permiso de ejecución. Un "-" (guión) indica que el permiso relevante está ausente. Cuando (recursivamente) se configuran ACL, se puede usar una "X" mayúscula para indicar que el permiso de ejecución solo se debe establecer en directorios y no en archivos regulares, a menos que el archivo ya tenga el permiso de ejecución relevante. Este es el mismo comportamiento de chmod. Adición o modificación de ACL Las ACL se pueden establecer a través de la línea de comandos usando la opción -m, o se pueden especificar a través de un archivo usando la opción -M (use "-" [guión]) en lugar de un nombre de archivo para stdin). Estas dos opciones son las opciones "modificar"; agregan entradas de ACL nuevas o reemplazan entradas de ACL existentes específicas en un archivo o directorio. Las demás entradas de ACL existentes en el archivo o el directorio permanecen intactas. nota Use las opciones --set o --set-file para reemplazar completamente la configuración de ACL en un archivo. Cuando se define por primera vez una ACL en un archivo, si la operación de adición no incluye configuración para permisos del propietario del archivo, el propietario del grupo u otros, se establecerán en función de los permisos de archivos estándares actuales (estas también son conocidas como entradas de ACL de base y no se pueden eliminar), y, asimismo, se calculará y se agregará un nuevo valor de máscara. Para agregar o modificar una ACL de usuario o usuario nombrado: [user@host ~]$ setfacl -m u:name:rX file Si name se deja en blanco, se aplica al propietario del archivo; de lo contrario, name puede ser un nombre de usuario o un valor de UID. En este ejemplo, los permisos otorgados serían de solo lectura y, si ya están establecidos, de ejecución (a menos que file fuera un directorio, en cuyo caso el directorio obtendría el permiso de ejecución establecido para permitir la búsqueda en el directorio). RH134-RHEL8.2-es-1-20200928 101 capítulo 4 | Control de acceso a archivos con ACL Los permisos del propietario del archivo de ACL y el propietario del archivo estándar son equivalentes; por consiguiente, el uso de chmod en los permisos del propietario del archivo es equivalente a usar setfacl en los permisos del propietario del archivo. chmod no tiene efecto sobre los usuarios nombrados. Para agregar o modificar una ACL de grupo o grupo nombrado: [user@host ~]$ setfacl -m g:name:rw file Esto sigue el mismo patrón para agregar o modificar una entrada de ACL de usuario. Si name se deja en blanco, se aplica al propietario del grupo. De lo contrario, especifique un nombre de grupo o un valor de GID para un grupo nombrado. Los permisos serían de lectura y escritura en este ejemplo. chmod no tiene efecto en permisos de ningún grupo para archivos con configuraciones de ACL, pero actualiza la máscara de ACL. Para agregar o modificar la ACL de otro: [user@host ~]$ setfacl -m o::- file otro solo acepta configuración de permisos. Estas son las configuraciones típicas de permisos para otros: sin permisos, configurado con un guión (-); y permisos de solo lectura, configurados como de costumbre con r. Por supuesto, puede establecer cualquiera de los permisos estándares. Los permisos de otro de ACL y otro estándar son equivalentes; por consiguiente, el uso de chmod en los permisos de otro es equivalente a usar setfacl en los permisos de otro. Puede agregar varias entradas con el mismo comando; use una lista de entradas separadas por coma: [user@host ~]$ setfacl -m u::rwx,g:consultants:rX,o::- file Esto establece permisos de lectura, escritura y ejecución para el propietario del archivo, establece al grupo nombrado consultants en solo lectura y ejecución condicional, y restringe a todos los usuarios other a ningún permiso. El propietario del grupo mantiene sus permisos de ACL o de archivo existentes y las otras entradas "nombradas" permanecen iguales. Uso de getfacl como entrada La salida de getfacl se puede usar como entrada para setfacl: [user@host ~]$ getfacl file-A | setfacl --set-file=- file-B La opción --set-file acepta la entrada de un archivo o de stdin. El carácter de guión (-) especifica el uso de stdin. En este caso, file-B tendrá la misma configuración de ACL que file-A. Configuración de una máscara de ACL explícita Puede configurar una máscara de ACL de forma explícita en un archivo o directorio para limitar los permisos efectivos máximos para usuarios nombrados, el propietario del grupo y los grupos nombrados. Esto restringe los permisos existentes que superen la máscara, pero no afecta los permisos que son menos permisivos que la máscara. 102 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL [user@host ~]$ setfacl -m m::r file Esto agrega un valor de máscara que restringe a cualquiera de los usuarios nombrados, el propietario del grupo y cualquiera de los grupos nombrados a permiso de solo lectura, independientemente de su configuración existente. Los usuarios propietario del archivo y otro no se ven afectados por la configuración de la máscara. getfacl muestra un comentario "efectivo" además de entradas que son restringidas por una configuración de máscara. Importante De forma predeterminada, cada vez que una de las configuraciones de ACL afectadas (usuarios nombrados, propietario del grupo o grupos nombrados) se modifica o elimina, la máscara de ACL se vuelve a calcular y potencialmente se restablece una configuración de máscara explícita anterior. Para evitar calcular nuevamente la máscara, use la opción -n o incluya una configuración de máscara (-m m::perms) con cualquier operación setfacl que modifique la configuración de ACL afectada de la máscara. Modificaciones de ACL recursivas Al configurar una ACL en un directorio, use la opción -R para aplicar la ACL de forma recursiva. Recuerde que es probable que quiera usar el permiso "X" (x mayúscula) con recursión, de modo que los archivos con permiso de ejecución establecido retienen la configuración y los directorios obtienen el permiso de ejecución establecido para permitir la búsqueda de directorios. También se considera práctica recomendada usar la "X" mayúscula cuando se configuran ACL de manera no recursiva, dado que esto evita que los administradores agreguen de forma accidental permisos de ejecución a un archivo normal. [user@host ~]$ setfacl -R -m u:name:rX directory Esto agrega el usuario name al directorio directory y todos los archivos y subdirectorios existentes, con permisos de solo lectura y ejecución condicional. Eliminación de ACL La eliminación de entradas de ACL específicas sigue el mismo formato básico que la operación de modificar, excepto que ":perms" no se especifica. [user@host ~]$ setfacl -x u:name,g:name file Esto solo elimina al usuario nombrado y al grupo nombrado de la ACL de archivos o directorios. El resto de las entradas de ACL existentes permanecen activas. Puede incluir las operaciones de eliminación (-x) y modificación (-m) en la misma operación setfacl. La máscara solo puede eliminarse si no hay otras ACL establecidas (excluidas las ACL base que no se pueden eliminar), de modo que debe eliminarse última. El archivo ya no tendrá ACL y ls -l no mostrará el símbolo más (+) junto a la cadena de permisos. De forma alternativa, para eliminar RH134-RHEL8.2-es-1-20200928 103 capítulo 4 | Control de acceso a archivos con ACL todas las entradas de ACL de un archivo o directorio (incluidas las ACL predeterminadas en los directorios), use el siguiente comando: [user@host ~]$ setfacl -b file Control de permisos de archivos de ACL predeterminadas Para asegurarse de que los archivos y directorios creados dentro de un directorio hereden ciertas ACL, use la ACL predeterminada en un directorio. Puede configurar una ACL predeterminada y cualquiera de las configuraciones de ACL estándares, incluida una máscara predeterminada. El directorio en sí aún requiere ACL estándares para el control de acceso porque las ACL predeterminadas no implementan control de acceso para el directorio; solo proporcionan soporte de herencia para permisos de ACL. Por ejemplo: [user@host ~]$ setfacl -m d:u:name:rx directory Esto agrega un usuario nombrado predeterminados (d:u:name) con permiso de solo lectura y ejecución en subdirectorios. El comando setfacl para agregar una ACL predeterminada para cada uno de los tipos de ACL es exactamente el mismo que para las ACL estándares, pero incluye d: delante. De forma alternativa, use la opción -d en la línea de comandos. Importante Al configurar las ACL predeterminadas en un directorio, asegúrese de que los usuarios podrán acceder al contenido de los subdirectorios nuevos creados en este, al incluir el permiso de ejecución en la ACL predeterminada. Los usuarios no recibirán automáticamente el permiso de ejecución establecido en los archivos regulares creados recientemente, ya que, a diferencia de los directorios nuevos, la máscara de ACL de un archivo regular nuevo es rw-. nota Los archivos y subdirectorios nuevos continúan obteniendo los valores de UID de su propietario y de GID del grupo primario establecidos a partir del usuario creador, excepto cuando la marca setgid del directorio principal está habilitada, en cuyo caso el GID del grupo primario es el mismo que el GID del directorio principal. Eliminación de entradas de ACL predeterminadas Puede eliminar una ACL predeterminada de la misma manera que elimina una ACL estándar; se agrega d: adelante o se usa la opción -d. [user@host ~]$ setfacl -x d:u:name directory Esto elimina la entrada de ACL predeterminada que se agregó en el ejemplo anterior. 104 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL Para eliminar todas las entradas de ACL predeterminadas en un directorio, use setfacl -k directory. Referencias Páginas del manual: acl(5), setfacl(1), getfacl(1) RH134-RHEL8.2-es-1-20200928 105 capítulo 4 | Control de acceso a archivos con ACL Ejercicio Guiado Protección de archivos con ACL En este ejercicio, usará las entradas de ACL para otorgar acceso a un directorio para un grupo y negar el acceso a un usuario, establecer la ACL predeterminada en un directorio y confirmar que los nuevos archivos creados en ese directorio heredan la ACL predeterminada. Resultados Usted deberá ser capaz de realizar lo siguiente: • Use las entradas de ACL para otorgar acceso a un grupo y denegar el acceso a uno de sus miembros. • Verifique que los archivos y directorios existentes reflejen los nuevos permisos de ACL. • Establezca la ACL predeterminada en un directorio y confirme que los archivos y directorios nuevos heredan su configuración. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab acl-secure start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También crea los usuarios, grupos, directorios y archivos usados en este ejercicio. [student@workstation ~]$ lab acl-secure start Los operadores y consultores son miembros de una empresa de soporte de TI. Necesitan empezar a compartir información. servera contiene un directorio compartido configurado correctamente ubicado en /shares/content que aloja archivos. Actualmente, solo los miembros del grupo operators tienen acceso a este directorio, pero los miembros del grupo consultants necesitan acceso completo a este directorio. El usuario consultant1 es miembro del grupo consultants, pero ha causado problemas en muchas ocasiones, por lo que este usuario no debería tener acceso al directorio. Su trabajo es agregar entradas de ACL adecuadas al directorio y su contenido, de modo que los miembros del grupo consultants tengan acceso completo, pero negar todo tipo de acceso al usuario consultant1. Asegúrese de que a los archivos y directorios futuros almacenados en / shares/content se le apliquen las entradas de ACL adecuadas. Información importante: • Los usuarios sysadmin1 y operator1 son miembros del grupo operators. • Los usuarios consultant1 y consultant2 son miembros del grupo consultants. • El directorio /shares/content contiene un subdirectorio llamado server-info y varios archivos para evaluar la ACL. Además, el directorio /shares/content contiene un script ejecutable llamado loadvg.sh que puede usar para la prueba. 106 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL • Los usuarios sysadmin1, operator1, consultant1 y consultant2 tienen sus contraseñas configuradas en redhat. • Todos los cambios deben ocurrir en el directorio /shares/content y sus archivos; no ajuste el directorio /shares. 1. Inicie sesión en servera y cambie al usuario root. 1.1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 1.2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 2. Agregue la ACL nombrada al directorio /shares/content y todo su contenido. 2.1. Use setfacl para actualizar recursivamente el directorio /shares/content, lo que otorga permisos de lectura, escritura y ejecución condicional al grupo consultants. [root@servera ~]# setfacl -Rm g:consultants:rwX /shares/content La opción -R significa recursivo, la opción -m significa modificar/agregar, rwX significa aplicar permisos de lectura, escritura y ejecución condicional. 2.2. Use setfacl para actualizar recursivamente el directorio /shares/content, denegar al usuario consultant1 del grupo consultants todo tipo de acceso. [root@servera ~]# setfacl -Rm u:consultant1:- /shares/content La opción -R significa recursivo, la opción -m significa modificar/agregar, - significa no dar acceso. 3. Agregue la ACL nombrada como ACL predeterminada para admitir futuras adiciones de archivos y directorios. 3.1. Use setfacl para agregar una regla de acceso predeterminada para el grupo consultants. Otorgue permisos de lectura, escritura y ejecución en el directorio content. [root@servera ~]# setfacl -m d:g:consultants:rwx /shares/content La opción -m significa modificar/agregar, d:g significa grupo predeterminado, :rwx significa permisos de lectura/escritura/ejecución (necesario para la creación y el acceso adecuados a subdirectorio) RH134-RHEL8.2-es-1-20200928 107 capítulo 4 | Control de acceso a archivos con ACL 3.2. Use setfacl para agregar una regla de acceso predeterminada para el usuario consultant1. Niegue todo acceso al directorio content. [root@servera ~]# setfacl -m d:u:consultant1:- /shares/content La opción -m significa modificar/agregar, d:u significa usuario predeterminado, significa que no hay permisos. 4. Verifique sus cambios en ACL. consultant2 debe ser capaz de leer cualquier archivo y crear un directorio nuevo con un nuevo archivo en este. consultant1 no debe ser capaz de leer, escribir ni ejecutar ningún archivo; esto incluye no poder enumerar el contenido del directorio. Use su - user para cambiar a usuarios de prueba. Use exit o Ctrl+D para salir de la shell de usuarios de prueba. [root@servera ~]# exit [student@servera ~]$ su - consultant2 Password: redhat [consultant2@servera ~]$ cd /shares/content/ 4.1. Use cat para comprobar que consultant2 pueda leer un archivo. [consultant2@servera content]$ cat serverb-loadavg.txt ################################################# serverb.lab.example.com ################################################# Wed Mar 25 15:25:19 EDT 2019 ################################################# ldavg 0.18, 0.06, 0.05 ################################################# 4.2. Use el script loadavg.sh para comprobar que consultant2 pueda ejecutar un archivo. [consultant2@servera content]$ ./loadavg.sh ldavg 0.00, 0.00, 0.04 4.3. Cree un directorio denominado reports. Use echo para crear un archivo con cierto contenido, nombre el archivo test.txt y colóquelo en el directorio nuevo. Cambie nuevamente a student cuando haya finalizado. [consultant2@servera content]$ mkdir reports [consultant2@servera content]$ echo "TEST REPORT" > reports/test.txt [consultant2@servera content]$ exit logout [student@servera ~]$ 108 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL 4.4. Inicie sesión como el usuario consultant1. Use cd para tratar de cambiar de directorio como consultant1 y también pruebe ls para detallar el directorio. Ambos comandos deben fallar con permiso denegado. Pruebe uno o más de los comandos que usó consultant2, pero como consultant1, para verificar aún más la falta de acceso. Use la ruta completa, / shares/content, porque no puede usar cd para cambiar al directorio. Cambie nuevamente a student cuando haya terminado de probar consultant1. [student@servera ~]$ su - consultant1 Password: redhat [consultant1@servera ~]$ cd /shares/content/ -bash: cd: /shares/content/: Permission denied [consultant1@servera ~]$ ls /shares/content/ ls: cannot open directory '/shares/content/': Permission denied [consultant1@servera ~]$ cat /shares/content/serverb-loadavg.txt cat: /shares/content/serverb-loadavg.txt: Permission denied [consultant1@servera ~]$ exit logout [student@servera ~]$ 4.5. Inicie sesión como el usuario sysadmin1. Use getfacl para ver todas las entradas de ACL en /shares/content y las entradas de ACL en /shares/content/ reports. Cambie nuevamente a student cuando haya terminado de probar consultant1. [student@servera ~]$ su - sysadmin1 Password: redhat [sysadmin1@servera ~]$ getfacl /shares/content getfacl: Removing leading '/' from absolute path names # file: shares/content/ # owner: root # group: operators # flags: -suser::rwx user:consultant1:--group::rwx group:consultants:rwx mask::rwx other::--default:user::rwx default:user:consultant1:--default:group::rwx default:group:consultants:rwx default:mask::rwx default:other::--[sysadmin1@servera ~]$ getfacl /shares/content/reports getfacl: Removing leading '/' from absolute path names # file: shares/content/reports # owner: consultant2 # group: operators # flags: -suser::rwx RH134-RHEL8.2-es-1-20200928 109 capítulo 4 | Control de acceso a archivos con ACL user:consultant1:--group::rwx group:consultants:rwx mask::rwx other::--default:user::rwx default:user:consultant1:--default:group::rwx default:group:consultants:rwx default:mask::rwx default:other::--[sysadmin1@servera ~]$ exit logout [student@servera ~]$ 4.6. Cierre sesión en servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab acl-secure finish para terminar este ejercicio. [student@workstation ~]$ lab acl-secure finish Esto concluye el ejercicio guiado. 110 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL Trabajo de laboratorio Control de acceso a archivos con ACL Lista de verificación de rendimiento En esta práctica de laboratorio, configurará un directorio de colaboración para usuarios de dos grupos, combinando el permiso set-GID y las entradas de ACL predeterminadas para proporcionar permisos de acceso correctos. Resultados Usted deberá ser capaz de realizar lo siguiente: • Configure el permiso set-GID en una carpeta, para que se herede la propiedad del grupo en los archivos y las carpetas que tiene dentro. • Configure las entradas de ACL para permitir o denegar los permisos de lectura, escritura o ejecución para usuarios y grupos en archivos y directorios. • Configure la ACL predeterminada para obtener los permisos correctos de ACL y archivos automáticamente en los nuevos archivos y directorios. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab acl-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También crea los usuarios, grupos, directorios y archivos usados en este ejercicio. [student@workstation ~]$ lab acl-review start Una agencia de finanzas e inversiones está configurando un directorio compartido de colaboración para contener archivos de casos, para los cuales los miembros del grupo managers (gerentes) tendrán permisos de lectura y escritura. El cofundador de la agencia, manager1, ha decidido que los miembros del grupo contractors (contratistas) también deben ser capaces de leer y escribir en el directorio compartido. Sin embargo, manager1 no confía en el usuario contractor3 (un miembro del grupo contractors); por ello, el acceso de contractor3 al directorio debe restringirse a solo lectura. manager1 ha creado los usuarios y grupos; además, ha iniciado el proceso de configuración del directorio compartido copiando algunos archivos de plantillas. Como manager1 ha estado demasiado ocupado, le corresponde a usted terminar el trabajo. Su tarea es completar la configuración del directorio compartido. El directorio y todo su contenido deben ser propiedad del grupo managers, y los archivos se deben actualizar para lectura y escritura para el propietario y el grupo (managers). Los otros usuarios no deben tener permisos. También debe proporcionar permisos de lectura y escritura para el grupo contractors, con la excepción de contractor3, quien solo obtiene permisos de lectura. Asegúrese de que su configuración se aplique a archivos existentes y futuros. RH134-RHEL8.2-es-1-20200928 111 capítulo 4 | Control de acceso a archivos con ACL Información importante: • Directorio compartido: /shares/cases en serverb. • Los usuarios manager1 y manager2 son miembros del grupo managers. • Los usuarios contractor1 , contractor2 y contractor3 son miembros del grupo contractors. • Existen dos archivos en el directorio: shortlist.txt y backlog.txt. • Las cinco contraseñas de usuario son redhat. • Todos los cambios deben ocurrir en el directorio /shares/cases y sus archivos; no ajuste el directorio /shares. 1. El directorio cases y su contenido deben pertenecer al grupo managers. Los nuevos archivos agregados en el directorio cases deben pertenecer automáticamente al grupo managers. Los usuarios y grupos propietarios de los archivos existentes deben tener permisos de lectura y escritura; los otros usuarios no deben tener ningún permiso. nota Pista: no use setfacl. 2. Agregue entradas de ACL al directorio cases (y su contenido) que permitan que los miembros del grupo contractors tengan acceso de lectura/escritura a los archivos y permiso de ejecución en el directorio. Restrinja al usuario contractor3 a acceso de lectura a los archivos y permiso de ejecución en el directorio. 3. Agregue entradas de ACL que aseguren que todos los archivos o directorios nuevos del directorio cases tengan los permisos correctos aplicados para todos los grupos y usuarios autorizados. 4. Verifique que haya hecho los cambios en el sistema de archivos y ACL correctamente. Use ls y getfacl para revisar su configuración en /shares/cases. Como el usuario student, use su - user para cambiar primero a manager1 y, luego, a contractor1. Verifique que puede escribir en un archivo, leer desde un archivo, hacer un directorio y escribir en un archivo en el directorio nuevo. Use ls para comprobar los permisos del directorio nuevo y getfacl para revisar las ACL del directorio nuevo. Como el usuario student, use su - contractor3 para cambiar de usuario. Intente escribir en un archivo (debería fallar) e intente hacer un directorio nuevo (debería fallar). Como el usuario contractor3, debe poder leer desde el archivo shortlist.txt en el directorio cases y leer desde los archivos de "prueba" escritos en cualquiera de los directorios nuevos creados por los usuarios manager1 y contractor1. nota El conjunto de pruebas anteriores son algunas de las pruebas que podría realizar para comprobar que los permisos de acceso sean correctos. Debe idear pruebas de validación de acceso adecuadas para su entorno. Evaluación En workstation, ejecute el comando lab acl-review grade para confirmar que ha realizado correctamente este ejercicio. 112 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL [student@workstation ~]$ lab acl-review grade Finalizar En workstation, ejecute el comando lab acl-review finish para terminar este ejercicio. [student@workstation ~]$ lab acl-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 113 capítulo 4 | Control de acceso a archivos con ACL Solución Control de acceso a archivos con ACL Lista de verificación de rendimiento En esta práctica de laboratorio, configurará un directorio de colaboración para usuarios de dos grupos, combinando el permiso set-GID y las entradas de ACL predeterminadas para proporcionar permisos de acceso correctos. Resultados Usted deberá ser capaz de realizar lo siguiente: • Configure el permiso set-GID en una carpeta, para que se herede la propiedad del grupo en los archivos y las carpetas que tiene dentro. • Configure las entradas de ACL para permitir o denegar los permisos de lectura, escritura o ejecución para usuarios y grupos en archivos y directorios. • Configure la ACL predeterminada para obtener los permisos correctos de ACL y archivos automáticamente en los nuevos archivos y directorios. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab acl-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También crea los usuarios, grupos, directorios y archivos usados en este ejercicio. [student@workstation ~]$ lab acl-review start Una agencia de finanzas e inversiones está configurando un directorio compartido de colaboración para contener archivos de casos, para los cuales los miembros del grupo managers (gerentes) tendrán permisos de lectura y escritura. El cofundador de la agencia, manager1, ha decidido que los miembros del grupo contractors (contratistas) también deben ser capaces de leer y escribir en el directorio compartido. Sin embargo, manager1 no confía en el usuario contractor3 (un miembro del grupo contractors); por ello, el acceso de contractor3 al directorio debe restringirse a solo lectura. manager1 ha creado los usuarios y grupos; además, ha iniciado el proceso de configuración del directorio compartido copiando algunos archivos de plantillas. Como manager1 ha estado demasiado ocupado, le corresponde a usted terminar el trabajo. Su tarea es completar la configuración del directorio compartido. El directorio y todo su contenido deben ser propiedad del grupo managers, y los archivos se deben actualizar para lectura y escritura para el propietario y el grupo (managers). Los otros usuarios no deben tener permisos. También debe proporcionar permisos de lectura y escritura para el grupo contractors, con la excepción de contractor3, quien solo obtiene permisos de lectura. Asegúrese de que su configuración se aplique a archivos existentes y futuros. 114 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL Información importante: • Directorio compartido: /shares/cases en serverb. • Los usuarios manager1 y manager2 son miembros del grupo managers. • Los usuarios contractor1 , contractor2 y contractor3 son miembros del grupo contractors. • Existen dos archivos en el directorio: shortlist.txt y backlog.txt. • Las cinco contraseñas de usuario son redhat. • Todos los cambios deben ocurrir en el directorio /shares/cases y sus archivos; no ajuste el directorio /shares. 1. El directorio cases y su contenido deben pertenecer al grupo managers. Los nuevos archivos agregados en el directorio cases deben pertenecer automáticamente al grupo managers. Los usuarios y grupos propietarios de los archivos existentes deben tener permisos de lectura y escritura; los otros usuarios no deben tener ningún permiso. nota Pista: no use setfacl. 1.1. Inicie sesión en serverb como el usuario student. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 1.2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@serverb ~]$ sudo -i [sudo] password for student: student [root@serverb ~]# 1.3. Use el comando chgrp para actualizar recursivamente la propiedad del grupo en el directorio y su contenido. [root@serverb ~]# chgrp -R managers /shares/cases 1.4. Use el comando chmod para actualizar el indicador set-GID en el directorio. [root@serverb ~]# chmod g+s /shares/cases 1.5. Use chmod para actualizar todos los permisos de archivo existentes para rw para el propietario y el grupo. [root@serverb ~]# chmod 660 /shares/cases/* RH134-RHEL8.2-es-1-20200928 115 capítulo 4 | Control de acceso a archivos con ACL Agregue entradas de ACL al directorio cases (y su contenido) que permitan que los miembros del grupo contractors tengan acceso de lectura/escritura a los archivos y permiso de ejecución en el directorio. Restrinja al usuario contractor3 a acceso de lectura a los archivos y permiso de ejecución en el directorio. 2. 2.1. Use setfacl para actualizar recursivamente el directorio cases existente y sus contenidos. Otorgue al grupo contractors permisos de lectura, escritura y ejecución condicional. [root@serverb ~]# setfacl -Rm g:contractors:rwX /shares/cases 2.2. Use setfacl para actualizar recursivamente el directorio cases existente y sus contenidos. Otorgue al usuario contractor3 permisos de lectura y ejecución condicional. [root@serverb ~]# setfacl -Rm u:contractor3:rX /shares/cases 3. Agregue entradas de ACL que aseguren que todos los archivos o directorios nuevos del directorio cases tengan los permisos correctos aplicados para todos los grupos y usuarios autorizados. 3.1. Use setfacl para actualizar los permisos predeterminados para los miembros del grupo contractors. Los permisos predeterminados son de lectura, escritura y ejecución (necesarios para la creación y el acceso adecuados de subdirectorios). [root@serverb ~]# setfacl -m d:g:contractors:rwx /shares/cases 3.2. Use setfacl para actualizar los permisos predeterminados para el usuario contractor3. Los permisos predeterminados son de lectura y ejecución (necesarios para el acceso adecuado a subdirectorios). [root@serverb ~]# setfacl -m d:u:contractor3:rx /shares/cases 4. Verifique que haya hecho los cambios en el sistema de archivos y ACL correctamente. Use ls y getfacl para revisar su configuración en /shares/cases. Como el usuario student, use su - user para cambiar primero a manager1 y, luego, a contractor1. Verifique que puede escribir en un archivo, leer desde un archivo, hacer un directorio y escribir en un archivo en el directorio nuevo. Use ls para comprobar los permisos del directorio nuevo y getfacl para revisar las ACL del directorio nuevo. Como el usuario student, use su - contractor3 para cambiar de usuario. Intente escribir en un archivo (debería fallar) e intente hacer un directorio nuevo (debería fallar). Como el usuario contractor3, debe poder leer desde el archivo shortlist.txt en el directorio cases y leer desde los archivos de "prueba" escritos en cualquiera de los directorios nuevos creados por los usuarios manager1 y contractor1. 4.1. 116 Como el usuario root, use ls para verificar el directorio cases y su contenido. Busque los permisos de propiedad, directorio y archivos. La "s" en los permisos de archivo de grupo indica que el indicador set-GID ya está configurado; el "+" indica que existen entradas de ACL. Al final, salga de la sesión de usuario root. RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL [root@serverb ~]# ls -ld /shares/cases drwxrws---+ 2 root managers 46 Mar 29 00:40 /shares/cases [root@serverb ~]# ls -l /shares/cases total 8 -rw-rw----+ 1 root managers 44 Mar 29 00:33 backlog.txt -rw-rw----+ 1 root managers 46 Mar 29 00:33 shortlist.txt 4.2. Use getfacl y revise su salida. Busque las entradas de usuarios nombrados y grupos nombrados en ACL estándares y predeterminadas. [root@serverb ~]# getfacl /shares/cases # file: shares/cases # owner: root # group: managers # flags: -suser::rwx user:contractor3:r-x group::rwx group:contractors:rwx mask::rwx other::--default:user::rwx default:user:contractor3:r-x default:group::rwx default:group:contractors:rwx default:mask::rwx default:other::--[root@serverb ~]# exit logout 4.3. Cambie al usuario manager1 y realice las siguientes operaciones. Compruebe que obtenga el comportamiento de acceso esperado. [student@serverb ~]$ su - manager1 Password: redhat [manager1@serverb ~]$ cd /shares/cases [manager1@serverb cases]$ echo hello > manager1.txt [manager1@serverb cases]$ cat shortlist.txt ###Shortlist of Clients to call###TEMPLATE### [manager1@serverb cases]$ mkdir manager1.dir [manager1@serverb cases]$ echo hello > manager1.dir/test.txt [manager1@serverb cases]$ ls -ld manager1.dir drwxrws---+ 2 manager1 managers 22 Mar 29 00:59 manager1.dir [manager1@serverb cases]$ ls -l manager1.dir total 4 -rw-rw----+ 1 manager1 managers 6 Mar 29 00:59 test.txt [manager1@serverb cases]$ getfacl manager1.dir # file: manager1.dir/ # owner: manager1 # group: managers # flags: -s- RH134-RHEL8.2-es-1-20200928 117 capítulo 4 | Control de acceso a archivos con ACL user::rwx user:contractor3:r-x group::rwx group:contractors:rwx mask::rwx other::--default:user::rwx default:user:contractor3:r-x default:group::rwx default:group:contractors:rwx default:mask::rwx default:other::--[manager1@serverb cases]$ exit logout 4.4. Cambie al usuario contractor1 y realice las siguientes operaciones. Compruebe que obtenga el comportamiento de acceso esperado. [student@serverb ~]$ su - contractor1 Password: redhat [contractor1@serverb ~]$ cd /shares/cases [contractor1@serverb cases]$ echo hello > manager1.txt [contractor1@serverb cases]$ cat shortlist.txt ###Shortlist of Clients to call###TEMPLATE### [contractor1@serverb cases]$ mkdir contractor1.dir [contractor1@serverb cases]$ echo hello > contractor1.dir/test.txt [contractor1@serverb cases]$ ls -ld contractor1.dir drwxrws---+ 2 contractor1 managers 22 Mar 29 01:05 contractor1.dir [contractor1@serverb cases]$ ls -l contractor1.dir total 4 -rw-rw----+ 1 contractor1 managers 6 Mar 29 01:07 test.txt [manager1@serverb cases]$ getfacl contractor1.dir # file: contractor1.dir/ # owner: contractor1 # group: managers # flags: -suser::rwx user:contractor3:r-x group::rwx group:contractors:rwx mask::rwx other::--default:user::rwx default:user:contractor3:r-x default:group::rwx default:group:contractors:rwx default:mask::rwx default:other::--[contractor1@serverb cases]$ exit logout 118 RH134-RHEL8.2-es-1-20200928 capítulo 4 | Control de acceso a archivos con ACL 4.5. Cambie al usuario contractor3 y realice las siguientes operaciones. Compruebe que obtenga el comportamiento de acceso esperado. [student@serverb ~]# su - contractor3 Password: redhat [contractor3@serverb ~]# cd /shares/cases [contractor3@serverb cases]# echo hello > contractor3.txt -bash: contractor3.txt: Permission denied [contractor3@serverb cases]# cat shortlist.txt ###Shortlist of Clients to call###TEMPLATE### [contractor3@serverb cases]# mkdir contractor3.dir mkdir: cannot create directory ‘contractor3.dir’: Permission denied [contractor3@serverb cases]# cat manager1.dir/test.txt hello [contractor3@serverb cases]# cat contractor1.dir/test.txt hello [contractor3@serverb cases]# exit logout [student@serverb ~]# 4.6. Cierre sesión en serverb [student@serverb ~]# exit logout Connection to serverb closed. [student@workstation ~]$ nota El conjunto de pruebas anteriores son algunas de las pruebas que podría realizar para comprobar que los permisos de acceso sean correctos. Debe idear pruebas de validación de acceso adecuadas para su entorno. Evaluación En workstation, ejecute el comando lab acl-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab acl-review grade Finalizar En workstation, ejecute el comando lab acl-review finish para terminar este ejercicio. [student@workstation ~]$ lab acl-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 119 capítulo 4 | Control de acceso a archivos con ACL Resumen En este capítulo, aprendió lo siguiente: • Las ACL proporcionan control de acceso detallado a archivos y directorios. • Con el comando getfacl, se visualizan las ACL en un archivo o directorio. • El comando setfacl establece, modifica y elimina las ACL predeterminadas y estándares de los archivos y directorios. • Use las ACL predeterminadas para controlar los permisos de archivos y directorios nuevos. • Red Hat Enterprise Linux usa systemd y udev para aplicar ACL predefinidas en dispositivos, carpetas y archivos. 120 RH134-RHEL8.2-es-1-20200928 capítulo 5 Administración de seguridad de SELinux Meta Proteger y administrar la seguridad de un servidor con SELinux. Objetivos • Describir cómo SELinux protege los recursos y cómo seleccionar el modo de cumplimiento. • Configurar el contexto de SELinux de un archivo para controlar la interacción de los procesos con ese archivo. • Configurar los booleanos de SELinux para permitir cambios en la política de tiempo de ejecución para diferentes necesidades de acceso. • Investigar los mensajes de registro de SELinux y solucionar los problemas de denegación de AVC de SELinux. • Cambio del modo de cumplimiento de SELinux (y ejercicio guiado) • Control de contextos de archivo de SELinux (y ejercicio guiado) • Ajuste de la política de SELinux con booleanos (y ejercicio guiado) • Investigación y resolución de problemas de SELinux (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Administración de seguridad de SELinux 121 capítulo 5 | Administración de seguridad de SELinux Cambio del modo de cumplimiento de SELinux Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Explicar la manera en que SELinux protege los recursos. • Modificar el modo actual de SELinux de un sistema. • Configurar el modo predeterminado de SELinux de un sistema Protección de recursos de SELinux SELinux es una característica de seguridad importante de Linux. El acceso a los archivos y otros recursos se controla a un nivel muy granular. Los procesos solo tienen permitido el acceso a los recursos especificados por su política, o bien SELinux parámetros booleanos. Los permisos de archivo controlan qué usuarios o grupos de usuarios pueden acceder a qué archivos específicos. Sin embargo, un usuario con acceso de lectura o escritura a cualquier archivo específico puede usar ese archivo de cualquier manera que el usuario elija, incluso si ese uso no es la forma en que se debe usar el archivo. Por ejemplo, con acceso de escritura a un archivo, ¿un archivo de datos estructurados, diseñado para escribirse y usar un único programa, debería poder ser abierto y modificado por otros editores que podrían resultar en daños? Los permisos de archivo no pueden detener este acceso no deseado. No fueron diseñados para controlar cómo se usa un archivo, sino solo quién tiene permiso para leer, escribir o ejecutar un archivo. SELinux consiste en conjuntos de políticas, definidas por los desarrolladores de la aplicación, que declaran exactamente qué acciones y accesos son adecuados y permitidos para cada ejecutable binario, archivo de configuración y archivo de datos usados por una aplicación. Esto se conoce como política dirigida porque se escribe una política para cubrir las actividades de una sola aplicación. Las políticas declaran etiquetas predefinidas que se colocan en programas, archivos y puertos de red individuales. ¿Por qué usar Security Enhanced Linux? No todos los problemas de seguridad se pueden predecir de antemano. SELinux aplica un conjunto de reglas de acceso que impiden que una debilidad en una aplicación afecte a otras aplicaciones o al sistema subyacente. SELinux proporciona una capa adicional de seguridad; también agrega una capa de complejidad que puede ser desalentadora para las personas que recién empiezan a usar este subsistema. Aprender a trabajar con SELinux puede llevar tiempo, pero la política de cumplimiento significa que una debilidad en una parte del sistema no se extiende a otras partes. Si SELinux funciona mal con un subsistema en particular, puede desactivar la aplicación para ese servicio específico hasta que encuentre una solución al problema subyacente. SELinux tiene tres modos: 122 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux • Enforcing (Cumplimiento): SELinux hace cumplir las reglas de control de acceso. Las computadoras generalmente se ejecutan en este modo. • Permissive (Permisivo): SELinux está activo, pero en lugar de aplicar las reglas de control de acceso, registra advertencias de reglas que se han infringido. Este modo se usa principalmente para pruebas y solución de problemas. • Disabled (Deshabilitado): SELinux está desactivado por completo; no se niegan las infracciones de SELinux, ni siquiera se registran. No se recomienda usarlo. Conceptos básicos de seguridad de SELinux Security Enhanced Linux (SELinux) es una capa adicional de seguridad del sistema. El objetivo principal de SELinux es proteger los datos del usuario de los servicios del sistema que han sido comprometidos. La mayoría de los administradores de Linux están familiarizados con el modelo de seguridad de permisos de usuario/grupo/otro. Este es un modelo basado en usuarios y grupos conocido como control de acceso discrecional. SELinux proporciona un nivel adicional de seguridad que está basado en objetos y controlado por reglas más sofisticadas, conocido como control de acceso obligatorio. Para permitir el acceso anónimo remoto a un servidor web, se deben abrir los puertos de firewall. Sin embargo, esta acción otorga a las personas malintencionadas la oportunidad de comprometer el sistema mediante una vulnerabilidad. Si logran comprometer el proceso del servidor web, obtienen sus permisos. En concreto, los permisos del usuario apache y del grupo apache. Ese usuario y grupo tiene acceso de lectura a la raíz del documento, /var/www/html. También tiene acceso a /tmp y /var/tmp, y cualquier otro archivo y directorio que se pueda escribir en todo el mundo. SELinux es un conjunto de reglas de seguridad que determina qué proceso puede acceder a qué archivos, directorios y puertos. Los archivos, procesos, directorios y puertos tienen etiquetas de seguridad especiales denominadas contextos de SELinux. Un contexto es un nombre que usa la política de SELinux para determinar si un proceso puede o no acceder a un archivo, directorio o puerto. De forma predeterminada, la política no permite ninguna interacción, a menos que una regla explícita otorgue acceso. Si no hay ninguna regla de permiso, no se permite ningún tipo de acceso. Las etiquetas de SELinux tienen varios contextos: user (usuario), role (rol), type (tipo) y sensitivity (sensibilidad). La política de destino, que es la política predeterminada habilitada en Red Hat Enterprise Linux, basa sus reglas en el tercer contexto: el contexto de tipo. Por lo general, los nombres de contexto de tipo finalizan en _t. Figura 5.1: Contexto de archivo de SELinux El contexto de tipo para un servidor web es httpd_t. El contexto de tipo para los archivos y los directorios que generalmente se encuentran en /var/www/html es httpd_sys_content_t. El contexto para los archivos y directorios que normalmente se encuentran en /tmp y /var/tmp es tmp_t. El contexto de tipo para los puertos del servidor web es http_port_t. Apache tiene un contexto de tipo de httpd_t. Hay una regla de política que permite que Apache acceda a archivos y directorios con el contexto de tipo httpd_sys_content_t. De manera predeterminada, los archivos encontrados en /var/www/html y otros directorios del servidor RH134-RHEL8.2-es-1-20200928 123 capítulo 5 | Administración de seguridad de SELinux web tienen el contexto de tipo httpd_sys_content_t. No hay una regla allow (permitir) en la política para los archivos que normalmente se encuentran en /tmp y /var/tmp, de modo que no se permite el acceso. Con SELinux habilitado, un usuario malintencionado que haya comprometido el proceso del servidor web no podría acceder al directorio /tmp. El servidor MariaDB tiene un contexto de tipo de mysqld_t. De manera predeterminada, los archivos encontrados en /data/mysql tienen el contexto de tipo de mysqld_db_t. Este tipo de contexto permite que MariaDB acceda a esos archivos, pero deshabilita el acceso de otros servicios, como el servicio web de Apache. Figura 5.2: Acceso de SELinux Muchos comandos que tienen que ver con archivos usan la opción -Z para mostrar o configurar contextos de SELinux. Por ejemplo, ps, ls, cp y mkdir usan la opción -Z para mostrar o configurar contextos de SELinux. [root@host ~]# ps axZ LABEL PID TTY STAT TIME COMMAND system_u:system_r:init_t:s0 1 ? Ss 0:09 /usr/lib/systemd/... system_u:system_r:kernel_t:s0 2 ? S 0:00 [kthreadd] system_u:system_r:kernel_t:s0 3 ? S 0:00 [ksoftirqd/0] ...output omitted... [root@host ~]# systemctl start httpd [root@host ~]# ps -ZC httpd LABEL PID TTY TIME CMD system_u:system_r:httpd_t:s0 1608 ? 00:00:05 httpd system_u:system_r:httpd_t:s0 1609 ? 00:00:00 httpd ...output omitted... [root@host ~]# ls -Z /home drwx------. root root system_u:object_r:lost_found_t:s0 lost+found drwx------. student student unconfined_u:object_r:user_home_dir_t:s0 student drwx------. visitor visitor unconfined_u:object_r:user_home_dir_t:s0 visitor [root@host ~]# ls -Z /var/www drwxr-xr-x. root root system_u:object_r:httpd_sys_script_exec_t:s0 cgi-bin drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 error drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 html drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 icons Cambio del modo actual de SELinux El subsistema de SELinux proporciona herramientas para mostrar y cambiar los modos. Para determinar el modo actual de SELinux, ejecute el comando getenforce. Para configurar SELinux en un modo diferente, use el comando setenforce: 124 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux [user@host ~]# getenforce Enforcing [user@host ~]# setenforce usage: setenforce [ Enforcing | Permissive | 1 | 0 ] [user@host ~]# setenforce 0 [user@host ~]# getenforce Permissive [user@host ~]# setenforce Enforcing [user@host ~]# getenforce Enforcing Alternativamente, puede establecer el modo de SELinux en el momento del arranque pasando un parámetro al kernel: el argumento del kernel de enforcing=0 arranca el sistema en modo permisivo; un valor de enforcing=1 establece el modo de cumplimiento. También puede desactivar SELinux completamente pasando el parámetro del kernel selinux=0. Un valor de selinux=1 habilita SELinux. Configuración del modo predeterminado de SELinux También puede configurar SELinux de manera persistente con el archivo /etc/selinux/ config. En el siguiente ejemplo (la configuración predeterminada), el archivo de configuración establece SELinux en enforcing. Los comentarios también muestran los otros valores válidos: permissive y disabled. # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take one of these two values: # targeted - Targeted processes are protected, # minimum - Modification of targeted policy. Only selected processes # are protected. # mls - Multi Level Security protection. SELINUXTYPE=targeted El sistema lee este archivo en el momento del arranque y configura SELinux como se muestra. Lo argumentos del kernel (selinux=0|1 y enforcing=0|1) anulan esta configuración. Referencias Páginas del manual: getenforce(8), setenforce(8) y selinux_config(5) RH134-RHEL8.2-es-1-20200928 125 capítulo 5 | Administración de seguridad de SELinux Ejercicio Guiado Cambio del modo de cumplimiento de SELinux En este trabajo de laboratorio, administrará modos de SELinux, tanto de forma temporal como de forma persistente. Resultados Debería ser capaz de ver y configurar el modo de SELinux actual. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab selinux-opsmode start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. [student@workstation ~]$ lab selinux-opsmode start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Cambie el modo predeterminado de SELinux a permisivo y reinicie. 3.1. Use el comando getenforce para verificar que servera está en modo enforcing. [root@servera ~]# getenforce Enforcing 3.2. Use el comando vim para abrir el archivo de configuración /etc/selinux/config. Cambie el parámetro SELINUX de enforcing a permissive. [root@servera ~]# vim /etc/selinux/config 126 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux 3.3. Use el comando grep para confirmar que el parámetro SELINUX se establece en permissive. [root@servera ~]# grep '^SELINUX' /etc/selinux/config SELINUX=permissive SELINUXTYPE=targeted 3.4. Use el comando systemctl reboot para reiniciar servera. [root@servera ~]# systemctl reboot Connection to servera closed by remote host. Connection to servera closed. [student@workstation ~]$ 4. servera tarda unos minutos en reiniciarse. Después de unos minutos, inicie sesión en servera como el usuario student. Use el comando sudo -i para convertirse en root. Visualice el modo de SELinux actual con el comando getenforce. 4.1. En workstation, use el comando ssh para iniciar sesión en servera con el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 4.2. Use el comando sudo -i para convertirse en root. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 4.3. Visualice el modo de SELinux actual con el comando getenforce. [root@servera ~]# getenforce Permissive 5. En el archivo /etc/selinux/config, cambie el modo predeterminado de SELinux a enforcing. Este cambio solo tendrá efecto en el siguiente reinicio. 5.1. Use el comando vim para abrir el archivo de configuración /etc/selinux/config. Vuelva a cambiar SELINUX a enforcing. [root@servera ~]# vim /etc/selinux/config 5.2. Use el comando grep para confirmar que el parámetro SELINUX se establece en enforcing. [root@servera ~]# grep '^SELINUX' /etc/selinux/config SELINUX=enforcing SELINUXTYPE=targeted RH134-RHEL8.2-es-1-20200928 127 capítulo 5 | Administración de seguridad de SELinux 6. Use el comando setenforce para configurar el modo de SELinux actual en enforcing sin reiniciar. Confirme que el modo se ha configurado en enforcing con el comando getenforce. [root@servera ~]# setenforce 1 [root@servera ~]# getenforce Enforcing 7. Salga de servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab selinux-opsmode finish para terminar este ejercicio. [student@workstation ~]$ lab selinux-opsmode finish Esto concluye el ejercicio guiado. 128 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux Control de contextos de archivo de SELinux Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Administrar las reglas de políticas de SELinux que determinan el contexto predeterminado para archivos y directorios con el comando semanage fcontext. • Aplicar el contexto definido por la política de SELinux a archivos y directorios con el comando restorecon. Contexto inicial de SELinux En los sistemas que ejecutan SELinux, todos los procesos y archivos están etiquetados. La etiqueta representa la información relevante de seguridad, conocida como el contexto de SELinux. En general, los nuevos archivos heredan su contexto de SELinux del directorio principal, garantizando así que tengan el contexto adecuado. Sin embargo, este procedimiento de herencia puede verse comprometido de dos maneras diferentes. Primero, si crea un archivo en una ubicación diferente de la ubicación final y, luego, mueve el archivo, este aún tiene el contexto de SELinux del directorio donde se creó, no del directorio de destino. Segundo, si copia un archivo conservando el contexto de SELinux, como con el comando cp -a, el contexto de SELinux refleja la ubicación del archivo original. En el siguiente ejemplo, se demuestran la herencia y sus escollos. Considere estos dos archivos creados en /tmp, uno se movió a /var/www/html y el segundo se copió al mismo directorio. Tenga en cuenta los contextos de SELinux de los archivos. El archivo que se movió al directorio / var/www/html conserva el contexto de archivo para el directorio /tmp. El archivo que se copió al directorio /var/www/html heredó el contexto de SELinux del directorio /var/www/html. El comando ls -Z muestra el contexto de SELinux de un archivo. Tenga en cuenta la etiqueta del archivo. [root@host ~]# ls -Z /var/www/html/index.html -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/ index.html El comando ls -Zd muestra el contexto de SELinux de un directorio: [root@host ~]# ls -Zd /var/www/html/ drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/ Tenga en cuenta que el /var/www/html/index.html tiene la misma etiqueta que el directorio principal /var/www/html/. Ahora, cree archivos fuera del directorio /var/www/html y observe su contexto de archivo: RH134-RHEL8.2-es-1-20200928 129 capítulo 5 | Administración de seguridad de SELinux [root@host ~]# touch /tmp/file1 /tmp/file2 [root@host ~]# ls -Z /tmp/file* unconfined_u:object_r:user_tmp_t:s0 /tmp/file1 unconfined_u:object_r:user_tmp_t:s0 /tmp/file2 Mueva uno de estos archivos al directorio /var/www/html, copie otro, y observe la etiqueta de cada uno: [root@host ~]# mv /tmp/file1 /var/www/html/ [root@host ~]# cp /tmp/file2 /var/www/html/ [root@host ~]# ls -Z /var/www/html/file* unconfined_u:object_r:user_tmp_t:s0 /var/www/html/file1 unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file2 El archivo movido mantiene su etiqueta original, mientras que el archivo copiado hereda la etiqueta del directorio /var/www/html. unconfined_u: es el usuario, object_r: denota el rol y s0 es el nivel. Un nivel de sensibilidad de 0 es el nivel de sensibilidad más bajo posible. Cambio del contexto de SELinux de un archivo Los comandos para cambiar el contexto de SELinux de los archivos incluyen semanage fcontext, restorecon y chcon. El método preferido para establecer el contexto de SELinux para un archivo es declarar el etiquetado predeterminado para un archivo con el comando semanage fcontext y, luego, aplicar ese contexto al archivo con el comando restorecon. Esto asegura que el etiquetado sea el deseado incluso después de haber etiquetado de nuevo todo el sistema de archivos. El comando chcon cambia los contextos de SELinux. chcon establece el contexto de seguridad en el archivo, almacenado en el sistema de archivos. Es útil para pruebas y experimentos. Sin embargo, no guarda los cambios de contexto en la base de datos de contexto de SELinux. Cuando se ejecuta un comando restorecon, los cambios realizados por el comando chcon tampoco se guardan. Además, si se vuelve a etiquetar todo el sistema de archivos, se revierte el contexto de SELinux para los archivos modificados con chcon. En la siguiente pantalla, se muestra un directorio que se está creando. El directorio tiene un valor de tipo de default_t. [root@host ~]# mkdir /virtual [root@host ~]# ls -Zd /virtual drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /virtual El comando chcon cambia el contexto de archivo del directorio /virtual: el valor de tipo cambia a httpd_sys_content_t. [root@host ~]# chcon -t httpd_sys_content_t /virtual [root@host ~]# ls -Zd /virtual drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 /virtual El comando restorecon se ejecuta y el valor de tipo vuelve al valor de default_t. Observe el mensaje Relabeled (reetiquetado). 130 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux [root@host ~]# restorecon -v /virtual Relabeled /virtual from unconfined_u:object_r:httpd_sys_content_t:s0 to unconfined_u:object_r:default_t:s0 [root@host ~]# ls -Zd /virtual drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /virtual Definición de las reglas de contextos de archivos predeterminados de SELinux El comando semanage fcontext muestra o modifica las reglas que usa restorecon para configurar los contextos de archivos predeterminados. Usa expresiones regulares ampliadas para especificar los nombres de archivo y las rutas de acceso. La expresión regular ampliada más frecuente usada en las reglas fcontext es (/.*)?, que significa “como opción, coincidir con un / seguido por una serie de caracteres”. Busca coincidencias con el directorio detallado antes de la expresión y todo lo que contiene ese directorio de forma recursiva. Operaciones básicas de contexto de archivo La siguiente tabla es una referencia para las opciones semanage fcontext para agregar, eliminar o enumerar contextos de archivos de SELinux. Comandos de semanage fcontext opción descripción -a, --add Agregar un registro del tipo de objeto especificado -d, --delete Eliminar un registro del tipo de objeto especificado -l, --list Mostrar registros del tipo de objeto especificado Para asegurarse de tener las herramientas para administrar los contextos de SELinux, instale el paquete policycoreutils y el paquete policycoreutils-python si es necesario. Estos contienen el comando restorecon y el comando semanage, respectivamente. Para asegurarse de que todos los archivos de un directorio tengan el contexto de archivo correcto, ejecute el comando semanage fcontext -l seguido por el comando restorecon. En el siguiente ejemplo, observe el contexto de archivo de cada archivo antes y después de que se ejecuten los comandos semanage y restorecon. [root@host ~]# ls -Z /var/www/html/file* unconfined_u:object_r:user_tmp_t:s0 /var/www/html/file1 unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file2 [root@host ~]# semanage fcontext -l ...output omitted... /var/www(/.*)? all files system_u:object_r:httpd_sys_content_t:s0 ...output omitted... RH134-RHEL8.2-es-1-20200928 131 capítulo 5 | Administración de seguridad de SELinux [root@host; ~]# restorecon -Rv /var/www/ Relabeled /var/www/html/file1 from unconfined_u:object_r:user_tmp_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0 [root@host ~]# ls -Z /var/www/html/file* unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file1 unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/file2 En el siguiente ejemplo, se muestra cómo usar semanage para agregar un contexto para un directorio nuevo. [root@host ~]# mkdir /virtual [root@host ~]# touch /virtual/index.html [root@host ~]# ls -Zd /virtual/ drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /virtual/ [root@host ~]# ls -Z /virtual/ -rw-r--r--. root root unconfined_u:object_r:default_t:s0 index.html [root@host ~]# semanage fcontext -a -t httpd_sys_content_t '/virtual(/.*)?' [root@host ~]# restorecon -RFvv /virtual [root@host ~]# ls -Zd /virtual/ drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /virtual/ [root@host ~]# ls -Z /virtual/ -rw-r--r--. root root system_u:object_r:httpd_sys_content_t:s0 index.html Referencias Páginas del manual: chcon(1), restorecon(8), semanage(8) y semanagefcontext(8) 132 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux Ejercicio Guiado Control de contextos de archivo de SELinux En este trabajo de laboratorio, realizará un cambio persistente en el contexto de SELinux de un directorio y su contenido. Resultados Debe poder configurar el servidor HTTP Apache para publicar contenido web desde una raíz de documento no estándar. Andes De Comenzar Inicie sesión con el usuario student en workstation con la contraseña student. En workstation, ejecute el comando lab selinux-filecontexts start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También instala el servicio httpd y configura el firewall en servera para permitir conexiones http. [student@workstation ~]$ lab selinux-filecontexts start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Configure Apache para usar una root de documento en una ubicación no estándar. 3.1. Cree la nueva root del documento, /custom, con el comando mkdir. [root@servera ~]# mkdir /custom 3.2. Cree el archivo index.html en la raíz del documento /custom con el comando echo. RH134-RHEL8.2-es-1-20200928 133 capítulo 5 | Administración de seguridad de SELinux [root@servera ~]# echo 'This is SERVERA.' > /custom/index.html 3.3. Configure Apache para que use la nueva ubicación de la raíz del documento. Para hacerlo, edite el archivo de configuración de Apache /etc/httpd/conf/ httpd.conf y reemplace las dos apariciones de /var/www/html con /custom. ...output omitted... DocumentRoot "/custom" ...output omitted... <Directory "/custom"> ...output omitted... 4. Inicie y habilite el servicio web Apache y confirme que el servicio se está ejecutando. 4.1. Inicie y habilite el servicio web Apache con el comando systemctl. [root@servera ~]# systemctl enable --now httpd 4.2. Use el comando systemctl para confirmar que el servicio se está ejecutando. [root@servera ~]# systemctl status httpd ● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled) Active: active (running) since Mon 2019-03-25 19:16:48 CET; 15h ago Docs: man:httpd.service(8) Main PID: 6565 (httpd) Status: "Total requests: 16; Idle/Busy workers 100/0;Requests/sec: 0.000285; Bytes served/sec: 0 B/sec" Tasks: 213 (limit: 11406) Memory: 37.3M CGroup: /system.slice/httpd.service ├─6565 /usr/sbin/httpd -DFOREGROUND ├─6566 /usr/sbin/httpd -DFOREGROUND ├─6567 /usr/sbin/httpd -DFOREGROUND ├─6568 /usr/sbin/httpd -DFOREGROUND └─6569 /usr/sbin/httpd -DFOREGROUND Mar 25 19:16:48 servera.lab.example.com systemd[1]: Starting The Apache HTTP Server... Mar 25 19:16:48 servera.lab.example.com httpd[6565]: Server configured, listening on: port 80 Mar 25 19:16:48 servera.lab.example.com systemd[1]: Started The Apache HTTP Server. 5. Abra un navegador web en workstation e intente ver http://servera/index.html. Recibirá un mensaje de error que dice que no tiene permiso para acceder al archivo. 6. Para permitir el acceso al archivo index.html en servera, SELinux debe estar configurado. Defina una regla de contextos de archivos de SELinux que establezca el tipo 134 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux de contexto en httpd_sys_content_t para el directorio /custom y todos los archivos debajo de este. [root@servera ~]# semanage fcontext -a \ -t httpd_sys_content_t '/custom(/.*)?' 7. Use el comando restorecon para cambiar los contextos de archivos. [root@servera ~]# restorecon -Rv /custom Relabeled /custom from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0 Relabeled /custom/index.html from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0 8. Intente ver http://servera/index.html nuevamente. Debería ver el mensaje This is SERVERA. (Este es SERVERA). 9. Salga de servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab selinux-filecontexts finish para terminar este ejercicio. [student@workstation ~]$ lab selinux-filecontexts finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 135 capítulo 5 | Administración de seguridad de SELinux Ajuste de la política de SELinux con booleanos Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Activar y desactivar las reglas de políticas de SELinux con setsebool. • Administrar el valor persistente de los booleanos SELinux con el comando semanage boolean -l. • Consultar las páginas del manual que finalizan con _selinux para encontrar información útil sobre los booleanos de SELinux. Booleanos de SELinux Los booleanos de SELinux son opciones que modifican el comportamiento de la política de SELinux. Los booleanos de SELinux son reglas que pueden habilitarse o deshabilitarse. Los administradores de seguridad pueden usarlos para realizar ajustes selectivos en la política. Las páginas del manual de SELinux, provistas con el paquete selinux-policy-doc, describen el propósito de los booleanos disponibles. El comando man -k '_selinux' enumera estas páginas del manual. Los comandos útiles para la gestión de booleanos de SELinux incluyen getsebool, que enumera los booleanos y su estado, y setsebool, que modifica los booleanos. setsebool -P modifica la política de SELinux para hacer la modificación persistente. semanage boolean -l informa si un booleano es persistente o no, junto con una breve descripción del booleano. Los usuarios no privilegiados pueden ejecutar el comando getsebool, pero solo los superusuarios pueden ejecutar semanage boolean -l y setsebool -P. [user@host ~]$ getsebool -a abrt_anon_write --> off abrt_handle_event --> off abrt_upload_watch_anon_write --> on antivirus_can_scan_system --> off antivirus_use_jit --> off ...output omitted... [user@host ~]$ getsebool httpd_enable_homedirs httpd_enable_homedirs --> off [user@host ~]$ setsebool httpd_enable_homedirs on Could not change active booleans. Please try as root: Permission denied [user@host ~]$ sudo setsebool httpd_enable_homedirs on [user@host ~]$ sudo semanage boolean -l | grep httpd_enable_homedirs httpd_enable_homedirs (on , off) Allow httpd to enable homedirs [user@host ~]$ getsebool httpd_enable_homedirs httpd_enable_homedirs --> on 136 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux La opción -P escribe todos los valores pendientes en la política, haciéndolos persistentes en los reinicios. En el ejemplo que sigue, tenga en cuenta los valores entre paréntesis: ambos ahora están configurados en on (activado). [user@host ~]$ setsebool -P httpd_enable_homedirs on [user@host ~]$ sudo semanage boolean -l | grep httpd_enable_homedirs httpd_enable_homedirs (on , on) Allow httpd to enable homedirs Para enumerar los valores booleanos en los que el estado actual difiere del estado predeterminado, ejecute semanage boolean -l -C. [user@host ~]$ sudo semanage boolean -l -C SELinux boolean State Default Description cron_can_relabel (off , on) Allow cron to can relabel Referencias Páginas del manual: booleans(8), getsebool(8), setsebool(8), semanage(8), semanage-boolean(8) RH134-RHEL8.2-es-1-20200928 137 capítulo 5 | Administración de seguridad de SELinux Ejercicio Guiado Ajuste de la política de SELinux con booleanos Apache puede publicar contenido web alojado en los directorios de inicio de los usuarios, pero SELinux lo impide de forma predeterminada. En este ejercicio, identificará y cambiará el booleano de SELinux que permite a Apache acceder a los directorios de inicio de los usuarios. Resultados Debe poder configurar Apache para publicar contenido web desde los directorios de inicio de los usuarios. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab selinux-booleans start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También instala el servicio httpd y configura el firewall en servera para permitir conexiones http. [student@workstation ~]$ lab selinux-booleans start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. 138 Para habilitar la función Apache que permite que los usuarios publiquen contenido web desde sus directorios de inicio, debe editar el archivo de configuración /etc/httpd/ conf.d/userdir.conf. Comente la línea que establece UserDir en disabled (desactivado) y quite el comentario de la línea que establece UserDir en public_html. RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux [root@servera ~]# vim /etc/httpd/conf.d/userdir.conf #UserDir disabled UserDir public_html 4. Use el comando grep para confirmar los cambios. [root@servera ~]# grep '#UserDir' /etc/httpd/conf.d/userdir.conf #UserDir disabled [root@servera ~]# grep '^ *UserDir' /etc/httpd/conf.d/userdir.conf UserDir public_html 5. Inicie y habilite el servicio web Apache para que tengan efecto los cambios realizados. [root@servera ~]# systemctl enable --now httpd 6. En otra ventana de terminal inicie sesión como student. SSH en servera. Cree algo de contenido web que sea publicado desde un directorio de inicio de los usuarios. 6.1. En otra ventana de terminal inicie sesión como student. Use el comando ssh para iniciar sesión en servera como el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 6.2. Use el comando mkdir para crear un directorio denominado ~/public_html. [student@servera ~]$ mkdir ~/public_html 6.3. Cree el archivo index.html con el siguiente contenido: [student@servera ~]$ echo 'This is student content on SERVERA.' > \ ~/public_html/index.html 6.4. Use el comando chmod para cambiar los permisos en el directorio de inicio de student de modo que Apache pueda acceder al subdirectorio public_html. [student@servera ~]$ chmod 711 ~ 7. Abra un navegador web en workstation e intente ver la siguiente URL: http:// servera/~student/index.html. Recibe un mensaje de error que dice que no tiene permiso para acceder al archivo. 8. En la ventana de terminal con acceso root, use el comando getsebool para ver si hay booleanos que restrinjan el acceso a los directorios de inicio. RH134-RHEL8.2-es-1-20200928 139 capítulo 5 | Administración de seguridad de SELinux [root@servera ~]# getsebool -a | grep home ...output omitted... httpd_enable_homedirs --> off ...output omitted... 9. En la ventana de terminal con acceso root, use el comando setsebool para habilitar el acceso al directorio de inicio de forma persistente. [root@servera ~]# setsebool -P httpd_enable_homedirs on 10. Intente ver http://servera/~student/index.html nuevamente. Debe ver el mensaje: This is student content on SERVERA. (Este es contenido de student en SERVERA). 11. Salga de servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab selinux-booleans finish para terminar este ejercicio. [student@workstation ~]$ lab selinux-booleans finish Esto concluye el ejercicio guiado. 140 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux Investigación y resolución de problemas de SELinux Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Usar las herramientas de análisis de registros de SELinux. • Visualizar información útil durante la resolución de problemas de SELinux con el comando sealert. Solución de problemas de SELinux Es importante comprender qué acciones debe tomar cuando SELinux impide el acceso a los archivos en un servidor que debe ser accesible. Use los siguientes pasos como guía para solucionar estos problemas: 1. Antes de pensar en hacer ajustes, considere que SELinux puede estar haciendo este trabajo correctamente al prohibir el intento de acceso. Si un servidor web intenta acceder a archivos en /home, esto podría indicar un riesgo para el servicio si el contenido web no es publicado por usuarios. Si el acceso debería haberse otorgado, es necesario realizar pasos adicionales para solucionar el problema. 2. El problema más frecuente de SELinux es un contexto de archivos incorrecto. Esto puede ocurrir cuando un archivo se crea en una ubicación con un contexto de archivos y se traslada a una ubicación donde se espera un contexto diferente. En la mayoría de los casos, la ejecución de restorecon corregirá el problema. Corregir los problemas de este modo tiene poco impacto en la seguridad del resto del sistema. 3. Otra solución para un acceso demasiado restrictivo podría ser el ajuste de un booleano. Por ejemplo, el booleano ftpd_anon_write controla si usuarios del FTP anónimos pueden cargar archivos. Debe activar este booleano para permitir que los usuarios anónimos de FTP carguen archivos en un servidor. El ajuste de booleanos requiere más cuidado porque estos pueden tener un amplio impacto en la seguridad del sistema. 4. Es posible que la política de SELinux tenga un error que impida un acceso legítimo. Debido a que SELinux se ha consolidado, es poco común que esto ocurra. Cuando está claro que se ha identificado un error en la política, comuníquese con el soporte de Red Hat para informar el error de modo que se pueda resolver. Monitoreo de las violaciones de SELinux Instale el paquete setroubleshoot-server para enviar mensajes de SELinux a /var/log/ messages. setroubleshoot-server escucha mensajes de auditoría en /var/log/ audit/audit.log y envía un breve resumen a /var/log/messages. Este resumen incluye identificadores únicos (UUID) para violaciones de SELinux que se pueden usar para reunir más información. El comando sealert -l UUID se usa para generar un informe para un incidente específico. Use sealert -a /var/log/audit/audit.log para generar informes para todos los incidentes en ese archivo. Considere el siguiente ejemplo de secuencia de comandos en un servidor web Apache estándar: RH134-RHEL8.2-es-1-20200928 141 capítulo 5 | Administración de seguridad de SELinux [root@host ~]# touch /root/file3 [root@host ~]# mv /root/file3 /var/www/html [root@host ~]# systemctl start httpd [root@host ~]# curl http://localhost/file3 <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access /file3 on this server.</p> </body></html> Se espera que el servidor web envíe el contenido de file3, pero en cambio, devuelve un error de permission denied (Permiso denegado). Si se inspeccionan /var/log/audit/audit.log y /var/log/messages, se puede obtener más información sobre este error. [root@host ~]# tail /var/log/audit/audit.log ...output omitted... type=AVC msg=audit(1392944135.482:429): avc: denied { getattr } for pid=1609 comm="httpd" path="/var/www/html/file3" dev="vda1" ino=8980981 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file ...output omitted... [root@host ~]# tail /var/log/messages ...output omitted... Feb 20 19:55:42 host setroubleshoot: SELinux is preventing /usr/sbin/httpd from getattr access on the file . For complete SELinux messages. run sealert -l 613ca624-248d-48a2-a7d9-d28f5bbe2763 Ambos archivos de registro indican que el motivo del error es una denegación de SELinux. El comando sealert que es parte de la salida de /var/log/messages proporciona más información, que incluye una posible corrección. [root@host ~]# sealert -l 613ca624-248d-48a2-a7d9-d28f5bbe2763 SELinux is preventing /usr/sbin/httpd from getattr access on the file . ***** Plugin catchall (100. confidence) suggests ************************** If you believe that httpd should be allowed getattr access on the file by default. Then you should report this as a bug. You can generate a local policy module to allow this access. Do allow this access for now by executing: # grep httpd /var/log/audit/audit.log | audit2allow -M mypol # semodule -i mypol.pp Additional Information: Source Context Target Context Target Objects 142 system_u:system_r:httpd_t:s0 unconfined_u:object_r:admin_home_t:s0 [ file ] RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux Source Source Path Port Host Source RPM Packages Target RPM Packages Policy RPM Selinux Enabled Policy Type Enforcing Mode Host Name Platform Alert Count First Seen Last Seen Local ID httpd /usr/sbin/httpd <Unknown> servera httpd-2.4.6-14.el7.x86_64 selinux-policy-3.12.1-124.el7.noarch True targeted Enforcing servera Linux servera 3.10.0-84.el7.x86_64 #1 SMP Tue Feb 4 16:28:19 EST 2014 x86_64 x86_64 2 2014-02-20 19:55:35 EST 2014-02-20 19:55:35 EST 613ca624-248d-48a2-a7d9-d28f5bbe2763 Raw Audit Messages type=AVC msg=audit(1392944135.482:429): avc: denied { getattr } for pid=1609 comm="httpd" path="/var/www/html/file3" dev="vda1" ino=8980981 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:admin_home_t:s0 tclass=file type=SYSCALL msg=audit(1392944135.482:429): arch=x86_64 syscall=lstat success=no exit=EACCES a0=7f9fed0edea8 a1=7fff7bffc770 a2=7fff7bffc770 a3=0 items=0 ppid=1608 pid=1609 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm=httpd exe=/usr/sbin/httpd subj=system_u:system_r:httpd_t:s0 key=(null) Hash: httpd,httpd_t,admin_home_t,file,getattr nota La sección Raw Audit Messages (Mensajes de auditoría sin formato) revela el archivo de destino que presenta el problema, /var/www/html/file3. Además, el contexto objetivo, tcontext, no parece pertenecer a un servidor web. Use el comando restorecon /var/www/html/file3 para corregir el contexto de archivos. Si deben ajustarse otros archivos, restorecon puede restablecer de forma recursiva el contexto: restorecon -R /var/www/. La sección Raw Audit Messages (Mensajes de auditoría en bruto) del comando sealert contiene información de /var/log/audit.log. Para buscar el archivo /var/log/audit.log, use el comando ausearch. La opción -m busca en el tipo de mensaje. La opción -ts busca en función del tiempo. RH134-RHEL8.2-es-1-20200928 143 capítulo 5 | Administración de seguridad de SELinux [root@host ~]# ausearch -m AVC -ts recent ---time->Tue Apr 9 13:13:07 2019 type=PROCTITLE msg=audit(1554808387.778:4002): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44 type=SYSCALL msg=audit(1554808387.778:4002): arch=c000003e syscall=49 success=no exit=-13 a0=3 a1=55620b8c9280 a2=10 a3=7ffed967661c items=0 ppid=1 pid=9340 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(1554808387.778:4002): avc: denied { name_bind } for pid=9340 comm="httpd" src=82 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 Consola web Si la Consola web está instalada, también se puede usar para solucionar problemas de SELinux. Inicie sesión en la Consola Web y seleccione SELinux en el menú de la izquierda. La ventana SELinux Policy (Política de SELinux) le informa del estado de cumplimiento actual. Cualquier problema se detalla en la sección SELinux Access Control Errors (Errores de control de acceso de SELinux). Figura 5.3: Política de SELinux en la consola web Haga clic en el carácter > para mostrar los detalles del error. Haga clic en solution details (detalles de la solución) para mostrar todos los detalles y la posible solución. Figura 5.4: Solución de política de SELinux en la consola web Una vez resuelto el problema, la sección SELinux Access Control Errors ya no debería mostrar el error. Si aparece el mensaje No SELinux alerts (No hay alertas de SELinux), se han corregido todos los problemas. 144 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux Figura 5.5: No hay alertas de SELinux en la consola web Referencias Página del manual: sealert(8) RH134-RHEL8.2-es-1-20200928 145 capítulo 5 | Administración de seguridad de SELinux Ejercicio Guiado Investigación y resolución de problemas de SELinux En este trabajo de laboratorio, aprenderá cómo solucionar problemas de denegaciones por seguridad de SELinux. Resultados Podrá obtener algo de experiencia en el uso de herramientas de solución de problemas de SELinux. Andes De Comenzar Inicie sesión con el usuario student en workstation con la contraseña student. En workstation, ejecute el comando lab selinux-issues start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. Instala el servicio httpd, configura el firewall en servera para permitir conexiones HTTP y elimina el contexto de SELinux del directorio /custom. [student@workstation ~]$ lab selinux-issues start 1. Abra un navegador web en workstation e intente ver http://servera/index.html. Recibirá un mensaje de error que dice que no tiene permiso para acceder al archivo. 2. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 3. