ماه: جولای 2016

مزایای اصلی مجازی سازی

مزایای اصلی مجازی سازی

مزایای اصلی مجازی سازی به شرح ذیل می باشد:

صرفه جویی در فضا

با توجه به کاهش قابل ملاحظه ی تعداد  سرورهای فیزیکی میزان فضای مورد نیاز برای هر سرور نیز در اتاق های سرور بهینه گردید. این در حالی است که ساختمان های سازمان ها اکثرا با کمبود فضا مواجه اند . به این وسیله فضای قابل توجهی ذخیره شد.

 ایجاد افزونگی بدون نیاز به هزینه اضافی

توسط فناوری مجازی سازی این امکان فراهم گردید که بدون نیاز به هزینه های اضافی برای خرید سرورهای فیزیکی جدید امکان افزونگی فراهم گردد. افزونگی سرویس ها و سرور ها نقش بسزایی در افزایش دسترس پذیری به عهده دارد و کمتر مرکز داده ای است که بدون افزونگی به کار خود ادامه دهد.

کاهش هزینه ها به واسطه کاهش تعداد سرور ها به ازای هر سرویس

بدون مجازی سازی به ازای هر سرویس جدید می بایست یک سرور فیزیکی جدید خریداری و راه اندازی می شد اما توسط مجازی سازی سرورها این امکان فراهم گردید که سرویسهای جدید بر روی سرور مجازی مربوط به خود راه اندازی شود . این کار باعث افزایش امنیت و مجزا سازی  سرویسها می گردد. به اینصورت که در حالتی که یک سرویس از کار بیافتد , عملکرد دیگر سرویسها تحت تاثیر قرار نمی گیرد . همچنین با توجه به سطح دسترسی های سرور , هر مدیر سرویسی تنها به سرور متعلق به خودش دسترسی دارد . در محیط ازمایشگاهی با استفاده از دو عدد سرور فیزیکی HP DL380 و یک SAN Storage  بستر مجازی سازی فراهم گردید. روی هر کدام از این سرورها تعداد 3 ماشین مجازی ساخته شد. هر کدام از ماشین های مجازی وظیفه ارائه سرویس خاصی را بر عهده داشتند. سرویس هایی از قبیل AD،DNS، DHCP، WSUS، IISو SCCM 2012جزء این دسته بودند. در همین بین بر اساس اسناد شرکت مایکروسافت برای اجرای سرویس SCCM؛ این سرویس به تنهایی نیاز به دو عدد سرور دارد، یکی برای خود نرم افزار و دیگری برای پایگاه داده ان. اگر به طور میانگین محاسبه کنیم در حدود 2 عدد سرور فقط برای این سرویس ها صرفه جویی شده که نسبت به تعداد سرورها 50 درصد  می باشد.

 کنترل منابع سخت افزاری به صورت متمرکز و پویا

توسط مجازی سازی تمام سرورهای مجازی و همچنین میزبان های فیزیکی توسط یک واسط کاربری و به صورت متمرکز قابل مدیریت هستند. همچنین این امکان فراهم می گردد که تجهیزات جدیدی به سرورهای مجازی به صورت پویا اضافه گردد. اکثر تغییراتی که بر روی سرورهای مجازی انجام می گیرد در حالی است که نیاز به خاموش کردن این سرورها نیست و دسترس پذیری سرویسها را تحت تاثیر قرار نمی دهد. در تصویر محیط مدیریت مجازی و میزبان های انها را مشاهده می کنید.

افزایش کارایی و بهره وری منابع سخت افزاری سرورها

یکی از اصلی ترین دلایل استفاده از فناوری مجازی سازی بالا بردن بهره وری منابع پردازشی سرورهاست. هرچه تعداد سرورهای مجازی واقع بر روی میزبان بیشتر باشد میزان  بیشتری از منابع سرور  استفاده می شود. البته باید به نکانی در فصول قبل به ان اشاره کردیم نیز توجه داشت.

 کاهش مصرف انرژی و هزینه برق

در شرایطی که هر ساله با افزایش هزینه ی مصرف برق مواجه هستیم, سازمان ها, ادارات و مراکز خذماتی و پردازشی سیاست هایشان را بر اساس کاهش هزینه ها بنا کرده اند. از طرفی سرورها یکی از تجهیزاتی است که به صورت شبانه روزی در حال مصرف برق هستند و سالانه هزینه های زیادی را به سازمانها و ادارات تحمیل می کنند. مجازی سازی با کاهش تعداد سرور مورد نیاز نقش بسزایی در کاهش هزینه های مصرف برق دارد.

کاهش گرمای تولید شده در اتاق سرور

سرورها و تجهیزات پردازشی مثل سرور میزان قابل توجهی گرما تولید می کنند. از این جهت این تجهیزات به صورت ایزوله در اتاق های سرور و مراکز داده و در فضای سرد و خنک قرار داده می شوند تا این گرما توسط تجهیزات تهویه و تبرید سر د شود. تاثیر مجازی سازی سرورها بر روی کاهش تعداد سرورها باعث کاهش میزان تولید گرما می شود و در نتیجه نیاز به تجهیزات جدید سرد کننده در اتاق های سرور و مراکز داده کاهش می یابد.

