Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

189_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

32.08 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 11 1213 / 1413 14 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 10 /189/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Ociacia@shutterstock.com

Двое из ларца, одинаковы с лица

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
		129
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ОДИНАКОВЫ СЛИЦА

VAGRANT

Если кто-то вдруг еще незнаком с таким замечательным инструментом, как Vagrant, советую это поскорее исправить. Vagrant необходим для того, чтобы с легкостью создавать девелоперские виртуальные машины с нужными настройками и с такой же легкостью уничтожать их после того, как они перестают быть нужны. Очень удобное решение, например, когда ты пишешь набор Chefрецептов или Puppet-манифестов и тебе надо все время их тестировать.

Официальный сайт проекта: www.vagrantup.com.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 130						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

SYN/ACK

С началом активного развития Web’а появилась проблема синхронизации набора ПО, его версий и настроек для production-

и development-окружений. Создатель Vagrant придумал новый инструмент, который должен помочь решить эту проблему, — Packer.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 10 /189/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

БОЛЬСИСТЕМНЫХАДМИНИСТРАТОРОВ

Наверное, все знают про набор LAMP для Windows, который распространяется под названием Denwer. Когда-то основная масса девелоперов пользовалась именно им, чтобы эмулировать тестовую среду для своего проекта. Когда проект был готов и тщательно оттестирован на локальном компьютере, наступала пора переместить созданный сайт на хостинг. Но настройки ПО на локалхосте и настройки ПО на хостинге, как правило, разнились. И вот тут-то звучала коронная фраза: «А на Денвере все работало!» Был и ее аналог — когда после переноса с одного хостинга на другой какие-то части проекта переставали работать, клиент/программист восклицал: «А на старом хостинге все работало!» Обе фразы давно стали притчей во языцех. С тех пор как Денвер активно использовался девелоперами, прошло уже много лет, и сейчас у разработчиков в ходу уже совершенно другие инструменты для эмуляции окружения на локальной машине, но проблема различных настроек для development- и production-окружений до сих пор имеет место быть. В этой статье мы рассмотрим одну из новых технологий, которая помогает убрать эту проблему раз и навсегда.

ЗАЧЕМОСВАИВАТЬРАБОТУСPACKER?

Митчелл Хашимото, создатель Vagrant, придумал и реализовал проект под названием Packer. Основное назначение данного проекта — автоматизация сборки образов для таких систем, как Amazon EC2, DigitalOcean, Docker, Google Compute Engine, OpenStack, Parallels, QEMU, VirtualBox, VMware. Также возможно расширение списка поддерживаемых провайдеров за счет плагинов.

Одна из ключевых особенностей этой технологии — образы, созданные с помощью одного и того же шаблона Packer для разных провайдеров, будут идентичными. То есть мы можем описать настройки, на базе которых будут созданы идентичные образы, к примеру, для Amazon EC2 и VirtualBox. Что это нам дает?

1.Время создания инстанса в амазоне или виртуалки для разработчика из готового образа значительно меньше, чем время, которое нужно затратить с нуля на подготовку виртуальной машины к работе. Это достаточно критичный момент, так как порой очень важно ввести в работу новый инстанс нужного типа за кратчайшее время для того, чтобы начать пускать на него трафик.

2.Помимо того что образ виртуальной машины для разработчика будет готов заранее, он всегда будет соответствовать по набору ПО и его настройкам тому серверу, который используется в production. Важность этого момента трудно недооценить — крайне желательно, чтобы деплой нового кода на продакшн привел к тому, чтобы сайт продолжал корректную работу с новой функциональностью, а не упал из-за какой-то ошибки, связанной с недостающим модулем PHP или отсутствующим ПО.

3.Автоматизация сборки production- и developmentокружений экономит время системного администратора. В глазах работодателя это также должно быть несомненным плюсом, так как это означает, что за то же время администратор сможет выполнить больший объем работы.

4.Время для тестирования набора ПО, его версий, его настроек. Когда мы подготавливаем новый образ заранее, у нас есть возможность (и, что самое главное, время!) для того, чтобы спокойно и вдумчиво проанализировать различные ошибки, которые возникли при сборке образа, и исправить