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 4. Con el comando less, vea el contenido de /var/log/messages. Use la tecla / para buscar sealert. Copie el comando sugerido sealert para que pueda usarse en el siguiente paso. Use la tecla q para salir del comando less. 146 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux [root@servera ~]# less /var/log/messages ...output omitted... Mar 28 06:07:03 servera setroubleshoot[15326]: SELinux is preventing /usr/sbin/ httpd from getattr access on the file /custom/index.html. For complete SELinux messages run: sealert -l b1c9cc8f-a953-4625-b79b-82c4f4f1fee3 Mar 28 06:07:03 servera platform-python[15326]: SELinux is preventing /usr/sbin/ httpd from getattr access on the file /custom/index.html.#012#012***** Plugin catchall (100. confidence) suggests **************************#012#012If you believe that httpd should be allowed getattr access on the index.html file by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing:#012# ausearch -c 'httpd' --raw | audit2allow -M my-httpd#012# semodule -X 300 -i my-httpd.pp#012 Mar 28 06:07:04 servera setroubleshoot[15326]: failed to retrieve rpm info for / custom/index.html ...output omitted... 5. Ejecute el comando sugerido sealert. Tenga en cuenta el contexto de origen, los objetos de destino, la política y el modo de cumplimiento. [root@servera ~]# sealert -l b1c9cc8f-a953-4625-b79b-82c4f4f1fee3 SELinux is preventing /usr/sbin/httpd from getattr access on the file /custom/ index.html. ***** Plugin catchall (100. confidence) suggests ************************** If you believe that httpd should be allowed getattr access on the index.html file by default. Then you should report this as a bug. You can generate a local policy module to allow this access. Do allow this access for now by executing: # ausearch -c 'httpd' --raw | audit2allow -M my-httpd # semodule -X 300 -i my-httpd.pp Additional Information: Source Context Target Context Target Objects Source Source Path Port Host Source RPM Packages Target RPM Packages Policy RPM Selinux Enabled Policy Type Enforcing Mode Host Name Platform RH134-RHEL8.2-es-1-20200928 system_u:system_r:httpd_t:s0 unconfined_u:object_r:default_t:s0 /custom/index.html [ file ] httpd /usr/sbin/httpd <Unknown> servera.lab.example.com selinux-policy-3.14.1-59.el8.noarch True targeted Enforcing servera.lab.example.com Linux servera.lab.example.com 4.18.0-67.el8.x86_64 #1 SMP Sat Feb 9 12:44:00 147 capítulo 5 | Administración de seguridad de SELinux Alert Count First Seen Last Seen Local ID UTC 2019 x86_64 x86_64 18 2019-03-25 19:25:28 CET 2019-03-28 11:07:00 CET b1c9cc8f-a953-4625-b79b-82c4f4f1fee3 Raw Audit Messages type=AVC msg=audit(1553767620.970:16958): avc: denied { getattr } for pid=15067 comm="httpd" path="/custom/index.html" dev="vda1" ino=4208311 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=0 Hash: httpd,httpd_t,default_t,file,getattr 6. La sección Raw Audit Messages (Mensajes de auditoría en bruto) del comando sealert contiene información de /var/log/audit/audit.log. Use el comando ausearch para buscar el archivo /var/log/audit/audit.log. La opción -m busca en el tipo de mensaje. La opción -ts busca en función del tiempo. Esta entrada identifica el proceso relevante y el archivo que causa la alerta. El proceso es el servidor web Apache httpd, el archivo es /custom/index.html y el contexto es system_r:httpd_t. [root@servera ~]# ausearch -m AVC -ts recent ---time->Thu Mar 28 13:39:30 2019 type=PROCTITLE msg=audit(1553776770.651:17000): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44 type=SYSCALL msg=audit(1553776770.651:17000): arch=c000003e syscall=257 success=no exit=-13 a0=ffffff9c a1=7f8db803f598 a2=80000 a3=0 items=0 ppid=15063 pid=15065 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(1553776770.651:17000): avc: denied { open } for pid=15065 comm="httpd" path="/custom/index.html" dev="vda1" ino=4208311 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=0 7. Para resolver el problema, use los comandos semanage y restorecon. El contexto que se debe administrar es httpd_sys_content_t . [root@servera ~]# semanage fcontext -a \ -t httpd_sys_content_t '/custom(/.*)?' [root@servera ~]# restorecon -Rv /custom Relabeled /custom from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0 Relabeled /custom/index.html from unconfined_u:object_r:default_t:s0 to unconfined_u:object_r:httpd_sys_content_t:s0 8. Intente ver http://servera/index.html nuevamente. Debería ver el mensaje This is SERVERA. (Este es SERVERA). 148 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux 9. Salga de servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab selinux-issues finish para terminar este ejercicio. [student@workstation ~]$ lab selinux-issues finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 149 capítulo 5 | Administración de seguridad de SELinux Trabajo de laboratorio Administración de seguridad de SELinux Lista de verificación de rendimiento En este trabajo de laboratorio, solucionará un problema de denegación de acceso de SELinux. Los administradores de sistemas tienen problemas para obtener un nuevo servidor web para proporcionar contenido a clientes cuando SELinux está en modo de cumplimiento. Resultados Usted deberá ser capaz de realizar lo siguiente: • Identificar problemas en los archivos de registro del sistema. • Ajustar la configuración de SELinux. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab selinux-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También instala el servidor httpd Apache, crea un nuevo DocumentRoot para Apache y actualiza el archivo de configuración. [student@workstation ~]$ lab selinux-review start 1. Inicie sesión en serverb como el usuario root. 2. Inicie un navegador web en workstation y diríjase a http://serverb/lab.html. Verá el mensaje de error: You do not have permission to access /lab.html on this server (No tiene permiso para acceder a /lab.html en este servidor). 3. Investigue e identifique el problema de SELinux que impide que Apache proporcione el contenido web. 4. Muestre el contexto de SELinux de la nueva raíz de documentos HTTP y la raíz de documentos HTTP original. Resuelva el problema de SELinux que impide que Apache proporcione el contenido web. 5. Verifique que el problema de SELinux se haya resuelto y que Apache pueda proporcionar contenido web. 6. Salga de serverb. Evaluación En workstation, ejecute el script lab selinux-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab selinux-review grade 150 RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux Finalizar En workstation, ejecute el script lab selinux-review finish para terminar el trabajo de laboratorio. [student@workstation ~]$ lab selinux-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 151 capítulo 5 | Administración de seguridad de SELinux Solución Administración de seguridad de SELinux Lista de verificación de rendimiento En este trabajo de laboratorio, solucionará un problema de denegación de acceso de SELinux. Los administradores de sistemas tienen problemas para obtener un nuevo servidor web para proporcionar contenido a clientes cuando SELinux está en modo de cumplimiento. Resultados Usted deberá ser capaz de realizar lo siguiente: • Identificar problemas en los archivos de registro del sistema. • Ajustar la configuración de SELinux. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab selinux-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También instala el servidor httpd Apache, crea un nuevo DocumentRoot para Apache y actualiza el archivo de configuración. [student@workstation ~]$ lab selinux-review start Inicie sesión en serverb como el usuario root. 1. 1.1. Use el comando ssh para iniciar sesión en serverb como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 1.2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@serverb ~]$ sudo -i [sudo] password for student: student [root@serverb ~]# 2. 152 Inicie un navegador web en workstation y diríjase a http://serverb/lab.html. Verá el mensaje de error: You do not have permission to access /lab.html on this server (No tiene permiso para acceder a /lab.html en este servidor). RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux 3. Investigue e identifique el problema de SELinux que impide que Apache proporcione el contenido web. 3.1. Con el comando less, vea el contenido de /var/log/messages. Use la tecla / para buscar sealert. Use la tecla q para salir del comando less. [root@serverb ~]# less /var/log/messages Mar 28 10:19:51 serverb setroubleshoot[27387]: SELinux is preventing /usr/sbin/ httpd from getattr access on the file /lab-content/lab.html. For complete SELinux messages run: sealert -l 8824e73d-3ab0-4caf-8258-86e8792fee2d Mar 28 10:19:51 serverb platform-python[27387]: SELinux is preventing /usr/sbin/ httpd from getattr access on the file /lab-content/lab.html.#012#012***** Plugin catchall (100. confidence) suggests **************************#012#012If you believe that httpd should be allowed getattr access on the lab.html file by default.#012Then you should report this as a bug.#012You can generate a local policy module to allow this access.#012Do#012allow this access for now by executing:#012# ausearch -c 'httpd' --raw | audit2allow -M my-httpd#012# semodule -X 300 -i my-httpd.pp#012 3.2. Ejecute el comando sugerido sealert. Tenga en cuenta el contexto de origen, los objetos de destino, la política y el modo de cumplimiento. [root@serverb ~]# sealert -l 8824e73d-3ab0-4caf-8258-86e8792fee2d SELinux is preventing /usr/sbin/httpd from getattr access on the file /labcontent/lab.html. ***** Plugin catchall (100. confidence) suggests ************************** If you believe that httpd should be allowed getattr access on the lab.html file by default. Then you should report this as a bug. You can generate a local policy module to allow this access. Do allow this access for now by executing: # ausearch -c 'httpd' --raw | audit2allow -M my-httpd # semodule -X 300 -i my-httpd.pp Additional Information: Source Context Target Context Target Objects Source Source Path Port Host Source RPM Packages Target RPM Packages Policy RPM Selinux Enabled Policy Type Enforcing Mode Host Name Platform RH134-RHEL8.2-es-1-20200928 system_u:system_r:httpd_t:s0 unconfined_u:object_r:default_t:s0 /lab-content/lab.html [ file ] httpd /usr/sbin/httpd <Unknown> serverb.lab.example.com selinux-policy-3.14.1-59.el8.noarch True targeted Enforcing serverb.lab.example.com Linux serverb.lab.example.com 153 capítulo 5 | Administración de seguridad de SELinux Alert Count First Seen Last Seen Local ID 4.18.0-67.el8.x86_64 #1 SMP Sat Feb 9 12:44:00 UTC 2019 x86_64 x86_64 2 2019-03-28 15:19:46 CET 2019-03-28 15:19:46 CET 8824e73d-3ab0-4caf-8258-86e8792fee2d Raw Audit Messages type=AVC msg=audit(1553782786.213:864): avc: denied { getattr } for pid=15606 comm="httpd" path="/lab-content/lab.html" dev="vda1" ino=8763212 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=0 Hash: httpd,httpd_t,default_t,file,getattr 3.3. La sección Raw Audit Messages (Mensajes de auditoría en bruto) del comando sealert contiene información de /var/log/audit/audit.log. Use el comando ausearch para buscar el archivo /var/log/audit/audit.log. La opción -m busca en el tipo de mensaje. La opción ts busca en función del tiempo. Esta entrada identifica el proceso relevante y el archivo que causa la alerta. El proceso es el servidor web Apache httpd, el archivo es /lab-content/lab.html y el contexto es system_r:httpd_t. [root@serverb ~]# ausearch -m AVC -ts recent time->Thu Mar 28 15:19:46 2019 type=PROCTITLE msg=audit(1553782786.213:864): proctitle=2F7573722F7362696E2F6874747064002D44464F524547524F554E44 type=SYSCALL msg=audit(1553782786.213:864): arch=c000003e syscall=6 success=no exit=-13 a0=7fb900004930 a1=7fb92dfca8e0 a2=7fb92dfca8e0 a3=1 items=0 ppid=15491 pid=15606 auid=4294967295 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=4294967295 comm="httpd" exe="/usr/sbin/httpd" subj=system_u:system_r:httpd_t:s0 key=(null) type=AVC msg=audit(1553782786.213:864): avc: denied { getattr } for pid=15606 comm="httpd" path="/lab-content/lab.html" dev="vda1" ino=8763212 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:default_t:s0 tclass=file permissive=0 4. Muestre el contexto de SELinux de la nueva raíz de documentos HTTP y la raíz de documentos HTTP original. Resuelva el problema de SELinux que impide que Apache proporcione el contenido web. 4.1. Use ls-dZ para comparar la raíz del documento de /lab-content y /var/www/ html. [root@serverb ~]# ls -dZ /lab-content /var/www/html unconfined_u:object_r:default_t:s0 /lab-content/ system_u:object_r:httpd_sys_content_t:s0 /var/www/html/ 4.2. 154 Cree una regla de contextos de archivos que establezca el tipo predeterminado en httpd_sys_content_ para /lab-content y todos los archivos debajo de este. RH134-RHEL8.2-es-1-20200928 capítulo 5 | Administración de seguridad de SELinux [root@serverb ~]# semanage fcontext -a \ -t httpd_sys_content_t '/lab-content(/.*)?' 4.3. Use el comando restorecon para establecer el contexto de SELinux para los archivos en /lab-content. [root@serverb ~]# restorecon -R /lab-content/ 5. Verifique que el problema de SELinux se haya resuelto y que Apache pueda proporcionar contenido web. Use su navegador web para actualizar el enlace http://serverb/lab.html. Ahora debería ver algo de contenido web. This is the html file for the SELinux final lab on SERVERB. 6. Salga de serverb. [root@serverb ~]# exit logout [student@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ Evaluación En workstation, ejecute el script lab selinux-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab selinux-review grade Finalizar En workstation, ejecute el script lab selinux-review finish para terminar el trabajo de laboratorio. [student@workstation ~]$ lab selinux-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 155 capítulo 5 | Administración de seguridad de SELinux Resumen En este capítulo, aprendió lo siguiente: • Los comandos getenforce y setenforce se usan para administrar el modo de SELinux de un sistema. • El comando semanage se usa para administrar las reglas de políticas de SELinux. El comando restorecon aplica el contexto definido por la política. • Los booleanos son opciones que modifican el comportamiento de la política de SELinux. Se pueden habilitar o deshabilitar, y se usan para ajustar la política. • El comando sealert muestra información útil que ayuda con la solución de problemas de SELinux. 156 RH134-RHEL8.2-es-1-20200928 capítulo 6 Administración de almacenamiento básico Meta Crear y administrar dispositivos de almacenamiento, particiones, sistemas de archivos y espacios de intercambio desde la línea de comandos. Objetivos • Crear particiones de almacenamiento, formatearlas con sistemas de archivos y montarlas para su uso. • Crear y administrar espacios de intercambio para complementar la memoria física. • Adición de particiones, sistemas de archivos y montajes persistentes (y ejercicio guiado) • Administración de espacio de intercambio (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Administración de almacenamiento básico 157 capítulo 6 | Administración de almacenamiento básico Adición de particiones, sistemas de archivos y montajes persistentes Objetivos Tras completar esta sección, debería ser capaz de crear particiones de almacenamiento, formatearlas con sistemas de archivos y montarlas para su uso. Partición de un disco La partición de discos permite a los administradores de sistemas dividir un disco duro en varias unidades de almacenamiento lógico denominadas particiones. Al separar un disco en particiones, los administradores de sistemas pueden usar diferentes particiones para realizar diferentes funciones. Por ejemplo, la partición de discos es necesaria o beneficiosa en las siguientes situaciones: • Limitar espacio disponible para aplicaciones o usuarios. • Separar archivos de programa y de sistemas operativos de archivos de usuarios. • Crear un área separada para el intercambio de memoria. • Limitar el uso de espacio en disco para mejorar el rendimiento de herramientas de diagnóstico e imágenes de copia de seguridad. Esquema de partición MBR Desde 1982, el esquema de particiones Master Boot Record (MBR) ha indicado cómo los discos se deben particionar en sistemas que ejecutan firmware de BIOS. Este esquema admite un máximo de cuatro particiones primarias. En sistemas Linux, con el uso de particiones ampliadas y lógicas, los administradores pueden crear un máximo de 15 unidades. Dado que los datos del tamaño de la partición se almacenan como valores de 32 bits, los discos particionados con el esquema MBR tienen un tamaño de disco y partición máximo de 2 TiB. Figura 6.1: Particiones MBR del dispositivo de almacenamiento /dev/vdb Dado que los discos físicos son cada vez más grandes, y volúmenes basados en SAN aún más grandes, el límite de tamaño de la partición y del disco de 2 TiB del esquema de partición MBR ya no es un límite teórico, sino más bien un problema del mundo real que los administradores de sistemas encuentran cada vez más frecuentemente en los entornos de producción. Como consecuencia, el esquema MBR heredado está en proceso de ser sustituido por el nuevo esquema GUID Partition Table (GPT) para la partición de disco. 158 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico Esquema de partición GPT Para sistemas que ejecutan firmware Unified Extensible Firmware Interface (UEFI), GPT es el estándar para el diseño de tablas de partición en discos duros físicos. GPT es parte del estándar UEFI y aborda muchas de las limitaciones que impone el antiguo esquema basado en MBR. Un GPT proporciona un máximo de 128 particiones. A diferencia de MBR, que usa 32 bits para almacenar información de tamaño y direcciones en bloques lógicos, un GPT asigna 64 bits para direcciones en bloques lógicos. Esto permite que GPT incluya particiones y discos de hasta ocho zebibyte (ZiB), u 8 mil millones de tebibytes. Además de abordar las limitaciones del esquema de partición MBR, GPT también ofrece algunas funciones y beneficios adicionales. Un GPT usa un identificador único global (GUID) para identificar cada disco y partición. En contraste con MBR, que tiene un único punto de error, GPT ofrece redundancia de la información de su tabla de particiones. El GPT primario reside en el cabezal del disco, mientras que una copia de seguridad, el GPT secundario, se aloja en el extremo del disco. GPT usa la suma de comprobación para detectar errores y daños en la tabla de particiones y el encabezado de GPT. Figura 6.2: Particiones GPT del dispositivo de almacenamiento /dev/vdb Administración de particiones con parted Los editores de particiones son programas que permiten a los administradores hacer cambios en particiones de discos, como crear particiones, eliminar particiones y cambiar el tipo de partición. Para realizar estas operaciones, los administradores pueden usar el editor de particiones Parted tanto para el esquema de partición GPT como MBR. El comando parted toma el nombre del dispositivo de todo el disco como primer argumento y uno o más subcomandos. En el siguiente ejemplo, se usa el subcomando print para visualizar la tabla de particiones en el disco /dev/vda. [root@host ~]# parted /dev/vda print Model: Virtio Block Device (virtblk) Disk /dev/vda: 53.7GB Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number 1 2 Start 1049kB 10.7GB End 10.7GB 53.7GB Size 10.7GB 42.9GB Type primary primary File system xfs xfs Flags boot Si no proporciona un subcomando, parted abre una sesión interactiva para emitir comandos. [root@host ~]# parted /dev/vda GNU Parted 3.2 Using /dev/vda Welcome to GNU Parted! Type 'help' to view a list of commands. RH134-RHEL8.2-es-1-20200928 159 capítulo 6 | Administración de almacenamiento básico (parted) print Model: Virtio Block Device (virtblk) Disk /dev/vda: 53.7GB Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number 1 2 Start 1049kB 10.7GB End 10.7GB 53.7GB Size 10.7GB 42.9GB Type primary primary File system xfs xfs Flags boot (parted) quit [root@host ~]# De forma predeterminada, parted muestra todos los tamaños en potencias de 10 (KB, MB, GB). Puede cambiar ese valor predeterminado con el subcomando unit que acepta los siguientes parámetros: • s para sector • B para byte • MiB, GiB o TiB (potencias de 2) • MB, GB o TB (potencias de 10) [root@host ~]# parted /dev/vda unit s print Model: Virtio Block Device (virtblk) Disk /dev/vda: 104857600s Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number 1 2 Start 2048s 20971520s End 20971486s 104857535s Size 20969439s 83886016s Type primary primary File system xfs xfs Flags boot Como se muestra en el ejemplo anterior, también puede especificar varios subcomandos (aquí, unit y print) en la misma línea. Escritura de la tabla de particiones en un disco nuevo Para particionar una nueva unidad, primero debe escribir una etiqueta de disco. La etiqueta del disco indica qué esquema de partición usar. Advertencia Tenga en cuenta que parted realiza los cambios de inmediato. Un error con parted podría provocar la pérdida de datos. Como el usuario root, use el siguiente comando para escribir una etiqueta de disco MBR en un disco. [root@host ~]# parted /dev/vdb mklabel msdos 160 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico Para escribir una etiqueta de disco GPT, use el siguiente comando. [root@host ~]# parted /dev/vdb mklabel gpt Advertencia El subcomando mklabel borra la tabla de particiones existente. Solo use mklabel cuando la intención sea volver a usar el disco sin tener en cuenta los datos existentes. Si una nueva etiqueta cambia los límites de la partición, todos los datos en los sistemas de archivos existentes serán inaccesibles. Creación de particiones de MBR La creación de una partición de disco estilo MBR incluye varios pasos: 1. Especifique el dispositivo de disco donde creará la partición. Como usuario root, ejecute el comando parted y especifique el nombre del dispositivo de disco como un argumento. Esto inicia el comando parted en modo interactivo, y muestra un prompt de comando. [root@host ~]# parted /dev/vdb GNU Parted 3.2 Using /dev/vdb Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) 2. Use el subcomando mkpart para crear una nueva partición primaria o ampliada. (parted) mkpart Partition type? primary/extended? primary nota En el caso de situaciones donde se necesitan más de cuatro particiones en un disco particionado con MBR, cree tres particiones primarias y una partición ampliada. Esta partición ampliada sirve como contenedor dentro del cual se pueden crear varias particiones lógicas. 3. Indique el tipo de sistema de archivos que desea crear en la partición, como xfs o ext4. Esto no crea el sistema de archivos en la partición; es solo una indicación del tipo de partición. File system type? [ext2]? xfs Para obtener la lista de los tipos de sistemas de archivos admitidos, use el siguiente comando: [root@host ~]# parted /dev/vdb help mkpart mkpart PART-TYPE [FS-TYPE] START END make a partition PART-TYPE is one of: primary, logical, extended FS-TYPE is one of: btrfs, nilfs2, ext4, ext3, ext2, fat32, fat16, hfsx, hfs+, hfs, jfs, swsusp, linux-swap(v1), linux-swap(v0), ntfs, reiserfs, RH134-RHEL8.2-es-1-20200928 161 capítulo 6 | Administración de almacenamiento básico hp-ufs, sun-ufs, xfs, apfs2, apfs1, asfs, amufs5, amufs4, amufs3, amufs2, amufs1, amufs0, amufs, affs7, affs6, affs5, affs4, affs3, affs2, affs1, affs0, linux-swap, linux-swap(new), linux-swap(old) START and END are disk locations, such as 4GB or 10%. Negative values count from the end of the disk. For example, -1s specifies exactly the last sector. 'mkpart' makes a partition without creating a new file system on the partition. FS-TYPE may be specified to set an appropriate partition ID. 4. Especifique el sector en el disco donde se iniciará la nueva partición. Start? 2048s Observe el sufijo s para proporcionar el valor en sectores. También puede usar los sufijos MiB, GiB, TiB, MB, GB o TB. Si no proporciona un sufijo, MB es el predeterminado. parted puede redondear el valor que proporcione para satisfacer las restricciones de disco. Cuando parted comienza, recupera la topología del disco del dispositivo. Por ejemplo, el tamaño del bloque físico del disco suele ser un parámetro que recopila parted. Con esa información, parted asegura que la posición de inicio que proporcione alinea correctamente la partición con la estructura del disco. La alineación correcta de la partición es importante para un rendimiento óptimo. Si la posición de inicio genera una partición desalineada, parted muestra una advertencia. Con la mayoría de los discos, un sector de inicio que es un múltiplo de 2048 es una suposición segura. 5. Especifique el sector del disco donde debería terminar la nueva partición. End? 1000MB Con parted, no puede proporcionar directamente el tamaño de su partición, pero puede calcularlo rápidamente con la siguiente fórmula: Size = End - Start Tan pronto como usted proporcione la posición final, parted actualiza la tabla de particiones en el disco con los detalles de la nueva partición. Salga de parted. 6. (parted) quit Information: You may need to update /etc/fstab. [root@host ~]# Ejecute el comando udevadm settle. Este comando espera a que el sistema detecte la nueva partición y cree el archivo de dispositivo asociado en el directorio /dev. Sólo regresa cuando finaliza. 7. [root@host ~]# udevadm settle [root@host ~]# 162 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico Como alternativa al modo interactivo, también puede crear la partición de la siguiente manera: [root@host ~]# parted /dev/vdb mkpart primary xfs 2048s 1000MB Creación de particiones GPT El esquema GTP también usa el comando parted para crear nuevas particiones: 1. Especifique el dispositivo de disco donde creará la partición. Como el usuario root, ejecute el comando parted con el dispositivo de disco como único argumento para iniciar parted en modo interactivo con un prompt del sistema. [root@host ~]# parted /dev/vdb GNU Parted 3.2 Using /dev/vdb Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) 2. Use el subcomando mkpart para comenzar a crear la nueva partición. Con el esquema GPT, cada partición recibe un nombre. (parted) mkpart Partition name? 3. []? usersdata Indique el tipo de sistema de archivos que desea crear en la partición, como xfs o ext4. Esto no crea el sistema de archivos en la partición; es solo una indicación del tipo de partición. File system type? 4. [ext2]? xfs Especifique el sector en el disco donde se iniciará la nueva partición. Start? 2048s 5. Especifique el sector del disco donde debería terminar la nueva partición. End? 1000MB Tan pronto como usted proporcione la posición final, parted actualiza la tabla de particiones en el disco con los detalles de la nueva partición. 6. Salga de parted. (parted) quit Information: You may need to update /etc/fstab. [root@host ~]# 7. Ejecute el comando udevadm settle. Este comando espera a que el sistema detecte la nueva partición y cree el archivo de dispositivo asociado en el directorio /dev. Sólo regresa cuando finaliza. RH134-RHEL8.2-es-1-20200928 163 capítulo 6 | Administración de almacenamiento básico [root@host ~]# udevadm settle [root@host ~]# Como alternativa al modo interactivo, también puede crear la partición de la siguiente manera: [root@host ~]# parted /dev/vdb mkpart usersdata xfs 2048s 1000MB Eliminación de particiones Los siguientes pasos se aplican a los esquemas de partición MBR y GPT. 1. Especifique el disco que contiene la partición que se eliminará. Como el usuario root, ejecute el comando parted con el dispositivo de disco como único argumento para iniciar parted en modo interactivo con un prompt del sistema. [root@host ~]# parted /dev/vdb GNU Parted 3.2 Using /dev/vdb Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) 2. Identifique el número de partición de la partición que se eliminará. (parted) print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number 1 3. Start 1049kB End 1000MB Size 999MB File system xfs Name usersdata Flags Elimine la partición. (parted) rm 1 El subcomando rm elimina inmediatamente la partición de la tabla de particiones en el disco. Salga de parted. 4. (parted) quit Information: You may need to update /etc/fstab. [root@host ~]# Creación de sistemas de archivos Después de la creación de un dispositivo de bloque, el siguiente paso es agregarle un sistema de archivos. Red Hat Enterprise Linux admite muchos tipos de sistema de archivos diferentes, pero 164 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico dos tipos comunes son XFS y ext4. Anaconda, el instalador para Red Hat Enterprise Linux, usa XFS de forma predeterminada. Como el usuario root, use el comando mkfs.xfs para aplicar un sistema de archivos XFS a un dispositivo de bloque. Para ext4, use mkfs.ext4 . [root@host ~]# mkfs.xfs /dev/vdb1 meta-data=/dev/vdb1 isize=512 = sectsz=512 = crc=1 = reflink=1 data = bsize=4096 = sunit=0 naming =version 2 bsize=4096 log =internal log bsize=4096 = sectsz=512 realtime =none extsz=4096 agcount=4, agsize=60992 blks attr=2, projid32bit=1 finobt=1, sparse=1, rmapbt=0 blocks=243968, imaxpct=25 swidth=0 blks ascii-ci=0, ftype=1 blocks=1566, version=2 sunit=0 blks, lazy-count=1 blocks=0, rtextents=0 Montaje de sistemas de archivos Después de haber agregado el sistema de archivos, el último paso es montar el sistema de archivos en un directorio en la estructura de directorios. Cuando monta un sistema de archivos en la jerarquía del directorio, las utilidades de espacio de usuarios pueden acceder o escribir archivos en el dispositivo. Montaje manual de sistemas de archivos Los administradores usan el comando mount para conectar manualmente el dispositivo a una ubicación de directorio o punto de montaje. El comando mount espera el dispositivo, el punto de montaje y, opcionalmente, las opciones del sistema de archivos como argumentos. Las opciones del sistema de archivos personalizan el comportamiento del sistema de archivos. [root@host ~]# mount /dev/vdb1 /mnt También puede usar el comando mount para ver los sistemas de archivos montados actualmente, los puntos de montaje y las opciones. [root@host ~]# mount | grep vdb1 /dev/vdb1 on /mnt type xfs (rw,relatime,seclabel,attr2,inode64,noquota) Montaje de forma persistente de sistemas de archivos Montar manualmente un sistema de archivos es una buena manera de verificar que un dispositivo formateado sea accesible y funcione de la manera esperada. Sin embargo, cuando el servidor se reinicia, el sistema no vuelve a montar automáticamente el sistema de archivos en el árbol de directorios; los datos están intactos en el sistema de archivos, pero los usuarios no pueden acceder a ellos. Para asegurarse de que el sistema monte automáticamente el sistema de archivos en el arranque del sistema, agregue una entrada al archivo /etc/fstab. Este archivo de configuración enumera los sistemas de archivos para montar en el arranque del sistema. /etc/fstab es un archivo delimitado por espacios en blanco con seis campos por línea. RH134-RHEL8.2-es-1-20200928 165 capítulo 6 | Administración de almacenamiento básico [root@host ~]# cat /etc/fstab # # /etc/fstab # Created by anaconda on Wed Feb 13 16:39:59 2019 # # Accessible filesystems, by reference, are maintained under '/dev/disk/'. # See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info. # # After editing this file, run 'systemctl daemon-reload' to update systemd # units generated from this file. # UUID=a8063676-44dd-409a-b584-68be2c9f5570 / xfs defaults 0 0 UUID=7a20315d-ed8b-4e75-a5b6-24ff9e1f9838 /dbdata xfs defaults 0 0 Cuando agregue o elimine una entrada en el archivo /etc/fstab, ejecute el comando systemctl daemon-reload, o reinicie el servidor, para systemd para registrar la nueva configuración. [root@host ~]# systemctl daemon-reload El primer campo especifica el dispositivo. En este ejemplo, se usa el UUID para especificar el dispositivo. Los sistemas de archivos crean y almacenan el UUID en su superbloque en el momento de la creación. O puede usar el archivo del dispositivo, como /dev/vdb1. nota Es preferible usar el UUID porque los identificadores del dispositivo de bloques pueden cambiar en determinadas situaciones, como en el caso de que un proveedor de la nube cambie la capa de almacenamiento subyacente de una máquina virtual, o que los discos se detecten en un orden diferente con cada arranque del sistema. El nombre del archivo del dispositivo de bloque puede cambiar, pero el UUID permanece constante en el superbloque del sistema de archivos. Use el comando lsblk --fs para escanear los dispositivos de bloque conectados a una máquina y recuperar los UUID del sistema de archivos. [root@host ~]# lsblk --fs NAME FSTYPE LABEL UUID MOUNTPOINT sr0 vda └─vda1 xfs a8063676-44dd-409a-b584-68be2c9f5570 / vdb └─vdb1 xfs 7a20315d-ed8b-4e75-a5b6-24ff9e1f9838 /dbdata El segundo campo es el punto de montaje del directorio, desde el cual se podrá acceder al dispositivo de bloque en la estructura del directorio. El punto de montaje debe existir; de lo contrario, créelo con el comando mkdir. El tercer campo contiene el tipo del sistema de archivos, como xfs o ext4. 166 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico El cuarto campo es la lista de opciones separada por comas para aplicar al dispositivo. defaults es un conjunto de opciones que se usan comúnmente. La página del manual mount(8) documenta las otras opciones disponibles. El quinto campo es usado por el comando dump para hacer una copia de seguridad del dispositivo. Otras aplicaciones de copia de seguridad no suelen usar este campo. El último campo, el campo de orden de fsck, determina si debería ejecutarse el comando fsck en el arranque del sistema para verificar que los sistemas de archivos estén limpios. El valor en este campo indica el orden en el que debe ejecutarse fsck. Para sistemas de archivos XFS, establezca este campo en 0 porque XFS no usa fsck para comprobar el estado de su sistema de archivos. Para sistemas de archivos ext4, configúrelo en 1 para el sistema de archivos raíz y en 2 para los otros sistemas de archivos ext4. De esta manera, fsck primero procesa el sistema de archivos raíz y, luego, verifica los sistemas de archivos en discos separados al mismo tiempo, y los sistemas de archivos en el mismo disco en secuencia. nota Si hay una entrada incorrecta en /etc/fstab, es posible que la máquina no pueda volver a arrancarse. Los administradores deben comprobar que la entrada sea válida al desmontar el sistema de archivos nuevo y usar mount /mountpoint, que lee / etc/fstab, para montar el sistema de archivos nuevamente. Si el comando mount arroja un error, corríjalo antes de volver a arrancar la máquina. Como alternativa, puede usar el comando findmnt --verify para controlar el archivo /etc/fstab. Referencias info parted( Manual de usuario de GNU Parted ) Páginas del manual parted(8), mkfs(8), mount(8), lsblk(8) y fstab(5) Para obtener más información, consulte la guía Configuración y administración de sistemas de archivos en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htmlsingle/configuring_and_managing_file_systems/ RH134-RHEL8.2-es-1-20200928 167 capítulo 6 | Administración de almacenamiento básico Ejercicio Guiado Adición de particiones, sistemas de archivos y montajes persistentes En este ejercicio, creará una partición en un nuevo dispositivo de almacenamiento, la formateará con un sistema de archivos XFS, la configurará para que se monte en el arranque y la montará para su uso. Resultados Debería ser capaz de usar parted , mkfs.xfs y otros comandos para crear una partición en un disco nuevo, formatearla y montarla de manera persistente. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab storage-partitions start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También prepara el segundo disco en servera para el ejercicio. [student@workstation ~]$ lab storage-partitions start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. Si se le solicita, use student como la contraseña. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Use parted para crear una nueva etiqueta de disco de tipo msdos en el disco /dev/vdb para preparar ese nuevo disco para el esquema de partición MBR. [root@servera ~]# parted /dev/vdb mklabel msdos Information: You may need to update /etc/fstab. 168 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico 4. Agregue una nueva partición primaria que tenga un tamaño de 1 GiB. Para una correcta alineación, inicie la partición en el sector 2048. Establezca el tipo de sistema de archivo de la partición en XFS. 4.1. Use el modo interactivo parted para poder crear la partición. [root@servera ~]# parted /dev/vdb GNU Parted 3.2 Using /dev/vdb Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) mkpart Partition type? primary/extended? primary File system type? [ext2]? xfs Start? 2048s End? 1001MB (parted) quit Information: You may need to update /etc/fstab. Dado que la partición comienza en el sector 2048, el comando anterior establece la posición final en 1001MB para obtener un tamaño de partición de 1000MB (1 GB). Como alternativa, puede realizar la misma operación con el siguiente comando no interactivo: parted /dev/vdb mkpart primary xfs 2048s 1001MB 4.2. Verifique su trabajo enumerando las particiones en /dev/vdb. [root@servera ~]# parted /dev/vdb print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number 1 Start 1049kB End 1001MB Size 1000MB Type primary File system Flags 4.3. Ejecute el comando udevadm settle. Este comando espera a que el sistema registre la nueva partición y regresa cuando finaliza. [root@servera ~]# udevadm settle 5. Formatee la nueva partición con el sistema de archivos XFS. [root@servera ~]# mkfs.xfs /dev/vdb1 meta-data=/dev/vdb1 isize=512 = sectsz=512 = crc=1 = reflink=1 data = bsize=4096 = sunit=0 naming =version 2 bsize=4096 log =internal log bsize=4096 = sectsz=512 realtime =none extsz=4096 RH134-RHEL8.2-es-1-20200928 agcount=4, agsize=61056 blks attr=2, projid32bit=1 finobt=1, sparse=1, rmapbt=0 blocks=244224, imaxpct=25 swidth=0 blks ascii-ci=0, ftype=1 blocks=1566, version=2 sunit=0 blks, lazy-count=1 blocks=0, rtextents=0 169 capítulo 6 | Administración de almacenamiento básico 6. Configure el nuevo sistema de archivos para montarlo de forma persistente en /archive. 6.1. Use mkdir para crear el punto de montaje del directorio /archive. [root@servera ~]# mkdir /archive 6.2. Use el comando lsblk con la opción --fs para descubrir el UUID del dispositivo / dev/vdb1. [root@servera ~]# lsblk --fs /dev/vdb NAME FSTYPE LABEL UUID MOUNTPOINT vdb └─vdb1 xfs e3db1abe-6d96-4faa-a213-b96a6f85dcc1 El UUID en la salida anterior es probablemente diferente en su sistema. 6.3. Agregue una entrada a /etc/fstab. En el siguiente contenido, reemplace el UUID con el que descubrió en el paso anterior. ...output omitted... UUID=e3db1abe-6d96-4faa-a213-b96a6f85dcc1 /archive xfs defaults 0 0 6.4. Actualice systemd para que el sistema registre la configuración de /etc/fstab nueva. [root@servera ~]# systemctl daemon-reload 6.5. Ejecute el comando mount /archive para montar el sistema de archivos nuevo usando la nueva entrada agregada a /etc/fstab. [root@servera ~]# mount /archive 6.6. Verifique que el sistema de archivos nuevo esté montado en /archive. [root@servera ~]# mount | grep /archive /dev/vdb1 on /archive type xfs (rw,relatime,seclabel,attr2,inode64,noquota) 7. Reinicie servera. Después de reiniciar el servidor, inicie sesión y verifique que /dev/vdb1 se monte en /archive. Cuando finalice, cierre sesión en servera. 7.1. Reinicie servera. [root@servera ~]# systemctl reboot Connection to servera closed by remote host. Connection to servera closed. [student@workstation ~]$ 7.2. 170 Espere unos minutos a que se reinicie servera e inicie sesión como el usuario student. RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 7.3. Verifique que /dev/vdb1 esté montado en /archive. [student@servera ~]$ mount | grep /archive /dev/vdb1 on /archive type xfs (rw,relatime,seclabel,attr2,inode64,noquota) 7.4. Cierre sesión en servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab storage-partitions finish para terminar este ejercicio. [student@workstation ~]$ lab storage-partitions finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 171 capítulo 6 | Administración de almacenamiento básico Administración de espacio de intercambio Objetivos Tras completar esta sección, debería ser capaz de crear y administrar espacios de intercambio para complementar la memoria física. Introducción a los conceptos de espacio de intercambio Un espacio de intercambio es un área del disco bajo el control del subsistema de administración de memoria del kernel Linux. El kernel usa espacio de intercambio para complementar la memoria RAM del sistema al contener páginas inactivas de memoria. La combinación de la memoria RAM del sistema más el espacio de intercambio se denomina memoria virtual. Cuando el uso de la memoria en un sistema supera un límite definido, el kernel busca en la memoria RAM páginas de memoria asignadas a los procesos, pero inactivas. El kernel escribe las páginas inactivas en el área de intercambio y, luego, reasigna la página RAM a otros procesos. Si el programa requiere acceso a una página en el disco, el kernel localiza otra página de memoria inactiva, la escribe en el disco y, luego, vuelve a convocar la página necesaria desde el área de intercambio. Dado que las áreas de intercambio residen en el disco, el intercambio es lento cuando se lo compara con la memoria RAM. Si bien se usa para aumentar la memoria RAM del sistema, no debe considerar el espacio de intercambio como una solución sostenible para una RAM insuficiente para su carga de trabajo. Tamaño del espacio de intercambio Los administradores deben establecer el tamaño del espacio de intercambio en función de la carga de trabajo de memoria en el sistema. Los proveedores de aplicaciones a veces proporcionan recomendaciones sobre ese tema. En la siguiente tabla, se proporcionan algunas instrucciones basadas en la cantidad total de memoria física. Recomendaciones de memoria RAM y espacio de intercambio RAM Espacio de intercambio Espacio de intercambio si se permite la hibernación 2 GiB o menos Dos veces la memoria RAM Tres veces la memoria RAM Entre 2 GiB y 8 GiB Igual que la memoria RAM Dos veces la memoria RAM Entre 8 GiB y 64 GiB Al menos 4 GiB 1,5 veces la memoria RAM Mas de 64 GiB Al menos 4 GiB No se recomienda la hibernación. La función de hibernación de los equipos portátiles y de escritorio usa el espacio de intercambio para guardar el contenido de la memoria RAM antes de apagar el sistema. Cuando vuelve a 172 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico encender el sistema, el kernel restaura el contenido de la memoria RAM desde el espacio de intercambio y no necesita un arranque completo. Para esos sistemas, el espacio de intercambio debe ser mayor que la cantidad de memoria RAM. El artículo de la base de conocimiento en la sección de referencia al final de esta sección brinda más orientación sobre el tamaño del espacio de intercambio. Creación de un espacio de intercambio Para crear un espacio de intercambio, debe realizar lo siguiente: • Cree una partición con un tipo de sistema de archivos de linux-swap. • Coloque una firma de intercambio en el dispositivo. Creación de una partición de intercambio Use parted para crear una partición del tamaño deseado y establezca su tipo de sistema de archivos en linux-swap. Anteriormente, las herramientas observaban el tipo de sistema de archivos de la partición para determinar si el dispositivo debía activarse; no obstante, eso ya no sucede. Si bien las utilidades ya no usan el tipo de sistema de archivos de la partición, establecer ese tipo permite a los administradores determinar rápidamente el propósito de la partición. En el siguiente ejemplo, se crea una partición de 256 MB. [root@host ~]# parted /dev/vdb GNU Parted 3.2 Using /dev/vdb Welcome to GNU Parted! Type 'help' to view a list of commands. (parted) print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number 1 Start 1049kB End 1001MB Size 1000MB File system Name data Flags (parted) mkpart Partition name? []? swap1 File system type? [ext2]? linux-swap Start? 1001MB End? 1257MB (parted) print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number 1 2 Start 1049kB 1001MB End 1001MB 1257MB Size 1000MB 256MB File system linux-swap(v1) Name data swap1 Flags (parted) quit RH134-RHEL8.2-es-1-20200928 173 capítulo 6 | Administración de almacenamiento básico Information: You may need to update /etc/fstab. [root@host ~]# Después de crear la partición, ejecute el comando udevadm settle. Este comando espera que el sistema detecte la nueva partición y cree el archivo de dispositivo asociado en /dev. Sólo regresa cuando finaliza. [root@host ~]# udevadm settle [root@host ~]# Formateo del dispositivo El comando mkswap aplica una firma de intercambio al dispositivo. A diferencia de otras utilidades de formateo, mkswap escribe un único bloque de datos al inicio del dispositivo, dejando el resto del dispositivo sin formatear de modo que el kernel pueda usarlo para almacenar páginas de memoria. [root@host ~]# mkswap /dev/vdb2 Setting up swapspace version 1, size = 244 MiB (255848448 bytes) no label, UUID=39e2667a-9458-42fe-9665-c5c854605881 Activación de un espacio de intercambio Puede usar el comando swapon para activar un espacio de intercambio formateado. Use swapon con el dispositivo como parámetro, o use swapon -a para activar todos los espacios de intercambio detallados en el archivo /etc/fstab. Use los comandos swapon --show y free para inspeccionar los espacios de intercambio disponibles. [root@host ~]# free total used Mem: 1873036 134688 Swap: 0 0 [root@host ~]# swapon /dev/vdb2 [root@host ~]# free total used Mem: 1873036 135044 Swap: 249852 0 free 1536436 0 shared 16748 buff/cache 201912 available 1576044 free 1536040 249852 shared 16748 buff/cache 201952 available 1575680 Puede desactivar un espacio de intercambio con el comando swapoff. Si el espacio de intercambio tiene páginas escritas, swapoff intenta mover esas páginas a otros espacios de intercambio activos o volver a la memoria. Si no puede escribir datos en otros lugares, el comando swapoff falla, con un error, y el espacio de intercambio permanece activo. Activación del espacio de intercambio de forma persistente Para activar un espacio de intercambio en cada arranque, coloque una entrada en el archivo / etc/fstab. En el siguiente ejemplo, se muestra una línea típica en /etc/fstab basada en el espacio de intercambio creado anteriormente. UUID=39e2667a-9458-42fe-9665-c5c854605881 174 swap swap defaults 0 0 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico El ejemplo anterior usa el UUID como el primer campo. Cuando formatea el dispositivo, el comando mkswap muestra ese UUID. Si perdió la salida de mkswap, use el comando lsblk --fs. Como alternativa, también puede usar el nombre del dispositivo en el primer campo. El segundo campo se reserva típicamente para el punto de montaje. Sin embargo, para dispositivos de intercambio, que no son accesibles a través de la estructura del directorio, este campo toma el valor del marcador de posición swap. La página man fstab(5) usa un valor de marcador de posición de none; sin embargo, el uso de un valor de swap permite mensajes de error más informativos en el caso de que algo salga mal. El tercer campo es el tipo de sistema de archivos. El tipo de sistemas de archivos para un espacio de intercambio es swap. El cuarto campo es para opciones. El ejemplo usa la opción defaults. La opción defaults incluye la opción de montaje auto, que significa activar el espacio de intercambio automáticamente en el arranque del sistema. Los dos campos finales son el indicador dump y el orden fsck. Los espacios de intercambio no requieren copias de seguridad ni revisión del sistema de archivos y por lo tanto, estos campos deben establecerse en cero. Cuando agregue o elimine una entrada en el archivo /etc/fstab, ejecute el comando systemctl daemon-reload, o reinicie el servidor, para systemd para registrar la nueva configuración. [root@host ~]# systemctl daemon-reload Configuración de la prioridad de espacio de intercambio De forma predeterminada, el sistema usa espacios de intercambio en serie, lo que significa que el kernel usa el primer espacio de intercambio activado hasta que esté lleno; luego, el kernel empieza a usar el segundo espacio de intercambio. Sin embargo, puede definir una prioridad para cada espacio de intercambio para forzar ese orden. Para establecer la prioridad, use la opción pri en /etc/fstab. El kernel usa el espacio de intercambio con la prioridad más alta primero. La prioridad predeterminada es -2. En el siguiente ejemplo, se muestran tres espacios de intercambio definidos en /etc/fstab. El kernel usa la última entrada primero, con pri=10. Cuando ese espacio está lleno, usa la segunda entrada, con pri=4. Por último, usa la primera entrada, que tiene una prioridad predeterminada de -2. UUID=af30cbb0-3866-466a-825a-58889a49ef33 UUID=39e2667a-9458-42fe-9665-c5c854605881 UUID=fbd7fa60-b781-44a8-961b-37ac3ef572bf swap swap swap swap swap swap defaults pri=4 pri=10 0 0 0 0 0 0 Use swapon --show para visualizar las prioridades de espacio de intercambio. Cuando los espacios de intercambio tienen la misma prioridad, el kernel los escribe con el método Round-Robin. RH134-RHEL8.2-es-1-20200928 175 capítulo 6 | Administración de almacenamiento básico Referencias Páginas del manual mkswap(8), swapon(8), swapoff(8), mount(8) y parted(8) Base de conocimiento: ¿Cuál es el tamaño de intercambio (swap) recomendado para las plataformas Red Hat? https://access.redhat.com/solutions/15244 176 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico Ejercicio Guiado Administración de espacio de intercambio En este ejercicio, creará y formateará una partición para usar como espacio de intercambio, la formateará como intercambio y la activará de forma persistente. Resultados Debería poder crear una partición y un espacio de intercambio en un disco con el esquema de partición GPT. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab storage-swap start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También prepara el segundo disco en servera para el ejercicio. [student@workstation ~]$ lab storage-swap start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. Si se le solicita, use student como la contraseña. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Use el comando parted para inspeccionar el disco /dev/vdb. [root@servera ~]# parted /dev/vdb print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: RH134-RHEL8.2-es-1-20200928 177 capítulo 6 | Administración de almacenamiento básico Number 1 Start 1049kB End 1001MB Size 1000MB File system Name data Flags Observe que el disco ya tiene una tabla de particiones y usa el esquema de partición GPT. Además, ya existe una partición de 1 GB. 4. Agregue una nueva partición con un tamaño de 500 MB para usar como espacio de intercambio. Establezca el tipo de partición en linux-swap. 4.1. Use parted para crear la partición. Dado que el disco usa el esquema de partición GPT, debe asignarle un nombre a la partición. Asígnele el nombre myswap. [root@servera ~]# parted /dev/vdb mkpart myswap linux-swap \ 1001MB 1501MB Information: You may need to update /etc/fstab. Observe en el comando anterior que la posición inicial, 1001 MB, es el final de la primera partición existente. De esta manera parted se asegura de que la nueva partición siga inmediatamente a la anterior, sin ninguna brecha. Dado que la partición comienza en la posición 1001 MB, el comando establece la posición final en 1501 MB para obtener un tamaño de partición de 500 MB. 4.2. Verifique su trabajo enumerando las particiones en /dev/vdb. [root@servera ~]# parted /dev/vdb print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number 1 2 Start 1049kB 1001MB End 1001MB 1501MB Size 1000MB 499MB File system Name Flags data myswap swap El tamaño de la nueva partición no es exactamente 500 MB. Esto es porque parted tiene que alinear la partición con el diseño del disco. 4.3. Ejecute el comando udevadm settle. Este comando espera a que el sistema registre la nueva partición y regresa cuando finaliza. [root@servera ~]# udevadm settle 5. Inicialice la partición creada recientemente como espacio de intercambio. [root@servera ~]# mkswap /dev/vdb2 Setting up swapspace version 1, size = 476 MiB (499118080 bytes) no label, UUID=cb7f71ca-ee82-430e-ad4b-7dda12632328 6. Habilite el espacio de intercambio creado recientemente. 6.1. 178 Use el comando swapon --show para mostrar que la creación e inicialización del espacio de intercambio no lo habilita aún para su uso. RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico [root@servera ~]# swapon --show 6.2. Habilite el espacio de intercambio creado recientemente. [root@servera ~]# swapon /dev/vdb2 6.3. Verifique que el espacio de intercambio creado recientemente ahora esté disponible. [root@servera ~]# swapon --show NAME TYPE SIZE USED PRIO /dev/vdb2 partition 476M 0B -2 6.4. Deshabilite el espacio de intercambio. [root@servera ~]# swapoff /dev/vdb2 6.5. Confirme que el espacio de intercambio está deshabilitado. [root@servera ~]# swapon --show 7. Configure el nuevo espacio de intercambio para que esté habilitado en el arranque del sistema. 7.1. Use el comando lsblk con la opción --fs para descubrir el UUID del dispositivo / dev/vdb2. [root@servera ~]# lsblk --fs /dev/vdb2 NAME FSTYPE LABEL UUID MOUNTPOINT vdb2 swap cb7f71ca-ee82-430e-ad4b-7dda12632328 El UUID en la salida anterior es probablemente diferente en su sistema. 7.2. Agregue una entrada a /etc/fstab. En el siguiente comando, reemplace el UUID con el que descubrió en el paso anterior. ...output omitted... UUID=cb7f71ca-ee82-430e-ad4b-7dda12632328 7.3. swap swap defaults 0 0 Actualice systemd para que el sistema registre la configuración de /etc/fstab nueva. [root@servera ~]# systemctl daemon-reload 7.4. Habilite el espacio de intercambio con la nueva entrada recién agregada a /etc/ fstab. [root@servera ~]# swapon -a 7.5. Verifique que el nuevo espacio de intercambio esté habilitado. RH134-RHEL8.2-es-1-20200928 179 capítulo 6 | Administración de almacenamiento básico [root@servera ~]# swapon --show NAME TYPE SIZE USED PRIO /dev/vdb2 partition 476M 0B -2 8. Reinicie servera. Después de reiniciar el servidor, inicie sesión y verifique que el espacio de intercambio esté habilitado. Cuando finalice, cierre sesión en servera. 8.1. Reinicie servera. [root@servera ~]# systemctl reboot Connection to servera closed by remote host. Connection to servera closed. [student@workstation ~]$ 8.2. Espere unos minutos a que se reinicie servera e inicie sesión como el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 8.3. Verifique que el espacio de intercambio esté habilitado. [root@servera ~]# swapon --show NAME TYPE SIZE USED PRIO /dev/vdb2 partition 476M 0B -2 8.4. Cierre sesión en servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab storage-swap finish para terminar este ejercicio. [student@workstation ~]$ lab storage-swap finish Esto concluye el ejercicio guiado. 180 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico Trabajo de laboratorio Administración de almacenamiento básico Lista de verificación de rendimiento En este trabajo de laboratorio, creará varias particiones en un disco nuevo, formateará algunas con sistemas de archivos y las montará, y activará otras como espacios de intercambio. Resultados Usted deberá ser capaz de realizar lo siguiente: • Visualizar y crear particiones con el comando parted. • Crear nuevos sistemas de archivos en particiones y montarlos de forma persistente. • Crear espacios de intercambio y activarlos en el arranque. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab storage-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También prepara el segundo disco en serverb para el ejercicio. [student@workstation ~]$ lab storage-review start 1. Hay nuevos discos disponibles en serverb. En el primer disco nuevo, cree una partición GPT de 2 GB denominada copia de seguridad. Dado que puede ser difícil establecer el tamaño exacto, un tamaño entre 1,8 GB y 2,2 GB es aceptable. Establezca el tipo de sistema de archivos correcto en esa partición para alojar un sistema de archivos XFS. La contraseña para la cuenta de usuario student en serverb es student. Este usuario tiene acceso completo root a través de sudo. 2. Formatee la partición de 2 GB con un sistema de archivos XFS y móntelo de manera persistente en /backup. 3. En el mismo disco nuevo, cree dos particiones GPT de 512 MB denominadas swap1 y swap2. Un tamaño entre 460 MB y 564 MB es aceptable. Establezca el tipo de sistema de archivos correcto en esas particiones para alojar espacios de intercambio. 4. Inicialice las dos particiones de 512 MiB como espacios de intercambio y configúrelas para que se activen en el arranque. Establezca el espacio de intercambio en la partición swap2 para que se prefiera sobre el otro. 5. Para verificar su trabajo, reinicie serverb. Confirme que el sistema monta automáticamente la primera partición en /backup. Además, confirme que el sistema activa los dos espacios de intercambio. Cuando finalice, cierre sesión en serverb. RH134-RHEL8.2-es-1-20200928 181 capítulo 6 | Administración de almacenamiento básico Evaluación En workstation, ejecute el script lab storage-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab storage-review grade Finalizar En workstation, ejecute el script lab storage-review finish para terminar el trabajo de laboratorio. [student@workstation ~]$ lab storage-review finish Esto concluye el trabajo de laboratorio. 182 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico Solución Administración de almacenamiento básico Lista de verificación de rendimiento En este trabajo de laboratorio, creará varias particiones en un disco nuevo, formateará algunas con sistemas de archivos y las montará, y activará otras como espacios de intercambio. Resultados Usted deberá ser capaz de realizar lo siguiente: • Visualizar y crear particiones con el comando parted. • Crear nuevos sistemas de archivos en particiones y montarlos de forma persistente. • Crear espacios de intercambio y activarlos en el arranque. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab storage-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También prepara el segundo disco en serverb para el ejercicio. [student@workstation ~]$ lab storage-review start 1. Hay nuevos discos disponibles en serverb. En el primer disco nuevo, cree una partición GPT de 2 GB denominada copia de seguridad. Dado que puede ser difícil establecer el tamaño exacto, un tamaño entre 1,8 GB y 2,2 GB es aceptable. Establezca el tipo de sistema de archivos correcto en esa partición para alojar un sistema de archivos XFS. La contraseña para la cuenta de usuario student en serverb es student. Este usuario tiene acceso completo root a través de sudo. 1.1. Use el comando ssh para iniciar sesión en serverb como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 1.2. Dado que crear particiones y sistemas de archivos requiere acceso root, use el comando sudo -i para cambiar al usuario root. Si se le solicita, use student como la contraseña. RH134-RHEL8.2-es-1-20200928 183 capítulo 6 | Administración de almacenamiento básico [student@serverb ~]$ sudo -i [sudo] password for student: student [root@serverb ~]# 1.3. Use el comando lsblk para identificar los nuevos discos. Esos discos no deberían tener particiones todavía. [root@serverb ~]# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sr0 11:0 1 1024M 0 rom vda 252:0 0 10G 0 disk └─vda1 252:1 0 10G 0 part / vdb 252:16 0 5G 0 disk vdc 252:32 0 5G 0 disk vdd 252:48 0 5G 0 disk Tenga en cuenta que el primer disco nuevo, vdb, no tiene particiones. 1.4. Confirme que el disco no tiene etiqueta. [root@serverb ~]# parted /dev/vdb print Error: /dev/vdb: unrecognised disk label Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: unknown Disk Flags: 1.5. Use parted y el subcomando mklabel para definir el esquema de partición GPT. [root@serverb ~]# parted /dev/vdb mklabel gpt Information: You may need to update /etc/fstab. 1.6. Cree la partición de 2 GB. Asígnele el nombre copia de seguridad y establezca su tipo en xfs. Inicie la partición en el sector 2048. [root@serverb ~]# parted /dev/vdb mkpart backup xfs 2048s 2GB Information: You may need to update /etc/fstab. 1.7. Confirme la correcta creación de la nueva partición. [root@serverb ~]# parted /dev/vdb print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number 1 184 Start 1049kB End 2000MB Size 1999MB File system Name backup Flags RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico 1.8. Ejecute el comando udevadm settle. Este comando espera que el sistema detecte la nueva partición y cree el archivo de dispositivo /dev/vdb1. Sólo regresa cuando finaliza. [root@serverb ~]# udevadm settle [root@serverb ~]# 2. Formatee la partición de 2 GB con un sistema de archivos XFS y móntelo de manera persistente en /backup. 2.1. Use el comandomkfs.xfs para formatear la partición /dev/vbd1. [root@serverb ~]# mkfs.xfs /dev/vdb1 meta-data=/dev/vdb1 isize=512 = sectsz=512 = crc=1 = reflink=1 data = bsize=4096 = sunit=0 naming =version 2 bsize=4096 log =internal log bsize=4096 = sectsz=512 realtime =none extsz=4096 2.2. agcount=4, agsize=121984 blks attr=2, projid32bit=1 finobt=1, sparse=1, rmapbt=0 blocks=487936, imaxpct=25 swidth=0 blks ascii-ci=0, ftype=1 blocks=2560, version=2 sunit=0 blks, lazy-count=1 blocks=0, rtextents=0 Cree el punto de montaje /backup. [root@serverb ~]# mkdir /backup [root@serverb ~]# 2.3. Antes de agregar el nuevo sistema de archivos a /etc/fstab, recupere su UUID. [root@serverb ~]# lsblk --fs /dev/vdb1 NAME FSTYPE LABEL UUID MOUNTPOINT vdb1 xfs a3665c6b-4bfb-49b6-a528-74e268b058dd El UUID en su sistema es probablemente diferente. 2.4. Edite /etc/fstab y defina el nuevo sistema de archivos. [root@serverb ~]# vim /etc/fstab ...output omitted... UUID=a3665c6b-4bfb-49b6-a528-74e268b058dd 2.5. /backup xfs defaults 0 0 Fuerce a systemd para que vuelva a leer el archivo /etc/fstab. [root@serverb ~]# systemctl daemon-reload [root@serverb ~]# 2.6. Monte manualmente /backup para verificar su trabajo. Confirme que el montaje es correcto. RH134-RHEL8.2-es-1-20200928 185 capítulo 6 | Administración de almacenamiento básico [root@serverb ~]# mount /backup [root@serverb ~]# mount | grep /backup /dev/vdb1 on /backup type xfs (rw,relatime,seclabel,attr2,inode64,noquota) En el mismo disco nuevo, cree dos particiones GPT de 512 MB denominadas swap1 y swap2. Un tamaño entre 460 MB y 564 MB es aceptable. Establezca el tipo de sistema de archivos correcto en esas particiones para alojar espacios de intercambio. 3. 3.1. Recupere la posición final de la primera partición visualizando la tabla de particiones actual en /dev/vdb. En el siguiente paso, use ese valor como el inicio de la partición swap1. [root@serverb ~]# parted /dev/vdb print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number 1 3.2. Start 1049kB End 2000MB Size 1999MB File system xfs Name backup Flags Cree la primera partición de 512 MB denominada swap1. Establezca su tipo en linuxswap. Use la posición final de la primera partición como punto de partida. La posición final es 2000 MB + 512 MB = 2512 MB [root@serverb ~]# parted /dev/vdb mkpart swap1 linux-swap 2000MB 2512M Information: You may need to update /etc/fstab. 3.3. Cree la segunda partición de 512 MB denominada swap2. Establezca su tipo en linux-swap. Use la posición final de la partición anterior como punto de partida: 2512M. La posición final es 2512 MB + 512 MB = 3024 MB [root@serverb ~]# parted /dev/vdb mkpart swap2 linux-swap 2512M 3024M Information: You may need to update /etc/fstab. 3.4. Visualice la tabla de particiones para verificar su trabajo. [root@serverb ~]# parted /dev/vdb print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number 1 2 3 186 Start 1049kB 2000MB 2512MB End 2000MB 2512MB 3024MB Size 1999MB 513MB 512MB File system xfs Name backup swap1 swap2 Flags swap swap RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico 3.5. Ejecute el comando udevadm settle. Este comando espera que el sistema registre las nuevas particiones y cree los archivos de dispositivo. [root@serverb ~]# udevadm settle [root@serverb ~]# 4. Inicialice las dos particiones de 512 MiB como espacios de intercambio y configúrelas para que se activen en el arranque. Establezca el espacio de intercambio en la partición swap2 para que se prefiera sobre el otro. 4.1. Use el comando mkswap para inicializar las particiones de intercambio. [root@serverb ~]# mkswap /dev/vdb2 Setting up swapspace version 1, size = 489 MiB (512749568 bytes) no label, UUID=87976166-4697-47b7-86d1-73a02f0fc803 [root@serverb ~]# mkswap /dev/vdb3 Setting up swapspace version 1, size = 488 MiB (511700992 bytes) no label, UUID=4d9b847b-98e0-4d4e-9ef7-dfaaf736b942 Tome nota de los UUID de los dos espacios de intercambio. Usará esa información en el siguiente paso. Si ya no puede ver la salida mkswap, use el comando lsblk --fs para recuperar los UUID. 4.2. Edite /etc/fstab y defina los nuevos espacios de intercambio. Para configurar el espacio de intercambio en la partición swap2 para ser preferido sobre swap1, otórguele una mayor prioridad con la opción pri. [root@serverb ~]# vim /etc/fstab ...output omitted... UUID=a3665c6b-4bfb-49b6-a528-74e268b058dd UUID=87976166-4697-47b7-86d1-73a02f0fc803 UUID=4d9b847b-98e0-4d4e-9ef7-dfaaf736b942 /backup xfs swap swap swap swap defaults pri=10 pri=20 0 0 0 0 0 0 4.3. Fuerce a systemd para que vuelva a leer el archivo /etc/fstab. [root@serverb ~]# systemctl daemon-reload [root@serverb ~]# 4.4. Use el comando swapon -a para activar los nuevos espacios de intercambio. Use el comando swapon --show para confirmar la correcta activación de los espacios de intercambio. [root@serverb ~]# swapon -a [root@serverb ~]# swapon --show NAME TYPE SIZE USED PRIO /dev/vdb2 partition 489M 0B 10 /dev/vdb3 partition 488M 0B 20 5. Para verificar su trabajo, reinicie serverb. Confirme que el sistema monta automáticamente la primera partición en /backup. Además, confirme que el sistema activa los dos espacios de intercambio. Cuando finalice, cierre sesión en serverb. RH134-RHEL8.2-es-1-20200928 187 capítulo 6 | Administración de almacenamiento básico 5.1. Reinicie serverb. [root@serverb ~]# systemctl reboot [root@serverb ~]# Connection to serverb closed by remote host. Connection to serverb closed. [student@workstation ~]$ 5.2. Espere unos minutos a que se reinicie serverb e inicie sesión como el usuario student. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 5.3. Verifique que el sistema monte automáticamente /dev/vdb1 en /backup. [student@serverb ~]$ mount | grep /backup /dev/vdb1 on /backup type xfs (rw,relatime,seclabel,attr2,inode64,noquota) 5.4. Use el comando swapon --show para confirmar que el sistema activa ambos espacios de intercambio. [student@serverb ~]$ swapon --show NAME TYPE SIZE USED PRIO /dev/vdb2 partition 489M 0B 10 /dev/vdb3 partition 488M 0B 20 5.5. Cierre sesión en serverb. [student@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ Evaluación En workstation, ejecute el script lab storage-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab storage-review grade Finalizar En workstation, ejecute el script lab storage-review finish para terminar el trabajo de laboratorio. [student@workstation ~]$ lab storage-review finish Esto concluye el trabajo de laboratorio. 188 RH134-RHEL8.2-es-1-20200928 capítulo 6 | Administración de almacenamiento básico Resumen En este capítulo, aprendió lo siguiente: • Usa el comando parted para agregar, modificar y eliminar particiones en discos con esquemas de partición MBR o GPT. • Usa el comando mkfs.xfs para crear sistemas de archivos XFS en particiones de disco. • Necesita agregar comandos de montaje de sistemas de archivos en /etc/fstab para hacer esos montajes persistentes. • Usa el comando mkswap para inicializar espacios de intercambio. RH134-RHEL8.2-es-1-20200928 189 190 RH134-RHEL8.2-es-1-20200928 capítulo 7 Administración de volúmenes lógicos Meta Crear y administrar volúmenes lógicos que contengan sistemas de archivos y espacios de intercambio desde la línea de comandos. Objetivos • Crear y administrar volúmenes lógicos desde dispositivos de almacenamiento y formatearlos con sistemas de archivos o prepararlos con espacios de intercambio. • Agregar y eliminar el almacenamiento asignado a los grupos de volúmenes y ampliar en forma no destructiva el tamaño de un volumen lógico formateado con un sistema de archivos. • Creación de volúmenes lógicos (y ejercicio guiado) • Ampliación de volúmenes lógicos (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Administración de volúmenes lógicos 191 capítulo 7 | Administración de volúmenes lógicos Creación de volúmenes lógicos Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Describir los componentes y conceptos de la administración de volúmenes lógicos. • Implementar almacenamiento del LVM. • Visualizar información de componentes del LVM. Conceptos de la administración de volúmenes lógicos (LVM) Los volúmenes lógicos y la administración de volúmenes lógicos facilitan la administración del espacio del disco. Si un sistema de archivos que aloja un volumen lógico necesita más espacio, se puede asignar a su volumen lógico del espacio libre en su grupo de volúmenes y se puede cambiar el tamaño del sistema de archivos. Si un disco comienza a fallar, se puede registrar un disco de reemplazo como volumen físico con el grupo de volúmenes y las extensiones del volumen lógico se pueden migrar al disco nuevo. Definiciones de LVM Dispositivos físicos Los dispositivos físicos son los dispositivos de almacenamiento usados para guardar los datos almacenados en un volumen lógico. Estos son dispositivos en bloques y podrían ser particiones de discos, discos enteros, arreglos RAID o discos SAN. Un dispositivo debe inicializarse como un volumen físico de LVM para poder ser usado con LVM. Todo el dispositivo se usará como un volumen físico. Volúmenes físicos (PV) Los volúmenes físicos constituyen el almacenamiento "físico" subyacente que se usa con el LVM. Debe inicializar un dispositivo como un volumen físico antes de usarlo en un sistema de LVM. Las herramientas de LVM segmentan volúmenes físicos en extensiones físicas (physical extents, PE); que son pequeños conjuntos de datos que actúan como el bloque de almacenamiento más pequeño en un volumen físico. Grupos de volúmenes (VG) Los grupos de volúmenes son pools (conjuntos) de almacenamiento conformados por uno o más volúmenes físicos. Este es el equivalente funcional de un disco completo en el almacenamiento básico. Un PV solo puede ser asignado a un único VG. Un VG puede constar de espacio sin usar y de cualquier cantidad de volúmenes lógicos. Volúmenes lógicos (LV) Los volúmenes lógicos se crean desde extensiones físicas libres en un grupo de volúmenes y proporcionan el dispositivo de "almacenamiento" usado por aplicaciones, usuarios y el sistema operativo. Los LV son una colección de extensiones lógicas (LE), que se mapean a extensiones físicas, la porción de almacenamiento más pequeña de un PV. De forma predeterminada, cada LE se mapea a una PE. La configuración de opciones de LV específicas cambia este mapeo; por ejemplo, la duplicación hace que cada LE se mapee a dos PE. 192 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Implementación de almacenamiento del LVM La creación de almacenamiento de LVM requiere varios pasos. El primer paso es determinar qué dispositivos físicos usar. Después de ensamblar un conjunto de dispositivos adecuados, se inicializan como volúmenes físicos para que se reconozcan como pertenecientes a la LVM. Los volúmenes físicos se combinan en un grupo de volúmenes. Esto crea un pool (conjunto) de espacio en disco a partir del cual se pueden asignar volúmenes lógicos. Los volúmenes lógicos creados a partir del espacio disponible en un grupo de volúmenes pueden formatearse con un sistema de archivos, activarse como espacio de intercambio, y montarse o activarse de manera persistente. Figura 7.1: Componentes de la administración de volúmenes lógicos La LVM proporciona un conjunto integral de herramientas de línea de comandos para implementar y administrar almacenamiento de LVM. Estas herramientas de línea de comandos se pueden usar en scripts, lo que las hace más adecuadas para la automatización. Importante En los siguientes ejemplos, se usa el dispositivo vdb y sus particiones para ilustrar comandos LVM. En la práctica, estos ejemplos deberían usar los dispositivos correctos para el disco y las particiones del disco usados por el sistema. Use los comandos lsblk, blkid o cat /proc/partitions para identificar los dispositivos en su sistema. RH134-RHEL8.2-es-1-20200928 193 capítulo 7 | Administración de volúmenes lógicos Creación de un volumen lógico Para crear un volumen lógico, realice los siguientes pasos: Prepare el dispositivo físico. Use parted, gdisk o fdisk para crear una partición para usar con LVM. Configure siempre el tipo de partición en Linux LVM (LVM Linux) en las particiones de LVM; use 0x8e para particiones MBR. Si es necesario, use partprobe para registrar la nueva partición con el kernel. De forma alternativa, use un disco entero, un arreglo RAID o un disco SAN. Solo se necesita preparar un dispositivo físico si no hay ninguno ya preparado, y se requiere un volumen físico nuevo para crear o ampliar un grupo de volúmenes. [root@host ~]# parted -s /dev/vdb mkpart primary 1MiB 769MiB [root@host ~]# parted -s /dev/vdb mkpart primary 770MiB 1026MiB [root@host ~]# parted -s /dev/vdb set 1 lvm on [root@host ~]# parted -s /dev/vdb set 2 lvm on Cree un volumen físico. Use pvcreate para etiquetar la partición (u otro dispositivo físico) como volumen físico. El comando pvcreate divide el volumen físico en extensiones físicas (PE) de un tamaño fijo, por ejemplo, bloques de 4 MiB. Puede etiquetar varios dispositivos al mismo tiempo con nombres de dispositivos delimitados por espacios como argumentos para pvcreate. [root@host ~]# pvcreate /dev/vdb2 /dev/vdb1 Esto etiquetará dispositivos /dev/vdb2 y /dev/vdb1 como PV, listos para la asignación en un grupo de volúmenes. Un PV solo debe crearse si no hay PV libres para crear o ampliar un VG. Cree un grupo de volúmenes. Use vgcreate para recopilar uno o más volúmenes físicos en un grupo de volúmenes. Un grupo de volúmenes es el equivalente funcional de un disco duro; creará volúmenes lógicos a partir del pool (conjunto) de extensiones físicas libres en el grupo de volúmenes. La línea de comandos de vgcreate consiste en un nombre de grupo de volúmenes seguido de uno o más volúmenes físicos para asignar a este grupo de volúmenes. [root@host ~]# vgcreate vg01 /dev/vdb2 /dev/vdb1 Esto crea un VG denominado vg01 que tiene el tamaño combinado, en unidades de PE, de los dos PV: /dev/vdb2 y /dev/vdb1. Un VG solo necesita crearse si no existe ninguno. Se pueden crear más VG por motivos administrativos para administrar el uso de PV y LV. O bien, los VG existentes se pueden ampliar para alojar nuevos LV cuando sea necesario. Cree un volumen lógico. Use lvcreate para crear un nuevo volumen lógico desde las extensiones físicas disponibles en un grupo de volúmenes. Como mínimo, la línea de comandos de lvcreate incluye la opción -n para 194 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos configurar el nombre del LV, la opción -L para establecer el tamaño del LV en bytes o la opción l para establecer el tamaño del LV en extensiones y el nombre del grupo de volúmenes que aloja este volumen lógico. [root@host ~]# lvcreate -n lv01 -L 700M vg01 Esto crea un LV denominado lv01, con un tamaño de 700 MiB, en el VG vg01. Este comando fallará si el grupo de volúmenes no tiene una cantidad suficiente de extensiones físicas libres para el tamaño solicitado. También tenga en cuenta que el tamaño se redondeará a un factor del tamaño de la extensión física si el tamaño no puede coincidir exactamente. Puede especificar el tamaño con la opción -L, que espera tamaños en bytes, mebibytes (megabytes binarios, 1048576 bytes), gibibytes (gigabytes binarios), o similar. O puede usar la opción -l, que espera tamaños especificados como un número de extensiones físicas. En la siguiente lista, se proporcionan algunos ejemplos de creación de LV: • lvcreate -L 128M: Cambia el tamaño del volumen lógico a exactamente 128 MiB. • lvcreate -l 128 : Cambia el tamaño del volumen lógico a exactamente 128 extensiones. El número total de bytes depende del tamaño del bloque de extensiones físicas en el volumen físico subyacente. Importante Diferentes herramientas muestran el nombre del volumen lógico, ya sea usando el nombre tradicional /dev/vgname/lvname o el nombre del mapeador de dispositivos del kernel /dev/mapper/vgname-lvname. Agregue el sistema de archivos. Use mkfs para crear un sistema de archivos XFS en el nuevo volumen lógico. O cree un sistema de archivos basado en su sistema de archivos preferido, por ejemplo, ext4. [root@host ~]# mkfs -t xfs /dev/vg01/lv01 Para hacer que el sistema de archivos esté disponible después de los reinicios, siga los siguientes pasos: • Use mkdir para crear un punto de montaje. [root@host ~]# mkdir /mnt/data • Agregue una entrada al archivo /etc/fstab: /dev/vg01/lv01 /mnt/data xfs defaults 1 2 nota El montaje de un volumen lógico por nombre es equivalente al montaje por UUID porque LVM encuentra sus volúmenes físicos basados en un UUID incluso si inicialmente los agrega al grupo de volúmenes por nombre. RH134-RHEL8.2-es-1-20200928 195 capítulo 7 | Administración de volúmenes lógicos • Ejecute mount /mnt/data para montar el sistema de archivos que acaba de agregar en / etc/fstab. [root@host ~]# mount /mnt/data Eliminación de un volumen lógico Para eliminar todos los componentes del volumen lógico, siga los siguientes pasos: Prepare el sistema de archivos. Traslade todos los datos que se deben conservar a otro sistema de archivos. Use el comando umount para desmontar el sistema de archivos y, luego, eliminar cualquier entrada de /etc/ fstab asociada a este sistema de archivos. [root@host ~]# umount /mnt/data Advertencia Al eliminar un volumen lógico, se destruyen todos los datos almacenados en este. Realice una copia de seguridad de los datos o trasládelos antes de eliminar el volumen lógico. Elimine el volumen lógico. Use lvremove DEVICE_NAME para eliminar un volumen lógico que ya no es necesario. [root@host ~]# lvremove /dev/vg01/lv01 Desmonte el sistema de archivos del LV antes de ejecutar este comando. El comando solicita confirmación antes de eliminar el LV. Las extensiones físicas del LV se liberan y están disponibles para ser asignadas a LV existentes o nuevos en el grupo de volúmenes. Elimine el grupo de volúmenes. Use vgremove VG_NAME para eliminar un grupo de volúmenes que ya no es necesario. [root@host ~]# vgremove vg01 Los volúmenes físicos del VG se liberan y están disponibles para ser asignados a VG existentes o nuevos en el sistema. Elimine los volúmenes físicos. Use pvremove para eliminar volúmenes físicos que ya no son necesarios. Use una lista delimitada por espacios de dispositivos del PV para eliminar más de uno a la vez. Este comando elimina los metadatos del PV de la partición (o disco). Ahora, la partición está libre para una nueva asignación o para ser formateada. [root@host ~]# pvremove /dev/vdb2 /dev/vdb1 196 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Revisión de la información de estado de LVM Volúmenes físicos Use pvdisplay para visualizar información sobre volúmenes físicos (VP). Para mostrar información sobre todos los volúmenes físicos, use el comando sin argumentos. Para mostrar información sobre un volumen físico específico, pase el nombre de ese dispositivo al comando. [root@host ~]# pvdisplay /dev/vdb1 --- Physical volume --PV Name /dev/vdb1 VG Name vg01 PV Size 768.00 MiB / not usable 4.00 MiB Allocatable yes PE Size 4.00 MiB Total PE 191 Free PE 16 Allocated PE 175 PV UUID JWzDpn-LG3e-n2oi-9Etd-VT2H-PMem-1ZXwP1 PV Name (Nombre de PV) se mapea al nombre del dispositivo. VG Name (Nombre de VG) muestra el grupo de volúmenes donde se encuentra el PV. PV Size (Tamaño de PV) muestra el tamaño físico del PV, incluido todo el espacio no utilizable. PE Size (Tamaño de PE) es el tamaño de la extensión física, que es el tamaño más pequeño a donde puede ser asignado un volumen lógico. Es también el factor de multiplicación que se usa en el cálculo del tamaño de cualquier valor informado en las unidades de PE, como Free PE (PE libre); por ejemplo: 26 PE x 4 MiB (el PE Size [Tamaño de PE]) da 104 MiB de espacio libre. El tamaño de un volumen lógico se redondea a un factor de unidades de PE. LVM establece el tamaño de la PE automáticamente, aunque es posible especificarlo. Free PE (PE libre) muestra cuántas unidades de PE están disponibles para la asignación para nuevos volúmenes lógicos. Grupos de volúmenes Use vgdisplay para visualizar información sobre grupos de volúmenes (GV). Para mostrar información sobre todos los grupos de volúmenes, use el comando sin argumentos. Para mostrar información sobre un grupo de volúmenes específico, pase el nombre del VG al comando. [root@host ~]# vgdisplay vg01 --- Volume group --VG Name vg01 System ID Format lvm2 Metadata Areas 2 Metadata Sequence No 2 VG Access read/write VG Status resizable MAX LV 0 Cur LV 1 Open LV 1 Max PV 0 RH134-RHEL8.2-es-1-20200928 197 capítulo 7 | Administración de volúmenes lógicos Cur PV Act PV VG Size PE Size Total PE Alloc PE / Size Free PE / Size VG UUID 2 2 1016.00 MiB 4.00 MiB 254 175 / 700.00 MiB 79 / 316.00 MiB 3snNw3-CF71-CcYG-Llk1-p6EY-rHEv-xfUSez VG Name (Nombre de VG) es el nombre del grupo de volúmenes. VG Size (Tamaño de VG) es el tamaño total del pool (conjunto) de almacenamiento disponible para la asignación de volúmenes lógicos. Total PE (PE total) es el tamaño total expresado en unidades de PE. Free PE / Size (PE libre/tamaño) muestra cuánto espacio libre hay en el VG para distribuir para nuevos LV o para ampliar los LV existentes. Volúmenes lógicos Use lvdisplay para visualizar información sobre volúmenes lógicos (LV). Si no proporciona ningún argumento al comando muestra información sobre todos los LV, si proporciona el nombre de un dispositivo del LV como un argumento, el comando muestra información sobre ese dispositivo específico. [root@host ~]# lvdisplay /dev/vg01/lv01 --- Logical volume --LV Path /dev/vg01/lv01 LV Name lv01 VG Name vg01 LV UUID 5IyRea-W8Zw-xLHk-3h2a-IuVN-YaeZ-i3IRrN LV Write Access read/write LV Creation host, time host.lab.example.com, 2019-03-28 17:17:47 -0400 LV Status available # open 1 LV Size 700 MiB Current LE 175 Segments 1 Allocation inherit Read ahead sectors auto - current set to 256 Block device 252:0 LV Path (Ruta de LV) muestra el nombre del dispositivo del volumen lógico. Es posible que algunas herramientas informen el nombre del dispositivo como /dev/ mapper/vgname-lvname; ambos representan el mismo LV. VG Name (Nombre de VG) muestra el grupo de volúmenes desde donde se asigna el LV. LV Size (Tamaño de LV) muestra el tamaño total del LV. Use herramientas del sistema de archivos para determinar el espacio libre y el espacio usado para el almacenamiento de datos. Current LE (LE actual) muestra la cantidad de extensiones lógicas usadas por este LV. Una LE generalmente se mapea a una extensión física del VG y, por lo tanto, al volumen físico. 