Решение задач vipnet linux. vipnet_linux решение задач. Руководство администратора

ViPNet Coordinator Linux. Руководство администратора
|
159
найдены core
-файлы, то выдается соответствующее сообщение на терминал и в syslog с просьбой выслать их в адрес разработчика с указанием версии ПО. После отсылки core
- файлы можно удалить, чтобы освободить место на диске.
Для создания дампов аварийного завершения требуется некоторое свободное место в разделе, где расположен каталог ключевых баз. В случае недостатка свободного места core
-файлы создаваться не будут. Во избежание таких ситуаций при старте вышеперечисленных программ производится проверка свободного места на диске. Если места в соответствующем разделе меньше, чем требуется, то выдается сообщение в syslog
(и на терминал, если это старт программы). Кроме того, проверка свободного места производится каждые 5 минут в процессе работы управляющего демона (
iplircfg
).

ViPNet Coordinator Linux. Руководство администратора
|
160
Журналы устранения неполадок ПО
ViPNet Linux
В процессе работы службы (демоны), входящие в состав ViPNet Coordinator Linux, ведут журналы (логи), предназначенные для протоколирования и диагностики работы соответствующей службы. Данные журналы позволяют диагностировать правильность функционирования ПО, а также выявлять неполадки в работе служб ViPNet.
Информация, содержащаяся в журналах, особенно на высоком уровне протоколирования, содержит большое количество деталей о процессах, происходящих внутри служб ViPNet, и предназначена для разработчиков. Эта информация наряду с дампами аварийного завершения программ используется для исследования и выработки рекомендаций по устранению неполадок функционирования ПО ViPNet.
Журналы устранения неполадок могут записываться и храниться различными способами:

В виде текстового файла в указанном настройками каталоге (этот способ используется по умолчанию).

В общем системном журнале ОС Linux, запись в который осуществляется специальной службой – демоном syslogd.
Настройка протоколирования осуществляется с помощью параметров, задаваемых в секции
[debug]
конфигурационных файлов демонов. В секции
[debug]
задаются следующие параметры:

debuglogfile
– место хранения журнала.
Этот параметр имеет следующий формат:
<спецификатор протокола>:<спецификатор URL для данного протокола>
. Текущая версия, как было сказано выше, поддерживает два протокола ведения журналов: o
Запись в файл. В этом случае спецификатор протокола должен иметь значение file
, а спецификатор URL должен содержать полный путь к файлу журнала, например: debuglogfile= file:/var/log/iplircfg.debug
При данных настройках журнал устранения неполадок для управляющего демона будет записываться в указанный файл, как и в предыдущих версиях ПО
ViPNet Coordinator Linux.

ViPNet Coordinator Linux. Руководство администратора
|
161
o
Запись в системный журнал ОС Linux. В этом случае спецификатор протокола должен иметь значение syslog
, а спецификатор URL должен состоять из двух частей, разделенных точкой и определяющих источник (
facility
) и важность
(
level
) для сообщений в системном журнале, например: debuglogfile= syslog:daemon.debug
Источник сообщений (
facility
) определяет процесс, который генерирует сообщения. Источник сообщений может принимать, в частности, следующие значения:

kern
(ядро);

user
(пользовательские программы);

mail
(почтовая система);

daemon
(демоны).
Важность сообщений (
level
) определяет уровень критичности сообщений для администратора ОС Linux и может принимать, в частности, следующие значения:

err
(ошибка);

info
(информационное сообщение);

debug
(отладочное сообщение).
При использовании спецификатора протокола syslog с заданными facility и level сообщения журнала устранения неполадок будут передаваться системному демону syslogd, который будет обрабатывать их в соответствии со своими настройками и сохранять в системном журнале. Помимо сохранения сообщений в локальных файлах системного журнала существует возможность настройки демона syslogd для передачи сообщений на удаленный сервер.
Подробнее с возможностями и способами настройки демона syslogd можно ознакомиться в соответствующем справочном руководстве по syslogd, поставляемом в составе используемого дистрибутива Linux.

debuglevel
– уровень протоколирования.
Уровень протоколирования определяет степень детализации информации, выводимой соответствующей службой в журнал, и задается числом от -1 до 5. С повышением уровня протоколирования увеличивается количество информации, помещаемой в файл журнала. Как и место хранения, уровень протоколирования каждого демона задается в его собственном конфигурационном файле (см.
«
Настройка параметров защищенной сети
» на стр. 56) в зависимости от требуемой степени детализации получаемой информации. По умолчанию протоколирование ведется на 3-ем уровне, который соответствует среднему уровню детализации. В большинстве случаев данной информации достаточно для диагностики работы