 امکان ایجاد محیط های ازمایشی به سهولت

بعضی از سازمانها و ادارات از نظر تکنولوژی اطلاعات در سطحی قرار دارند که همیشه همگام با فناوری های روز پیش می روند. بنابراین نیاز است که سرویسهایشان به روز یا تجدید شود. از این رو محیط های تست و ازمایش لازمه این چنین سازمانها و اداراتی است

 ایجاد زیر ساخت پردازشهای سرویسی و ابری (Cloudcomputing )

نسل جدید از پردازش که به نام پردازش ابری شناخته می شود به عنوان اینده ی فناوری اطلاعات شناخته می شود. در این نوع پردازش تمامی نرم افزارها، کاربردها و سرویس ها به عنوان یک سرویس شناخته می شوند. زیرساخت یک چنین پردازشی مجازی سازی است.

 تسهیل و تسریع در تغییر و یا ایجاد سرور جهت پیاده سازی سرویس

بدون مجازی سازی و با فرض اینکه سرور فیزیکی در محیط عملیاتی موجود باشد, زمان لازم برای نصب در رک, راه اندازی, نصب سیستم عامل و تنظیمات اولیه لازم روی سیستم عامل چیزی حدود 2 تا 3 ساعت زمان می برد. این زمان در بهترین حالت در نظر گرفته شده است که اگر سرور فیزیکی موجود نباشد این زمان گاه به چند ماه نیز می رسد. در حالی که راه اندازی و نصب سیستم عامل و تنظیمات اولیه روی سرور مجازی در حدود 30 دقیقه تا 1 ساعت طول می کشد . همچنین امکان استفاده از Templateها در واسط VMwareموجب تسریع این فرایند می کند.

 

مزایای اصلی مجازی سازی
مزایای اصلی مجازی سازی

مزیت های مجازی سازی

 

شماره ? | No 1

ذخیره انرژی، ساختار سبز تر

شماره 6 | No 6

بهبود مواجهه با شرایط بحران

شماره 2 | No 2

کاهش هزینه سرور ها و مراکز داده

شماره 7 | No 7

بالا بردن Uptime (زمان سرویس دهی مداوم)

شماره 3 | No 3

ساخت محیط های لابراتوار

شماره 8 | No 8

ایزوله سازی نرم افراز ها

شماره 4 | No 4

تامین سریع زیرساخت و سرور

شماره ? | No 9

افزایش چرخه عمر نرم افزار ها (Life Cycle)

شماره 5 | No 5

استفاده از سخت افزار مختلف

شماره 10 | No 10

رایانش ابری (Cloud Computing)


معرفی شبکه های نرم افزار محور SDN

معرفی شبکه های نرم افزار محور SDN

معرفی شبکه های نرم افزار محور SDN
معرفی شبکه های نرم افزار محور SDN

شبکه های نرم افزار محور (SDN) یا همان Software-Defined Networking به مانند شبکه کامپیوتری به مدیران شبکه اجازه مدیریت سرویسهای شبکه ای را از طریق یک لایه بسیار سبک را ارائه می کند. امروزه اینترنت یک جامعه دیجیتال را بوجود آورده است. به گونه ­ای که همه چیز به یکدیگر متصل­ اند و به همه چیز می­توان از هر جایی دسترسی داشت. با وجود مقبولیت­ های گسترده اینترنت­، شبکه­ های آی­پی سنتی[1] پیچیده بوده و مدیریت آنها نیز بسیار سخت می­باشد. به عنوان مثال پیکربندی شبکه طبق سیاست ­های از قبل تعیین شده سخت بوده و همچنین دوباره پیکربندی آنها به دلیل پاسخ به خرابی و یا تغییر بار شبکه نیز مشکل می­باشد­. شبکه ­های امروزی به طور عمودی مجتمع می­باشند­، به عبارتی دیگر سطوح داده[2] و کنترل[3] از یکدیگر جدا نمی­باشند. شبکه­ های نرم ­افزار محور[4] یک معماری شبکه جدیدی می­باشد که قول می­دهد اجتماع شبکه­ های امروزی را شکسته و سطوح داده و کنترل را از یکدیگر جدا نماید. به عبارت دیگر منطق کنترل شبکه را از روترها و سوییچ ­های زیرین جدا کرده و کنترل شبکه را به صورت منطقی متمرکز کرده و قابلیت برنامه نویسی (برنامه ­ریزی) شبکه را فراهم می­کند. شبکه­ های نرم­افزار محور، ساخت و معرفی انتزاع های[5] شبکه را آسان کرده­، در نتیجه مدیریت شبکه را ساده می­کند و شرایط تحول شبکه را فراهم می­کند.

در این مقاله سعی می کنیم که بررسی کاملی از شبکه های نرم افزار محور داشته باشیم. در ابتدا ضمن معرفی این شبکه‌ ها، تاریخچه این شبکه­ ها نیز بررسی شده است. و در نهایت نبز به بررسی جامع اجزای تشکیل دهنده معماری شبکه­ های نرم افزار محور و کارها و تلاش­ هایی که در خصوص استاندارد سازی این نوع شبکه ها انجام شده است، اشاره می‌کنیم.

[1]IP Networks

[2] Data plane

[3] Control Plane

[4] Software Defined Networking

[5] Abstractions

مقاله بالا که چکیده ای از آن را مشاهده می فرمایید مربوط به آقای مهندس مجید طالقانی (کارشناس ارشد شبکه­ های کامپیوتری و ارتباطی) می باشد . برای دانلود کامل مقاله اینجا کلیک نمایید.