		их. Также есть время для тестирования работы приложения
		на собранном образе и внесения каких-то настроек для оп-
		тимизации приложений. В случае же, если мы настраиваем
		инстанс, который нужно было ввести в работу еще вчера, все
		возникающие ошибки, как правило, исправляются по факту
WWW		их возникновения уже на работающей системе — конечно
WWW		же, это не совсем правильный подход.
Детальное описание ра-		Таким образом, мы имеем как минимум четыре причины
боты с Amazon доступно	для того, чтобы начать изучение Packer.
в соответствующем раз-	НАЧАЛОРАБОТЫ
деле официальной до-	НАЧАЛОРАБОТЫ
кументации Packer (goo.	Центральным сайтом с документацией по Packer в процес-
gl/nF4TAC), в нем также	се его изучения будет www.packer.io. На официальном сай-
можно найти описание	те	собрано достаточное количество документации про то,
всех интересующих	как работать с Packer и всеми возможными провайдерами.
параметров.	В необходимых местах официальная документация отсылает
	к внешним источникам, содержащим полную информацию
	по нужной теме. Все инструкции по установке Packer можно
	легко найти на этом же сайте.
		Итак, сейчас мы разберем, как с помощью Packer подгото-
	вить образ для Amazon EC2 — AMI.
		Packer предоставляет возможность собирать AMI для ама-
	зона тремя способами:
	•	amazon-ebs — создает EBS-backed AMI путем создания
		исходного инстанса, применения к нему всех нужных на-
		строек (provisioning) и последующего создания AMI из этого
		инстанса;
	•	amazon-instance — создает intance-store AMI путем соз-
		дания исходного инстанса, настройки его и последующей
		перепаковки его и заливки в S3;
	•	amazon-chroot — создает EBS-backed AMI из существу-
		ющего инстанса путем монтирования корневого раздела
		этого инстанса и последующего chroot’а в точку монтиро-
		вания для выполнения всех необходимых настроек. Метод
		не рекомендуется использовать новичкам и хорош тем,
		что не требует запуска дополнительных инстансов для соз-
		дания AMI.
		Для нашего примера мы выбираем способ создания

amazon-ebs.

ОБРАЗЫ, СОЗДАННЫЕ С ПОМОЩЬЮ ОДНОГО И ТОГО ЖЕ ШАБЛОНА PACKER ДЛЯ РАЗНЫХ ПРОВАЙДЕРОВ, БУДУТ ИДЕНТИЧНЫМИ. ТО ЕСТЬ МЫ МОЖЕМ ОПИСАТЬ НАСТРОЙКИ, НА БАЗЕ КОТОРЫХ БУДУТ СОЗДАНЫ ИДЕНТИЧНЫЕ ОБРАЗЫ,

К ПРИМЕРУ, ДЛЯ AMAZON EC2 И VIRTUALBOX

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 10 /189/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Двое из ларца, одинаковы с лица

СОЗДАНИЕAMI

Итак, приступим. Если у тебя еще нет аккаунта на aws.amazon. com, то необходимо его создать. Эта процедура проста и не должна вызвать затруднений. После того как аккаунт создан и мы залогинились в панель управления AWS, нужно перейти в раздел IAM. AWS Identity and Access Management (IAM) позволяет нам гибко управлять пользователями и их привилегиями в рамках всего AWS. Для начала создадим себе пользователя, от имени которого Packer будет выполнять все необходимые действия с инстансами/снапшотами/AMI. При создании пользователя обязательно нужно сгенерировать для него Access Key. На рис. 1 можно увидеть пример, как это сделать.

На следующей после создания пользователя странице будут указаны очень важные данные: Access Key ID и Secret Access Key. Эти данные необходимо сразу же сохранить — потом подсмотреть их будет негде, только перегенерировать. Теперь нужно выставить необходимые политики для нашего пользователя. Это можно сделать в разделе User Policies в свойствах пользователя. Заходим в свойства созданного нами пользователя, выбираем Attach Policy → Custom Policy, а далее вводим имя пользователя и набор необходимых разрешений. Список разрешений можно увидеть на рис. 2. В текстовом виде его можно взять из официальной документации Packer (goo.gl/yOIg6J). После нажатия на Apply Policy изменения будут применены. Чтобы убедиться, что нам будет доступно создание образов с этим списком разрешений, мы можем открыть IAM Policy Simulator, выбрать нужного пользователя, политику, метод, и после нажатия Run Simulation веб-интерфейс амазона выдаст нам вердикт — позволяют ли привилегии нашего пользователя выполнять нужные нам функции.

Следующим этапом нужно написать JSON-шаблон, согласно которому Packer будет выполнять различные действия по созданию AMI. Образец конфига, по которому я создавал AMI в качестве примера для этой статьи, можно увидеть на рис. 3. Стоит отдельно отметить, что многие параметры впоследствии можно переопределять из консоли, передавая необходимые параметры при вызове Packer, например:

$ packer build -var 'aws_access_key=some_key'

-var 'aws_secret_key=some_key_2' template.json

В нашем образце мы устанавливаем некоторый набор ПО, делаем это с помощью bash. В серьезных окружениях provisioning выполняется, как правило, с помощью Chef или Puppet. На сайте Packer есть соответствующие инструкции для подключения других систем развертывания. Тип инстанса выбран t1.micro — для тестов можно воспользоваться и им, особенно если учесть, что на него распространяется годовой период бесплатного использования от амазона.