ViPNet Coordinator Linux. Руководство администратора
|
162
службы. Однако в некоторых случаях, при возникновении проблем в работе ПО, требуется более подробная информация, что требует установки более высокого уровня протоколирования. В этих случаях рекомендуется обратиться в службу поддержки ОАО «Инфотекс» за консультацией по выбору оптимального уровня протоколирования, необходимого для исследования и устранения неполадок.
Как было сказано, увеличение уровня протоколирования приводит к увеличению объема информации в файле, в котором данный журнал хранится, и соответственно размера данного файла. При использовании уровня протоколирования по умолчанию (3) размер файла журнала увеличивается в среднем на 150-300 Кбайт в час в зависимости от интенсивности трафика, количества узлов в сети и т.д. При более высоких уровнях протоколирования размер файла журнала растет быстрее. В случае хранения журналов служб ViPNet в системном журнале проблем с превышением максимального размера файла журнала в большинстве случаев быть не должно, так как в ОС Linux по умолчанию настроена ротация файлов системного журнала. Однако в случае хранения журналов служб ViPNet в отдельных файлах (с использованием спецификатора протокола file в параметре debuglogfile
) такая проблема может возникнуть.
Для предотвращения превышения максимального размера файла хранения журнала и критического уменьшения свободного места файловой системы ПО ViPNet Coordinator
Linux реализует механизм ротации и архивирования журналов. Для этого используется системная утилита logrotate
, являющаяся базовым средством ротации журналов в ОС
Linux. Эта утилита обычно запускается на регулярной основе с помощью планировщика cron
. Рекомендуется запускать утилиту раз в день, сконфигурировав cron соответствующим образом.
Внимание! Наличие утилиты logrotate
, а также планировщика cron является обязательным условием для корректной работы системы протоколирования.
Планировщик cron необходимо настроить на регулярный запуск утилиты logrotate
, т.к. программа-инсталлятор ПО ViPNet Coordinator Linux не конфигурирует планировщик.
При установке ПО ViPNet Coordinator Linux в каталоге
/etc/logrotate.d создается файл vipnet
, в котором задаются параметры ротации файлов в каталоге
/var/log: iplircfg.debug.log
, failover.debug.log
, mftp.debug.log
. По умолчанию в файле vipnet установлены следующие значения параметров:

выполнять ротацию ежедневно;

хранить журналы за последние 7 дней;

сжимать старые журналы;

ViPNet Coordinator Linux. Руководство администратора
|
163

после ротации и перед сжатием (опция postrotate
) вызывать соответствующий скрипт с параметром logrotate
: o для iplircfg.debug.log
– скрипт iplir
; o для failover.debug.log
– скрипт failover
; o для mftp.debug.log
– скрипт mftp
Внимание! В файле конфигурации
/etc/logrotate.d/vipnet используются абсолютные пути к файлам журналов демонов ViPNet. Не рекомендуется менять эти пути. Однако если все же решено изменить параметр debuglogfile
, необходимо также изменить его в файле конфигурации
/etc/logrotate.d/vipnet
. Кроме того, нельзя переносить файлы журналов в другое место путем их замены на символические ссылки.

ViPNet Coordinator Linux. Руководство администратора
|
164
Процессы-демоны, входящие в состав ПО ViPNet Linux
При работе ViPNet Coordinator Linux в памяти постоянно находятся следующие программы-демоны:

iplircfg – основной управляющий демон ViPNet, реализующий функции Сервера IP- адресов, ведения журнала и т.д. Запускается командой iplir start и останавливается командой iplir stop

mftpd – демон MFTP, осуществляющий обработку и пересылку конвертов Деловой почты, прием обновлений справочников и ключей и т.д. Запускается командой mftp start и останавливается командой mftp stop

failoverd – демон системы защиты от сбоев (см. «
Система защиты от сбоев
» на стр.
120). Запускается командой failover start и останавливается командой failover stop
Все программы-демоны, входящие в состав ПО ViPNet Coordinator Linux, функционируют как процессы операционной системы, которые можно увидеть, выполнив, например, команды ps aux или top
. При этом название соответствующего
A

ViPNet Coordinator Linux. Руководство администратора
|
165
процесса отражает его текущее состояние, т.е. функции, которые он выполняет в данный момент. В начале заголовка процесса пишется имя демона (
iplircfg, mftpd, failoverd
), затем двоеточие и пробел, а затем строка, идентифицирующая текущее состояние.
Ниже приведен список возможных состояний для процессов-демонов ПО ViPNet
Coordinator Linux с кратким описанием.
Управляющий демон iplircfg:

initializing
– означает, что производится процедура инициализации демона, которая выполняется до начала выполнения его основных функций. Обычно процедура инициализации включает в себя чтение и анализ конфигурации, загрузку информации в драйвер и т.п. и занимает короткое время (от одной до нескольких десятков секунд).

working
– означает, что процедура инициализации завершилась успешно и демон вошел в режим выполнения своих основных функций. Данное состояние остается до завершения работы процесса управляющего демона.
В случае работы системы защиты от сбоев в режиме кластера горячего резервирования при запуске управляющего демона в пассивном режиме в конце заголовка процесса добавляется обозначение режима:
(passive)
Демон mftpd:

initializing
– означает, что производится процедура инициализации демона, которая выполняется до начала выполнения его основных функций. Обычно процедура инициализации занимает короткое время (от одной до нескольких десятков секунд).

updating
– означает, что запущен процесс удаленного обновления ключей, справочников или ПО.

transferring
– означает, что в данный момент производится активная передача конверта по одному из MFTP-каналов (кроме SMTP/POP3) как в случае приема, так и в случае передачи данных.

connecting
– означает, что в данный момент производятся попытки соединиться с одним из удаленных узлов (кроме канала SMTP/POP3) либо с демоном mftpd на пассивной части (в случае работы в составе кластера горячего резервирования).

idle
– означает, что демон mftpd в данный момент находится в режиме простоя, т.е. выполняет неосновные функции, не относящиеся ни к одному из вышеперечисленных состояний.

