Sổ tay Quản trị Hệ thống UNIX và Linux

1. Làm chủ dòng lệnh và những kiến thức cơ bản về scripting

Theo kinh nghiệm của chúng tôi, các quản trị viên chuyên nghiệp dành phần lớn thời gian để viết script.

Nhiệm vụ quản trị cốt lõi. Quản trị hệ thống hiệu quả phụ thuộc rất nhiều vào kỹ năng sử dụng dòng lệnh và scripting. Dù có các công cụ đồ họa, dòng lệnh vẫn mang lại tốc độ, sự linh hoạt và khả năng tự động hóa các tác vụ lặp đi lặp lại – điều thiết yếu để quản lý nhiều hệ thống một cách hiệu quả. Scripting biến các quy trình thủ công thành các thao tác đáng tin cậy và có thể lặp lại.

Kỹ năng shell thiết yếu. Việc thành thạo các thao tác cơ bản trên shell như chỉnh sửa lệnh, sử dụng pipe, chuyển hướng và biến là điều không thể thiếu. Hiểu biết về các lệnh lọc phổ biến như grep, sort, cut, head, và tail giúp xử lý văn bản mạnh mẽ ngay trên dòng lệnh hoặc trong script. Biểu thức chính quy là ngôn ngữ chung để tìm kiếm và thao tác mẫu.

Vượt ra ngoài shell. Đối với tự động hóa phức tạp hơn, các ngôn ngữ scripting như Perl và Python rất quý giá. Chúng cung cấp cấu trúc dữ liệu phong phú hơn, kiểm soát luồng tốt hơn và thư viện rộng lớn cho các tác vụ như phân tích log, quản lý người dùng hay tương tác với dịch vụ mạng. Trong khi shell script phù hợp cho các tác vụ đơn giản, Perl hoặc Python thường là lựa chọn tốt hơn cho các dự án lớn và dễ bảo trì.

2. Hiểu kiến trúc cốt lõi của hệ điều hành: Khởi động, tiến trình, hệ thống tập tin, kernel

Hiện nay có rất nhiều thông tin về UNIX và Linux, vì vậy chúng tôi thiết kế cuốn sách này để chiếm một vị trí riêng trong hệ sinh thái các trang man, blog, tạp chí, sách và tài liệu tham khảo dành cho quản trị viên hệ thống.

Vòng đời hệ thống. Hiểu biết cơ bản về cách hệ điều hành khởi động (bootstrapping) và tắt máy là điều cần thiết để xử lý sự cố và phục hồi. Nắm được các bước từ mã ROM ban đầu đến tiến trình init và các script khởi động giúp quản trị viên chẩn đoán lỗi khởi động và vào chế độ phục hồi.

Tiến trình và kiểm soát. Hệ điều hành quản lý các chương trình đang chạy dưới dạng tiến trình, mỗi tiến trình có các định danh riêng (PID, PPID), quyền sở hữu (UID, GID) và phân bổ tài nguyên (niceness). Quản trị viên cần biết cách theo dõi tiến trình (ps, top), gửi tín hiệu (kill) và quản lý vòng đời của chúng để duy trì sự ổn định và hiệu suất hệ thống.

Hệ thống tập tin thống nhất. UNIX và Linux coi hầu hết mọi thứ như một tập tin, được tổ chức trong một cây thư mục duy nhất. Hiểu về đường dẫn, loại tập tin (thường, thư mục, thiết bị, socket, pipe, liên kết) và quyền truy cập (bit chế độ, ACL) là rất quan trọng để quản lý kiểm soát truy cập và định vị tài nguyên. Hệ thống tập tin phải được gắn (mount) và tháo (unmount) để có thể truy cập.

Kernel và driver. Kernel là lõi của hệ điều hành, quản lý phần cứng và cung cấp dịch vụ hệ thống. Driver thiết bị kết nối kernel với phần cứng cụ thể. Mặc dù quản trị viên hiếm khi viết mã kernel, họ cần hiểu cách cấu hình module kernel, điều chỉnh tham số và quản lý tập tin thiết bị để hỗ trợ phần cứng và tối ưu hiệu suất.

3. Quản lý lưu trữ có nhiều lớp và rất quan trọng cho độ tin cậy

ZFS: giải pháp cho mọi vấn đề lưu trữ của bạn.

Phần cứng và giao diện. Lưu trữ dựa trên nhiều công nghệ phần cứng như HDD và SSD, kết nối qua các giao diện như SATA, SAS và Fibre Channel. Hiểu đặc tính của chúng (tốc độ, dung lượng, độ tin cậy, chi phí) và giao diện là bước đầu tiên trong thiết kế giải pháp lưu trữ.