Далее происходит валидация созданного нами шаблона Packer. В примере показано, что с шаблоном все в порядке:

$ packer validate template.json

Template validated successfully.

Процесс сборки образа запускается командой

$ packer build template.json

Рис. 1. Создание пользователя в IAM

Рис. 2. Список разрешений для IAMаккаунта

Рис. 3. Образец конфигурационного файла для сборки Amazon AMI

Рис. 4. Сборка AMI с помощью Packer

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			131
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Всамой последней строке мы увидим результирующую информацию: о том, что собранный AMI имеет ID ami-8cd8fdde

идоступен в регионе ap-southeast-1. После этого в панели управления EC2 в разделе AMI появится собранный нами образ, а в разделе Snapshots — снапшот для root-EBS инстансов, которые будут создаваться из этого образа.

Вобщем-то, на этом все — теперь мы можем создавать инстансы из этого AMI, и они будут содержать все необходимое нам ПО.

ВЫВОДЫ

Как мы видим, использование Packer может в значительной мере облегчить жизнь компании, занимающейся разработкой каких-либо веб-проектов. Сам по себе Packer достаточно прост — думаю, ты убедился в этом после прочтения данной статьи.

Также хотелось бы отметить, что Packer не может служить полной заменой для того же Vagrant. У них разное назначение. Vagrant незаменим для того, чтобы быстро создавать тестовые окружения с максимально актуальной конфигурацией — например, когда манифесты Puppet были дополнены вчера и сегодня, а образы с помощью Packer собирались вчера, так как в production эти изменения в конфигурации пока что не планировалось выкладывать.

И еще — если вдруг кто-то подумал, что использование Packer отменяет необходимость в Puppet/Chef для автоматизации управления инфраструктурой, то это тоже будет неверным выводом. Packer лишь гармоничное дополнение к этим мощным системам, именно в сочетании с ними он позволит добиться максимально эффективной работы команды разработки и администрирования.

Если возникли какие-либо вопросы или же тебе хочется поделиться своими способами решения подобных задач — пиши на email abaranov@itsumma.ru.

2		3

и выглядит так, как изображено на рис. 4.

				hang	e
			C		e	E
		X				E
	-						d
	F							t
	D							i
	D							r
P					NOW!			o
P
				BUY						SYN/ACK
				BUY
w Click				to 132					m
w
	w							o
	.						.c
		p				g
							e
				БАЗОВАЯАМУНИЦИЯ
			df		n
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 10 /189/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

СОБИРАЕМ НАБОР ПОЛЕЗНЫХ ТУЛЗ ДЛЯ MYSQL И КЛОНОВ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY						Базовая амуниция
w Click				to	ХАКЕР 10 /189/ 2014						Базовая амуниция
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Практически любое современное клиент-серверное приложение не обходится без СУБД, и в большинстве организаций обслуживание серверов баз данных лежит исключительно на плечах сисадмина. Штатные инструменты позволяют решить только базовые задачи, и их функций не всегда достаточно. Утилиты сторонних разработчиков сделают администрирование MySQL и клонов очень простым.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
		133
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Мартин «urban.prankster» Пранкевич martin@synack.ru

karnoff@shutterstock.com

У MySQL Workbench очень богатые возможности по администрированию MySQL

СМОТРИ ОБУЧАЮЩИЕВИДЕО КЭТОЙСТАТЬЕ: YOUTU.BE/JQET_ QEET2I

ИНТЕРФЕЙСАДМИНИСТРИРОВАНИЯ

MySQL и клоны по умолчанию распространяются без графического интерфейса. В самых простых случаях с несколькими базами для управления достаточно командной строки, когда же количество серверов, баз и админов, их обслуживающих, переваливает за десяток, необходимость в GUI становится более очевидной. Oracle предлагает свою разработку — единый инструмент для разработчиков баз данных и администраторов MySQL Workbench (mysql.com/products/workbench) для Windows, Linux, OS X. Это мощная среда с большими возможностями, позволяющая визуально проектировать, создавать базы данных и управлять ими. Доступны все инструменты для настройки серверов, администрирования учетных записей, бэкапа и восстановления, аудита и простого мониторинга состояния. Также с его помощью можно легко выполнить миграцию с других СУБД — MS SQL Server, Sybase ASE, PostgreSQL и прочих. Возможности к тому же можно расширить при помощи плагинов. Интерфейс не локализован. Функций очень много, поэтому некоторое время придется потратить, чтобы освоиться, хотя в общем среда удобная. Версия Community (OSS) Edition распространяется по лицензии GNU GPL. Установка проблем не вызывает, доступны пакеты под разные дистрибутивы Linux, Windows и OS X. Для Red Hat / CentOS лучше воспользоваться в EPEL, в Ubuntu APT репозиторием разработчика (dev.mysql.com/downloads/repo/apt).