 

 


25 نکته برای بالا بردن امنیت سرورهای لینوکس

25 نکته برای بالا بردن امنیت سرورهای لینوکس

25 نکته برای بالا بردن امنیت سرورهای لینوکس

Linux-Security-and-Hardening

همیشه گفته می شود که لینوکس در حالت عادی تا حدی ایمن است. اگرچه، لینوکس مدل امنیتی خود را به صورت پیشفرض دارد، اما نیاز است که مطابق با خواسته های شما سازگار شود و به این ترتیب امنیت بیشتری به وجود می آید. لینوکس از لحاظ مدیریتی پیچیده تر است اما انعطاف پذیری و تنظیمات بیشتری را در اختیار می دهد.

ایمن سازی سیستم از هکرها یک وظیفه ای چالش برانگیز برای مدیران IT است. این اولین مقاله مرتبط با “چگونگی ایمن سازی لینوکس باکس” و یا “سخت سازی لینوکس باکس” است. در این نوشته 25 نکته کاربردی را برای ایمن سازی سیستم لینوکسی شما ارائه می دهیم و امیدواریم که برای شما در ایمن سازی سیستم های لینوکسی مفید باشد.

  1. امنیت فیزیکی سیستم: گام نخست غیر فعال سازی بوت  CD/DVD از Bios  سیستم ، تجهیزات بیرونی، فلاپی درایو تنظیم نمایید. سپس، پسورد BIOS را تنظیم کرده و همچنین پسورد GRUB را برای محدود کردن دسترسی فیزیکی به سیستم خود فعال نمایید.
  2. پارتیشن بندی دیسک: مهم است که پارتیشن های متعددی برای بدست آوردن امنیت بالاتر داده در موارد اتفاقات پیش بینی نشده داشته باشید. با ایجاد پارتیشن های متعدد، داده می تواند جداسازی و گروه بندی شود. وقتی که تصادف غیر منتظره اتفاق می افتد، فقط داده ها در یک پارتیشن خاص آسیب می بینند، در حالی که دیتا در دیگر پارتیشن ها بدون آسیب می مانند. شما باید مطمئن شوید که پارتیشن های زیر را دارید و سایر اپلیکیشن ها باید در یک فایل سیستم مجاز تحت/opt نصب گردند.
/
/boot
/usr
/var
/home
/tmp
/opt
  1. پکیج ها را حداقل کنید تا آسیب پذیری به حداقل برسد

آیا واقعا می خواهید تمام سرویس ها را نصب کنید؟ پیشنهاد می گردد که از نصب پکیج های بدون استفاده پرهیز کنید تا از آسیب پذیری در پکیج ها جلوگیری کنید. این ممکن است ریسک آسیب در یک سرویس را که می تواند منجر به آسیب به سایر سرویس ها شود را به حداقل برساند. سرویس های بدون استفاده را یافته و آنها را حذف و یا غیر فعال کنید تا آسیب پذیری به کمترین حد ممکن برسد. از فرمان “chkconfig” برای پیدا کردن سرویس های که بر روی runlevel 3 اجرا شده اند استفاده کنید.

# /sbin/chkconfig –list |grep ’3:on’

به محض اینکه هر سرویس ناخواسته ای را در حال اجرا یافتید، با فرمان زیر آنها را غیر فعال کنید.

# chkconfig serviceName off

از RPM package manager مانند “yum” یا “apt-get” برای لیست کردن همه پکیج های نصب شده بر سیستم استفاده کرده و آنها را با فرمان های زیر حذف کنید.

# yum -y remove package-name

# sudo apt-get remove package-name

  1. پورت های شبکه در حال Linstening را کنترل کنید.

با کمک فرمان شبکه “netstat” می توانید کلیه پورت های باز و برنامه های مربوطه را مشاهده نمایید. همانگونه که در بالا گفته شد، از فرمان”chkconfig” برای غیرفعال کردن کلیه سرویس های ناخواسته بر روی سیستم استفاده کنید.

# netstat -tulpn

  1. از Secure Shell)SSH) استفاده کنید.

پروتکل های telnet و rlogin از متن ساده و رمزگذاری نشده استفاده می کنند که ناقض امنیت هستند. SSH یک پروتکل امن است که از تکنولوژی رمز گذاری در طول ارتباط با سرور استفاده می کند.

بجز موارد ضروری هرگز با کاربر root به طور مستقیم وارد سیستم نشوید. از فرمان “sudo” برای اجرای سایر فرمان ها استفاده کنید. “sudo” در فایل /etc/sudoers قرار گرفته است که می تواند توسط visudo که در ویرایشگر VI باز می شود، ویرایش می شود.

همچنین پیشنهاد می شود که پورت SSH 22 پیش فرض را با بعضی پورت های سطح بالاتر تعویض کنید. تنظیمات اصلی SSH را باز کرده و پارامتر های زیر را برای دسترسی کاربران عادی محدود کنید.

# vi /etc/ssh/sshd_config

غیر فعالسازی لاگین با root

PermitRootLogin no

اجازه تنها به کاربران خاص

AllowUsers username

از نسخه 2 پروتکل SSH استفاده کنید

Protocol 2

  1. مرتبا سیستم را بروز رسانی کنید.

همیشه سیستم خود را با آخرین پچ ها، فیکس های امنیتی و کرنل منتشر شده به روز نگه دارید.

# yum updates

# yum check-update

  1. Cronjob ها را قفل کنید.

Cron ویژگی مخصوص به خود را دارد، که اجازه می دهد مشخص کنید چه کسانی باید و چه کسانی نباید jobها را اجرا کنند. این امر با استفاده از فایل های /etc/cron.allow و /etc/cron.deny کنترل می شود. برای بستن دسترسی یک کاربر به cron ، به سادگی نام کاربر را در cron.deny اضافه کنید و برای اجازه دادن به یک کاربر برای اجرای cron آن را در cron.allow اضافه کنید. اگر تمایل به غیر فعال کردن همه کاربران در استفاده از cron دارید خط “ALL” را در فایل cron.deny اضافه کنید.

