Lajber Zoltán lajbi@zeus.gau.hu Szent István Egyetem Informatikai Hivatal Mi a Linux, mi a filozófiája Miért jó a Linux, és miért jó szervernek A Linux hátrányai Gyakoribb szolgáltatások, elrendezések Hardver méretezés, szoftver megoldások 1 / 21
Mi a Linux? Nagyon röviden: egy a POSIX szabványokat követő szabadon felhasználható Unix operációs rendszer amelyet Linus Torvalds kezdett el fejleszteni előbb egyedül, gyakorlatilag a nulláról indulva 1991 végén, majd később egyre több hacker, szakember és egyetemista csatlakozott hozzá az Interneten keresztül. (http://mlf.linux.rulez.org/mlf/alapok.html) 2 / 21
Miért jó a Linux? A Linux hátrányai gondolkodásmódja teljesen eltér az asztali gépeknél megszokottól nagyon hatékony, de a hibás utasításokat is gyorsan végzi el :-) tanulási görbéje elrettenti a kezdőket mivel szabad és nyilt szoftver, a rendszer végleges jellemzői alapvetően a rendszergazdán múlnak (szolgáltatások, megbízhatóság) A Linux előnyei Mivel szabad és nyilt szoftver, teljes dokumentació rendelkezésre áll (Use the source, Luke!) Kényszeríti a rendszergazdát a tanulásra, fejlődésre internet közösség által nagyon jó támogatottság 3 / 21
A Linux alkotóelemei Kernel : Az operációs rendszer magja. A Linux szó maga szabatosan csak a magot jelenti. Disztribuciók : Ahhoz, hogy használni tudjuk, sok-sok dolog kell meg a kernel mellé. Az ilyen összeállításokat hívjuk disztribúcióknak. A jelentősebbek: Debian GNU/Linux, SuSe Linux, Red Hat Linux A verziószámok Kernel: formaja mindig X.Y.Z alaku. Az X a fő verzió szám. Ha az Y páros (és 0), akkor stabil, ha páratlan, akkor fejlesztői változat. A Z sorszám. (2.4.18) Disztribuciók: verziószám, de többnyire fedőneve is. Jelenleg például Debain/GNU Linuxból a 2.2 (potato), a stabil, és a 3.0 (woody) a fejelszés alatt álló. 4 / 21
Miért jó szervernek? teljes telepítési és beállítási folyamat a rendszergazda kezében van csak a szükséges összetevőket kell telepíteni, így fokozható a rendszer biztonsága, és csökkenthető a hardver igény nem kell futtatni a felesleges, munkát lassító és biztonságot csökkentő grafikus felületet megfelelő disztribúciót használva a folyamatos karbantartáshoz szükséges idő minimális 5 / 21
Tervezés hálózatbiztonságra Tervezési alapelvek: lehető legegyszerűbb elrendezés rétegezett védelem különböző biztonsági igényű hálózatok szétválasztása megbizhatatlan hálózatok leválasztása megvalósítás és üzemeltetés költségeinek figyelembevétele 6 / 21
Alapfogalmak külső szerver: olyan gép, amelyik kifelé szolgáltatást nyújt (screened host) külső alhálózat: olyan alhálózat, amelyik kifelé szolgáltatást nyújt (screened subnet, DMZ) külső router: nagyvilág és külső háló között belső router: külső és belső háló között csomagszűrő: router, amelyik ip csomagokat szűr a bennük lévő info alapján proxy: kétlábú gép, amelyik a kliensek nevében indít új TCP kapcsolatokat. nem biztonságos protokoll: ahol az azonosítási informació nyilt szövegben továbbítódik. 7 / 21
Tipikus tűzfal elrendezések Egydobozos router proxy csomagszűrő: magas host biztonság, kevés protokoll, nagy teljesítmény proxy: kis forgalom, nem kritikus internet 8 / 21
Külső szerveres router szerver router: csomagszürés, port forward belső proxyra alkalmas: kevés bejövő kapcsolat (SMTP, de nem HTTP), jól karbantartott hálózaton 9 / 21