$ wget -c http://dev.mysql.com/get/

mysql-apt-conig_0.2.1-1ubuntu14.04_all.deb

$sudo dpkg -i mysql-apt-conig_0.2.1-1 ubuntu14.04_all.deb

$ sudo apt-get install mysql-workbench

Очень популярен среди хостеров phpMyAdmin (phpmyadmin.net), позволяющий выполнить в интуитивной среде большинство операций по управлению базами данных, работе с таблицами, индексами, правами доступа, настройку репликации, экспорт информации, бэкап/восстановление, просматривать статистику и так далее. При этом остается воз-

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						SYN/ACK
					BUY
w Click				to 134						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

можность непосредственного ввода любых SQL-запросов. Поддерживается управление несколькими серверами. Все достаточно интуитивно, и с администрированием может справиться пользователь без особой подготовки, с любого устройства, где есть браузер. В Сети множество инструкций

ипримеров по использованию phpMyAdmin. Установка из репозитория пакетов проблем не вызывает, в качестве вебсервера можно использовать не только Apache, но и более легкие nginx или lighttpd. Некоторые панели управления хостингом вроде cPanel и Plesk имеют поддержку phpMyAdmin.

Пользователи Windows наверняка оценят HeidiSQL (heidisql.com), поддерживающий управление MySQL, MS SQL

иPostgreSQL (пока экспериментально) и распространяемый под Open Source лицензией. Программа имеет очень удобный интерфейс, поддерживает подключение сразу к нескольким серверам, которые доступны в одном окне, это упрощает операции по экспорту/импорту данных. Доступно создание и редактирование баз, таблиц, управление привилегиями, экспорт таблиц (CSV, HTML, XML, SQL, ...), поиск, оптимизация, мониторинг. При написании запросов помогает автодополнение. Поддерживается командная строка, возможно подключение по SSH-тоннелю. Есть Portable-версия, используя Wine, его можно запустить и в *nix / OS X.

Для тех, кому не подошли описанные продукты, в интернете можно найти большое количество аналогов: SQLyog (code.google.com/p/sqlyog), dbForge Studio for MySQL (devart. com/ru/dbforge/mysql/studio), TOra (torasql.com), SQL Buddy (sqlbuddy.com) и другие.

УТИЛИТЫМОНИТОРИНГА

Как и любое приложение, СУБД требует постоянного наблюдения за своей работой, чтобы в случае проблем легко можно было найти узкое место. Общую информацию о работе MySQL можно получить при помощи стандартного клиента mysqladmin. Запросы вроде SHOW QUERY LOG, SHOW PROCCESSLIST, SHOW VARIABLES, SHOW GLOBAL STATUS и другие редко дают четкую картину, так как медленные запросы есть всегда, но они не обязательно влияют на работу сервиса. Есть еще утилита mysqldumpslow, которая анализирует данные slow.log и выводит самые частые медленные запросы.

Версия Enterprise предлагает специальный инструмент MySQL Enterprise Monitor, который предоставляет в реальном времени информацию о производительности и доступности всех баз данных MySQL. Кроме того, для большинства систем мониторинга, включая Open Source Nagios, Cacti, Zabbix, Ganglia, доступны специальные плагины. Например, Nagios (nagios.com/solutions/mysql-monitoring). Каждый из плагинов должен быть правильно настроен, чтобы представить по дробную информацию о том, что происходит в MySQL, а это нередко требует опыта. Разворачивать полноценную систему мониторинга, когда задача только контроль СУБД, не всегда рационально. В этом случае на помощь приходят специализированные инструменты.

К сожалению, весьма популярный mytop (github.com/ jzawodn/mytop) уже более двух лет не развивается (хотя это не значит, что его нельзя использовать), но у него есть прекрасная и более функциональная замена. Начиная с версии MySQL 3.23.41 в состав InnoDB входит InnoDB Monitor innotop (code.google.com/p/innotop), некий аналог юниксовского top для этой СУБД. Innotop выводит в удобном виде информацию по внутреннему состоянию InnoDB, которая может пригодиться при настройке производительности. Вариантов запуска утилиты много. Самый простой — выполнить от имени определенного пользователя без параметров

$ innotop -u root -p password

По умолчанию подключение производится к локальному серверу, но можно указать любой узел или мониторить сразу несколько серверов. Список всех команд (Shift + клавиша) можно получить, нажав клавишу вопроса. Например, <Shift + Q> выведет список всех текущих запросов. Параметр --write позволяет сохранить данные соединения в файл .innotop/ innotop.conf:

$ innotop --write

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 10 /189/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

phpMyAdmin — стандарт среди интерфейсов управления MySQL

Ключи innotop

Единственное неудобство по указанным утилитам — они показывают информацию в реальном времени, а о сохранении и последующем анализе статистических данных следует позаботиться самому.