# echo ALL >>/etc/cron.deny

  1. استفاده از فلش مموری ها توسط پورت USB را غیر فعال کنید.

بسیاری از دفعات این اتفاق پیش می آید که ما می خواهیم کاربران را از استفاده از فلش مموری برای حفاظت از داده ها در برابر سرقت محدود کنیم. یک فایل با عنوان “/etc/modprobe.d/no-usb” ایجاد کرده و با اضافه کردن خط زیر ذخیره سازها بر روی پورت USB از دسترس خارج می شوند.

install usb-storage /bin/true

  1. از SELinux استفاده کنید.

لینوکس بهبود یافته از لحاظ امنیتی (SELinux) یک مکانیزم امنیتی اجباری برای کنترل دسترسی است که در کرنل ایجاد شده است. غیر فعال سازی SELinux به معنای برداشتن مکانیزم امنیتی از سیستم است. قبل از برداشتن این سیستم بدقت به آن بیندیشید. اگر سیستم شما به اینترنت متصل است به صورت همگانی در دسترس است، بیشتر در مورد آن بیندیشید.

SELinux سه حالت اصلی عملکرد را ارائه می دهد که عبارتند از:

  • Enforcing: این یک حالت پیش فرض است که خط مشی امنیتی SELinux در ماشین را فعال و اجرا می کند.
  •  Permissive: در این حالت،SELinux خط مشی امنیت ماشین را اجرا نخواهد کرد، فقط امور مربوط لاگ برداری و اعلان ها انجام می شود. این حالت برای ایرادیابی موارد مرتبط با SELinux بسیار مفید است.
  • Disabled: SELinux غیر فعال شده است.

شما می توانید وضعیت فعلی SELinux را از خط فرمان با استفاده از “system-config-selinux” و “getenforce” و یا “sestatus”مشخص کنید.

# sestatus

اگر این سرویس غیرفعال است با استفاده از فرمان زیر SELinux را فعال کنید.

# setenforce enforcing

همچنین می توان با استفاده از فایل آدرس “/etc/selinux/config” می توانید این فایل را مدیریت کنید.

  1. دسکتاپ KDE/GNOME را حذف کنید.

نیازی به اجرای دسکتاپ های X Window مانند KDE ویا GNOME بر روی سرور اختصاصی LAMP شما وجود ندارد. شما می توانید آنها را برای افزایش امنیت سرور و بهبود عملکرد آن حذف و یا غیر فعال کنید.

# yum groupremove “X Window System”

  1.  IPv6 را غیر فعال کنید.

اگر از پروتکل IPv6 استفاده نمی کنید، باید آن را غیر فعال کنید، زیرا بیشتر اپلیکیشن ها و Policy ها به پروتکل IPv6 نیاز ندارند و در حال حاضر وجود این پروتکل در سرور ضروری نیست. به فایل network configuration رفته و خطوط زیر را برای غیر فعال کردن IPv6 به آن اضافه کنید.

# vi /etc/sysconfig/network

NETWORKING_IPV6=no

IPV6INIT=no

  1.  کاربران را در استفاده از کلمات عبور قدیمی محدود کنید.

عدم اجازه به کاربران برای استفاده از کلمات عبور قدیمی که قبلا از آن استفاده کرده اند، بسیار کاربردی است. فایل کلمات عبور قدیمی در /etc/security/opasswd ذخیره شده است. با استفاده از ماژول PAM این فایل قابل دسترسی است.

فایل “etc/pam.d/system-auth” را تحت RHEL یا CentOS یا Fedora باز کنید.

# vi /etc/pam.d/system-auth

فایل “etc/pam.d/common-password” را تحت Ubuntu یا Debian یا Linux Mint باز کنید.

# vi /etc/pam.d/common-password

خط زیر را به بخش “auth” اضافه کنید.

auth    sufficientpam_unix.so likeauth nullok

خط زیر را به بخش “password” اضافه کنید تا کاربر را از استفاده مجدد از 5 کلمه عبور قبلی خودش محدود کنید.

password   sufficientpam_unix.so nullok use_authtok md5 shadow remember=5

تنها 5 کلمه عبور آخر توسط سرور به خاطر آورده می شوند. اگر تلاش کنید که از 5 کلمه عبور آخر خود استفاده کنید پیام خطایی مانند زیر دریافت می کنید.

Password has been already used. Choose another.

  1.   چگونه انقضا کلمه عبور کاربر کنترل کنیم

در لینوکس، کلمه عبور کاربران در “/etc/shadow” و در فرمت رمزگذاری شده ذخیره می شود. برای کنترل انقضا کلمه عبور کاربران، شما باید از فرمان “chage” استفاده کنید. این فرمان اطلاعات انقضا کلمه عبور و زمان آخرین تغییر کلمه عبور را نشان می دهد. این جزئیات توسط سیستم، برای تصمیم در خصوص زمان تغییر یک کلمه عبور توسط کاربر استفاده می شود.

برای دیدن اطلاعات مدت زمان مربوط به کاربر مانند تاریخ انقضا و زمان از فرمان زیر استفاده کنید.

#chage -l username

برای تغییر مدت زمان کلمه عبور از فرمان زیر استفاده کنید.