198 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Referencias páginas de manual lvm(8), pvcreate(8), vgcreate(8), lvcreate(8), pvremove(8), vgremove(8), lvremove(8), pvdisplay(8), vgdisplay(8), lvdisplay(8), fdisk(8), gdisk(8), parted(8), partprobe(8) y mkfs(8) RH134-RHEL8.2-es-1-20200928 199 capítulo 7 | Administración de volúmenes lógicos Ejercicio Guiado Creación de volúmenes lógicos En este trabajo de laboratorio, creará un volumen físico, un grupo de volúmenes, un volumen lógico y un sistema de archivos XFS. También montará de forma persistente el sistema de archivos de volúmenes lógicos. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear volúmenes físicos, grupos de volúmenes y volúmenes lógicos con herramientas de LVM. • Crear nuevos sistemas de archivos en volúmenes lógicos y montarlos de manera persistente. Andes De Comenzar Inicie sesión con el usuario student en workstation con la contraseña student. En workstation, ejecute el comando lab lvm-creating start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También verifica que el almacenamiento esté disponible y que se hayan instalado los paquetes de software apropiados. [student@workstation ~]$ lab lvm-creating start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Cree los recursos físicos en el dispositivo /dev/vdb. 3.1. 200 Use parted para crear dos particiones de 256 MiB y configúrelas con el tipo Linux LVM. RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos [root@servera ~]# parted -s /dev/vdb mklabel gpt [root@servera ~]# parted -s /dev/vdb mkpart primary 1MiB 257MiB [root@servera ~]# parted -s /dev/vdb set 1 lvm on [root@servera ~]# parted -s /dev/vdb mkpart primary 258MiB 514MiB [root@servera ~]# parted -s /dev/vdb set 2 lvm on 3.2. Use udevadm settle para que el sistema registre las nuevas particiones. [root@servera ~]# udevadm settle 4. Use pvcreate para agregar las dos nuevas particiones como PV. [root@servera ~]# pvcreate /dev/vdb1 /dev/vdb2 Physical volume "/dev/vdb1" successfully created. Physical volume "/dev/vdb2" successfully created. 5. Use vgcreate para crear un nuevo VG denominado servera_01_vg compilado a partir de los dos PV. [root@servera ~]# vgcreate servera_01_vg /dev/vdb1 /dev/vdb2 Volume group "servera_01_vg" successfully created 6. Use lvcreate para crear un LV de 400 MiB LV denominado servera_01_lv desde el VG servera_01_vg. [root@servera ~]# lvcreate -n servera_01_lv -L 400M servera_01_vg Logical volume "servera_01_lv" created. Esto crea un dispositivo denominado /dev/servera_01_vg/servera_01_lv pero sin un sistema de archivos. 7. Agregue un sistema de archivos persistente. 7.1. Agregue un sistema de archivos XFS en el LV servera_01_lv con el comando mkfs. [root@servera ~]# mkfs -t xfs /dev/servera_01_vg/servera_01_lv ...output omitted... 7.2. Crear un punto de montaje en /data. [root@servera ~]# mkdir /data 7.3. Agregue la siguiente línea al final de /etc/fstab en servera: /dev/servera_01_vg/servera_01_lv 7.4. /data xfs defaults 1 2 Use systemctl daemon-reload para actualizar systemd con la nueva configuración de /etc/fstab. RH134-RHEL8.2-es-1-20200928 201 capítulo 7 | Administración de volúmenes lógicos [root@servera ~]# systemctl daemon-reload 7.5. Verifique la entrada /etc/fstab y monte el nuevo dispositivo de LV servera_01_lv LV con el comando mount. [root@servera ~]# mount /data 8. Evalúe y revise su trabajo. 8.1. Como prueba final, copie algunos archivos en /data y verifique cuántos se copiaron. [root@servera ~]# cp -a /etc/*.conf /data [root@servera ~]# ls /data | wc -l 34 Verificará que aún tenga la misma cantidad de archivos en el siguiente ejercicio guiado. 8.2. parted/dev/VDB Print enumera las particiones que existen en /dev/VDB. [root@servera ~]# parted /dev/vdb print Model: Virtio Block Device (virtblk) Disk /dev/vdb: 5369MB Sector size (logical/physical): 512B/512B Partition Table: gpt Disk Flags: Number 1 2 Start 1049kB 271MB End 269MB 539MB Size 268MB 268MB File system Name primary primary Flags lvm lvm Observe la columna Número, que contiene los valores 1 y 2. Estos corresponden a /dev/vdb1 y /dev/vdb2, respectivamente. También observe la columna Indicadores, que indica el tipo de partición. 8.3. pvdisplay muestra información sobre cada uno de los volúmenes físicos. De forma opcional, incluya el nombre del dispositivo para limitar detalles a un PV específico. [root@servera ~]# pvdisplay /dev/vdb2 --- Physical volume --PV Name /dev/vdb2 VG Name servera_01_vg PV Size 256.00 MiB / not usable 4.00 MiB Allocatable yes PE Size 4.00 MiB Total PE 63 Free PE 26 Allocated PE 37 PV UUID 2z0Cf3-99YI-w9ny-alEW-wWhL-S8RJ-M2rfZk Esto muestra que el PV está asignado al VG servera_01_vg, tiene un tamaño de 256 MiB (si bien 4 MiB no se pueden usar) y el tamaño de la extensión física (PE Size [Tamaño de PE]) es de 4 MiB (el tamaño de un LV asignable más pequeño). 202 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Hay 63 PE, de las cuales 26 están libres para la asignación para LV en el futuro y 37 están asignadas actualmente a LV. Esto se traduce a los siguientes valores de MiB: • Un total de 252 MiB (63 PE x 4 MiB); recuerde, 4 MiB no se pueden usar. • 104 MiB libres (26 PE x 4 MiB) • 148 MiB asignados (37 PE x 4 MiB) 8.4. vgdisplay vgname muestran información sobre el grupo de volúmenes denominado vgname. [root@servera ~]# vgdisplay servera_01_vg Verifique los siguientes valores: • El valor de VG Size (Tamaño de VG) es 504,00 MiB. • El valor de Total PE (PE total) es 126. • El valor de Alloc PE / Size (PE asign. / Tamaño) es 100 / 400,00 MiB. • El valor de Free PE / Size (PE libre / Tamaño) es 26 / 104,00 MiB. 8.5. lvdisplay /dev/vgname/lvname muestra información sobre el volumen lógico denominado lvname. [root@servera ~]# lvdisplay /dev/servera_01_vg/servera_01_lv Revise los valores de LV Path (Ruta de LV), LV Name (Nombre de LV), VG Name (Nombre de VG), LV Status (Estado de LV), LV Size (Tamaño de LV) y Current LE (LE actual) (extensiones lógicas, que se mapean a extensiones físicas). 8.6. El comando mount muestra todos los dispositivos montados y cualquier opción de montaje. Debe incluir /dev/servera_01_vg/servera_01_lv. nota Muchas herramientas informan en cambio el nombre del mapeador de dispositivos, /dev/mapper/servera_01_vg-servera_01_lv; es el mismo volumen lógico. [root@servera ~]# mount Debe observar (probablemente, en la última línea) /dev/mapper/ servera_01_vg-servera_01_lv montado en /data y la información de montaje asociada. 8.7. df -h muestra espacio libre legible para el ser humano. De forma opcional, incluya el punto de montaje para limitar detalles a ese sistema de archivos. [root@servera ~]# df -h /data Filesystem /dev/mapper/servera_01_vg-servera_01_lv Size Used Avail Use% Mounted on 395M 24M 372M 6% /data Estos valores, permitidos para metadatos del sistema de archivos, son los esperados. RH134-RHEL8.2-es-1-20200928 203 capítulo 7 | Administración de volúmenes lógicos 9. Cierre sesión en servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab lvm-creating finish para terminar este ejercicio. Este script elimina el almacenamiento configurado en servera durante el ejercicio. [student@workstation ~]$ lab lvm-creating finish Esto concluye el ejercicio guiado. 204 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Ampliación de volúmenes lógicos Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Ampliar un grupo de volúmenes (VG) con pvcreate y vgextend, y usar vgdisplay para verificar la salida. • Reducir un VG usando pvmove y vgreduce. • Ampliar un volumen lógico (LV) usando lvextend. • Cambiar el tamaño de los sistemas de archivos XFS con xfs_growfs. • Cambiar el tamaño de los sistemas de archivos ext4 con resize2fs. Ampliación y reducción de un grupo de volúmenes Puede agregar más espacio en disco a un grupo de volúmenes mediante la adición de más volúmenes físicos. Esto se denomina ampliación del grupo de volúmenes. Luego, puede asignar las nuevas extensiones físicas desde los volúmenes físicos adicionales a volúmenes lógicos. Puede eliminar los volúmenes físicos no usados de un grupo de volúmenes. Esto se denomina reducción del grupo de volúmenes. Primero, use el comando pvmove para trasladar datos desde extensiones de un volumen físico hasta extensiones de otros volúmenes físicos en el grupo de volúmenes. De esta manera, se puede agregar un nuevo disco a un grupo de volúmenes existentes, se pueden trasladar los datos desde un disco más antiguo o más lento hacia el disco nuevo y se puede eliminar el disco viejo del grupo de volúmenes. Puede hacer esto mientras los volúmenes lógicos del grupo de volúmenes están en uso. Importante En los siguientes ejemplos, se usa el dispositivo vdb y sus particiones para ilustrar comandos LVM. En la práctica, use los dispositivos apropiados para el disco y las particiones de disco en su propio sistema. Ampliación de un grupo de volúmenes Para ampliar un grupo de volúmenes, realice los siguientes pasos: Prepare el dispositivo físico y cree el volumen físico.. Al igual que en la creación de un nuevo grupo de volúmenes, debe crear y preparar una nueva partición para usar como volumen físico si no hay ninguna ya preparada. [root@host ~]# parted -s /dev/vdb mkpart primary 1027MiB 1539MiB [root@host ~]# parted -s /dev/vdb set 3 lvm on [root@host ~]# pvcreate /dev/vdb3 Un PV solo debe crearse si no hay PV libres para ampliar el VG. RH134-RHEL8.2-es-1-20200928 205 capítulo 7 | Administración de volúmenes lógicos Amplíe un grupo de volúmenes. Use vgextend para agregar el nuevo volumen físico al grupo de volúmenes. Use el nombre del VG y el nombre del dispositivo del PV como argumentos para vgextend. [root@host ~]# vgextend vg01 /dev/vdb3 Esto amplía el VG vg01 al tamaño del PV /dev/vdb3. Verifique que el nuevo espacio esté disponible. Use vgdisplay para confirmar que las extensiones físicas adicionales estén disponibles. Revise el Free PE / Size (PE libre/tamaño) en la salida. No debe ser cero. [root@host ~]# vgdisplay vg01 --- Volume group --VG Name vg01 ...output omitted... Free PE / Size 178 / 712.00 MiB ...output omitted... Reducción de un grupo de volúmenes Para reducir un grupo de volúmenes, realice los siguientes pasos: Traslade las extensiones físicas. Use pvmove PV_DEVICE_NAME para reubicar cualquier extensión física del volumen físico que desee eliminar a otros volúmenes físicos en el grupo de volúmenes. Los otros volúmenes físicos deben tener una cantidad suficiente de extensiones libres para aceptar este traslado. Esto solo es posible si hay suficientes extensiones libres en el VG y si todas corresponden a otros PV. [root@host ~]# pvmove /dev/vdb3 Este comando traslada las PE desde /dev/vdb3 a otros PV con PE libres en el mismo VG. Advertencia Antes de usar pvmove, efectúe una copia de seguridad de los datos en los volúmenes lógicos del grupo de volúmenes. Una pérdida de energía imprevista durante la operación puede hacer que el grupo de volúmenes quede en un estado incoherente. Esto provocaría la pérdida de datos en volúmenes lógicos en el grupo de volúmenes. Reduzca el grupo de volúmenes. Use vgreduce VG_NAME PV_DEVICE_NAME para quitar un volumen físico de un grupo de volúmenes. [root@host ~]# vgreduce vg01 /dev/vdb3 Esto elimina el PV /dev/vdb3 del VG vg01 y ahora puede agregarse a otro VG. O se puede usar pvremove para dejar de usar el dispositivo como un PV de forma permanente. 206 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Ampliación de un volumen lógico y el sistema de archivos XFS Uno de los beneficios de los volúmenes lógicos es la capacidad para aumentar su tamaño sin experimentar tiempo de inactividad. Las extensiones físicas libres en un grupo de volúmenes se pueden agregar a un volumen lógico para ampliar su capacidad, que, luego, se puede usar para ampliar el sistema de archivos que contiene. Ampliación de un volumen lógico Para ampliar un volumen lógico, realice los siguientes pasos: Verifique que el grupo de volúmenes tenga espacio disponible. Use vgdisplay para verificar que haya suficientes extensiones físicas disponibles: [root@host ~]# vgdisplay vg01 --- Volume group --VG Name vg01 ...output omitted... Free PE / Size 178 / 712.00 MiB ...output omitted... Revise el Free PE / Size (PE libre/tamaño) en la salida. Confirme que el grupo de volúmenes tenga suficiente espacio libre para la extensión del LV. Si no hay suficiente espacio disponible, amplíe el grupo de volúmenes como corresponda. Consulte “Ampliación y reducción de un grupo de volúmenes”. Amplíe el volumen lógico. Use lvextendLV_DEVICE_NAME para ampliar el volumen lógico a un nuevo tamaño. [root@host ~]# lvextend -L +300M /dev/vg01/lv01 Esto aumenta el tamaño del volumen lógico lv01 en 300 MiB. Observe el signo "(+)" delante del tamaño: significa agregar este valor al tamaño existente; de lo contrario, el valor define el tamaño final del LV. Al igual que con lvcreate, existen diferentes métodos para especificar el tamaño: la opción l espera la cantidad de extensiones físicas como argumento. La opción -L espera tamaños en bytes, mebibytes, gibibytes y similares. En la siguiente lista, se proporcionan algunos ejemplos de ampliación de LV. Ampliación de ejemplos de LV Comando Resultados lvextend -l 128 Cambia el tamaño del volumen lógico a exactamente 128 extensiones. lvextend -l +128 Agrega 128 extensiones al tamaño actual del volumen lógico. lvextend -L 128M Cambia el tamaño del volumen lógico a exactamente 128 MiB. RH134-RHEL8.2-es-1-20200928 207 capítulo 7 | Administración de volúmenes lógicos Comando Resultados lvextend -L +128M Agrega 128 MiB al tamaño actual del volumen lógico. lvextend -l +50%FREE Agrega el 50% del espacio libre actual en el VG al LV. Amplíe el sistema de archivos. Use xfs_growfs mountpoint para ampliar el sistema de archivos para que ocupe el LV ampliado. El sistema de archivos de destino se debe montar cuando use el comando xfs_growfs. Puede seguir usando el sistema de archivos mientras se está cambiando el tamaño. [root@host ~]# xfs_growfs /mnt/data nota Un error común es ejecutar lvextend y olvidarse de ejecutar xfs_growfs. Una alternativa a ejecutar estos pasos de forma consecutiva es incluir la opción -r con el comando lvextend. Esto modifica el tamaño del sistema de archivos después de que el LV se amplíe, usando fsadm(8). Funciona con varios sistemas de archivos diferentes. Verifique el nuevo tamaño del sistema de archivos montado. [root@host ~]# df -h /mountpoint Ampliación de un volumen lógico y el sistema de archivos ext4 Los pasos para ampliar un volumen lógico basado en ext4 son básicamente los mismos que para un LV basado en XFS, excepto por el paso para cambiar el tamaño del sistema de archivos. Revise “Ampliación de un volumen lógico y el sistema de archivos XFS”. Verifique que el grupo de volúmenes tenga espacio disponible. Use vgdisplay VGNAME para verificar que el grupo de volúmenes tenga una cantidad suficiente de extensiones físicas disponibles. Amplíe el volumen lógico. Use lvextend -l +extents /dev/vgname/lvname para ampliar el volumen lógico /dev/ vgname/lvname en el valor de las extensiones. Amplíe el sistema de archivos. Use resize2fs /dev/vgname/lvname para ampliar el sistema de archivos para que ocupe el nuevo LV ampliado. El sistema de archivos se puede montar y usar mientras se ejecuta el comando de extensión. Puede incluir la opción -p para monitorear el progreso de la operación de cambio de tamaño. [root@host ~]# resize2fs /dev/vg01/lv01 208 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos nota La principal diferencia entre xfs_growfs y resize2fs es el argumento que se pasó para identificar el sistema de archivos. xfs_growfs toma el punto de montaje y resize2fs toma el nombre del volumen lógico. Ampliar un volumen lógico y el espacio de intercambio Los volúmenes lógicos formateados como espacio de intercambio también se pueden ampliar; sin embargo, el proceso es diferente al de la ampliación de un sistema de archivos, como ext4 o XFS. Los volúmenes lógicos formateados con un sistema de archivos pueden ampliarse dinámicamente sin tiempo de inactividad. Los volúmenes lógicos formateados con espacio de intercambio se deben desconectar para ampliarse. Verifique que el grupo de volúmenes tenga espacio disponible. Use vgdisplay vgname para verificar que haya una cantidad suficiente de extensiones físicas disponibles. Desactive el espacio de intercambio. Use swapoff -v /dev/vgname/lvname para desactivar el espacio de intercambio en el volumen lógico. Advertencia Su sistema debe tener suficiente espacio libre en la memoria o en el espacio de intercambio para aceptar cualquier cosa que deba paginar cuando el espacio de intercambio en el volumen lógico está desactivado. Amplíe el volumen lógico. lvextend -l +extents /dev/vgname/lvname amplía el volumen lógico /dev/vgname/ lvname en el valor de las extensiones. Formatee el volumen lógico como espacio de intercambio. mkswap /dev/vgname/lvname formatea todo el volumen lógico como espacio de intercambio. Active el espacio de intercambio. Use swapon -va /dev/vgname/lvname para activar el espacio de intercambio en el volumen lógico. Referencias Páginas del manual: lvm(8), pvcreate(8), pvmove(8), vgdisplay(8), vgextend(8), vgreduce(8), vgdisplay(8), vgextend(8), vgreduce(8), lvextend(8), fdisk(8), gdisk(8), parted(8), partprobe(8), xfs_growfs(8) y resize2fs(8) swapoff(8) swapon(8) mkswap(8) RH134-RHEL8.2-es-1-20200928 209 capítulo 7 | Administración de volúmenes lógicos Ejercicio Guiado Ampliación de volúmenes lógicos En este trabajo de laboratorio, ampliará el volumen lógico agregado en el ejercicio de práctica anterior. Resultados Usted deberá ser capaz de realizar lo siguiente: • Ampliar el grupo de volúmenes para incluir un volumen físico adicional. • Cambiar el tamaño del volumen lógico mientras el sistema de archivos aún está montado y en uso. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab lvm-extending start. Este comando ejecuta un script de inicio que determina si el host servera es accesible en la red y garantiza que el almacenamiento del ejercicio guiado anterior esté disponible. [student@workstation ~]$ lab lvm-extending start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar a root en el prompt de shell. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Use vgdisplay para determinar si el VG tiene suficiente espacio libre para ampliar el LV hasta un tamaño total de 700 MiB. [root@servera ~]# vgdisplay servera_01_vg --- Volume group --VG Name servera_01_vg System ID Format lvm2 ...output omitted... VG Size 504.00 MiB PE Size 4.00 MiB 210 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Total PE Alloc PE / Size Free PE / Size VG UUID 126 100 / 400.00 MiB 26 / 104.00 MiB OBBAtU-2nBS-4SW1-khmF-yJzi-z7bD-DpCrAV Hay solo 104 MiB disponibles (26 PE x extensiones de 4 MiB) y necesita al menos 300 MiB para tener 700 MiB en total. Necesita ampliar el VG. Para una posterior comparación, use df para registrar el espacio libre en el disco actual: [root@servera ~]# df -h /data Filesystem /dev/mapper/servera_01_vg-servera_01_lv Size 395M Used Avail Use% Mounted on 24M 372M 6% /data 4. Cree el recurso físico. 4.1. Use parted para crear una partición adicional de 512 MiB y configúrela con el tipo Linux LVM. [root@servera ~]# parted -s /dev/vdb mkpart primary 515MiB 1027MiB [root@servera ~]# parted -s /dev/vdb set 3 lvm on 4.2. Use udevadm settle para que el sistema registre la nueva partición. [root@servera ~]# udevadm settle 5. Use pvcreate para agregar la nueva partición como un PV. [root@servera ~]# pvcreate /dev/vdb3 Physical volume "/dev/vdb3" successfully created. 6. Amplíe un grupo de volúmenes. 6.1. Use vgextend para ampliar el VG denominado servera_01_vg, mediante el nuevo PV /dev/vdb3. [root@servera ~]# vgextend servera_01_vg /dev/vdb3 Volume group "servera_01_vg" successfully extended 6.2. Use vgdisplay para inspeccionar el espacio libre del VG servera_01_vg nuevamente. Ahora, debe haber suficiente espacio libre. [root@servera ~]# vgdisplay servera_01_vg --- Volume group --VG Name servera_01_vg System ID Format lvm2 ...output omitted... VG Size 1012.00 MiB PE Size 4.00 MiB Total PE 253 RH134-RHEL8.2-es-1-20200928 211 capítulo 7 | Administración de volúmenes lógicos Alloc PE / Size Free PE / Size VG UUID 100 / 400.00 MiB 153 / 612.00 MiB OBBAtU-2nBS-4SW1-khmF-yJzi-z7bD-DpCrAV Hay 612 MiB de espacio libre disponible (153 PE x extensiones de 4 MiB). 7. Use lvextend para ampliar el LV existente a 700 MiB. [root@servera ~]# lvextend -L 700M /dev/servera_01_vg/servera_01_lv Size of logical volume servera_01_vg/servera_01_lv changed from 400.00 MiB (100 extents) to 700.00 MiB (175 extents). Logical volume servera_01_vg/servera_01_lv successfully resized. nota El ejemplo especifica el tamaño exacto para crear el LV final, pero podría haber especificado la cantidad de espacio adicional deseada: • -L +300M para agregar el nuevo espacio usando el tamaño en MiB. • -l 175 para especificar el número total de extensiones (175 PE x 4 MiB). • -l +75 para agregar las extensiones adicionales necesarias. 8. Use xfs_growfs para ampliar el sistema de archivos XFS hasta el resto del espacio libre del LV. [root@servera ~]# xfs_growfs /data meta-data=/dev/mapper/servera_01_vg-servera_01_lv isize=512 agsize=25600 blks ...output omitted... agcount=4, 9. Use df y ls | wc para revisar el nuevo tamaño del sistema de archivos y verifique que los archivos existentes anteriormente aún estén presentes. [root@servera ~]# df -h /data Filesystem /dev/mapper/servera_01_vg-servera_01_lv [root@servera ~]# ls /data | wc -l 34 Size 695M Used Avail Use% Mounted on 26M 670M 4% /data Los archivos aún existen y el sistema de archivos se aproxima al tamaño especificado. 10. Cierre sesión en servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ 212 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Finalizar En workstation, ejecute el comando lab lvm-extending finish para terminar este ejercicio. Este script elimina el almacenamiento configurado en servera durante el ejercicio. [student@workstation ~]$ lab lvm-extending finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 213 capítulo 7 | Administración de volúmenes lógicos Trabajo de laboratorio Administración de volúmenes lógicos Lista de verificación de rendimiento En este trabajo de laboratorio, modificará el tamaño de un volumen lógico existente, agregará recursos de LVM según sea necesario y, luego, agregará un nuevo volumen lógico con un sistema de archivos XFS montado de manera persistente en este. Resultados Usted deberá ser capaz de realizar lo siguiente: • Cambiar el tamaño del volumen lógico serverb_01_lv a 768 MiB. • Crear un nuevo volumen lógico de 128 MiB denominado serverb_02_lv con un sistema de archivos XFS, montado de forma persistente en /storage/data2. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab lvm-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También prepara el almacenamiento en serverb para el ejercicio. [student@workstation ~]$ lab lvm-review start En serverb, un volumen lógico denominado serverb_01_lv montado en /storage/data1 se está quedando sin espacio en disco y se le ha solicitado que amplíe su tamaño a 768 MiB. Debe asegurarse de que serverb_01_lv permanece montado de forma persistente en /storage/ data1. También se le ha solicitado que cree un nuevo volumen lógico de 128 MiB denominado serverb_02_lv, montado en /storage/data2. Se le ha indicado que formatee el nuevo volumen lógico con el sistema de archivos XFS. El grupo de volúmenes serverb_01_vg contiene los volúmenes lógicos. Desafortunadamente, no tiene espacio suficiente para ampliar el volumen lógico existente y agregar el nuevo. Se creó una partición de 512 MiB previamente en /dev/vdb. Se le ha indicado que use 512 MiB adicionales en /dev/vdb. Debe crear la nueva partición. 1. Cree una partición de 512 MiB en /dev/vdb; inicialícela como un volumen físico y amplíe el grupo de volúmenes serverb_01_vg con esta. 2. Amplíe el volumen lógico serverb_01_lv a 768 MiB, que incluye el sistema de archivos. 3. En el grupo de volúmenes existente, cree un nuevo volumen lógico denominado serverb_02_lv con un tamaño de 128 MiB. Agregue un sistema de archivos XFS y móntelo de forma persistente en /storage/data2. 4. Cuando haya finalizado, reinicie su máquina serverb y, luego, ejecute el comando lab lvm-review grade desde su máquina workstation para verificar su trabajo. 214 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Espere hasta que serverb está completamente encendido y luego proceda a ejecutar la evaluación. Evaluación En workstation, ejecute el script lab lvm-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab lvm-review grade Finalizar En workstation, ejecute el script lab lvm-review finish para terminar el trabajo de laboratorio. [student@workstation ~]$ lab lvm-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 215 capítulo 7 | Administración de volúmenes lógicos Solución Administración de volúmenes lógicos Lista de verificación de rendimiento En este trabajo de laboratorio, modificará el tamaño de un volumen lógico existente, agregará recursos de LVM según sea necesario y, luego, agregará un nuevo volumen lógico con un sistema de archivos XFS montado de manera persistente en este. Resultados Usted deberá ser capaz de realizar lo siguiente: • Cambiar el tamaño del volumen lógico serverb_01_lv a 768 MiB. • Crear un nuevo volumen lógico de 128 MiB denominado serverb_02_lv con un sistema de archivos XFS, montado de forma persistente en /storage/data2. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab lvm-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También prepara el almacenamiento en serverb para el ejercicio. [student@workstation ~]$ lab lvm-review start En serverb, un volumen lógico denominado serverb_01_lv montado en /storage/data1 se está quedando sin espacio en disco y se le ha solicitado que amplíe su tamaño a 768 MiB. Debe asegurarse de que serverb_01_lv permanece montado de forma persistente en /storage/ data1. También se le ha solicitado que cree un nuevo volumen lógico de 128 MiB denominado serverb_02_lv, montado en /storage/data2. Se le ha indicado que formatee el nuevo volumen lógico con el sistema de archivos XFS. El grupo de volúmenes serverb_01_vg contiene los volúmenes lógicos. Desafortunadamente, no tiene espacio suficiente para ampliar el volumen lógico existente y agregar el nuevo. Se creó una partición de 512 MiB previamente en /dev/vdb. Se le ha indicado que use 512 MiB adicionales en /dev/vdb. Debe crear la nueva partición. Cree una partición de 512 MiB en /dev/vdb; inicialícela como un volumen físico y amplíe el grupo de volúmenes serverb_01_vg con esta. 1. 1.1. Inicie sesión en serverb como el usuario student. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 216 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. 1.2. [student@serverb ~]$ sudo -i [sudo] password for student: student [root@serverb ~]# Use parted para crear una partición de 512 MiB y configúrela con el tipo Linux LVM. 1.3. [root@serverb ~]# parted -s /dev/vdb mkpart primary 514MiB 1026MiB [root@serverb ~]# parted -s /dev/vdb set 2 lvm on Use udevadm settle para que el sistema registre la nueva partición. 1.4. [root@servera ~]# udevadm settle Use pvcreate para inicializar la partición como un PV. 1.5. [root@serverb ~]# pvcreate /dev/vdb2 Physical volume "/dev/vdb2" successfully created. Use vgextend para ampliar el VG denominado serverb_01_vg, mediante el nuevo PV /dev/vdb2. 1.6. [root@serverb ~]# vgextend serverb_01_vg /dev/vdb2 Volume group "serverb_01_vg" successfully extended 2. Amplíe el volumen lógico serverb_01_lv a 768 MiB, que incluye el sistema de archivos. Use lvextend para ampliar el LV serverb_01_lv a 768 MiB. 2.1. [root@serverb ~]# lvextend -L 768M /dev/serverb_01_vg/serverb_01_lv Size of logical volume serverb_01_vg/serverb_01_lv changed from 256.00 MiB (64 extents) to 768.00 MiB (192 extents). Logical volume serverb_01_vg/serverb_01_lv successfully resized. nota O podría haber usado la opción -L +512M para cambiar el tamaño del LV. 2.2. Use xfs_growfs para ampliar el sistema de archivos XFS hasta el resto del espacio libre del LV. [root@serverb ~]# xfs_growfs /storage/data1 meta-data=/dev/mapper/serverb_01_vg-serverb_01_lv isize=512 agsize=16384 blks ...output omitted... RH134-RHEL8.2-es-1-20200928 agcount=4, 217 capítulo 7 | Administración de volúmenes lógicos nota En este ejemplo, se muestra el paso xfs_growfs para ampliar el sistema de archivos. Una alternativa hubiese sido agregar la opción -r al comando lvextend. 3. En el grupo de volúmenes existente, cree un nuevo volumen lógico denominado serverb_02_lv con un tamaño de 128 MiB. Agregue un sistema de archivos XFS y móntelo de forma persistente en /storage/data2. 3.1. Use lvcreate para crear un LV de 128 MiB denominado serverb_02_lv desde el VG serverb_01_vg. [root@serverb ~]# lvcreate -n serverb_02_lv -L 128M serverb_01_vg Logical volume "serverb_02_lv" created 3.2. Use mkfs para colocar un sistema de archivos xfs en el LV serverb_02_lv. Use el nombre del dispositivo LV. [root@serverb ~]# mkfs -t xfs /dev/serverb_01_vg/serverb_02_lv meta-data=/dev/serverb_01_vg/serverb_02_lv isize=512 agcount=4, agsize=8192 blks ...output omitted... 3.3. Use mkdir para crear un punto de montaje en /storage/data2. [root@serverb ~]# mkdir /storage/data2 3.4. Agregue la siguiente línea al final de /etc/fstab en serverb: /dev/serverb_01_vg/serverb_02_lv 3.5. /storage/data2 xfs defaults 1 2 Use systemctl daemon-reload para actualizar systemd con la nueva configuración de /etc/fstab. [root@servera ~]# systemctl daemon-reload 3.6. Use mount para verificar la entrada /etc/fstab y monte el nuevo dispositivo del LV serverb_02_lv. [root@serverb ~]# mount /storage/data2 Cuando haya finalizado, reinicie su máquina serverb y, luego, ejecute el comando lab lvm-review grade desde su máquina workstation para verificar su trabajo. 4. [root@serverb ~]# systemctl reboot Espere hasta que serverb está completamente encendido y luego proceda a ejecutar la evaluación. 218 RH134-RHEL8.2-es-1-20200928 capítulo 7 | Administración de volúmenes lógicos Evaluación En workstation, ejecute el script lab lvm-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab lvm-review grade Finalizar En workstation, ejecute el script lab lvm-review finish para terminar el trabajo de laboratorio. [student@workstation ~]$ lab lvm-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 219 capítulo 7 | Administración de volúmenes lógicos Resumen En este capítulo, aprendió lo siguiente: • LVM le permite crear un almacenamiento flexible al asignar espacio en múltiples dispositivos de almacenamiento. • Los volúmenes físicos, los grupos de volúmenes y los volúmenes lógicos se administran mediante diversas herramientas, como pvcreate, vgreduce y lvextend. • Los volúmenes lógicos se pueden formatear con un sistema de archivos o espacio de intercambio, y se pueden montar de forma persistente. • Se puede agregar almacenamiento adicional a los grupos de volúmenes y los volúmenes lógicos pueden ampliarse de forma dinámica. 220 RH134-RHEL8.2-es-1-20200928 capítulo 8 Implementación de funciones avanzadas de almacenamiento Meta Administrar el almacenamiento con el sistema de administración de almacenamiento local Stratis y usar los volúmenes VDO para optimizar el espacio de almacenamiento en uso. Objetivos • Administrar múltiples capas de almacenamiento con la administración de almacenamiento local Stratis. • Optimizar el uso del espacio de almacenamiento con VDO para comprimir y desduplicar datos en dispositivos de almacenamiento. • Gestión de almacenamiento en capas con Stratis (y ejercicio guiado) • Compresión y desduplicación de almacenamiento con VDO (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Implementación de funciones avanzadas de almacenamiento 221 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Gestión de almacenamiento en capas con Stratis Objetivos Tras completar esta sección, debería ser capaz de administrar múltiples capas de almacenamiento con la administración de almacenamiento local Stratis. Descripción de la arquitectura de Stratis Stratis es una nueva solución de gestión de almacenamiento local para Linux. Stratis está diseñado para facilitar la configuración inicial del almacenamiento, realizar cambios en la configuración del almacenamiento y utilizar funciones avanzadas de almacenamiento. Importante Stratis está disponible como preestreno tecnológico. Para obtener información sobre el alcance de soporte de Red Hat para funciones de vista previa de la tecnología, consulte el documento Alcance del soporte de las prestaciones de tecnología [https://access.redhat.com/support/offerings/techpreview]. Se recomienda a los clientes que implementen Stratis que envíen sus comentarios a Red Hat. Stratis se ejecuta como un servicio que administra pools (conjuntos) de dispositivos de almacenamiento físico, y crea y administra de forma transparente los volúmenes para los sistemas de archivos recién creados. En Stratis, los sistemas de archivos se compilan desde los conjuntos de dispositivos de disco compartidos utilizando un concepto conocido como aprovisionamiento ligero. En lugar de asignar inmediatamente espacio físico de almacenamiento al sistema de archivos cuando se crea, Stratis dinámicamente asigna ese espacio del conjunto a medida que el sistema de archivos almacena más datos. Por lo tanto, puede parecer que el sistema de archivos tiene un tamaño de 1 TiB, pero solo puede tener 100 GiB de almacenamiento real, que se le asignó realmente desde el conjunto. Puede crear múltiples conjuntos con diferentes dispositivos de almacenamiento. Desde cada pool (conjunto), puede crear uno o más sistemas de archivos. Actualmente, puedes crear hasta 224 sistemas de archivos por pool (conjunto). Los componentes que conforman un sistema de archivos administrado por Stratis se crean a partir de componentes estándar de Linux. Internamente, Stratis se implementa mediante el uso de la infraestructura del asignador de dispositivos que también se usa para implementar LVM, y los sistemas de archivos gestionados por Stratis se formatean con XFS. En el siguiente diagrama, se ilustra cómo se ensamblan los elementos de la solución de administración de almacenamiento Stratis. Los dispositivos de almacenamiento de bloques, como discos duros o SSD, se asignan a grupos, cada uno de los cuales contribuye a un almacenamiento físico en el conjunto. Los sistemas de archivos se crean a partir de los conjuntos, y el almacenamiento físico se asigna a cada sistema de archivos según sea necesario. 222 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Figura 8.1: Elementos de Stratis Trabajo con Stratis Storage Para gestionar los sistemas de archivos con la solución de administración de almacenamiento Stratis, instale los paquetes stratis-cli y stratisd. El paquete stratis-cli proporciona el comando stratis, que envía solicitudes de reconfiguración al daemon del sistema stratisd. El paquete stratisd proporciona el servicio stratisd, que maneja los pedidos de reconfiguración y administra y monitorea los dispositivos de bloque, los conjuntos y los sistemas de archivos que utiliza Stratis. Advertencia Los sistemas de archivos creados por Stratis solo deben volver a configurarse con herramientas y comandos de Stratis. Stratis usa metadatos almacenados para reconocer pools (conjuntos) administrados, volúmenes y sistemas de archivos. La configuración manual de los sistemas de archivos Stratis con comandos que no son de Stratis podría causar la pérdida de esos metadatos e impedir que Stratis reconozca los sistemas de archivos que ha creado. Instalación y habilitación de Stratis Para usar Stratis, asegúrese de que el software esté instalado y de que el servicio stratisd se esté ejecutando. • Instale stratis-cli y stratisd con el comando yum install. RH134-RHEL8.2-es-1-20200928 223 capítulo 8 | Implementación de funciones avanzadas de almacenamiento [root@host ~]# yum install stratis-cli stratisd ...output omitted... Is this ok [y/N]: y ...output omitted... Complete! • Active el servicio stratisd con el comando systemctl. [root@host ~]# systemctl enable --now stratisd Montaje de almacenamiento de bloques en grupos de Stratis Las siguientes son operaciones de administración comunes realizadas con la solución de administración de almacenamiento Stratis. • Crear pools (conjuntos) de uno o más dispositivos de bloque con el comando stratis pool create. [root@host ~]# stratis pool create pool1 /dev/vdb Cada pool (conjunto) es un subdirectorio en el directorio /stratis. • Usar el comando stratis pool list para ver la lista de pools (conjuntos) disponibles. [root@host ~]# stratis pool list Name Total Physical Size Total Physical Used pool1 5 GiB 52 MiB Advertencia El comando stratis pool list es muy importante porque le muestra cuánto espacio de almacenamiento está en uso (y, por lo tanto, cuánto aún está disponible) en los conjuntos. Si un conjunto se queda sin almacenamiento, los datos escritos en los sistemas de archivos que pertenecen a ese conjunto se pierden en silencio. • Usar el comando stratis pool add-data para agregar dispositivos de bloque adicionales a un pool (conjunto). [root@host ~]# stratis pool add-data pool1 /dev/vdc • Usar el comando stratis blockdev list para ver los dispositivos de bloque de un pool (conjunto). [root@host ~]# stratis blockdev list pool1 Pool Name Device Node Physical Size State pool1 /dev/vdb 5 GiB In-use pool1 /dev/vdc 5 GiB In-use 224 Tier Data Data RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Administración de sistemas de archivos de Stratis • Usar el comando stratis filesystem create para crear un sistema de archivos de un conjunto. [root@host ~]# stratis filesystem create pool1 fs1 Los enlaces a los sistemas de archivos Stratis están en el directorio /stratis/pool1. • Usar el comando stratis filesystem list para ver la lista de sistemas de archivos disponibles. [root@host ~]# stratis filesystem list Pool Name Name Used Created pool1 fs1 546 MiB Sep 23 2020 13:11 Device /stratis/pool1/fs1 UUID 31b9363badd... Advertencia El comando df informará que los nuevos sistemas de archivos XFS administrados por Stratis tienen un tamaño de 1 TiB, independientemente de la cantidad de almacenamiento físico que esté actualmente asignada al sistema de archivos. Debido a que el sistema de archivos se aprovisiona de forma ligera, es posible que el conjunto no tenga suficiente almacenamiento real para hacer una copia de seguridad de todo el sistema de archivos, especialmente si otros sistemas de archivos en el conjunto utilizan todo el almacenamiento disponible. Por lo tanto, es posible utilizar todo el espacio en el grupo de almacenamiento, mientras que df aún informa que el sistema de archivos tiene espacio disponible. Si el conjunto no tiene almacenamiento disponible para el sistema de archivos, es posible que se produzca un error al intentar escribir en ese sistema de archivos, lo que provocará la pérdida de datos. Utilice stratis pool list para monitorear el almacenamiento real restante disponible para los conjuntos de Stratis. • Puede crear una snapshot de un sistema de archivos administrado por Stratis con el comando stratis filesystem snapshot. Las capturas de instantáneas son independientes de los sistemas de archivos de origen. [root@host ~]# stratis filesystem snapshot pool1 fs1 snapshot1 Montaje de forma persistente de sistemas de archivos de Stratis Para asegurarse de que los sistemas de archivos Stratis se monten de forma persistente, edite /etc/fstab y especifique los detalles del sistema de archivos. En el siguiente comando, se muestra el UUID del sistema de archivos que debe usar en /etc/fstab para identificar el sistema de archivos. [root@host ~]# lsblk --output=UUID /stratis/pool1/fs1 UUID 31b9363b-add8-4b46-a4bf-c199cd478c55 RH134-RHEL8.2-es-1-20200928 225 capítulo 8 | Implementación de funciones avanzadas de almacenamiento La siguiente es una entrada de ejemplo en el archivo /etc/fstab para montar de forma persistente un sistema de archivos Stratis. Esta entrada de ejemplo es una sola línea extensa en el archivo. UUID=31b9363b-add8-4b46-a4bf-c199cd478c55 /dir1 xfs defaults,xsystemd.requires=stratisd.service 0 0 La opción de montaje x-systemd.requires=stratisd.service retrasa el montaje del sistema de archivos hasta después de que systemd inicia stratisd.service durante el proceso de arranque. Importante Si no incluye la opción de montaje x-systemd.requires=stratisd.service en /etc/fstab para cada sistema de archivos Stratis, la máquina no se iniciará correctamente y se abortará en caso de emergencia.target la próxima vez que se reinicie. Referencias Para obtener más información, consulte el capítulo Gestión de almacenamiento local en capas con Stratis de la Guía de configuración y administración de sistemas de archivos con Red Hat Enterprise Linux 8 en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htmlsingle/configuring_and_managing_file_systems/ Almacenamiento de Stratis https://stratis-storage.github.io/ Lecciones que Stratis aprendió de ZFS, Btrfs y Linux Volume Manager https://opensource.com/article/18/4/stratis-lessons-learned 226 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Ejercicio Guiado Gestión de almacenamiento en capas con Stratis En este ejercicio, usará Stratis para crear sistemas de archivos a partir de grupos de almacenamiento provistos por dispositivos de almacenamiento físicos. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un sistema de archivos con aprovisionamiento ligero (thin provisioned) con la solución de administración de almacenamiento Stratis. • Verificar que los volúmenes Stratis crezcan dinámicamente para admitir crecimiento de datos en tiempo real. • Acceder a los datos desde la instantánea de un sistema de archivos con aprovisionamiento ligero (thin provisioned). Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation , ejecute lab advstorage-stratis start para iniciar el ejercicio. Este script configura el entorno correctamente y garantiza que los discos adicionales en servera estén limpios. [student@workstation ~]$ lab advstorage-stratis start 1. Desde workstation, abra una sesión de SSH en servera como student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Cambie al usuario root. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Instale los paquetes stratisd y stratis-cli con el comando yum. RH134-RHEL8.2-es-1-20200928 227 capítulo 8 | Implementación de funciones avanzadas de almacenamiento [root@servera ~]# yum install stratisd stratis-cli ...output omitted... Is this ok [y/N]: y ...output omitted... Complete! 4. Active el servicio stratisd con el comando systemctl. [root@servera ~]# systemctl enable --now stratisd 5. Asegúrese de que el pool (conjunto) de Stratis stratispool1 existe con el dispositivo de bloque /dev/vdb. 5.1. Cree un pool (conjunto) de Stratis denominado stratispool1 con el comando stratis pool create. [root@servera ~]# stratis pool create stratispool1 /dev/vdb 5.2. Verifique la disponibilidad de stratispool1 con el comando stratis pool list. [root@servera ~]# stratis pool list Name Total Physical stratispool1 5 GiB / 37.63 MiB / 4.96 GiB Observe el tamaño del pool (conjunto) en la salida anterior. 6. Amplíe la capacidad de stratispool1 con el dispositivo de bloque /dev/vdc. 6.1. Agregue el dispositivo de bloque /dev/vdc a stratispool1 con el comando stratis pool add-data. [root@servera ~]# stratis pool add-data stratispool1 /dev/vdc 6.2. Verifique el tamaño de stratispool1 con el comando stratis pool list. [root@servera ~]# stratis pool list Name Total Physical stratispool1 10 GiB / 41.63 MiB / 9.96 GiB Como se muestra arriba, el tamaño del pool (conjunto) stratispool1 aumentó cuando agregó el dispositivo de bloque. 6.3. Verifique los dispositivos de bloque que son actualmente miembros de stratispool1 con el comando stratis blockdev list. [root@servera ~]# stratis blockdev list stratispool1 Pool Name Device Node Physical Size Tier stratispool1 /dev/vdb 5 GiB Data stratispool1 /dev/vdc 5 GiB Data 228 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento 7. Agregue un sistema de archivos con aprovisionamiento ligero (thin provisioned) denominado stratis-filesystem1 en el pool (conjunto) stratispool1. Monte el sistema de archivos en /stratisvol. Cree un archivo en el sistema de archivos stratisfilesystem1 denominado file1 que contenga el texto Hello World!. 7.1. Cree el sistema de archivos con aprovisionamiento ligero (thin provisioned) stratis-filesystem1 en stratispool1 con el comando stratis filesystem create. Puede tardar hasta un minuto para que se complete el comando. [root@servera ~]# stratis filesystem create stratispool1 stratis-filesystem1 7.2. Verifique la disponibilidad de stratis-filesystem1 con el comando stratis filesystem list. [root@servera ~]# stratis filesystem list Pool Name Name Used Created UUID stratispool1 stratis-filesystem1 546 MiB Mar 29 2019 07:48 stratispool1/stratis-filesystem1 8714...e7db Device /stratis/ Observe el uso actual de stratis-filesystem1. Este uso del sistema de archivos aumenta a pedido en los siguientes pasos. 7.3. Cree un directorio denominado /stratisvol con el comando mkdir. [root@servera ~]# mkdir /stratisvol 7.4. Monte stratis-filesystem1 en /stratisvol con el comando mount. [root@servera ~]# mount /stratis/stratispool1/stratis-filesystem1 /stratisvol 7.5. Verifique que el volumen stratis-filesystem1 esté montado n /stratisvol con el comando mount. [root@servera ~]# mount ...output omitted... /dev/mapper/stratis-1-5c0e...12b9-thin-fs-8714...e7db on /stratisvol type xfs (rw,relatime,seclabel,attr2,inode64,sunit=2048,swidth=2048,noquota) 7.6. Cree un archivo de texto /stratisvol/file1 con el comando echo. [root@servera ~]# echo "Hello World!" > /stratisvol/file1 8. Verifique que el sistema de archivos con aprovisionamiento ligero (thin provisioned) stratis-filesystem1 crece dinámicamente a medida que crecen los datos en el sistema de archivos. 8.1. Vea el uso actual de stratis-filesystem1 con el comando stratis filesystem list. RH134-RHEL8.2-es-1-20200928 229 capítulo 8 | Implementación de funciones avanzadas de almacenamiento [root@servera ~]# stratis filesystem list Pool Name Name Used Created UUID stratispool1 stratis-filesystem1 546 MiB Mar 29 2019 07:48 stratispool1/stratis-filesystem1 8714...e7db 8.2. Device /stratis/ Cree un archivo de 2 GiB en stratis-filesystem1 con el comando dd. Puede tardar hasta un minuto para que se complete el comando. [root@servera ~]# dd if=/dev/urandom of=/stratisvol/file2 bs=1M count=2048 8.3. Verifique el uso de stratis-filesystem1 con el comando stratis filesystem list. [root@servera ~]# stratis filesystem list Pool Name Name Used Created UUID stratispool1 stratis-filesystem1 2.53 GiB Mar 29 2019 07:48 stratispool1/stratis-filesystem1 8714...e7db Device /stratis/ La salida anterior muestra que aumentó el uso de stratis-filesystem1. El aumento en el uso confirma que el sistema de archivos con aprovisionamiento ligero (thin provisioned) se amplió dinámicamente para alojar el crecimiento de datos en tiempo real que causó al crear /stratisvol/file2. 9. Cree una instantánea de stratis-filesystem1 denominada stratis-filesystem1snap. La instantánea le proporcionará acceso a cualquier archivo que se elimine de stratis-filesystem1. 9.1. Cree una instantánea de stratis-filesystem1 con el comando stratis filesystem snapshot. Puede tardar hasta un minuto para que se complete el comando. El siguiente comando es muy extenso y debe ingresarse en una sola línea. [root@servera ~]# stratis filesystem snapshot stratispool1 stratis-filesystem1 stratis-filesystem1-snap 9.2. Verifique la disponibilidad de la instantánea con el comando stratis filesystem list. [root@servera ~]# stratis filesystem list ...output omitted... stratispool1 stratis-filesystem1-snap 2.53 GiB Mar 29 2019 10:28 stratispool1/stratis-filesystem1-snap 291d...8a16 9.3. /stratis/ Elimine el archivo /stratisvol/file1. [root@servera ~]# rm /stratisvol/file1 rm: remove regular file '/stratisvol/file1'? y 230 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento 9.4. Cree el directorio /stratisvol-snap con el comando mkdir. [root@servera ~]# mkdir /stratisvol-snap 9.5. Monte la instantánea stratis-filesystem1-snap en /stratisvol-snap con el comando mount. El siguiente comando es muy extenso y debe ingresarse en una sola línea. [root@servera ~]# mount /stratis/stratispool1/stratis-filesystem1-snap / stratisvol-snap 9.6. Confirme que aún puede acceder al archivo que eliminó de stratis-filesystem1 con la instantánea stratis-filesystem1-snap. [root@servera ~]# cat /stratisvol-snap/file1 Hello World! 10. Desmonte /stratisvol y /stratisvol-Snap con el comando umount. [root@servera ~]# umount /stratisvol-snap [root@servera ~]# umount /stratisvol 11. Elimine el sistema de archivos con aprovisionamiento ligero (thin provisioned) stratisfilesystem1 y su instantánea stratis-filesystem1-snap del sistema. 11.1. Destruya stratis-filesystem1-snap con el comando stratis filesystem destroy. [root@servera ~]# stratis filesystem destroy stratispool1 stratis-filesystem1-snap 11.2. Destruya stratis-filesystem1 con el comando stratis filesystem destroy. [root@servera ~]# stratis filesystem destroy stratispool1 stratis-filesystem1 11.3. Salga de la shell del usuario root y cierre sesión en servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el comando lab advstorage-stratis finish para terminar este ejercicio. Este script elimina las particiones y los archivos creados durante el ejercicio para garantizar que el entorno quede limpio. RH134-RHEL8.2-es-1-20200928 231 capítulo 8 | Implementación de funciones avanzadas de almacenamiento [student@workstation ~]$ lab advstorage-stratis finish Esto concluye el ejercicio guiado. 232 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Compresión y desduplicación de almacenamiento con VDO Objetivos Tras completar esta sección, debería ser capaz de optimizar el uso del espacio de almacenamiento con VDO para comprimir y desduplicar datos en dispositivos de almacenamiento. Descripción del optimizador de datos virtual Red Hat Enterprise Linux 8 incluye el controlador del optimizador de datos virtual (VDO), que optimiza la huella de datos en dispositivos de bloque. VDO es un controlador de asignación de dispositivos Linux que reduce el uso de espacio en disco en dispositivos de bloque y minimiza la replicación de datos, lo que ahorra espacio en disco e incluso aumenta el rendimiento de datos. VDO incluye dos módulos de kernel, el módulo kvdo para controlar la compresión de datos de forma transparente y el módulo uds para la desduplicación. La capa de VDO se coloca encima de un dispositivo de almacenamiento de bloque existente, como un dispositivo RAID o un disco local. Esos dispositivos de bloque también pueden ser dispositivos cifrados. Las capas de almacenamiento, como los volúmenes lógicos LVM y los sistemas de archivos, se colocan sobre un dispositivo VDO. En el siguiente diagrama, se muestra la ubicación de VDO en una infraestructura que consiste en máquinas virtuales KVM que utilizan dispositivos de almacenamiento optimizados. Figura 8.2: Máquinas virtuales basadas en VDO VDO aplica tres fases a los datos en el siguiente orden para reducir la huella en los dispositivos de almacenamiento: 1. La eliminación de bloque cero filtra los bloques de datos que contienen solo ceros (0) y registra la información de esos bloques solo en los metadatos. Los bloques de datos distintos de cero se pasan a la siguiente fase de procesamiento. Esta fase habilita la función de aprovisionamiento ligero (thin provisioning) en los dispositivos de VDO. 2. La desduplicación elimina los bloques de datos redundantes. Cuando crea múltiples copias de los mismos datos, VDO detecta los bloques de datos duplicados y actualiza los metadatos para usar esos bloques duplicados como referencias al bloque de datos original sin crear bloques de datos redundantes. El módulo del kernel del servicio de desduplicación universal RH134-RHEL8.2-es-1-20200928 233 capítulo 8 | Implementación de funciones avanzadas de almacenamiento (UDS) comprueba la redundancia de los datos a través de los metadatos que mantiene. Este módulo de kernel se envía como parte del VDO. 3. La compresión es la última fase. El módulo de kernel kvdo comprime los bloques de datos con la compresión LZ4 y los agrupa en bloques de 4 KB. Implementación del optimizador de datos virtual Los dispositivos lógicos que crea con VDO se denominan volúmenes de VDO. Los volúmenes de VDO son similares a las particiones de disco; puede formatear los volúmenes con el tipo de sistema de archivos deseado y montarlo como un sistema de archivos regular. También puede usar un volumen de VDO como un volumen físico de LVM. Para crear un volumen de VDO, especifique un dispositivo de bloque y el nombre del dispositivo lógico que VDO presenta al usuario. O puede especificar el tamaño lógico del volumen de VDO. El tamaño lógico del volumen de VDO puede ser mayor que el tamaño físico del dispositivo de bloque real. Dado que los volúmenes de VDO se aprovisionan de forma ligera (thin provisioned), los usuarios solo pueden ver el espacio lógico en uso y desconocen el espacio físico real disponible. Si no especifica el tamaño lógico al crear el volumen, VDO asume el tamaño físico real como el tamaño lógico del volumen. Esta relación 1:1 entre la asignación del tamaño lógico y el tamaño físico proporciona un mejor rendimiento, pero también un uso menos eficiente del espacio de almacenamiento. De acuerdo con los requisitos de su infraestructura, debe priorizar el rendimiento o la eficiencia del espacio. Cuando el tamaño lógico de un volumen de VDO es mayor que el tamaño físico real, debe monitorear de forma proactiva las estadísticas del volumen para ver el uso real con el comando vdostats --verbose. Habilitación de VDO Instale los paquetes vdo y kmod-kvdo para habilitar VDO en el sistema. [root@host ~]# yum install vdo kmod-kvdo ...output omitted... Is this ok [y/N]: y ...output omitted... Complete! Creación de un volumen de VDO Para crear un volumen de VDO, ejecute el comando vdo create. [root@host ~]# vdo create --name=vdo1 --device=/dev/vdd --vdoLogicalSize=50G ...output omitted... Si omite el tamaño lógico, el volumen de VDO resultante tiene el mismo tamaño que su dispositivo físico. Cuando el volumen de VDO está en su lugar, puede formatearlo con el tipo de sistema de archivos deseado y montarlo conforme a la jerarquía del sistema de archivos en su sistema. 234 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Análisis de un volumen de VDO Para analizar un volumen de VDO, ejecute el comando vdo status. Este comando muestra un informe sobre el sistema de VDO y el estado del volumen de VDO en formato YAML. También muestra los atributos del volumen de VDO. Use la opción --name= para especificar el nombre de un volumen específico. Si omite el nombre del volumen específico, la salida del comando vdo status muestra el estado de todos los volúmenes de VDO. [root@host ~]# vdo status --name=vdo1 ...output omitted... El comando vdo list muestra la lista de volúmenes de VDO que se han iniciado actualmente. Puede iniciar y detener un volumen de VDO con los comandos vdo start y vdo stop, respectivamente. Referencias Para obtener más información, consulte el capítulo Cómo empezar con VDO de la Guía de desduplicación y compresión de almacenamiento de Red Hat Enterprise Linux 8 en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htmlsingle/deduplicating_and_compressing_storage/ Introducción al optimizador de datos virtual https://rhelblog.redhat.com/2018/04/11/introducing-virtual-data-optimizer-toreduce-cloud-and-on-premise-storage-costs/ RH134-RHEL8.2-es-1-20200928 235 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Ejercicio Guiado Compresión y desduplicación de almacenamiento con VDO En este ejercicio, creará un volumen de VDO, lo formateará con un sistema de archivos, lo montará, almacenará datos en él e investigará el impacto de la compresión y la desduplicación en el espacio de almacenamiento realmente usado. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un volumen con el optimizador de datos virtual, formatearlo con un tipo de sistema de archivos y montar un sistema de archivos en él. • Investigar el impacto de la desduplicación y compresión de datos en un volumen del optimizador de datos virtual. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab advstorage-vdo start para iniciar el ejercicio. Este script garantiza que no haya particiones en el disco /dev/vdd y configura el entorno correctamente. [student@workstation ~]$ lab advstorage-vdo start 1. Desde workstation, abra una sesión de SSH en servera como student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Cree el volumen de VDO vdo1, con el dispositivo /dev/vdd. Establezca su tamaño lógico en 50 GB. 2.1. Cambie al usuario root. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 2.2. Confirme que el paquete vdo esté instalado con el comando yum. [root@servera ~]# yum list installed vdo Installed Packages vdo.x86_64 6.2.2.117-13.el8 236 @rhel-8-for-x86_64-baseos-rpms RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento 2.3. Cree el volumen vdo1 con el comando vdo create. [root@servera ~]# vdo create --name=vdo1 \ --device=/dev/vdd --vdoLogicalSize=50G ...output omitted... 2.4. Verifique la disponibilidad del volumen vdo1 con el comando vdo list. [root@servera ~]# vdo list vdo1 3. Verifique que el volumen vdo1 tenga las funciones de compresión y desduplicación habilitadas. Use grep para buscar las líneas que contienen la cadena Deduplication y Compression en la salida del comando vdo status --name=vdo1. [root@servera ~]# vdo status --name=vdo1 \ | grep -E 'Deduplication|Compression' Compression: enabled Deduplication: enabled 4. Asigne al volumen vdo1 el formato de tipo de sistema de archivos XFS y móntelo en /mnt/ vdo1. 4.1. Use el comando udevadm para verificar que se haya creado el nuevo archivo de dispositivo VDO. [root@servera ~]# udevadm settle 4.2. Asigne al volumen vdo1 el formato del sistema de archivos XFS con el comando mkfs. [root@servera ~]# mkfs.xfs -K /dev/mapper/vdo1 ...output omitted... La opción -K en el comando mkfs.xfs anterior evita que los bloques no usados en el sistema de archivos se desechen inmediatamente, lo que permite que el comando regrese más rápidamente. 4.3. Cree un directorio /mnt/vdo1 con el comando mkdir. [root@servera ~]# mkdir /mnt/vdo1 4.4. Monte el volumen vdo1 en /mnt/vdo1 con el comando mount. [root@servera ~]# mount /dev/mapper/vdo1 /mnt/vdo1 4.5. Verifique que el volumen vdo1 esté correctamente montado con el comando mount. RH134-RHEL8.2-es-1-20200928 237 capítulo 8 | Implementación de funciones avanzadas de almacenamiento [root@servera ~]# mount ...output omitted... /dev/mapper/vdo1 on /mnt/vdo1 type xfs (rw,relatime,seclabel,attr2,inode64,noquota) 5. Cree tres copias del mismo archivo denominado /root/install.img en el volumen vdo1. Compare las estadísticas del volumen para verificar la desduplicación y la compresión de datos que tienen lugar en el volumen. La salida anterior puede variar en su sistema. 5.1. Vea las estadísticas iniciales y el estado del volumen con el comando vdostats. [root@servera ~]# vdostats --human-readable Device Size Used Available Use% Space saving% /dev/mapper/vdo1 5.0G 3.0G 2.0G 60% 99% Observe que 3 GB del volumen ya están en uso porque cuando se crea, el volumen VDO reserva 3-4 GB para sí mismo. También observe que el valor 99% en el campo Space saving% (% de ahorro de espacio) indica que no ha creado ningún contenido hasta el momento en el volumen, lo que contribuye a todo el espacio del volumen guardado. 5.2. Copie /root/install.img en /mnt/vdo1/install.img.1 y verifique las estadísticas del volumen. Puede tardar hasta un minuto para copiar el archivo. [root@servera ~]# cp /root/install.img /mnt/vdo1/install.img.1 [root@servera ~]# vdostats --human-readable Device Size Used Available Use% Space saving% /dev/mapper/vdo1 5.0G 3.4G 1.6G 68% 5% Observe que el valor del campo Used (Usado) aumentó de 3,0G a 3,4G porque copió un archivo en el volumen, y eso ocupa un poco de espacio. Además, observe que el valor del campo Space saving% (% de ahorro de espacio) disminuyó de 99% a 5% porque inicialmente no había contenido en el volumen, lo que contribuía al poco uso del espacio del volumen y al gran ahorro de espacio del volumen hasta que creó un archivo. El ahorro de espacio del volumen es considerablemente bajo porque creó una copia única del archivo en el volumen y no hay nada que desduplicar. 5.3. Copie /root/install.img en /mnt/vdo1/install.img.2 y verifique las estadísticas del volumen. Puede tardar hasta un minuto para copiar el archivo. [root@servera ~]# cp /root/install.img /mnt/vdo1/install.img.2 [root@servera ~]# vdostats --human-readable Device Size Used Available Use% Space saving% /dev/mapper/vdo1 5.0G 3.4G 1.6G 68% 51% Observe que el espacio de volumen usado no cambió, en su lugar, el porcentaje del espacio de volumen guardado aumentó, lo que demuestra que se produjo la desduplicación de datos para reducir el consumo de espacio para las copias redundantes del mismo archivo. El valor de Space saving% (% de ahorro de espacio) en la salida anterior puede variar en su sistema. 5.4. 238 Salga de la shell del usuario root y cierre sesión en servera. RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecutelab advstorage-vdo finish para terminar este ejercicio. Este script elimina los archivos creados durante el ejercicio para garantizar que el entorno quede limpio. [student@workstation ~]$ lab advstorage-vdo finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 239 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Trabajo de laboratorio Implementación de funciones avanzadas de almacenamiento En este ejercicio, utilizará la solución de administración de almacenamiento Stratis para crear sistemas de archivos que crecen para adaptarse a las crecientes demandas de datos, y el optimizador de datos virtual para crear volúmenes para la utilización eficiente del espacio de almacenamiento. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un sistema de archivos con aprovisionamiento ligero (thin provisioned) utilizando la solución de administración de almacenamiento Stratis. • Verificar que los volúmenes Stratis crezcan dinámicamente para admitir crecimiento de datos en tiempo real. • Acceder a los datos desde la instantánea de un sistema de archivos con aprovisionamiento ligero (thin provisioned). • Crear un volumen con el optimizador de datos virtual y montarlo en un sistema de archivos. • Investigar el impacto de la desduplicación y compresión de datos en un volumen del optimizador de datos virtual. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab advstorage-review start para iniciar el ejercicio. Este script configura el entorno correctamente y garantiza que los discos adicionales en serverb estén limpios. [student@workstation ~]$ lab advstorage-review start 1. Desde workstation, abra una sesión de SSH en serverb como student. 2. Cambie al usuario root. 3. Instale los paquetes stratisd y stratis-cli con yum. 4. Inicie y habilite el servicio stratisd con el comando systemctl. 5. Cree un pool (conjunto) de Stratis labpool que contiene el dispositivo de bloque /dev/ vdb. 6. Amplíe la capacidad de labpool con el disco /dev/vdc disponible en el sistema. 7. Cree un sistema de archivos con aprovisionamiento ligero (thin provisioned) denominado labfs en el pool (conjunto) labpool. Monte este sistema de archivos en / 240 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento labstratisvol para que persista tras los reinicios. Cree un archivo denominado labfile1 que contenga el textoHello World! en el sistema de archivos labfs. No olvide usar la opción de montaje x-systemd. requires=stratisd.service en /etc/fstab. 8. Verifique que el sistema de archivos con aprovisionamiento ligero (thin provisioned) labfs crece dinámicamente a medida que crecen los datos en el sistema de archivos agregando labfile2 de 2 GiB. 9. Cree una instantánea denominada labfs-snap del sistema de archivos labfs. La instantánea le permite acceder a cualquier archivo que se elimina de labfs. 10. Cree el volumen de VDO labvdo con el dispositivo /dev/vdd. Establezca su tamaño lógico en 50 GB. 11. Monte el volumen labvdo en /labvdovol con el sistema de archivos XFS para que persista tras los reinicios. No olvide usar la opción de montaje xsystemd.requires=vdo.service en /etc/fstab. 12. Cree tres copias del mismo archivo denominado /root/install.img en el volumen labvdo. Compare las estadísticas del volumen para verificar la desduplicación y la compresión de datos que tienen lugar en el volumen. 13. Reinicie serverb. Verifique que el volumen labvdo esté montado en /labvdovol después de que el sistema se inicie nuevamente. Evaluación En workstation, ejecute el comando lab advstorage-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab advstorage-review grade Finalizar En workstation, ejecutelab advstorage-review finish para terminar este ejercicio. Este script elimina las particiones y los archivos creados durante el ejercicio para garantizar que el entorno quede limpio. [student@workstation ~]$ lab advstorage-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 241 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Solución Implementación de funciones avanzadas de almacenamiento En este ejercicio, utilizará la solución de administración de almacenamiento Stratis para crear sistemas de archivos que crecen para adaptarse a las crecientes demandas de datos, y el optimizador de datos virtual para crear volúmenes para la utilización eficiente del espacio de almacenamiento. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un sistema de archivos con aprovisionamiento ligero (thin provisioned) utilizando la solución de administración de almacenamiento Stratis. • Verificar que los volúmenes Stratis crezcan dinámicamente para admitir crecimiento de datos en tiempo real. • Acceder a los datos desde la instantánea de un sistema de archivos con aprovisionamiento ligero (thin provisioned). • Crear un volumen con el optimizador de datos virtual y montarlo en un sistema de archivos. • Investigar el impacto de la desduplicación y compresión de datos en un volumen del optimizador de datos virtual. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab advstorage-review start para iniciar el ejercicio. Este script configura el entorno correctamente y garantiza que los discos adicionales en serverb estén limpios. [student@workstation ~]$ lab advstorage-review start Desde workstation, abra una sesión de SSH en serverb como student. 1. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ Cambie al usuario root. 2. [student@serverb ~]$ sudo -i [sudo] password for student: student [root@serverb ~]# 242 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento 3. Instale los paquetes stratisd y stratis-cli con yum. [root@serverb ~]# yum install stratisd stratis-cli ...output omitted... Is this ok [y/N]: y ...output omitted... Complete! 4. Inicie y habilite el servicio stratisd con el comando systemctl. [root@serverb ~]# systemctl enable --now stratisd 5. Cree un pool (conjunto) de Stratis labpool que contiene el dispositivo de bloque /dev/ vdb. 5.1. Cree el pool (conjunto) de Stratis labpool con el comando stratis pool create. [root@serverb ~]# stratis pool create labpool /dev/vdb 5.2. Verifique la disponibilidad de labpool con el comando stratis pool list. [root@serverb ~]# stratis pool list Name Total Physical labpool 5 GiB / 37.63 MiB / 4.96 GiB Observe el tamaño del pool (conjunto) en la salida anterior. 6. Amplíe la capacidad de labpool con el disco /dev/vdc disponible en el sistema. 6.1. Agregue el dispositivo de bloque /dev/vdc a labpool con el comando stratis pool add-data. [root@serverb ~]# stratis pool add-data labpool /dev/vdc 6.2. Verifique el tamaño de labpool con el comando stratis pool list. [root@serverb ~]# stratis pool list Name Total Physical labpool 10 GiB / 41.63 MiB / 9.96 GiB La salida anterior muestra que el tamaño de labpool ha aumentado después de agregar un nuevo disco al pool (conjunto). 6.3. Use el comando stratis blockdev list para mostrar los dispositivos de bloque que ahora son miembros de labpool. [root@serverb ~]# stratis blockdev list labpool Pool Name Device Node Physical Size Tier labpool /dev/vdb 5 GiB Data labpool /dev/vdc 5 GiB Data 7. Cree un sistema de archivos con aprovisionamiento ligero (thin provisioned) denominado labfs en el pool (conjunto) labpool. Monte este sistema de archivos en / RH134-RHEL8.2-es-1-20200928 243 capítulo 8 | Implementación de funciones avanzadas de almacenamiento labstratisvol para que persista tras los reinicios. Cree un archivo denominado labfile1 que contenga el textoHello World! en el sistema de archivos labfs. No olvide usar la opción de montaje x-systemd. requires=stratisd.service en /etc/fstab. 7.1. Cree el sistema de archivos con aprovisionamiento ligero (thin provisioned) denominado labfs en labpool con el comando stratis filesystem create. Puede tardar hasta un minuto para que se complete el comando. [root@serverb ~]# stratis filesystem create labpool labfs 7.2. Verifique la disponibilidad de labfs con el comando stratis filesystem list. [root@serverb ~]# stratis filesystem list Pool Name Name Used UUID labpool labfs 546 MiB Mar 29 2019 07:48 Created Device /stratis/labpool/labfs 9825...d6ca Observe el uso actual de labfs. Este uso del sistema de archivos aumenta a pedido en los siguientes pasos. 7.3. Determine el UUID de labfs con el comando lsblk. [root@serverb ~]# lsblk --output=UUID /stratis/labpool/labfs UUID 9825e289-fb08-4852-8290-44d1b8f0d6ca 7.4. Edite /etc/fstab para que el sistema de archivos con aprovisionamiento ligero (thin provisioned)labfs se monte en el momento de arranque. Use el UUID que determinó en el paso anterior. A continuación se muestra la línea que debe agregar a /etc/ fstab. Puede usar el comando vi /etc/fstab para editar el archivo. UUID=9825...d6ca /labstratisvol 0 0 7.5. xfs defaults,x-systemd.requires=stratisd.service Cree un directorio denominado /labstratisvol con el comando mkdir. [root@serverb ~]# mkdir /labstratisvol 7.6. Monte el sistema de archivos con aprovisionamiento ligero (thin provisioned) labfs con el comando mount para confirmar que el archivo /etc/fstab contiene las entradas correspondientes. [root@serverb ~]# mount /labstratisvol Si el comando anterior produce algún error, revise el archivo /etc/fstab y asegúrese de que contenga las entradas correspondientes. 