Появившийся в 2009 году проект mycheckpoint (code. openark.org/forge/mycheckpoint) за несколько лет стал фактически стандартным инструментом для мониторинга MySQL. Причина популярности — это уникальный подход. Для хранения и запроса используется база данных, в которую (одна операция INSERT) собираются данные о метриках мониторинга, статистики и переменных MySQL, информации об ОС Linux (состояние ОЗУ и swap, нагрузка и прочее). Также в базу попадают результаты пользовательских запросов. Собранную информацию легко просмотреть при помощи простых SELECT-запросов. Администратор получает наглядные графики (на основе Google Chart API), отчеты и метрики, которые генерируются на лету. Для вывода HTML-отчетов может использоваться собственный веб-сервер. Также могут быть настроены предупреждения, отсылаемые по email. Возможен мониторинг удаленной системы и нескольких серверов.

Написан на Python, поэтому установка сложностей не вызывает. Разработчики предлагают deb-, rpm- и tar.gz-пакет и сырцы. В Ubuntu следует ввести следующие команды:

$ sudo apt-get install python-mysqldb

$ wget -с https://mycheckpoint.googlecode.com/

iles/mycheckpoint-231-1.deb

$ sudo dpkg -i mycheckpoint-231-1.deb

После чего потребуется создать базу данных для хранения информации:

$ mysql -uroot -ppassword

mysql> CREATE DATABASE mycheckpoint;

mysql> GRANT ALL PRIVILEGES ON mycheckpoint.*

TO 'user'@'localhost' IDENTIFIED BY 'password';

Для сбора и вывода данных используется утилита mycheckpoint, которую можно запускать вручную или через

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY
w Click				to	ХАКЕР 10 /189/ 2014
				to						m
										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Базовая амуниция

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
		135
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

cron. Параметры подключения к MySQL- и SMTP-серверу указываются также в командной строке:

$ mycheckpoint --	user=user --password=password
--host=server --	port=3306
Или записываются в конфигурационный файл (по умолча-
нию /etc/mycheckpoint.cnf):
/5 * * * mycheckpoint --defaults-ile=
/root/mycheckpoint.cnf
Теперь можем просматривать собранную информацию
и генерировать отчеты при помощи SQL-запросов.
$ mysql mycheckpoint -e "SELECT html FROM