#chage -M 60 username

#chage -M 60 -m 7 -W 7 userName

پارامتر ها

-M تنظیم حداکثر تعداد روز ها

-m تنظیم حداقل تعداد روزها

-W تنظیم تعداد روزها برای پیام خطا

  1.    بستن و باز کردن حساب کاربری بصورت دستی

ویژگی های باز و بسته کردن بسیار مفید هستند و به جای حذف یک حساب کاربری از سیستم، شما می توانید آن را برای یک مدت مشخص ببندید. برای بستن یک کاربر خاص، شما می توانید از فرمان زیر استفاده کنید.

# passwd -l accountName

توجه: کاربر بسته شده فقط برای کاربر root در دسترس است. این بسته بودن با جایگزینی کلمه عبور رمز گذاری شده با یک رشته (!) اجرا می شود.اگر کسی تلاش کند با استفاده از این حساب کاربری به سیستم دسترسی داشته باشد پیام خطایی مانند زیر دریافت می کند.

# su – accountName

This account is currently not available.

برای باز کردن و یا فعال کردن دسترسی به حساب کاربری بسته شده، از فرمان زیر استفاده کنید. این فرمان رشته (!) با کلمه عبور رمزگذاری شده را حذف می کند.

# passwd -u accountName

  1.   اعمال کلمات عبور قوی تر

تعدادی از کاربران از کلمات عبور آسان و ضعیف استفاده می کنند و کلمه عبور آنها به آسانی با یک directory و با brute force attack هک می شود. ماژول “pam_cracklib” که در PAM (Pluggable Authentication Modules) قرار دارد، کاربران را ملزم به انتخاب کلمات عبور قوی می کند. فایل زیر را با یک برنامه ویرایشگر باز کنید.

# vi /etc/pam.d/system-auth

یک خط برای ملزم کردن استفاده از پارامترهای اعتباری مانند (lcredit,ucredit,dcredit and ocredit) اضافه کنید.

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

  1.    iptable را فعال کنید (Firewall) .

به شدت پیشنهاد می گردد که Linux firewall را برای ایمن شدن در برابر دسترسی غیرقانونی به سرور فعال کنید. از ruleهایی که در iptables است، برای فیلتر کردن پکت های فوروارد شده ورودی و خروجی استفاده کنید. ما می توانیم آدرس منبع و مقصد را برای اجازه دادن و یا متوقف کردن در یک شماره پورت خاص udp/tcp استفاده کنیم.

  1.   در Inittab حالت Ctrl+Alt+Delete را غیر فعال کنید.

در بیشتر توزیع های لینوکس، فشردن Ctrl+Alt+Delete سیستم شما را به فرآیند ریبوت می برد. بنابراین این ایده خوبی نیست که این ویژگی در سرورها فعال باشد.زیرا فشردن تصادفی این دکمه ها می تواند سرور شما را ریبوت کند.

این عمل در “/etc/inittab” انجام می شود. اگر شما دقیق به این فایل نگاه کنید، می بینید که خطی شبیه به آنچه در ادامه است در آن وجود دارد. در حالت پیش فرض خط فعال است اما برای غیر فعال شدن این دکمه باید از آن را به حالت کامنت درآورد.

# Trap CTRL-ALT-DELETE

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

  1.   حساب های کاربری را برای کلمات عبور خالی کنترل کنید.

هر حساب کاربری یک کلمه عبور خالی دارد که به این مفهوم است که این حساب برای دسترسی غیر مجاز به هرکسی در وب باز شده است و این بخشی از امنیت در یک سرور لینوکس است. بنابراین ، شما باید مطمئن شوید که همه حساب های کاربری کلمه عبور قوی داشته و هیچکس دسترسی غیر مجاز ندارد. حساب های کاربری بدون کلمه عبور ریسک های امنیتی هستند و می توانند به آسانی هک شوند. برای کنترل اینکه آیا حساب کاربری بدون کلمه عبور وجود دارد، فرمان زیر را به کار برید.

# cat /etc/shadow | awk -F: ‘($2==””){print $1}’

  1.    قبل وارد حساب شدن بنر SSH را به کاربر نمایش دهید.

این ایده خوبی است که همیشه یک اعلان قانونی و یا امنیتی با برخی نکات امنیتی قبل از اعتبارسنجی SSH داشته باشید. برای فعال کردن چنین بنری مفاله زیر را مطالعه کنید.

  1.    پایش فعالیت های کاربر

اگر با تعداد زیادی کاربران سروکار دارید، مهم است که اطلاعات فعالیت و process هایی که مورد استفاده هر کاربر بوده است را جمع آوری کرده و در زمان مناسب و یا درشرایطی که موارد امنیتی و بررسی عملکرد اتفاق می افتد، آن ها را تحلیل نمایید. اما چگونه ما می توانیم اطلاعات فعالیت کاربران را پایش و جمع آوری کنیم.

دو ابزار ارزشمند با نام های “psacct” و “acct” وجود دارند که برای پایش فعالیت کاربران و process ها در یک سیستم استفاده می شوند. این ابزار ها در پس زمینه سیستم اجرا شده و به طور پیوسته فعالیت هر کاربر در یک سیستم و منابع مصرف شده توسط سرویس های مختلف مانند Apache، MySQL، SSH، FTP و غیره دنبال می کنند. برای اطلاعات بیشتر درخصوص نصب، ساختاربندی و استفاده از این سرویس ها آدرس زیر را مشاهده کنید.

  1. لاگ ها را مرتبا بازبینی کنید.