7.7. Cree un archivo de texto denominado /labstratisvol/labfile1 con el comando echo. [root@serverb ~]# echo "Hello World!" > /labstratisvol/labfile1 244 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento 8. Verifique que el sistema de archivos con aprovisionamiento ligero (thin provisioned) labfs crece dinámicamente a medida que crecen los datos en el sistema de archivos agregando labfile2 de 2 GiB. 8.1. Vea el uso actual de labfs con el comando stratis filesystem list. [root@serverb ~]# stratis filesystem list Pool Name Name Used UUID labpool labfs 546 MiB Mar 29 2019 07:48 8.2. Created Device /stratis/labpool/labfs 9825...d6ca Cree un archivo de 2 GiB en labfs con el comando dd. Puede tardar hasta un minuto para que se complete el comando. [root@serverb ~]# dd if=/dev/urandom of=/labstratisvol/labfile2 bs=1M count=2048 8.3. Verifique que el uso de labfs ha aumentado con el comando stratis filesystem list. [root@serverb ~]# stratis filesystem list Pool Name Name Used UUID labpool labfs 2.53 GiB Mar 29 2019 07:48 9. Created Device /stratis/labpool/labfs 9825...d6ca Cree una instantánea denominada labfs-snap del sistema de archivos labfs. La instantánea le permite acceder a cualquier archivo que se elimina de labfs. 9.1. Cree una instantánea de labfs con el comando stratis filesystem snapshot. Puede tardar hasta un minuto para que se complete el comando. [root@serverb ~]# stratis filesystem snapshot labpool \ labfs labfs-snap 9.2. Verifique la disponibilidad de la instantánea con el comando stratis filesystem list. [root@serverb ~]# stratis filesystem list ...output omitted... labpool labfs-snap 2.53 GiB Mar 29 2019 10:28 291d...8a16 9.3. /stratis/labpool/labfs-snap Elimine el archivo /labstratisvol/labfile1. [root@serverb ~]# rm /labstratisvol/labfile1 rm: remove regular file '/labstratisvol/labfile1'? y 9.4. Cree el directorio /labstratisvol-snap con el comando mkdir. [root@serverb ~]# mkdir /labstratisvol-snap RH134-RHEL8.2-es-1-20200928 245 capítulo 8 | Implementación de funciones avanzadas de almacenamiento 9.5. Monte la instantánea labfs-snap en /labstratisvol-snap con el comando mount. [root@serverb ~]# mount /stratis/labpool/labfs-snap \ /labstratisvol-snap 9.6. Confirme que aún puede acceder al archivo que eliminó labfs con la instantánea labfs-snap. [root@serverb ~]# cat /labstratisvol-snap/labfile1 Hello World! 10. Cree el volumen de VDO labvdo con el dispositivo /dev/vdd. Establezca su tamaño lógico en 50 GB. 10.1. Cree el volumen labvdo con el comando vdo create. [root@serverb ~]# vdo create --name=labvdo --device=/dev/vdd --vdoLogicalSize=50G ...output omitted... 10.2. Verifique la disponibilidad del volumen labvdo con el comando vdo list. [root@serverb ~]# vdo list labvdo Monte el volumen labvdo en /labvdovol con el sistema de archivos XFS para que persista tras los reinicios. No olvide usar la opción de montaje xsystemd.requires=vdo.service en /etc/fstab. 11. 11.1. Formatee el volumen labvdo con el sistema de archivos XFS con el comando mkfs. [root@serverb ~]# mkfs.xfs -K /dev/mapper/labvdo ...output omitted... 11.2. Use el comando udevadm para registrar el nuevo nodo de dispositivo. [root@serverb ~]# udevadm settle 11.3. Cree un directorio /labvdovol con el comando mkdir. [root@serverb ~]# mkdir /labvdovol 11.4. Determine el UUID de labvdo con el comando lsblk. [root@serverb ~]# lsblk --output=UUID /dev/mapper/labvdo UUID ef8cce71-228a-478d-883d-5732176b39b1 11.5. 246 Edite /etc/fstab para que labvdo se monte en el momento de arranque. Use el UUID del volumen que determinó en el paso anterior. A continuación, se muestra la RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento línea que debe agregar a /etc/fstab. Puede usar el comando vi /etc/fstab para editar el archivo. UUID=ef8c...39b1 /labvdovol xfs defaults,x-systemd.requires=vdo.service 0 0 11.6. Monte el volumen labvdo con el comando mount para confirmar que el archivo /etc/ fstab contiene las entradas correspondientes. [root@serverb ~]# mount /labvdovol Si el comando anterior produce algún error, revise el archivo /etc/fstab y asegúrese de que contenga las entradas correspondientes. 12. Cree tres copias del mismo archivo denominado /root/install.img en el volumen labvdo. Compare las estadísticas del volumen para verificar la desduplicación y la compresión de datos que tienen lugar en el volumen. 12.1. Vea las estadísticas iniciales y el estado del volumen con el comando vdostats. [root@serverb ~]# vdostats --human-readable Device Size Used Available Use% Space saving% /dev/mapper/labvdo 5.0G 3.0G 2.0G 60% 99% Observe que 3 GB del volumen ya están en uso porque cuando se crea, el volumen VDO reserva 3-4 GB para sí mismo. También observe que el valor 99% en el campo Space saving% (% de ahorro de espacio) indica que no ha creado ningún contenido hasta el momento en el volumen, lo que contribuye a todo el espacio del volumen guardado. 12.2. Copie /root/install.img en /labvdovol/install.img.1 y verifique las estadísticas del volumen. Puede tardar hasta un minuto para copiar el archivo. [root@serverb ~]# cp /root/install.img /labvdovol/install.img.1 [root@serverb ~]# vdostats --human-readable Device Size Used Available Use% Space saving% /dev/mapper/labvdo 5.0G 3.4G 1.6G 68% 5% Observe que el valor del campo Used (Usado) aumentó de 3,0G a 3,4G porque copió un archivo en el volumen, y eso ocupa un poco de espacio. Además, observe que el valor del campo Space saving% (% de ahorro de espacio) disminuyó de 99% a 5% porque inicialmente no había contenido en el volumen, lo que contribuía al poco uso del espacio del volumen y al gran ahorro de espacio del volumen hasta que creó un archivo allí. El ahorro de espacio del volumen es bastante bajo porque creó una copia única del archivo en el volumen y no hay nada que desduplicar. 12.3. Copie /root/install.img en /labvdovol/install.img.2 y verifique las estadísticas del volumen. Puede tardar hasta un minuto para copiar el archivo. [root@serverb ~]# cp /root/install.img /labvdovol/install.img.2 [root@serverb ~]# vdostats --human-readable Device Size Used Available Use% Space saving% /dev/mapper/labvdo 5.0G 3.4G 1.6G 68% 51% Observe que el espacio del volumen utilizado no cambió. En cambio, el porcentaje del espacio de volumen guardado aumentó, lo que demuestra que se produjo RH134-RHEL8.2-es-1-20200928 247 capítulo 8 | Implementación de funciones avanzadas de almacenamiento la desduplicación de datos para reducir el consumo de espacio para las copias redundantes del mismo archivo. El valor de Space saving% (% de ahorro de espacio) en la salida anterior puede variar en su sistema. 13. Reinicie serverb. Verifique que el volumen labvdo esté montado en /labvdovol después de que el sistema se inicie nuevamente. 13.1. Reinicie la máquina serverb. [root@serverb ~]# systemctl reboot nota Nota: Si en un reinicio, serverb no arranca con un prompt de inicio de sesión regular, sino que indica "Dar la contraseña root para mantenimiento (o presione Control-D para continuar):" es probable que haya cometido un error en /etc/ fstab. Después de proporcionar la contraseña root de redhat , tendrá que volver a montar el sistema de archivos raíz como lectura/escritura con: [root@serverb ~]# mount -o remount,rw / Verifique que /etc/fstab se configure correctamente como se especifica en las soluciones. Preste especial atención a las opciones de montaje para las líneas relacionadas con /labstratisvol y /labvdovol. Evaluación En workstation, ejecute el comando lab advstorage-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab advstorage-review grade Finalizar En workstation, ejecutelab advstorage-review finish para terminar este ejercicio. Este script elimina las particiones y los archivos creados durante el ejercicio para garantizar que el entorno quede limpio. [student@workstation ~]$ lab advstorage-review finish Esto concluye el trabajo de laboratorio. 248 RH134-RHEL8.2-es-1-20200928 capítulo 8 | Implementación de funciones avanzadas de almacenamiento Resumen En este capítulo, aprendió lo siguiente: • La solución de administración de almacenamiento Stratis implementa sistemas de archivos flexibles que crecen dinámicamente con datos. • La solución de administración de almacenamiento Stratis es compatible con el aprovisionamiento ligero (thin provisioning), la creación de instantáneas y el monitoreo. • El optimizador de datos virtual (VDO) tiene como objetivo reducir el costo de almacenamiento de datos. • El optimizador de datos virtuales aplica la eliminación de bloque cero, la desduplicación de datos y la compresión de datos para optimizar la eficiencia del espacio en disco. RH134-RHEL8.2-es-1-20200928 249 250 RH134-RHEL8.2-es-1-20200928 capítulo 9 Acceso al almacenamiento conectado a la red Meta Acceder al almacenamiento conectado a la red con el protocolo NFS. Objetivos • Montar, usar y desmontar una exportación de NFS desde la línea de comandos y en el momento del arranque. • Configurar el servicio de automontaje con mapas directos e indirectos para montar automáticamente un sistema de archivos NFS a pedido, y desmontarlo cuando ya no esté en uso. • Montaje de almacenamiento conectado a la red con NFS (y ejercicio guiado) • Montaje automático de almacenamiento conectado a la red (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Acceso al almacenamiento conectado a la red 251 capítulo 9 | Acceso al almacenamiento conectado a la red Montaje de almacenamiento conectado a la red con NFS Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Identificar la información de uso compartido de NFS. • Crear un directorio para usarlo como punto de montaje. • Montar un recurso compartido de NFS con el comando mount o configurando el archivo /etc/ fstab. • Desmontar un recurso compartido de NFS con el comando umount. Montaje y desmontaje de recursos compartidos de NFS NFS, el sistema de archivos de red, es un protocolo estándar de Internet usado por Linux, UNIX y sistemas operativos similares como su sistema de archivos de red nativo. Es una norma abierta que aún se mejora activamente y que admite características nativas de sistemas de archivos y permisos de Linux. La versión predeterminada de NFS en Red Hat Enterprise Linux 8 es 4.2. Se admiten las versiones principales de NFSv4 y NFSv3. NFSv2 ya no se admite. NFSv4 usa solo el protocolo TCP para comunicarse con el servidor; las versiones anteriores de NFS podían usar TCP o UDP. Los servidores NFS exportan recursos compartidos (directorios). Los clientes NFS montan un recurso compartido exportado a un punto de montaje local (directorio), que debe existir. Los recursos compartidos de NFS se pueden montar de diversas maneras: • Manualmente, con el comando mount. • Automáticamente en el momento de arranque con las entradas /etc/fstab. • A pedido, con el servicio autofs o la función systemd.automount. Montaje de recursos compartidos de NFS Para montar un recurso compartido de NFS, siga estos tres pasos: 1. Identificar: El administrador del sistema cliente de NFS puede identificar los recursos compartidos de NFS disponibles de diversas maneras: El administrador del servidor NFS puede proporcionar detalles de exportación, incluidos los requisitos de seguridad. Como alternativa, el administrador del cliente puede identificar los recursos compartidos de NFSv4 al montar el directorio root del servidor NFS y al explorar los directorios exportados. Haga esto como usuario root. El acceso a recursos compartidos que usan Kerberos será denegado, pero el nombre del recurso compartido (directorio) estará visible. Otros directorios compartidos se podrán explorar. 252 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red [user@host ~]$ sudo mkdir mountpoint [user@host ~]$ sudo mount serverb:/ mountpoint [user@host ~]$ sudo ls mountpoint 2. Punto de montaje: Use mkdir para crear un punto de montaje en una ubicación adecuada. [user@host ~]$ mkdir -p mountpoint 3. Montar: Al igual que con los sistemas de archivos en particiones, los recursos compartidos de NFS deben montarse para estar disponibles. Para montar un recurso compartido de NFS, seleccione una de las siguientes opciones. En cada caso, debe ejecutar estos comandos como superusuario, ya sea iniciando sesión como root o con el comando sudo. • Montar temporalmente: monte el recurso compartido de NFS con el comando mount: [user@host ~]$ sudo mount -t nfs -o rw,sync serverb:/share mountpoint La opción -t nfs es el tipo de sistema de archivos para recursos compartidos de NFS (no es estrictamente obligatorio; se muestra para ofrecer una visión completa). La opción -o sync indica a mount sincronizar inmediatamente las operaciones de escritura con el servidor NFS (el valor predeterminado es asincrónico). Este comando monta el recurso compartido de forma inmediata, pero no persistente; la próxima vez que se inicie el sistema, este recurso compartido de NFS no estará disponible. Esto es útil para acceder una sola vez a los datos. También es útil para la prueba de montaje de un recurso compartido de NFS antes de que el recurso compartido esté disponible de forma persistente. • Montar de forma persistente: para asegurarse de que el recurso compartido de NFS se monte en el momento del arranque, edite el archivo /etc/fstab para agregar la entrada de montaje. [user@host ~]$ sudo vim /etc/fstab ... serverb:/share /mountpoint nfs rw,soft 0 0 Luego, monte el recurso compartido de NFS: [user@host ~]$ sudo mount /mountpoint Debido a que el servidor de NFS y las opciones de montaje se encuentran en el archivo /etc/fstab por el servicio de cliente NFS, no es necesario especificarlos en la línea de comandos. Desmontaje de recursos compartidos de NFS Como el usuario root (o con sudo), desmonte un recurso compartido de NFS con el comando umount. [user@host ~]$ sudo umount mountpoint RH134-RHEL8.2-es-1-20200928 253 capítulo 9 | Acceso al almacenamiento conectado a la red nota Desmontar un recurso compartido no elimina su entrada /etc/fstab. A menos que elimine o comente la entrada, el recurso compartido de NFS se volverá a montar en el próximo inicio del sistema o cuando se reinicie el servicio de cliente NFS. Referencias Páginas del manual mount(8), umount(8), fstab(5), mount.nfs(8) y nfsconf(8) 254 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red Ejercicio Guiado Administración de almacenamiento conectado a la red con NFS Lista de verificación de rendimiento En este ejercicio, modificará el archivo /etc/fstab para montar de forma persistente una exportación de NFS en el momento del arranque. Resultados Usted deberá ser capaz de realizar lo siguiente: • Probar un servidor NFS con el comando mount. • Configurar recursos compartidos de NFS en el archivo de configuración /etc/fstab para guardar los cambios incluso después de reiniciar el sistema. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab netstorage-nfs start. Este comando ejecuta un script de inicio que determina si las máquinas servera y serverb son accesibles en la red. El script le avisará si no están disponibles. El script de inicio configura serverb como servidor NFSv4, configura los permisos y exporta los directorios. Crea los usuarios y grupos necesarios en servera y serverb. [student@workstation ~]$ lab netstorage-nfs start Una empresa de transporte usa un servidor central, serverb, para alojar una serie de documentos y directorios compartidos. Los usuarios de servera, que son todos miembros del grupo admin, necesitan acceso al recurso compartido NFS montado de forma persistente. Información importante: • serverb comparte el directorio /shares/public, que contiene algunos archivos de texto. • Los miembros del grupo admin (admin1, sysmanager1) tienen acceso de lectura y escritura al directorio compartido /shares/public. • El punto de montaje principal para servera es /public. • Todas las contraseñas de usuario están configuradas en redhat. 1. Inicie sesión en servera como el usuario student y cambie al usuario root. 1.1. Inicie sesión en servera con el usuario student. RH134-RHEL8.2-es-1-20200928 255 capítulo 9 | Acceso al almacenamiento conectado a la red [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 1.2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 2. Pruebe el servidor NFS en serverb con servera como cliente NFS. 2.1. Cree el punto de montaje /public en servera. [root@servera ~]# mkdir /public 2.2. En servera, use el comando mount para verificar que el recurso compartido NFS /share/public exportado por serverb se monta correctamente en el punto de montaje /public. [root@servera ~]# mount -t nfs \ serverb.lab.example.com:/shares/public /public 2.3. Liste el contenido del recurso compartido NFS montado. [root@servera ~]# ls -l /public total 16 -rw-r--r--. 1 root admin 42 Apr -rw-r--r--. 1 root admin 46 Apr -rw-r--r--. 1 root admin 20 Apr -rw-r--r--. 1 root admin 27 Apr 2.4. 8 22:36 Delivered.txt 8 22:36 NOTES.txt 8 22:36 README.txt 8 22:36 Trackings.txt Explore las opciones de comando mount para el recurso compartido NFS montado. [root@servera ~]# mount | grep public serverb.lab.example.com:/shares/public on /public type nfs4 (rw,relatime,vers=4.2,rsize=262144,wsize=262144,namlen=255,sync ,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=172.25.250.10, local_lock=none,addr=172.25.250.11) 2.5. Desmonte el recurso compartido NFS. [root@servera ~]# umount /public 3. Configure servera para garantizar que el recurso compartido usado anteriormente se monta de forma persistente. 3.1. 256 Abra el archivo /etc/fstab para editarlo. RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red [root@servera ~]# vim /etc/fstab Agregue la línea siguiente al final del archivo: serverb.lab.example.com:/shares/public 3.2. /public nfs rw,sync 0 0 Use el comando mount para montar el directorio compartido. [root@servera ~]# mount /public 3.3. Enumere el contenido del directorio compartido. [root@servera ~]# ls -l /public total 16 -rw-r--r--. 1 root admin 42 Apr -rw-r--r--. 1 root admin 46 Apr -rw-r--r--. 1 root admin 20 Apr -rw-r--r--. 1 root admin 27 Apr 3.4. 8 22:36 Delivered.txt 8 22:36 NOTES.txt 8 22:36 README.txt 8 22:36 Trackings.txt Reinicie la máquina servera. [root@servera ~]# systemctl reboot 4. Una vez que servera haya finalizado el reinicio, inicie sesión en servera con el usuario admin1 y pruebe el recurso compartido NFS montado de forma persistente. 4.1. Inicie sesión en servera con el usuario admin1. [student@workstation ~]$ ssh admin1@servera [admin1@servera ~]$ 4.2. Pruebe el recurso compartido NFS montado en /public. [admin1@servera ~]$ ls -l /public total 16 -rw-r--r--. 1 root admin 42 Apr 8 22:36 Delivered.txt -rw-r--r--. 1 root admin 46 Apr 8 22:36 NOTES.txt -rw-r--r--. 1 root admin 20 Apr 8 22:36 README.txt -rw-r--r--. 1 root admin 27 Apr 8 22:36 Trackings.txt [admin1@servera ~]$ cat /public/NOTES.txt ###In this file you can log all your notes### [admin1@servera ~]$ echo "This is a test" > /public/Test.txt [admin1@servera ~]$ cat /public/Test.txt This is a test 4.3. Cierre sesión en servera. RH134-RHEL8.2-es-1-20200928 257 capítulo 9 | Acceso al almacenamiento conectado a la red [admin1@servera ~]$ exit logout Connection to servera closed. Finalizar En workstation, ejecute el script lab netstorage-nfs finish para terminar este ejercicio. [student@workstation ~]$ lab netstorage-nfs finish Esto concluye el ejercicio guiado. 258 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red Montaje automático de almacenamiento conectado a la red Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Describir los beneficios de usar el servicio de automontaje. • Crear un automontaje de los recursos compartidos de NFS usando asignaciones directas e indirectas, incluidos comodines. Montaje de recursos compartidos de NFS con el servicio de automontaje El servicio de automontaje es un servicio (autofs) que monta automáticamente recursos compartidos de NFS "a pedido", y desmontará automáticamente recursos compartidos de NFS cuando ya no se usen. Beneficios del servicio de automontaje • Los usuarios no necesitan tener privilegios root para ejecutar los comandos mount y umount • Los recursos compartidos de NFS configurados en el servicio de automontaje están disponibles para todos los usuarios de la máquina, sujetos a los permisos de acceso. • Los recursos compartidos de NFS no están conectados permanentemente como las entradas en /etc/fstab, lo que libera recursos de red y sistemas. • El servicio de automontaje se configura del lado del cliente; no se requiere configuración del lado del servidor. • El servicio de automontaje usa las mismas opciones que el comando mount, incluidas las opciones de seguridad. • El servicio de automontaje admite la asignación directa e indirecta de puntos de montaje, lo que proporciona flexibilidad en las ubicaciones de los puntos de montaje. • autofs crea y elimina puntos de montaje indirectos, lo que elimina la gestión manual. • NFS es el sistema de archivos de red predeterminado del servicio de automontaje, pero otros sistemas de archivos de red pueden montarse automáticamente. • autofs es un servicio que se administra como otros servicios del sistema. Crear un automontaje La configuración de un automontaje es un proceso de varios pasos: 1. Instale el paquete autofs. [user@host ~]$ sudo yum install autofs RH134-RHEL8.2-es-1-20200928 259 capítulo 9 | Acceso al almacenamiento conectado a la red Este paquete contiene todo lo necesario para usar el servicio de automontaje para recursos compartidos de NFS. 2. Agregue un archivo de asignación maestra en /etc/auto.master.d. Este archivo identifica el directorio de base usado para puntos de montaje e identifica el archivo de asignación usado para crear los automontajes. [user@host ~]$ sudo vim /etc/auto.master.d/demo.autofs El nombre del archivo de asignación maestra es arbitrario (aunque suele tener un sentido), pero debe tener una extensión de .autofs para que el subsistema lo reconozca. Puede colocar varias entradas en un solo archivo de asignación maestra; como alternativa, puede crear varios archivos de asignación maestra, cada uno con sus propias entradas agrupadas de forma lógica. Agregue la entrada de asignación maestra, en este caso, para montajes asignados indirectamente: /shares /etc/auto.demo Esta entrada usa el directorio /shares como la base para futuros automontajes indirectos. El archivo /etc/auto.demo contiene los detalles de montaje. Use un nombre de archivo absoluto. El archivo auto.demo debe crearse antes de comenzar el servicio autofs. 3. Cree los archivos de asignación. Cada archivo de asignación identifica el punto de montaje, las opciones de montaje y la ubicación de origen que se montará para un conjunto de automontajes. [user@host ~]$ sudo vim /etc/auto.demo La convención de nomenclatura de archivos de asignación es /etc/auto.name, dónde el nombre refleja el contenido de la asignación. work -rw,sync serverb:/shares/work El formato de una entrada es punto de montaje, opciones de montaje y ubicación de origen. En este ejemplo, se muestra una entrada de asignación indirecta básica. Las asignaciones directas y las asignaciones indirectas que usan comodines se tratan más adelante en esta sección. • Conocido como la "clave" en las páginas del manual, el punto de montaje se crea y elimina automáticamente con el servicio autofs. En este caso, el punto de montaje totalmente calificado es /shares/work (consulte el archivo de asignación maestra). El directorio / shares y el directorio /shares/work se crean y eliminan según sea necesario mediante el servicio autofs. En este ejemplo, el punto de montaje local refleja la estructura de directorios del servidor, pero esto no es necesario; el punto de montaje local puede tener cualquier nombre. El servicio autofs no impone una estructura de nombres específica en el cliente. • Las opciones de montaje comienzan con un carácter de guión (-) y se separan por comas sin espacios en blanco. Las opciones de montaje disponibles para el montaje manual de un sistema de archivos están disponibles al realizar el montaje automático. En este 260 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red ejemplo, el servicio de automontaje monta el recurso compartido con acceso de lectura y escritura (opción rw), y el servidor se sincroniza inmediatamente durante las operaciones de escritura (opción sync). Algunas opciones útiles específicas del servicio de automontaje son -fstype= y -strict. Use fstype para especificar el tipo de sistema de archivos, por ejemplo nfs4 o xfs, y use strict para tratar errores como fatales cuando monte sistemas de archivos. • La ubicación de origen para los recursos compartidos de NFS sigue el patrón host:/ pathname; en este ejemplo, serverb:/shares/work. Para que este montaje automático tenga éxito, el servidor NFS, serverb, debe exportar el directorio con acceso de lectura y escritura, y el usuario que solicita el acceso debe tener permisos de archivo estándar de Linux en el directorio. Si serverb exporta el directorio con acceso de solo lectura, entonces el cliente obtendrá acceso de solo lectura a pesar de que solicitó acceso de lectura/escritura. 4. Inicie y habilite el servicio de automontaje. Use systemctl para iniciar y para habilitar el servicio autofs. [user@host ~]$ sudo systemctl enable --now autofs Created symlink /etc/systemd/system/multi-user.target.wants/autofs.service → /usr/ lib/systemd/system/autofs.service. Asignaciones directas Las asignaciones directas se usan para asignar un recurso compartido de NFS a un punto de montaje de ruta absoluta existente. Para usar puntos de montaje asignados directamente, el archivo de asignación maestra puede tener la siguiente apariencia: /- /etc/auto.direct Todas las entradas de asignación directa usan /- como el directorio de base. En este caso, el archivo de asignación que contiene los detalles de montaje es /etc/auto.direct. El contenido del archivo /etc/auto.direct puede verse de la siguiente forma: /mnt/docs -rw,sync serverb:/shares/docs El punto de montaje (o clave) es siempre una ruta absoluta. El resto del archivo de asignación usa la misma estructura. En este ejemplo, el directorio /mnt existe y no lo administra autofs. El servicio autofs creará y eliminará automáticamente el directorio completo /mnt/docs. Asignaciones indirectas de comodines Cuando un servidor NFS exporta varios subdirectorios dentro de un directorio, el servicio de automontaje se puede configurar para acceder a cualquiera de esos subdirectorios usando una única entrada de asignación. RH134-RHEL8.2-es-1-20200928 261 capítulo 9 | Acceso al almacenamiento conectado a la red Para continuar con el ejemplo anterior, si serverb:/shares exporta dos o más subdirectorios y se puede acceder a estos usando las mismas opciones de montaje, el contenido del archivo /etc/ auto.demo podría verse del siguiente modo: * -rw,sync serverb:/shares/& El punto de montaje (o clave) es un carácter de asterisco (*) y el subdirectorio en la ubicación de origen es el carácter de ampersand (&). Todo lo demás en la entrada es igual. Cuando un usuario intenta acceder a /shares/work, la clave * (que es work en este ejemplo) reemplaza el símbolo & en la ubicación de origen y serverb:/shares/work se monta. Al igual que con el ejemplo indirecto, autofs crea y elimina automáticamente el directorio work. Referencias Páginas del manual: autofs(5), automount(8), auto.master(5) y mount.nfs(8) 262 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red Ejercicio Guiado Montaje automático de almacenamiento conectado a la red Lista de verificación de rendimiento En este ejercicio, creará puntos de montaje de asignación directa y de asignación indirecta administrados por automontaje que montan sistemas de archivos NFS. Resultados Usted deberá ser capaz de realizar lo siguiente: • Instalar los paquetes necesarios para el servicio de automontaje. • Configurar asignaciones directas e indirectas de automontaje con recursos de un servidor NFSv4 preconfigurado. • Comprender la diferencia entre las asignaciones directas e indirectas de automontaje. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab netstorage-autofs start. Este script de inicio determina si servera y serverb son accesibles en la red. El script le avisará si no están disponibles. El script de inicio configura serverb como servidor NFSv4, configura los permisos y exporta los directorios. También crea los usuarios y grupos necesarios en servera y serverb. [student@workstation ~]$ lab netstorage-autofs start Un proveedor de servicios de Internet usa un servidor central, serverb, para alojar directorios compartidos que contienen documentos importantes que deben estar disponibles a pedido. Cuando los usuarios inician sesión en servera necesitan acceso a los directorios compartidos montados automáticamente. Información importante: • serverb exporta como un recurso compartido de NFS el directorio /shares/indirect, que a su vez contiene los subdirectorios west , central y east. • serverb también exporta como un recurso compartido de NFS el directorio /shares/ direct/external. • El grupo operators está compuesto por los usuarios operator1 y operator2. Tienen acceso de lectura y escritura a los directorios compartidos /shares/indirect/west, / shares/indirect/central y /shares/indirect/east. • El grupo contractors está compuesto por los usuarios contractor1 y contractor2. Tienen acceso de lectura y escritura al directorio compartido /shares/direct/external. RH134-RHEL8.2-es-1-20200928 263 capítulo 9 | Acceso al almacenamiento conectado a la red • Los puntos de montaje esperados para servera son /external y /internal. • El directorio compartido /shares/direct/external debe montarse automáticamente en servera con una asignación directa en /external. • El directorio compartido /shares/indirect/west debe montarse automáticamente en servera con una asignación indirecta en /internal/west. • El directorio compartido /shares/indirect/central debe montarse automáticamente en servera con una asignación indirecta en /internal/central. • El directorio compartido /shares/indirect/east debe montarse automáticamente en servera con una asignación indirecta en /internal/east. • Todas las contraseñas de usuario están configuradas en redhat. 1. Inicie sesión en servera e instale los paquetes requeridos. 1.1. Inicie sesión en servera con el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 1.2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 1.3. Instale el paquete autofs. [root@servera ~]# yum install autofs ...output omitted... Is this ok [y/N]: y ...output omitted... 2. Configure una asignación directa de montaje automático en servera con los recursos compartidos de serverb. Cree la asignación directa con los archivos denominados /etc/ auto.master.d/direct.autofs para la asignación maestra y /etc/auto.direct para el archivo de asignación. Use el directorio /external como el punto de montaje principal en servera. 2.1. Pruebe el servidor NFS y comparta antes de proceder con la configuración del servicio de automontaje. [root@servera ~]# mount -t nfs \ serverb.lab.example.com:/shares/direct/external /mnt [root@servera ~]# ls -l /mnt total 4 -rw-r--r--. 1 root contractors 22 Apr 7 23:15 README.txt [root@servera ~]# umount /mnt 264 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red 2.2. Cree un archivo de asignación maestra llamado /etc/auto.master.d/ direct.autofs, inserte el siguiente contenido y guarde los cambios. /- /etc/auto.direct 2.3. Cree un archivo de asignación directa llamado /etc/auto.direct, inserte el siguiente contenido y guarde los cambios. /external -rw,sync,fstype=nfs4 serverb.lab.example.com:/shares/direct/external 3. Configure una asignación indirecta de montaje automático en servera con los recursos compartidos de serverb. Cree la asignación indirecta con los archivos denominados /etc/auto.master.d/indirect.autofs para la asignación maestra y /etc/ auto.indirect para el archivo de asignación. Use el directorio /internal como el punto de montaje principal en servera. 3.1. Pruebe el servidor NFS y comparta antes de proceder con la configuración del servicio de automontaje. [root@servera ~]# mount -t nfs \ serverb.lab.example.com:/shares/indirect /mnt [root@servera ~]# ls -l /mnt total 0 drwxrws---. 2 root operators 24 Apr 7 23:34 central drwxrws---. 2 root operators 24 Apr 7 23:34 east drwxrws---. 2 root operators 24 Apr 7 23:34 west [root@servera ~]# umount /mnt 3.2. Cree un archivo de asignación maestra llamado /etc/auto.master.d/ indirect.autofs, inserte el siguiente contenido y guarde los cambios. /internal /etc/auto.indirect 3.3. Cree un archivo de asignación indirecta llamado /etc/auto.indirect, inserte el siguiente contenido y guarde los cambios. * -rw,sync,fstype=nfs4 serverb.lab.example.com:/shares/indirect/& 4. Inicie el servicio autofs en servera y habilítelo para que se inicie automáticamente durante el proceso de arranque. Reinicie servera para determinar si el servicio autofs se inicia automáticamente. 4.1. Inicie y habilite el servicio autofs en servera. [root@servera ~]# systemctl enable --now autofs Created symlink /etc/systemd/system/multi-user.target.wants/autofs.service → /usr/ lib/systemd/system/autofs.service. 4.2. Reinicie la máquina servera. RH134-RHEL8.2-es-1-20200928 265 capítulo 9 | Acceso al almacenamiento conectado a la red [root@servera ~]# systemctl reboot 5. Pruebe la asignación directa de automontaje con el usuario contractor1. Cuando haya terminado, salga de la sesión de usuario contractor1 en servera. 5.1. Después de que la máquina servera haya terminado de arrancar, inicie sesión en servera con el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 5.2. Cambie al usuario contractor1. [student@servera ~]$ su - contractor1 Password: redhat 5.3. Enumere el punto de montaje /external. [contractor1@servera ~]$ ls -l /external total 4 -rw-r--r--. 1 root contractors 22 Apr 7 23:34 README.txt 5.4. Revise el contenido y pruebe el acceso del punto de montaje /external. [contractor1@servera ~]$ cat /external/README.txt ###External Folder### [contractor1@servera ~]$ echo testing-direct > /external/testing.txt [contractor1@servera ~]$ cat /external/testing.txt testing-direct 5.5. Salga de la sesión de usuario contractor1. [contractor1@servera ~]$ exit logout [student@servera ~]$ 6. Pruebe la asignación indirecta de montaje automático como el usuario operator1. Cuando finalice, cierre sesión en servera. 6.1. Cambie al usuario operator1. [student@servera ~]$ su - operator1 Password: redhat 6.2. Enumere el punto de montaje /internal. [operator1@servera ~]$ ls -l /internal total 0 266 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red nota Notará que en una asignación indirecta de automontaje, incluso si se encuentra en el punto de montaje asignado, debe llamar a cada uno de los subdirectorios o archivos compartidos a pedido para obtener acceso a ellos. En una asignación directa del servicio de automontaje, después de abrir el punto de montaje asignado, obtendrá acceso a los directorios y al contenido configurado en el directorio compartido. 6.3. Pruebe el acceso a directorio compartido del servicio de automontaje /internal/ west. [operator1@servera ~]$ ls -l /internal/west/ total 4 -rw-r--r--. 1 root operators 18 Apr 7 23:34 README.txt [operator1@servera ~]$ cat /internal/west/README.txt ###West Folder### [operator1@servera ~]$ echo testing-1 > /internal/west/testing-1.txt [operator1@servera ~]$ cat /internal/west/testing-1.txt testing-1 [operator1@servera ~]$ ls -l /internal total 0 drwxrws---. 2 root operators 24 Apr 7 23:34 west 6.4. Pruebe el acceso a directorio compartido del servicio de automontaje /internal/ central. [operator1@servera ~]$ ls -l /internal/central total 4 -rw-r--r--. 1 root operators 21 Apr 7 23:34 README.txt [operator1@servera ~]$ cat /internal/central/README.txt ###Central Folder### [operator1@servera ~]$ echo testing-2 > /internal/central/testing-2.txt [operator1@servera ~]$ cat /internal/central/testing-2.txt testing-2 [operator1@servera ~]$ ls -l /internal total 0 drwxrws---. 2 root operators 24 Apr 7 23:34 central drwxrws---. 2 root operators 24 Apr 7 23:34 west 6.5. Pruebe el acceso a directorio compartido del servicio de automontaje /internal/ east. [operator1@servera ~]$ ls -l /internal/east total 4 -rw-r--r--. 1 root operators 18 Apr 7 23:34 README.txt [operator1@servera ~]$ cat /internal/east/README.txt ###East Folder### [operator1@servera ~]$ echo testing-3 > /internal/east/testing-3.txt [operator1@servera ~]$ cat /internal/east/testing-3.txt testing-3 [operator1@servera ~]$ ls -l /internal RH134-RHEL8.2-es-1-20200928 267 capítulo 9 | Acceso al almacenamiento conectado a la red total 0 drwxrws---. 2 root operators 24 Apr drwxrws---. 2 root operators 24 Apr drwxrws---. 2 root operators 24 Apr 7 23:34 central 7 23:34 east 7 23:34 west 6.6. Pruebe el acceso a directorio compartido del servicio de automontaje /external. [operator1@servera ~]$ ls -l /external ls: cannot open directory '/external': Permission denied 6.7. Cierre sesión en servera. [operator1@servera ~]$ exit logout [student@servera ~]$ exit logout Connection to servera closed. Finalizar En workstation, ejecute el script lab netstorage-autofs finish para terminar este ejercicio. [student@workstation ~]$ lab netstorage-autofs finish Esto concluye el ejercicio guiado. 268 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red Trabajo de laboratorio Acceso al almacenamiento conectado a la red Lista de verificación de rendimiento En este trabajo de laboratorio, configurará el servicio de automontaje con una asignación indirecta, usando recursos compartidos de un servidor NFSv4. Resultados Usted deberá ser capaz de realizar lo siguiente: • Instalar los paquetes necesarios para configurar el servicio de automontaje. • Configurar la asignación indirecta del servicio de automontaje con recursos de un servidor NFSv4 preconfigurado. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab netstorage-review start. Este script de inicio determina si los sistemas servera y serverb son accesibles en la red. El script de inicio configura serverb como servidor NFSv4, configura los permisos y exporta los directorios. También crea los usuarios y grupos necesarios en los sistemas servera y serverb. [student@workstation ~]$ lab netstorage-review start Una empresa de soporte de TI usa un servidor central, serverb, para alojar algunos directorios compartidos en /remote/shares para sus grupos y usuarios. Los usuarios deben ser capaces de iniciar sesión y tener sus directorios compartidos montados a pedido y listos para usar, en el directorio /shares en servera. Información importante: • serverb comparte el directorio /shares, que a su vez contiene los subdirectorios management , production y operation. • El grupo managers está compuesto por los usuarios manager1 y manager2. Tienen acceso de lectura y escritura al directorio compartido /shares/management. • El grupo production está compuesto por los usuarios dbuser1 y sysadmin1. Tienen acceso de lectura y escritura al directorio compartido /shares/production. • El grupo operators está compuesto por los usuarios contractor1 y consultant1. Tienen acceso de lectura y escritura al directorio compartido /shares/operation. • El punto de montaje principal para servera es el directorio /remote. RH134-RHEL8.2-es-1-20200928 269 capítulo 9 | Acceso al almacenamiento conectado a la red • El directorio compartido /shares/management debe montarse automáticamente en / remote/management en servera. • El directorio compartido /shares/production debe montarse automáticamente en / remote/production en servera. • El directorio compartido /shares/operation debe montarse automáticamente en / remote/operation en servera. • Todas las contraseñas de usuario están configuradas en redhat. 1. Inicie sesión en servera e instale los paquetes requeridos. 2. Configure una asignación indirecta de montaje automático en servera con los recursos compartidos de serverb. Cree una asignación indirecta con los archivos denominados / etc/auto.master.d/shares.autofs para la asignación maestra y /etc/auto.shares para el archivo de asignación. Use el directorio /remote como el punto de montaje principal en servera. Reinicie servera para determinar si el servicio autofs se inicia automáticamente. 3. Pruebe la configuración de autofs con los distintos usuarios. Cuando finalice, cierre sesión en servera. Evaluación En workstation, ejecute el comando lab netstorage-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab netstorage-review grade Finalizar En workstation, ejecute el comando lab netstorage-review finish para terminar este ejercicio. [student@workstation ~]$ lab netstorage-review finish Esto concluye el trabajo de laboratorio. 270 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red Solución Acceso al almacenamiento conectado a la red Lista de verificación de rendimiento En este trabajo de laboratorio, configurará el servicio de automontaje con una asignación indirecta, usando recursos compartidos de un servidor NFSv4. Resultados Usted deberá ser capaz de realizar lo siguiente: • Instalar los paquetes necesarios para configurar el servicio de automontaje. • Configurar la asignación indirecta del servicio de automontaje con recursos de un servidor NFSv4 preconfigurado. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab netstorage-review start. Este script de inicio determina si los sistemas servera y serverb son accesibles en la red. El script de inicio configura serverb como servidor NFSv4, configura los permisos y exporta los directorios. También crea los usuarios y grupos necesarios en los sistemas servera y serverb. [student@workstation ~]$ lab netstorage-review start Una empresa de soporte de TI usa un servidor central, serverb, para alojar algunos directorios compartidos en /remote/shares para sus grupos y usuarios. Los usuarios deben ser capaces de iniciar sesión y tener sus directorios compartidos montados a pedido y listos para usar, en el directorio /shares en servera. Información importante: • serverb comparte el directorio /shares, que a su vez contiene los subdirectorios management , production y operation. • El grupo managers está compuesto por los usuarios manager1 y manager2. Tienen acceso de lectura y escritura al directorio compartido /shares/management. • El grupo production está compuesto por los usuarios dbuser1 y sysadmin1. Tienen acceso de lectura y escritura al directorio compartido /shares/production. • El grupo operators está compuesto por los usuarios contractor1 y consultant1. Tienen acceso de lectura y escritura al directorio compartido /shares/operation. • El punto de montaje principal para servera es el directorio /remote. RH134-RHEL8.2-es-1-20200928 271 capítulo 9 | Acceso al almacenamiento conectado a la red • El directorio compartido /shares/management debe montarse automáticamente en / remote/management en servera. • El directorio compartido /shares/production debe montarse automáticamente en / remote/production en servera. • El directorio compartido /shares/operation debe montarse automáticamente en / remote/operation en servera. • Todas las contraseñas de usuario están configuradas en redhat. Inicie sesión en servera e instale los paquetes requeridos. 1. 1.1. Inicie sesión en servera con el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 1.2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 1.3. Instale el paquete autofs. [root@servera ~]# yum install autofs ...output omitted... Is this ok [y/N]: y ...output omitted... Configure una asignación indirecta de montaje automático en servera con los recursos compartidos de serverb. Cree una asignación indirecta con los archivos denominados / etc/auto.master.d/shares.autofs para la asignación maestra y /etc/auto.shares para el archivo de asignación. Use el directorio /remote como el punto de montaje principal en servera. Reinicie servera para determinar si el servicio autofs se inicia automáticamente. 2. 2.1. Pruebe el servidor NFS antes de proceder con la configuración del servicio de automontaje. [root@servera ~]# mount -t nfs serverb.lab.example.com:/shares /mnt [root@servera ~]# ls -l /mnt total 0 drwxrwx---. 2 root managers 25 Apr 4 01:13 management drwxrwx---. 2 root operators 25 Apr 4 01:13 operation drwxrwx---. 2 root production 25 Apr 4 01:13 production [root@servera ~]# umount /mnt 2.2. 272 Cree un archivo de asignación maestra llamado /etc/auto.master.d/ shares.autofs, inserte el siguiente contenido y guarde los cambios. RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red [root@servera ~]# vim /etc/auto.master.d/shares.autofs /remote /etc/auto.shares 2.3. Cree un archivo de asignación indirecta llamado /etc/auto.shares, inserte el siguiente contenido y guarde los cambios. [root@servera ~]# vim /etc/auto.shares * -rw,sync,fstype=nfs4 serverb.lab.example.com:/shares/& 2.4. Inicie y habilite el servicio autofs en servera. [root@servera ~]# systemctl enable --now autofs Created symlink /etc/systemd/system/multi-user.target.wants/autofs.service → /usr/ lib/systemd/system/autofs.service. 2.5. Reinicie la máquina servera. [root@servera ~]# systemctl reboot 3. Pruebe la configuración de autofs con los distintos usuarios. Cuando finalice, cierre sesión en servera. 3.1. Después de que la máquina servera haya terminado de arrancar, inicie sesión en servera con el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 3.2. Use el comando su - manager1 para cambiar al usuario manager1 y probar el acceso. [student@servera ~]$ su - manager1 Password: redhat [manager1@servera ~]$ ls -l /remote/management/ total 4 -rw-r--r--. 1 root managers 46 Apr 4 01:13 Welcome.txt [manager1@servera ~]$ cat /remote/management/Welcome.txt ###Welcome to Management Folder on SERVERB### [manager1@servera ~]$ echo TEST1 > /remote/management/Test.txt [manager1@servera ~]$ cat /remote/management/Test.txt TEST1 [manager1@servera ~]$ ls -l /remote/operation/ ls: cannot open directory '/remote/operation/': Permission denied [manager1@servera ~]$ ls -l /remote/production/ ls: cannot open directory '/remote/production/': Permission denied [manager1@servera ~]$ exit logout [student@servera ~]$ 3.3. Cambie al usuario dbuser1 y pruebe el acceso. RH134-RHEL8.2-es-1-20200928 273 capítulo 9 | Acceso al almacenamiento conectado a la red [student@servera ~]$ su - dbuser1 Password: redhat [dbuser1@servera ~]$ ls -l /remote/production/ total 4 -rw-r--r--. 1 root production 46 Apr 4 01:13 Welcome.txt [dbuser1@servera ~]$ cat /remote/production/Welcome.txt ###Welcome to Production Folder on SERVERB### [dbuser1@servera ~]$ echo TEST2 > /remote/production/Test.txt [dbuser1@servera ~]$ cat /remote/production/Test.txt TEST2 [dbuser1@servera ~]$ ls -l /remote/operation/ ls: cannot open directory '/remote/operation/': Permission denied [dbuser1@servera ~]$ ls -l /remote/management/ ls: cannot open directory '/remote/management/': Permission denied [dbuser1@servera ~]$ exit logout [student@servera ~]$ 3.4. Cambie al usuario contractor1 y pruebe el acceso. [student@servera ~]$ su - contractor1 Password: redhat [contractor1@servera ~]$ ls -l /remote/operation/ total 4 -rw-r--r--. 1 root operators 45 Apr 4 01:13 Welcome.txt [contractor1@servera ~]$ cat /remote/operation/Welcome.txt ###Welcome to Operation Folder on SERVERB### [contractor1@servera ~]$ echo TEST3 > /remote/operation/Test.txt [contractor1@servera ~]$ cat /remote/operation/Test.txt TEST3 [contractor1@servera ~]$ ls -l /remote/management/ ls: cannot open directory '/remote/management/': Permission denied [contractor1@servera ~]$ ls -l /remote/production/ ls: cannot open directory '/remote/production/': Permission denied [contractor1@servera ~]$ exit logout [student@servera ~]$ 3.5. Explore las opciones de mount para el recurso compartido NFS montado automáticamente. [student@servera ~]$ mount | grep nfs rpc_pipefs on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw,relatime) serverb.lab.example.com:/shares/management on /remote/management type nfs4 (rw,relatime,vers=4.2,rsize=262144,wsize=262144,namlen=255, sync,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=172.25.250.10, local_lock=none,addr=172.25.250.11) serverb.lab.example.com:/shares/operation on /remote/operation type nfs4 (rw,relatime,vers=4.2,rsize=262144,wsize=262144,namlen=255, sync,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=172.25.250.10, local_lock=none,addr=172.25.250.11) serverb.lab.example.com:/shares/production on /remote/production type nfs4 274 RH134-RHEL8.2-es-1-20200928 capítulo 9 | Acceso al almacenamiento conectado a la red (rw,relatime,vers=4.2,rsize=262144,wsize=262144,namlen=255, sync,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=172.25.250.10, local_lock=none,addr=172.25.250.11) 3.6. Cierre sesión en servera. [student@servera ~]$ exit logout [student@workstation ~]$ Evaluación En workstation, ejecute el comando lab netstorage-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab netstorage-review grade Finalizar En workstation, ejecute el comando lab netstorage-review finish para terminar este ejercicio. [student@workstation ~]$ lab netstorage-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 275 capítulo 9 | Acceso al almacenamiento conectado a la red Resumen En este capítulo, aprendió cómo hacer lo siguiente: • Montar y desmontar una exportación de NFS desde la línea de comandos. • Configurar una exportación de NFS para montarse automáticamente en el inicio. • Configurar el servicio de automontaje con asignaciones directas e indirectas, así como describir sus diferencias. 276 RH134-RHEL8.2-es-1-20200928 capítulo 10 Control del proceso de arranque Meta Administrar el proceso de arranque para controlar los servicios ofrecidos y para solucionar y reparar problemas. Objetivos • Describir el proceso de arranque de Red Hat Enterprise Linux, configurar el objetivo predeterminado que se usa en el arranque e iniciar un sistema con un objetivo no predeterminado. • Iniciar sesión en un sistema y cambiar la contraseña de root cuando la actual se haya perdido. • Reparar manualmente la configuración del sistema de archivos o problemas de daños que detengan el proceso de arranque. • Selección del objetivo de arranque (y ejercicio guiado) • Restablecimiento de la contraseña de root (y ejercicio guiado) • Reparación de problemas de sistemas de archivos en el arranque (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Control del proceso de arranque 277 capítulo 10 | Control del proceso de arranque Selección del objetivo de arranque Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Describir el proceso de arranque de Red Hat Enterprise Linux. • Establecer el objetivo predeterminado usado en el arranque. • Arrancar un sistema con un objetivo no predeterminado. Descripción del proceso de arranque de Red Hat Enterprise Linux 8 Los sistemas de computación modernos son combinaciones complejas de hardware y software. Desde un estado de apagado no definido hasta un sistema de ejecución con un prompt de inicio de sesión, se requiere una gran cantidad de piezas de hardware y software que funcionen en conjunto. En la siguiente lista, se proporciona una descripción general de alto nivel de las tareas de arranque de un sistema físico x86_64 de Red Hat Enterprise Linux 8. La lista de máquinas virtuales x86_64 es prácticamente la misma, pero el hipervisor maneja algunos de los pasos específicos del hardware en el software. • La máquina se enciende. El firmware del sistema (UEFI moderno o BIOS anterior) ejecuta una prueba automática de encendido (Power On Self Test, POST) y comienza a inicializar parte del hardware. Se ajusta por medio de las pantallas de configuración de BIOS o UEFI del sistema, a las cuales se llega típicamente al presionar una determinada combinación de teclas (p. ej., F2) al principio del proceso de arranque. • El firmware del sistema busca un dispositivo con capacidad de arranque, ya sea configurado en el firmware de arranque UEFI o al buscar un Master Boot Record (MBR) en todos los discos, en el orden configurado en el BIOS. Se ajusta por medio de las pantallas de configuración de BIOS o UEFI del sistema, a las cuales se llega típicamente al presionar una determinada combinación de teclas (p. ej., F2) al principio del proceso de arranque. • El firmware del sistema lee un cargador de arranque desde el disco, luego pasa el control del sistema al cargador de arranque. En un sistema de Red Hat Enterprise Linux 8, el cargador de arranque es GRand Unified Bootloader versión 2 (GRUB2). Se configura con el comando grub2-install, el cual instala GRUB2 como el cargador de arranque en el disco. • GRUB2 carga su configuración desde el archivo /boot/grub2/grub.cfg y muestra un menú donde puede seleccionar qué kernel arrancar. Se configura por medio del directorio /etc/grub.d/, el archivo /etc/default/grub y el comando grub2-mkconfig para generar el archivo /boot/grub2/grub.cfg. 278 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque • Después de seleccionar un kernel, o después de que el tiempo de espera finaliza, el cargador de arranque carga el kernel e initramfs desde el disco y los coloca en la memoria. Un initramfs es una colección de archivos que contiene módulos del kernel para todo el hardware necesario en el arranque, scripts de inicialización y más. En Red Hat Enterprise Linux 8, initramfs contiene un sistema totalmente usable por sí solo. Se configura por medio del directorio /etc/dracut.conf.d/, el comando dracut y el comando lsinitrd para inspeccionar el archivo initramfs. • El cargador de arranque pasa el control al kernel, y detalla todas las opciones especificadas en la línea de comandos del kernel en el cargador de arranque, y la ubicación del initramfs en la memoria. Se configura por medio del directorio /etc/grub.d/, el archivo /etc/default/grub y el comando grub2-mkconfig para generar el archivo /boot/grub2/grub.cfg. • El kernel inicializa todo el hardware para el que puede encontrar un controlador en initramfs y, luego, ejecuta /sbin/init desde initramfs como PID 1. En Red Hat Enterprise Linux 8, / sbin/init es un enlace a systemd. Se configura por medio del parámetro de la línea de comandos init= del kernel. • La instancia systemd desde initramfs ejecuta todas las unidades para el objetivo initrd.target. Esto incluye el montaje del sistema de archivos root en el disco en el directorio /sysroot. Se configura por medio de /etc/fstab • El kernel cambia (articula) el sistema de archivos root desde initramfs al sistema de archivos root en /sysroot. A continuación, systemd vuelve a ejecutarse usando la copia de systemd instalada en el disco. • systemd busca un objetivo predeterminado, ya sea especificado desde la línea de comandos del kernel o configurado en el sistema; luego, inicia (y detiene) unidades para cumplir con la configuración para ese objetivo, y resuelve dependencias entre unidades automáticamente. Básicamente, un objetivo systemd es un conjunto de unidades que el sistema debe activar para alcanzar un estado deseado. Por lo general, estos objetivos inician una pantalla de inicio de sesión basado en texto o inicio de sesión gráfico. Se configura por medio de /etc/systemd/system/default.target y /etc/systemd/ system/. Reinicio y apagado Para apagar o reiniciar un sistema en ejecución desde la línea de comandos, puede usar el comando systemctl. systemctl poweroff detiene todos los servicios en ejecución, desmonta todos los sistemas de archivos (o vuelve a montarlos como solo lectura cuando no se puedan desmontar) y, luego, apaga el sistema. systemctl reboot detiene todos los servicios en ejecución, desmonta todos los sistemas de archivos y, luego, reinicia el sistema. También puede usar el atajo de estos comandos, poweroff y reboot, que son enlaces simbólicos a sus equivalentes de systemctl. RH134-RHEL8.2-es-1-20200928 279 capítulo 10 | Control del proceso de arranque nota systemctl halt y halt también están disponibles para detener el sistema, pero a diferencia de poweroff, estos comandos no apagan el sistema, sino que lo llevan hasta un punto donde es seguro apagarlo manualmente. Selección de un objetivo de Systemd Un objetivo de systemd es un conjunto de unidades de systemd que el sistema debe iniciar para alcanzar un estado deseado. En la siguiente tabla, se detallan los objetivos más importantes. Objetivos que se usan normalmente Objetivo Propósito graphical.target El sistema admite varios usuarios, e inicios de sesión gráficos y basados en texto. multi-user.target El sistema admite varios usuarios y solo inicios de sesión basados en texto. rescue.target Prompt sulogin, inicialización del sistema básica finalizada. emergency.target Prompt sulogin, cambio de initramfs completo y root de sistema montado en / con acceso de solo lectura. Un objetivo puede ser parte de otro objetivo. Por ejemplo, graphical.target incluye multiuser.target, que a su vez depende de basic.target y otros. Puede ver estas dependencias con el siguiente comando. [user@host ~]$ systemctl list-dependencies graphical.target | grep target graphical.target * └─multi-user.target * ├─basic.target * │ ├─paths.target * │ ├─slices.target * │ ├─sockets.target * │ ├─sysinit.target * │ │ ├─cryptsetup.target * │ │ ├─local-fs.target * │ │ └─swap.target ...output omitted... Para enumerar los objetivos disponibles, use el siguiente comando. [user@host ~]$ systemctl list-units --type=target --all UNIT LOAD ACTIVE SUB DESCRIPTION --------------------------------------------------------------------------basic.target loaded active active Basic System cryptsetup.target loaded active active Local Encrypted Volumes emergency.target loaded inactive dead Emergency Mode getty-pre.target loaded inactive dead Login Prompts (Pre) 280 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque getty.target graphical.target ...output omitted... loaded loaded active active Login Prompts inactive dead Graphical Interface Selección de un objetivo en el tiempo de ejecución En un sistema en ejecución, los administradores pueden cambiar a un objetivo diferente usando el comando systemctl isolate. [root@host ~]# systemctl isolate multi-user.target Si aísla un objetivo, detiene todos los servicios no requeridos por ese objetivo (y sus dependencias), e inicia todos los servicios requeridos que aún no se hayan iniciado. No todos los objetivos se pueden aislar. Solo puede aislar objetivos que tengan AllowIsolate=yes establecido en sus archivos de unidad. Por ejemplo, puede aislar el objetivo gráfico, pero no el objetivo cryptsetup. [user@host ~]$ systemctl cat graphical.target # /usr/lib/systemd/system/graphical.target ...output omitted... [Unit] Description=Graphical Interface Documentation=man:systemd.special(7) Requires=multi-user.target Wants=display-manager.service Conflicts=rescue.service rescue.target After=multi-user.target rescue.service rescue.target display-manager.service AllowIsolate=yes [user@host ~]$ systemctl cat cryptsetup.target # /usr/lib/systemd/system/cryptsetup.target ...output omitted... [Unit] Description=Local Encrypted Volumes Documentation=man:systemd.special(7) Configuración de un objetivo predeterminado Cuando el sistema se inicia, systemd activa el objetivo default.target. Normalmente, el objetivo predeterminado en /etc/systemd/system/ es un enlace simbólico a graphical.target o multi-user.target. En lugar de editar este enlace simbólico manualmente, el comando systemctl viene con dos subcomandos para administrar este enlace: get-default y set-default. [root@host ~]# systemctl get-default multi-user.target [root@host ~]# systemctl set-default graphical.target Removed /etc/systemd/system/default.target. Created symlink /etc/systemd/system/default.target -> /usr/lib/systemd/system/ graphical.target. [root@host ~]# systemctl get-default graphical.target RH134-RHEL8.2-es-1-20200928 281 capítulo 10 | Control del proceso de arranque Selección de un objetivo diferente en el momento del arranque Para seleccionar un objetivo diferente en el momento del arranque, agregue la opción systemd.unit=target.target a la línea de comandos del kernel desde el cargador de arranque. Por ejemplo, para iniciar el sistema en una shell de recuperación donde pueda cambiar la configuración del sistema sin casi ningún servicio en ejecución, agregue la siguiente opción a la línea de comandos del kernel desde el cargador de arranque. systemd.unit=rescue.target Este cambio de configuración solo afecta a un único arranque, lo que hace que sea una herramienta útil para la solución de problemas en el proceso de arranque. Para usar este método de selección de un objetivo diferente, use el siguiente procedimiento: 1. Arranque o reinicie el sistema. 2. Interrumpa la cuenta regresiva del menú del cargador de arranque presionando cualquier tecla (excepto Enter que iniciaría un arranque normal). 3. Mueva el cursor hasta la entrada del kernel que desea iniciar. 4. Presione e para editar la entrada actual. 5. Mueva el cursor hasta la línea que comienza con linux. Esta es la línea de comandos del kernel. 6. Anexe systemd.unit=target.target. Por ejemplo, systemd.unit=emergency.target. 7. Presione Ctrl+x para realizar el arranque con estos cambios. Referencias info grub2 (Manual GNU GRUB) Páginas del manual: bootup(7), dracut.bootup(7), lsinitrd(1), systemd.target(5), systemd.special(7), sulogin(8) y systemctl(1) Para obtener más información, consulte el capítulo Administración de servicios con systemd en la Guía de configuración básica de sistemas en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htmlsingle/configuring_basic_system_settings/#managing-services-with-systemd 282 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque Ejercicio Guiado Selección del objetivo de arranque En este ejercicio, determinará el objetivo predeterminado en el que se inicia un sistema, y arrancará ese sistema en otros objetivos. Resultados Debe ser capaz de actualizar el objetivo predeterminado del sistema y usar un objetivo temporal desde el cargador de arranque. Andes De Comenzar Inicie sesión con el usuario student en workstation con la contraseña student. En workstation, ejecute el comando lab boot-selecting start. Este comando ejecuta un script de inicio que prepara a workstation para el ejercicio. [student@workstation ~]$ lab boot-selecting start 1. En workstation, abra una terminal y confirme que el objetivo predeterminado sea graphical.target. [student@workstation ~]$ systemctl get-default graphical.target 2. En workstation, cambie al objetivo multi-user manualmente sin reiniciar. Use el comando sudo y, si se le solicita, use student como la contraseña. [student@workstation ~]$ sudo systemctl isolate multi-user.target [sudo] password for student: student 3. Acceda a una consola basada en texto. Use la secuencia de teclas Ctrl+Alt+F1 por medio de la entrada del menú o el botón relevantes. Inicie sesión como root con redhat como contraseña. nota Recordatorio: si está utilizando el terminal a través de una página web, puede hacer clic en el ícono Mostrar teclado debajo de la barra de URL de su navegador web y luego a la derecha de la dirección IP de la máquina. workstation login: root Password: redhat [root@workstation ~]# RH134-RHEL8.2-es-1-20200928 283 capítulo 10 | Control del proceso de arranque 4. Configure workstation para que arranque automáticamente en el objetivo multi-user y, luego, reinicie workstation para verificarlo. Cuando haya finalizado, cambie el objetivo systemd predeterminado al objetivo gráfico nuevamente. 4.1. Use el comando systemctl set-default para establecer el objetivo predeterminado. [root@workstation ~]# systemctl set-default multi-user.target Removed /etc/systemd/system/default.target. Created symlink /etc/systemd/system/default.target -> /usr/lib/systemd/system/ multi-user.target. 4.2. Reinicie workstation. [root@workstation ~]# systemctl reboot Tenga en cuenta que, después del reinicio, el sistema presenta una consola basada en texto, no un inicio de sesión gráfico. 4.3. Inicie sesión como root con redhat como contraseña. workstation login: root Password: redhat Last login: Thu Mar 28 14:50:53 on tty1 [root@workstation ~]# 4.4. Configure el objetivo systemd predeterminado nuevamente al objetivo gráfico. [root@workstation ~]# systemctl set-default graphical.target Removed /etc/systemd/system/default.target. Created symlink /etc/systemd/system/default.target -> /usr/lib/systemd/system/ graphical.target. Esto concluye la primera parte del ejercicio donde practica la configuración del objetivo systemd predeterminado. 5. En esta segunda parte del ejercicio, practicará el modo de recuperación para recuperar el sistema. Reinicie workstation nuevamente para acceder al cargador de arranque. Desde el menú del cargador de arranque, arranque en el objetivo rescue (recuperación). 5.1. Active el reinicio. [root@workstation ~]# systemctl reboot 284 5.2. Cuando el menú del cargador de arranque aparezca, presione cualquier tecla (excepto Enter que iniciaría un arranque normal) para interrumpir la cuenta regresiva. 5.3. Use las teclas de dirección para destacar la entrada del cargador de arranque predeterminada. 5.4. Presione e para editar la entrada actual. RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque 5.5. Con las teclas de dirección, navegue hacia la línea que comienza con linux. 5.6. Presione End (Fin) para mover el cursor hasta el final de la línea. 5.7. Agregue systemd.unit=rescue.target en el final de la línea. 5.8. Presione Ctrl+x para realizar el arranque con la configuración modificada. 5.9. Inicie sesión en el modo de recuperación. La contraseña root es redhat Es posible que tenga que presionar Enter (Intro) para obtener un prompt limpio. Give root password for maintenance (or press Control-D to continue): redhat [root@workstation ~]# 6. Confirme que, en el modo de recuperación, el sistema de archivos root se encuentre en el modo de lectura/escritura. [root@workstation ~]# mount ...output omitted... /dev/vda3 on / type xfs (rw,relatime,seclabel,attr2,inode64,noquota) ...output omitted... 7. Presione Ctrl+d para continuar con el proceso de arranque. El sistema presenta un inicio de sesión gráfico. Inicie sesión como student usando student como contraseña. Finalizar En workstation, ejecute el script lab boot-selecting finish para terminar este ejercicio. [student@workstation ~]$ lab boot-selecting finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 285 capítulo 10 | Control del proceso de arranque Restablecimiento de la contraseña de root Objetivos Tras finalizar esta sección, usted deberá ser capaz de iniciar sesión en un sistema y cambiar la contraseña root cuando la contraseña root actual se haya perdido. Restablecer la contraseña de root desde el cargador de arranque. Una tarea que todos los administradores de sistemas deben ser capaces de realizar es restablecer una contraseña root perdida. Si el administrador aún tiene la sesión iniciada, ya sea como usuario sin privilegios, pero con acceso sudo completo, o como root, esta tarea es sencilla. Cuando el administrador no ha iniciado sesión, esta tarea es un poco más complicada. Existen muchos métodos para establecer una nueva contraseña root. Un administrador de sistemas podría, por ejemplo, arrancar el sistema usando un CD Live, montar el sistema de archivos root desde allí y editar /etc/shadow. En esta sección, exploramos un método que no requiere el uso de medios externos. nota En Red Hat Enterprise Linux 6 y en las versiones anteriores, los administradores pueden arrancar el sistema en el nivel de ejecución 1 para obtener un prompt de root. Los análogos más cercanos al nivel de ejecución 1 en una máquina Red Hat Enterprise Linux 8 son los objetivos de recuperación y emergencia, y ambos requieren la contraseña root para iniciar sesión. En Red Hat Enterprise Linux 8, es posible tener scripts que se ejecuten desde la pausa de initramfs en ciertos puntos, proporcionar una shell root y, luego, continuar cuando esa shell se cierre. Esto se suele realizar principalmente para depuraciones, pero también se puede usar para restablecer una contraseña root perdida. Para acceder a la shell root, siga estos pasos: 1. Reinicie el sistema. 2. Interrumpa la cuenta regresiva del cargador de arranque presionando cualquier tecla (excepto Enter). 3. Mueva el cursor hasta la entrada del kernel que debe iniciarse. 4. Presione e para editar la entrada seleccionada. 5. Mueva el cursor hasta la línea de comandos del kernel (la línea que empieza con linux). 6. Agregue rd.break. Con esa opción, se produce un quiebre en el sistema antes de que el control se entregue de initramfs al sistema real. 7. Presione Ctrl+x para realizar el arranque con los cambios. 286 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque En este punto, se presenta una shell root, con el sistema de archivos root real en el disco montado para solo lectura en /sysroot. Debido a que la solución de problemas suele exigir modificaciones en el sistema de archivos root, debe cambiar el sistema de archivos root para que su acceso sea de lectura-escritura. En el siguiente paso, se muestra cómo la opción remount,rw del comando mount vuelve a montar el sistema de archivos con la opción nueva, (rw), configurada. nota Es posible que las imágenes compiladas previamente coloquen múltiples argumentos console= en el kernel para respaldar una amplia variedad de situaciones de implementación. Estos argumentos console= indican los dispositivos que se deben usar para la salida por consola. La advertencia con rd.break es que si bien el sistema envía los mensajes del kernel a todas las consolas, el prompt usará en última instancia la última consola. Si no recibe el prompt, es posible que desee reordenar temporalmente los argumentos console= cuando edite la línea de comandos del kernel desde el cargador de arranque. Importante El sistema aún no ha habilitado SELinux, por lo que cualquier archivo que cree no tiene un contexto SELinux. Algunas herramientas, como el comando passwd, primero crean un archivo temporal, y, luego, lo trasladan al lugar del archivo que intentan editar; y se crea así de manera efectiva un nuevo archivo sin un contexto SELinux. Por este motivo, cuando usa el comando passwd con rd.break, el archivo /etc/shadow no tiene un contexto SELinux. Para restablecer la contraseña root desde este punto, realice el siguiente procedimiento: 1. Vuelva a montar /sysroot con acceso de lectura-escritura. switch_root:/# mount -o remount,rw /sysroot 2. Cambie a jail de chroot, donde /sysroot se trata como la root de un árbol de sistemas de archivos. switch_root:/# chroot /sysroot 3. Establezca una nueva contraseña root. sh-4.4# passwd root 4. Asegúrese de que todos los archivos no etiquetados, incluido /etc/shadow en este punto, obtengan una nueva etiqueta durante el arranque. sh-4.4# touch /.autorelabel 5. Ingrese exit dos veces. El primer comando saldrá del jail de chroot y el segundo comando saldrá de la shell de depuración de initramfs. RH134-RHEL8.2-es-1-20200928 287 capítulo 10 | Control del proceso de arranque En este punto, el sistema continúa con el arranque, realiza un nuevo etiquetado de SELinux completo y, luego, realiza el arranque nuevamente. Inspección de registros Puede ser útil mirar los registros de arranques anteriores que fallaron. Si los diarios (journals) del sistema son persistentes durante los reinicios, puede usar la herramienta journalctl para inspeccionar esos registros. Recuerde que, de manera predeterminada, los diarios (journals) del sistema se almacenan en el directorio /run/log/journal, lo que significa que se borran cuando se reinicia el sistema. Para almacenar diarios (journals) en el directorio /var/log/journal, que no se borra en los reinicios, configure el parámetro Storage en persistent (persistente) en /etc/systemd/ journald.conf. [root@host ~]# vim /etc/systemd/journald.conf ...output omitted... [Journal] Storage=persistent ...output omitted... [root@host ~]# systemctl restart systemd-journald.service Para inspeccionar los registros de un arranque anterior, use la opción -b de journalctl. Sin ningún argumento, la opción -b solo muestra mensajes desde el último arranque. Si el argumento es un número negativo, se muestran los registros de los arranques anteriores. [root@host ~]# journalctl -b -1 -p err Este comando muestra todos los mensajes calificados como error o peor del arranque anterior. Reparación de problemas de arranque de Systemd Para solucionar problemas de inicio del servicio en el momento del arranque, Red Hat Enterprise Linux 8 ofrece las siguientes estrategias. Habilitar la shell de depuración temprana Al habilitar el servicio debug-shell con systemctl enable debug-shell.service, el sistema genera una shell root en TTY9 (Ctrl+Alt+F9) al principio de la secuencia de arranque. Esta shell inicia sesión automáticamente como root, de modo que los administradores pueden depurar el sistema mientras el sistema operativo aún está arrancando. Advertencia No olvide deshabilitar el servicio debug-shell.service cuando haya finalizado la depuración, ya que deja una shell root no autenticada abierta a cualquier usuario con acceso a la consola local. Usar los objetivos de emergencia y recuperación Al agregar systemd.unit=rescue.target o systemd.unit=emergency.target delante de la línea de comandos del kernel desde el cargador de arranque, el sistema indica una shell de emergencia o recuperación en lugar de iniciarse normalmente. Estas dos shells requieren la contraseña root. 288 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque El objetivo de emergencia mantiene el sistema de archivos root montado con solo lectura; mientras que el objetivo de recuperación espera que sysinit.target se complete, para que una mayor parte del sistema se inicie (p. ej., servicio de inicio de sesión o sistemas de archivos). El usuario root en este punto no puede hacer cambios a /etc/fstab hasta que la unidad se vuelva a montar en un estado de lectura/escritura mount -o remount,rw / Los administradores pueden usar estas shells para corregir problemas que impiden que el sistema arranque normalmente; por ejemplo, un bucle de dependencia entre servicios o una entrada incorrecta en /etc/fstab. Cuando se sale de estas shells, continúa el proceso de arranque regular. Identificar trabajos atascados Durante el inicio, systemd inicia una cantidad de trabajos. Si alguno de estos trabajos no se puede completar, impide que otros trabajos se ejecuten. Para inspeccionar la lista de trabajos actual, los administradores pueden usar el comando systemctl list-jobs. Todos los trabajos detallados como en ejecución deben completarse para que los trabajos detallados como en espera puedan continuar. Referencias Páginas del manual: dracut.cmdline(7), systemd-journald(8), journald.conf(5), journalctl(1) y systemctl(1) RH134-RHEL8.2-es-1-20200928 289 capítulo 10 | Control del proceso de arranque Ejercicio Guiado Restablecimiento de la contraseña de root En este ejercicio, restablecerá la contraseña root en un sistema. Resultados Deberá ser capaz de restablecer una contraseña root perdida. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab boot-resetting start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También restablece la contraseña root a una cadena aleatoria y establece un tiempo de espera mayor para el menú de GRUB2. [student@workstation ~]$ lab boot-resetting start 1. Vuelva a arrancar servera e interrumpa la cuenta regresiva en el menú del cargador de arranque. 1.1. Localice el icono de la consola de servera, según corresponda para el entorno del aula. Abra la consola. Envíe Ctrl+Alt+Del a su sistema usando la entrada del menú o el botón relevantes. 1.2. 2. Cuando el menú del cargador de arranque aparezca, presione cualquier tecla (excepto Enter) para interrumpir la cuenta regresiva. Edite la entrada del cargador de arranque predeterminada (en la memoria) para anular el proceso de arranque después de que todos los sistemas de archivos hayan sido montados por el kernel, pero antes de que el control se entregue a systemd. 2.1. Use las teclas de dirección para destacar la entrada del cargador de arranque predeterminada. 2.2. Presione e para editar la entrada actual. 2.3. Use las teclas de dirección para navegar hacia la línea que comienza con linux. 2.4. Presione End (Fin) para mover el cursor hasta el final de la línea. 2.5. Agregue rd.break en el final de la línea. 2.6. Presione Ctrl+x para realizar el arranque con la configuración modificada. 3. En el prompt switch_root, vuelva a montar el sistema de archivos /sysroot con acceso de lectura-escritura y, luego, use chroot para ir a un jail chroot en /sysroot. 290 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque switch_root:/# mount -o remount,rw /sysroot switch_root:/# chroot /sysroot 4. Cambie la contraseña de root nuevamente a redhat. sh-4.4# passwd root Changing password for user root. New password: redhat BAD PASSWORD: The password is shorter than 8 characters Retype new password: redhat passwd: all authentication tokens updated successfully. 