Các lớp trừu tượng phần mềm. Giữa phần cứng thô và cách người dùng nhìn thấy tập tin có nhiều lớp phần mềm:

• Phân vùng: Chia ổ đĩa thành các phần (MBR, GPT).
• RAID: Kết hợp nhiều ổ đĩa để tăng hiệu suất hoặc dự phòng (RAID 0, 1, 5, 6).
• Quản lý thể tích logic (LVM): Gom các thiết bị lưu trữ thành các thể tích linh hoạt (LVM2, SVM, AIX LVM).
• Hệ thống tập tin: Tổ chức dữ liệu thành tập tin và thư mục (ext4, ZFS, VxFS, JFS2).

Thiết kế cho độ tin cậy. Lỗi ổ đĩa là điều không thể tránh khỏi. RAID cung cấp dự phòng, nhưng sao lưu là cần thiết để phục hồi dữ liệu khi xảy ra các lỗi khác. ZFS tích hợp nhiều lớp này (hệ thống tập tin, LVM, RAID) vào một hệ thống duy nhất, cung cấp các tính năng như snapshot và kiểm tra checksum để nâng cao tính toàn vẹn dữ liệu và đơn giản hóa quản lý.

4. Mạng TCP/IP là nền tảng; Hiểu địa chỉ và định tuyến

TCP/IP và Internet có lịch sử kéo dài hàng thập kỷ.

Ngăn xếp giao thức. TCP/IP là bộ giao thức được tổ chức theo lớp (IP, ICMP, TCP, UDP) cho phép giao tiếp qua mạng. Hiểu cách gói tin được định địa chỉ (MAC, IP, cổng) và đóng gói là nền tảng cho cấu hình và gỡ lỗi mạng. IPv4 đang được sử dụng phổ biến, nhưng IPv6 là tương lai.

Địa chỉ và mạng con. Địa chỉ IP xác định giao diện mạng. Mạng con chia nhỏ mạng thành các phân đoạn dễ quản lý bằng cách sử dụng netmask. Ký hiệu CIDR đơn giản hóa việc định địa chỉ và định tuyến. DHCP tự động cấp phát địa chỉ IP và cấu hình mạng cho các máy khách.

Định tuyến gói tin. Định tuyến là quá trình chuyển hướng gói tin đến đích dựa trên bảng định tuyến. Định tuyến tĩnh được cấu hình thủ công, trong khi các giao thức định tuyến động (RIP, OSPF, BGP) cho phép router tự động phát hiện và thích ứng với thay đổi cấu trúc mạng. Hiểu cách gói tin đi qua các gateway là chìa khóa để chẩn đoán sự cố kết nối.

5. DNS là dịch vụ thư mục thiết yếu của Internet

Ai cần DNS?

Chuyển đổi tên thành số. Hệ thống tên miền (DNS) là cơ sở dữ liệu phân tán giúp chuyển đổi tên máy dễ nhớ (như www.example.com) thành địa chỉ IP máy tính, và ngược lại (DNS ngược). Đây là yếu tố quan trọng để truy cập tài nguyên trên Internet và mạng riêng.

Phân cấp và phân tán. DNS được tổ chức theo cấu trúc phân cấp gồm các miền và vùng, do các tổ chức khác nhau trên toàn thế giới quản lý. Máy chủ tên (master, slave, caching) lưu trữ và phục vụ dữ liệu này. Việc ủy quyền cho phép các miền chuyển giao quyền quản lý các miền con cho máy chủ khác.

Bộ nhớ đệm và bảo mật. Máy chủ tên lưu trữ kết quả truy vấn để tăng hiệu suất. Hiểu TTL (Time To Live) giúp quản lý độ mới của bộ nhớ đệm. DNSSEC thêm chữ ký mật mã vào dữ liệu DNS để ngăn chặn giả mạo và sửa đổi, nâng cao bảo mật, dù việc triển khai vẫn đang tiếp tục.

6. Hệ thống email phức tạp; Thiết kế và lọc cẩn thận

Hệ thống thư điện tử.

Thành phần và luồng. Việc gửi email liên quan đến nhiều thành phần phần mềm: đại lý người dùng (MUA), đại lý gửi (MSA), đại lý vận chuyển (MTA), đại lý giao nhận (DA), và đại lý truy cập (AA). Thư đi qua các thành phần này, thường qua nhiều máy chủ, sử dụng các giao thức như SMTP, IMAP và POP.

MTA là trung tâm. Mail Transport Agent (MTA) chịu trách nhiệm định tuyến thư giữa các máy chủ và giao thư tại chỗ. Các MTA phổ biến gồm sendmail, Exim và Postfix. Cấu hình MTA là nhiệm vụ quản trị quan trọng, bao gồm định nghĩa miền thư, quy tắc định tuyến và chính sách bảo mật.

