3 Erreurs d'édition de configuration commises par les débutants Linux

Pour une raison quelconque, je travaille sur Linux depuis un an et demi, donc j'écrirai ce que j'ai fait jusqu'à présent ~~ (mourant) ~~. Surtout récemment, il était possible d'opérer au niveau du BIOS sur site, mais il existe de nombreux modèles qui ne peuvent pas être réalisés sur le cloud et rester bloqués. (Il existe également un motif qui peut être enregistré)

Je souhaite éviter les altérations et minimiser les rayures, y compris la récupération.

• Cet article suppose RHEL7 et CentOS7.

À peu près ma carrière

• Epoque universitaire: 2 ans d'expérience dans l'exploitation d'un serveur domestique sous Linux (je n'ai rien compris)
• Récemment: 1 an et demi d'expérience de travail sous Linux
• Posséder le niveau LPIC 1
• Ingénieur en information appliquée
• L'expérience de travail est d'environ 6 ans (avant Linux, Windows et le réseau étaient l'objectif principal)

Décédé d'une erreur d'édition dans SElinux

Modification du fichier de configuration (/ etc / selinux / config) pour désactiver SElinux. Où il devrait être "SELINUX = désactivé", J'ai accidentellement défini "SELINUX TYPE = disabled". Ou une faute de frappe. Les détails sont présentés ici, je vais donc l'omettre. https://qiita.com/daisuke0115/items/4b0ed3a5888cf81efd0a

Un environnement dans lequel vous pouvez vous connecter à une machine au niveau du bios convient, mais dans le cloud comme AWS, il reste bloqué.

→ Vous pouvez sauvegarder en éditant en montant l'EBS correspondant sur un autre EC2. http://blog.serverworks.co.jp/tech/2020/04/14/post-82871/

Cependant, comme un cloud domestique? Si le disque ne peut pas être remplacé facilement, il sera obstrué. Vous devrez rétablir ou reconstruire à partir de la sauvegarde.

Contre-mesures

Il est prudent de le faire en copiant et en faisant plus.

cat /etc/selinux/config | grep SELINUX=disabled 

Décédé d'une erreur d'édition fstab

Exemple correct

/dev/sda3 /home xfs defaults,nofail 0 2

Dans mon cas, j'ai oublié d'écrire xfs au milieu et j'ai redémarré, rendant la connexion ssh impossible. .. Si vous faites cela aussi, vous pouvez l'enregistrer de la même manière que ci-dessus. Je ne pouvais pas utiliser l'environnement cloud que je touchais, alors je l'ai restauré à partir d'une sauvegarde.

Contre-mesures

sudo mount -a

Après avoir confirmé qu'il n'y a pas d'erreurs **, redémarrez.

J'ai ignoré l'erreur et j'ai redémarré avec l'élan de la construction. .. Ulsite

De côté

Ajouter un serveur cloud Sélectionnez l'option nofail lors du montage d'un disque! https://inaba-serverdesign.jp/blog/20170210/cloud_disk_mount_fstab_nofail.html

Ajoutons nofail comme indiqué dans.

Décédé avec la permission de root ssh

(Je pense que c'est un peu différent des erreurs d'édition)

En principe, root ssh n'est pas valide sur le serveur. Dans de rares cas, il peut être temporairement activé en raison des propriétés de l'urinoir dans un environnement fermé. Dans mon cas, je viens de m'y habituer, et je l'ai changé même sur le serveur public que j'avais mis en place comme vérification ...

→ Détecté et modifié par détection d'attaque du service cloud (Azure). Le mot de passe est compliqué, donc je n'ai rien.

• AWS a une authentification par clé publique fixe, mais Azure semble être en mesure de choisir entre l'authentification par clé publique SSH et l'authentification par chaîne de caractères.