5. Configure el sistema para que realice automáticamente un etiquetado nuevo de SELinux completo después del arranque. Esto es necesario porque el comando passwd recrea el archivo /etc/shadow sin un contexto SELinux. sh-4.4# touch /.autorelabel 6. Escriba exit dos veces para continuar reiniciando su sistema de forma normal. El sistema ejecuta un nuevo etiquetado SELinux y, luego, vuelve a arrancar nuevamente por sí solo. Cuando el sistema esté funcionando, verifique su trabajo al iniciar sesión como root en la consola. Use redhat como la contraseña. Finalizar En workstation, ejecute el script lab boot-resetting finish para terminar este ejercicio. [student@workstation ~]$ lab boot-resetting finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 291 capítulo 10 | Control del proceso de arranque Reparación de problemas del sistema de archivos en el arranque Objetivos Tras finalizar esta sección, usted deberá ser capaz de reparar manualmente la configuración del sistema de archivos o problemas de daños que detengan el proceso de arranque. Diagnosticar y corregir problemas del sistema de archivos Los errores en sistemas de archivos dañados y en /etc/fstab pueden impedir que un sistema arranque. En la mayoría de los casos, systemd cae a una shell de reparación que requiere la contraseña de root. En la siguiente tabla, se detallan algunos errores comunes y sus resultados. Problemas comunes del sistema de archivos Problema Resultado Sistema de archivos dañado systemd intenta reparar el sistema de archivos. Si el problema es demasiado grave y no admite una corrección automática, el sistema pasa al usuario a una shell de emergencia. Dispositivo no existente o UUID mencionado en /etc/ fstab systemd espera un tiempo establecido a que el dispositivo esté disponible. Si el dispositivo no aparece como disponible, el sistema pasa al usuario a una shell de emergencia después del tiempo de espera. Punto de montaje no existente en /etc/fstab El sistema pasa al usuario a una shell de emergencia. Opción de montaje incorrecta especificada en /etc/fstab El sistema pasa al usuario a una shell de emergencia. En todos los casos, los administradores también pueden usar el objetivo de emergencia para diagnosticar y corregir el problema, dado que ningún sistema de archivos se monta antes de que se muestre la shell de emergencia. nota Cuando use la shell de emergencia para resolver problemas del sistema de archivos, no olvide ejecutar systemctl daemon-reload después de editar /etc/fstab. Sin esta recarga, systemd puede continuar usando la versión anterior. La opción nofail en una entrada en el archivo /etc/fstab permite que el sistema arranque, incluso si el montaje de ese sistema de archivos no se ejecuta de forma correcta. No use esta opción en circunstancias normales. Con nofail, una aplicación se puede iniciar sin el almacenamiento y generar posibles consecuencias graves. 292 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque Referencias Páginas del manual: systemd-fsck(8), systemd-fstab-generator(8) y systemd.mount(5) RH134-RHEL8.2-es-1-20200928 293 capítulo 10 | Control del proceso de arranque Ejercicio Guiado Reparación de problemas del sistema de archivos en el arranque En este ejercicio, recuperará un sistema de una configuración incorrecta en /etc/fstab que hace que el proceso de arranque falle. Resultados Debe ser capaz de diagnosticar problemas de /etc/fstab y usar el modo de emergencia para recuperar el sistema. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab boot-repairing start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También introduce un problema del sistema de archivos, establece un tiempo de espera mayor para el menú de GRUB2 y reinicia servera. [student@workstation ~]$ lab boot-repairing start 1. Acceda a la consola de servera y observe que el proceso de arranque no se ejecuta correctamente desde el principio. 1.1. Localice el icono de la consola de servera, según corresponda para el entorno del aula. Abra la consola. Advierta que, al parecer, un trabajo de inicio no se ejecuta por completo. Tómese un momento para especular sobre la posible causa de este comportamiento. 1.2. Para reiniciar, envíe Ctrl+Alt+Del a su sistema usando la entrada del menú o el botón relevantes. En el caso de este problema de arranque en particular, esta secuencia de teclas puede no detener inmediatamente el trabajo en ejecución, y es posible que tenga que esperar a que finalice el tiempo de espera antes de que el sistema se reinicie. Si espera a que la tarea finalice el tiempo de espera sin enviar Ctrl+Alt+Del, el sistema eventualmente genera por su cuenta una shell de emergencia. 1.3. 2. 294 Cuando el menú del cargador de arranque aparezca, presione cualquier tecla (excepto Enter) para interrumpir la cuenta regresiva. Si observa el error que tuvo en el arranque anterior, parece que al menos ciertas partes del sistema aún están funcionando. Puesto que sabe la contraseña de root (redhat), intente un arranque de emergencia. 2.1. Use las teclas de dirección para destacar la entrada del cargador de arranque predeterminada. 2.2. Presione e para editar la entrada actual. RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque 3. 2.3. Use las teclas de dirección para navegar hacia la línea que comienza con linux. 2.4. Presione End (Fin) para mover el cursor hasta el final de la línea. 2.5. Agregue systemd.unit=emergency.target en el final de la línea. 2.6. Presione Ctrl+x para realizar el arranque con la configuración modificada. Inicie sesión en el modo de emergencia. La contraseña de root es redhat. Give root password for maintenance (or press Control-D to continue): redhat [root@servera ~]# 4. Determine qué sistemas de archivos están montados actualmente. [root@servera ~]# mount ...output omitted... /dev/vda1 on / type xfs (ro,relatime,seclabel,attr2,inode64,noquota) ...output omitted... Tenga en cuenta que el sistema de archivos root se monta con acceso de solo lectura. 5. Vuelva a montar el sistema de archivos root con acceso de lectura-escritura. [root@servera ~]# mount -o remount,rw / 6. Use el comando mount -a para intentar montar todos los demás sistemas de archivos. Con la opción --all (-a), el comando monta todos los sistemas de archivos detallados en /etc/fstab que todavía no están montados. [root@servera ~]# mount -a mount: /RemoveMe: mount point does not exist. 7. Edite /etc/fstab para corregir el problema. 7.1. Elimine o comente la línea incorrecta. [root@servera ~]# vim /etc/fstab ...output omitted... # /dev/sdz1 /RemoveMe xfs defaults 7.2. 0 0 Actualice systemd para que el sistema registre la configuración de /etc/fstab nueva. [root@servera ~]# systemctl daemon-reload 8. Intente montar todas las entradas para verificar que su /etc/fstab ahora sea correcto. [root@servera ~]# mount -a RH134-RHEL8.2-es-1-20200928 295 capítulo 10 | Control del proceso de arranque 9. Reinicie el sistema y espere a que el arranque finalice. Ahora el sistema debería arrancar normalmente. [root@servera ~]# systemctl reboot Finalizar En workstation, ejecute el script lab boot-repairing finish para terminar este ejercicio. [student@workstation ~]$ lab boot-repairing finish Esto concluye el ejercicio guiado. 296 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque Trabajo de laboratorio Control del proceso de arranque Lista de verificación de rendimiento En este trabajo de laboratorio, restablecerá la contraseña de root en un sistema, corregirá una configuración incorrecta y establecerá el objetivo de arranque predeterminado. Resultados Usted deberá ser capaz de realizar lo siguiente: • Restablecer una contraseña de root perdida. • Diagnosticar y corregir problemas de arranque. • Establecer el objetivo de systemd predeterminado. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab boot-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También introduce un problema del sistema de archivos, restablece la contraseña de root, establece un tiempo de espera mayor para el menú de GRUB2 y reinicia serverb. [student@workstation ~]$ lab boot-review start 1. En serverb, restablezca la contraseña de root como redhat. Localice el icono de la consola de serverb, según corresponda para el entorno del aula. Trabaje desde esa consola. 2. El sistema no arranca. Al parecer, un trabajo de inicio no se ejecuta por completo. Desde la consola, corrija el problema. 3. Cambie el objetivo de systemd predeterminado en serverb para que el sistema inicie automáticamente una interfaz gráfica en el arranque. Todavía no hay una interfaz gráfica instalada en serverb. Para este ejercicio, solo establezca el objetivo predeterminado y no instale los paquetes. Evaluación En workstation, ejecute el script lab boot-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab boot-review grade RH134-RHEL8.2-es-1-20200928 297 capítulo 10 | Control del proceso de arranque Finalizar En workstation, ejecute el script lab boot-review finish para terminar el trabajo de laboratorio. [student@workstation ~]$ lab boot-review finish Esto concluye el trabajo de laboratorio. 298 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque Solución Control del proceso de arranque Lista de verificación de rendimiento En este trabajo de laboratorio, restablecerá la contraseña de root en un sistema, corregirá una configuración incorrecta y establecerá el objetivo de arranque predeterminado. Resultados Usted deberá ser capaz de realizar lo siguiente: • Restablecer una contraseña de root perdida. • Diagnosticar y corregir problemas de arranque. • Establecer el objetivo de systemd predeterminado. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab boot-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También introduce un problema del sistema de archivos, restablece la contraseña de root, establece un tiempo de espera mayor para el menú de GRUB2 y reinicia serverb. [student@workstation ~]$ lab boot-review start 1. En serverb, restablezca la contraseña de root como redhat. Localice el icono de la consola de serverb, según corresponda para el entorno del aula. Trabaje desde esa consola. 1.1. Envíe Ctrl+Alt+Del a su sistema usando la entrada del menú o el botón relevantes. 1.2. Cuando el menú del cargador de arranque aparezca, presione cualquier tecla (excepto Enter) para interrumpir la cuenta regresiva. 1.3. Use las teclas de dirección para destacar la entrada del cargador de arranque predeterminada. 1.4. Presione e para editar la entrada actual. 1.5. Use las teclas de dirección para navegar hacia la línea que comienza con linux. 1.6. Presione End (Fin) para mover el cursor hasta el final de la línea. 1.7. Agregue rd.break en el final de la línea. 1.8. Presione Ctrl+x para realizar el arranque con la configuración modificada. 1.9. En el prompt switch_root, vuelva a montar el sistema de archivos /sysroot con acceso de lectura-escritura y, luego, use chroot para ir a un jail chroot en /sysroot. RH134-RHEL8.2-es-1-20200928 299 capítulo 10 | Control del proceso de arranque switch_root:/# mount -o remount,rw /sysroot switch_root:/# chroot /sysroot 1.10. Establezca la contraseña de root en redhat. sh-4.4# passwd root Changing password for user root. New password: redhat BAD PASSWORD: The password is shorter than 8 characters Retype new password: redhat passwd: all authentication tokens updated successfully. 1.11. Configure el sistema para que realice automáticamente un etiquetado nuevo de SELinux completo después del arranque. sh-4.4# touch /.autorelabel 1.12. 2. Escriba exit dos veces para continuar reiniciando su sistema. El sistema no arranca debido a un problema que resolverá en el siguiente paso. El sistema no arranca. Al parecer, un trabajo de inicio no se ejecuta por completo. Desde la consola, corrija el problema. 2.1. Arranque el sistema en modo de emergencia. Para esto, reinicie serverb al enviar Ctrl+Alt+Del a su sistema usando la entrada del menú o el botón relevantes. 2.2. Cuando el menú del cargador de arranque aparezca, presione cualquier tecla (excepto Enter) para interrumpir la cuenta regresiva. 2.3. Use las teclas de dirección para destacar la entrada del cargador de arranque predeterminada. 2.4. Presione e para editar la entrada actual. 2.5. Use las teclas de dirección para navegar hacia la línea que comienza con linux. 2.6. Presione End (Fin) para mover el cursor hasta el final de la línea. 2.7. Agregue systemd.unit=emergency.target en el final de la línea. 2.8. Presione Ctrl+x para realizar el arranque con la configuración modificada. 2.9. Inicie sesión en el modo de emergencia. La contraseña de root es redhat. Give root password for maintenance (or press Control-D to continue): redhat [root@serverb ~]# 2.10. Vuelva a montar el sistema de archivos / con acceso de lectura-escritura. [root@serverb ~]# mount -o remount,rw / 2.11. 300 Use el comando mount -a para intentar montar todos los demás sistemas de archivos. RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque [root@serverb ~]# mount -a mount: /olddata: can't find UUID=4d5c85a5-8921-4a06-8aff-80567e9689bc. 2.12. Edite /etc/fstab para eliminar o comentar la línea incorrecta. [root@serverb ~]# vim /etc/fstab ...output omitted... #UUID=4d5c85a5-8921-4a06-8aff-80567e9689bc /olddata xfs defaults 0 0 2.13. Actualice systemd para que el sistema registre la configuración de /etc/fstab nueva. [root@serverb ~]# systemctl daemon-reload [root@serverb ~]# 2.14. Intente montar todas las entradas para verificar que su /etc/fstab ahora sea correcto. [root@serverb ~]# mount -a [root@serverb ~]# 2.15. Reinicie el sistema y espere a que el arranque finalice. Puesto que creó el archivo /.autorelabel en el primer paso, después de configurar la contraseña de root, el sistema ejecuta un etiquetado nuevo de SELinux y, luego, se reinicia nuevamente por su cuenta. Ahora el sistema debería arrancar normalmente. [root@serverb ~]# systemctl reboot 3. Cambie el objetivo de systemd predeterminado en serverb para que el sistema inicie automáticamente una interfaz gráfica en el arranque. Todavía no hay una interfaz gráfica instalada en serverb. Para este ejercicio, solo establezca el objetivo predeterminado y no instale los paquetes. 3.1. Inicie sesión en serverb como el usuario root. Use redhat como la contraseña. 3.2. Use el comando systemctl set-default para establecer graphical.target como el objetivo predeterminado. [root@serverb ~]# systemctl set-default graphical.target 3.3. Use el comando systemctl get-default para verificar su trabajo. [root@serverb ~]# systemctl get-default graphical.target 3.4. Cierre sesión en serverb. [root@serverb ~]# exit RH134-RHEL8.2-es-1-20200928 301 capítulo 10 | Control del proceso de arranque Evaluación En workstation, ejecute el script lab boot-review grade para confirmar que ha realizado correctamente este ejercicio. [student@workstation ~]$ lab boot-review grade Finalizar En workstation, ejecute el script lab boot-review finish para terminar el trabajo de laboratorio. [student@workstation ~]$ lab boot-review finish Esto concluye el trabajo de laboratorio. 302 RH134-RHEL8.2-es-1-20200928 capítulo 10 | Control del proceso de arranque Resumen En este capítulo, aprendió lo siguiente: • systemctl reboot y systemctl poweroff reinician y apagan el sistema, respectivamente. • systemctl isolate target-name.target cambia a un nuevo objetivo en tiempo de ejecución. • systemctl get-default y systemctl set-default se pueden usar para consultar y establecer el objetivo predeterminado. • Use rd.break en la línea de comandos del kernel para interrumpir el proceso de arranque antes de que se entregue el control desde el initramfs. El sistema de archivos root se monta como solo lectura en /sysroot. • El objetivo de emergencia se puede usar para diagnosticar y corregir problemas de sistemas de archivos. RH134-RHEL8.2-es-1-20200928 303 304 RH134-RHEL8.2-es-1-20200928 capítulo 11 Administración de la seguridad de redes Meta Controlar las conexiones de red a los servicios mediante el firewall del sistema y las reglas de SELinux. Objetivos • Aceptar o rechazar las conexiones de red a los servicios del sistema por medio de las reglas de firewalld. • Controlar si los servicios de red pueden usar puertos de red específicos al administrar las etiquetas de puertos de SELinux. • Administración de firewalls del servidor (y ejercicio guiado) • Control del etiquetado de puertos de SELinux (y ejercicio guiado) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Administración de firewalls del servidor 305 capítulo 11 | Administración de la seguridad de redes Administración de firewalls del servidor Objetivos Tras finalizar esta sección, usted deberá ser capaz de aceptar o rechazar las conexiones de red a los servicios del sistema por medio de las reglas de firewalld. Conceptos de arquitectura del firewall El kernel de Linux incluye netfilter, un marco (framework) para las operaciones de tráfico de red, como el filtrado de paquetes, la traducción de direcciones de red y la traducción de puertos. Al implementar manejadores en el kernel que interceptan invocaciones de funciones y mensajes, netfilter permite que otros módulos del kernel interactúen directamente con la pila (stack) de red del kernel. El software del firewall emplea estos enlaces para registrar reglas de filtro y funciones que modifican al paquete, lo que permite procesar cada paquete que pasa a través de la pila (stack) de red. Cualquier paquete de red entrante, saliente o reenviado se puede inspeccionar, modificar, eliminar o enrutar mediante programación antes de llegar a los componentes o a las aplicaciones del espacio de usuario. Netfilter es el componente primario en los firewalls de Red Hat Enterprise Linux 8. Nftables supera a netfilter El kernel de Linux también incluye el marco nftables, un nuevo subsistema de clasificación de paquetes y filtros que ha mejorado partes del código de netfilter, pero ha conservado la arquitectura de netfilter (como los enlaces de la pila [stack] de red, el sistema de seguimiento de la conexión y la utilidad de registro). Las ventajas de la actualización de nftables es que ofrece un procesamiento de paquetes más veloz, actualizaciones del conjunto de reglas más rápidas y el procesamiento simultáneo de IPv4 e IPv6 desde las mismas reglas. Otra gran diferencia entre nftables y el marco netfilter original radica en sus interfaces. Netfilter está configurado por medio de múltiples marcos (frameworks) de utilidad, incluidos iptables, ip6tables, arptables y ebtables, que ahora están en desuso. Nftables emplea la utilidad única del espacio de usuario nft, lo que permite que toda la gestión de protocolos se produzca a través de una sola interfaz y elimina la contención histórica causada por diversos front-ends y múltiples interfaces de netfilter. Presentación de firewalld Firewalld es un administrador de firewall dinámico, un front-end para el marco (framework) nftables que usa el comando nft. Hasta la introducción de nftables, firewalld usaba el comando iptables para configurar netfilter de forma directa, como una alternativa mejorada del servicio de iptables. En RHEL 8, firewalld sigue siendo el front-end recomendado, ya que gestiona conjuntos de reglas de firewall por medio de nft. Firewalld sigue siendo capaz de leer y gestionar los archivos de configuración y los conjuntos de reglas de iptables y usa xtables-nft-multi para traducir objetos de iptables directamente a reglas y objetos de nftables. Si bien esto no se aconseja, firewalld se puede configurar para retornar al backend de iptables para casos de usos complejos en los que los conjuntos de reglas existentes de iptables no se pueden procesar correctamente con traducciones de nft. Las aplicaciones consultan el subsistema usando la interfaz de D-Bus. El subsistema de firewalld (disponible desde el paquete RPM de firewalld) no se incluye en una instalación mínima, pero se incluye en una instalación básica. Con firewalld, se simplifica la administración 306 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes del firewall al clasificar todo el tráfico de la red en zonas. En función de los criterios (como la dirección IP de la fuente de un paquete o la interfaz de red entrante), el tráfico se desvía a las reglas de firewall para la zona adecuada. Cada zona tiene su propia lista de puertos y servicios que están abiertos o cerrados. nota En el caso de equipos portátiles u otras máquinas que cambian regularmente las redes, NetworkManager se puede usar para configurar automáticamente la zona de firewall para una conexión. Las zonas se personalizan con reglas adecuadas para conexiones particulares. Esto es especialmente útil en el traslado entre el hogar, el trabajo y las redes inalámbricas públicas. Un usuario podría desear llegar al servicio sshd de su sistema cuando se conecta a las redes de su hogar y corporativas, pero no cuando se conecta a la red inalámbrica pública en la tienda de café local. Firewalld verifica la dirección de origen para cada paquete que ingresa al sistema. Si esa dirección de origen está asignada a una zona específica, rigen las reglas de esa zona. Si la dirección de origen no está asignada a una zona, firewalld asocia el paquete con la zona para la interfaz de red entrante, y rigen las reglas para esa zona. Si la interfaz de red no está asociada con una zona por algún motivo, firewalld asocia el paquete con la zona predeterminada. La zona predeterminada no es una zona separada, sino una designación para una zona existente. Inicialmente, firewalld designa la zona public (pública) como la zona predeterminada y asigna la interfaz de bucle invertido de lo a la zona trusted (de confianza). La mayoría de las zonas permiten el tráfico a través del firewall que relaciona una lista de puertos y protocolos particulares (como 631/udp) o servicios predefinidos (como ssh). Si el tráfico no relaciona un puerto y protocolo o servicio permitidos, generalmente se rechaza. (La zona trusted [de confianza], que permite todo el tráfico de forma predeterminada, es una excepción a esto). Zonas predefinidas Firewalld cuenta con zonas predefinidas, cada una de las cuales se puede personalizar. De forma predeterminada, todas las zonas permiten todo el tráfico entrante que sea parte de una comunicación iniciada por el sistema y todo el tráfico saliente. En la siguiente tabla, se detalla esta configuración de zona inicial. Configuración predeterminada de zonas firewalld Nombre de la zona Configuración predeterminada trusted (de confianza) Permite todo el tráfico entrante. home (inicio) Rechaza el tráfico entrante a menos que esté relacionado con tráfico saliente o que relacione los servicios predefinidos ssh, mdns, ippclient, samba-client o dhcpv6-client. RH134-RHEL8.2-es-1-20200928 307 capítulo 11 | Administración de la seguridad de redes Nombre de la zona Configuración predeterminada internal (interna) Rechaza el tráfico entrante a menos que esté relacionado con tráfico saliente o que relacione los servicios predefinidos ssh, mdns, ippclient, samba-client o dhcpv6-client (lo mismo que la zona home para empezar). work (trabajo) Rechaza el tráfico entrante a menos que esté relacionado con tráfico saliente o que relacione los servicios predefinidos ssh, ipp-client o dhcpv6-client. public (pública) Rechaza el tráfico entrante, a menos que esté relacionado con tráfico saliente o que relacione los servicios predefinidos ssh o dhcpv6client. La zona predeterminada para interfaces de red recientemente agregadas. external (externa) Rechaza el tráfico entrante, a menos que esté relacionado con tráfico saliente o que relacione el servicio predefinido ssh. El tráfico IPv4 saliente reenviado a través de esta zona es enmascarado para que luzca como si se hubiera originado desde la dirección IPv4 de la interfaz de red saliente. dmz Rechaza el tráfico entrante, a menos que esté relacionado con tráfico saliente o que relacione el servicio predefinido ssh. block (bloqueo) Rechaza todo el tráfico entrante, a menos que esté relacionado con tráfico saliente. drop (caída) Deja caer todo el tráfico entrante, a menos que esté relacionado con tráfico saliente (ni siquiera responde con errores ICMP). Para conocer una lista de las zonas predefinidas disponibles y sus usos previstos, consulte firewalld.zones(5). Servicios predefinidos Firewalld incluye un número de servicios predefinidos. Estas definiciones de servicio lo ayudan a identificar servicios de red particulares que puede configurar. En lugar de tener que buscar los puertos relevantes para el servicio samba-client, por ejemplo, puede especificar el servicio samba-client compilado previamente para configurar los puertos y protocolos correctos. En la siguiente tabla, se detallan los servicios predefinidos que se emplean en la configuración inicial de zonas de firewall. Servicios firewalld predefinidos seleccionados Nombre del servicio Configuración ssh Servidor SSH local. Tráfico a 22/tcp dhcpv6-client Cliente DHCPv6 local. Tráfico a 546/udp en la red fe80::/64 IPv6 ipp-client Impresión IPP local. Tráfico a 631/udp. samba-client Archivo Windows local y cliente de intercambio de impresión. Tráfico a 137/udp y 138/udp. 308 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes Nombre del servicio Configuración mdns Resolución del nombre del enlace local DNS (mDNS) multidifusión (multicast). Tráfico a 5353/udp a las direcciones de multidifusión (multicast) 224.0.0.251 (IPv4) o ff02::fb (IPv6). nota Muchos servicios predefinidos se incluyen en el paquete firewalld. Use firewallcmd --get-services para enumerarlos. Los archivos de configuración para los servicios predefinidos se encuentran en /usr/lib/firewalld/services, en un formato definido por firewalld.zone(5). Use los servicios predefinidos o especifique directamente el puerto y el protocolo requeridos. La interfaz gráfica de la consola web se usa para revisar los servicios predefinidos y para definir servicios adicionales. Configuración del firewall Los administradores de sistemas interactúan con firewalld de tres formas: • mediante la edición directa de archivos de configuración en /etc/firewalld/ (no analizado en este capítulo); • mediante la interfaz gráfica de la consola web; • mediante la herramienta de línea de comandos firewall-cmd. Configuración de los servicios de firewall mediante la consola web Para configurar los servicios de firewall con la consola web, inicie sesión con acceso con privilegios al hacer clic en la opción Reuse my password for privileged tasks (Volver a usar mi contraseña para tareas con privilegios). Esto permite al usuario que ejecute comandos con privilegios de sudo para modificar los servicios de firewall. Figura 11.1: Inicio de sesión con privilegios con la consola web Haga clic en la opción Networking (Redes) en el menú de navegación izquierdo para mostrar la sección Firewall en la página principal de redes. Haga clic en el enlace de Firewall para acceder a la lista de servicios permitidos. RH134-RHEL8.2-es-1-20200928 309 capítulo 11 | Administración de la seguridad de redes Figura 11.2: Redes de la consola web Los servicios permitidos que se muestran en la lista son aquellos servicios que el firewall permite actualmente. Haga clic en la flecha (>) a la izquierda del nombre del servicio para ver los detalles del servicio. Para agregar un servicio, haga clic en el botón Add Services... (Agregar servicios) en la esquina superior derecha de la página de Firewall Allowed Services (Servicios permitidos). Figura 11.3: Lista de servicios permitidos por el firewall en la consola web La página Add Services (Agregar servicios) muestra los servicios predefinidos disponibles. 310 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes Figura 11.4: Interfaz para agregar servicios de firewall en la consola web Para seleccionar un servicio, desplácese por la lista o seleccione una opción en el cuadro de texto Filter Services (Filtrar servicios). En el siguiente ejemplo, la cadena http se ingresa en el cuadro de texto de búsqueda para buscar servicios que contengan esa cadena, es decir, servicios relacionados con la web. Seleccione la casilla de verificación a la izquierda de los servicios para que el firewall los permita. Haga clic en el botón Add Services (Agregar servicios) para completar el proceso. RH134-RHEL8.2-es-1-20200928 311 capítulo 11 | Administración de la seguridad de redes Figura 11.5: Búsqueda por filtro de servicios de firewall en la consola web La interfaz vuelve a la página de Firewall Allowed Services (Servicios permitidos), donde puede revisar la lista actualizada de servicios permitidos. Figura 11.6: Lista de servicios permitidos por el firewall en la consola web Configuración de firewall desde la línea de comandos El comando firewall-cmd interactúa con el administrador de firewall dinámico firewalld. Se instala como parte del paquete firewalld principal y está disponible para los administradores que prefieren trabajar en la línea de comandos a los fines de trabajar en sistemas sin un entorno gráfico o ejecutar el scripting de la configuración de firewall. 312 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes En la siguiente tabla, se detallan varios comandos de firewall-cmd usados frecuentemente, junto con una explicación. Observe que, a menos que se especifique lo contrario, casi todos los comandos funcionarán en la configuración de tiempo de ejecución, a menos que se especifique la opción --permanent. Si se especifica la opción --permanent, debe activar la configuración ejecutando también el comando firewall-cmd --reload, que lee la configuración permanente actual y la aplica como la nueva configuración de tiempo de ejecución. Muchos de los comandos detallados toman la opción --zone=ZONE para determinar qué zona afectan. Cuando se requiera una máscara de red, use la notación CIDR (como 192.168.1/24). Comandos de firewall-cmd Explicación --get-default-zone Consultar la zona predeterminada actual. --set-default-zone=ZONE Configurar la zona predeterminada. Esto cambia tanto la configuración del tiempo de ejecución como la permanente. --get-zones Mostrar todas las zonas disponibles. --get-active-zones Mostrar todas las zonas que están actualmente en uso (tienen una interfaz u origen conectados a esta), junto con la información de su interfaz y origen. --add-source=CIDR [--zone=ZONE] Enrutar todo el tráfico que proviene de la dirección IP o red/máscara de red a la zona especificada. Si no se proporciona ninguna opción --zone=, se usa la zona predeterminada. --remove-source=CIDR [--zone=ZONE] Eliminar la regla que enruta todo el tráfico que proviene de la red de la dirección IP o red/máscara de red. Si no se proporciona ninguna opción --zone=, se usa la zona predeterminada. --add-interface=INTERFACE [-zone=ZONE] Enrutar todo el tráfico que proviene de INTERFACE a la zona especificada. Si no se proporciona ninguna opción --zone=, se usa la zona predeterminada. --change-interface=INTERFACE [-zone=ZONE] Asociar la interfaz con ZONE en lugar de su zona actual. Si no se proporciona ninguna opción --zone=, se usa la zona predeterminada. --list-all [--zone=ZONE] Mostrar todas las interfaces, fuentes, servicios y puertos configurados para ZONE. Si no se proporciona ninguna opción --zone=, se usa la zona predeterminada. --list-all-zones Recuperar toda la información para todas las zonas (interfaces, fuentes, puertos, servicios). RH134-RHEL8.2-es-1-20200928 313 capítulo 11 | Administración de la seguridad de redes Comandos de firewall-cmd Explicación --add-service=SERVICE [-zone=ZONE] Permitir el tráfico a SERVICE. Si no se proporciona ninguna opción --zone=, se usa la zona predeterminada. --add-port=PORT/PROTOCOL [-zone=ZONE] Permitir el tráfico a los puertos PORT/ PROTOCOL. Si no se proporciona ninguna opción --zone=, se usa la zona predeterminada. --remove-service=SERVICE [-zone=ZONE] Eliminar SERVICE de la lista permitida para la zona. Si no se proporciona ninguna opción -zone=, se usa la zona predeterminada. --remove-port=PORT/PROTOCOL [-zone=ZONE] Eliminar los puertos PORT/PROTOCOL de la lista permitida para la zona. Si no se proporciona ninguna opción --zone=, se usa la zona predeterminada. --reload Dejar caer la configuración del tiempo de ejecución y aplicar la configuración persistente. Los siguientes ejemplos de comandos configuran la zona predeterminada para dmz, asignan todo el tráfico proveniente de la red 192.168.0.0/24 a la zona internal (interna) y abren los puertos de red para el servicio mysql en la zona internal (interna). [root@host ~]# firewall-cmd --set-default-zone=dmz [root@host ~]# firewall-cmd --permanent --zone=internal \ --add-source=192.168.0.0/24 [root@host ~]# firewall-cmd --permanent --zone=internal --add-service=mysql [root@host ~]# firewall-cmd --reload nota En situaciones donde la sintaxis básica de firewalld no es suficiente, también puede agregar rich-rules (reglas enriquecidas), una sintaxis más expresiva, para escribir reglas complejas. Si aun así la sintaxis de las reglas enriquecidas no es suficiente, también puede usar reglas de Direct Configuration (Configuración directa), la sintaxis de nft sin formato mezclada con las reglas de firewalld. Estos modos avanzados no están incluidos en el alcance de este capítulo. Referencias Páginas del manual: firewall-cmd(1), firewalld(1), firewalld.zone(5), firewalld.zones(5) y nft(8) 314 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes Ejercicio Guiado Administración de firewalls del servidor En este ejercicio, controlará el acceso a los servicios del sistema mediante el ajuste de las reglas del firewall del sistema con firewalld. Resultados Debe ser capaz de configurar reglas de firewall para controlar el acceso a los servicios. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. Desde workstation, ejecute el comando lab netsecurity-firewalls start. El comando ejecuta un script de inicio que determina si el host servera es accesible en la red. [student@workstation ~]$ lab netsecurity-firewalls start 1. Desde workstation, use SSH para iniciar sesión en servera con el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. En el sistema servera, asegúrese de que tanto el paquete httpd como el paquete mod_ssl estén instalados. Estos paquetes proporcionan el servidor web Apache que usted protegerá con un firewall, y las extensiones necesarias para que el servidor web sirva contenido mediante SSL. [student@servera ~]$ sudo yum install httpd mod_ssl [sudo] password for student: student ...output omitted... Is this ok [y/N]: y ...output omitted... Complete! 3. Con el usuario student en servera, cree el archivo /var/www/html/index.html. Agregue la siguiente línea de texto: I am servera. (Soy servera). [student@servera ~]$ sudo bash -c \ "echo 'I am servera.' > /var/www/html/index.html" 4. Inicie y habilite el servicio httpd en su sistema servera. RH134-RHEL8.2-es-1-20200928 315 capítulo 11 | Administración de la seguridad de redes [student@servera ~]$ sudo systemctl enable --now httpd Created symlink /etc/systemd/system/multi-user.target.wants/httpd.service → /usr/ lib/systemd/system/httpd.service. 5. Salga de servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ 6. Desde workstation, intente acceder a su servidor web en servera por medio del puerto no cifrado 80/TCP y del puerto encapsulado SSL 443/TCP. Ambos intentos deberían fallar. 6.1. Este comando debería fallar: [student@workstation ~]$ curl http://servera.lab.example.com curl: (7) Failed to connect to servera.lab.example.com port 80: No route to host 6.2. Este comando también debería fallar: [student@workstation ~]$ curl -k https://servera.lab.example.com curl: (7) Failed to connect to servera.lab.example.com port 443: No route to host 7. Inicie sesión en servera con el usuario student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 8. En servera, asegúrese de que el servicio nftables esté enmascarado y de que el servicio firewalld esté habilitado y en ejecución. 8.1. Determine si el estado del servicio nftables está enmascarado. [student@servera ~]$ sudo systemctl status nftables [sudo] password for student: student ● nftables.service - Netfilter Tables Loaded: loaded (/usr/lib/systemd/system/nftables.service; disabled; vendor preset: disabled) Active: inactive (dead) Docs: man:nft(8) Los resultados muestran que nftables está deshabilitado e inactivo pero no enmascarado. Ejecute el siguiente comando para enmascarar el servicio. [student@servera ~]$ sudo systemctl mask nftables Created symlink /etc/systemd/system/nftables.service → /dev/null. 8.2. 316 Verifique que el estado del servicio nftables esté enmascarado. RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes [student@servera ~]$ sudo systemctl status nftables ● nftables.service Loaded: masked (Reason: Unit nftables.service is masked.) Active: inactive (dead) 8.3. Verifique que el estado del servicio firewall esté habilitado y en ejecución. [student@servera ~]$ sudo systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) Active: active (running) since Wed 2019-05-22 15:36:02 CDT; 5min ago Docs: man:firewalld(1) Main PID: 703 (firewalld) Tasks: 2 (limit: 11405) Memory: 29.8M CGroup: /system.slice/firewalld.service └─703 /usr/libexec/platform-python -s /usr/sbin/firewalld --nofork -nopid May 22 15:36:01 servera.lab.example.com systemd[1]: Starting firewalld - dynamic firewall daemon... May 22 15:36:02 servera.lab.example.com systemd[1]: Started firewalld - dynamic firewall daemon. 8.4. Salga de servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ 9. Desde workstation, abra Firefox e inicie sesión en la consola web que se ejecuta en servera para agregar el servicio httpd a la zona de red public (pública). 9.1. Abra Firefox y navegue hasta https://servera.lab.example.com:9090 para acceder a la consola web. Acepte el certificado autofirmado usado por servera agregándolo como una excepción. 9.2. Seleccione la casilla de verificación junto a Reuse my password for privileged tasks (Volver a usar mi contraseña para tareas con privilegios) para garantizar los privilegios administrativos. Inicie sesión como student con la contraseña student. 9.3. Haga clic en Networking (Redes) en la barra de navegación izquierda. 9.4. Haga clic en el enlace de Firewall en la página principal de Networking (Redes). 9.5. Haga clic en el botón Add Services... (Agregar servicios) ubicado en el margen superior derecho de la página de Firewall. RH134-RHEL8.2-es-1-20200928 317 capítulo 11 | Administración de la seguridad de redes 9.6. En la interfaz de usuario de Add Services (Agregar servicios), desplácese hacia abajo o use Filter Services (Filtrar servicios) para ubicar y seleccionar la casilla de verificación junto al servicio Secure WWW (HTTPS). 9.7. Haga clic en el botón Add Services (Agregar servicios) ubicado en el margen inferior derecho de la interfaz de usuario de Add Services (Agregar servicios). 10. Regrese a un terminal en workstation y verifique su trabajo intentando ver el contenido del servidor web de servera. 10.1. Este comando debería fallar: [student@workstation ~]$ curl http://servera.lab.example.com curl: (7) Failed to connect to servera.lab.example.com port 80: No route to host 10.2. Este comando debe arrojar resultados satisfactorios: [student@workstation ~]$ curl -k https://servera.lab.example.com I am servera. nota Si usa Firefox para conectarse al servidor web, le solicitará la verificación del certificado del host si pasa el firewall satisfactoriamente. Finalizar En workstation, ejecute el script lab netsecurity-firewalls finish para terminar este ejercicio. [student@workstation ~]$ lab netsecurity-firewalls finish Esto concluye el ejercicio guiado. 318 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes Control del etiquetado de puertos de SELinux Objetivos Tras finalizar esta sección, usted deberá ser capaz de verificar que los puertos de red tengan el tipo de SELinux correcto para que los servicios puedan hacer referencia a ellos. Etiquetado de puertos de SELinux SELinux no se limita al etiquetado de archivos y procesos. La política SELinux también rige estrictamente el tráfico de red. Uno de los métodos que SELinux usa para el control del tráfico de red es el etiquetado de puertos de red; por ejemplo, en la política targeted, el puerto 22/TCP tiene asociada la etiqueta ssh_port_t. Los puertos HTTP predeterminados, 80/TCP y 443/TCP, tienen asociada la etiqueta http_port_t. Siempre que un proceso desee escuchar en un puerto, SELinux verifica si la etiqueta asociada con ese proceso (el dominio) tiene permitido hacer referencia a la etiqueta de dicho puerto. Este proceso puede evitar que un servicio no autorizado use puertos de otra manera usados por otros servicios de red (legítimos). Administración del etiquetado de puertos de SELinux Si decide ejecutar un servicio en un puerto no estándar, es casi seguro que SELinux bloqueará el tráfico. En este caso, debe actualizar las etiquetas de puertos de SELinux. En algunos casos, la política targeted ya ha etiquetado el puerto con un tipo que puede usarse; por ejemplo, dado que el puerto 8008/TCP suele emplearse para aplicaciones web, dicho puerto ya ha sido etiquetado con http_port_t, el tipo de puerto predeterminado para el servidor web. Listado de etiquetas de puertos Para obtener una descripción general de todas las asignaciones de etiquetas de puertos actuales, ejecute el comando semanage port -l. La opción -l incluye todas las asignaciones actuales de la siguiente manera: port_label_t tcp|udp comma,separated,list,of,ports Ejemplo de salida: [root@host ~]# semanage port -l ...output omitted... http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 http_cache_port_t udp 3130 http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 ...output omitted... Pare refinar la búsqueda, use el comando grep: RH134-RHEL8.2-es-1-20200928 319 capítulo 11 | Administración de la seguridad de redes [root@host ~]# semanage port -l | grep ftp ftp_data_port_t tcp 20 ftp_port_t tcp 21, 989, 990 ftp_port_t udp 989, 990 tftp_port_t udp 69 Observe que una etiqueta de puerto puede aparecer dos veces en la salida, una para TCP y otra para UDP. Administración de etiquetas de puertos Use el comando semanage para asignar etiquetas de puertos nuevas, quitar etiquetas de puertos o modificar las existentes. Importante La mayoría de los servicios estándares disponibles en la distribución de Linux proporcionan un módulo de políticas de SELinux que establece etiquetas en los puertos. No puede cambiar las etiquetas en esos puertos por medio de semanage. Para cambiarlas, debe reemplazar el módulo de políticas. La escritura y la generación de módulos de políticas no se abordan en este curso. A fin de agregar un puerto a una etiqueta de puerto existente (tipo), use la siguiente sintaxis. -a agrega una nueva etiqueta de puerto, -t denota el tipo y -p denota el protocolo. [root@host ~]# semanage port -a -t port_label -p tcp|udp PORTNUMBER Por ejemplo, para permitir que un servicio gopher escuche en el puerto 71/TCP: [root@host~]# semanage port -a -t gopher_port_t -p tcp 71 Para ver los cambios locales realizados en la política predeterminada, los administradores pueden agregar la opción -C al comando semanage. [root@host~]# semanage port -l -C SELinux Port Type Proto Port Number gopher_port_t 71 tcp nota La política targeted se envía con una gran cantidad de tipos de puerto. Las páginas del manual de SELinux específicas de los servicios que se encuentran en el paquete selinux-policy-doc incluyen documentación sobre tipos de SELinux, booleanos y tipos de puertos. Si las páginas del manual antes mencionadas todavía no están instaladas en su sistema, realice este procedimiento: [root@host ~]# yum -y install selinux-policy-doc [root@host ~]# man -k _selinux 320 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes Eliminación de etiquetas de puertos La sintaxis para quitar una etiqueta de puerto personalizada es la misma que para la adición de una etiqueta de puerto, solo que, en lugar de usar la opción -a (para agregar), se usa la opción -d (para quitar). Por ejemplo, para quitar la referencia del puerto 71/TCP con gopher_port_t: [root@host ~]# semanage port -d -t gopher_port_t -p tcp 71 Modificación de referencias de puertos Para cambiar una referencia de puerto, tal vez porque los requisitos han cambiado, use la opción m (Modificar). Este es un proceso más eficiente que quitar un enlace antiguo y agregar uno nuevo. Por ejemplo, para modificar el puerto 71/TCP desde gopher_port_t hasta http_port_t, un administrador puede usar el siguiente comando: [root@server ~]# semanage port -m -t http_port_t -p tcp 71 Como antes, visualice la modificación con el comando semanage. [root@server ~]# semanage port -l -C SELinux Port Type Proto Port Number http_port_t tcp 71 [root@server ~]# semanage port -l | grep http http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 http_cache_port_t udp 3130 http_port_t tcp 71, 80, 81, 443, 488, 8008, 8009, 8443, 9000 pegasus_http_port_t tcp 5988 pegasus_https_port_t tcp 5989 Referencias Páginas del manual: semanage(8), semanage-port(8), *_selinux(8) RH134-RHEL8.2-es-1-20200928 321 capítulo 11 | Administración de la seguridad de redes Ejercicio Guiado Control del etiquetado de puertos de SELinux En este trabajo de laboratorio, configurará su sistema servera para permitir el acceso HTTP en un puerto no estándar. Resultados: Configurará un servidor web que se ejecuta en servera de manera correcta y ofrece contenido por medio de un puerto no estándar. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab netsecurity-ports start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También instala el servicio httpd y configura el firewall en servera para permitir conexiones http. [student@workstation ~]$ lab netsecurity-ports start Su organización está implementando una nueva aplicación web personalizada. La aplicación web se ejecuta en un puerto no estándar; en este caso 82/TCP. Uno de sus administradores júniores ya ha configurado la aplicación en servera. Sin embargo, no se puede acceder al contenido del servidor web. 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Intente corregir el problema del contenido web al reiniciar el servicio httpd. 3.1. 322 Use el comando systemctl para reiniciar httpd.service. Se espera que este comando falle. RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes [root@servera ~]# systemctl restart httpd.service Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details. 3.2. Use el comando systemctl status -l para visualizar el estado del servicio httpd. Advierta el error permission denied (permiso denegado). [root@servera ~]# systemctl status -l httpd.service ● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled) Active: failed (Result: exit-code) since Mon 2019-04-08 14:23:29 CEST; 3min 33s ago Docs: man:httpd.service(8) Process: 28078 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE) Main PID: 28078 (code=exited, status=1/FAILURE) Status: "Reading configuration..." Apr 08 14:23:29 servera.lab.example.com systemd[1]: Starting The Apache HTTP Server... Apr 08 14:23:29 servera.lab.example.com httpd[28078]: (13)Permission denied: AH00072: make_sock: could not bind to address [::]:82 Apr 08 14:23:29 servera.lab.example.com httpd[28078]: (13)Permission denied: AH00072: make_sock: could not bind to address 0.0.0.0:82 Apr 08 14:23:29 servera.lab.example.com httpd[28078]: no listening sockets available, shutting down Apr 08 14:23:29 servera.lab.example.com httpd[28078]: AH00015: Unable to open logs Apr 08 14:23:29 servera.lab.example.com systemd[1]: httpd.service: Main process exited, code=exited, status=1/FAILURE Apr 08 14:23:29 servera.lab.example.com systemd[1]: httpd.service: Failed with result 'exit-code'. Apr 08 14:23:29 servera.lab.example.com systemd[1]: Failed to start The Apache HTTP Server. 3.3. Use el comando sealert para verificar si SELinux está impidiendo que httpd haga referencia al puerto 82/TCP. [root@servera ~]# sudo sealert -a /var/log/audit/audit.log 100% done found 1 alerts in /var/log/audit/audit.log -------------------------------------------------------------------------------SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 82. ***** Plugin bind_ports (99.5 confidence) suggests ************************ If you want to allow /usr/sbin/httpd to bind to network port 82 Then you need to modify the port type. Do # semanage port -a -t PORT_TYPE -p tcp 82 RH134-RHEL8.2-es-1-20200928 323 capítulo 11 | Administración de la seguridad de redes where PORT_TYPE is one of the following: http_cache_port_t, http_port_t, jboss_management_port_t, jboss_messaging_port_t, ntop_port_t, puppet_port_t. ...output omitted... Raw Audit Messages type=AVC msg=audit(1554726569.188:852): avc: denied { name_bind } for pid=28393 comm="httpd" src=82 scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:reserved_port_t:s0 tclass=tcp_socket permissive=0 ...output omitted... 4. Configure SELinux para que permita que httpd haga referencia al puerto 82/TCP y, luego, reinicie el servicio httpd.service. 4.1. Use el comando semanage para buscar un tipo de puerto apropiado para el puerto 82/TCP. [root@servera ~]# semanage port -l | grep http http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 http_cache_port_t udp 3130 http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 pegasus_http_port_t tcp 5988 pegasus_https_port_t tcp 5989 http_port_t contiene los puertos HTTP predeterminados: 80/TCP y 443/TCP. Este es el tipo de puerto correcto para el servidor web. 4.2. Use el comando semanage para asignar al puerto 82/TCP el tipo http_port_t. [root@servera ~]# semanage port -a -t http_port_t -p tcp 82 4.3. Use el comando systemctl para reiniciar el servicio httpd.service. Este comando debe arrojar resultados satisfactorios. [root@servera ~]# systemctl restart httpd.service 5. Verifique si ahora puede acceder al servidor web que se ejecuta en el puerto 82/TCP. Use el comando curl para acceder al servicio web desde servera. [root@servera ~]# curl http://servera.lab.example.com:82 Hello 6. En una ventana de terminal diferente, verifique si puede acceder al nuevo servicio web desde workstation. Use el comando curl para acceder al servicio web desde workstation. [student@workstation ~]$ curl http://servera.lab.example.com:82 curl: (7) Failed to connect to servera.example.com:82; No route to host Ese error significa que todavía no puede conectarse al servicio web desde workstation. 7. En servera, abra un puerto 82/TCP en el firewall. 7.1. 324 Use el comando firewall-cmd para abrir el puerto 82/TCP en la configuración permanente para la zona predeterminada en el firewall en servera. RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes [root@servera ~]# firewall-cmd --permanent --add-port=82/tcp success 7.2. Active sus cambios del firewall en servera. [root@servera ~]# firewall-cmd --reload success 8. Use el comando curl para acceder al servicio web desde workstation. [student@workstation ~]$ curl http://servera.lab.example.com:82 Hello 9. Salga de servera. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab netsecurity-ports finish para terminar este ejercicio. [student@workstation ~]$ lab netsecurity-ports finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 325 capítulo 11 | Administración de la seguridad de redes Trabajo de laboratorio Administración de la seguridad de redes Lista de verificación de rendimiento En este trabajo de laboratorio, configurará un firewall y los ajustes de SELinux para permitir el acceso a múltiples servidores web que se ejecutan en serverb. Resultados Deberá ser capaz de configurar el firewall y los ajustes de SELinux en un host del servidor web. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. Desde workstation, ejecute el comando lab netsecurity-review start. Este comando ejecuta un script de inicio para determinar si el host serverb es accesible en la red. [student@workstation ~]$ lab netsecurity-review start Su empresa ha decidido ejecutar una nueva aplicación web. Esta aplicación escucha en puertos 80/TCP y 1001/TCP. El puerto 22/TCP para el acceso mediante ssh también debe estar disponible. Todos los cambios que hace deben persistir en un reinicio. Si sudo se lo solicita, use student como contraseña. Importante: La interfaz gráfica usada en el entorno de Aprendizaje en línea de Red Hat necesita un puerto 5900/TCP para permanecer disponible también. Este puerto también es conocido bajo el nombre del servicio vnc-server. Si accidentalmente bloquea su acceso a serverb, puede intentar recuperar el acceso al usar ssh para su máquina serverb desde su máquina workstation o restablecer su máquina serverb. Si elige restablecer su máquina serverb, debe ejecutar los scripts de configuración para este trabajo de laboratorio nuevamente. La configuración de sus máquinas ya incluye una zona personalizada denominada ROL que abre estos puertos. 1. Desde workstation, pruebe acceder al servidor web predeterminado en http://serverb.lab.example.com y al host virtual en http:// serverb.lab.example.com:1001. 2. Inicie sesión en serverb para determinar qué está impidiendo el acceso a los servidores web. 3. Configure SELinux para que permita que el servicio httpd escuche en el puerto 1001/TCP. 4. Desde workstation, pruebe acceder al servidor web predeterminado en http://serverb.lab.example.com y al host virtual en http:// serverb.lab.example.com:1001. 5. Inicie sesión en serverb para determinar si los puertos correctos están asignados al firewall. 326 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes 6. Agregue el puerto 1001/TCP a la configuración permanente para la zona de red public (pública). Confirme su configuración. 7. Desde workstation, confirme que el servidor web predeterminado en serverb.lab.example.com vuelva a SERVER B y que el host virtual en serverb.lab.example.com:1001 vuelva a VHOST 1. Evaluación En workstation, ejecute el comando lab netsecurity-review grade para confirmar que ha realizado correctamente este ejercicio del trabajo de laboratorio. [student@workstation ~]$ lab netsecurity-review grade Finalizar En workstation, ejecute el script lab netsecurity-review finish para terminar este ejercicio. [student@workstation ~]$ lab netsecurity-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 327 capítulo 11 | Administración de la seguridad de redes Solución Administración de la seguridad de redes Lista de verificación de rendimiento En este trabajo de laboratorio, configurará un firewall y los ajustes de SELinux para permitir el acceso a múltiples servidores web que se ejecutan en serverb. Resultados Deberá ser capaz de configurar el firewall y los ajustes de SELinux en un host del servidor web. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. Desde workstation, ejecute el comando lab netsecurity-review start. Este comando ejecuta un script de inicio para determinar si el host serverb es accesible en la red. [student@workstation ~]$ lab netsecurity-review start Su empresa ha decidido ejecutar una nueva aplicación web. Esta aplicación escucha en puertos 80/TCP y 1001/TCP. El puerto 22/TCP para el acceso mediante ssh también debe estar disponible. Todos los cambios que hace deben persistir en un reinicio. Si sudo se lo solicita, use student como contraseña. Importante: La interfaz gráfica usada en el entorno de Aprendizaje en línea de Red Hat necesita un puerto 5900/TCP para permanecer disponible también. Este puerto también es conocido bajo el nombre del servicio vnc-server. Si accidentalmente bloquea su acceso a serverb, puede intentar recuperar el acceso al usar ssh para su máquina serverb desde su máquina workstation o restablecer su máquina serverb. Si elige restablecer su máquina serverb, debe ejecutar los scripts de configuración para este trabajo de laboratorio nuevamente. La configuración de sus máquinas ya incluye una zona personalizada denominada ROL que abre estos puertos. Desde workstation, pruebe acceder al servidor web predeterminado en http://serverb.lab.example.com y al host virtual en http:// serverb.lab.example.com:1001. 1. 1.1. Pruebe acceder al servidor web en http://serverb.lab.example.com. La prueba falla actualmente. El servidor web debería volver a SERVER B. [student@workstation ~]$ curl http://serverb.lab.example.com curl: (7) Failed to connect to serverb.lab.example.com port 80: Connection refused 1.2. 328 Pruebe acceder al host virtual en http://serverb.lab.example.com:1001. La prueba falla actualmente. El host virtual debería volver a VHOST 1. RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes [student@workstation ~]$ curl http://serverb.lab.example.com:1001 curl: (7) Failed to connect to serverb.lab.example.com port 1001: No route to host 2. Inicie sesión en serverb para determinar qué está impidiendo el acceso a los servidores web. 2.1. Desde workstation, abra una sesión de SSH en serverb como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 2.2. Determine si el servicio httpd está activo. [student@serverb ~]$ systemctl is-active httpd inactive 2.3. Habilite e inicie el servicio httpd. El servicio httpd no puede iniciarse. [student@serverb ~]$ sudo systemctl enable --now httpd [sudo] password for student: student Created symlink /etc/systemd/system/multi-user.target.wants/httpd.service → /usr/ lib/systemd/system/httpd.service. Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details. 2.4. Investigue los motivos que hicieron que el servicio httpd.service no se haya podido iniciar. [student@serverb ~]$ systemctl status httpd.service ● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; enabled; vendor preset: disabled) Active: failed (Result: exit-code) since Thu 2019-04-11 19:25:36 CDT; 19s ago Docs: man:httpd.service(8) Process: 9615 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE) Main PID: 9615 (code=exited, status=1/FAILURE) Status: "Reading configuration..." Apr 11 19:25:36 serverb.lab.example.com systemd[1]: Starting The Apache HTTP Server... Apr 11 19:25:36 serverb.lab.example.com httpd[9615]: (13)Permission denied: AH00072: make_sock: could not bind to address [::]:1001 Apr 11 19:25:36 serverb.lab.example.com httpd[9615]: (13)Permission denied: AH00072: make_sock: could not bind to address 0.0.0.0:1001 Apr 11 19:25:36 serverb.lab.example.com httpd[9615]: no listening sockets available, shutting down Apr 11 19:25:36 serverb.lab.example.com httpd[9615]: AH00015: Unable to open logs RH134-RHEL8.2-es-1-20200928 329 capítulo 11 | Administración de la seguridad de redes Apr 11 19:25:36 serverb.lab.example.com systemd[1]: httpd.service: Main process exited, code=exited, status=1/FAILURE Apr 11 19:25:36 serverb.lab.example.com systemd[1]: httpd.service: Failed with result 'exit-code'. Apr 11 19:25:36 serverb.lab.example.com systemd[1]: Failed to start The Apache HTTP Server. 2.5. Use el comando sealert para verificar si SELinux está impidiendo que el servicio httpd haga referencia al puerto 1001/TCP. [student@serverb ~]$ sudo sealert -a /var/log/audit/audit.log 100% done found 1 alerts in /var/log/audit/audit.log -------------------------------------------------------------------------------SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 1001. ***** Plugin bind_ports (99.5 confidence) suggests ************************ If you want to allow /usr/sbin/httpd to bind to network port 1001 Then you need to modify the port type. Do # semanage port -a -t PORT_TYPE -p tcp 1001 where PORT_TYPE is one of the following: http_cache_port_t, http_port_t, jboss_management_port_t, jboss_messaging_port_t, ntop_port_t, puppet_port_t. ***** Plugin catchall (1.49 confidence) suggests ************************** ...output omitted... Configure SELinux para que permita que el servicio httpd escuche en el puerto 1001/TCP. 3. 3.1. Use el comando semanage para encontrar el tipo de puerto correcto. [student@serverb ~]$ sudo semanage port -l | grep 'http' http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 http_cache_port_t udp 3130 http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 pegasus_http_port_t tcp 5988 pegasus_https_port_t tcp 5989 3.2. Use el comando semanage para hacer referencia al puerto 1001/TCP con el tipo http_port_t. [student@serverb ~]$ sudo semanage port -a -t http_port_t -p tcp 1001 [student@serverb ~]$ 3.3. Confirme si ese puerto 1001/TCP está enlazado con el tipo de puerto http_port_t. [student@serverb ~]$ sudo semanage port -l | grep '^http_port_t' http_port_t tcp 1001, 80, 81, 443, 488, 8008, 8009, 8443, 9000 330 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes 3.4. Habilite e inicie el servicio httpd. [student@serverb ~]$ sudo systemctl enable --now httpd 3.5. Verifique si el servicio httpd está en ejecución. [student@serverb ~]$ systemctl is-active httpd; systemctl is-enabled httpd active enabled 3.6. Salga de serverb. [student@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ 4. Desde workstation, pruebe acceder al servidor web predeterminado en http://serverb.lab.example.com y al host virtual en http:// serverb.lab.example.com:1001. 4.1. Pruebe acceder al servidor web en http://serverb.lab.example.com. El servidor web debería volver a SERVER B. [student@workstation ~]$ curl http://serverb.lab.example.com SERVER B 4.2. Pruebe acceder al host virtual en http://serverb.lab.example.com:1001. La prueba sigue fallando. [student@workstation ~]$ curl http://serverb.lab.example.com:1001 curl: (7) Failed to connect to serverb.lab.example.com port 1001: No route to host 5. Inicie sesión en serverb para determinar si los puertos correctos están asignados al firewall. 5.1. Desde workstation, inicie sesión en serverb con el usuario student. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 5.2. Verifique que la zona de firewall predeterminada esté configurada en public (pública). [student@serverb ~]$ firewall-cmd --get-default-zone public 5.3. Si el paso anterior no estableció la zona public (pública) nuevamente como la zona predeterminada, corríjala con el siguiente comando: [student@serverb ~]$ sudo firewall-cmd --set-default-zone public RH134-RHEL8.2-es-1-20200928 331 capítulo 11 | Administración de la seguridad de redes 5.4. Determine los puertos abiertos listados en la zona de red public (pública). [student@serverb ~]$ sudo firewall-cmd --permanent --zone=public --list-all [sudo] password for student: student public target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client http ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: Agregue el puerto 1001/TCP a la configuración permanente para la zona de red public (pública). Confirme su configuración. 6. 6.1. Agregue el puerto 1001/TCP a la zona de red public (pública). [student@serverb ~]$ sudo firewall-cmd --permanent --zone=public \ --add-port=1001/tcp success 6.2. Vuelva a cargar la configuración de firewall. [student@serverb ~]$ sudo firewall-cmd --reload success 6.3. Confirme su configuración. [student@serverb ~]$ sudo firewall-cmd --permanent --zone=public --list-all public target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client http ssh ports: 1001/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: 6.4. Salga de serverb. 332 RH134-RHEL8.2-es-1-20200928 capítulo 11 | Administración de la seguridad de redes [student@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ 7. Desde workstation, confirme que el servidor web predeterminado en serverb.lab.example.com vuelva a SERVER B y que el host virtual en serverb.lab.example.com:1001 vuelva a VHOST 1. 7.1. Pruebe acceder al servidor web en http://serverb.lab.example.com. [student@workstation ~]$ curl http://serverb.lab.example.com SERVER B 7.2. Pruebe acceder al host virtual en http://serverb.lab.example.com:1001. [student@workstation ~]$ curl http://serverb.lab.example.com:1001 VHOST 1 Evaluación En workstation, ejecute el comando lab netsecurity-review grade para confirmar que ha realizado correctamente este ejercicio del trabajo de laboratorio. [student@workstation ~]$ lab netsecurity-review grade Finalizar En workstation, ejecute el script lab netsecurity-review finish para terminar este ejercicio. [student@workstation ~]$ lab netsecurity-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 333 capítulo 11 | Administración de la seguridad de redes Resumen En este capítulo, aprendió lo siguiente: • El subsistema netfilter permite a los módulos del kernel inspeccionar cada paquete que atraviese el sistema. Se inspeccionan todos los paquetes de red entrantes, salientes o reenviados. • El uso de firewalld ha simplificado la administración al clasificar todo el tráfico de la red en zonas. Cada zona tiene su propia lista de puertos y servicios. La zona public (pública) se establece como la zona predeterminada. • El servicio firewalld incluye un número de servicios predefinidos. Se pueden mostrar por medio del comando firewall-cmd --get-services. • La política SELinux controla estrictamente el tráfico de red. Los puertos de red están etiquetados. Por ejemplo, el puerto 22/TCP tiene asociada la etiqueta ssh_port_t. Cuando un proceso desea escuchar en un puerto, SELinux verifica si la etiqueta asociada puede hacer referencia a la etiqueta de dicho puerto. • El comando semanage se usa para agregar, eliminar y modificar etiquetas. 334 RH134-RHEL8.2-es-1-20200928 capítulo 12 Instalación de Red Hat Enterprise Linux Meta Instalar Red Hat Enterprise Linux en servidores y máquinas virtuales. Objetivos • Instalar Red Hat Enterprise Linux en un servidor. • Automatizar el proceso de instalación por medio de Kickstart. • Instalar una máquina virtual en su servidor Red Hat Enterprise Linux por medio de Cockpit. • Instalación de Red Hat Enterprise Linux (y ejercicio guiado) • Automatización de la instalación con Kickstart (y ejercicio guiado) • Instalación y configuración de máquinas virtuales (y cuestionario) Secciones Trabajo de laboratorio RH134-RHEL8.2-es-1-20200928 Instalación de Red Hat Enterprise Linux 335 capítulo 12 | Instalación de Red Hat Enterprise Linux Instalación de Red Hat Enterprise Linux Objetivos Tras finalizar esta sección, usted deberá ser capaz de instalar Red Hat Enterprise Linux en un servidor. Selección de los medios de instalación Red Hat proporciona varias formas distintas de instalación que puede descargar desde el sitio web del Portal de Clientes con su suscripción activa. • Un archivo de imagen binario en formato ISO 9660 que contiene Anaconda, el programa de instalación de Red Hat Enterprise Linux y los repositorios de paquetes de BaseOS y AppStream. Estos repositorios contienen los paquetes necesarios para completar la instalación sin materiales adicionales. • Un archivo de imagen "ISO de arranque" que contiene Anaconda y requiere una red configurada para acceder a los repositorios de paquetes disponibles mediante HTTP, FTP o NFS. • Una imagen QCOW2 que contiene un disco del sistema compilado previamente, listo para implementarse como máquina virtual en la nube o en entornos virtuales empresariales. QCOW2 es el formato de imagen estándar utilizado por Red Hat con la virtualización basada en KVM. Red Hat proporciona medios de instalación para cuatro arquitecturas de procesadores compatibles: x86 de 64 bits (AMD e Intel), IBM Power Systems (Little Endian), IBM Z y ARM de 64 bits. Después de la descarga, cree medios de instalación de arranque según las instrucciones en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html-single/ performing_a_standard_rhel_installation/index#making-media_preparing-for-your-installation. Compilación de imágenes con Composer Composer es una herramienta nueva disponible en RHEL 8. Para casos de uso especializados, Composer permite a los administradores compilar imágenes de sistema personalizadas para su implementación en plataformas en la nube o entornos virtuales. Composer usa la consola web gráfica de Cockpit. También puede invocar a Composer desde una línea de comandos con el comando composer-cli. Instalación manual de Red Hat Enterprise Linux Por medio del DVD binario o archivo ISO de arranque, los administradores pueden instalar un nuevo sistema RHEL en un servidor sin sistema operativo (bare-metal) o en una máquina virtual. El programa Anaconda es compatible con dos métodos de instalación: • La instalación manual interactúa con el usuario para consultar cómo Anaconda debe instalar y configurar el sistema. • La instalación automatizada usa un archivo Kickstart que le dice a Anaconda cómo instalar el sistema. En una sección posterior, se detallan las instalaciones Kickstart. 336 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Instalación de RHEL con la interfaz gráfica Cuando arranca el sistema desde el DVD binario o el archivo ISO de arranque, Anaconda se inicia como una aplicación gráfica. En la pantalla Welcome to Red Hat Enterprise Linux 8 (Bienvenido a Red Hat Enterprise Linux 8), seleccione el idioma que usará durante la instalación. Esto también establece el idioma predeterminado del sistema después de la instalación. Los usuarios individuales pueden elegir el idioma de preferencia después de la instalación. Anaconda muestra la ventana Installation Summary (Resumen de la instalación), el lugar central para personalizar los parámetros antes de comenzar la instalación. Figura 12.1: Ventana Installation Summary (Resumen de la instalación) Desde esta ventana, seleccione los iconos en cualquier orden para configurar los parámetros de instalación. Seleccione un ítem para ver o editar. Haga clic en Done (Finalizado) en cualquier ítem para volver a esta pantalla central. Anaconda marca los ítems obligatorios con un símbolo de advertencia con forma de triángulo y un mensaje. La barra de estado naranja en la parte inferior de la pantalla advierte que existen ítems obligatorios que deben completarse antes de que comience la instalación. Complete los siguientes ítems según sea necesario: • Keyboard (Teclado): agregue configuraciones de teclado adicionales. • Language Support (Idioma): seleccione los idiomas adicionales que desee instalar. RH134-RHEL8.2-es-1-20200928 337 capítulo 12 | Instalación de Red Hat Enterprise Linux • Time & Date (Hora y fecha): para seleccionar la ciudad del sistema, haga clic en el mapa interactivo o use las listas. Especifique la zona horaria local incluso al usar el protocolo de hora de red (NTP). • Installation Source (Fuente de instalación): ingrese la ubicación del paquete fuente que Anaconda necesita para la instalación. Si usa el DVD binario, el campo de fuente de instalación hace referencia directa al DVD. • Software Selection (Selección de software): seleccione el entorno base que desea instalar y cualquier complemento adicional. El entorno Minimal Install (Instalación mínima) instala solamente los paquetes esenciales para ejecutar Red Hat Enterprise Linux. • Installation Destination (Destino de instalación): seleccione y divida los discos donde se instalará Red Hat Enterprise Linux. El administrador debe entender los esquemas de partición y los criterios de selección del sistema de archivos para realizar la tarea. El botón de radio predeterminado para la partición automática asigna los dispositivos de almacenamiento seleccionados usando todo el espacio disponible. • Conéctese a Red Hat: registre el sistema con su cuenta de Red Hat y seleccione el propósito del sistema. La función del propósito del sistema permite al proceso de registro asociar automáticamente la suscripción más adecuada al sistema. Para registrar el sistema, primero debe conectarse a la red mediante el icono Network & Host Name (Red y nombre del host). • KDUMP: la función de volcado de error del kernel, KDUMP, recopila información acerca del estado de la memoria del sistema cuando el kernel se bloquea. Los ingenieros de Red Hat pueden analizar un archivo kdump para identificar la causa del error. Use este ítem de Anaconda para habilitar o deshabilitar kdump. • Network & Host Name (Nombre del host y de la red): las conexiones de red detectadas se enumeran a la izquierda. Seleccione una conexión para visualizar sus detalles. Para configurar la conexión de red seleccionada, haga clic en Configure (Configurar). • Security Policy (Política de seguridad): al activar un perfil de política de seguridad, como el perfil Norma de seguridad de datos del sector de tarjetas de pago (PCI DSS), Anaconda aplica restricciones y recomendaciones durante la instalación en función del perfil seleccionado. Después de completar la configuración de la instalación y resolver todas las advertencias, haga clic en Begin Installation (Comenzar la instalación). Si hace clic en Quit (Salir), la instalación se interrumpe sin aplicar los cambios al sistema. Mientras el sistema se está instalando, complete los siguientes elementos cuando se visualicen: • Root Password (Contraseña root): el programa de instalación solicita que se configure una contraseña de root. La etapa final del proceso de instalación no continuará hasta que defina una contraseña root. • User Creation (Creación de usuario): cree una cuenta opcional que no corresponda al usuario root. Se recomienda mantener una cuenta local de uso general. También puede crear cuentas después de que se complete la instalación. 338 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Figura 12.2: Configuración de la contraseña root y creación de usuario Cuando la instalación haya finalizado, haga clic en Reboot (Reiniciar). Anaconda muestra la pantalla Initial Setup (Configuración inicial) si se instaló un escritorio gráfico. Acepte la información de la licencia y, opcionalmente, registre el sistema en el administrador de suscripciones. Puede omitir el registro del sistema y realizarlo más tarde. Resolución de problemas durante la instalación Durante la instalación de Red Hat Enterprise Linux 8, Anaconda proporciona dos consolas virtuales. La primera tiene cinco ventanas provistas por el multiplexor del terminal de software tmux. Puede acceder a la consola con Ctrl+Alt+F1. La segunda consola virtual, que se muestra de forma predeterminada, muestra la interfaz gráfica de Anaconda. Puede acceder con Ctrl+Alt+F6. En la primera consola virtual, tmux proporciona un prompt de shell en la segunda ventana. Puede usarlo para ingresar comandos para inspeccionar y solucionar problemas del sistema mientras la instalación continúa. Las otras ventanas muestran mensajes de diagnóstico, registros y otra información. En la siguiente tabla, se detallan las combinaciones de teclas para acceder a las consolas virtuales y a las ventanas de tmux. En el caso de tmux, los atajos de teclado se realizan en dos pasos: presionar y soltar Ctrl+B; luego, presionar la tecla numérica de la ventana a la cual desea acceder. Para tmux, también puede usar Alt+Tab para rotar entre las diferentes ventanas. Secuencia de teclas contenidos Ctrl+Alt+F1 Acceder al multiplexor del terminal de tmux. RH134-RHEL8.2-es-1-20200928 339 capítulo 12 | Instalación de Red Hat Enterprise Linux Secuencia de teclas contenidos Ctrl+B 1 Cuando se encuentre en tmux, esto le permite acceder a la página de información principal del proceso de instalación. Ctrl+B 2 Cuando se encuentre en tmux, proporcione una shell root. Anaconda almacena los archivos de registro de instalación en el directorio /tmp. Ctrl+B 3 Cuando se encuentre en tmux, visualice el contenido del archivo /tmp/ anaconda.log. Ctrl+B 4 Cuando se encuentre en tmux, visualice el contenido del archivo /tmp/ storage.log. Ctrl+B 5 Cuando se encuentre en tmux, visualice el contenido del archivo /tmp/ program.log. Ctrl+Alt+F6 Le permite acceder a la interfaz gráfica de Anaconda. nota A los fines de que exista compatibilidad con versiones anteriores de Red Hat Enterprise Linux, las consolas virtuales de Ctrl+Alt+F2 a Ctrl+Alt+F5 también presentan shells root durante la instalación. Referencias Para obtener más información, consulte la guía Realización de una instalación estándar de RHEL en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htmlsingle/performing_a_standard_rhel_installation/index 340 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Ejercicio Guiado Instalación de Red Hat Enterprise Linux En este ejercicio, reinstalará uno de sus servidores con una instalación mínima de Red Hat Enterprise Linux. Resultados Debe ser capaz de instalar manualmente Red Hat Enterprise Linux 8. Andes De Comenzar En la máquina workstation, inicie sesión con el usuario student con la contraseña student. En la máquina workstation, ejecute el comando lab installing-install start. Este comando ejecuta un script de inicio para determinar si la máquina servera es accesible en la red. También agrega una nueva entrada en el menú de GRUB2 para arrancar servera en los medios de instalación. [student@workstation ~]$ lab installing-install start Instrucciones 1. Acceda a la consola de servera y reinicie el sistema en los medios de instalación. 1.1. Localice el icono de la consola de servera para el entorno del aula. Abra la consola. 1.2. Para reiniciar, envíe Ctrl+Alt+Del a su sistema usando la entrada del teclado, del menú o la entrada virtual relevantes. 1.3. Cuando aparezca el menú del cargador de arranque, seleccione Install Red Hat Enterprise Linux 8 (Instalar Red Hat Enterprise Linux 8). 1.4. Espere a que aparezca la ventana de selección de idioma. 2. Deje seleccionado el idioma predeterminado y haga clic en Continue (Continuar). 3. Use la partición automática en el disco /dev/vdapredeterminado. 3.1. Haga clic en Installation Destination (Destino de la instalación). 3.2. Haga clic en el primer disco, vda, para seleccionarlo. Haga clic en Done (Finalizado) para usar la opción predeterminada de partición automática. 