لاگ ها را به سرور اختصاصی لاگ انتقال دهید. این امر می تواند از دسترسی و تغییر آسان توسط مزاحمان در لاگ ها جلوگیری به عمل می آورد. در ادامه لاگ فایل های پیش فرض و معمول لینوکس با نام و کاربری توضیح داده شده اند.

  •         /var/log/message  جایی که کل لاگ های سیستم و فعالیت های فعلی در آن ثبت می شود
  •         /var/log/auth.log لاگ های اعتبار سنجی.
  •         /var/log/kern.log لاگ های کرنل
  •         /var/log/cron.log لاگ های Cron
  •         /var/log/maillog لاگ های میل سرور
  •         /var/log/boot.log لاگ های بوت سیستم
  •         /var/log/mysqld.log لاگ های سرور دیتابیس MySQL
  •         /var/log/secure لاگ اعتبار سنجی
  •         /var/log/utmp or /var/log/wtmp فایل رکورد های ورود به سیستم
  •         /var/log/yum.log:  فایل های لاگ YUM
  1.   پشتیبان گیری از فایل های مهم

در یک سیستم تولید، ضروری است که از فایل های مهم پشتیبان گیری شده و محلی خارج از محل سرور برای بازیابی در شرایط اتفاقات غیر مترقبه، امن نگهداری شوند.

  1.  باندینگ NIC

دو حالت در NIC bonding وجود دارد که باید در رابط باندینگ به آن اشاره شود

  •         Mode=0 Round Robin
  •         Mode=1 Active and Backup

NIC Bonding به ما کمک می کند که از عدم ارتباط در یک نقطه اجتناب کنیم. دو کارت شبکه اترنت را با هم باند کرده و یک رابط مجازی می سازم که از طریق آن می توان یک IP آدرس اختصاص داده و با دیگر سرور ها در تماس بود. شبکه ما در حالتی که یک NIC Card به هر دلیلی از کار باز ایستد، همچنان در دسترس است.

  1.   boot/ را در حالت read-only نگه دارید.

کرنل لینوکس و فایل های مرتبط با آن در دایرکتوری /boot قرار گرفته اند که در حالت پیش فرض به صورت read-write است. تغییر آن به read-only ریسک تغییرات غیر مجاز در فایل های حیاتی بوت را کاهش می دهد. برای انجام این کار، فایل /etc/fstab را باز کنید.

# vi /etc/fstab

خط زیر را به انتهای آن اضافه کرده، فایل ذخیره نموده و از فایل خارج شوید.

LABEL=/boot /boot ext2 defaults,ro 1 2

لطفا توجه نمایید که باید برای تغییرات بعد در کرنل باید این دایرکتوری را به حالت read-write بازگردانید.

  1.  ICMP و درخواست Broadcast را نادیده بگیرید.

خطوط زیر را در فایل “/etc/sysctl.conf” برای نادیده گرفتن درخواست ping و broadcast اضافه کنید.

Ignore ICMP request:

net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:

net.ipv4.icmp_echo_ignore_broadcasts = 1

تغییرات و تنظیمات جدید را با اجرای فرمان زیر بارگزاری کنید.

#sysctl -p

اگر شما نکته دیگری را می شناسید که از این لیست جا مانده است لطفا آن را در بخش پاسخ ها بیان کنید. ما همیشه علاقمند دریافت نظرات شما هستیم.

منبع : http://www.tecmint.com//


امنیت در مجازی سازی و رایانش ابری

امنیت در مجازی سازی و رایانش ابری

امنیت-در-مجازی-سازی-و-رایانش-ابری
مجازی سازی و رایانش ابری

در رایانش ابری کامپوننت هایی وجود دارند که برای ساختن زیرساخت ابر به کار گرفته می شوند. در پایین ترین لایه کامپوننت های سخت افزاری عملی مانند سرورها، NAS (تجهیزات ذخیره سازی شبکه) و کامپوننت های شبکه قرار می گیرند. برای محدود کردن امکان انتشار موارد امنیتی و آلودگی، شبکه ها باید به درستی به چند DMZ قوانین محدود کننده ارتباطی بین آنها تقسیم شوند. هسته رایانش ابری مجازی سازی است، که برای جداسازی یک لایه فیزیکی ماشین به چند ماشین مجازی به صورتی مقرون به صرفه است. اشتباه نکنید. اجرا و عملیاتی سازی یک ابر مطمئنا بدون مجازی سازی نیز امکان پذیر است، اما کار و زمان بیشتری برای اجرایی شدن نیازمند است. با مجازی سازی تعدادی از ماشین های مجازی امکان اجرای بر روی یک کامپیوتر فیزیکی را دارند که باعث مقرون به صرفه شدن و کاهش هزینه ها می شود. از سوی دیگر بخشی از منابع فیزیکی سرور نیز می توان به سایر کاربران واگذار گردد. چنین ماشین های مجازی کاملا پورتابل نیز هستند، بنابراین می توانند از یک سرور فیزیکی به سرور دیگردرچند ثانیه و بدون خاموشی و downtime منتقل شوند. ماشین های مجازی جدید می توانند به سادگی ایجاد شوند. فایده دیگراستفاده از مجازی محل ماشین های مجازی در دیتاسنتر است اهمیتی ندارد که دیتاسنتر کجا واقع شده است. ماشین های مجازی به سادگی قابل کپی شدن بین دیتاسنترها هستند.