sv_report_html_brief" --silent --raw >
./checkpoint_report.html				share/nmap/nselib/data/mysql-cis.audit',
		Получаем данные		mysql-audit.username='root',
Еще один полезный инструмент, позволяющий контроли-		о привилегиях с pt-		mysql-audit.password='password'"
ровать, анализировать и при необходимости изменять обмен		show-grants
данными между MySQL-сервером и клиентским приложе-				Хакер им воспользуется в любом случае, поэтому админ
нием, называется MySQL Proxy (dev.mysql.com/downloads/			просто обязан периодически проверять серверы таким спо-
mysql-proxy). Возможности у программы очень большие. Ра-			собом. Два пакета, о которых следует рассказать отдельно,
ботает как под Windows, так и под *nix-системами. Установка			также содержат инструменты аудита.
проблем не вызывает, в настройках необходимо указать порт			PERCONATOOLKITFORMYSQL
MySQL (по умолчанию 3306) и PHP (строка mysql.default_port
в php.ini). Все запросы формируются на языке Lua, документа-			Штатные инструменты, поставляемые с MySQL, предоставля-
ция здесь хорошо помогает.			ют лишь базовые возможности по администрированию, в ре-
АУДИТMYSQL			зультате многие операции приходится выполнять вручную. Это
			может быть проблемой, ведь уследить за всем очень сложно,
Одна из проблем, связанных с эксплуатацией любого про-			и часто потребуется определенный опыт, да и легко допу-
граммного продукта, — его неправильная настройка. После			стить ошибку. Пакет Percona Toolkit for MySQL (percona.com/
установки присутствуют лишние демонстрационные учетные			software/percona-toolkit) собрал наработки двух проектов —
записи, тестовые базы, сами пользователи могут ставить			Maatkit и Aspersa — и предоставляет скрипты, позволяющие
простые пароли, которые легко подобрать. Решить эти про-			производить многие рутинные операции администрирования:
блемы можно лишь при помощи постоянного аудита, который			проверять состояние репликации, собирать информацию,
к тому же будет обязателен, если производится обработка			оптимизировать запросы, производить тюнинг сервера, ар-
конфиденциальных/персональных данных (кредитные карты,			хивировать/восстанавливать данные и многое другое. Всего
медицинские записи и подобное). Требуется создать сре-			более 4000 тестов и настроек. Пакет доступен для основных
ду, соответствующую стандартам безопасности (SOX, HIPAA			дистрибутивов Linux (в Ubuntu пакет percona-toolkit). После
и прочим), при расследовании инцидентов, устранении не-			установки получим 32 утилиты, имя которых начинается с pt-*,
поладок. После установки нужно обязательно использовать			назначение часто понятно из названия. При запуске можно за-
mysql_secure_installation, который обеспечивает минималь-			давать различные фильтры и форматировать вывод. Поэтому
ный набор проверок, позволяющих скорректировать общие			документацию почитать все равно придется, так как каждая
настройки безопасности.			утилита имеет большое количество параметров. Например,
Далее уже следует использовать инструменты и скрип-			скрипт pt-summary выведет всю информацию по серверу,
ты, о которых ниже. Задача аудита упрощается тем, что раз-			собранную /proc/cpuinfo, /proc/meminfo, mount, df и другими
работчики MySQL предлагают соответствующий API. Правда,			утилитами, pt-show-grants покажет все права пользователей
в MySQL плагин audit_log доступен только для версии Enterprise			СУБД, pt-query-digest позволяет строить отчеты, основанные
(dev.mysql.com/doc/refman/5.5/en/audit-log-plugin.html).			на анализе логов, обработанных сервером запросов, а также
Разработчики Percona Server предлагают GPL-альтернативу			информации, собранной processlist и tcpdump. Например,
(percona.com/doc/percona-server/5.5/management/audit_			просмотр медленных запросов двумя способами:
log_plugin.html) данному модулю, которая подходит для ауди-			$	pt-query-digest slow.log
та MySQL и клонов. Две другие альтернативы, McAfee MySQL
Audit Plugin (github.com/mcafee/mysql-audit) и MariaDB Audit			$	pt-query-digest --user=user --password=
Plugin for MySQL (mariadb.com/kb/en/mariadb-audit-plugin-				password --processlist --host=example.org
117-release-notes), также справляются со своей задачей и по-
зволяют производить аудит MariaDB, MySQL и Percona Server,				Еще один популярный пакет — openark kit (code.openark.
но используют свой собственный формат журнала аудита,			org/forge/openark-kit) предлагает 14 утилит, позволяющих
отличающийся от стандартного MySQL. Это потребует чуть			провести тестирование СУБД: проверять установки, проверять
больших первоначальных настроек. Применение плагинов			пароли (пустые, одинаковые, слабые), блокировать аккаунты,
простым назвать нельзя и подробно освещено в документа-			прерывать запросы, фильтровать записи в журнале, выводить
ции, которую все равно требуется прочитать, поэтому оста-			статус репликации, исправлять кодировки и многое другое.
навливаться не будем.			Распространяется по лицензии BSD. Написан на Python и тре-
Кроме того, Патриком Карлссоном (Patrik Karlsson) пред-			бует python-mysqldb. Для установки предлагаются deb- и rpm-
ставлен набор тестов (seclists.org/nmap-dev/2011/q2/att-814/			пакеты и сырцы, процесс стандартный и проблем не вызывает.
mysql-audit.nse) для сетевого сканера Nmap, позволяющий				Наиболее популярен скрипт комплекта oak-security-audit,
протестировать сервер на наличие основных проблем без-			предназначенный для периодического аудита аккаунтов,
опасности. В Ubuntu после установки настройки хранятся			паролей, привилегий и прочих настроек сервера. В общем
в каталоге /usr/share/nmap/nselib/data и nmap/script, для про-			случае его можно запустить без параметров. По умолчанию
верки сервера необходимо указать параметры подключения			используется режим наибольшего уровня контроля системы
и учетную запись.			(соответствует --audit-level=strict):

$ nmap -p 3306 1.1.1.1 --script mysql-audit		$ oak-security-audit socket=/var/run/mysqld/--
--script-args "mysql-audit.ilename='/usr/		mysqld.sock --	user=user --	password=password

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
w Click				to 136						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

SYN/ACK

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 10 /189/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