Chống spam và phần mềm độc hại. Quét nội dung là cần thiết để bảo vệ người dùng khỏi thư rác và tệp đính kèm độc hại. Các kỹ thuật bao gồm danh sách đen, danh sách trắng, greylisting, phân tích heuristic (SpamAssassin) và xác thực mật mã (SPF, DKIM). Quét có thể diễn ra trong phiên SMTP hoặc sau khi thư được xếp hàng.

7. Bảo mật là một quá trình liên tục, không phải sản phẩm

UNIX có an toàn không?

Không hệ thống nào hoàn toàn an toàn. Bảo mật không phải là trạng thái đạt được bằng cách cài một sản phẩm duy nhất; đó là quá trình liên tục cảnh giác, vá lỗi, cấu hình và giám sát. Hệ thống UNIX, dù bền bỉ, vẫn có các lỗ hổng cần được chú ý thường xuyên.

Các vectơ tấn công. Bảo mật có thể bị xâm phạm qua kỹ thuật xã hội (khai thác lòng tin con người), lỗ hổng phần mềm (lỗi trong mã), và sai sót cấu hình (dịch vụ hoặc quyền truy cập không đúng). Kẻ tấn công sử dụng công cụ như rootkit và phần mềm độc hại để chiếm quyền và duy trì truy cập trái phép.

Phòng thủ nhiều lớp. Bảo mật hiệu quả đòi hỏi cách tiếp cận đa lớp:

• Kiểm soát truy cập: Quản lý quyền người dùng (root, sudo, PAM, ACL).
• Vá lỗi: Cập nhật phần mềm để sửa các lỗ hổng đã biết.
• Tường lửa: Lọc lưu lượng mạng để chặn kết nối không mong muốn.
• Giám sát: Dùng công cụ (Nmap, Nessus, OSSEC, log) để phát hiện hoạt động đáng ngờ.
• Mã hóa: Sử dụng công cụ (SSH, PGP, Kerberos, TLS) cho giao tiếp và xác thực an toàn.

8. Tự động hóa công việc và quản lý cấu hình có hệ thống

Quản trị viên giỏi luôn viết script.

Hiệu quả và nhất quán. Cấu hình thủ công nhiều hệ thống tốn thời gian và dễ sai sót. Tự động hóa qua scripting (shell, Perl, Python) đảm bảo các tác vụ được thực hiện nhất quán và giải phóng quản trị viên cho các công việc phức tạp hơn.

Công cụ quản lý cấu hình. Trong môi trường lớn, các hệ thống quản lý cấu hình chuyên dụng (như cfengine, LCFG) hoặc hệ thống quản lý gói (APT, yum, Zypper) cung cấp cách thức có cấu trúc để định nghĩa và thực thi cấu hình trên mạng. Các công cụ này quản lý cài đặt phần mềm, tập tin cấu hình và phụ thuộc.

Kiểm soát phiên bản. Theo dõi thay đổi tập tin cấu hình và script bằng hệ thống kiểm soát phiên bản (Subversion, Git) rất quan trọng để gỡ lỗi và phục hồi trạng thái tốt đã biết. Điều này cung cấp lịch sử kiểm toán và hỗ trợ hợp tác giữa các quản trị viên.

9. Tận dụng công cụ để giám sát, gỡ lỗi và phân tích

Quản lý mạng là nghệ thuật và khoa học giữ cho mạng khỏe mạnh.

Tầm nhìn là chìa khóa. Bạn không thể quản lý những gì không thể nhìn thấy. Rất nhiều công cụ cung cấp cái nhìn sâu sắc về hoạt động hệ thống và mạng, giúp quản trị viên chẩn đoán sự cố và hiểu đặc tính hiệu suất.

Công cụ gỡ lỗi thiết yếu:

• ping: Kiểm tra khả năng kết nối máy chủ.
• traceroute: Theo dõi đường đi mạng.
• netstat: Xem kết nối và thống kê mạng.
• tcpdump/Wireshark: Bắt và phân tích gói tin mạng.
• strace/truss/tusc: Theo dõi các cuộc gọi hệ thống và tín hiệu.

Phân tích hiệu suất. Công cụ như vmstat, iostat, sar, và top giám sát sử dụng tài nguyên (CPU, bộ nhớ, I/O đĩa) để xác định điểm nghẽn. Hiểu các chỉ số này rất quan trọng để điều chỉnh hiệu suất hệ thống.

Hệ thống quản lý mạng. Với mạng lớn, các công cụ như trình quản lý SNMP, Cacti (đồ họa), và Nagios (giám sát sự kiện) cung cấp cái nhìn tập trung và cảnh báo cho thiết bị và dịch vụ mạng. NetFlow cung cấp phân tích lưu lượng chi tiết.