در حالی که فایده اصلی مجازی سازی کاهش هزینه هاست، اختصاصی سازی آن هزینه های چنین محیطی را افزایش می دهد اگرچه ویژگی امنیت افزایش یافته را نیز به دست می دهد. اگر ما محیط مجازی سازی ابری را بیش از حد اختصاصی کنیم، هزینه نیز به طور متناظر بالا خواهد رفت. سه سرویس پایه رایانش ابری وجود دارند:SaaS، PaaS و IaaS و سه مدل اصلی پیاده سازی ابر وجود دارد:ابر خصوصی، نیمه خصوصی و عمومی. در هنگام انتخاب آمیخته ای مناسب از این مدل ها و سرویس ها، تمایل داریم که بهترین حالت را انتخاب کنیم. باید آگاه باشیم که با داشتن کنترل بیشتر بر ابر، امکان افزایش امنیت ابر نیز وجود خواهد داشت. ما می توانیم امنیت IaaS را در مقایسه با SaaS افزایش دهیم. زیرا کنترل بیشتری بر آن داریم. همین شرایط برای مدل پیاده سازی نیز صادق است. ما می توانیم امنیت یک ابر خصوصی را در مقایسه با یک ابر عمومی افزایش دهیم. باید توجه کرد در ابر که همه چیز توسط یک استفاده کننده از ابر کنترل نشده و قابل دسترسی نیست. دسترسی ها باید توسط سرویس دهنده ابری مدیریت شود. وقتی از یک ابر عمومی استفاده می شود، این وظیفه سرویس دهنده ابری است که همه جوانب زیرساخت ابر را امن کند. در حالیکه کاربر معمولا دسترسی به آن ندارد. اما در یک ابر خصوصی ما باید خودمان مسئول امنیت و مقاهیم مربوط به آن باشیم.

محیط سنتی در برابر محیط مجازی شده

در محیط مجازی سازی تعدادی موارد وجود دارد که ما نباید آنها را در شرایطی که امنیت در اولویت بالای لیست ما قرار دارد، دست کم بگیریم. در یک محیط IT سنتی، شبکه و سرورهای فیزیکی و علاوه بر آن تجهیزات شبکه به تنهایی در حال انجام کار خود هستند. در یک محیط شبکه سنتی، وقتی ما درباره یک سوئیچ شبکه صحبت می کنیم، منظورمان سوئیچ فیزیکی شبکه است که می توانیم آن را دیده و لمس کنیم، در حالی که در محیط های مجازی این روزها همه چیز می تواند مجازی شود.

 تفکیک شبکه: بیشتر محیط های ساده مجازی شده تنها از یک شبکه استفاده می کنند که همه ماشین های مجازی در آن قرار گرفته اند. اما این حالت چندان امن نیست. به جهت امن کردن شبکه، لایه شبکه نیاز به تفکیک به DMZ های مختلف دارد که امنیت را افزایش می دهد. برای شرکت هایی که تلاش می کنند امنیت را بالا ببرند، DMZ داخلی خودشان می تواند در فضایی که فقط ماشین های مجازی آنها قرار گرفته اند ایجاد شود. حتی می توان بیشتر نیز پیش رفت و تجهیزات شبکه مجزا مانند سوئیچ ها از CSP درخواست کرد که فقط ترافیک ماشین های مجازی اختصاصی شما از آنها عبور کند. می توان از CSP درخواست نمود که از VLAN tagging / trunking برای ماشین های مجازی استفاده کند که به این مفهوم است که هر بسته که به ماشین های مجازی اختصاصی مقصد یابی شده و از ماشین های مجازی اختصاصی نیز می آید، یک VLAN ID معین دارد، بنابراین تنها رابط های شبکه در همان VLAN قادر به دریافت و پردازش بسته های شبکه هستند.

  •        تفکیک فیزیکی شبکه: وقتی که یک محیط مجازی اجاره داده می شود، ماشین های مجازی معمولا در یک سرور فیزیکی مشترک با ماشین های مجازی سایر کاربران قرار می گیرند. اگر همه سرور فیزیکی را در اختیار یک شرکت قرار بگیرد، که فقط برای اجرای تنها ماشین های مجازی همان مجموعه مورد استفاده قرارگیرد، امنیت افزایش می یابد، زیرا ماشین های مجازی سایر شرکت ها در جایی دیگر قرار خواهد گرفت. مجازی سازی به خودی خود یک لایه دفاعی در برابر مهاجمان اضافه می کند. بنابراین اگر یک مهاجم قادر به نفوذ به ماشین مجازی باشد، در حال عمل در یک محیط ایمن شده است. حتی مجازی سازی یک راه آسان برای ذخیره سازی نسخه آلوده ماشین های مجازی برای تحلیل های بعدی را نیز ارائه می دهد.
  •        تفکیک ذخیره سازی داده: با هر ماشین مجازی یک محل ذخیره سازی داده هم در نظر گرفته می شود که در یک سرور ذخیره سازی داده مرکزی خارجی قرار می گیرد. برای ارتباط با سرور ذخیره سازی داده، نرم افزار مجازی سازی از پروتوکل های متنوعی برای کار در شبکه استفاده می کند. بنابراین، داده متعلق به همه ماشین های مجازی برروی شبکه بر روی همان دیسک سخت قابل دسترسی از شبکه نوشته می شود. برای بهبود امنیت، ما می توانیم ذخیره ساز اختصاصی خود را از سرویس دهنده ابری تهیه کنیم که فقط داده های خودمان بر روی آن ذخیره سازی شود. وقتی داده چند ماشین مجازی بر روی یک سرور داده متمرکز شده ذخیره می شود، این احتمال وجود دارد که یک ماشین مجازی امکان دسترسی به داده یک ماشین مجازی دیگر را داشته باشد. برای پرهیز از چنین شرایطی، ما همیشه می توانیم داده ای را که درحال ذخیره آن هستیم رمزنگاری کنیم، بنابراین حتی اگر یک ماشین مجازی دیگر قابلیت خواندن داده ها را داشته باشد این داده ها قابل فهم نیستند.