Contre-mesures

• Identifiez qui peut accéder au serveur d'exploitation.
• Tout cela fait-il partie du réseau de l'entreprise?
• Puis-je y accéder n'importe où si je connais les informations?
• N'utilisez pas autant que possible l'authentification par chaîne sur les serveurs publics. Compliquez le nom d'utilisateur lors de son utilisation.
• Même s'il s'agit d'un serveur public, SSH restreint la source de connexion dans le groupe de sécurité si possible.

Extra: suppression accidentelle d'AWS EC2

J'ai pensé que j'aimerais arrêter le serveur de vérification, et quand je l'ai exploité, j'ai choisi de le mettre fin.

L'écran qui dit terminé et je deviens bleu

Contre-mesures

Activons la protection contre les terminaisons. Prenez ensuite le contrôle de l'AMI, des instantanés et, dans certains cas, au niveau IAM.

Je n'ai rien fait cette fois, j'ai donc passé environ 3 heures à le reconstruire. .. Cela fait mal même s'il s'agit d'un serveur de vérification.

L'idée de sécurité intégrée

Je me suis souvenu de cet échec.

Fail safe (Fail safe, fail safe, anglais: fail safe) consiste à toujours contrôler en toute sécurité lorsqu'une panne se produit en raison d'un dysfonctionnement ou d'un dysfonctionnement de certains appareils ou systèmes. Ou l'une des conceptions de fiabilité avec une telle méthode de conception. Ceci est basé sur le principe que les appareils et les systèmes «échoueront toujours». https://ja.m.wikipedia.org/wiki/%E3%83%95%E3%82%A7%E3%82%A4%E3%83%AB%E3%82%BB%E3%83%BC%E3%83%95

Il apparaît souvent dans les tests de traitement de l'information, mais c'est une idée nécessaire lors de la conception d'un système. Incorporez le concept de sécurité intégrée tel quel. Plutôt, «les êtres humains échouent toujours», alors travaillez sur le principe de l'échec. C'est important. (En détail, il peut s'agir d'une conception de fiabilité différente en fonction des mesures, mais elle est omise)

Dans ce cas, considérez ce qui suit.

• Réduit mécaniquement les opérations erronées
• En cas d'adaptation après redémarrage, vérifier comme décrit.
• Le travail de production sera effectué par deux personnes, un opérateur et un vérificateur, qui utilisent des procédures de travail qui ont fait leurs preuves dans les environnements de développement et de mise en scène.
• Utilisez un outil de gestion de la configuration tel qu'Ansible sans modifier manuellement la configuration.
• Même si une opération erronée se produit, elle peut être restaurée à son état d'origine en effectuant une sauvegarde.
• Effectuez une sauvegarde du système lors de l'édition de Config.
• En plus de la sauvegarde du système, les données d'entreprise, etc. sont sauvegardées séparément.
• Minimisez l'impact commercial même si une opération erronée se produit.
• Pour les travaux de production, travaillez en dehors des heures de service.
• (Comprendre les risques pour le fonctionnement) ← C'est différent de la sécurité intégrée, mais c'est important, et c'est la chose la plus expérimentée ...

Il peut être appliqué à la vie quotidienne, et il n'y a pas de bons exemples ...

• Ayez toujours un parapluie pliant pour qu'il puisse pleuvoir
• J'ai besoin d'une crème pour les lèvres, alors gardez-la au travail, dans un sac, etc.
• Il se peut que vous ne puissiez pas vous lever à l'heure idéale le matin de la journée, alors préparez vos bagages la veille.
• N'oubliez pas de congeler après la cuisson du riz, mais ne le remettez pas et assurez-vous de le terminer avant les repas.

Étant donné que le service cloud peut être démarré et arrêté facilement, il peut ne pas être possible de travailler à partir de la console (niveau BIOS), et cela peut être gênant en cas de problème. Évitons à l'avance les erreurs qui peuvent être évitées comme le chapeau hiyari dans l'industrie manufacturière en raison des cas d'échec et de l'imagination des risques au moment de l'opération.

Les personnes qui l'ont fait dans l'environnement de production Calendrier de l'Avent 2019 https://qiita.com/advent-calendar/2019/yarakashi-production