3.3. En la ventana Installation Options (Opciones de instalación), haga clic en Reclaim space (Recuperar espacio). Dado que el disco /dev/vda ya tiene particiones y sistemas de archivos de la instalación anterior, esta selección le permite borrar el disco para la nueva instalación. En la ventana Reclaim Disk Space (Recuperar espacio del disco), haga clic en Delete all (Borrar todo) y, luego, en Reclaim space (Recuperar espacio). RH134-RHEL8.2-es-1-20200928 341 capítulo 12 | Instalación de Red Hat Enterprise Linux 4. Establezca el nombre de host del servidor en servera.lab.example.com y verifique la configuración de la interfaz de red. 4.1. Haga clic en Network & Host Name (Nombre del host y de la red). 4.2. En el campo Host Name (Nombre del host), ingrese servera.lab.example.com y, luego, haga clic en Apply (Aplicar). 4.3. Haga clic en Configure (Configurar) y, luego, haga clic en la pestaña IPv4 Settings (Configuración de IPv4). 4.4. Confirme que los parámetros de red sean correctos. La dirección IP es 172.25.250.10, la máscara de red es 24 y la puerta de enlace y el servidor de nombres están configurados en 172.25.250.254. Haga clic en Save (Guardar). 4.5. Confirme que la interfaz de red esté habilitada al configurar ON/OFF (Habilitar/ Deshabilitar) en ON (Habilitar). 4.6. Haga clic en Done (Finalizado). 5. Configure el campo Installation Source (Fuente de instalación) en http:// content.example.com/rhel8.2/x86_64/dvd. 5.1. Haga clic en Installation Source (Fuente de instalación). 5.2. Seleccione en la red. 5.3. En el campo http://, ingrese content.example.com/rhel8.2/x86_64/dvd 5.4. Haga clic en Done (Finalizado). 6. Seleccione el software requerido para ejecutar una instalación mínima. 7. 6.1. Haga clic en Software Selection (Selección de software). 6.2. Seleccione Minimal Install (Instalación mínima) de la lista Base Environment (Entorno base). 6.3. Haga clic en Done (Finalizado). Configure el propósito del sistema. 7.1. Haga clic en Connect to Red Hat. 7.2. Seleccione Purpose (Propósito). 7.3. Seleccione el rol Red Hat Enterprise Linux Server. 7.4. Seleccione un nivel de SLA de Self-Support (Autosoporte). 7.5. Seleccione el uso Development/Test (Desarrollo/Prueba). 7.6. No cambie ningún otro parámetro. Haga clic en Done (Finalizado). 8. Haga clic en Begin Installation (Comenzar la instalación). 9. Mientras la instalación avanza, establezca la contraseña para root en redhat. 342 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux 9.1. Haga clic en Root Password (Contraseña de root). 9.2. Ingrese redhat en el campo Root Password (Contraseña de root). 9.3. Ingrese redhat en el campo Confirm (Confirmar). 9.4. La contraseña es débil, por lo que tendrá que hacer clic en Done (Finalizado) dos veces. 10. Mientras la instalación avanza, agregue el usuario student. 10.1. Haga clic en User Creation (Creación del usuario). 10.2. Ingrese student en el campo Full Name (Nombre completo). 10.3. Marque la opción Make this user administrator (Hacer administrador a este usuario) para que student pueda usar sudo para ejecutar comandos como root. 10.4. Ingrese student en el campo Password (Contraseña). 10.5. Ingrese student en el campo Confirm password (Confirmar contraseña). 10.6. La contraseña es débil, por lo que tendrá que hacer clic en Done (Finalizado) dos veces. 11. Cuando la instalación esté completa, haga clic en Reboot (Reiniciar). 12. Cuando el sistema muestre el prompt de inicio de sesión, inicie sesión como student con la contraseña student. Finalizar Use el método apropiado para el entorno del aula para restablecer su máquina servera. Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 343 capítulo 12 | Instalación de Red Hat Enterprise Linux Automatización de la instalación con Kickstart Objetivos Tras finalizar esta sección, usted deberá ser capaz de realizar lo siguiente: • Explicar los conceptos y la arquitectura de Kickstart. • Crear un archivo Kickstart con el sitio web de Kickstart Generator. • Modificar un archivo Kickstart existente con un editor de textos y revisar su sintaxis con ksvalidator. • Publicar un archivo Kickstart para el instalador. • Realizar una instalación Kickstart de red. Creación de un perfil Kickstart Puede automatizar la instalación de Red Hat Enterprise Linux por medio de una función que se denomina Kickstart. Al usar Kickstart, usted especifica todo lo que Anaconda necesita para completar una instalación, incluida la partición del disco, la configuración de la interfaz de red, la selección de paquetes y otros parámetros, en un archivo de texto de Kickstart. Al hacer referencia al archivo de texto, Anaconda realiza la instalación sin la interacción del usuario. nota Kickstart en Red Hat Enterprise Linux es similar a la utilidad Jumpstart en Oracle Solaris, o similar a emplear un archivo de respuesta de configuración desatendida para Microsoft Windows. Los archivos Kickstart comienzan con una lista de comandos que definen cómo se instalará la máquina de destino. Las líneas que comienzan con caracteres # son comentarios que el instalador omite. Las secciones adicionales comienzan con una directiva (que se puede reconocer gracias al primer carácter %) y terminan en una línea con la directiva %end. La sección %packages especifica el software que se instalará en el sistema de destino. Los paquetes individuales se especifican por nombre (sin versiones). Los grupos de paquetes, especificados por nombre o identificación, se reconocen porque comienzan con el carácter @. Los grupos del entorno (grupos de grupos de paquetes) se reconocen porque comienzan con los caracteres @^. Los módulos, las secuencias y los perfiles se especifican con la sintaxis @module:stream/profile. Los grupos tienen componentes obligatorios, predeterminados y opcionales. Normalmente, Kickstart instala los componentes obligatorios y predeterminados. Para excluir un paquete o grupo de paquetes de la instalación, incluya antes un carácter -. Sin embargo, es posible que los paquetes o grupos de paquetes excluidos se instalen si son dependencias obligatorias de otros paquetes obligatorios. Una configuración de Kickstart generalmente usa dos secciones adicionales, %pre y %post, que contienen comandos de scripting de shell que ajustan otras configuraciones del sistema. El script %pre se ejecuta antes de que haga alguna partición del disco. Por lo general, esta sección se usa 344 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux solo si es necesario tomar medidas para reconocer o inicializar un dispositivo antes de la partición del disco. El script %post se ejecuta después de que la instalación se ha completado. Debe especificar los comandos principales de Kickstart antes de las secciones %pre, %post y %packages pero, por lo demás, puede colocar estas secciones en cualquier orden en el archivo. Comandos de archivos Kickstart Comandos de instalación Definen la fuente de instalación y cómo realizar la instalación. Se muestra un ejemplo para cada uno. • url: Especifica la URL que apunta a los medios de instalación. url --url="http://classroom.example.com/content/rhel8.2/x86_64/dvd/" • repo: Especifica dónde encontrar paquetes adicionales para la instalación. Esta opción debe apuntar a un repositorio yum válido. repo --name="appstream" --baseurl=http://classroom.example.com/content/rhel8.2/ x86_64/dvd/AppStream/ • text: Fuerza una instalación del modo de texto. • vnc: Permite la visualización de forma remota de la instalación gráfica mediante VNC. vnc --password=redhat Comandos de partición Definen los dispositivos y el esquema de partición que se usarán. • clearpart: Elimina particiones del sistema antes de la creación de particiones nuevas. De manera predeterminada, no se elimina ninguna partición. clearpart --all --drives=sda,sdb --initlabel • part: Especifica el tamaño, el formato y el nombre de una partición. part /home --fstype=ext4 --label=homes --size=4096 --maxsize=8192 --grow • autopart: Crea automáticamente una partición de root, una partición de intercambio y una partición de arranque adecuada para la arquitectura. En unidades con un tamaño grande adecuado, esto también crea una partición de /home. • ignoredisk: Controla el acceso de Anaconda a los discos conectados al sistema. ignoredisk --drives=sdc • bootloader: Define dónde instalar el cargador de arranque. bootloader --location=mbr --boot-drive=sda RH134-RHEL8.2-es-1-20200928 345 capítulo 12 | Instalación de Red Hat Enterprise Linux • volgroup, logvol: Crea grupos de volúmenes LVM y volúmenes lógicos. part pv.01 --size=8192 volgroup myvg pv.01 logvol / --vgname=myvg --fstype=xfs --size=2048 --name=rootvol --grow logvol /var --vgname=myvg --fstype=xfs --size=4096 --name=varvol • zerombr: Inicializa los discos cuyo formato no se reconoce. Comandos de red Definen las funciones de red usadas por el host. • network: Configura la información de la red para el sistema de destino. Activa los dispositivos de red en el entorno del instalador. network --device=eth0 --bootproto=dhcp • firewall: Define la configuración del firewall para el sistema de destino. firewall --enabled --service=ssh,http Comandos de ubicación y seguridad Configuran los ajustes relacionados con la seguridad, el idioma y las regiones. • lang: Establece el idioma para usar durante la instalación y el idioma predeterminado del sistema instalado. Obligatorio. lang en_US.UTF-8 • keyboard: Establece el tipo de teclado del sistema. Obligatorio. keyboard --vckeymap=us --xlayouts='' • timezone: Define la zona horaria, los servidores NTP y si el reloj del hardware usa UTC. timezone --utc --ntpservers=time.example.com Europe/Amsterdam • authselect: Establece opciones de autenticación. Las opciones reconocidas por authselect son válidas para este comando. Consulte authselect(8). • rootpw: Define la contraseña inicial de root. rootpw --plaintext redhat or rootpw --iscrypted $6$KUnFfrTzO8jv.PiH$YlBbOtXBkWzoMuRfb0.SpbQ....XDR1UuchoMG1 • selinux: Establece el modo de SELinux para el sistema instalado. selinux --enforcing 346 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux • services: Modifica el conjunto de servicios predeterminado que se ejecutan en el destino systemd predeterminado. services --disabled=network,iptables,ip6tables --enabled=NetworkManager,firewalld • group, user: Crea un grupo o usuario locales en el sistema. group --name=admins --gid=10001 user --name=jdoe --gecos="John Doe" --groups=admins --password=changeme -plaintext Comandos varios Configuran diversos ítems relacionados con el registro durante la instalación y el estado de energía del host al finalizar. • logging: Este comando define cómo Anaconda realizará el registro durante la instalación. logging --host=loghost.example.com --level=info • firstboot: Si está habilitado, el Agente de configuración se inicia la primera vez que el sistema arranca. Se debe instalar el paquete initial-setup. firstboot --disabled • reboot, poweroff, halt: Especifican la medida final que se tomará cuando finalice la instalación. nota La utilidad ksverdiff del paquete pykickstart sirve para identificar cambios en la sintaxis del archivo Kickstart entre dos versiones de Red Hat Enterprise Linux o Fedora. Por ejemplo, ksverdiff -f RHEL7 -t RHEL8 identifica cambios en la sintaxis de RHEL 7 a RHEL 8. Las versiones disponibles se enumeran en la parte superior del archivo /usr/lib/python3.6/site-packages/pykickstart/ version.py. Ejemplo de un archivo Kickstart La primera parte del archivo consta de los comandos de instalación, como la partición del disco y la fuente de instalación. #version=RHEL8 ignoredisk --only-use=vda # System bootloader configuration bootloader --append="console=ttyS0 console=ttyS0,115200n8 no_timer_check net.ifnames=0 crashkernel=auto" --location=mbr --timeout=1 --boot-drive=vda # Clear the Master Boot Record zerombr # Partition clearing information RH134-RHEL8.2-es-1-20200928 347 capítulo 12 | Instalación de Red Hat Enterprise Linux clearpart --all --initlabel # Use text mode install text repo --name="appstream" --baseurl=http://classroom.example.com/content/rhel8.2/ x86_64/dvd/AppStream/ # Use network installation url --url="http://classroom.example.com/content/rhel8.2/x86_64/dvd/" # Keyboard layouts # old format: keyboard us # new format: keyboard --vckeymap=us --xlayouts='' # System language lang en_US.UTF-8 # Root password rootpw --plaintext redhat # System authorization information auth --enableshadow --passalgo=sha512 # SELinux configuration selinux --enforcing firstboot --disable # Do not configure the X Window System skipx # System services services --disabled="kdump,rhsmcertd" --enabled="sshd,rngd,chronyd" # System timezone timezone America/New_York --isUtc # Disk partitioning information part / --fstype="xfs" --ondisk=vda --size=10000 La segunda parte contiene la sección %packages, que detalla qué paquetes y grupo de paquetes deben instalarse y qué paquetes no deben instalarse. %packages @core chrony cloud-init dracut-config-generic dracut-norescue firewalld grub2 kernel rsync tar -plymouth %end La última parte contiene todos los scripts de instalación %pre y %post. %post --erroronfail # For cloud images, 'eth0' _is_ the predictable device name, since # we don't want to be tied to specific virtual (!) hardware 348 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux rm -f /etc/udev/rules.d/70* ln -s /dev/null /etc/udev/rules.d/80-net-name-slot.rules # simple eth0 config, again not hard-coded to the build hardware cat > /etc/sysconfig/network-scripts/ifcfg-eth0 << EOF DEVICE="eth0" BOOTPROTO="dhcp" ONBOOT="yes" TYPE="Ethernet" USERCTL="yes" PEERDNS="yes" IPV6INIT="no" EOF %end nota En un archivo Kickstart, si no se determinan los valores obligatorios, el instalador solicitará una repuesta interactivamente o abortará la instalación por completo. Pasos de instalación Kickstart Para automatizar correctamente la instalación de Red Hat Enterprise Linux, siga estos pasos: 1. 2. 3. Cree un archivo Kickstart. Publique un archivo Kickstart para el instalador. Arranque Anaconda y apúntelo al archivo Kickstart. Creación de un archivo Kickstart Use cualquiera de estos métodos para crear un archivo Kickstart: • Usar el sitio web de Kickstart Generator. • Usar un editor de textos. El sitio web de Kickstart Generator en https://access.redhat.com/labs/ kickstartconfig/ presenta cuadros de diálogo para las entradas del usuario y crea un archivo de texto con directivas Kickstart con las opciones del usuario. Cada cuadro de diálogo corresponde a los ítems del instalador de Anaconda que se pueden configurar. RH134-RHEL8.2-es-1-20200928 349 capítulo 12 | Instalación de Red Hat Enterprise Linux Figura 12.3: Configuración básica con Kickstart Generator nota Al momento de la escritura, el sitio web de Kickstart Generator no proporcionaba Red Hat Enterprise Linux 8 como opción de menú. Red Hat Enterprise Linux 8 Beta era una selección válida. La creación de un archivo Kickstart desde cero suele ser demasiado compleja, pero la edición de un archivo Kickstart existente es común y útil. Cada instalación crea un archivo /root/ anaconda-ks.cfg que contiene las directivas Kickstart que se usan en la instalación. Este archivo es un buen punto de inicio al crear un archivo Kickstart de forma manual. ksvalidator es una utilidad que revisa errores de sintaxis en un archivo Kickstart. Asegura que las palabras clave y las opciones se usen adecuadamente, pero no garantiza que las rutas URL, ni los paquetes individuales, ni los grupos, ni ninguna parte de los scripts %post o %pre se ejecutarán de forma correcta. Por ejemplo, si la directiva firewall --disabled está mal escrita, ksvalidator podría producir uno de los siguientes errores: [user@host ~]$ ksvalidator /tmp/anaconda-ks.cfg The following problem occurred on line 10 of the kickstart file: Unknown command: frewall [user@host ~]$ ksvalidator /tmp/anaconda-ks.cfg The following problem occurred on line 10 of the kickstart file: no such option: --dsabled 350 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux El paquete pykickstart proporciona ksvalidator. Publicar el archivo Kickstart para Anaconda Para que el archivo Kickstart esté disponible para el instalador, colóquelo en una de las siguientes ubicaciones: • un servidor de red disponible en el momento de la instalación mediante FTP, HTTP o NFS; • un disco USB o CD-ROM disponibles; • un disco duro local en el sistema que se instalará. El instalador debe acceder al archivo Kickstart para iniciar una instalación automatizada. El método de automatización más común usa un servidor de red, como un servidor FTP, web o NFS. Los servidores de red facilitan el mantenimiento del archivo Kickstart porque los cambios se pueden hacer solo una vez y, luego, se usan para múltiples instalaciones futuras. También es conveniente proporcionar archivos Kickstart en USB o CD-ROM. El archivo Kickstart se puede integrar en los medios de arranque usados para iniciar la instalación. Sin embargo, cuando se cambia el archivo Kickstart, debe generar nuevos medios de instalación. Si proporciona el archivo Kickstart en un disco local, puede volver a compilar rápidamente un sistema. Arrancar Anaconda y apuntarlo al archivo Kickstart Una vez elegido un método de Kickstart, se le indica al instalador dónde ubicar el archivo Kickstart al pasar el parámetro inst.ks=LOCATION al kernel de instalación. Algunos ejemplos: • inst.ks=http://server/dir/file • inst.ks=ftp://server/dir/file • inst.ks=nfs:server:/dir/file • inst.ks=hd:device:/dir/file • inst.ks=cdrom: dispositivo RH134-RHEL8.2-es-1-20200928 351 capítulo 12 | Instalación de Red Hat Enterprise Linux Figura 12.4: Especificación de la ubicación del archivo Kickstart durante la instalación En el caso de instalaciones en máquinas virtuales mediante el uso de Virtual Machine Manager o virt-manager, la URL Kickstart se puede especificar en una caja (box) debajo de URL Options (Opciones de URL). Cuando realice una instalación en máquinas físicas, realice el arranque usando medios de instalación y presione la tecla de tabulación para interrumpir el proceso de arranque. Agregue un parámetro inst.ks=LOCATION para el kernel de instalación. Referencias Capítulo Conceptos básicos de instalación de Kickstart en Realización de una instalación avanzada de RHEL en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/ html-single/performing_an_advanced_rhel_installation/kickstart-installationbasics_installing-rhel-as-an-experienced-user#kickstart-installationbasics_installing-rhel-as-an-experienced-user Sección Comandos Kickstart para la configuración del programa de instalación y control de flujo en el Apéndice B. Referencia de comandos y opciones de Kickstart en Realización de una instalación avanzada de RHEL en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/ html-single/performing_an_advanced_rhel_installation/kickstart-installationbasics_installing-rhel-as-an-experienced-user#kickstart-commands-forinstallation-program-configuration-and-flow-control_kickstart-commands-andoptions-reference Capítulo Opciones de arranque en Realización de una instalación avanzada de RHEL en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/ html-single/performing_an_advanced_rhel_installation/kickstart-installationbasics_installing-rhel-as-an-experienced-user#kickstart-and-advanced-bootoptions_installing-rhel-as-an-experienced-user 352 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Ejercicio Guiado Automatización de la instalación con Kickstart En este trabajo de laboratorio, creará un archivo kickstart y validará la sintaxis. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un archivo kickstart. • Usar ksvalidator para validar la sintaxis del archivo kickstart. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab installing-kickstart start. Este comando ejecuta un script de inicio para determinar si la máquina servera es accesible en la red. También verifica que Apache está instalado y configurado en servera. [student@workstation ~]$ lab installing-kickstart start 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran para que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Copie /root/anaconda-ks.cfg en servera en un archivo denominado /home/ student/kickstart.cfg de modo que student pueda realizar ediciones. Use el comando sudo cat /root/anaconda-ks.cfg > ~/kickstart.cfg para copiar los contenidos de /root/anaconda-ks.cfg en /home/student/kickstart.cfg. Introduzca la contraseña student cuando se le solicite la contraseña para el usuario student en sudoserverb. [student@servera ~]$ sudo cat /root/anaconda-ks.cfg > ~/kickstart.cfg [sudo] password for student: student 3. Haga los siguientes cambios en /home/student/kickstart.cfg. 3.1. Comente la directiva reboot (reiniciar): #reboot RH134-RHEL8.2-es-1-20200928 353 capítulo 12 | Instalación de Red Hat Enterprise Linux 3.2. Comente el comando repo para el repositorio de BaseOS. Modifique el comando repo para que AppStream apunte al repositorio de AppStream del aula: #repo --name="koji-override-0" --baseurl=http://downloadnode-02.eng.bos.redhat.com/rhel-8/devel/candidate-trees/RHEL-8/RHEL-8.2.0updates-20200423.0/compose/BaseOS/x86_64/os repo --name="appstream" --baseurl=http://classroom.example.com/content/rhel8.2/ x86_64/dvd/AppStream/ 3.3. Cambie el comando url para especificar los medios de fuentes de instalación HTTP del aula: url --url="http://classroom.example.com/content/rhel8.2/x86_64/dvd/" 3.4. #network 3.5. Comente el comando network: --bootproto=dhcp --device=link --activate Establezca la contraseña de root en redhat. Cambie la línea que comienza con rootpw por: rootpw --plaintext redhat 3.6. Elimine la línea que usa el comando auth y agregue la línea authselect select sssd para configurar el servicio sssd como la fuente de identidad y autenticación. authselect select sssd En Red Hat Enterprise Linux 8, el comando authselect reemplaza el comando authconfig. 3.7. Simplifique el comando services para que se vea de la siguiente manera: services --disabled="kdump,rhsmcertd" --enabled="sshd,rngd,chronyd" 3.8. Comente los comandos part. Agregue el comando autopart: # Disk partitioning information #part biosboot --fstype="biosboot" --size=1 #part /boot/efi --fstype="efi" --size=100 --fsoptions="..." #part / --fstype="xfs autopart 3.9. Elimine todo el contenido entre la sección %post y su %end. Agregue la siguiente línea: echo "Kickstarted on $(date)" >> /etc/issue La sección %post debe aparecer de la siguiente manera: %post --erroronfail echo "Kickstarted on $(date)" >> /etc/issue %end 354 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux 3.10. Simplifique la especificación del paquete para que se vea exactamente de la siguiente manera: %packages @core chrony dracut-config-generic dracut-norescue firewalld grub2 kernel rsync tar httpd -plymouth %end Al finalizar la edición del archivo, guárdelo y salga. 4. Use el comando ksvalidator para comprobar si hay errores de sintaxis en el archivo Kickstart. [student@servera ~]$ ksvalidator kickstart.cfg 5. Copie kickstart.cfg en el directorio /var/www/html/ks-config. [student@servera ~]$ sudo cp ~/kickstart.cfg /var/www/html/ks-config 6. Salga de servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En workstation, ejecute el script lab installing-kickstart finish para terminar este ejercicio. [student@workstation ~]$ lab installing-kickstart finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 355 capítulo 12 | Instalación de Red Hat Enterprise Linux Instalación y configuración de máquinas virtuales Objetivos Tras finalizar esta sección, usted deberá ser capaz de instalar una máquina virtual en su servidor Red Hat Enterprise Linux por medio de Cockpit. Presentación de la virtualización de KVM La virtualización es una característica que permite que una sola máquina física se divida en varias máquinas virtuales (VM), cada una de las cuales puede ejecutar un sistema operativo independiente. Red Hat Enterprise Linux 8 es compatible con la máquina virtual basada en el kernel (KVM), una solución de virtualización completa compilada como parte del kernel de Linux. KMV puede ejecutar múltiples sistemas operativos guest Windows y Linux. Figura 12.5: Virtualización de KVM En Red Hat Enterprise Linux, administre KVM con el comando virsh o con la herramienta Virtual Machines de Cockpit. La tecnología de máquinas virtuales de KVM está disponible en todos los productos Red Hat, que van desde instancias físicas independientes de Red Hat Enterprise Linux hasta Red Hat OpenStack Platform: • Los sistemas de hardware físico ejecutan Red Hat Enterprise Linux para proporcionar la virtualización de KVM. Red Hat Enterprise Linux normalmente es un thick host, un sistema que admite máquinas virtuales y que, al mismo tiempo, presta otros servicios locales y de red, aplicaciones y funciones de administración. • Red Hat Virtualization (RHV) proporciona una interfaz web centralizada que permite a los administradores administrar una infraestructura virtual completa. Incluye características avanzadas, como la migración de KVM, la redundancia y la alta disponibilidad. Red Hat 356 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Virtualization Hypervisor es una versión optimizada de Red Hat Enterprise Linux dedicada específicamente al aprovisionamiento y al soporte de máquinas virtuales. • Red Hat OpenStack Platform (RHOSP) es la base para crear, implementar y escalar una nube pública o privada. Red Hat es compatible con máquinas virtuales que ejecutan estos sistemas operativos: • Red Hat Enterprise Linux 6 y versiones posteriores • Microsoft Windows 10 y versiones posteriores • Microsoft Windows Server 2016 y versiones posteriores Configuración de un sistema físico Red Hat Enterprise Linux como host de virtualización Los administradores pueden configurar un sistema Red Hat Enterprise Linux como host de virtualización para poder realizar tareas de desarrollo, pruebas o capacitación, o cuando se necesite trabajar en múltiples sistemas operativos simultáneamente. Instalación de las herramientas de virtualización Instale el módulo de Yum virt para preparar un sistema para que se convierta en un host de virtualización. [root@host ~]# yum module list virt Name Stream Profiles virt rhel [d][e] common [d] Summary Virtualization module Hint: [d]efault, [e]nabled, [x]disabled, [i]nstalled [root@host ~]# yum module install virt ...output omitted... Verificación de los requisitos del sistema KVM requiere un procesador Intel con las extensiones Intel VT-x e Intel 64 para los sistemas basados en x86, o un procesador AMD con las extensiones AMD-V y AMD64. Para verificar su hardware y los requisitos del sistema, use el comando virt-host-validate. [root@host ~]# virt-host-validate QEMU: Checking for hardware virtualization : PASS QEMU: Checking if device /dev/kvm exists : PASS QEMU: Checking if device /dev/kvm is accessible : PASS QEMU: Checking if device /dev/vhost-net exists : PASS QEMU: Checking if device /dev/net/tun exists : PASS QEMU: Checking for cgroup 'memory' controller support : PASS QEMU: Checking for cgroup 'memory' controller mount-point : PASS QEMU: Checking for cgroup 'cpu' controller support : PASS QEMU: Checking for cgroup 'cpu' controller mount-point : PASS QEMU: Checking for cgroup 'cpuacct' controller support : PASS QEMU: Checking for cgroup 'cpuacct' controller mount-point : PASS QEMU: Checking for cgroup 'cpuset' controller support : PASS QEMU: Checking for cgroup 'cpuset' controller mount-point : PASS QEMU: Checking for cgroup 'devices' controller support : PASS QEMU: Checking for cgroup 'devices' controller mount-point : PASS RH134-RHEL8.2-es-1-20200928 357 capítulo 12 | Instalación de Red Hat Enterprise Linux QEMU: Checking for cgroup 'blkio' controller support QEMU: Checking for cgroup 'blkio' controller mount-point QEMU: Checking for device assignment IOMMU support : PASS : PASS : PASS El sistema debe aprobar todos los ítems de validación para poder ser un host KVM. Administración de máquinas virtuales con Cockpit El módulo de Yum virt proporciona el comando virsh para administrar sus máquinas virtuales. La herramienta Cockpit proporciona una interfaz de consola web para la gestión de KVM y la creación de máquinas virtuales. Figura 12.6: Administración de máquinas virtuales en Cockpit Instale el paquete cockpit-machines para agregar el menú Virtual Machines (Máquinas virtuales) en Cockpit. [root@host ~]# yum install cockpit-machines Si Cockpit no se está ejecutando, inícielo y habilítelo. [root@host ~]# systemctl enable --now cockpit.socket Para crear una nueva máquina virtual con Cockpit, acceda al menú Virtual Machines (Máquinas virtuales) en la interfaz web de Cockpit. Desde allí, haga clic en Create VM (Crear máquina 358 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux virtual) e ingrese la configuración de la máquina virtual en la ventana Create New Virtual Machine (Crear nueva máquina virtual). Figura 12.7: Creación de una máquina virtual en Cockpit • Name (Nombre) establece un nombre de dominio para la configuración de la máquina virtual. Este nombre no está relacionado con el nombre del host de red que le da al sistema en la máquina virtual instalada. • Installation Source Type (Tipo de fuente de instalación) es el método para recuperar el archivo ISO de instalación. Las opciones incluyen el sistema de archivos local o una URL de HTTPS, FTP o NFS. • Installation Source (Fuente de instalación) proporciona la ruta de la fuente de instalación. • OS Vendor (Proveedor de SO) y Operating System (Sistema operativo) indican el sistema operativo de la máquina virtual. La capa de virtualización presenta una emulación de hardware compatible con el sistema operativo elegido. • Memory (Memoria) es la cantidad de RAM disponible para la máquina virtual nueva. • Storage Size (Tamaño de almacenamiento) es el tamaño del disco de la máquina virtual nueva. Asocie discos adicionales con la máquina virtual después de la instalación. • Immediately Start VM (Iniciar máquina virtual de inmediato) indica si la máquina virtual se debe iniciar inmediatamente después de hacer clic en Create (Crear). Haga clic en Create (Crear) para crear la máquina virtual y en Install (Instalar) para iniciar la instalación del sistema operativo. Cockpit muestra la consola de la máquina virtual desde la que puede instalar el sistema. RH134-RHEL8.2-es-1-20200928 359 capítulo 12 | Instalación de Red Hat Enterprise Linux Figura 12.8: Instalación del sistema operativo de la máquina virtual Referencias Para obtener más información, consulte la guía Configuración y administración de la virtualización en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htmlsingle/configuring_and_managing_virtualization/index ¿Qué es la virtualización? https://www.redhat.com/en/topics/virtualization/what-is-virtualization 360 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Cuestionario Instalación y configuración de máquinas virtuales Elija las respuestas correctas para las siguientes preguntas: 1. ¿Qué tres sistemas operativos guest admite Red Hat como máquinas virtuales KVM? (Elija tres opciones). a. Fedora 28 y versiones posteriores b. Red Hat Enterprise Linux 6 y versiones posteriores c. CoreOS Container Linux 2023 y versiones posteriores d. Microsoft Windows 7 SP1 e. Microsoft Windows 10 y versiones posteriores f. Microsoft Windows Server 2016 y versiones posteriores 2. ¿Qué dos componentes se requieren para configurar su sistema como un host de virtualización y gestionar máquinas virtuales con la consola web? (Elija dos opciones). a. El módulo de Yum virt b. El grupo de paquetes de openstack c. El paquete cockpit-machines d. El grupo de paquetes de Virtualization Platform e. El módulo de Yum kvm f. El paquete cockpit-virtualization 3. ¿Qué comando verifica si su sistema es compatible con la virtualización? a. grep kvm /proc/cpuinfo b. virsh validate c. virt-host-validate d. rhv-validate e. cockpit-validate 4. ¿Qué dos herramientas puede usar para iniciar y detener sus máquinas virtuales en un sistema Red Hat Enterprise Linux? (Elija dos opciones). a. vmctl b. libvirtd c. virsh d. openstack e. Consola web RH134-RHEL8.2-es-1-20200928 361 capítulo 12 | Instalación de Red Hat Enterprise Linux Solución Instalación y configuración de máquinas virtuales Elija las respuestas correctas para las siguientes preguntas: 1. ¿Qué tres sistemas operativos guest admite Red Hat como máquinas virtuales KVM? (Elija tres opciones). a. Fedora 28 y versiones posteriores b. Red Hat Enterprise Linux 6 y versiones posteriores c. CoreOS Container Linux 2023 y versiones posteriores d. Microsoft Windows 7 SP1 e. Microsoft Windows 10 y versiones posteriores f. Microsoft Windows Server 2016 y versiones posteriores 2. ¿Qué dos componentes se requieren para configurar su sistema como un host de virtualización y gestionar máquinas virtuales con la consola web? (Elija dos opciones). a. El módulo de Yum virt b. El grupo de paquetes de openstack c. El paquete cockpit-machines d. El grupo de paquetes de Virtualization Platform e. El módulo de Yum kvm f. El paquete cockpit-virtualization 3. ¿Qué comando verifica si su sistema es compatible con la virtualización? a. grep kvm /proc/cpuinfo b. virsh validate c. virt-host-validate d. rhv-validate e. cockpit-validate 4. ¿Qué dos herramientas puede usar para iniciar y detener sus máquinas virtuales en un sistema Red Hat Enterprise Linux? (Elija dos opciones). a. vmctl b. libvirtd c. virsh d. openstack e. Consola web 362 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Trabajo de laboratorio Instalación de Red Hat Enterprise Linux Lista de verificación de rendimiento En este trabajo de laboratorio, creará un archivo kickstart y realizará una instalación kickstart en serverb. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un archivo kickstart. • Poner el archivo kickstart a disposición del instalador. • Realizar una instalación kickstart. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab installing-review start. Este comando ejecuta un script de inicio para determinar si las máquinas servera y serverb son accesibles en la red, y configura Apache en serverb. También configura el menú de arranque en serverb para que el ejercicio realice una instalación kickstart. [student@workstation ~]$ lab installing-review start Prepare un archivo kickstart en serverb según lo especificado y póngalo a disposición en http://serverb.lab.example.com/ks-config/kickstart.cfg . Ejecute una instalación kickstart en servera usando el archivo kickstart que preparó. 1. En serverb, copie /root/anaconda-ks.cfg en /home/student/kickstart.cfg, para que el usuario student pueda editarlo. 2. Haga los siguientes cambios en /home/student/kickstart.cfg. • Comente el comando reboot. • Comente el comando repo para el repositorio de BaseOS. Modifique el comando repo para que el repositorio de AppStream apunte a http://classroom.example.com/ content/rhel8.2/x86_64/dvd/AppStream/. El nombre del repositorio se debe establecer en appstream. • Cambie el comando url para usar http://classroom.example.com/content/ rhel8.2/x86_64/dvd/ como la fuente de instalación. • Comente el comando network. • Cambie el comando rootpw para usar plaintext y establezca la contraseña de root en redhat. RH134-RHEL8.2-es-1-20200928 363 capítulo 12 | Instalación de Red Hat Enterprise Linux • Elimine la línea que usa el comando auth y agregue la línea authselect select sssd para configurar el servicio sssd como la fuente de identidad y autenticación. • Simplifique el comando services para que se deshabiliten solo los servicios kdump y rhsmcertd. Deje habilitados solo sshd, rngd y chronyd. • Agregue el comando autopart. Los comandos part ya debe estar comentados. • Simplifique la sección %post para que solo ejecute un script para agregar el texto Kickstarted on DATE en el final del archivo /etc/issue. DATE es información variable y se debe generar a través del script con el comando date sin opciones adicionales. • Simplifique la sección %package de la siguiente manera: incluya los paquetes @core, chrony, dracut-config-generic, dracut-norescue, firewalld, grub2, kernel, rsync, tar y httpd. Asegúrese de que no se instale el paquete plymouth. 3. Valide la sintaxis de kickstart.cfg. 4. Ponga a disposición el archivo /home/student/kickstart.cfg en http:// serverb.lab.example.com/ks-config/kickstart.cfg 5. Vuelva al sistema workstation para verificar su trabajo. Evaluación En workstation, ejecute el script lab installing-review grade para calificar este ejercicio. Reinicie servera para realizar una instalación kickstart. [student@workstation ~]$ lab installing-review grade Corrija cualquier falla en kickstart.cfg que se comparta desde el servidor web serverb ya sea al modificar /var/www/html/ks-config/kickstart.cfg directamente o al modificar ~/ kickstart.cfg y copiarlo en /var/www/html/ks-config/. Reinicie servera para ejecutar una instalación kickstart. En el menú de GRUB, seleccione Kickstart Red Hat Enterprise Linux 8 y presione Enter. Finalizar En workstation, ejecute el script lab installing-review finish para terminar este ejercicio. Este script elimina el servidor web configurado en serverb durante el ejercicio. [student@workstation ~]$ lab installing-review finish Restablezca el sistema servera para regresarlo al estado predeterminado. Esto concluye el trabajo de laboratorio. 364 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Solución Instalación de Red Hat Enterprise Linux Lista de verificación de rendimiento En este trabajo de laboratorio, creará un archivo kickstart y realizará una instalación kickstart en serverb. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un archivo kickstart. • Poner el archivo kickstart a disposición del instalador. • Realizar una instalación kickstart. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute el comando lab installing-review start. Este comando ejecuta un script de inicio para determinar si las máquinas servera y serverb son accesibles en la red, y configura Apache en serverb. También configura el menú de arranque en serverb para que el ejercicio realice una instalación kickstart. [student@workstation ~]$ lab installing-review start Prepare un archivo kickstart en serverb según lo especificado y póngalo a disposición en http://serverb.lab.example.com/ks-config/kickstart.cfg . Ejecute una instalación kickstart en servera usando el archivo kickstart que preparó. 1. En serverb, copie /root/anaconda-ks.cfg en /home/student/kickstart.cfg, para que el usuario student pueda editarlo. 1.1. Use el comando ssh para iniciar sesión en serverb con el usuario student. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 1.2. Copie /root/anaconda-ks.cfg en serverb en un archivo denominado /home/ student/kickstart.cfg de modo que student pueda realizar ediciones. Use el comando sudo cat /root/anaconda-ks.cfg > ~/kickstart.cfg para copiar el archivo /root/anaconda-ks.cfg en /home/student/kickstart.cfg. Introduzca la contraseña student cuando se le solicite la contraseña para el usuario student en sudoserverb. RH134-RHEL8.2-es-1-20200928 365 capítulo 12 | Instalación de Red Hat Enterprise Linux [student@serverb ~]$ sudo cat /root/anaconda-ks.cfg > ~/kickstart.cfg [sudo] password for student: student Haga los siguientes cambios en /home/student/kickstart.cfg. 2. • Comente el comando reboot. • Comente el comando repo para el repositorio de BaseOS. Modifique el comando repo para que el repositorio de AppStream apunte a http://classroom.example.com/ content/rhel8.2/x86_64/dvd/AppStream/. El nombre del repositorio se debe establecer en appstream. • Cambie el comando url para usar http://classroom.example.com/content/ rhel8.2/x86_64/dvd/ como la fuente de instalación. • Comente el comando network. • Cambie el comando rootpw para usar plaintext y establezca la contraseña de root en redhat. • Elimine la línea que usa el comando auth y agregue la línea authselect select sssd para configurar el servicio sssd como la fuente de identidad y autenticación. • Simplifique el comando services para que se deshabiliten solo los servicios kdump y rhsmcertd. Deje habilitados solo sshd, rngd y chronyd. • Agregue el comando autopart. Los comandos part ya debe estar comentados. • Simplifique la sección %post para que solo ejecute un script para agregar el texto Kickstarted on DATE en el final del archivo /etc/issue. DATE es información variable y se debe generar a través del script con el comando date sin opciones adicionales. • Simplifique la sección %package de la siguiente manera: incluya los paquetes @core, chrony, dracut-config-generic, dracut-norescue, firewalld, grub2, kernel, rsync, tar y httpd. Asegúrese de que no se instale el paquete plymouth. 2.1. Comente la directiva reboot (reiniciar): #reboot 2.2. El comando repo se encuentra dos veces en kickstart.cfg. Comente el comando repo para el repositorio de BaseOS. Modifique el comando repo para que el repositorio de AppStream apunte al repositorio de AppStream del aula: #repo --name="koji-override-0" --baseurl=http://downloadnode-02.eng.bos.redhat.com/rhel-8/devel/candidate-trees/RHEL-8/RHEL-8.2.0updates-20200423.0/compose/BaseOS/x86_64/os repo --name="appstream" --baseurl=http://classroom.example.com/content/rhel8.2/ x86_64/dvd/AppStream/ 2.3. 366 Cambie el comando url para especificar los medios de fuentes de instalación HTTP usados en el aula: RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux url --url="http://classroom.example.com/content/rhel8.2/x86_64/dvd/" 2.4. Comente el comando network: #network 2.5. --bootproto=dhcp --device=link --activate Establezca la contraseña de root en redhat. Cambie la línea que comienza con rootpw por: rootpw --plaintext redhat 2.6. Elimine la línea que usa el comando auth y agregue la línea authselect select sssd para configurar el servicio sssd como la fuente de identidad y autenticación. authselect select sssd 2.7. Simplifique el comando services para que se vea de la siguiente manera: services --disabled="kdump,rhsmcertd" --enabled="sshd,rngd,chronyd" 2.8. Comente los comandos part. Agregue el comando autopart: # Disk partitioning information #part biosboot --fstype="biosboot" --size=1 #part /boot/efi --fstype="efi" --size=100 --fsoptions="..." #part / --fstype="xfs" --size=10137 --label=root autopart 2.9. Elimine todo el contenido entre la sección %post y su %end. Agregue la siguiente línea: echo "Kickstarted on $(date)" >> /etc/issue La sección %post debe aparecer de la siguiente manera: %post --erroronfail echo "Kickstarted on $(date)" >> /etc/issue %end 2.10. Simplifique la especificación del paquete para que se vea de la siguiente manera: %packages @core chrony dracut-config-generic dracut-norescue firewalld grub2 kernel rsync tar RH134-RHEL8.2-es-1-20200928 367 capítulo 12 | Instalación de Red Hat Enterprise Linux httpd -plymouth %end Valide la sintaxis de kickstart.cfg. 3. 3.1. Use el comando ksvalidator para comprobar si hay errores de sintaxis en el archivo Kickstart. [student@serverb ~]$ ksvalidator kickstart.cfg Ponga a disposición el archivo /home/student/kickstart.cfg en http:// serverb.lab.example.com/ks-config/kickstart.cfg 4. 4.1. Copie kickstart.cfg en el directorio /var/www/html/ks-config/. [student@serverb ~]$ sudo cp ~/kickstart.cfg /var/www/html/ks-config Vuelva al sistema workstation para verificar su trabajo. 5. 5.1. Salga de serverb. [student@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ Evaluación En workstation, ejecute el script lab installing-review grade para calificar este ejercicio. Reinicie servera para realizar una instalación kickstart. [student@workstation ~]$ lab installing-review grade Corrija cualquier falla en kickstart.cfg que se comparta desde el servidor web serverb ya sea al modificar /var/www/html/ks-config/kickstart.cfg directamente o al modificar ~/ kickstart.cfg y copiarlo en /var/www/html/ks-config/. Reinicie servera para ejecutar una instalación kickstart. En el menú de GRUB, seleccione Kickstart Red Hat Enterprise Linux 8 y presione Enter. Finalizar En workstation, ejecute el script lab installing-review finish para terminar este ejercicio. Este script elimina el servidor web configurado en serverb durante el ejercicio. [student@workstation ~]$ lab installing-review finish Restablezca el sistema servera para regresarlo al estado predeterminado. Esto concluye el trabajo de laboratorio. 368 RH134-RHEL8.2-es-1-20200928 capítulo 12 | Instalación de Red Hat Enterprise Linux Resumen En este capítulo, aprendió lo siguiente: • El DVD binario de RHEL 8 incluye Anaconda y todos los repositorios necesarios para la instalación. • El archivo ISO de arranque de RHEL 8 incluye el instalador de Anaconda, que permite acceder a los repositorios por medio de la red durante la instalación. • El sistema Kickstart ejecuta instalaciones desatendidas. • Los archivos Kickstart se pueden crear por medio del sitio web de Kickstart Generator o al copiar y editar /root/anaconda-ks.cfg. • El módulo de Yum virt proporciona los paquetes para que un sistema RHEL se convierta en un host de virtualización. • El paquete cockpit-machines agrega el menú Virtual Machines (Máquinas virtuales) en Cockpit. RH134-RHEL8.2-es-1-20200928 369 370 RH134-RHEL8.2-es-1-20200928 capítulo 13 Ejecución de contenedores Meta Obtener, ejecutar y administrar servicios livianos simples como contenedores en un único servidor de Red Hat Enterprise Linux. Objetivos • Explicar qué es un contenedor y cómo usar uno para administrar e implementar aplicaciones con dependencias y librerías de software que necesitan las aplicaciones para funcionar. • Instalar las herramientas de administración de contenedores y ejecutar un contenedor rootless simple. • Buscar, recuperar, inspeccionar y administrar imágenes de contenedores obtenidas de un registro de contenedores remoto y almacenadas en su servidor. • Ejecutar contenedores con opciones avanzadas, enumerar los contenedores que se ejecutan en el sistema e iniciar, detener y finalizar contenedores. • Proporcionar almacenamiento persistente para los datos del contenedor mediante el montaje de un directorio desde el host del contenedor dentro de un contenedor en ejecución. • Iniciar, detener y verificar el estado de un contenedor como un servicio systemd. RH134-RHEL8.2-es-1-20200928 371 capítulo 13 | Ejecución de contenedores Secciones Trabajo de laboratorio 372 • Introducción a los contenedores (y cuestionario) • Ejecución de un contenedor básico (y ejercicio guiado) • Búsqueda y administración de imágenes de contenedores (y ejercicio guiado) • Realización de una administración avanzada de contenedores (y ejercicio guiado) • Conexión del almacenamiento persistente a un contenedor (y ejercicio guiado) • Administración de contenedores como servicios (y ejercicio guiado) Ejecución de contenedores RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Introducción a los contenedores Objetivos Tras completar esta sección, deberá ser capaz de explicar qué es un contenedor y cómo usar uno para administrar e implementar aplicaciones con dependencias y librerías de software con soporte. Introducción a la tecnología de contenedores Por lo general, las aplicaciones de software dependen de otras librerías, archivos de configuración o servicios proporcionados por el entorno de tiempo de ejecución. En general, el entorno de tiempo de ejecución para una aplicación de software se instala en un sistema operativo que se ejecuta en un host físico o una máquina virtual. Todas las dependencias de la aplicación se instalan junto con ese sistema operativo en el host. En Red Hat Enterprise Linux, los sistemas de paquetes como RPM se usan para ayudar a administrar las dependencias de las aplicaciones. Cuando instala el paquete httpd, el sistema RPM garantiza que también se instalen las librerías y las demás dependencias correspondientes para ese paquete. El principal inconveniente de las aplicaciones de software implementadas tradicionalmente es que estas dependencias están entremezcladas con el entorno de tiempo de ejecución. Una aplicación puede necesitar versiones de software que sean anteriores o posteriores al software provisto con el sistema operativo. De manera similar, dos aplicaciones en el mismo sistema pueden requerir diferentes versiones del mismo software que son incompatibles entre sí. Una forma de resolver estos conflictos es empaquetar e implementar la aplicación como un contenedor. Un contenedor es un conjunto de uno o más procesos que están aislados del resto del sistema. Piense en un contenedor de transporte físico. Un contenedor de envío es una forma estándar de empaquetar y enviar mercancías. Se etiqueta, se carga, se descarga y se transporta de una ubicación a otra como si se tratase de una sola caja. El contenido del contenedor se aísla del contenido de otros contenedores para que no se afecten unos a otros. Los contenedores de software son una forma de empaquetar aplicaciones para simplificar la implementación y la administración. Comparación de contenedores y máquinas virtuales Los contenedores ofrecen muchos de los mismos beneficios de las máquinas virtuales, como seguridad, almacenamiento y aislamiento de redes. Ambas tecnologías aíslan las librerías de aplicaciones y los recursos de tiempo de ejecución del sistema operativo del host o del hipervisor y viceversa. RH134-RHEL8.2-es-1-20200928 373 capítulo 13 | Ejecución de contenedores Los contenedores y las máquinas virtuales son diferentes en la forma en que interactúan con el hardware y el sistema operativo subyacente. Virtualización: • Permite que varios sistemas operativos se ejecuten simultáneamente en una única plataforma de hardware. • Usa un hipervisor para dividir el hardware en varios sistemas de hardware virtuales, lo que permite que varios sistemas operativos se ejecuten en paralelo. • Requiere un entorno de sistema operativo completo para dar soporte a la aplicación. Compare y contraste estas características con las de los contenedores, que: • Se ejecutan directamente en el sistema operativo y comparten tanto el hardware como los recursos del sistema operativo en todos los contenedores del sistema. Esto permite que las aplicaciones permanezcan livianas y se ejecuten rápidamente en paralelo. • Comparten el mismo kernel del sistema operativo, aíslan los procesos de aplicaciones contenedorizadas del resto del sistema y usan cualquier software compatible con ese kernel. • Requieren muchos menos recursos de hardware que las máquinas virtuales, lo que también les permite iniciarse y detenerse rápidamente, además de reducir los requisitos de almacenamiento. nota Es posible que algunas aplicaciones no sean adecuadas para ejecutarse como un contenedor. Por ejemplo, en general, es posible que las aplicaciones que acceden a información de hardware de bajo nivel necesiten un acceso de hardware más directo que los contenedores. Exploración de la implementación de contenedores Red Hat Enterprise Linux implementa contenedores mediante el uso de tecnologías core (centrales) como: • Grupos de control (cgroups) para administrar recursos. • Espacios de nombres (Namespaces) para aislar procesos. • SELinux y Seccomp (modo de computación segura) para proporcionar límites de seguridad. 374 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores nota Para obtener un análisis más exhaustivo de la arquitectura y seguridad del contenedor, consulte el informe técnico "Diez capas de seguridad de contenedores" [https://www.redhat.com/en/resources/container-security-openshift-clouddevops-whitepaper]. Planificación para contenedores Los contenedores son una manera eficaz de proporcionar reutilización y portabilidad de las aplicaciones alojadas. Se pueden trasladar fácilmente de un entorno a otro, como de desarrollo a producción. Puede guardar varias versiones de un contenedor y acceder rápidamente a cada una según sea necesario. Por lo general, los contenedores son temporales, o efímeros. Puede guardar de forma permanente los datos generados por un contenedor en ejecución en un almacenamiento persistente, pero los contenedores, por lo general, se ejecutan cuando es necesario; luego, se detienen y se eliminan. Se inicia un nuevo proceso de contenedor la próxima vez que se necesita un contenedor en particular. Ejecución de contenedores a partir de imágenes de contenedores Los contenedores se ejecutan a partir de imágenes de contenedores. Las imágenes de contenedores sirven como modelos para crear contenedores. Las imágenes de contenedores empaquetan una aplicación junto con todas sus dependencias, tales como: • Librerías del sistema • Tiempos de ejecución de lenguajes de programación • Librerías de lenguajes de programación • Parámetros de configuración • Archivos de datos estáticos Las imágenes de contenedores son archivos inalterables o inmutables, que incluyen todo el código requerido y las dependencias para ejecutar un contenedor. Las imágenes de contenedores se compilan de acuerdo con las especificaciones, como la especificación de formato de imagen de Open Container Initiative (OCI). Estas especificaciones definen el formato para las imágenes de contenedores, así como los metadatos acerca de los sistemas operativos del host de contenedores y las arquitecturas de hardware que soporta la imagen. Diseño de arquitecturas basadas en contenedores Podría instalar una aplicación de software compleja formada por varios servicios en un único contenedor. Por ejemplo, puede tener un servidor web que necesite usar una base de datos y un sistema de mensajería. Sin embargo, el uso de un contenedor para varios servicios es difícil de gestionar. Un mejor diseño ejecuta cada componente, el servidor web, la base de datos y el sistema de mensajería en contenedores separados. De esta manera, las actualizaciones y el mantenimiento de los componentes de las aplicaciones individuales no afectan otros componentes ni la stack (pila) de aplicaciones. RH134-RHEL8.2-es-1-20200928 375 capítulo 13 | Ejecución de contenedores Administración de contenedores con Podman Una buena manera de empezar a aprender acerca de los contenedores es trabajar con contenedores individuales en un único servidor que actúa como host de contenedores. Red Hat Enterprise Linux proporciona un conjunto de herramientas de contenedores que puede usar para hacer esto, que incluyen: • podman, que administra directamente contenedores e imágenes de contenedores. • skopeo, que puede usar para inspeccionar, copiar, eliminar y firmar imágenes. • buildah, que puede usar para crear nuevas imágenes de contenedores. Estas herramientas son compatibles con Open Container Initiative (OCI). Se pueden usar para administrar los contenedores de Linux creados por motores de contenedores compatibles con OCI, como Docker. Estas herramientas están diseñadas específicamente para ejecutar contenedores en Red Hat Enterprise Linux en un host de contenedores de un solo nodo. En este capítulo, usará los comandos podman y skopeo para ejecutar y administrar contenedores e imágenes de contenedores existentes. nota El uso de buildah para crear sus propias imágenes de contenedores no está incluido en el alcance de este curso, pero se trata en el curso de capacitación de Red Hat Red Hat OpenShift I: contenedores y kubernetes (DO180). Ejecución de contenedores rootless En el host de contenedores, puede ejecutar contenedores como usuario root o como usuario normal sin privilegios. Los contenedores ejecutados por usuarios sin privilegios se denominan contenedores rootless. Los contenedores rootless son más seguros, pero tienen algunas restricciones. Por ejemplo, los contenedores rootless no pueden publicar sus servicios de red a través de los puertos con privilegios del host de contenedores (los puertos inferiores a 1024). Puede ejecutar contenedores directamente como root, si es necesario, pero esto debilita la seguridad del sistema si un error permite que un atacante comprometa el contenedor. Administración de contenedores a escala Las nuevas aplicaciones implementan cada vez más componentes funcionales mediante contenedores. Estos contenedores proporcionan servicios que consumen otras partes de la aplicación. En una organización, la administración de una cantidad cada vez mayor de contenedores puede convertirse rápidamente en una tarea abrumadora. La implementación de contenedores a escala en la producción requiere un entorno que se pueda adaptar a algunos de los siguientes desafíos: • La plataforma debe garantizar la disponibilidad de contenedores que proporcionen servicios esenciales a los clientes. • El entorno debe responder a los picos de uso de la aplicación mediante el aumento o la reducción de los contenedores en ejecución y el balanceo de carga del tráfico. • La plataforma debería detectar la falla de un contenedor o un host y reaccionar en consecuencia. 376 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores • Es posible que los desarrolladores necesiten un flujo de trabajo automatizado para ofrecer nuevas versiones de aplicaciones a los clientes de forma transparente y segura. Kubernetes es un servicio de orquestación que facilita la implementación, la administración y la escalabilidad de aplicaciones basadas en contenedores en un clúster de hosts de contenedores. Ayuda a gestionar las actualizaciones de DNS al iniciar nuevos contenedores. Ayuda a redirigir el tráfico a sus contenedores mediante un balanceador de carga, que también le permite escalar y reducir verticalmente la cantidad de contenedores que proporcionan un servicio de forma manual o automática. También soporta comprobaciones de estado definidas por el usuario para monitorear sus contenedores y reiniciarlos en caso de que fallen. Red Hat proporciona una distribución de Kubernetes denominada Red Hat OpenShift. OpenShift es un conjunto de componentes y servicios modulares desarrollado sobre la base de una infraestructura de Kubernetes. Agrega características adicionales, como administración remota basada en la Web, multiinquilino (multitenancy), monitoreo y auditoría, administración del ciclo de vida de la aplicación e instancias de autoservicio para desarrolladores, entre otras. Red Hat OpenShift no está incluido en el alcance de este curso, pero puede obtener más información sobre este en https://www.openshift.com. nota En una empresa, los contenedores individuales no se ejecutan generalmente desde la línea de comandos. En cambio, se prefiere ejecutar contenedores en producción mediante una plataforma basada en Kubernetes, como Red Hat OpenShift. Sin embargo, es posible que necesite usar comandos para trabajar con contenedores e imágenes de forma manual o a escala pequeña. Para ello, puede instalar un conjunto de herramientas de contenedores en un sistema Red Hat Enterprise Linux 8. Este capítulo se centra en este caso de uso para ayudarlo a comprender mejor los conceptos básicos subyacentes de los contenedores, cómo funcionan y cómo pueden ser útiles. Referencias Páginas del manual cgroups(7), namespaces(7), seccomp(2). Especificación de imágenes de Open Container Initiative (OCI) https://github.com/opencontainers/image-spec/blob/master/spec.md Para obtener más información, consulte el capítulo Comenzar con contenedores en la Guía de creación, ejecución y administración de contenedores de Red Hat Enterprise Linux 8 en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/ html-single/building_running_and_managing_containers/index#starting-withcontainers_building-running-and-managing-containers RH134-RHEL8.2-es-1-20200928 377 capítulo 13 | Ejecución de contenedores Cuestionario Introducción a los contenedores Elija las respuestas correctas para las siguientes preguntas: 1. ¿Qué herramienta proporciona Red Hat Enterprise Linux que se usa para ejecutar contenedores? a. buildah b. container c. podman d. skopeo 2. ¿Cuáles de los siguientes son los dos enunciados que describen la tecnología de contenedores? (Elija dos opciones). a. Los contenedores empaquetan sistemas operativos completos, como las máquinas virtuales. b. Los contenedores ejecutan un conjunto de uno o más procesos que están aislados del resto del sistema. c. Cada contenedor incluye su propio kernel. d. Los contenedores proporcionan una forma estándar de empaquetar aplicaciones para facilitar la implementación y la administración. 3. ¿Cuáles de los siguientes son los dos enunciados verdaderos sobre las imágenes de contenedores? (Elija dos opciones). a. Las imágenes de contenedores empaquetan una aplicación con todas las dependencias del tiempo de ejecución que necesita. b. Las imágenes de contenedores que funcionan con Docker no pueden funcionar con Podman. c. Las imágenes de contenedores solo se pueden ejecutar en un host de contenedores que se instala con la misma versión exacta del software en la imagen. d. Las imágenes de contenedores sirven como modelos para crear contenedores. 4. ¿Cuáles son las tres tecnologías core (centrales) que se usan para implementar contenedores en Red Hat Enterprise Linux? (Elija tres opciones). a. Código de hipervisor para alojar máquinas virtuales. b. Grupos de control (cgroups) para administrar recursos. c. Espacios de nombres para aislar procesos. d. Sistema operativo completo para compatibilidad con el host de contenedores. e. SELinux y Seccomp para la seguridad. 378 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Solución Introducción a los contenedores Elija las respuestas correctas para las siguientes preguntas: 1. ¿Qué herramienta proporciona Red Hat Enterprise Linux que se usa para ejecutar contenedores? a. buildah b. container c. podman d. skopeo 2. ¿Cuáles de los siguientes son los dos enunciados que describen la tecnología de contenedores? (Elija dos opciones). a. Los contenedores empaquetan sistemas operativos completos, como las máquinas virtuales. b. Los contenedores ejecutan un conjunto de uno o más procesos que están aislados del resto del sistema. c. Cada contenedor incluye su propio kernel. d. Los contenedores proporcionan una forma estándar de empaquetar aplicaciones para facilitar la implementación y la administración. 3. ¿Cuáles de los siguientes son los dos enunciados verdaderos sobre las imágenes de contenedores? (Elija dos opciones). a. Las imágenes de contenedores empaquetan una aplicación con todas las dependencias del tiempo de ejecución que necesita. b. Las imágenes de contenedores que funcionan con Docker no pueden funcionar con Podman. c. Las imágenes de contenedores solo se pueden ejecutar en un host de contenedores que se instala con la misma versión exacta del software en la imagen. d. Las imágenes de contenedores sirven como modelos para crear contenedores. 4. ¿Cuáles son las tres tecnologías core (centrales) que se usan para implementar contenedores en Red Hat Enterprise Linux? (Elija tres opciones). a. Código de hipervisor para alojar máquinas virtuales. b. Grupos de control (cgroups) para administrar recursos. c. Espacios de nombres para aislar procesos. d. Sistema operativo completo para compatibilidad con el host de contenedores. e. SELinux y Seccomp para la seguridad. RH134-RHEL8.2-es-1-20200928 379 capítulo 13 | Ejecución de contenedores Ejecución de un contenedor básico Objetivos Tras completar esta sección, deberá ser capaz de instalar las herramientas de administración de contenedores y ejecutar un contenedor rootless simple. Instalación de herramientas de administración de contenedores Para comenzar a ejecutar y gestionar contenedores en su sistema, debe instalar las herramientas de la línea de comandos necesarias. Instala el módulo container-tools con el comando yum. [root@host ~]# yum module install container-tools El módulo container-tools incluye paquetes de software que instalan varias herramientas. Las herramientas usadas en este capítulo son podman y skopeo. nota De manera predeterminada, el sistema instala las herramientas de flujo rápido, container-tools:rhel8 que se basan en la versión de la versión anterior estable de las herramientas del contenedor cada tres meses. Las secuencias estables alternativas que se bloquean en una versión específica de las herramientas no obtienen actualizaciones de características. Red Hat tiene previsto lanzar nuevos flujos estables una vez al año con soporte durante dos años. Selección de imágenes de contenedores y registros Un registro de contenedor es un repositorio para almacenar y recuperar imágenes de contenedores. Un desarrollador carga o envía las imágenes de contenedores a un registro de contenedores. Puede descargar, o extraer, esas imágenes de contenedores del registro a un sistema local, de modo que pueda usarlas para ejecutar contenedores. Puede usar un registro público que contenga imágenes de terceros o puede usar un registro privado controlado por su organización. El origen de las imágenes de contenedores es importante. Al igual que cualquier otro paquete de software, debe saber si puede confiar en el código de la imagen de contenedor. Los diferentes registros tienen diferentes políticas sobre si proporcionan, evalúan y prueban las imágenes de contenedores que se les envían, y cómo lo hacen. Red Hat distribuye las imágenes de contenedores certificadas a través de dos registros de contenedores principales a los que puede acceder con sus credenciales de inicio de sesión de Red Hat. • registry.redhat.io para contenedores basados en productos oficiales de Red Hat. • registry.connect.redhat.com para contenedores basados en productos de terceros. 380 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Red Hat está eliminando gradualmente un registro más antiguo, registry.access.redhat.com. Red Hat Container Catalog (https://access.redhat.com/containers) proporciona una interfaz basada en la Web que puede usar para buscar contenido certificado en estos registros. nota En el aula se ejecuta un registro privado basado en Red Hat Quay para proporcionar imágenes de contenedores. Consulte https://access.redhat.com/products/red-hatquay para obtener más información sobre este software. Convenciones de nombres de contenedores Los nombres de las imágenes de contenedores se asignan según la siguiente sintaxis nombre de imagen completamente calificado: registry_name/user_name/image_name:tag • registry_name es el nombre del registro que almacena la imagen. Por lo general, es el nombre de dominio completamente calificado del registro. • user_name representa el usuario o la organización a la que pertenece la imagen. • image_name debe ser único en el espacio de nombres del usuario. • tag identifica la versión de la imagen. Si el nombre de la imagen no incluye etiqueta de imagen, se supone que es latest. Ejecución de contenedores Para ejecutar un contenedor en su sistema local, primero debe extraer una imagen de contenedor. Use Podman para extraer una imagen de un registro. Debe usar siempre el nombre de la imagen completamente calificado cuando descarga imágenes. El comando podman pull extrae la imagen que usted especifica del registro y la guarda localmente: [user@host ~]$ podman pull registry.access.redhat.com/ubi8/ubi:latest Trying to pull registry.access.redhat.com/ubi8/ubi:latest...Getting image source signatures Copying blob 77c58f19bd6e: 70.54 MiB / 70.54 MiB [=========================] 10s Copying blob 47db82df7f3f: 1.68 KiB / 1.68 KiB [===========================] 10s Copying config a1f8c9699786: 4.26 KiB / 4.26 KiB [==========================] 0s Writing manifest to image destination Storing signatures a1f8c969978652a6d1b2dfb265ae0c6c346da69000160cd3ecd5f619e26fa9f3 Después de descargarla, Podman almacena las imágenes localmente y se las puede listar con el comando podman images: [user@host ~]$ podman images REPOSITORY registry.access.redhat.com/ubi8/ubi TAG latest IMAGE ID a1f8c9699786 CREATED 5 weeks ago SIZE 211 MB En la salida anterior, se muestra que la etiqueta de la imagen es latest y que el ID de la imagen es a1f8c96699786. RH134-RHEL8.2-es-1-20200928 381 capítulo 13 | Ejecución de contenedores Para ejecutar un contenedor a partir de esta imagen, use el comando podman run. Cuando ejecuta un comando podman run, crea e inicia un nuevo contenedor a partir de una imagen de contenedor. Use las opciones -it para interactuar con el contenedor, si es necesario. Las opciones -it asignan un terminal al contenedor y le permiten enviar pulsaciones de teclas a este. [user@host ~]$ podman run -it registry.access.redhat.com/ubi8/ubi:latest [root@8b032455db1a /]# Importante Si ejecuta un contenedor con el nombre de la imagen completamente calificado, pero la imagen aún no está almacenada localmente, el comando podman run primero extrae la imagen del registro y, luego, se ejecuta. nota Muchas opciones de Podman también tienen una forma larga alternativa; algunas de estas se explican a continuación. • -t es equivalente a --tty, lo que significa que se debe asignar pseudo-tty (pseudoterminal) para el contenedor. • -i es lo mismo que --interactive. Cuando se usa esta opción, el contenedor acepta la entrada estándar. • -d, o su forma larga --detach, significa que el contenedor se ejecuta en segundo plano (independiente). Cuando se usa esta opción, Podman ejecuta el contenedor en segundo plano y muestra su ID de contenedor generado. Consulte la página del manual podman-run(1) para ver la lista completa de indicadores. Cuando se hace referencia a un contenedor, Podman reconoce el nombre del contenedor o el ID del contenedor generado. Use la opción --name para establecer el nombre del contenedor al ejecutar el contenedor con Podman. Los nombres de los contenedores deben ser únicos. Si el comando podman run no incluye ningún nombre de contenedor, Podman genera un nombre aleatorio único. En el siguiente ejemplo, se asigna un nombre al contenedor, se inicia un terminal de Bash de forma explícita dentro del contenedor y se ejecuta un comando en él de forma interactiva: nota Tenga en cuenta que la etiqueta latest se supone cuando no se especifica ninguna etiqueta explícitamente. El comando en el siguiente ejemplo se ingresa en una sola línea. [user@host ~]$ podman run -it --name=rhel8 registry.access.redhat.com/ubi8/ ubi /bin/bash [root@c20631116955 /]# cat /etc/os-release NAME="Red Hat Enterprise Linux" 382 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores VERSION="8.2 (Ootpa)" ID="rhel" ID_LIKE="fedora" VERSION_ID="8.2" PLATFORM_ID="platform:el8" PRETTY_NAME="Red Hat Enterprise Linux 8.2 (Ootpa)" ANSI_COLOR="0;31" CPE_NAME="cpe:/o:redhat:enterprise_linux:8.2:GA" HOME_URL="https://www.redhat.com/" BUG_REPORT_URL="https://bugzilla.redhat.com/" REDHAT_BUGZILLA_PRODUCT="Red Hat Enterprise Linux 8" REDHAT_BUGZILLA_PRODUCT_VERSION=8.2 REDHAT_SUPPORT_PRODUCT="Red Hat Enterprise Linux" REDHAT_SUPPORT_PRODUCT_VERSION="8.2" [root@c20631116955 /]# exit exit [user@host ~]$ También puede ejecutar un comando rápido en un contenedor sin interactuar con él y, luego, eliminar el contenedor una vez que se haya completado el comando. Para ello, use podman run --rm seguido de la imagen de contenedor y un comando. [user@host ~]$ podman run --rm registry.access.redhat.com/ubi8/ubi cat /etc/osrelease NAME="Red Hat Enterprise Linux" VERSION="8.2 (Ootpa)" ID="rhel" ID_LIKE="fedora" VERSION_ID="8.2" PLATFORM_ID="platform:el8" PRETTY_NAME="Red Hat Enterprise Linux 8.2 (Ootpa)" ANSI_COLOR="0;31" CPE_NAME="cpe:/o:redhat:enterprise_linux:8.2:GA" HOME_URL="https://www.redhat.com/" BUG_REPORT_URL="https://bugzilla.redhat.com/" REDHAT_BUGZILLA_PRODUCT="Red Hat Enterprise Linux 8" REDHAT_BUGZILLA_PRODUCT_VERSION=8.2 REDHAT_SUPPORT_PRODUCT="Red Hat Enterprise Linux" REDHAT_SUPPORT_PRODUCT_VERSION="8.2" [user@host ~]$ Análisis del aislamiento de contenedores Los contenedores proporcionan aislamiento del tiempo de ejecución de los recursos. Los contenedores usan espacios de nombres de Linux para proporcionar entornos independientes y aislados para recursos, como procesos, comunicaciones de red y volúmenes. Los procesos que se ejecutan dentro de un contenedor se aíslan de todos los otros procesos en la máquina del host. Vea los procesos que se ejecutan dentro del contenedor: RH134-RHEL8.2-es-1-20200928 383 capítulo 13 | Ejecución de contenedores [user@host ~]$ podman run -it registry.access.redhat.com/ubi7/ubi /bin/bash [root@ef2550ed815d /]# ps aux USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 4.5 0.1 11840 2904 pts/0 Ss 22:10 0:00 /bin/bash root 15 0.0 0.1 51768 3388 pts/0 R+ 22:10 0:00 ps aux Tenga en cuenta que el nombre de usuario y el ID dentro del contenedor son diferentes del nombre de usuario y el ID en la máquina del host: [root@ef2550ed815d /]# id uid=0(root) gid=0(root) groups=0(root) [root@ef2550ed815d /]# exit exit [user@host ~]$ id uid=1000(user) gid=1000(user) groups=1000(user),10(wheel) Referencias Páginas del manual podman-pull(1), podman-images(1) y podman-run(1). Para obtener más información, consulte el capítulo Comenzar con contenedores en la Guía de creación, ejecución y administración de contenedores de Red Hat Enterprise Linux 8 en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/ html-single/building_running_and_managing_containers/index#starting-withcontainers_building-running-and-managing-containers 384 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Ejercicio Guiado Ejecución de un contenedor básico En este ejercicio, instalará herramientas de contenedores y las probará mediante la ejecución de un contenedor rootless simple. Resultados Deberá ser capaz de instalar herramientas de administración de contenedores y usarlas para ejecutar un contenedor. Andes De Comenzar En la máquina workstation, inicie sesión con el usuario student con la contraseña student. En la máquina workstation, ejecute el comando lab containers-basic start. Este comando ejecuta un script de inicio para determinar si la máquina servera es accesible en la red. Además, verifica y configura el registro de contenedores y garantiza que la imagen de contenedor usada para este ejercicio esté almacenada allí. [student@workstation ~]$ lab containers-basic start Instrucciones 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Instale el módulo de Yum container-tools con el comando yum. [student@servera ~]$ sudo yum module install container-tools [sudo] password for student: student ...output omitted... Is this ok [y/N]: y ...output omitted... Complete! 3. Inicie sesión en el registro de contenedores con el comando podman login. RH134-RHEL8.2-es-1-20200928 385 capítulo 13 | Ejecución de contenedores [student@servera ~]$ podman login registry.lab.example.com Username: admin Password: redhat321 Login Succeeded! 4. Extraiga una imagen de contenedor del registro con el nombre completamente calificado con el comando podman pull. [student@servera ~]$ podman pull registry.lab.example.com/rhel8/httpd-24:latest Trying to pull registry.lab.example.com/rhel8/httpd-24:latest... Getting image source signatures Copying blob 77c58f19bd6e done Copying blob 47db82df7f3f done Copying blob 9d20433efa0c done Copying blob 71391dc11a78 done Copying config 7e93f25a94 done Writing manifest to image destination Storing signatures 7e93f25a946892c9c175b74a0915c96469e3b4845a6da9f214fd3ec19c3d7070 5. Ejecute un contenedor a partir la imagen, conéctelo al terminal, asígnele un nombre y luego, inicie una shell de bash interactiva con el comando podman run. Se supone la etiqueta latest, ya que no se especifica ninguna etiqueta: El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [student@servera ~]$ podman run --name myweb -it registry.lab.example.com/rhel8/ httpd-24 /bin/bash bash-4.4$ 6. Enumere los procesos en ejecución dentro del contenedor. Solo verá aquellos procesos que se ejecutan en el contenedor. No verá ningún otro proceso que se esté ejecutando en el servidor. bash-4.4$ ps aux USER PID %CPU %MEM default 1 6.6 0.1 default 6 0.0 0.1 7. VSZ 12020 44596 RSS TTY 3120 pts/0 3296 pts/0 STAT START Ss 21:52 R+ 21:52 TIME COMMAND 0:00 /bin/bash 0:00 ps aux Visualice el nombre de usuario y el ID actuales dentro del contenedor. bash-4.4$ id uid=1001(default) gid=0(root) groups=0(root) 8. Salga de la shell del contenedor. bash-4.4$ exit exit 386 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores 9. Ejecute el comando httpd -v en un contenedor, con la imagen de contenedor rhel8/ httpd-24 y elimine el contenedor cuando salga el comando: El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [student@servera ~]$ podman run --rm registry.lab.example.com/rhel8/httpd-24 httpd -v Server version: Apache/2.4.37 (Red Hat Enterprise Linux) Server built: Dec 2 2019 14:15:24 10. Salga de servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En la máquina workstation, ejecute el script lab containers-basic finish para terminar este ejercicio. [student@workstation ~]$ lab containers-basic finish Esto concluye el ejercicio guiado. RH134-RHEL8.2-es-1-20200928 387 capítulo 13 | Ejecución de contenedores Búsqueda y administración de imágenes de contenedores Objetivos Tras completar esta sección, deberá ser capaz de buscar, recuperar, inspeccionar y administrar imágenes de contenedores obtenidas de un registro de contenedores remoto y almacenadas en su servidor. Configuración de registros de contenedores Podman usa un archivo registries.conf en su sistema host para obtener información acerca de los registros de contenedores que puede usar. [user@host ~]$ cat /etc/containers/registries.conf # This is a system-wide configuration file used to # keep track of registries for various container backends. # It adheres to TOML format and does not support recursive # lists of registries. # The default location for this configuration file is /etc/containers/ registries.conf. # The only valid categories are: 'registries.search', 'registries.insecure', # and 'registries.block'. [registries.search] registries = ['registry.redhat.io', 'quay.io', 'docker.io'] # If you need to access insecure registries, add the registry's fully-qualified name. # An insecure registry is one that does not have a valid SSL certificate or only does HTTP. [registries.insecure] registries = [] # If you need to block pull access from a registry, uncomment the section below # and add the registries fully-qualified name. # [registries.block] registries = [] Importante Para un usuario normal (rootless) de Podman, este archivo se almacena en el directorio $HOME/.config/containers. Los valores de configuración en este archivo reemplazan la configuración de todo el sistema en el archivo /etc/ containers/registries.conf. 388 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores La lista de registros en los que Podman puede buscar se configura en la sección [registries.search] de este archivo. Si no especifica una imagen completamente calificada en la línea de comandos, Podman buscará en esta sección en el orden detallado para determinar cómo formar una ruta de imagen completa. El comando podman info muestra la información de configuración para Podman, incluidos sus registros configurados. [user@host ~]$ podman info ...output omitted... insecure registries: registries: [] registries: registries: - registry.redhat.io - quay.io - docker.io ...output omitted... Seguridad de registros Los registros no seguros se enumeran en la sección [registries.insecure] del archivo registries.conf. Si un registro se detalla como no seguro, las conexiones a ese registro no están protegidas con cifrado TLS. Si un registro admite búsqueda y no es seguro, puede mostrarse en [registries.search] y en [registries.insecure]. Los registros de contenedores también se pueden configurar para requerir autenticación. Como se analizó anteriormente, usa el comando podman login para iniciar sesión en un registro de contenedores que requiere autenticación. Búsqueda de imágenes de contenedores Use el comando podman search para buscar registros de contenedores para una imagen de contenedor específica. En el siguiente ejemplo, se muestra cómo buscar en el registro de contenedores registry.redhat.io todas las imágenes que incluyen el nombre rhel8: [user@host ~]$ podman search registry.redhat.io/rhel8 INDEX NAME DESCRIPTION STARS OFFICIAL AUTOMATED redhat.io registry.redhat.io/openj9/openj9-8-rhel8 OpenJ9 1.8 OpenShift S2I image for Java Appl... 0 redhat.io registry.redhat.io/openjdk/openjdk-8-rhel8 OpenJDK 1.8 Image for Java Applications base... 0 redhat.io registry.redhat.io/openj9/openj9-11-rhel8 OpenJ9 11 OpenShift S2I image for Java Appli... 