Külső alhalózatos access router szerver choke router külső szerver: bejövő kapcsolatok fogadása, kimenő forgalom proxy belső router: belső háló védelme kintről és DMZ-ből, csomagszűrés, DMZ/belső között forgalom minimalizálás: DNS, SMTP külső router: hasonló csomagszűrés, mint a belső routeren alkalmas: szinte mindenhová, több külső szerverrel jól skálázható 10 / 21
Egyszerűsítési lehetőségek több külsőszerver külső és belső router összevonása: ha a router tud in és out filtert külső router és külső szerver összevonása belső router és külső szerver összevonasa külső alháló és külső szerver a belső hálóban több belső router több belső háló, de 1 router több belső háló 1 + több router (gerincháló) több külső router OK OK OK veszélyes veszélyes veszélyes OK OK OK 11 / 21
Kiválasztott hálózat router kulso szerver lanswitch belso szerver switch switch switch 12 / 21
Tervezés teljesítményre Várható forgalom becslése A munkaállomásonkénti sávszélesség-igény erősen függ a felhasználás jellegétől: Felhasználó I/O / mp várható sávszélesség-igény Átlagos irodai 1.2 10 kbyte/sec Erős irodai, terminal szerver 2.5 20 kbyte/sec Fejlesztő 4-100 50-4000 kbyte/sec 13 / 21
A szűk keresztmetszetek meghatározása - hálózat Az elérhető sávszélesség különböző hálózatoknál: Megnevezés 10M ethernet, HUB vagy coax 10M ethernet, switchelt 100M fastethernet 1G gigabit ethernet fastethernet switch backplane Várható max. sávszélesség 300-600 kbyte/sec 1100 kbyte/sec 6000-11000 kbyte/sec 40000-110000 kbyte/sec 0.2-1.2 Gbyte/sec 14 / 21
Szűk keresztmetszetek meghatározása - szerverek Megnevezés Intel Pentium 133 PPro 200 Xeon 800 I 33MHz/32bit I 66MHz/64bit HDD IDE 5400 rpm HDD IDE 7200 rpm HDD SCSI 7200 rpm HDD SCSI U160,10k rpm Várható max. sávszélesség 5600 kbyte/sec 11000 kbyte/sec 40000 kbyte/sec 8056 kbyte/sec 32226 kbyte/sec 8400 kbyte/sec 11250 kbyte/sec 13750 kbyte/sec 25000 kbyte/sec 15 / 21
Egyenszilárdságú rendszerek Sávsz. Felh. Hálózat CPU alaplap HDD kbyte/sec száma típusa típusa busz típusa 300 15 10M, koax 1100 55 10M swtichelt 2000 100 ISA 16 bit 5600 280 P 133 8000 400 100M noname IDE 5400 rpm 11000 550 100M márkás PPro 200 I 33Mhz/32bit IDE/UDMA 25000 SCSI U160, 10000 rpm 32000 40000 Xeon 800z I 66MHz/64bit 16 / 21
Kábelezés kiválasztása Megnevezés Sebesség Max. távolság koaxiális kábel 10Mbps 188m UTP Cat5 100Mbps 100m UTP Cat6 1000Mbps 100m Multimódusú FX 100Mbps 412m/2000m Multimódusú GX 1000Mbps 225-550m 17 / 21
Alkalmazás méretezés Például file szerver Linux+SaMBa: Memóriaigény: 2.5M nmbd, 2.5M smbd, + 800k felhasználónként, így: Felhasználók száma memóriaigény 20 21 Mbyte 50 45 Mbyte 100 85 Mbyte 18 / 21
Egy közepes hálózat Dial-in Mag Határ HBONE reg.kp. c3640 c3640 c65gau c6509l3 sw-dmz c3550 c73gau c7304 sw-godollo c3508g Management c2509 c2509 gfw-a PIX 525 Központ gsw-core c2924xl-m gfw-b PIX 525 19 / 21
Összefoglalás hálózat teljesítménye nehezen jósolható meg szűk keresztmetszetek keresése, bővítése valószínű szűk keresztmetszetek: coax kábel, HUB, -s szerver busz és disk teljesítménye. biztonsági alapelvek kivétel nélküli betartása 802.1Q VLAN a belső terhelés elosztáshoz felügyelet, monitorozás: netsaint, mrtg 20 / 21
Az előadás letölthető: http://zeus.gau.hu/ lajbi/eloadasok.html E-mail címem: lajbi@zeus.gau.hu 21 / 21