В результате получим отчет,	все, что не помечено
как Passed, требует пристального внимания. По умолчанию
утилиты из openark kit (включая и mycheckpoint, о котором
выше, того же разработчика) используют для подключения
к СУБД сокет /var/run/mysqld/mysql.sock (это вшито в сам
скрипт), в Ubuntu файл называется mysqld.sock. Чтобы не за-
давать каждый раз путь, можно использовать заранее под-
готовленный файл с настройками подключения и указывать
при помощи —defaults-file. Как вариант: изменить настройки
MySQL в my.cnf. Править скрипты неудобно, так как при об-
новлении они работать не будут. Следующий скрипт, oak-
block-account, очень популярен у разного рода хостеров
для временного отключения доступа к СУБД. Дело в том,
что стандартный механизм СУБД не позволяет отключать
временно аккаунт (что-то вроде REVOKE login ON .), то есть
если учетная запись есть, пользователь всегда может под-
ключаться к базе данных. Можно, конечно, использовать что-
то вроде
mysql> REVOKE ALL PRIVILEGES,
GRANT OPTION FROM 'USER'@'%';
но в случае восстановления прав придется помнить все на-
стройки. И главное, если посмотреть права при помощи
mysql> SHOW GRANTS FOR 'USER';
mysql> SHOW GRANTS FOR 'USER';
GRANT USAGE ON . TO 'USER'@'%'
IDENTIFIED BY PASSWORD .....
			Далее будут запрошены логин и пароль администратора,
мы убедимся, что такая команда не сбрасывает USAGE. Ис-		Вывод oak-security-	после чего мы получим метрики системы и рекомендации. Кро-
пользование REVOKE USAGE фактически означает DROP		audit	ме этого, MySQLTuner показывает информацию об индексах
USER. Проще изменить логин и пароль, но восстановление			в таблицах и фрагментации, которые также влияют на скорость
может быть проблемой. В общем, возни и рисков много.			работы сервера. В случае необходимости получим рекоменда-
В случае использования oak-block-account учетная запись			ции произвести перестановку индексов и дефрагментацию.
остается неизменной, ей просто задается временный па-			Оригинальный скрипт написан под *nix, но на CodePlex
роль, поэтому подключиться с этой учетной записью нельзя.			(mysqltuner.codeplex.com) доступна адаптированная версия
$ oak-block-account --block --account-user=			для Win. Альтернативой можно назвать MySQL Performance
$ oak-block-account --block --account-user=			Tuning Primer Script (day32.com/MySQL/tuning-primer.sh), ко-
USER --account-host=example.org			торый выдает не такую наглядную информацию, но зато более
			«разговорчивый» о проблемах.
Дополнительный параметр --kill позволит сбросить сра-			ВЫВОД
зу все активные подключения. Восстановить работоспособ-			ВЫВОД
ность учетки также просто. Смотрим список аккаунтов и их			Это, конечно, далеко не все must have инструменты, которые
статус:			должны быть под рукой у администратора баз данных. Но это,
$ oak-block-account --list			наверное, тот необходимый минимум, который следует из-
$ oak-block-account --list			учить. Кроме того, в процессе знакомства начинаешь больше
		Запускаем MySQLTuner	понимать механизмы, заложенные в MySQL.
И включаем учетную запись:
$ oak-block-account --release	--account-user=
USER --account-host=example.org

Другие скрипты из openark kit позволяют упростить некоторые операции. Например, oak-chunk-update дает возможность выполнить большие операции UPDATE/DELETE без длительных блокировок, разбив задачу на небольшие куски. Скрипт oak-show-replication-status выводит состояние репликации, oak-kill-slow-queries удаляет запросы, выполняющиеся уже долгое время, oak-repeat-query выполняет запрос, пока не достигнет определенного условия (количество итераций, время).

ТЮНИНГMYSQL

Оптимизация настроек очень тонкий процесс, ведь нужно на основании собранной статистики изменить только то, что действительно повлияет на производительность. Самым известным инструментом для MySQL является Perl-скрипт MySQLTuner (mysqltuner.com), который доступен в репозиториях большинства дистрибутивов Linux. Он читает текущие настройки сервера и установки MySQL, после чего выдает рекомендации (только рекомендации) по их изменению. Если установка производилась при помощи пакетов, то достаточно ввести имя скрипта, иначе следует вызывать, указывая интерпретатор:

$ perl mysqltuner.pl

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P					NOW!				o
P

					BUY						Picaso 3D Designer
w Click				to	ХАКЕР 10 /189/ 2014						Picaso 3D Designer
				to						m
										m
w				PICASO
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
			137
w Click				to						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

DESIGNER

Обзор российского 3D-принтера

В прошлом мы неоднократно рассказывали тебе о технологии RepRap, породившей огромное количество 3D-принтеров для домашних пользователей и небольших команд — от американского MakerBot Replicator до китайской серии «Up!». Сегодня мы говорим о еще одном продукте из этого семейства — принтере Picaso 3D Designer, родом из подмосковного Зеленограда.