0 redhat.io registry.redhat.io/openjdk/openjdk-11-rhel8 OpenJDK S2I image for Java Applications on U... 0 redhat.io registry.redhat.io/rhel8/memcached Free and open source, high-performance, dist... 0 redhat.io registry.redhat.io/rhel8/llvm-toolset The LLVM back-end compiler and core librarie... 0 RH134-RHEL8.2-es-1-20200928 389 capítulo 13 | Ejecución de contenedores redhat.io registry.redhat.io/rhel8/rust-toolset a build system and ... 0 redhat.io registry.redhat.io/rhel8/go-toolset will replace the curre... 0 ...output omitted... Rust and Cargo, which is Golang compiler which Ejecute el mismo comando con la opción --no-trunc para ver descripciones de imágenes más largas: [user@host ~]$ podman search --no-trunc registry.access.redhat.com/rhel8 INDEX NAME DESCRIPTION STARS OFFICIAL AUTOMATED ...output omitted... redhat.io registry.redhat.io/rhel8/nodejs-10 Node.js 10 available as container is a base platform for building and running various Node.js 10 applications and frameworks. Node.js is a platform built on Chrome's JavaScript runtime for easily building fast, scalable network applications. Node.js uses an event-driven, non-blocking I/O model that makes it lightweight and efficient, perfect for data-intensive real-time applications that run across distributed devices. 0 redhat.io registry.redhat.io/rhel8/python-36 Python 3.6 available as container is a base platform for building and running various Python 3.6 applications and frameworks. Python is an easy to learn, powerful programming language. It has efficient high-level data structures and a simple but effective approach to object-oriented programming. 0 redhat.io registry.redhat.io/rhel8/perl-526 Perl 5.26 available as container is a base platform for building and running various Perl 5.26 applications and frameworks. Perl is a high-level programming language with roots in C, sed, awk and shell scripting. Perl is good at handling processes and files, and is especially good at handling text. 0 ...output omitted... En la siguiente tabla, se muestran algunas otras opciones útiles para el comando podman search: Opciones de búsqueda de Podman útiles Opción Descripción --limit <number> Limita el número de imágenes enumeradas por registro. 390 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Opción Descripción --filter <filter=value> Filtra la salida en función de las condiciones proporcionadas. Estos son los filtros soportados: • stars=<number>: mostrar solo imágenes con al menos esta cantidad de estrellas. • is-automated=<true|false>: mostrar solo las imágenes creadas automáticamente. • is-official=<true|false>: mostrar solo las imágenes marcadas como oficiales. --tls-verify <true|false> Habilita o deshabilita la validación de certificados HTTPS para todos los registros usados. Valor predeterminado=true Uso de Red Hat Container Catalog Red Hat mantiene repositorios que contienen imágenes de contenedores certificadas. Puede acceder a una interfaz web para buscarlos en https://access.redhat.com/containers. El uso de este repositorio proporciona a los clientes una capa de protección y confiabilidad contra vulnerabilidades conocidas que podrían generarse por imágenes no sometidas a pruebas. El comando estándar podman es compatible con los repositorios a los que hace referencia Red Hat Container Catalog. Inspección de imágenes de contenedores Puede ver información acerca de una imagen antes de descargarla en su sistema. El comando skopeo inspect puede inspeccionar una imagen de contenedor remota en un registro y mostrar información sobre ella. En el siguiente ejemplo, se inspecciona una imagen de contenedor y se devuelve información de la imagen sin extraer la imagen al sistema local: nota El comando skopeo inspect puede inspeccionar diferentes formatos de imagen de diferentes fuentes, como registros remotos o directorios locales. El mecanismo de transporte docker:// le indica a skopeo que consulte un registro de imágenes de contenedores. [user@host ~]$ skopeo inspect docker://registry.redhat.io/rhel8/python-36 ...output omitted... "name": "ubi8/python-36", "release": "107", "summary": "Platform for building and running Python 3.6 applications", ...output omitted... RH134-RHEL8.2-es-1-20200928 391 capítulo 13 | Ejecución de contenedores También puede inspeccionar información de imágenes almacenadas localmente mediante el comando podman inspect. Es posible que este comando proporcione más información que el comando skopeo inspect. Enumerar imágenes almacenadas localmente: [user@host ~]$ podman images REPOSITORY quay.io/generic/rhel7 registry.redhat.io/rhel8/python-36 registry.redhat.io/ubi8/ubi TAG latest latest latest IMAGE ID 1d3b6b7d01e4 e55cd9a2e0ca a1f8c9699786 CREATED 3 weeks ago 6 weeks ago 6 weeks ago SIZE 688 MB 811 MB 211 MB Inspeccionar una imagen almacenada localmente y devolver información: [user@host ~]$ podman inspect registry.redhat.io/rhel8/python-36 ...output omitted... "Config": { "User": "1001", "ExposedPorts": { "8080/tcp": {} ...output omitted... "name": "ubi8/python-36", "release": "107", "summary": "Platform for building and running Python 3.6 applications", ...output omitted... Eliminación de imágenes de contenedores locales Las imágenes de contenedores son inmutables; no cambian. Esto significa que las imágenes antiguas no se actualizan, de modo que la actualización del software en un contenedor requiere una nueva imagen que reemplace la anterior. Cuando una imagen actualizada está disponible, el publicador cambia la etiqueta latest para asociarla con la nueva imagen. Aún puede acceder a una imagen anterior si hace referencia a su etiqueta de versión específica y puede ejecutar contenedores a partir de ella. También puede eliminar la imagen anterior, extraer la imagen más reciente y usar solo la imagen más reciente (actualizada) para ejecutar contenedores. Por ejemplo, las imágenes proporcionadas por Red Hat se benefician de la larga experiencia de Red Hat en la administración de vulnerabilidades de seguridad y defectos en Red Hat Enterprise Linux y otros productos. El equipo de seguridad de Red Hat refuerza y controla estas imágenes de alta calidad. Se reconstruyen cuando se descubren nuevas vulnerabilidades y pasan por un proceso de control de calidad. Para eliminar una imagen almacenada localmente, use el comando podman rmi. Enumerar imágenes almacenadas localmente: [user@host ~]$ podman images REPOSITORY quay.io/generic/rhel7 registry.redhat.io/rhel8/python-36 registry.redhat.io/ubi8/ubi 392 TAG latest latest latest IMAGE ID 1d3b6b7d01e4 e55cd9a2e0ca a1f8c9699786 CREATED 3 weeks ago 6 weeks ago 6 weeks ago SIZE 688 MB 811 MB 211 MB RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Elimine la imagen registry.redhat.io/rhel8/python-36:latest. [user@host ~]$ podman rmi registry.redhat.io/rhel8/python-36:latest e55cd9a2e0ca5f0f4e0249404d1abe3a69d4c6ffa5103d0512dd4263374063ad [user@host ~]$ Enumerar las imágenes almacenadas localmente y verificar que se hayan eliminado: [user@host ~]$ podman images REPOSITORY quay.io/generic/rhel7 registry.redhat.io/ubi8/ubi TAG latest latest IMAGE ID 1d3b6b7d01e4 a1f8c9699786 CREATED 3 weeks ago 6 weeks ago SIZE 688 MB 211 MB Referencias Páginas del manual podman-search(1), podman-inspect(1) y skopeo(1). Para obtener más información, consulte el capítulo Trabajo con imágenes de contenedores en la Guía de creación, ejecución y administración de contenedores de Red Hat Enterprise Linux 8 en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htmlsingle/building_running_and_managing_containers/index#working-with-containerimages_building-running-and-managing-containers RH134-RHEL8.2-es-1-20200928 393 capítulo 13 | Ejecución de contenedores Ejercicio Guiado Búsqueda y administración de imágenes de contenedores En este ejercicio, usará podman para recuperar, administrar y eliminar imágenes de contenedores en su servidor. Resultados Deberá ser capaz de buscar, recuperar, inspeccionar y eliminar imágenes de contenedores obtenidas de un registro de contenedores remoto y almacenadas en su servidor. Andes De Comenzar En la máquina workstation, ejecute el comando lab containers-managing start. Este comando ejecuta un script de inicio para determinar si la máquina servera es accesible en la red. Además, verifica y configura el registro de contenedores y garantiza que la imagen de contenedor usada para este ejercicio esté almacenada allí. [student@workstation ~]$ lab containers-managing start Instrucciones 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Muestre el archivo de configuración del registro de contenedores y visualice los registros configurados. [student@servera ~]$ cat /home/student/.config/containers/registries.conf unqualified-search-registries = ['registry.lab.example.com'] [[registry]] location = "registry.lab.example.com" insecure = true blocked = false 3. 394 Busque en el registro imágenes con un nombre que comience con "ubi" mediante el comando podman search. RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores [student@servera ~]$ podman search registry.lab.example.com/ubi INDEX NAME DESCRIPTION STARS example.com registry.lab.example.com/ubi7/ubi 0 example.com registry.lab.example.com/ubi8/ubi 0 OFFICIAL 4. Inicie sesión en el registro de contenedores con el comando podman login. [student@servera ~]$ podman login registry.lab.example.com Username: admin Password: redhat321 Login Succeeded! 5. Use el comando skopeo inspect para ver información sobre una imagen en el registro antes de descargarla. El siguiente comando skopeo inspect es muy extenso y debe ingresarse como una sola línea. [student@servera ~]$ skopeo inspect docker://registry.lab.example.com/rhel8/ httpd-24 ...output omitted... "Config": { "User": "1001", "ExposedPorts": { "8080/tcp": {}, "8443/tcp": {} }, "Env": [ "PATH=/opt/app-root/src/bin:/opt/app-root/bin:/usr/local/sbin:/ usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin", "container=oci", "SUMMARY=Platform for running Apache httpd 2.4 or building httpdbased application", "DESCRIPTION=Apache httpd 2.4 available as container, is a powerful, efficient, and extensible web server. Apache supports a variety of features, many implemented as compiled modules which extend the core functionality. These can range from server-side programming language support to authentication schemes. Virtual hosting allows one Apache installation to serve many different Web sites.", "STI_SCRIPTS_URL=image:///usr/libexec/s2i", "STI_SCRIPTS_PATH=/usr/libexec/s2i", "APP_ROOT=/opt/app-root", "HOME=/opt/app-root/src", "PLATFORM=el8", "HTTPD_VERSION=2.4", "HTTPD_CONTAINER_SCRIPTS_PATH=/usr/share/container-scripts/ httpd/", "HTTPD_APP_ROOT=/opt/app-root", "HTTPD_CONFIGURATION_PATH=/opt/app-root/etc/httpd.d", "HTTPD_MAIN_CONF_PATH=/etc/httpd/conf", "HTTPD_MAIN_CONF_MODULES_D_PATH=/etc/httpd/conf.modules.d", "HTTPD_MAIN_CONF_D_PATH=/etc/httpd/conf.d", RH134-RHEL8.2-es-1-20200928 395 capítulo 13 | Ejecución de contenedores "HTTPD_TLS_CERT_PATH=/etc/httpd/tls", "HTTPD_VAR_RUN=/var/run/httpd", "HTTPD_DATA_PATH=/var/www", "HTTPD_DATA_ORIG_PATH=/var/www", "HTTPD_LOG_PATH=/var/log/httpd" ], "Entrypoint": [ "container-entrypoint" ], "Cmd": [ "/usr/bin/run-httpd" ], "WorkingDir": "/opt/app-root/src", ...output omitted... 6. Extraiga una imagen de contenedor del registro con el comando podman pull. [student@servera ~]$ podman pull registry.lab.example.com/rhel8/httpd-24 Trying to pull registry.lab.example.com/rhel8/httpd-24... Getting image source signatures Copying blob 77c58f19bd6e done Copying blob 47db82df7f3f done Copying blob 9d20433efa0c done Copying blob 71391dc11a78 done Copying config 7e93f25a94 done Writing manifest to image destination Storing signatures 7e93f25a946892c9c175b74a0915c96469e3b4845a6da9f214fd3ec19c3d7070 7. Use el comando podman images para ver imágenes almacenadas localmente. [student@servera ~]$ podman images REPOSITORY TAG registry.lab.example.com/rhel8/httpd-24 latest IMAGE ID 7e93f25a9468 CREATED 4 weeks ago SIZE 430 MB 8. Use el comando podman inspect para ver información acerca de una imagen almacenada localmente. [student@servera ~]$ podman inspect registry.lab.example.com/rhel8/httpd-24 ...output omitted... "Config": { "User": "1001", "ExposedPorts": { "8080/tcp": {}, "8443/tcp": {} }, "Env": [ "PATH=/opt/app-root/src/bin:/opt/app-root/bin:/usr/local/sbin:/ usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin", "container=oci", "SUMMARY=Platform for running Apache httpd 2.4 or building httpdbased application", 396 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores "DESCRIPTION=Apache httpd 2.4 available as container, is a powerful, efficient, and extensible web server. Apache supports a variety of features, many implemented as compiled modules which extend the core functionality. These can range from server-side programming language support to authentication schemes. Virtual hosting allows one Apache installation to serve many different Web sites.", "STI_SCRIPTS_URL=image:///usr/libexec/s2i", "STI_SCRIPTS_PATH=/usr/libexec/s2i", "APP_ROOT=/opt/app-root", "HOME=/opt/app-root/src", "PLATFORM=el8", "HTTPD_VERSION=2.4", "HTTPD_CONTAINER_SCRIPTS_PATH=/usr/share/container-scripts/ httpd/", "HTTPD_APP_ROOT=/opt/app-root", "HTTPD_CONFIGURATION_PATH=/opt/app-root/etc/httpd.d", "HTTPD_MAIN_CONF_PATH=/etc/httpd/conf", "HTTPD_MAIN_CONF_MODULES_D_PATH=/etc/httpd/conf.modules.d", "HTTPD_MAIN_CONF_D_PATH=/etc/httpd/conf.d", "HTTPD_TLS_CERT_PATH=/etc/httpd/tls", "HTTPD_VAR_RUN=/var/run/httpd", "HTTPD_DATA_PATH=/var/www", "HTTPD_DATA_ORIG_PATH=/var/www", "HTTPD_LOG_PATH=/var/log/httpd" ], "Entrypoint": [ "container-entrypoint" ], "Cmd": [ "/usr/bin/run-httpd" ], "WorkingDir": "/opt/app-root/src", ...output omitted... 9. Elimine una imagen almacenada localmente con el comando podman rmi. [student@servera ~]$ podman rmi registry.lab.example.com/rhel8/httpd-24 Untagged: registry.lab.example.com/rhel8/httpd-24:latest Deleted: 7e93...7070 10. Ejecute el comando podman images para verificar que se elimine la imagen almacenada localmente. [student@servera ~]$ podman images REPOSITORY TAG IMAGE ID CREATED SIZE 11. Salga de servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ RH134-RHEL8.2-es-1-20200928 397 capítulo 13 | Ejecución de contenedores Finalizar En la máquina workstation, ejecute el script lab containers-managing finish para terminar este ejercicio. [student@workstation ~]$ lab containers-managing finish Esto concluye el ejercicio guiado. 398 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Realización de una administración avanzada de contenedores Objetivos Tras completar esta sección, deberá ser capaz de ejecutar contenedores con opciones avanzadas, enumerar los contenedores que se ejecutan en el sistema e iniciar, detener y finalizar contenedores. Administración de contenedores con Podman Puede usar Podman para ejecutar contenedores con opciones de configuración más avanzadas y administrar contenedores en ejecución o detenidos. En esta sección, aprenderá a usar Podman para administrar contenedores durante su ciclo de vida. Configuración de contenedores Usó el comando podman run para iniciar contenedores a partir de imágenes de contenedores en otro ejercicio. Cuando ejecuta un contenedor, inicia un proceso dentro del nuevo contenedor. El proceso podría ser una aplicación, como un servidor web o de base de datos. Es posible que esta aplicación necesite comunicarse con otros sistemas a través de la red y, por lo tanto, puede necesitar configuración. Para proporcionar acceso de red al contenedor, los clientes deben conectarse a los puertos en el host de contenedores que pasan el tráfico de red a través de los puertos en el contenedor. Para configurar el contenedor, a menudo puede pasar al contenedor algunas variables de entorno con parámetros personalizados en lugar de modificar la imagen de contenedor. Mapeo de puertos de hosts de contenedores al contenedor Cuando mapea un puerto de red en el host de contenedores a un puerto en el contenedor, el contenedor recibe el tráfico de red enviado al puerto de red del host. Por ejemplo, puede mapear el puerto 8000 en el host del contenedor al puerto 8080 en el contenedor. Es posible que el contenedor esté ejecutando un proceso httpd que escucha en el puerto 8080. Por lo tanto, el tráfico enviado al puerto del host de contenedores 8000 sería recibido por el servidor web que se ejecuta en el contenedor. Configure un mapeo de puertos con podman run mediante el uso de la opción -p. Toma dos números de puerto separados por dos puntos, el puerto en el host de contenedores, seguido por el puerto en el contenedor. En el siguiente ejemplo, se usa la opción -d para ejecutar el contenedor en modo independiente (como un daemon). Cuando se usa la opción -d, podman devuelve solo el ID de contenedor a la pantalla. La opción -p 8000:8080 mapea el puerto 8000 en el host de contenedores al puerto 8080 en el contenedor. La imagen de contenedor registry.redhat.io/rhel8/httpd-24 ejecuta un servidor HTTP Apache que escucha las conexiones en el puerto 8080. [user@host ~]$ podman run -d -p 8000:8080 registry.redhat.io/rhel8/httpd-24 4a24ee199b909cc7900f2cd73c07e6fce9bd3f53b14e6757e91368c561a8edf4 [user@host ~]$ RH134-RHEL8.2-es-1-20200928 399 capítulo 13 | Ejecución de contenedores Puede usar el comando podman port con un nombre o ID de contenedor para enumerar sus mapeos de puertos, o la opción -a para enumerar todos los mapeos de puertos en uso. En el siguiente ejemplo, se enumeran todos los mapeos de puertos definidos en el host de contenedores, y, en la salida, se muestra que el puerto 8000 en el host de contenedores se mapea al puerto 8080/tcp en el contenedor que tiene el ID que comienza con 4a24ee199b90. [user@host ~]$ podman port -a 4a24ee199b90 8080/tcp -> 0.0.0.0:8000 También debe asegurarse de que el firewall en su host de contenedores permita que los clientes externos se conecten a su puerto mapeado. En el ejemplo anterior, es posible que también deba agregar el puerto 8000/tcp a las reglas de firewall actuales en el host de contenedores: [root@host ~]# firewall-cmd --add-port=8000/tcp success Importante Un contenedor rootless no puede abrir un puerto en el host de contenedores inferior a 1024 (un "puerto privilegiado"). Es decir, -p 80:8080 no funcionará normalmente para un contenedor que sea ejecutado por un usuario que no sea root. Esta es una restricción para los usuarios que no sean root en un sistema Linux. Para mapear un puerto en el host de contenedores inferior a 1024 a un puerto de contenedores, debe ejecutar podman como usuario root o realizar otros ajustes en el sistema. Puede mapear un puerto superior a 1024 en el host de contenedores a un puerto con privilegios en el contenedor, incluso si está ejecutando un contenedor rootless. El mapeo de -p 8080:80 funciona si el contenedor proporciona un servicio que escucha en el puerto 80. Paso de variables de entorno para configurar un contenedor La configuración de un contenedor puede ser compleja porque, por lo general, no se desea modificar la imagen de contenedor para la configuración. Sin embargo, puede pasar variables de entorno al contenedor y el contenedor puede usar los valores de estas variables de entorno para configurar su aplicación. Para obtener información sobre las variables que están disponibles y sus funciones, use el comando podman inspect para inspeccionar la imagen de contenedor. Por ejemplo, esta es una imagen de contenedor de uno de los registros de Red Hat: [user@host ~]$ podman inspect registry.redhat.io/rhel8/mariadb-103:1-102 [ { ...output omitted... "Labels": { ...output omitted... "name": "rhel8/mariadb-103", "release": "102", "summary": "MariaDB 10.3 SQL database server", "url": "https://access.redhat.com/containers/#/registry.access.redhat.com/ rhel8/mariadb-103/images/1-102", 400 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores "usage": "podman run -d -e MYSQL_USER=user -e MYSQL_PASSWORD=pass -e MYSQL_DATABASE=db -p 3306:3306 rhel8/mariadb-103", "vcs-ref": "ab3c3f15b6180b967a312c93e82743e842a4ac7c", "vcs-type": "git", "vendor": "Red Hat, Inc.", "version": "1" }, ...output omitted... La etiqueta url apunta a una página web en Red Hat Container Catalog que documenta las variables de entorno y otra información acerca de cómo usar la imagen de contenedor. La etiqueta usage (uso) proporciona un ejemplo de un comando podman típico para ejecutar la imagen. En la página provista en los documentos de etiquetas url para esta imagen, se muestra que el contenedor usa el puerto 3306 para el servidor de la base de datos y que las siguientes variables de entorno están disponibles para configurar el servicio de base de datos: MYSQL_USER Nombre de usuario para la cuenta MySQL que se creará MYSQL_PASSWORD Contraseña para la cuenta de usuario MYSQL_DATABASE Nombre de la base de datos MYSQL_ROOT_PASSWORD Contraseña para el usuario root (opcional) Use el comando podman run con la opción -e para pasar variables de entorno a un proceso dentro del contenedor. En el siguiente ejemplo, el entorno y las opciones de puerto aplican los parámetros de configuración al contenedor. [user@host ~]$ podman run -d --name container_name -e MYSQL_USER=user_name -e MYSQL_PASSWORD=user_password -e MYSQL_DATABASE=database_name -e MYSQL_ROOT_PASSWORD=mysql_root_password -p 3306:3306 registry.redhat.io/rhel8/mariadb-103:1-102 abcb42ef2ff1b85a50e3cd9bc15877ef823979c8166d0076ce5ebc5ea19c0815 La opción --name asigna un nombre de su elección al contenedor, lo que facilita la identificación de un contenedor específico. Si no asigna un nombre a su contenedor, podman asignará un nombre seleccionado de forma aleatoria. Administración de contenedores Crear e iniciar un contenedor es solo el primer paso del ciclo de vida del contenedor. Este ciclo de vida también incluye detener, reiniciar o eliminar el contenedor. Los usuarios también pueden examinar el estado y los metadatos del contenedor para fines de depuración, actualización o informes. El comando podman ps muestra los contenedores que se están ejecutando: RH134-RHEL8.2-es-1-20200928 401 capítulo 13 | Ejecución de contenedores [user@host ~]$ podman ps CONTAINER ID IMAGE 89dd9b6354ba registry.redhat.io/rhel8/mariadb-103:1-102 COMMAND run-mysqld CREATED 10 minutes ago NAMES my-database STATUS Up 10 seconds PORTS 0.0.0.0:3306->3306/tcp A cada contenedor, cuando se crea, se le asigna un ID de contenedor hexadecimal único. El ID del contenedor no está relacionado con el ID de la imagen. La imagen de contenedor que se usó para iniciar el contenedor. El comando que se ejecutó cuando se inició el contenedor. La fecha y la hora en que se inició. Tiempo de actividad total del contenedor, si aún se está ejecutando, o tiempo desde que se finalizó. Los puertos que expuso el contenedor o los reenvíos de puertos, si se configuraron. Nombre del contenedor. De forma predeterminada, Podman no descarta los contenedores detenidos de inmediato. Podman conserva los sistemas de archivos locales y otros estados para facilitar el análisis post mortem, a menos que reinicie el contenedor. Si inicia un contenedor con la opción --rm con podman run, el contenedor se eliminará automáticamente cuando salga. El comando podman ps -a enumera todos los contenedores, incluidos los detenidos: [user@host ~]$ podman ps -a CONTAINER ID IMAGE 30b743973e98 registry.redhat.io/rhel8/httpd-24:1-105 COMMAND /bin/bash CREATED 17 minutes ago NAMES my-httpd STATUS PORTS Exited (0) 18 minutes ago 80/tcp nota Al crear contenedores, podman se cancela si el nombre del contenedor ya está en uso, incluso si el contenedor está en estado stopped (detenido). Esta protección evita que los nombres de contenedores estén duplicados. El comando podman stop detiene correctamente un contenedor que se está ejecutando. El comando stop envía una señal SIGTERM para finalizar un contenedor en ejecución. Si el contenedor no se detiene después de un período de gracia (10 segundos de manera predeterminada), Podman envía una señal de SIGKILL. [user@host ~]$ podman stop my-httpd-container 77d4b7b8ed1fd57449163bcb0b78d205e70d2314273263ab941c0c371ad56412 Importante Si un contenedor que se detiene usa una imagen de contenedor, la imagen no se puede eliminar con podman rmi ni podman image rm, a menos que incluya la opción -f, que eliminará todos los contenedores que usan la imagen en primer lugar. 402 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores El comando podman rm elimina un contenedor del host. El contenedor debe detenerse, a menos que incluya la opción -f, que también elimina los contenedores en ejecución. El comando podman rm -a elimina todos los contenedores detenidos del host. Se imprimen los ID de contenedor de cualquier contenedor que se elimine. [user@host ~]$ podman rm my-database abcb42ef2ff1b85a50e3cd9bc15877ef823979c8166d0076ce5ebc5ea19c0815 El comando podman restart reinicia un contenedor detenido. El comando crea un nuevo contenedor con el mismo ID de contenedor que el contenedor detenido y vuelve a usar su estado y el sistema de archivos. [user@host ~]$ podman restart my-httpd-container 77d4b7b8ed1fd57449163bcb0b78d205e70d2314273263ab941c0c371ad56412 El comando podman kill envía señales de UNIX al proceso principal del contenedor. Estas son las mismas señales usadas por el comando kill. Esto puede ser útil si el proceso principal en el contenedor puede realizar acciones cuando recibe ciertas señales o para solucionar problemas. Si no se especifica ninguna señal, podman kill envía la señal SIGKILL y finaliza el proceso principal y el contenedor. [user@host ~]$ podman kill my-httpd-container 77d4b7b8ed1fd57449163bcb0b78d205e70d2314273263ab941c0c371ad56412 Especifica la señal con la opción -s: [user@host ~]$ podman kill -s SIGKILL my-httpd-container 77d4b7b8ed1fd57449163bcb0b78d205e70d2314273263ab941c0c371ad56412 Cualquier señal de UNIX puede enviarse al proceso principal. El comando podman kill acepta el número o el nombre de la señal. nota El comando podman stop intenta ejecutar el comando stop para la imagen de contenedor, pero si el comando falla, envía señales SIGTERM y SIGKILL al contenedor. Ejecución de comandos en un contenedor Cuando se inicia un contenedor, ejecuta el comando de punto de entrada (entrypoint) de la imagen de contenedor. Sin embargo, es posible que deba ejecutar otros comandos para administrar el contenedor que se está ejecutando. Por ejemplo, es posible que desee conectar una shell interactiva a un contenedor en ejecución para inspeccionarlo o depurarlo. El comando podman exec inicia un proceso adicional dentro de un contenedor que ya está en ejecución: RH134-RHEL8.2-es-1-20200928 403 capítulo 13 | Ejecución de contenedores [user@host ~]$ podman exec 7ed6e671a600 cat /etc/redhat-release Red Hat Enterprise Linux release 8.2 (Ootpa) [user@host ~]$ En el ejemplo anterior, se usa el ID de contenedor para ejecutar el comando. A menudo, es más fácil usar el nombre del contenedor en su lugar. Si desea conectar una shell interactiva, debe especificar las opciones -i y -t para abrir una sesión interactiva y asignar un pseudoterminal para la shell. [user@host ~]$ podman exec -it my_webserver /bin/bash bash-4.4$ hostname 7ed6e671a600 bash-4.4$ exit [user@host ~]$ Podman recuerda el último contenedor usado en cualquier comando. Puede usar la opción -l para reemplazar el ID o nombre de contenedor anteriores en el comando Podman más reciente. [user@host ~]$ podman exec -l cat /etc/redhat-release Red Hat Enterprise Linux release 8.2 (Ootpa) [user@host ~]$ Referencias Páginas del manual podman-run(1), podman-exec(1), podman-ps(1), podmanstop(1), podman-restart(1), podman-kill(1), podman-rm(1), podman-rmi(1), podman-images(1) y podman-port(1) Para obtener más información, consulte el capítulo Trabajo con contenedores en la Guía de creación, ejecución y administración de contenedores de Red Hat Enterprise Linux 8 en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/ html-single/building_running_and_managing_containers/index#working-withcontainers_building-running-and-managing-containers 404 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Ejercicio Guiado Realización de una administración avanzada de contenedores En este ejercicio, usará podman para administrar contenedores que se ejecutan en su servidor. Resultados Deberá ser capaz de crear y administrar contenedores. Andes De Comenzar En la máquina workstation, ejecute el comando lab containers-advanced start. Este comando ejecuta un script de inicio para determinar si la máquina servera es accesible en la red. Además, instala el cliente MariaDB en servera, verifica y configura el registro de contenedores y garantiza que las imágenes de contenedores usadas para este ejercicio estén almacenada allí. [student@workstation ~]$ lab containers-advanced start Instrucciones 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Inicie sesión en el registro de contenedores con el comando podman login. [student@servera ~]$ podman login registry.lab.example.com Username: admin Password: redhat321 Login Succeeded! 3. Cree un contenedor de base de datos MariaDB independiente según la especificación en los siguientes subpasos con el comando podman run. Confirme que el contenedor se esté ejecutando y publica los puertos correctos. nota Si inicia un contenedor con podman run y aún no ha extraído la imagen de contenedor especificada de registry.lab.example.com, el comando enviará automáticamente la imagen solicitada del registro. RH134-RHEL8.2-es-1-20200928 405 capítulo 13 | Ejecución de contenedores 3.1. Cree un contenedor independiente denominado mydb que use la imagen de contenedor registry.lab.example.com/rhel8/mariadb-103:1-102. Su comando debe publicar el puerto 3306 en el contenedor en el mismo número de puerto en el host. También debe declarar los siguientes valores de variables para configurar el contenedor con el usuario de la base de datos user1 (contraseña redhat), establecer la contraseña de root en redhat y crear los items de la base de datos. Variable Valor MYSQL_USER usuario1 MYSQL_PASSWORD redhat MYSQL_DATABASE items MYSQL_ROOT_PASSWORD redhat El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. Para su conveniencia, puede copiar y pegar el siguiente comando desde el archivo /tmp/containers-advanced/create-mydb.txt. [student@servera ~]$ podman run -d --name mydb -e MYSQL_USER=user1 -e MYSQL_PASSWORD=redhat -e MYSQL_DATABASE=items -e MYSQL_ROOT_PASSWORD=redhat -p 3306:3306 registry.lab.example.com/rhel8/mariadb-103:1-102 Trying to pull registry.lab.example.com/rhel8/mariadb-103:1-102... Getting image source signatures Copying blob 71391dc11a78 done Copying blob 77c58f19bd6e done Copying blob 67b9f0b530d9 done Copying blob 47db82df7f3f done Copying config 11a47e0fbe done Writing manifest to image destination Storing signatures abcb42ef2ff1b85a50e3cd9bc15877ef823979c8166d0076ce5ebc5ea19c0815 [student@servera ~]$ 3.2. Confirme que el contenedor se esté ejecutando y publica los puertos correctos con el comando podman ps. [student@servera ~]$ podman ps CONTAINER ID IMAGE abcb42ef2ff1 registry.lab.example.com/rhel8/mariadb-103:1-102 CREATED STATUS PORTS bout a minute ago Up About a minute ago 0.0.0.0:3306->3306/tcp COMMAND run-mysqld NAMES mydb 4. Conéctese a la base de datos MariaDB en su contenedor mydb mediante el comando mysql. Confirme que existe la base de datos items y, luego, salga de MariaDB y detenga el contenedor mydb. 4.1. 406 Conéctese a MariaDB con el usuario user1 con redhat como contraseña. Especifique el puerto 3306 y la dirección IP de localhost, que es su host de contenedores (127.0.0.1). RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores [student@servera ~]$ mysql -u user1 -p --port=3306 --host=127.0.0.1 Enter password: redhat Welcome to the MariaDB monitor. Commands end with ; or \g. Your MariaDB connection id is 8 Server version: 10.3.17-MariaDB MariaDB Server Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MariaDB [(none)]> 4.2. Confirme que existe la base de datos items y, luego, salga de MariaDB. MariaDB [(none)]> show databases; +--------------------+ | Database | +--------------------+ | information_schema | | items | | test | +--------------------+ 3 rows in set (0.001 sec) MariaDB [(none)]> exit Bye [student@servera ~]$ 4.3. Detenga el contenedor mydb: Su ID de contenedor será diferente del siguiente: [student@servera ~]$ podman stop mydb abcb42ef2ff1b85a50e3cd9bc15877ef823979c8166d0076ce5ebc5ea19c0815 5. Cree un contenedor que ejecute un servidor HTTP Apache que también inicie una shell de Bash interactiva en el contenedor. Ejecute un comando mediante la shell del contenedor y, luego, salga del contenedor y verifique que este ya no se esté ejecutando. 5.1. Cree un contenedor denominado myweb que ejecute un servidor HTTP Apache 2.4 que también inicie una shell interactiva en el contenedor. Use la imagen de contenedor registry.lab.example.com/rhel8/httpd-24:1-105. El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [student@servera ~]$ podman run --name myweb -it registry.lab.example.com/rhel8/ httpd-24:1-105 /bin/bash ...output omitted... bash-4.4$ 5.2. En el prompt de la shell interactiva en el contenedor, ejecute el comando cat/etc/ redhat-release para mostrar el contenido del archivo /etc/redhat-release en el contenedor. Salga del contenedor. RH134-RHEL8.2-es-1-20200928 407 capítulo 13 | Ejecución de contenedores bash-4.4$ cat /etc/redhat-release Red Hat Enterprise Linux release 8.2 (Ootpa) bash-4.4$ exit exit [student@servera ~]$ 5.3. Verifique que el contenedor myweb ya no se esté ejecutando. [student@servera ~]$ podman ps -a CONTAINER ID IMAGE 6d95bd8559de registry.lab.example.com/rhel8/httpd-24:1-105 abcb42ef2ff1 registry.lab.example.com/rhel8/mariadb-103:1-102 CREATED About a minute ago 9 minutes ago STATUS Exited (0) 25 seconds ago Exited (0) 3 minutes ago COMMAND /bin/bash run-mysqld PORTS 0.0.0.0:3306->3306/tcp NAMES myweb mydb 6. Cree un contenedor de servidor web HTTPD independiente denominado mysecondweb. Conéctese al contenedor con su nombre y, luego, muestre el nombre y la versión del kernel. Conéctese al contenedor por segunda vez, pero use la opción (-l) para recordar el ID del contenedor del comando anterior y mostrar el promedio de carga del sistema. Deje el contenedor en ejecución. 6.1. Cree un contenedor independiente con el nombre mysecondweb. Su salida será diferente del ejemplo de este ejercicio. [student@servera ~]$ podman run --name mysecondweb -d registry.lab.example.com/ rhel8/httpd-24:1-105 9e8f14e74fd4d82d95a765b8aaaeb1e93b9fe63c54c2cc805509017315460028 6.2. Conéctese al contenedor mysecondweb para mostrar el nombre de Linux y la versión del kernel con el comando podman exec. [student@servera ~]$ podman exec mysecondweb uname -sr Linux 4.18.0-193.el8.x86_64 6.3. Ejecute el comando podman exec nuevamente, esta vez con la opción (-l) a fin de usar el ID del contenedor del comando anterior para mostrar el promedio de carga del sistema. [student@servera ~]$ podman exec -l uptime 00:14:53 up 2:15, 0 users, load average: 0.08, 0.02, 0.01 6.4. Deje el contenedor mysecondweb en ejecución. 7. Cree un contenedor con el nombre myquickweb que enumere el contenido del archivo / etc/redhat-release y, luego, salga y elimine automáticamente el contenedor. Confirme que el contenedor se haya eliminado. 7.1. 408 Cree el contenedor. RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [student@servera ~]$ podman run --name myquickweb --rm registry.lab.example.com/ rhel8/httpd-24:1-105 cat /etc/redhat-release Red Hat Enterprise Linux release 8.2 (Ootpa) 7.2. Use el comando podman ps -a para confirmar que se haya eliminado el contenedor myquickweb. El contenedor myquickweb no debería mostrarse en la salida del comando podman ps -a. [student@servera ~]$ podman ps -a | grep myquickweb [student@servera ~]$ 8. Realizar operaciones masivas en contenedores existentes con el comando podman: • Muestre todos los contenedores en ejecución o detenidos. • Asegúrese de que se hayan detenido todos los contenedores existentes. • Elimine todos los contenedores. • Verifique que se hayan eliminado todos los contenedores. 8.1. Muestre todos los contenedores en ejecución o detenidos. Su salida puede variar. [student@servera ~]$ podman ps -a CONTAINER ID IMAGE 9e8f14e74fd4 registry.lab.example.com/rhel8/httpd-24:1-105 6d95bd8559de registry.lab.example.com/rhel8/httpd-24:1-105 abcb42ef2ff1 registry.lab.example.com/rhel8/mariadb-103:1-102 CREATED STATUS 5 minutes ago Up 5 minutes ago 18 minutes ago Exited (0) 17 minutes ago 26 minutes ago Exited (0) 19 minutes ago 8.2. COMMAND /usr/bin/run-http /bin/bash run-mysqld PORTS NAMES mysecondweb myweb 0.0.0.0:3306->3306/tcp mydb Detenga todos los contenedores. [student@servera ~]$ podman stop -a 6d95bd8559de81486b0876663e72260a8108d83aef5c5d660cb8f133f439c025 abcb42ef2ff1b85a50e3cd9bc15877ef823979c8166d0076ce5ebc5ea19c0815 9e8f14e74fd4d82d95a765b8aaaeb1e93b9fe63c54c2cc805509017315460028 8.3. Elimine todos los contenedores. [student@servera ~]$ podman rm -a 6d95bd8559de81486b0876663e72260a8108d83aef5c5d660cb8f133f439c025 9e8f14e74fd4d82d95a765b8aaaeb1e93b9fe63c54c2cc805509017315460028 abcb42ef2ff1b85a50e3cd9bc15877ef823979c8166d0076ce5ebc5ea19c0815 8.4. Verifique que se hayan eliminado todos los contenedores. RH134-RHEL8.2-es-1-20200928 409 capítulo 13 | Ejecución de contenedores [student@servera ~]$ podman ps -a CONTAINER ID IMAGE COMMAND CREATED [student@servera ~]$ STATUS PORTS NAMES 9. Salga de servera. [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En la máquina workstation, ejecute el script lab containers-advanced finish para terminar este ejercicio. [student@workstation ~]$ lab containers-advanced finish Esto concluye el ejercicio guiado. 410 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Conexión de almacenamiento persistente a un contenedor Objetivos Tras completar esta sección, deberá ser capaz de proporcionar almacenamiento persistente para los datos del contenedor mediante el montaje de un directorio desde el host del contenedor dentro de un contenedor en ejecución. Preparación de las ubicaciones de almacenamiento persistente El almacenamiento en el contenedor es efímero, lo que significa que su contenido se pierde después de eliminar el contenedor. Si debe conservar los datos usados por su contenedor cuando este se reinicie, el almacenamiento efímero no es suficiente. Por ejemplo, su contenedor podría ser un servidor de base de datos, y usted debe conservar la base de datos cuando se reinicia el contenedor. Para soportar aplicaciones contenedorizadas con este requisito, debe proporcionar el contenedor con almacenamiento persistente. Provisión de almacenamiento persistente desde el host de contenedores Una manera fácil de proporcionar un contenedor con almacenamiento persistente es usar un directorio en el host de contenedores para almacenar los datos. Podman puede montar un directorio del host dentro de un contenedor en ejecución. La aplicación contenedorizada ve los directorios del host como parte del almacenamiento del contenedor, al igual que las aplicaciones normales ven el volumen de red remoto como si fuera parte del sistema de archivos del host. Cuando elimina el contenedor, el sistema no recupera el contenido del directorio del host de contenedores. Un contenedor nuevo puede montarlo para acceder a los datos. Por ejemplo, un contenedor de bases de datos puede usar un directorio de host para almacenar archivos de la base de datos. Si este contenedor de bases de datos falla, puede crear un nuevo contenedor con el mismo directorio de host y mantener los datos de la base de datos disponibles para las aplicaciones de clientes. No es importante para el contenedor de base de datos dónde se almacena este directorio de hosts. Puede residir en cualquier lugar, desde una partición de un disco duro local hasta un sistema de archivos remoto en red. Preparación del directorio del host Cuando prepara un directorio de hosts, debe configurarlo para que los procesos dentro del contenedor puedan acceder a él. La configuración del directorio incluye lo siguiente: • Configuración de la propiedad y los permisos del directorio. • Configuración del contexto de SELinux correspondiente. La cuenta de usuario que usa la aplicación dentro del contenedor debe tener acceso al directorio de hosts. Asegúrese de establecer los permisos correctos en el directorio de hosts para que la aplicación pueda acceder a él. RH134-RHEL8.2-es-1-20200928 411 capítulo 13 | Ejecución de contenedores Debe configurar también el directorio de host con el tipo de contexto de SELinux correcto, que es container_file_t. Podman usa el tipo de contexto de SELinux container_file_t para controlar a qué archivos del sistema host puede acceder el contenedor. Si hay un error de seguridad en la capa de contenedores, la protección adicional impide que la aplicación que se ejecuta dentro del contenedor acceda a los archivos de host que se encuentran fuera del directorio compartido. Esta protección es particularmente importante para las aplicaciones que se ejecutan con el usuario root dentro de un contenedor raíz. Sin esta protección adicional de SELinux, estas aplicaciones tendrían acceso root a todos los archivos en el sistema host y podrían comprometer tanto el host como los otros contenedores. Podman puede establecer por usted el contexto de SELinux del directorio de host cuando inicia el contenedor. Montaje de un volumen Después de crear y configurar el directorio del host, el siguiente paso es montar este directorio en un contenedor. Para montar un directorio de host en un contenedor, agregue la opción -volume (o -v) al comando podman run y especifique la ruta del directorio de host y la ruta de almacenamiento del contenedor, separadas por dos puntos: --volume host_dir:container_dir:Z Con la opción Z, Podman aplica automáticamente el tipo de contexto container_file_t SELinux al directorio de host. Por ejemplo, para usar el directorio de host /home/user/dbfiles para los archivos de la base de datos MariaDB como /var/lib/mysql dentro del contenedor, use el siguiente comando. El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [user@host ~]$ podman run -d --name mydb -v /home/user/dbfiles:/var/lib/mysql:Z -e MYSQL_USER=user -e MYSQL_PASSWORD=redhat -e MYSQL_DATABASE=inventory registry.redhat.io/rhel8/mariadb-103:1-102 Referencias Página del manual podman-run(1) Gestión de espacios de nombres de usuario y SELinux en contenedores rootless https://www.redhat.com/sysadmin/user-namespaces-selinux-rootless-containers 412 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Ejercicio Guiado Conexión de almacenamiento persistente a un contenedor En este ejercicio, creará un contenedor que acceda al contenido web en el almacenamiento persistente provisto por el host del contenedor. Resultados Deberá ser capaz de implementar un contenedor con un almacenamiento persistente. Andes De Comenzar En la máquina workstation, inicie sesión con el usuario student con la contraseña student. En la máquina workstation, ejecute el comando lab containers-storage start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También instala las herramientas de contenedor en servera. [student@workstation ~]$ lab containers-storage start Instrucciones 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Cree el directorio /home/student/webcontent/html/ y, luego, cree una página de prueba index.html. Usará este directorio como almacenamiento persistente cuando implemente un contenedor de servidor web. 2.1. Cree el directorio ~/webcontent/html/. [student@servera ~]$ mkdir -p ~/webcontent/html/ [student@servera ~]$ 2.2. Cree el archivo index.html y agregue contenido. [student@servera ~]$ echo "Hello World" > ~/webcontent/html/index.html [student@servera ~]$ RH134-RHEL8.2-es-1-20200928 413 capítulo 13 | Ejecución de contenedores 2.3. Confirme que todos tengan acceso al directorio y al archivo index.html. El contenedor usa un usuario sin privilegios que debe poder leer el archivo index.html. [student@servera ~]$ ls -ld webcontent/html/ drwxrwxr-x. 2 student student 24 Aug 28 04:56 webcontent/html/ [student@servera ~]$ ls -l webcontent/html/index.html -rw-rw-r--. 1 student student 12 Aug 28 04:56 webcontent/html/index.html 3. Cree una instancia del contenedor del servidor HTTP Apache con almacenamiento persistente. 3.1. Inicie sesión en el registro registry.lab.example.com con el usuario admin y redhat321 como contraseña. [student@servera ~]$ podman login registry.lab.example.com Username: admin Password: redhat321 Login Succeeded! 3.2. Cree una instancia del contenedor independiente con el nombre myweb. Redirija el puerto 8080 en el host local al puerto del contenedor 8080. Monte el directorio ~/webcontent desde el host en el directorio /var/www del contenedor. Agregue el sufijo :Z a la opción de montaje de volumen para indicar al comando podman que vuelva a etiquetar el directorio y su contenido. Use la imagen registry.lab.example.com/rhel8/httpd-24:1-98. El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [student@servera ~]$ podman run -d --name myweb -p 8080:8080 -v ~/webcontent:/var/ www:Z registry.lab.example.com/rhel8/httpd-24:1-98 ...output omitted... 3.3. Ejecute el comando podman ps para confirmar que el contenedor se esté ejecutando y, luego, use el comando curl para acceder al contenido web en el puerto 8080. [student@servera ~]$ podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 2f4844b376b7 registry.lab.example.com/rhel8/httpd-24:1-98 /usr/bin/run-http... About a minute ago Up About a minute ago 0.0.0.0:8080->8080/tcp myweb [student@servera ~]$ curl http://localhost:8080/ Hello World 4. En el paso anterior, usó la etiqueta 1-98 para seleccionar una versión específica de la imagen httpd-24. Hay una versión más reciente de esa imagen en el registro del aula. Use el comando skopeo inspect para obtener los detalles de la imagen registry.lab.example.com/rhel8/httpd-24 y recuperar la etiqueta para esa versión. El siguiente comando skopeo inspect es muy extenso y debe ingresarse como una sola línea. 414 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores [student@servera ~]$ skopeo inspect docker://registry.lab.example.com/rhel8/ httpd-24 { "Name": "registry.lab.example.com/rhel8/httpd-24", "Digest": "sha256:bafa...a12a", "RepoTags": [ "1-98", "1-104", "1-105", "latest" ], ...output omitted... En la sección RepoTags, observe que hay una versión más reciente con la etiqueta 1-105. 5. Detenga y elimine el contenedor myweb y, luego, inicie un nuevo contenedor con la etiqueta de imagen 1-105. Confirme que el contenido web en el almacenamiento persistente no ha cambiado. 5.1. Detenga y, luego, elimine el contenedor. [student@servera user]$ podman stop myweb 2f4844b376b78f8f7021fe3a4c077ae52fdc1caa6d877e84106ab783d78e1e1a [student@servera user]$ podman rm myweb 2f4844b376b78f8f7021fe3a4c077ae52fdc1caa6d877e84106ab783d78e1e1a 5.2. Vuelva a ejecutar el comando podman run que usó en un paso anterior para iniciar el contenedor myweb, pero reemplace la etiqueta de imagen 1-98 con 1-105. El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [student@servera ~]$ podman run -d --name myweb -p 8080:8080 -v ~/webcontent:/var/ www:Z registry.lab.example.com/rhel8/httpd-24:1-105 ...output omitted... 5.3. Ejecute el comando podman ps para verificar que el contenedor se esté ejecutando. Use el comando curl para confirmar que se mantengan los datos del volumen persistente, incluso si inició un nuevo contenedor. [student@servera ~]$ podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES a648c286c653 registry.lab.example.com/rhel8/httpd-24:1-105 /usr/bin/run-http... About a minute ago Up About a minute ago 0.0.0.0:8080->8080/tcp myweb [student@servera ~]$ curl http://localhost:8080/ Hello World 5.4. Salga de servera. RH134-RHEL8.2-es-1-20200928 415 capítulo 13 | Ejecución de contenedores [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En la máquina workstation, ejecute el script lab containers-storage finish para terminar este ejercicio. [student@workstation ~]$ lab containers-storage finish Esto concluye el ejercicio guiado. 416 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Administración de contenedores como servicios Objetivos Tras completar esta sección, deberá ser capaz de iniciar, detener y verificar el estado de un contenedor como un servicio systemd. Inicio automático de contenedores con el servidor Cuando implementa servicios, como bases de datos o servidores web como contenedores, normalmente desea que esos contenedores se inicien automáticamente con el servidor. Al crear archivos de unidad de usuario systemd para sus contenedores rootless, puede administrarlos con comandos systemctl, de manera similar a los servicios normales. Al habilitar esos servicios, se asegura de que los contenedores asociados se inicien cuando se inicia la máquina host. Si su contenedor se ejecuta en modo "rootless", puede administrar estos servicios desde una cuenta de usuario sin privilegios para aumentar la seguridad. Para un escalamiento y una orquestación más sofisticados de muchas aplicaciones y servicios basados en contenedores, puede usar una plataforma de orquestación empresarial basada en Kubernetes, como Red Hat OpenShift Container Platform. Ejecución de servicios systemd como usuario normal Además de administrar servicios del sistema, systemd también puede administrar servicios de usuario. Con los servicios de usuario systemd, los usuarios pueden crear archivos de unidad para sus propios servicios y administrar esos servicios con comandos systemctl, sin necesidad de acceso root. Cuando habilita un servicio de usuario con un usuario que no es root, ese servicio se inicia automáticamente cuando abre su primera sesión a través de consolas gráficas o de texto o mediante SSH. El servicio se detiene cuando cierra la última sesión. Este comportamiento difiere de los servicios del sistema, que se inician cuando el sistema se inicia y se detienen cuando el sistema se apaga. Sin embargo, puede cambiar este comportamiento predeterminado y obligar a los servicios habilitados a que se inicien con el servidor y se detengan durante el apagado mediante la ejecución del comando loginctl enable-linger. Para revertir la operación, use el comando loginctl disable-linger. Para ver el estado actual, use el comando loginctl showuser username con su nombre de usuario como parámetro. [user@host ~]$ loginctl enable-linger [user@host ~]$ loginctl show-user user ...output omitted... Linger=yes [user@host ~]$ loginctl disable-linger [user@host ~]$ loginctl show-user user ...output omitted... Linger=no RH134-RHEL8.2-es-1-20200928 417 capítulo 13 | Ejecución de contenedores Creación y administración de servicios de usuario de systemd Para definir los servicios de usuario systemd, cree el directorio ~/.config/systemd/user/ para almacenar sus archivos de unidad. La sintaxis de esos archivos es la misma que la de los archivos de unidad del sistema. Para obtener más detalles, consulte las páginas del manual systemd.unit(5) y systemd.service(5). Para controlar los nuevos servicios de usuario, use el comando systemctl con la opción -user. En el siguiente ejemplo, se enumeran los archivos de unidad en el directorio ~/.config/ systemd/user/, se obliga a systemd a volver a cargar su configuración y, luego, se habilita y se inicia el servicio de usuario myapp. [user@host ~]$ ls ~/.config/systemd/user/ myapp.service [user@host ~]$ systemctl --user daemon-reload [user@host ~]$ systemctl --user enable myapp.service [user@host ~]$ systemctl --user start myapp.service nota Para usar los comandos systemctl --user, debe iniciar sesión en la consola o directamente a través de SSH. Los comandos sudo o su no funcionan. El comando systemctl interactúa con un proceso systemd --user por usuario. El sistema solo inicia ese proceso cuando el usuario inicia sesión por primera vez desde la consola o SSH. En la siguiente tabla, se resumen las diferencias entre los servicios de usuario y del sistema systemd. Comparación de servicios de usuario y del sistema Almacenamiento de archivos de unidad personalizados Servicios del sistema /etc/systemd/system/unit.service Servicios de usuario ~/.config/systemd/user/unit.service Recarga de archivos de unidad Servicios del sistema # systemctl daemon-reload Servicios de usuario $ systemctl --user daemon-reload Inicio y detención de un servicio Servicios del sistema Servicios de usuario 418 # systemctl start UNIT # systemctl stop UNIT $ systemctl --user start UNIT $ systemctl --user stop UNIT RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Inicio de un servicio cuando se inicia la máquina Servicios del sistema Servicios de usuario # systemctl enable UNIT $ loginctl enable-linger $ systemctl --user enable UNIT Administración de contenedores con servicios systemd Si tiene un único host de contenedores que ejecuta una pequeña cantidad de contenedores, puede configurar los archivos de unidad systemd basados en el usuario y configurarlos para que inicien los contenedores automáticamente con el servidor. Este es un enfoque simple, especialmente útil para implementaciones muy básicas y pequeñas que no necesitan escalamiento. En el caso de instalaciones de producción más prácticas, considere la posibilidad de usar Red Hat OpenShift Container Platform, que se analizará brevemente al final de esta sección. Creación de una cuenta de usuario dedicada para ejecutar contenedores Para simplificar la administración de los contenedores rootless, puede crear una cuenta de usuario dedicada que use para todos los contenedores. De esta manera, puede administrarlos desde una sola cuenta de usuario. nota La cuenta que crea para agrupar todos los contenedores debe ser una cuenta de usuario normal. Cuando crea una cuenta con useradd, el comando reserva un rango de ID de usuario para los contenedores del usuario en el archivo /etc/ subuid. Sin embargo, cuando crea una cuenta del sistema con la opción --system (o -r) de useradd, el comando no reserva un rango. Como consecuencia, no puede iniciar contenedores rootless con cuentas del sistema. Creación del archivo de unidad systemd Desde un contenedor existente, el comando podman puede generar el archivo de unidad systemd para usted. En el siguiente ejemplo, se usa el comando podman generate systemd para crear el archivo de unidad para el contenedor web existente: [user@host ~]$ cd ~/.config/systemd/user/ [user@host user]$ podman generate systemd --name web --files --new /home/user/.config/systemd/user/container-web.service El comando podman generate systemd usa un contenedor como modelo para crear el archivo de configuración. Después de que se crea el archivo, debe eliminar el contenedor, ya que systemd espera que el contenedor esté ausente inicialmente. El comando podman generate systemd acepta las siguientes opciones: --name container_name La opción --name especifica el nombre de un contenedor existente para usar como modelo para generar el archivo de unidad. Podman también usa ese nombre para compilar el nombre del archivo de unidad: container-container_name.service. RH134-RHEL8.2-es-1-20200928 419 capítulo 13 | Ejecución de contenedores --files La opción --files le indica a Podman que genere el archivo de unidad en el directorio actual. Sin la opción, Podman muestra el archivo en su salida estándar. --new La opción --new le indica a Podman que configure el servicio systemd para crear el contenedor cuando se inicie el servicio y eliminarlo cuando este se detenga. En este modo, el contenedor es efímero y, por lo general, necesita almacenamiento persistente para conservar los datos. Sin la opción --new, Podman configura el servicio para iniciar y detener el contenedor existente sin eliminarlo. En el siguiente ejemplo, se muestran las directivas start (iniciar) y stop (detener) en el archivo de unidad cuando ejecuta el comando podman generate systemd con la opción --new: [user@host ~]$ podman run -d --name web -v /home/user/www:/var/www:Z registry.redhat.io/rhel8/httpd-24:1-105 [user@host ~]$ podman generate systemd --name web --new ...output omitted... ExecStart=/usr/bin/podman run --conmon-pidfile %t/%n-pid --cidfile %t/%ncid --cgroups=no-conmon -d --name web -v /home/user/webcontent:/var/www:Z registry.redhat.io/rhel8/httpd-24:1-105 ExecStop=/usr/bin/podman stop --ignore --cidfile %t/%n-cid -t 10 ExecStopPost=/usr/bin/podman rm --ignore -f --cidfile %t/%n-cid ...output omitted... En start (iniciar), systemd ejecuta el comando podman run para crear y, luego, iniciar un nuevo contenedor. En stop (detener), systemd ejecuta el comando podman stop para detener el contenedor. Después de que systemd haya detenido el contenedor, systemd lo elimina mediante el comando podman rm. En cambio, en el siguiente ejemplo, se muestran las directivas start (iniciar) y stop (detener) cuando ejecuta el comando podman generate systemd sin la opción --new: [user@host ~]$ podman run -d --name web -v /home/user/www:/var/www:Z registry.redhat.io/rhel8/httpd-24:1-105 [user@host ~]$ podman generate systemd --name web ...output omitted... ExecStart=/usr/bin/podman start web ExecStop=/usr/bin/podman stop -t 10 web ...output omitted... En start (iniciar), systemd ejecuta el comando podman start para iniciar el contenedor existente. En stop (detener), systemd ejecuta el comando podman stop para detener el contenedor. Tenga en cuenta que systemd no elimina el contenedor. Inicio y detención de contenedores con systemd Use el comando systemctl para controlar sus contenedores. • Inicio del contenedor: [user@host ~]$ systemctl --user start container-web 420 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores • Detención del contenedor: [user@host ~]$ systemctl --user stop container-web • Obtención del estado del contenedor: [user@host ~]$ systemctl --user status container-web Importante Los contenedores administrados con el comando systemctl son controlados por systemd. systemd monitorea el estado de los contenedores y los reinicia si fallan. No use el comando podman para iniciar o detener estos contenedores. Si lo hace, puede interferir con el monitoreo de systemd. Configuración de contenedores para que se inicien cuando se inicia la máquina host De forma predeterminada, los servicios de usuario systemd se inician cuando un usuario abre la primera sesión y se detienen cuando el usuario cierra la última sesión. Para que los servicios de usuario se inicien automáticamente con el servidor, ejecute el comando loginctl enablelinger: [user@host ~]$ loginctl enable-linger Para permitir que un contenedor se inicie cuando se inicia la máquina host, use el comando systemctl: [user@host ~]$ systemctl --user enable container-web Para deshabilitar el inicio de un contenedor cuando se inicia la máquina host, use el comando systemctl con la opción disable: [user@host ~]$ systemctl --user disable container-web Administración de contenedores que se ejecutan como root con systemd También puede configurar los contenedores que desea ejecutar como root para que se administren con los archivos de unidad systemd. Una de las ventajas de este enfoque es que puede configurar esos archivos de unidad para que funcionen exactamente igual que los archivos de unidad normales del sistema, en lugar de como un usuario en particular. El procedimiento para configurarlos es similar al que se detalló anteriormente para los contenedores rootless, excepto: • No es necesario que configure un usuario dedicado. • Cuando cree el archivo de unidad con podman generate systemd, hágalo en el directorio / etc/systemd/system, en lugar de en el directorio ~/.config/systemd/user. RH134-RHEL8.2-es-1-20200928 421 capítulo 13 | Ejecución de contenedores • Cuando configure el servicio del contenedor con systemctl, no usará la opción --user. • No es necesario que ejecute loginctl enable-linger como root. Para obtener una demostración, consulte el video de YouTube del canal de videos de Red Hat que se detalla en las referencias al final de esta sección. Orquestación de contenedores a escala En este capítulo, aprendió a configurar y administrar manualmente contenedores desde la línea de comandos en un solo host, y a configurar systemd para que los contenedores se inicien automáticamente con el servidor. Esto es útil a una escala muy pequeña y para obtener más información sobre los contenedores. Sin embargo, en la práctica, la mayoría de las implementaciones empresariales necesita más. La introducción a este capítulo menciona que Kubernetes generalmente se usa para administrar aplicaciones complejas que constan de múltiples contenedores que cooperan entre sí. Red Hat OpenShift es una plataforma de Kubernetes que agrega una interfaz de usuario basada en la Web, monitoreo, la capacidad de ejecutar contenedores en cualquier lugar de un clúster de hosts de contenedores, escalamiento automático, registro y auditoría, entre otras cosas. La explicación de estas herramientas no está incluida en el alcance de este curso. Si desea obtener más información, la capacitación de Red Hat Training ofrece otros cursos, que comienzan con el curso de descripción general técnica gratuito Implementación de aplicaciones en contenedores (DO080) y continúan con Red Hat OpenShift I: contenedores y kubernetes (DO180). Si desea más información, visite https://www.redhat.com/training. También puede obtener más información sobre Kubernetes y Red Hat OpenShift en https:// www.openshift.com. Allí hay una cantidad de recursos disponibles, que incluyen las formas de probar OpenShift usted mismo mediante el uso de herramientas como Contenedores de CodeReady [https://developers.redhat.com/products/codeready-containers/overview]. Consulte https://www.openshift.com/try para obtener más información. Referencias Páginas del manual loginctl(1), systemd.unit(5), systemd.service(5), subuid(5) y podman-generate-systemd(1) Integración de systemd mejorada con Podman 2.0 https://www.redhat.com/sysadmin/improved-systemd-podman Administración de contenedores en Podman con archivos de unidad systemd https://www.youtube.com/watch?v=AGkM2jGT61Y Qué es OpenShift https://www.openshift.com/learn/what-is-openshift Introducción a OpenShift https://www.openshift.com/try Para obtener más información, consulte el capítulo Ejecución de contenedores como servicios systemd con Podman en la Guía de creación, ejecución y administración de contenedores de Red Hat Enterprise Linux 8 en https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htmlsingle/building_running_and_managing_containers/index#using-systemd-withcontainers_building-running-and-managing-containers 422 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Ejercicio Guiado Administración de contenedores como servicios En este ejercicio, configurará un contenedor que se administra como un servicio systemd y, luego, usa los comandos systemctl para administrar ese contenedor, de modo que se inicie automáticamente cuando se inicia la máquina host. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear archivos de unidad systemd para administrar contenedores. • Iniciar y detener contenedores con comandos systemctl. • Configurar cuentas de usuario para que los servicios de usuario systemd se inicien cuando se inicia la máquina host. Andes De Comenzar En la máquina workstation, inicie sesión con el usuario student con la contraseña student. En la máquina workstation, ejecute el comando lab containers-services start. Este comando ejecuta un script de inicio que determina si la máquina servera es accesible en la red. También instala las herramientas de contenedor en servera. [student@workstation ~]$ lab containers-services start Instrucciones 1. Use el comando ssh para iniciar sesión en servera como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 2. Use el comando sudo -i para cambiar al usuario root. La contraseña del usuario student es student. [student@servera ~]$ sudo -i [sudo] password for student: student [root@servera ~]# 3. Cree una cuenta de usuario con el nombre contsvc con redhat como contraseña. Configure la cuenta para acceder al registro de imágenes de contenedores en RH134-RHEL8.2-es-1-20200928 423 capítulo 13 | Ejecución de contenedores registry.lab.example.com. Usará esta cuenta para ejecutar contenedores como servicios systemd, en lugar de usar su cuenta de usuario normal. 3.1. Use el comando useradd para crear la cuenta y, luego, use el comando passwd para establecer la contraseña en redhat. [root@servera ~]# useradd contsvc [root@servera ~]# passwd contsvc Changing password for user contsvc. New password: redhat BAD PASSWORD: The password is shorter than 8 characters Retype new password: redhat passwd: all authentication tokens updated successfully. 3.2. Para administrar los servicios de usuario systemd con la cuenta contsvc, debe iniciar sesión directamente como el usuario contsvc. No puede usar los comandos su y sudo. Cierre sesión en servera y, luego, use el comando ssh para iniciar sesión con el usuario contsvc. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [root@servera ~]# exit logout [student@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ ssh contsvc@servera ...output omitted... [contsvc@servera ~]$ 3.3. Cree el directorio ~/.config/containers/. [contsvc@servera ~]$ mkdir -p ~/.config/containers/ [contsvc@servera ~]$ 3.4. El script lab preparó el archivo registries.conf en el directorio /tmp/ containers-services/. Copie ese archivo en ~/.config/containers/. El siguiente comando cp es muy extenso y debe ingresarse en una sola línea. [contsvc@servera ~]$ cp /tmp/containers-services/registries.conf ~/.config/ containers/ 3.5. Para confirmar que puede acceder al registro registry.lab.example.com, ejecute el comando podman search ubi como una prueba. Si todo funciona según lo previsto, el comando debe enumerar algunas imágenes. [contsvc@servera ~]$ podman search ubi INDEX NAME DESCRIPTION example.com registry.lab.example.com/ubi8/ubi example.com registry.lab.example.com/ubi7/ubi 424 STARS 0 0 OFFICIAL AUTOMATED RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores 4. Cree el directorio /home/contsvc/webcontent/html/ y, luego, cree una página de prueba index.html. Usará ese directorio como almacenamiento persistente cuando implemente un contenedor de servidor web. 4.1. Cree el directorio ~/webcontent/html/. [contsvc@servera ~]$ mkdir -p ~/webcontent/html/ [contsvc@servera ~]$ 4.2. Cree el archivo index.html y agregue contenido. [contsvc@servera ~]$ echo "Hello World" > ~/webcontent/html/index.html [contsvc@servera ~]$ 4.3. Confirme que todos tengan acceso al directorio y al archivo index.html. El contenedor usa un usuario sin privilegios que debe poder leer el archivo index.html. [contsvc@servera ~]$ ls -ld webcontent/html/ drwxrwxr-x. 2 contsvc contsvc 24 Aug 28 04:56 webcontent/html/ [contsvc@servera ~]$ ls -l webcontent/html/index.html -rw-rw-r--. 1 contsvc contsvc 12 Aug 28 04:56 webcontent/html/index.html 5. Cree un contenedor independiente con el nombre myweb. Redirija el puerto 8080 en el host local al puerto del contenedor 8080. Monte el directorio ~/ webcontent desde el host en el directorio /var/www del contenedor. Use la imagen registry.lab.example.com/rhel8/httpd-24:1-105. 5.1. Inicie sesión en el registro registry.lab.example.com con el usuario admin y redhat321 como contraseña. [contsvc@servera ~]$ podman login registry.lab.example.com Username: admin Password: redhat321 Login Succeeded! 5.2. Cree el contenedor. Puede copiar y pegar el siguiente comando desde el archivo / tmp/containers-services/start-container.txt. El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [contsvc@servera ~]$ podman run -d --name myweb -p 8080:8080 -v ~/webcontent:/var/ www:Z registry.lab.example.com/rhel8/httpd-24:1-105 ...output omitted... 5.3. Para verificar su trabajo, use el comando curl para acceder al contenido web en el puerto 8080. [contsvc@servera ~]$ curl http://localhost:8080/ Hello World RH134-RHEL8.2-es-1-20200928 425 capítulo 13 | Ejecución de contenedores 6. Cree el archivo de unidad systemd para administrar el contenedor myweb con comandos systemctl. Cuando finalice, detenga y, luego, elimine el contenedor myweb. Systemd administra el contenedor y no espera que el contenedor exista inicialmente. 6.1. Cree el directorio ~/.config/systemd/user/. [contsvc@servera ~]$ mkdir -p ~/.config/systemd/user/ [contsvc@servera ~]$ 6.2. Cambie al directorio ~/.config/systemd/user/ y, luego, ejecute el comando podman generate systemd para crear el archivo de unidad para el contenedor myweb. Use la opción --new para que systemd cree un nuevo contenedor al iniciar el servicio y elimine el contenedor al detenerlo. [contsvc@servera ~]$ cd ~/.config/systemd/user [contsvc@servera user]$ podman generate systemd --name myweb --files --new /home/contsvc/.config/systemd/user/container-myweb.service 6.3. Detenga y, luego, elimine el contenedor myweb. [contsvc@servera user]$ podman stop myweb 2f4844b376b78f8f7021fe3a4c077ae52fdc1caa6d877e84106ab783d78e1e1a [contsvc@servera user]$ podman rm myweb 2f4844b376b78f8f7021fe3a4c077ae52fdc1caa6d877e84106ab783d78e1e1a 7. Fuerce systemd para que vuelva a cargar su configuración y, luego, habilite e inicie su nuevo servicio de usuario container-myweb. Para probar su trabajo, detenga y, luego, inicie el servicio y controle el estado del contenedor con los comandos curl y podman ps. 7.1. Use el comando systemctl --user daemon-reload para systemd a fin de tener en cuenta el nuevo archivo de unidad. [contsvc@servera user]$ systemctl --user daemon-reload [contsvc@servera user]$ 7.2. Habilite e inicie el servicio container-myweb. [contsvc@servera user]$ systemctl --user enable --now container-myweb Created symlink /home/contsvc/.config/systemd/user/multi-user.target.wants/ container-myweb.service → /home/contsvc/.config/systemd/user/containermyweb.service. Created symlink /home/contsvc/.config/systemd/user/default.target.wants/containermyweb.service → /home/contsvc/.config/systemd/user/container-myweb.service. 7.3. 426 Use los comandos podman ps y curl para verificar que el contenedor se esté ejecutando. RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores [contsvc@servera user]$ podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES a648c286c653 registry.lab.example.com/rhel8/httpd-24:1-105 /usr/bin/run-http... About a minute ago Up About a minute ago 0.0.0.0:8080->8080/tcp myweb [contsvc@servera user]$ curl http://localhost:8080/ Hello World Tome nota del ID del contenedor. Usará esta información para confirmar que systemd crea un nuevo contenedor cuando reinicia el servicio. 7.4. Detenga el servicio container-myweb y, luego, confirme que el contenedor ya no existe. Cuando detenga el servicio, systemd se detiene y, luego, elimina el contenedor. [contsvc@servera user]$ systemctl --user stop container-myweb [contsvc@servera user]$ podman ps --all CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 7.5. Inicie el servicio container-myweb y, luego, confirme que el contenedor se esté ejecutando. [contsvc@servera user]$ systemctl --user start container-myweb [contsvc@servera user]$ podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 6f5148b27726 registry.lab.example.com/rhel8/httpd-24:1-105 /usr/bin/run-http... 5 seconds ago Up 4 seconds ago 0.0.0.0:8080->8080/tcp myweb Observe que el ID del contenedor ha cambiado. Cuando inicia el servicio, systemd crea un nuevo contenedor. 8. Para garantizar que los servicios de usuario para el usuario contsvc se inicien con el servidor, ejecute el comando loginctl enable-linger. Cuando finalice, reinicie servera. 8.1. Ejecute el comando loginctl enable-linger. [contsvc@servera user]$ loginctl enable-linger [contsvc@servera user]$ 8.2. Confirme que la opción Linger esté establecida para el usuario contsvc. [contsvc@servera user]$ loginctl show-user contsvc ...output omitted... Linger=yes 8.3. Cambie al usuario root y, luego, use el comando systemctl reboot para reiniciar servera. RH134-RHEL8.2-es-1-20200928 427 capítulo 13 | Ejecución de contenedores [contsvc@servera user]$ su Password: redhat Last login: Fri Aug 28 07:43:40 EDT 2020 on pts/0 [root@servera ~]# systemctl reboot Connection to servera closed by remote host. Connection to servera closed. [student@workstation ~]$ 9. Espere a que se reinicie la máquina servera, que tarda algunos minutos y, luego, inicie sesión en servera con el usuario contsvc. Confirme que systemd inició el contenedor myweb y que el contenido web esté disponible. 9.1. En workstation, use el comando ssh para iniciar sesión en servera con el usuario contsvc. [student@workstation ~]$ ssh contsvc@servera ...output omitted... [contsvc@servera ~]$ 9.2. Use el comando podman ps para confirmar que el contenedor se esté ejecutando. [contsvc@servera ~]$ podman ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 1d174e79f08b registry.lab.example.com/rhel8/httpd-24:1-105 /usr/bin/run-http... 3 minutes ago Up 3 minutes ago 0.0.0.0:8080->8080/tcp myweb 9.3. Use el comando curl para acceder al contenido web. [contsvc@servera ~]$ curl http://localhost:8080/ Hello World 9.4. Salga de servera. [contsvc@servera ~]$ exit logout Connection to servera closed. [student@workstation ~]$ Finalizar En la máquina workstation, ejecute el script lab containers-services finish para terminar este ejercicio. [student@workstation ~]$ lab containers-services finish Esto concluye el ejercicio guiado. 428 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Trabajo de laboratorio Ejecución de contenedores En este trabajo de laboratorio, configurará un contenedor en su servidor que proporciona un servicio de base de datos MariaDB, almacena su base de datos en un almacenamiento persistente y se inicia automáticamente con el servidor. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear contenedores independientes. • Configurar el redireccionamiento de puertos y el almacenamiento persistente. • Configurar systemd para que los contenedores se inicien cuando se inicia la máquina host. Andes De Comenzar En la máquina workstation, inicie sesión con el usuario student con la contraseña student. En la máquina workstation, ejecute el comando lab containers-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También instala el cliente MariaDB y crea la cuenta de usuario podsvc que usa para ejecutar un contenedor MariaDB. [student@workstation ~]$ lab containers-review start Instrucciones 1. En serverb, instale las herramientas del contenedor. Inicie sesión en serverb con el usuario student y, luego, use el comando sudo. La contraseña del usuario student es student. 