10. Thiết kế cho quy mô, độ tin cậy và phục hồi thảm họa

Một dịch vụ chỉ đáng tin cậy bằng trung tâm dữ liệu chứa nó.

Vượt ra ngoài hệ thống đơn lẻ. Quản lý vài hệ thống độc lập khác với quản lý hạ tầng lớn, liên kết chặt chẽ. Quyết định thiết kế phải xem xét cách hệ thống mở rộng để xử lý tải tăng và duy trì sẵn sàng khi có sự cố.

Nền tảng trung tâm dữ liệu. Cơ sở hạ tầng vật lý (nguồn điện, làm mát, giá đỡ) là nền tảng của độ tin cậy. Các cấp độ trung tâm dữ liệu phân loại mức độ tin cậy dựa trên dự phòng. Giám sát môi trường là rất quan trọng.

Độ sẵn sàng cao và phục hồi. Dự phòng (RAID, clustering, cân bằng tải) giảm thiểu thời gian chết do hỏng hóc thành phần. Kế hoạch phục hồi thảm họa đảm bảo hoạt động kinh doanh liên tục sau sự cố lớn. Sao lưu là nền tảng của mọi kế hoạch phục hồi, đòi hỏi lên kế hoạch, thực hiện và kiểm tra kỹ lưỡng.

Lợi ích của ảo hóa. Công nghệ như ảo hóa máy chủ và điện toán đám mây mang lại sự linh hoạt, khả năng mở rộng và tối ưu sử dụng tài nguyên, góp phần tiết kiệm chi phí và nâng cao độ sẵn sàng qua các tính năng như di chuyển trực tiếp và cung cấp nhanh.

11. Tích hợp với các nền tảng khác, đặc biệt là Windows

Rất có thể môi trường của bạn bao gồm cả Microsoft Windows và hệ thống UNIX.

Tương tác là cần thiết. Trong môi trường đa dạng, hệ thống UNIX/Linux phải tồn tại và tương tác với các nền tảng khác, phổ biến nhất là Microsoft Windows. Điều này đòi hỏi hiểu và cấu hình các dịch vụ đa nền tảng.

Các điểm tích hợp phổ biến:

• Truy cập từ xa: Dùng client SSH (PuTTY, SecureCRT) trên Windows để truy cập dòng lệnh UNIX, hoặc client RDP (rdesktop) trên UNIX để truy cập desktop Windows.
• Chia sẻ tập tin: Dùng Samba trên UNIX/Linux làm máy chủ CIFS/SMB cho client Windows, hoặc gắn chia sẻ CIFS trên client Linux.
• Chia sẻ máy in: Cấu hình Samba để chia sẻ máy in UNIX với client Windows.
• Xác thực: Tích hợp hệ thống UNIX/Linux vào miền Active Directory bằng winbind của Samba hoặc giải pháp thay thế.

Tận dụng công cụ đa nền tảng. Nhiều ứng dụng và công cụ dòng lệnh có sẵn cho cả Windows và UNIX/Linux (ví dụ Cygwin, OpenOffice, Wine, các bản port gốc), giúp làm việc đa nền tảng và đơn giản hóa quản trị.

12. Tài liệu, chính sách và giao tiếp là kỹ năng mềm thiết yếu

Càng có kinh nghiệm quản lý hệ thống, cộng đồng người dùng càng phụ thuộc vào bạn.

Vượt ra ngoài kỹ năng kỹ thuật. Quản trị hệ thống hiệu quả đòi hỏi kỹ năng mềm vững chắc bên cạnh chuyên môn kỹ thuật. Quản lý người dùng, giao tiếp với ban lãnh đạo và hợp tác với đồng nghiệp là yếu tố then chốt để thành công.

Quy trình và chính sách. Chuẩn hóa quy trình và tài liệu hóa cấu hình là cần thiết để đảm bảo tính nhất quán, dễ bảo trì và phục hồi thảm họa. Chính sách định nghĩa việc sử dụng chấp nhận được, yêu cầu bảo mật và thỏa thuận mức dịch vụ, tạo khung cho hoạt động và giải quyết xung đột.

Giao tiếp là then chốt. Giao tiếp rõ ràng và kịp thời với người dùng về thay đổi hệ thống, sự cố và vấn đề bảo mật xây dựng niềm tin và giảm yêu cầu hỗ trợ. Giao tiếp hiệu quả với ban lãnh đạo đảm bảo nguồn lực được phân bổ hợp lý và kỳ vọng được quản lý.

Học tập liên tục. Công nghệ thông tin luôn thay đổi. Cập nhật kiến thức về công nghệ mới, mối đe dọa bảo mật và thực hành tốt nhất qua tài liệu, danh sách thư, hội nghị và chứng chỉ là điều thiết yếu để duy trì hiệu quả lâu dài.