Максим Воротников m.divizor@gmail.com

ервое, что привлекает внимание, — это яркий дизайн корпуса, выполненного из металлизированных панелей. Выбрать можно из пяти расцветок: красной, желтой, белой, серебристой и графитовой. По словам производителей, часть пластиковых деталей принтера производится на нем самом —

вполне в духе идеологии «самовоспроизводимых» принтеров RepRap. Внешне Picaso 3D Designer больше походит на офисную технику. На передней панели разместились USB-разъем и внешний слот для карточек microSD, с помощью которых можно загрузить 3D-модель напрямую. Вся информация о работе устройства выводится на жидкокристаллический дисплей, и сюда же вынесены некоторые сервисные функции. В отличие от MakerBot, все рабочие механизмы, включая бобину с пластиком, убраны внутрь, за счет чего принтер защищен от пыли и меньше шумит, хотя действительно тихим это устройство назвать все равно трудно. Откидная передняя панель выполнена из полупрозрачного материала, а рабочая область оснащена LED-подсветкой, что позволяет следить за процессом печати.

Есть различие и в форм-факторе рабочего объема (максимальных габаритов печатаемой модели): у MakerBot он вытянут, 25 × 20 × 15 см, а у Picaso 3D Designer он, во-первых, больше, а во-вторых, соответствует кубу со стороной 20 см. За счет плотной внутренней компоновки принтер имеет относительно небольшие размеры — 36 × 38 × 45 см, что меньше, чем у MakerBot (25 × 20 × 15см)

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						Ferrum
					BUY
w Click				to 138						m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

КОМПЛЕКТАЦИЯ

Комплектуется принтер набором из сетевого кабеля, кабеля USB, двух шестигранных уголков для коррекции столика, запасного сопла и биты-отвертки к нему, гарантийного талона и карты microSD, на которой записана инструкция, тестовые модели и программа — генератор заданий. Дополнительно также идут кусачки (с твердым PLA-пластиком удобнее работать именно ими) и стамеска — простой инструмент бывает незаменим для снятия модели со столика.

КОНСТРУКЦИЯ

Внутри корпуса поддерживается постоянная циркуляция воздуха и рабочая температура,

аэто довольно важно при печати, особенно ABSпластиком, уязвимым к деформациям и разрывам слоев при высокой температуре.

Пруток материала полностью убран в ленточный чехол вплоть до самой печатающей головки. Проталкивается пластик двумя металлическими колесиками, одно из которых легко можно отвести в сторону с помощью скобы-зажима — на случай, если пруток рвется или застревает. Сама печатающая головка стационарна, снять ее с той же легкостью, что в MakerBot, не получится, но зато собрана она куда надежнее. Резиновые ленты — приводы головки открыты,

аметаллические направляющие надежно укрыты в коробах.

Столик перемещается только в вертикальном направлении, сделан из металла и имеет собственную систему нагрева для лучшего закрепления изделия. Сверху на столик устанавливается съемное стекло, ровно так же, как и у MakerBot, что очень удобно при массовом изготовлении небольших изделий.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
					BUY
ХАКЕР 10 /189/ 2014
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

УПРАВЛЕНИЕ

Управление схоже с остальными принтерами, включая MakerBot, — небольшой экран и кнопка-колесо. Принтер можно подключить и управлять им с компьютера по USB или работать автономно с карты, разъем для нее находится прямо под экраном на лицевой стороне принтера. Подключения

кинтернету или работы по сети не предусмотрено.

Вменю два раздела — «Сервис» и «SD-карта»: в первом собраны все настройки, а второй отвечает за печать заданий. В «Сервисе» нам понадобятся пункты «Загрузить пластик» и «Выравнивание платформы» — перед первой печатью стоит прочесть соответствующие разделы инструкции. Калибровка столика в Picaso 3D Designer осуществляется с помощью автоматического механизма, что точнее и удобнее, чем у MakerBot, а также устраняет проблему деформирования слоев при изготовлении сложных моделей.

<<< < Предыдущая 1 2 3 4 5 6 7 8 9 10 11 1213 / 1413 14 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202422.1 Mб12184_Optimized.pdf
#
20.04.202423.69 Mб12185_Optimized.pdf
#
20.04.202425.1 Mб12186_Optimized.pdf
#
19.04.202429.32 Mб13187_Optimized.pdf
#
20.04.202419.96 Mб12188_Optimized.pdf
#
20.04.202432.08 Mб12189_Optimized.pdf
#
20.04.202430.24 Mб12190_Optimized.pdf
#
20.04.202427.6 Mб12191_Optimized.pdf
#
19.04.202425.3 Mб12192_Optimized.pdf
#
19.04.202433.24 Mб12193_Optimized.pdf
#
19.04.202455.88 Mб12194_compressed.pdf