ViPNet Coordinator Linux. Руководство администратора
|
166
В любом состоянии к заголовку процесса mftpd также добавляется режим работы системы защиты от сбоев:

(single)
– одиночный режим работы;

(active)
– активный режим работы в составе кластера горячего резервирования;

(passive)
– пассивный режим работы в составе кластера горячего резервирования.
Демон системы защиты от сбоев failoverd:

initializing
– означает, что производится процедура инициализации демона, которая выполняется до начала выполнения его основных функций. Обычно процедура инициализации включает в себя чтение и анализ конфигурации, конфигурирование параметров сетевых интерфейсов, перезапуск других демонов и т.п., в зависимости от режима работы системы защиты от сбоев. Данная процедура занимает короткое время (от одной до нескольких десятков секунд).

working
– означает, что процедура инициализации завершилась успешно и демон вошел в режим выполнения своих основных функций.

switching to active
– означает, что производится настройка системы при переключении из пассивного режима в активный. Данное состояние возможно только в случае, если система защиты от сбоев функционирует в режиме кластера горячего резервирования.

rebooting
– означает, что демоном failoverd инициирован процесс перезагрузки системы.
В любом состоянии (кроме switching to active
) к заголовку процесса добавляется режим работы системы защиты от сбоев:

(single)
– одиночный режим работы;

(cluster) (active)
– активный режим работы в составе кластера горячего резервирования;

(cluster) (passive)
– пассивный режим работы в составе кластера горячего резервирования.

ViPNet Coordinator Linux. Руководство администратора
|
167
Модули ядра, входящие в состав ПО ViPNet Linux
При работе ViPNet Coordinator Linux в памяти постоянно находятся следующие модули ядра системы (также называемые драйверами):

drviplir – основной драйвер ViPNet, осуществляющий обработку сетевых пакетов.
Порождает потоки по количеству ядер CPU (по умолчанию) или по количеству, заданному параметром threads_count
(см. «
Управление числом потоков в драйвере
» на стр. 151), которые видны в списке процессов как
[kiplird0]
,
[kiplird1]
и т.д., при выгрузке уничтожает их. Загружается по команде iplir start
, выгружается по команде iplir unload
. Не может быть выгружен вручную командой rmmod
. Для корректной работы должен быть загружен после драйвера itcscrpt. Для корректной работы с системой watchdog должен быть загружен после драйвера itcswd.

itcscrpt – криптографический драйвер, осуществляющий криптографические операции по запросу драйвера drviplir. Загружается по команде iplir start
, выгружается по команде iplir unload

itcswd – драйвер системы защиты от сбоев, осуществляющий контроль за состоянием системы. Порождает поток ядра, который виден в списке процессов как
[kwatchdogd]
, при выгрузке уничтожает его. Загружается по команде vipmod start
,
B

ViPNet Coordinator Linux. Руководство администратора
|
168
после остановки демона failoverd и выгрузки драйвера drviplir может быть выгружен вручную командой rmmod
Действия по выгрузке и загрузке драйверов ViPNet вручную должен производить только опытный администратор Linux.

ViPNet Coordinator Linux. Руководство администратора
|
169
Изменения, производимые в системе при установке и удалении ViPNet Linux
Дистрибутив ViPNet Coordinator Linux может поставляться в двух вариантах: динамическом и статическом. В динамическом варианте общие части кода различных программ поставляются в виде динамически загружаемых библиотек. При этом экономится место на диске и используемая оперативная память, однако динамически загружаемые библиотеки могут не работать при нестандартных настройках системы. В статическом дистрибутиве все программы независимы и не требуют никаких динамических библиотек. Статический дистрибутив отличается наличием суффикса
–
static в имени файла. В дальнейшем в этом приложении, если иное не указано явно, речь идет о поведении обоих вариантов дистрибутивов.
При установке:
1 В каталог
/sbin записываются файлы: iplircfg iplircfg.crg dbviewer
C

ViPNet Coordinator Linux. Руководство администратора
|
170
dbviewer.crg iplir_remote_info iplir_remote_info.crg iplir-config-manager iplir-config-manager.crg failoverd failoverd.crg failover_info failoverd_info.crg unmerge fetchmail fetchmail.crg iplirpasswd iplirpasswd.crg mftpd mftpd.crg mailtrans mailtrans.crg mftp_remote_info mftp_remote_info.crg iplir_monitoring_export iplir_monitoring_export.crg monitoringcfg monitoringcfg.crg iplir vipmod failover mftp rmiplir