2. El registro de imágenes de contenedores en registry.lab.example.com almacena la imagen rhel8/mariadb-103 con varias etiquetas. En serverb, con el usuario podsvc, enumere esas etiquetas y tome nota de la etiqueta con el número de versión más bajo. Usará esa etiqueta de imagen para iniciar un contenedor más adelante en este ejercicio. La contraseña para el usuario podsvc es redhat. Para consultar el registro registry.lab.example.com, use la cuenta admin con la contraseña redhat321. 3. En serverb, con el usuario podsvc, cree el directorio /home/podsvc/db_data. Prepare el directorio para que los contenedores tengan acceso de lectura/escritura. Usará este directorio para el almacenamiento persistente. 4. En serverb, con el usuario podsvc, cree un contenedor de MariaDB independiente denominado inventorydb. Use la imagen rhel8/mariadb-103 del registro registry.lab.example.com y especifique la etiqueta con el número de versión más bajo de esa imagen, que encontró en un paso anterior. Mapee el puerto 3306 en el contenedor al RH134-RHEL8.2-es-1-20200928 429 capítulo 13 | Ejecución de contenedores puerto 13306 en el host. Monte el directorio /home/podsvc/db_data en el host como / var/lib/mysql/data en el contenedor. Declare los siguientes valores de variables: Variable Valor MYSQL_USER operator1 MYSQL_PASSWORD redhat MYSQL_DATABASE inventory MYSQL_ROOT_PASSWORD redhat Puede copiar y pegar estos parámetros del archivo /home/podsvc/containersreview/variables en serverb. Para confirmar que la base de datos de MariaDB se esté ejecutando, use el comando mysql. Puede encontrar este comando en el script /home/podsvc/containers-review/ testdb.sh. También puede ejecutar directamente el script para probar la base de datos. En serverb, con el usuario podsvc, configure systemd para que el contenedor inventorydb se inicie automáticamente con el servidor. 5. Evaluación Inicie sesión con el usuario student en la máquina workstation y use el comando lab para calificar su trabajo. Corrija los errores informados y vuelva a ejecutar el comando hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab containers-review grade Finalizar En la máquina workstation, ejecute el script lab containers-services finish para terminar este ejercicio. [student@workstation ~]$ lab containers-review finish Esto concluye el trabajo de laboratorio. 430 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores Solución Ejecución de contenedores En este trabajo de laboratorio, configurará un contenedor en su servidor que proporciona un servicio de base de datos MariaDB, almacena su base de datos en un almacenamiento persistente y se inicia automáticamente con el servidor. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear contenedores independientes. • Configurar el redireccionamiento de puertos y el almacenamiento persistente. • Configurar systemd para que los contenedores se inicien cuando se inicia la máquina host. Andes De Comenzar En la máquina workstation, inicie sesión con el usuario student con la contraseña student. En la máquina workstation, ejecute el comando lab containers-review start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También instala el cliente MariaDB y crea la cuenta de usuario podsvc que usa para ejecutar un contenedor MariaDB. [student@workstation ~]$ lab containers-review start Instrucciones 1. En serverb, instale las herramientas del contenedor. Inicie sesión en serverb con el usuario student y, luego, use el comando sudo. La contraseña del usuario student es student. 1.1. Use el comando ssh para iniciar sesión en serverb como el usuario student. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 1.2. Instale el módulo de Yum container-tools con el comando yum. RH134-RHEL8.2-es-1-20200928 431 capítulo 13 | Ejecución de contenedores [student@serverb ~]$ sudo yum module install container-tools [sudo] password for student: student ...output omitted... Is this ok [y/N]: y ...output omitted... Complete! El registro de imágenes de contenedores en registry.lab.example.com almacena la imagen rhel8/mariadb-103 con varias etiquetas. En serverb, con el usuario podsvc, enumere esas etiquetas y tome nota de la etiqueta con el número de versión más bajo. Usará esa etiqueta de imagen para iniciar un contenedor más adelante en este ejercicio. 2. La contraseña para el usuario podsvc es redhat. Para consultar el registro registry.lab.example.com, use la cuenta admin con la contraseña redhat321. 2.1. Salga de la cuenta student en serverb. [student@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ 2.2. Use el comando ssh para iniciar sesión en serverb con el usuario podsvc. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh podsvc@serverb ...output omitted... [podsvc@serverb ~]$ 2.3. Inicie sesión en el registro de contenedores con el comando podman login. [podsvc@serverb ~]$ podman login registry.lab.example.com Username: admin Password: redhat321 Login Succeeded! 2.4. Use el comando skopeo inspect para ver información acerca de la imagen registry.lab.example.com/rhel8/mariadb-103. El siguiente comando skopeo inspect es muy extenso y debe ingresarse como una sola línea. [podsvc@serverb ~]$ skopeo inspect docker://registry.lab.example.com/rhel8/ mariadb-103 { "Name": "registry.lab.example.com/rhel8/mariadb-103", "Digest": "sha256:a95b...4816", "RepoTags": [ "1-86", "1-102", "latest" ], ...output omitted... 432 RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores La etiqueta con el número más bajo es 1-86. 3. En serverb, con el usuario podsvc, cree el directorio /home/podsvc/db_data. Prepare el directorio para que los contenedores tengan acceso de lectura/escritura. Usará este directorio para el almacenamiento persistente. 3.1. Cree el directorio /home/podsvc/db_data. [podsvc@serverb ~]$ mkdir /home/podsvc/db_data [podsvc@serverb ~]$ 3.2. Establezca el modo de acceso del directorio en 777 para que todos tengan acceso de lectura/escritura. [podsvc@serverb ~]$ chmod 777 /home/podsvc/db_data [podsvc@serverb ~]$ 4. En serverb, con el usuario podsvc, cree un contenedor de MariaDB independiente denominado inventorydb. Use la imagen rhel8/mariadb-103 del registro registry.lab.example.com y especifique la etiqueta con el número de versión más bajo de esa imagen, que encontró en un paso anterior. Mapee el puerto 3306 en el contenedor al puerto 13306 en el host. Monte el directorio /home/podsvc/db_data en el host como / var/lib/mysql/data en el contenedor. Declare los siguientes valores de variables: Variable Valor MYSQL_USER operator1 MYSQL_PASSWORD redhat MYSQL_DATABASE inventory MYSQL_ROOT_PASSWORD redhat Puede copiar y pegar estos parámetros del archivo /home/podsvc/containersreview/variables en serverb. Para confirmar que la base de datos de MariaDB se esté ejecutando, use el comando mysql. Puede encontrar este comando en el script /home/podsvc/containers-review/ testdb.sh. También puede ejecutar directamente el script para probar la base de datos. 4.1. Use el comando podman run para crear el contenedor. El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [podsvc@serverb ~]$ podman run -d --name inventorydb -p 13306:3306 -v / home/podsvc/db_data:/var/lib/mysql/data:Z -e MYSQL_USER=operator1 -e MYSQL_PASSWORD=redhat -e MYSQL_DATABASE=inventory -e MYSQL_ROOT_PASSWORD=redhat registry.lab.example.com/rhel8/mariadb-103:1-86 ...output omitted... 4.2. Confirme que la base de datos se esté ejecutando. RH134-RHEL8.2-es-1-20200928 433 capítulo 13 | Ejecución de contenedores [podsvc@serverb ~]$ ~/containers-review/testdb.sh Testing the access to the database... SUCCESS En serverb, con el usuario podsvc, configure systemd para que el contenedor inventorydb se inicie automáticamente con el servidor. 5. 5.1. Si usó sudo o su para iniciar sesión con el usuario podsvc, salga de serverb y use el comando ssh para iniciar sesión directamente en serverb con el usuario podsvc. Recuerde que systemd requiere que el usuario abra una sesión directa desde la consola o a través de SSH. [student@workstation ~]$ ssh podsvc@serverb ...output omitted... [podsvc@serverb ~]$ 5.2. Cree el directorio ~/.config/systemd/user/. [podsvc@serverb ~]$ mkdir -p ~/.config/systemd/user/ [podsvc@serverb ~]$ 5.3. Use el comando podman generate systemd para crear el archivo de unidad systemd desde el contenedor en ejecución. [podsvc@serverb ~]$ cd ~/.config/systemd/user/ [podsvc@serverb user]$ podman generate systemd --name inventorydb --files --new /home/podsvc/.config/systemd/user/container-inventorydb.service 5.4. Detenga y, luego, elimine el contenedor inventorydb. [podsvc@serverb user]$ podman stop inventorydb 0d28f0e0a4118ff019691e34afe09b4d28ee526079b58d19f03b324bd04fd545 [podsvc@serverb user]$ podman rm inventorydb 0d28f0e0a4118ff019691e34afe09b4d28ee526079b58d19f03b324bd04fd545 5.5. Indique a systemd que vuelva a cargar su configuración y, luego, habilite e inicie el servicio container-inventorydb. [podsvc@serverb user]$ systemctl --user daemon-reload [podsvc@serverb user]$ systemctl --user enable --now container-inventorydb.service Created symlink /home/podsvc/.config/systemd/user/multi-user.target.wants/ container-inventorydb.service → /home/podsvc/.config/systemd/user/containerinventorydb.service. Created symlink /home/podsvc/.config/systemd/user/default.target.wants/ container-inventorydb.service → /home/podsvc/.config/systemd/user/containerinventorydb.service. 5.6. 434 Confirme que el contenedor se esté ejecutando. RH134-RHEL8.2-es-1-20200928 capítulo 13 | Ejecución de contenedores [podsvc@serverb user]$ ~/containers-review/testdb.sh Testing the access to the database... SUCCESS [podsvc@serverb user]$ podman ps CONTAINER ID IMAGE COMMAND STATUS PORTS NAMES 3ab24e7f000d registry.lab.example.com/rhel8/mariadb-103:1-86 run-mysqld seconds ago Up 46 seconds ago 0.0.0.0:13306->3306/tcp inventorydb 5.7. CREATED 47 Ejecute el comando loginctl enable-linger para que los servicios de usuario se inicien automáticamente cuando se inicia el servidor. [podsvc@serverb ~]$ loginctl enable-linger [podsvc@serverb ~]$ 5.8. Salga de serverb. [podsvc@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ Evaluación Inicie sesión con el usuario student en la máquina workstation y use el comando lab para calificar su trabajo. Corrija los errores informados y vuelva a ejecutar el comando hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab containers-review grade Finalizar En la máquina workstation, ejecute el script lab containers-services finish para terminar este ejercicio. [student@workstation ~]$ lab containers-review finish Esto concluye el trabajo de laboratorio. RH134-RHEL8.2-es-1-20200928 435 capítulo 13 | Ejecución de contenedores Resumen En este capítulo, aprendió lo siguiente: • Los contenedores proporcionan una manera ligera de distribuir y ejecutar una aplicación y sus dependencias que pueden entrar en conflicto con el software instalado en el host. • Los contenedores se ejecutan desde imágenes de contenedores que puede descargar desde un registro de contenedor o que puede crear usted mismo. • Podman, provisto por Red Hat Enterprise Linux, ejecuta y administra directamente los contenedores y las imágenes de contenedores en un único host. • Los contenedores se pueden ejecutar como root o como contenedores rootless sin privilegios para una mayor seguridad. • Puede mapear puertos de red en el host del contenedor para pasar el tráfico a los servicios que se ejecutan en sus contenedores. También puede usar variables de entorno para configurar el software en contenedores. • El almacenamiento de contenedores es temporal, pero puede conectar almacenamiento persistente a un contenedor con el contenido de un directorio en el host del contenedor, por ejemplo. • Puede configurar systemd para ejecutar automáticamente contenedores cuando se inicia el sistema. 436 RH134-RHEL8.2-es-1-20200928 capítulo 14 Revisión completa Meta Revisar tareas de Administración de sistemas Red Hat II . Objetivos • Revisar tareas de Administración de sistemas Red Hat II . Secciones • Revisión exhaustiva Trabajo de laboratorio • Trabajo de laboratorio: Corrección de problemas de arranque y mantenimiento de servidores • Trabajo de laboratorio: Configuración y administración de sistemas de archivos y almacenamiento • Trabajo de laboratorio: Configuración y administración de seguridad del servidor • Trabajo de laboratorio: Ejecución de contenedores RH134-RHEL8.2-es-1-20200928 437 capítulo 14 | Revisión completa Revisión completa Objetivos Tras finalizar esta sección, usted debería haber revisado y actualizado las habilidades y los conocimientos aprendidos en Administración de sistemas Red Hat II . Revisión de Administración de sistemas Red Hat II Antes de comenzar la revisión completa de este curso, debe sentirse cómodo con los temas que se abordaron en cada capítulo. Puede consultar las secciones anteriores del libro de texto para realizar lecturas complementarias. Capítulo 1, Mejora de la productividad con la línea de comandos Ejecutar los comandos de manera más eficiente mediante el uso de las funciones avanzadas de la shell de Bash, los scripts de shell y diversas utilidades proporcionadas por Red Hat Enterprise Linux. • Automatizar las secuencias de comandos escribiendo un simple script de shell. • Ejecutar comandos con eficiencia con listas de ítems en un script o desde la línea de comandos usando bucles for y condicionales. • Encontrar texto que coincida con un patrón en los archivos de registro y la salida del comando con el comando grep y las expresiones regulares. Capítulo 2, Programación de tareas futuras Programar tareas para que se ejecuten automáticamente en el futuro • Configurar un comando que se ejecute una vez en algún momento en el futuro • Programar comandos para que se ejecuten en un horario de repetición usando el archivo crontab de un usuario • Programar comandos para que se ejecuten en un horario de repetición usando el archivo crontab del sistema y directorios • Habilitar y deshabilitar los temporizadores de systemd y configurar un temporizador que administre archivos temporales Capítulo 3, Ajuste del rendimiento del sistema Mejorar el rendimiento del sistema estableciendo parámetros de ajuste y ajustando la prioridad de programación de los procesos. • Optimizar el rendimiento del sistema seleccionando un perfil de ajuste administrado por el daemon tuned. • Dar o quitar la prioridad a procesos específicos con los comandos nice y renice. 438 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa Capítulo 4, Control de acceso a archivos con ACL Interpretar y establecer listas de control de acceso (ACL) en archivos para manejar situaciones que requieren permisos complejos de acceso de usuarios y grupos. • Describir los casos de uso de las ACL, identificar los archivos que tienen ACL configuradas e interpretar el efecto de esas ACL. • Establecer y eliminar las ACL de los archivos y definir las ACL predeterminadas establecidas automáticamente por un directorio en los archivos recién creados. Capítulo 5, Administración de seguridad de SELinux Proteger y administrar la seguridad de un servidor con SELinux. • Describir cómo SELinux protege los recursos y cómo seleccionar el modo de cumplimiento. • Configurar el contexto de SELinux de un archivo para controlar la interacción de los procesos con ese archivo. • Configurar los booleanos de SELinux para permitir cambios en la política de tiempo de ejecución para diferentes necesidades de acceso. • Investigar los mensajes de registro de SELinux y solucionar los problemas de denegación de AVC de SELinux. Capítulo 6, Administración de almacenamiento básico Crear y administrar dispositivos de almacenamiento, particiones, sistemas de archivos y espacios de intercambio desde la línea de comandos. • Crear particiones de almacenamiento, formatearlas con sistemas de archivos y montarlas para su uso. • Crear y administrar espacios de intercambio para complementar la memoria física. Capítulo 7, Administración de volúmenes lógicos Crear y administrar volúmenes lógicos que contengan sistemas de archivos y espacios de intercambio desde la línea de comandos. • Crear y administrar volúmenes lógicos desde dispositivos de almacenamiento y formatearlos con sistemas de archivos o prepararlos con espacios de intercambio. • Agregar y eliminar el almacenamiento asignado a los grupos de volúmenes y ampliar en forma no destructiva el tamaño de un volumen lógico formateado con un sistema de archivos. Capítulo 8, Implementación de funciones avanzadas de almacenamiento Administrar el almacenamiento con el sistema de administración de almacenamiento local Stratis y usar los volúmenes VDO para optimizar el espacio de almacenamiento en uso. • Administrar múltiples capas de almacenamiento con la administración de almacenamiento local Stratis. • Optimizar el uso del espacio de almacenamiento con VDO para comprimir y desduplicar datos en dispositivos de almacenamiento. RH134-RHEL8.2-es-1-20200928 439 capítulo 14 | Revisión completa Capítulo 9, Acceso al almacenamiento conectado a la red Acceder al almacenamiento conectado a la red con el protocolo NFS. • Montar, usar y desmontar una exportación de NFS desde la línea de comandos y en el momento del arranque. • Configurar el servicio de automontaje con mapas directos e indirectos para montar automáticamente un sistema de archivos NFS a pedido, y desmontarlo cuando ya no esté en uso. Capítulo 10, Control del proceso de arranque Administrar el proceso de arranque para controlar los servicios ofrecidos y para solucionar y reparar problemas. • Describir el proceso de arranque de Red Hat Enterprise Linux, configurar el objetivo predeterminado que se usa en el arranque e iniciar un sistema con un objetivo no predeterminado. • Iniciar sesión en un sistema y cambiar la contraseña de root cuando la actual se haya perdido. • Reparar manualmente la configuración del sistema de archivos o problemas de daños que detengan el proceso de arranque. Capítulo 11, Administración de la seguridad de redes Controlar las conexiones de red a los servicios mediante el firewall del sistema y las reglas de SELinux. • Aceptar o rechazar las conexiones de red a los servicios del sistema por medio de las reglas de firewalld. • Controlar si los servicios de red pueden usar puertos de red específicos al administrar las etiquetas de puertos de SELinux. Capítulo 12, Instalación de Red Hat Enterprise Linux Instalar Red Hat Enterprise Linux en servidores y máquinas virtuales. • Instalar Red Hat Enterprise Linux en un servidor. • Automatizar el proceso de instalación por medio de Kickstart. • Instalar una máquina virtual en su servidor Red Hat Enterprise Linux por medio de Cockpit. Capítulo 13, Ejecución de contenedores Obtener, ejecutar y administrar servicios livianos simples como contenedores en un único servidor de Red Hat Enterprise Linux. • Explicar qué es un contenedor y cómo usar uno para administrar e implementar aplicaciones con dependencias y librerías de software que necesitan las aplicaciones para funcionar. • Instalar las herramientas de administración de contenedores y ejecutar un contenedor rootless simple. • Buscar, recuperar, inspeccionar y administrar imágenes de contenedores obtenidas de un registro de contenedores remoto y almacenadas en su servidor. 440 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa • Ejecutar contenedores con opciones avanzadas, enumerar los contenedores que se ejecutan en el sistema e iniciar, detener y finalizar contenedores. • Proporcionar almacenamiento persistente para los datos del contenedor mediante el montaje de un directorio desde el host del contenedor dentro de un contenedor en ejecución. • Iniciar, detener y verificar el estado de un contenedor como un servicio systemd. RH134-RHEL8.2-es-1-20200928 441 capítulo 14 | Revisión completa Trabajo de laboratorio Corrección de problemas de arranque y mantenimiento de servidores En esta revisión, solucionará y reparará los problemas de arranque y actualizará el destino predeterminado del sistema. También programará tareas para que se ejecuten en un cronograma recurrente como un usuario normal. Resultados Usted deberá ser capaz de realizar lo siguiente: • Diagnosticar problemas y recuperar el sistema del modo de emergencia. • Cambiar el destino predeterminado de graphical.target a multi-user.target. • Programar trabajos recurrentes para que se ejecuten como un usuario normal. Andes De Comenzar Copie los archivos o el trabajo que desee preservar en otros sistemas antes de restablecer el sistema. Restablezca los sistemas workstation, servera y serverb ahora. Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab rhcsa-compreview1 start para iniciar la revisión completa. Este script crea los archivos necesarios para configurar el entorno correctamente. [student@workstation ~]$ lab rhcsa-compreview1 start Instrucciones Realice las siguientes tareas en serverb para completar la revisión completa: • En workstation, ejecute el comando lab rhcsa-compreview1 break1. Este script de ruptura hace que el proceso de arranque falle en serverb. También establece un tiempo de espera más largo en el menú GRUB2 para ayudar a interrumpir el proceso de arranque, y reinicia serverb. Solucione la causa posible y repare el error de arranque. La corrección debe garantizar que serverb se reinicie sin intervención. Use la contraseña redhat para el superusuario cuando sea necesario. • En workstation, ejecute el comando lab rhcsa-compreview1 break2. Este script de ruptura hace que el destino predeterminado cambie del destino multi-user al destino graphical en serverb. También establece un tiempo de espera más largo para el menú GRUB2 para ayudar a interrumpir el proceso de arranque, y reinicia serverb. En serverb, corrija el destino predeterminado para usar el destino multi-user. La configuración de destino predeterminada debe persistir después del reinicio sin intervención manual. Use el comando sudo como el usuario student con student como contraseña para ejecutar comandos con privilegios. 442 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa • Programe un trabajo recurrente con el usuario student que ejecuta el script /home/ student/backup-home.sh por hora entre las 7 p. m. y las 9 p. m. todos los días excepto sábados y domingos. Descargue el script de copia de seguridad de http://materials.example.com/ labs/backup-home.sh. El script de copia de seguridad backup-home.sh realiza una copia de seguridad del directorio /home/student de serverb a servera en el directorio /home/student/serverb-backup. Use el script backup-home.sh para programar el trabajo recurrente como el usuario student en serverb. • Reinicie el sistema y espere a que el arranque finalice antes de calificar. Evaluación En workstation, ejecute el script lab rhcsa-compreview1 grade para confirmar que ha realizado correctamente este ejercicio. Corrija los errores informados y vuelva a ejecutar el script hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab rhcsa-compreview1 grade Finalizar En workstation, ejecute lab rhcsa-compreview1 finish para terminar este ejercicio. Este script elimina los archivos y recursos creados durante el ejercicio para garantizar que el entorno esté limpio. [student@workstation ~]$ lab rhcsa-compreview1 finish Guarde los archivos o trabajos que desee conservar en otros sistemas y, luego, restablezca workstation, servera y serverb antes del siguiente ejercicio. Con esto concluye la revisión completa. RH134-RHEL8.2-es-1-20200928 443 capítulo 14 | Revisión completa Solución Corrección de problemas de arranque y mantenimiento de servidores En esta revisión, solucionará y reparará los problemas de arranque y actualizará el destino predeterminado del sistema. También programará tareas para que se ejecuten en un cronograma recurrente como un usuario normal. Resultados Usted deberá ser capaz de realizar lo siguiente: • Diagnosticar problemas y recuperar el sistema del modo de emergencia. • Cambiar el destino predeterminado de graphical.target a multi-user.target. • Programar trabajos recurrentes para que se ejecuten como un usuario normal. Andes De Comenzar Copie los archivos o el trabajo que desee preservar en otros sistemas antes de restablecer el sistema. Restablezca los sistemas workstation, servera y serverb ahora. Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab rhcsa-compreview1 start para iniciar la revisión completa. Este script crea los archivos necesarios para configurar el entorno correctamente. [student@workstation ~]$ lab rhcsa-compreview1 start Instrucciones Realice las siguientes tareas en serverb para completar la revisión completa: • En workstation, ejecute el comando lab rhcsa-compreview1 break1. Este script de ruptura hace que el proceso de arranque falle en serverb. También establece un tiempo de espera más largo en el menú GRUB2 para ayudar a interrumpir el proceso de arranque, y reinicia serverb. Solucione la causa posible y repare el error de arranque. La corrección debe garantizar que serverb se reinicie sin intervención. Use la contraseña redhat para el superusuario cuando sea necesario. • En workstation, ejecute el comando lab rhcsa-compreview1 break2. Este script de ruptura hace que el destino predeterminado cambie del destino multi-user al destino graphical en serverb. También establece un tiempo de espera más largo para el menú GRUB2 para ayudar a interrumpir el proceso de arranque, y reinicia serverb. En serverb, corrija el destino predeterminado para usar el destino multi-user. La configuración de destino predeterminada debe persistir después del reinicio sin intervención manual. Use el comando sudo como el usuario student con student como contraseña para ejecutar comandos con privilegios. 444 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa • Programe un trabajo recurrente con el usuario student que ejecuta el script /home/ student/backup-home.sh por hora entre las 7 p. m. y las 9 p. m. todos los días excepto sábados y domingos. Descargue el script de copia de seguridad de http://materials.example.com/ labs/backup-home.sh. El script de copia de seguridad backup-home.sh realiza una copia de seguridad del directorio /home/student de serverb a servera en el directorio /home/student/serverb-backup. Use el script backup-home.sh para programar el trabajo recurrente como el usuario student en serverb. • Reinicie el sistema y espere a que el arranque finalice antes de calificar. 1. En workstation, ejecute el comando lab rhcsa-compreview1 break1. 1.1. [student@workstation ~]$ lab rhcsa-compreview1 break1 2. Una vez que serverb se haya iniciado, acceda a la consola y observe que el proceso de arranque se detuvo antes de tiempo. Tómese un momento para especular sobre la posible causa de este comportamiento. 2.1. Localice el icono de la consola de serverb, según corresponda para el entorno del aula. Abra la consola. 2.2. Si observa el error, parece que al menos ciertas partes del sistema aún están funcionando. 2.3. Presione Ctrl+Alt+Del para reiniciar serverb. Cuando el menú del cargador de arranque aparezca, presione cualquier tecla excepto Enter para interrumpir la cuenta regresiva. 2.4. Edite la entrada predeterminada del cargador de arranque en la memoria para iniciar sesión en modo de emergencia. Presione e para editar la entrada actual. 2.5. Use las teclas de dirección para navegar hacia la línea que comienza con linux. Agregue systemd.unit=emergency.target en el final de la línea. 2.6. Presione Ctrl+x para realizar el arranque con la configuración modificada. 2.7. Inicie sesión en el modo de emergencia. La contraseña de root es redhat. Give root password for maintenance (or press Control-D to continue): redhat [root@serverb ~]# 3. Vuelva a montar el sistema de archivos / con acceso de lectura-escritura. Use el comando mount -a para intentar montar todos los demás sistemas de archivos. 3.1. Vuelva a montar el sistema de archivos / con acceso de lectura-escritura para editarlo. [root@serverb ~]# mount -o remount,rw / RH134-RHEL8.2-es-1-20200928 445 capítulo 14 | Revisión completa 3.2. Use el comando mount -a para intentar montar todos los demás sistemas de archivos. Observe que uno de los sistemas de archivos no se puede montar. [root@serverb ~]# mount -a mount: /FakeMount: can't find UUID=fake. 3.3. Edite /etc/fstab para corregir el problema. Elimine o comente la línea incorrecta. [root@serverb ~]# vim /etc/fstab ...output omitted... #UUID=fake /FakeMount xfs defaults 3.4. 0 0 Actualice systemd para que el sistema registre la configuración de /etc/fstab nueva. [root@serverb ~]# systemctl daemon-reload [ 206.828912] systemd[1]: Reloading. 3.5. Verifique que su /etc/fstab ahora sea correcto al intentar montar todas las entradas. [root@serverb ~]# mount -a 3.6. Reinicie serverb y espere a que el arranque finalice. Ahora el sistema debería arrancar normalmente. [root@serverb ~]# systemctl reboot En workstation, ejecute el comando lab rhcsa-compreview1 break2. 4. 4.1. [student@workstation ~]$ lab rhcsa-compreview1 break2 Espere a que se complete el reinicio antes de continuar. En serverb, cambie al destino multi-user. Establezca el destino predeterminado en multi-user. Use el comando sudo para ejecutar cualquier comando administrativo requerido y, si se le solicita, use student como contraseña. 5. 5.1. Desde workstation, abra una sesión de SSH en serverb con el usuario student. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ 5.2. Como el usuario student en serverb, determine el destino predeterminado. [student@serverb ~]$ systemctl get-default graphical.target 5.3. 446 Cambie al destino multi-user. Use el comando sudo y, si se le solicita, use student como la contraseña. RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa [student@serverb ~]$ sudo systemctl isolate multi-user.target [sudo] password for student: student 5.4. Configure serverb para que use el destino multi-user como destino predeterminado. [student@serverb ~]$ sudo systemctl set-default multi-user.target Removed /etc/systemd/system/default.target. Created symlink /etc/systemd/system/default.target -> /usr/lib/systemd/system/ multi-user.target. 5.5. Reinicie serverb para verificar que el destino multi-user esté configurado como destino predeterminado. [student@serverb ~]$ sudo systemctl reboot Connection to serverb closed by remote host. Connection to serverb closed. [student@workstation ~]$ 5.6. Después del reinicio, abra una sesión de SSH en serverb como el usuario student. Verifique que el destino multi-user esté configurado como destino predeterminado. [student@workstation ~]$ ssh student@serverb ...output omitted... [student@serverb ~]$ systemctl get-default multi-user.target 6. Programe un trabajo recurrente con el usuario student que ejecuta el script /home/ student/backup-home.sh por hora entre las 7 p. m. y las 9 p. m. todos los días excepto sábados y domingos. Use el script backup-home.sh para programar el trabajo recurrente. Descargue el script de copia de seguridad desde http://materials.example.com/labs/backup-home.sh. 6.1. En serverb, descargue el script de copia de seguridad desde http:// materials.example.com/labs/backup-home.sh. Use chmod para hacer que el script de copia de seguridad sea ejecutable. [student@serverb ~]$ wget http://materials.example.com/labs/backup-home.sh ...output omitted... [student@serverb ~]$ chmod +x backup-home.sh 6.2. Use el comando crontab -e para abrir el archivo crontab con el editor de texto predeterminado. [student@serverb ~]$ crontab -e 6.3. Edite el archivo y agregue la siguiente línea: 0 19-21 * * Mon-Fri /home/student/backup-home.sh RH134-RHEL8.2-es-1-20200928 447 capítulo 14 | Revisión completa Guarde los cambios y salga del editor. 6.4. Use el comando crontab -l para enumerar los trabajos recurrentes programados. [student@serverb ~]$ crontab -l 0 19-21 * * Mon-Fri /home/student/backup-home.sh Reinicie serverb y espere a que el arranque finalice antes de calificar. 7. 7.1. [student@serverb ~]$ sudo systemctl reboot [sudo] password for student: student Connection to serverb closed by remote host. Connection to serverb closed. [student@workstation ~]$ Evaluación En workstation, ejecute el script lab rhcsa-compreview1 grade para confirmar que ha realizado correctamente este ejercicio. Corrija los errores informados y vuelva a ejecutar el script hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab rhcsa-compreview1 grade Finalizar En workstation, ejecute lab rhcsa-compreview1 finish para terminar este ejercicio. Este script elimina los archivos y recursos creados durante el ejercicio para garantizar que el entorno esté limpio. [student@workstation ~]$ lab rhcsa-compreview1 finish Guarde los archivos o trabajos que desee conservar en otros sistemas y, luego, restablezca workstation, servera y serverb antes del siguiente ejercicio. Con esto concluye la revisión completa. 448 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa Trabajo de laboratorio Configuración y administración de sistemas de archivos y almacenamiento En esta revisión, creará un volumen lógico de LVM, montará un sistema de archivos de red, creará una partición de intercambio que se activará automáticamente en el arranque, configurará los archivos temporales no usados para que se limpien del sistema y usará las ACL para proteger un directorio. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un volumen lógico de LVM. • Montar un sistema de archivos de red • Crear una partición de intercambio que se active automáticamente en el arranque. • Configurar los archivos temporales no usados para que se limpien del sistema. • Usar las ACL para proteger un directorio. Andes De Comenzar Copie los archivos o el trabajo que desee preservar en otros sistemas antes de restablecer el sistema. Restablezca los sistemas workstation, servera y serverb ahora, a menos que recién los haya restablecido al final del último ejercicio. Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab rhcsa-compreview2 start para iniciar la revisión completa. Este script crea los archivos necesarios para configurar el entorno correctamente. [student@workstation ~]$ lab rhcsa-compreview2 start Instrucciones Realice las siguientes tareas en serverb para completar la revisión completa. • Configure un nuevo volumen lógico de 1 GiB denominado vol_home en un nuevo grupo de volúmenes de 2 GiB denominado extra_storage. Use el disco sin particiones /dev/ vdb para crear particiones. • El volumen lógico vol_home debe formatearse con el tipo de sistema de archivos XFS y montarse en /home-directories de manera persistente. • Asegúrese de que el sistema de archivos de red llamado /share esté montado de manera persistente en /local-share después del reinicio. El servidor NFS servera.lab.example.com exporta el sistema de archivos de red /share. La ruta de exportación de NFS es servera.lab.example.com:/share. • Cree una nueva partición de 512 MiB en el disco /dev/vdc para usarla como espacio de intercambio. Este espacio de intercambio debe activarse automáticamente en el arranque. RH134-RHEL8.2-es-1-20200928 449 capítulo 14 | Revisión completa • Cree un nuevo grupo llamado production. Cree los usuarios production1, production2, production3 y production4. Asegúrese de que usen el nuevo grupo llamado production como su grupo adicional. • Configure su sistema para que use un nuevo directorio llamado /run/volatile para almacenar archivos temporales. Los archivos en este directorio deben estar sujetos a una limpieza basada en el tiempo si no se accede a ellos durante más de 30 segundos. Los permisos octales para el directorio deben ser 0700. Asegúrese de utilizar el archivo /etc/ tmpfiles.d/volatile.conf para configurar la limpieza basada en el tiempo para los archivos en /run/volatile. • Cree el nuevo directorio denominado /webcontent. Tanto el propietario como el grupo del directorio deben ser root. Los miembros del grupo production deben ser capaces de leer y escribir en este directorio. El usuario production1 solo debe ser capaz de leer este directorio. Estos permisos se deben aplicar a todos los archivos y directorios nuevos creados en el directorio /webcontent. Evaluación En workstation, ejecute el script lab rhcsa-compreview2 grade para confirmar que ha realizado correctamente este ejercicio. Corrija los errores informados y vuelva a ejecutar el script hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab rhcsa-compreview2 grade Finalizar En workstation, ejecute lab rhcsa-compreview2 finish para terminar este ejercicio. Este script elimina los archivos y recursos creados durante el ejercicio para garantizar que el entorno esté limpio. [student@workstation ~]$ lab rhcsa-compreview2 finish Con esto concluye la revisión completa. 450 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa Solución Configuración y administración de sistemas de archivos y almacenamiento En esta revisión, creará un volumen lógico de LVM, montará un sistema de archivos de red, creará una partición de intercambio que se activará automáticamente en el arranque, configurará los archivos temporales no usados para que se limpien del sistema y usará las ACL para proteger un directorio. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear un volumen lógico de LVM. • Montar un sistema de archivos de red • Crear una partición de intercambio que se active automáticamente en el arranque. • Configurar los archivos temporales no usados para que se limpien del sistema. • Usar las ACL para proteger un directorio. Andes De Comenzar Copie los archivos o el trabajo que desee preservar en otros sistemas antes de restablecer el sistema. Restablezca los sistemas workstation, servera y serverb ahora, a menos que recién los haya restablecido al final del último ejercicio. Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab rhcsa-compreview2 start para iniciar la revisión completa. Este script crea los archivos necesarios para configurar el entorno correctamente. [student@workstation ~]$ lab rhcsa-compreview2 start Instrucciones Realice las siguientes tareas en serverb para completar la revisión completa. • Configure un nuevo volumen lógico de 1 GiB denominado vol_home en un nuevo grupo de volúmenes de 2 GiB denominado extra_storage. Use el disco sin particiones /dev/ vdb para crear particiones. • El volumen lógico vol_home debe formatearse con el tipo de sistema de archivos XFS y montarse en /home-directories de manera persistente. • Asegúrese de que el sistema de archivos de red llamado /share esté montado de manera persistente en /local-share después del reinicio. El servidor NFS servera.lab.example.com exporta el sistema de archivos de red /share. La ruta de exportación de NFS es servera.lab.example.com:/share. • Cree una nueva partición de 512 MiB en el disco /dev/vdc para usarla como espacio de intercambio. Este espacio de intercambio debe activarse automáticamente en el arranque. RH134-RHEL8.2-es-1-20200928 451 capítulo 14 | Revisión completa • Cree un nuevo grupo llamado production. Cree los usuarios production1, production2, production3 y production4. Asegúrese de que usen el nuevo grupo llamado production como su grupo adicional. • Configure su sistema para que use un nuevo directorio llamado /run/volatile para almacenar archivos temporales. Los archivos en este directorio deben estar sujetos a una limpieza basada en el tiempo si no se accede a ellos durante más de 30 segundos. Los permisos octales para el directorio deben ser 0700. Asegúrese de utilizar el archivo /etc/ tmpfiles.d/volatile.conf para configurar la limpieza basada en el tiempo para los archivos en /run/volatile. • Cree el nuevo directorio denominado /webcontent. Tanto el propietario como el grupo del directorio deben ser root. Los miembros del grupo production deben ser capaces de leer y escribir en este directorio. El usuario production1 solo debe ser capaz de leer este directorio. Estos permisos se deben aplicar a todos los archivos y directorios nuevos creados en el directorio /webcontent. Desde workstation, abra una sesión de SSH en serverb como student. 1. 1.1. [student@workstation ~]$ ssh student@serverb ...output omitted... Cambie al usuario root. 2. 2.1. [student@serverb ~]$ sudo -i [sudo] password for student: student [root@serverb ~]# Cree una partición de 2 GiB en /dev/vdb. 3. 3.1. [root@serverb ~]# parted /dev/vdb mklabel msdos [root@serverb ~]# parted /dev/vdb mkpart primary 1GiB 3GiB [root@serverb ~]# parted /dev/vdb set 1 lvm on Cree un volumen lógico llamado vol_home con la partición de 2 GiB que creó en /dev/vdb. Asigne al grupo de volúmenes el nombre extra_storage. 4. 4.1. Declare el dispositivo de bloque /dev/vdb1 como volumen físico. [root@serverb ~]# pvcreate /dev/vdb1 ...output omitted... 4.2. Cree el grupo de volúmenes extra_storage con /dev/vdb1. [root@serverb ~]# vgcreate extra_storage /dev/vdb1 ...output omitted... 452 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa 4.3. Cree un volumen lógico de 1 GiB llamado vol_home. [root@serverb ~]# lvcreate -L 1GiB -n vol_home extra_storage ...output omitted... 5. Asigne a vol_home el formato de tipo de sistema de archivos XFS y móntelo en /homedirectories. 5.1. Cree un directorio denominado /home-directories. [root@serverb ~]# mkdir /home-directories 5.2. Asigne a /dev/extra_storage/vol_home el formato de tipo de sistema de archivos XFS. [root@serverb ~]# mkfs -t xfs /dev/extra_storage/vol_home ...output omitted... 5.3. Monte de manera persistente /dev/extra_storage/vol_home en /homedirectories. Use el UUID de la estructura al crear la entrada en /etc/fstab. [root@serverb ~]# lsblk -o UUID /dev/extra_storage/vol_home UUID 988cf149-0667-4733-abca-f80c6ec50ab6 [root@serverb ~]# echo "UUID=988c...0ab6 /home-directories \ xfs defaults 0 0" >> /etc/fstab [root@serverb ~]# mount -a 6. Asegúrese de que el sistema de archivos de red llamado /share esté montado de manera persistente en /local-share después del reinicio. El servidor NFS servera.lab.example.com exporta el sistema de archivos de red /share. La ruta de exportación de NFS es servera.lab.example.com:/share. 6.1. Cree el directorio /local-share. [root@serverb ~]# mkdir /local-share 6.2. Adjunte la entrada correspondiente a /etc/fstab para que el sistema de archivos de red disponible en servera.lab.example.com:/share monte de manera persistente en /local-share después del reinicio. [root@serverb ~]# echo "servera.lab.example.com:/share /local-share \ nfs rw,sync 0 0" >> /etc/fstab 6.3. Monte el sistema de archivos de red en /local-share en función de la entrada en / etc/fstab. [root@serverb ~]# mount /local-share 7. Cree una nueva partición de 512 MiB en el disco /dev/vdc para usarlo como espacio de intercambio. Este espacio de intercambio debe activarse automáticamente en el momento del arranque. RH134-RHEL8.2-es-1-20200928 453 capítulo 14 | Revisión completa 7.1. Cree una partición de 512 MiB en /dev/vdc. [root@serverb ~]# parted /dev/vdc mklabel msdos [root@serverb ~]# parted /dev/vdc mkpart primary linux-swap 1MiB 513MiB 7.2. Cree el espacio de intercambio en /dev/vdc1. [root@serverb ~]# mkswap /dev/vdc1 ...output omitted... 7.3. Active el espacio de intercambio para que persista después del reinicio. Use el UUID de la estructura al crear la entrada en /etc/fstab. [root@serverb ~]# lsblk -o UUID /dev/vdc1 UUID cc18ccb6-bd29-48a5-8554-546bf3471b69 [root@serverb ~]# echo "UUID=cc18...1b69 swap \ swap defaults 0 0" >> /etc/fstab [root@serverb ~]# swapon -a Cree los usuarios production1, production2, production3 y production4. Asegúrese de que usen el nuevo grupo llamado production como su grupo adicional. 8. 8.1. [root@serverb ~]# groupadd production [root@serverb ~]# for i in 1 2 3 4; do useradd -G production production$i; done Configure su sistema para que use un nuevo directorio llamado /run/volatile para almacenar archivos temporales. Los archivos en este directorio deben estar sujetos a una limpieza basada en el tiempo si no se accede a ellos durante más de 30 segundos. Los permisos octales para el directorio deben ser 0700. Asegúrese de utilizar el archivo /etc/ tmpfiles.d/volatile.conf para configurar la limpieza basada en el tiempo para los archivos en /run/volatile. 9. 9.1. Cree un nuevo archivo denominado /etc/tmpfiles.d/volatile.conf wcon el siguiente contenido. d /run/volatile 0700 root root 30s 9.2. Use el comando systemd-tmpfiles --create para crear el directorio /run/ volatile si no existe. [root@servera ~]# systemd-tmpfiles --create /etc/tmpfiles.d/volatile.conf 10. Cree un nuevo directorio denominado /webcontent. Tanto el propietario como el propietario del grupo del directorio deben ser root. Los miembros del grupo production deben ser capaces de leer y escribir en este directorio. El usuario production1 solo debe ser capaz de leer este directorio. Estos permisos se deben aplicar a todos los archivos y directorios nuevos creados en el directorio /webcontent. 10.1. Cree el directorio /webcontent. 454 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa [root@serverb ~]# mkdir /webcontent 10.2. Use setfacl para configurar permisos en /webcontent de manera que los miembros del grupo de productiontengan permisos de lectura y de escritura, con la excepción del usuario production1, a quien solo se le debe otorgar permiso de lectura. [root@serverb ~]# setfacl -m u:production1:rx /webcontent [root@serverb ~]# setfacl -m g:production:rwx /webcontent 10.3. Use setfacl para establecer los permisos predeterminados en /webcontent de modo que los permisos que aplicó en el paso anterior también se apliquen a todos los archivos y directorios nuevos creados en el directorio /webcontent. [root@serverb ~]# setfacl -m d:u:production1:rx /webcontent [root@serverb ~]# setfacl -m d:g:production:rwx /webcontent 10.4. Salga de la shell del usuario root. [root@serverb ~]# exit logout 10.5. Cierre sesión en serverb. [student@serverb ~]$ exit logout Connection to serverb closed. Evaluación En workstation, ejecute el script lab rhcsa-compreview2 grade para confirmar que ha realizado correctamente este ejercicio. Corrija los errores informados y vuelva a ejecutar el script hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab rhcsa-compreview2 grade Finalizar En workstation, ejecute lab rhcsa-compreview2 finish para terminar este ejercicio. Este script elimina los archivos y recursos creados durante el ejercicio para garantizar que el entorno esté limpio. [student@workstation ~]$ lab rhcsa-compreview2 finish Con esto concluye la revisión completa. RH134-RHEL8.2-es-1-20200928 455 capítulo 14 | Revisión completa Trabajo de laboratorio Configuración y administración de seguridad del servidor En esta revisión, configurará la autenticación basada en claves de SSH, cambiará la configuración del cortafuegos, ajustará el modo de SELinux y un booleano de SELinux, y solucionará problemas de SELinux. Resultados Usted deberá ser capaz de realizar lo siguiente: • Configurar claves de SSH para la autenticación basada en claves. • Configurar parámetros de firewall. • Ajustar el modo de SELinux y los booleanos de SELinux. • Solucionar problemas de SELinux. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab rhcsa-compreview3 start para iniciar la revisión completa. Este script crea los archivos necesarios para configurar el entorno correctamente. [student@workstation ~]$ lab rhcsa-compreview3 start Instrucciones Realice las siguientes tareas para completar la revisión completa: • Genere claves de SSH para el usuario student en serverb. No proteja la clave privada con una frase de contraseña. • En servera, configure el usuario student para que acepte la autenticación de inicio de sesión con el par de claves de SSH creado para student en serverb. El usuario student en serverb debe poder iniciar sesión en servera con SSH sin ingresar una contraseña. Use student como la contraseña para el usuario student, si se le solicita. • En servera, cambie el modo predeterminado de SELinux a permissive. • Configure serverb para que monte automáticamente el directorio de inicio del usuario production5 cuando el usuario inicie sesión, con el sistema de archivos de red /homedirectories/production5. Este sistema de archivos de red se exporta desde servera.lab.example.com. Ajuste el booleano correspondiente de SELinux para que production5 pueda usar el directorio de inicio montado en NFS en serverb después de la autenticación basada en claves de SSH. La contraseña del usuario production5 es redhat. • En serverb, ajuste la configuración del firewall para que se rechacen las conexiones de SSH que se originan en servera. 456 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa • En serverb, investigue y corrija el problema con el daemon HTTPD de Apache, que está configurado para escuchar en el puerto 30080/TCP, pero que no se puede iniciar. Ajuste la configuración del firewall según corresponda para que el puerto 30080/TCP esté abierto para conexiones entrantes. Evaluación En workstation, ejecute el script lab rhcsa-compreview3 grade para confirmar que ha realizado correctamente este ejercicio. Corrija los errores informados y vuelva a ejecutar el script hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab rhcsa-compreview3 grade Finalizar En workstation, ejecute lab rhcsa-compreview3 finish para terminar este ejercicio. Este script elimina los archivos y recursos creados durante el ejercicio para garantizar que el entorno esté limpio. [student@workstation ~]$ lab rhcsa-compreview3 finish Guarde los archivos o trabajos que desee conservar en otros sistemas y restablezca workstation, servera y serverb. Con esto concluye la revisión completa. RH134-RHEL8.2-es-1-20200928 457 capítulo 14 | Revisión completa Solución Configuración y administración de seguridad del servidor En esta revisión, configurará la autenticación basada en claves de SSH, cambiará la configuración del cortafuegos, ajustará el modo de SELinux y un booleano de SELinux, y solucionará problemas de SELinux. Resultados Usted deberá ser capaz de realizar lo siguiente: • Configurar claves de SSH para la autenticación basada en claves. • Configurar parámetros de firewall. • Ajustar el modo de SELinux y los booleanos de SELinux. • Solucionar problemas de SELinux. Andes De Comenzar Inicie sesión en workstation como student con la contraseña student. En workstation, ejecute lab rhcsa-compreview3 start para iniciar la revisión completa. Este script crea los archivos necesarios para configurar el entorno correctamente. [student@workstation ~]$ lab rhcsa-compreview3 start Instrucciones Realice las siguientes tareas para completar la revisión completa: • Genere claves de SSH para el usuario student en serverb. No proteja la clave privada con una frase de contraseña. • En servera, configure el usuario student para que acepte la autenticación de inicio de sesión con el par de claves de SSH creado para student en serverb. El usuario student en serverb debe poder iniciar sesión en servera con SSH sin ingresar una contraseña. Use student como la contraseña para el usuario student, si se le solicita. • En servera, cambie el modo predeterminado de SELinux a permissive. • Configure serverb para que monte automáticamente el directorio de inicio del usuario production5 cuando el usuario inicie sesión, con el sistema de archivos de red /homedirectories/production5. Este sistema de archivos de red se exporta desde servera.lab.example.com. Ajuste el booleano correspondiente de SELinux para que production5 pueda usar el directorio de inicio montado en NFS en serverb después de la autenticación basada en claves de SSH. La contraseña del usuario production5 es redhat. • En serverb, ajuste la configuración del firewall para que se rechacen las conexiones de SSH que se originan en servera. 458 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa • En serverb, investigue y corrija el problema con el daemon HTTPD de Apache, que está configurado para escuchar en el puerto 30080/TCP, pero que no se puede iniciar. Ajuste la configuración del firewall según corresponda para que el puerto 30080/TCP esté abierto para conexiones entrantes. 1. Desde workstation, abra una sesión de SSH en serverb como student. 1.1. [student@workstation ~]$ ssh student@serverb ...output omitted... 2. Genere claves de SSH para el usuario student en serverb con el comando ssh-keygen. No proteja la clave privada con una frase de contraseña. 2.1. [student@serverb ~]$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/student/.ssh/id_rsa): Enter Created directory '/home/student/.ssh'. Enter passphrase (empty for no passphrase): Enter Enter same passphrase again: Enter Your identification has been saved in /home/student/.ssh/id_rsa. Your public key has been saved in /home/student/.ssh/id_rsa.pub. The key fingerprint is: SHA256:1TPZ4TXYwiGWfExUGtRTHgfKQbF9hVuLa+VmH4vgkFY student@serverb.lab.example.com The key's randomart image is: +---[RSA 2048]----+ | .+@BO**| | .=.#+B*| | . X.*o=| | . E +.+ | | S o + | | + . o = | | . o o + +| | . . ..| | | +----[SHA256]-----+ 3. En servera, configure el usuario student para que acepte la autenticación de inicio de sesión con el par de claves de SSH que creó para student en serverb. El usuario student en serverb debe poder iniciar sesión en servera con SSH sin ingresar una contraseña. Use student como la contraseña para el usuario student, cuando se le solicite. 3.1. Use el comando ssh-copy-id para transferir la clave pública del par de claves SSH de student en serverb a student en servera. Use student como la contraseña para el usuario student, si se le solicita. [student@serverb ~]$ ssh-copy-id student@servera /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/student/.ssh/ id_rsa.pub" The authenticity of host 'servera (172.25.250.10)' can't be established. RH134-RHEL8.2-es-1-20200928 459 capítulo 14 | Revisión completa ECDSA key fingerprint is SHA256:g/fIMtVzDWTbTi1l0OwC30sL6cHmro9Tf563NxmeyyE. Are you sure you want to continue connecting (yes/no)? yes /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys student@servera's password: student Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'student@servera'" and check to make sure that only the key(s) you wanted were added. 3.2. Use el comando ssh para verificar que el usuario student pueda iniciar sesión en servera desde serverb sin introducir una contraseña. [student@serverb ~]$ ssh student@servera ...output omitted... [student@servera ~]$ En servera, cambie el modo predeterminado de SELinux a permissive. 4. 4.1. Edite /etc/sysconfig/selinux para establecer el valor del parámetro SELINUX en permissive. Puede usar el comando sudo vi /etc/sysconfig/selinux para editar el archivo de configuración como superusuario. Use la contraseña student, si se le solicita. ...output omitted... #SELINUX=enforcing SELINUX=permissive ...output omitted... 4.2. Use el comando sudo systemctl reboot para reiniciar el sistema como el superusuario. [student@servera ~]$ sudo systemctl reboot Connection to servera closed by remote host. Connection to servera closed. [student@serverb ~]$ Configure serverb para que monte automáticamente el directorio de inicio del usuario production5 cuando el usuario inicie sesión, con el sistema de archivos de red /homedirectories/production5. Este sistema de archivos de red se exporta desde servera.lab.example.com. Ajuste el booleano correspondiente de SELinux para que production5 pueda usar el directorio de inicio montado en NFS en serverb después de la autenticación basada en claves de SSH. La contraseña del usuario production5 es redhat. 5. 5.1. En serverb, use el comando sudo -i para cambiar a la cuenta de usuario root. [student@serverb ~]$ sudo -i [sudo] password for student: student [root@serverb ~]# 460 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa 5.2. Instale el paquete autofs. [root@serverb ~]# yum install autofs ...output omitted... Is this ok [y/N]: y ...output omitted... Installed: autofs-1:5.1.4-29.el8.x86_64 Complete! 5.3. Cree el archivo de asignación maestro de autofs denominado /etc/ auto.master.d/production5.autofs con el siguiente contenido. /- /etc/auto.production5 5.4. Recupere los detalles del usuario production5 para obtener la ruta del directorio de inicio. [root@serverb ~]# getent passwd production5 production5:x:5001:5001::/localhome/production5:/bin/bash 5.5. Cree el archivo /etc/auto.production5 con el siguiente contenido. /localhome/production5 -rw servera.lab.example.com:/home-directories/production5 5.6. Reinicie el servicio autofs. [root@serverb ~]# systemctl restart autofs 6. En servera, verifique que el usuario production5 no pueda iniciar sesión en serverb con la autenticación de clave pública SSH. Un booleano SELinux causa este problema que solucionará en los siguientes pasos. 6.1. Desde workstation, abra una sesión de SSH para servera como student. [student@workstation ~]$ ssh student@servera ...output omitted... [student@servera ~]$ 6.2. Cambie al usuario production5 con redhat como contraseña. [student@servera ~]$ su - production5 Password: redhat [production5@servera ~]$ 6.3. Use el comando ssh-keygen para generar claves SSH como production5. [production5@servera ~]$ ssh-keygen Generating public/private rsa key pair. Enter file in which to save the key (/home/production5/.ssh/id_rsa): Enter RH134-RHEL8.2-es-1-20200928 461 capítulo 14 | Revisión completa Created directory '/home/production5/.ssh'. Enter passphrase (empty for no passphrase): Enter Enter same passphrase again: Enter Your identification has been saved in /home/production5/.ssh/id_rsa. Your public key has been saved in /home/production5/.ssh/id_rsa.pub. The key fingerprint is: SHA256:zmin1nmCt4H8LA+4FPimtdg81nl7ATbInUFW3HSPxk4 production5@servera.lab.example.com The key's randomart image is: +---[RSA 2048]----+ | .oo.o. . | | .. . .o o | | . o o E .| | . o * + | | . . .So . | | . + = . | | *.*+=. . | | Oo+***.o | | o.=o.=** | +----[SHA256]-----+ 6.4. Use el comando ssh-copy-id para transferir la clave pública del par de claves SSH de production5 en servera a production5 en serverb. Use redhat como la contraseña para el usuario production5, si se le solicita. [production5@servera ~]$ ssh-copy-id production5@serverb /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/ production5/.ssh/id_rsa.pub" The authenticity of host 'serverb (172.25.250.11)' can't be established. ECDSA key fingerprint is SHA256:ciCkaRWF4g6eR9nSdPxQ7KL8czpViXal6BousK544TY. Are you sure you want to continue connecting (yes/no)? yes /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys production5@serverb's password: redhat Number of key(s) added: 1 Now try logging into the machine, with: "ssh 'production5@serverb'" and check to make sure that only the key(s) you wanted were added. 6.5. Use la autenticación basada en clave pública SSH en lugar de la autenticación basada en contraseña para iniciar sesión en serverb como production5. Este comando debería fallar. [production5@servera ~]$ ssh -o pubkeyauthentication=yes \ -o passwordauthentication=no production5@serverb production5@serverb: Permission denied (publickey,gssapi-keyex,gssapi-withmic,password). 462 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa 7. Establezca la configuración correspondiente del booleano de SELinux en serverb, de modo que production5 pueda iniciar sesión en serverb con la autenticación basada en clave pública SSH y use el directorio de inicio. 7.1. En serverb como root, establezca el booleano de SELinux use_nfs_home_dirs en true. [root@serverb ~]# setsebool -P use_nfs_home_dirs true 7.2. Use la autenticación basada en clave pública SSH en lugar de la autenticación basada en contraseña para iniciar sesión en serverb como production5. Este comando debe arrojar resultados satisfactorios. [production5@servera ~]$ ssh -o pubkeyauthentication=yes \ -o passwordauthentication=no production5@serverb ...output omitted... [production5@serverb ~]$ 8. En serverb, ajuste la configuración del firewall para que se rechacen las conexiones de SSH que se originan en servera. El sistema servera usa la dirección IPv4 172.25.250.10. 8.1. Use el comando firewall-cmd para agregar la dirección IPv4 de servera a la zona de firewalld denominada block. [root@serverb ~]# firewall-cmd --add-source=172.25.250.10/32 \ --zone=block --permanent success 8.2. Use el comando firewall-cmd --reload para volver a cargar los cambios en la configuración del firewall. [root@serverb ~]# firewall-cmd --reload success 9. En serverb, investigue y corrija el problema con el daemon HTTPD de Apache, que está configurado para escuchar en el puerto 30080/TCP, pero que no se puede iniciar. Ajuste la configuración del firewall según corresponda para que el puerto 30080/TCP esté abierto para conexiones entrantes. 9.1. Use el comando systemctl para reiniciar el servicio httpd. Este comando no puede reiniciar el servicio. [root@serverb ~]# systemctl restart httpd.service Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details. 9.2. Use el comando systemctl status para investigar el motivo del error del servicio httpd. [root@serverb ~]# systemctl status httpd.service ● httpd.service - The Apache HTTP Server Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled) RH134-RHEL8.2-es-1-20200928 463 capítulo 14 | Revisión completa Active: failed (Result: exit-code) since Mon 2019-04-15 06:42:41 EDT; 5min ago Docs: man:httpd.service(8) Process: 27313 ExecStart=/usr/sbin/httpd $OPTIONS -DFOREGROUND (code=exited, status=1/FAILURE) Main PID: 27313 (code=exited, status=1/FAILURE) Status: "Reading configuration..." Apr 15 06:42:41 serverb.lab.example.com systemd[1]: Starting The Apache HTTP Server... Apr 15 06:42:41 serverb.lab.example.com httpd[27313]: (13)Permission denied: AH00072: make_sock: could not bind to address [::]:30080 Apr 15 06:42:41 serverb.lab.example.com httpd[27313]: (13)Permission denied: AH00072: make_sock: could not bind to address 0.0.0.0:30080 Apr 15 06:42:41 serverb.lab.example.com httpd[27313]: no listening sockets available, shutting down Apr 15 06:42:41 serverb.lab.example.com httpd[27313]: AH00015: Unable to open logs Apr 15 06:42:41 serverb.lab.example.com systemd[1]: httpd.service: Main process exited, code=exited, status=1/FAILURE Apr 15 06:42:41 serverb.lab.example.com systemd[1]: httpd.service: Failed with result 'exit-code'. Apr 15 06:42:41 serverb.lab.example.com systemd[1]: Failed to start The Apache HTTP Server. Observe el error de permiso en la salida anterior, lo que significa que el daemon httpd no pudo vincularse con el puerto 30080/TCP. La política de SELinux puede ser una restricción potencial para que una aplicación se vincule con un puerto. Presione q para salir del comando systemctl anterior. 9.3. Use el comando sealert para determinar si una política de SELinux está impidiendo que httpd se vincule con el puerto 30080/TCP. [root@serverb ~]# sealert -a /var/log/audit/audit.log 100% done found 1 alerts in /var/log/audit/audit.log -------------------------------------------------------------------------------SELinux is preventing /usr/sbin/httpd from name_bind access on the tcp_socket port 30080. ***** Plugin bind_ports (92.2 confidence) suggests ************************ If you want to allow /usr/sbin/httpd to bind to network port 30080 Then you need to modify the port type. Do # semanage port -a -t PORT_TYPE -p tcp 30080 where PORT_TYPE is one of the following: http_cache_port_t, http_port_t, jboss_management_port_t, jboss_messaging_port_t, ntop_port_t, puppet_port_t. ...output omitted... El mensaje de registro anterior revela que el puerto 30080/TCP no tiene el contexto apropiado de SELinux http_port_t, por lo que SELinux impide que httpd se vincule con este puerto. El mensaje de registro también produce la sintaxis del comando semanage port para que pueda corregir fácilmente el problema. 464 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa 9.4. Use el comando semanage port para establecer el contexto apropiado de SELinux en el puerto 30080/TCPpara que httpd se vincule con él. [root@serverb ~]# semanage port -a -t http_port_t -p tcp 30080 9.5. Use el comando systemctl para reiniciar httpd. Este comando debe reiniciar el servicio correctamente. [root@serverb ~]# systemctl restart httpd 9.6. Agregue el puerto 30080/TCP a la zona firewalld predeterminada llamada public (público). [root@serverb ~]# firewall-cmd --add-port=30080/tcp --permanent success [root@serverb ~]# firewall-cmd --reload success 9.7. Salga de la shell del usuario root. [root@serverb ~]# exit logout 9.8. Cierre sesión en serverb. [student@serverb ~]$ exit logout Connection to serverb closed. Evaluación En workstation, ejecute el script lab rhcsa-compreview3 grade para confirmar que ha realizado correctamente este ejercicio. Corrija los errores informados y vuelva a ejecutar el script hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab rhcsa-compreview3 grade Finalizar En workstation, ejecute lab rhcsa-compreview3 finish para terminar este ejercicio. Este script elimina los archivos y recursos creados durante el ejercicio para garantizar que el entorno esté limpio. [student@workstation ~]$ lab rhcsa-compreview3 finish Guarde los archivos o trabajos que desee conservar en otros sistemas y restablezca workstation, servera y serverb. Con esto concluye la revisión completa. RH134-RHEL8.2-es-1-20200928 465 capítulo 14 | Revisión completa Trabajo de laboratorio Ejecución de contenedores En esta revisión, configurará un contenedor en su servidor que proporciona contenido web desde el almacenamiento persistente y se inicia automáticamente con el servidor. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear contenedores rootless independientes. • Configurar el redireccionamiento de puertos y el almacenamiento persistente. • Configurar systemd para que los contenedores se inicien cuando se inicia la máquina host. Andes De Comenzar En la máquina workstation, inicie sesión con el usuario student con la contraseña student. En la máquina workstation, ejecute el comando lab rhcsa-compreview4 start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También crea una colección de archivos con cierto contenido web y la cuenta de usuario containers que usa para ejecutar un contenedor de servidor HTTP Apache. [student@workstation ~]$ lab rhcsa-compreview4 start Instrucciones Realice las siguientes tareas en serverb con el usuario containers para completar la revisión integral: • En serverb, cree el directorio /srv/web/ y, luego, extraiga la colección de archivos /home/containers/rhcsa-compreview4/web-content.tgz en ese directorio. Configure el directorio para que un contenedor rootless pueda usarlo para el almacenamiento persistente. • En serverb, instale las herramientas del contenedor. • En serverb, con el usuario containers, cree un contenedor de servidor HTTP Apache independiente con el nombre web. Use la imagen rhel8/httpd-24 con la etiqueta 1-105 desde el registro registry.lab.example.com. Mapee el puerto 8080 en el contenedor al puerto 8888 en el host. Monte el directorio /srv/web en el host como / var/www en el contenedor. Declare la variable de entorno HTTPD_MPM con el valor event. • En serverb, con el usuario containers, configure systemd para que el contenedor web se inicie automáticamente con el servidor. La contraseña para el usuario containers es redhat. Para acceder al registro de imágenes de contenedores en registry.lab.example.com, use la cuenta admin con la contraseña redhat321. Puede copiar y pegar los parámetros del contenedor web desde el archivo /home/containers/rhcsa-compreview4/variables en serverb. 466 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa Evaluación Inicie sesión con el usuario student en la máquina workstation y use el comando lab rhcsacompreview4 grade para calificar su trabajo. Corrija los errores informados y vuelva a ejecutar el comando hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab rhcsa-compreview4 grade Finalizar Con el usuario student en la máquina workstation, use el comando lab rhcsacompreview4 finish para terminar este ejercicio. [student@workstation ~]$ lab rhcsa-compreview4 finish Con esto concluye la revisión exhaustiva. RH134-RHEL8.2-es-1-20200928 467 capítulo 14 | Revisión completa Solución Ejecución de contenedores En esta revisión, configurará un contenedor en su servidor que proporciona contenido web desde el almacenamiento persistente y se inicia automáticamente con el servidor. Resultados Usted deberá ser capaz de realizar lo siguiente: • Crear contenedores rootless independientes. • Configurar el redireccionamiento de puertos y el almacenamiento persistente. • Configurar systemd para que los contenedores se inicien cuando se inicia la máquina host. Andes De Comenzar En la máquina workstation, inicie sesión con el usuario student con la contraseña student. En la máquina workstation, ejecute el comando lab rhcsa-compreview4 start. Este comando ejecuta un script de inicio que determina si la máquina serverb es accesible en la red. También crea una colección de archivos con cierto contenido web y la cuenta de usuario containers que usa para ejecutar un contenedor de servidor HTTP Apache. [student@workstation ~]$ lab rhcsa-compreview4 start Instrucciones Realice las siguientes tareas en serverb con el usuario containers para completar la revisión integral: • En serverb, cree el directorio /srv/web/ y, luego, extraiga la colección de archivos /home/containers/rhcsa-compreview4/web-content.tgz en ese directorio. Configure el directorio para que un contenedor rootless pueda usarlo para el almacenamiento persistente. • En serverb, instale las herramientas del contenedor. • En serverb, con el usuario containers, cree un contenedor de servidor HTTP Apache independiente con el nombre web. Use la imagen rhel8/httpd-24 con la etiqueta 1-105 desde el registro registry.lab.example.com. Mapee el puerto 8080 en el contenedor al puerto 8888 en el host. Monte el directorio /srv/web en el host como / var/www en el contenedor. Declare la variable de entorno HTTPD_MPM con el valor event. • En serverb, con el usuario containers, configure systemd para que el contenedor web se inicie automáticamente con el servidor. La contraseña para el usuario containers es redhat. Para acceder al registro de imágenes de contenedores en registry.lab.example.com, use la cuenta admin con la contraseña redhat321. Puede copiar y pegar los parámetros del contenedor web desde el archivo /home/containers/rhcsa-compreview4/variables en serverb. 468 RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa 1. En serverb, cree el directorio /srv/web/ y, luego, extraiga la colección de archivos /home/containers/rhcsa-compreview4/web-content.tgz en ese directorio. Configure el directorio para que un contenedor rootless pueda usarlo para el almacenamiento persistente. 1.1. Use el comando ssh para iniciar sesión en serverb con el usuario containers. Los sistemas se configuran a fin de que usen claves SSH para la autenticación, por lo que no se necesita una contraseña. [student@workstation ~]$ ssh containers@serverb ...output omitted... [containers@serverb ~]$ 1.2. Use el comando sudo -i para cambiar al usuario root. La contraseña para el usuario containers es redhat. [containers@serverb ~]$ sudo -i [sudo] password for containers: redhat [root@serverb ~]# 1.3. Cree el directorio /srv/web/. [root@serverb ~]# mkdir /srv/web/ [root@serverb ~]# 1.4. Extraiga la colección de archivos /home/containers/rhcsa-compreview4/webcontent.tgz en el directorio /srv/web/. [root@serverb ~]# cd /srv/web/ [root@serverb web]# tar xvf /home/containers/rhcsa-compreview4/web-content.tgz html/ html/index.html [root@serverb web]# 1.5. Los contenedores rootless requieren acceso de lectura al directorio /srv/web/ y a su contenido. Además, el comando podman que se ejecuta con el usuario containers debe ser capaz de volver a etiquetar el directorio para SELinux. Establezca el propietario del directorio en containers y, luego, confirme que todos tengan acceso al contenido. [root@serverb web]# chown -R containers: /srv/web [root@serverb web]# ls -ld /srv/web/ drwxr-xr-x. 3 containers containers 18 Sep 7 04:43 /srv/web/ [root@serverb web]# ls -ld /srv/web/html/ drwxr-xr-x. 2 containers containers 24 Sep 7 04:01 /srv/web/html/ [root@serverb web]# ls -l /srv/web/html/index.html -rw-r--r--. 1 containers containers 546 Sep 7 04:01 /srv/web/html/index.html 2. En serverb, instale las herramientas del contenedor. 2.1. Instale el módulo de Yum container-tools con el comando yum. RH134-RHEL8.2-es-1-20200928 469 capítulo 14 | Revisión completa [root@serverb web]# yum module install container-tools ...output omitted... Is this ok [y/N]: y ...output omitted... Complete! 2.2. Salga de la cuenta root. [root@serverb web]# exit logout [containers@serverb ~]$ En serverb, con el usuario containers, cree un contenedor independiente con el nombre web. Use la imagen rhel8/httpd-24 con la etiqueta 1-105 desde el registro registry.lab.example.com. Mapee el puerto 8080 en el contenedor al puerto 8888 en el host. Monte el directorio /srv/web en el host como /var/www en el contenedor. Declare la variable de entorno HTTPD_MPM con un valor event. 3. Puede copiar y pegar estos parámetros desde el archivo /home/containers/rhcsacompreview4/variables en serverb. 3.1. Inicie sesión en el registro de imágenes de contenedores en registry.lab.example.com, con la cuenta admin con la contraseña redhat321. [containers@serverb ~]$ podman login registry.lab.example.com Username: admin Password: redhat321 Login Succeeded! 3.2. Use el comando podman run para crear el contenedor. El siguiente comando podman run es muy extenso y debe ingresarse como una sola línea. [containers@serverb ~]$ podman run -d --name web -p 8888:8080 -v /srv/web:/var/ www:Z -e HTTPD_MPM=event registry.lab.example.com/rhel8/httpd-24:1-105 ...output omitted... 3.3. Use el comando curl para confirmar que el servidor HTTP Apache se esté ejecutando. [containers@serverb ~]$ curl http://localhost:8888/ Comprehensive Review Web Content Test Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sit amet lacus vestibulum, varius magna sit amet, tempus neque. ...output omitted... Ese contenido proviene de la colección de archivos web-content.tgz que extrajo anteriormente. 4. 470 En serverb, con el usuario containers, configure systemd para que el contenedor web se inicie automáticamente con el servidor. RH134-RHEL8.2-es-1-20200928 capítulo 14 | Revisión completa 4.1. Si usó sudo o su para iniciar sesión con el usuario containers, salga de serverb y use el comando ssh para iniciar sesión directamente en serverb con el usuario containers. [student@workstation ~]$ ssh containers@serverb ...output omitted... [containers@serverb ~]$ 4.2. Cree el directorio ~/.config/systemd/user/. [containers@serverb ~]$ mkdir -p ~/.config/systemd/user/ [containers@serverb ~]$ 4.3. Use el comando podman generate systemd para crear el archivo de unidad systemd desde el contenedor en ejecución. [containers@serverb ~]$ cd ~/.config/systemd/user/ [containers@serverb user]$ podman generate systemd --name web --files --new /home/containers/.config/systemd/user/container-web.service 4.4. Detenga y, luego, elimine el contenedor web. [containers@serverb user]$ podman stop web d16a826c936efc7686d8d8e5617b727f5d272361c54f8a0ca65c57d012347784 [containers@serverb user]$ podman rm web d16a826c936efc7686d8d8e5617b727f5d272361c54f8a0ca65c57d012347784 4.5. Indique a systemd que vuelva a cargar su configuración y, luego, habilite e inicie el servicio container-web. [containers@serverb user]$ systemctl --user daemon-reload [containers@serverb user]$ systemctl --user enable --now container-web.service Created symlink /home/containers/.config/systemd/user/multi-user.target.wants/ container-web.service → /home/containers/.config/systemd/user/containerweb.service. Created symlink /home/containers/.config/systemd/user/default.target.wants/ container-web.service → /home/containers/.config/systemd/user/containerweb.service. 4.6. Confirme que el contenedor se esté ejecutando. [containers@serverb user]$ curl http://localhost:8888/ Comprehensive Review Web Content Test Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sit amet lacus vestibulum, varius magna sit amet, tempus neque. ...output omitted... 4.7. Ejecute el comando loginctl enable-linger para que los servicios de usuario se inicien automáticamente con el servidor. RH134-RHEL8.2-es-1-20200928 471 capítulo 14 | Revisión completa [containers@serverb ~]$ loginctl enable-linger [containers@serverb ~]$ 4.8. Salga de serverb. [containers@serverb ~]$ exit logout Connection to serverb closed. [student@workstation ~]$ Evaluación Inicie sesión con el usuario student en la máquina workstation y use el comando lab rhcsacompreview4 grade para calificar su trabajo. Corrija los errores informados y vuelva a ejecutar el comando hasta obtener un resultado satisfactorio. [student@workstation ~]$ lab rhcsa-compreview4 grade Finalizar Con el usuario student en la máquina workstation, use el comando lab rhcsacompreview4 finish para terminar este ejercicio. [student@workstation ~]$ lab rhcsa-compreview4 finish Con esto concluye la revisión exhaustiva. 472 RH134-RHEL8.2-es-1-20200928

RH134: Administración de Sistemas Red Hat II - Libro de Trabajo

Related documents

Products

Support

RH134: Administración de Sistemas Red Hat II - Libro de Trabajo

Related documents

Add this document to collection(s)

Add this document to saved

Suggest us how to improve StudyLib