موارد امنیتی در هنگام استفاده از مجازی سازی در رایانش ابری

مجازی سازی منافع متعددی را زمانی که در پلتفرم رایانش ابری استفاده می شود بدست می دهد. چنین راندمانی در هزینه، افزایش زمان در دسترس بودن، بهبود شرایط بازیابی، مجزا سازی اپلیکیشن و غیره. علیرغم تمام این مزایا وقتی که از مجازی سازی استفاده می شود موارد امنیتی وجود دارند که در ادامه اشاره شده است.

  •        Hypervisor: Hyperviser برای جداسازی سیستم عامل ماشین مجازی از سخت افزار فیزیکی مورد استفاده قرار می گیرد. وقتی که یک ماشین مجازی جدید بر روی یک ماشین فیزیکی نصب می کنیم، باید مطمئن شویم که آخرین بروزرسانی های نرم افزار بر روی سیستم عامل نصب شده و نرم افزار بدرستی به روز رسانی شده است. همین که مهاجم دسترسی مدیریت administrative را به سیستم عامل میهمان بدست بیاورد، می خواهد از تمام نقاط آسیب پذیر که در Hypervisor وجود حداکثر بهره برداری را نماید. مهاجم می تواند دسترسی کامل به ماشین فیزیکی میزبان را بدست آورد. به جهت درک اهمیت داشتن یک hypervisor ایمن باید به نکاتی توجه شود. یک hypervisor بطور خاص برای مجازی سازی ساخته شده است و بنابراین عملکرد های محدود مورد نیاز خاصی را داراست. نیازی نیست که یک hypervisor مانند یک سیستم عامل کامل باشد، زیرا باید قادر به اجرای مجموعه محدودی از عملکردها را داشته باشد. بنابراین چنین سیستمی دارای تعداد کمتری مبادی ورودی است که قابل تهاجم و بهره برداری باشد. از آنجاییکه hypervisor ها بندرت به روز رسانی می شوند، آسیب پذیری های امنیتی جدید بیشتر در موارد اصلاح نشده برای مدت طولانی اتفاق می افتد.در سال 2006 دو rootkit برای نشان  دادن اینکه چگونه می توان از rootkit ها برای کنترل ماشین میزبان. Hypervisor و همه ماشین های مجازی آن استفاده کرد توسعه داده شد.
  •        اختصاص منابع: وقتی که یک منبع معین مانند ذخیره ساز داده و یا حافظه فیزیکی به یک ماشین مجازی اختصاص داده می شود.، ماشین مجازی می تواند از آن برای ذخیره سازی داده استفاده کند. اگر منابع بعد از آن به ماشین مجازی دیگر اختصاص داده شود به این جهت که ماشین مجازی فعلی دیگر مورد نیاز نیست و بنابراین باید حذف شود. ماشین های مجازی جدید می توانند داده را ازهارد دیسک و حافظه بخوانند. داده در چنین منابعی باید در شرایطی که از یک ماشین مجازی به ماشین مجازی دیگری انتقال داده می شود، به درستی حذف شود.
  •        تهاجم به ماشین مجازی: اگر یک مهاجم با موفقیت دسترسی به یک ماشین مجازی را با استفاده از آسیب پذیری در یکی از اپلیکیشن هایی که بر روی آن ماشین مجازی اجرا شده است بدست آورد، می تواند به سایر اپلیکیشن هایی که برروی ماشین های مجازی متفاوت در همان شبکه قرار گرفته اند، حمله کند. اگر ماشین های مجازی در حال اجرا بر روی همان هاست فیزیکی باشند که ماشین فیزیکی مورد تهاجم قرار گرفته بر آن است ممکن است سخت باشد که چنین حمله ای به شبکه کشف گردد. ما باید قادر باشیم ترافیکی که از هر ماشین مجازی بر روی یک هاست فیزیکی می آید را پایش کنیم.
  •        حملات مهاجرت:  وقتی ما یک ماشین مجازی را انتقال می دهیم، این مهاجرت معمولا از انتفال کل ماشین مجازی بر روی شبکه از یک ماشین فیزیکی به ماشین فیزیکی دیگر تشکیل شده است. برای حمله موفق، مهاجم نیاز دارد که قبل از هر چیز به شبکه دسترسی داشته باشد که مهاجرت در آن اتفاق می افتد و همچنین دسترسی به خواندن/نوشتن بر حافظه در زمانی که مهاجرت اتفاق می افتد. وقتی که ارتباطات مهاجرت رمزگذاری نشده است، مهاجم می تواند یک حمله MITM را اجرا کند تا تمام فایل های VHD ماشین را کپی برداری کند.

کاهش نگرانی های امنیتی

مورد زیر شرح می دهد که چگونه ما می توانیم نگرانی های امنیتی را که در بالا شرح داده شد کاهش دهیم.

  •        Hypervisor: ازحملات به hypervisor می تواند به آسانی با به روزرسانی های مرتب آن پیشگیری کرد. از آنجاییکه تعداد کمی نقاط آسیب پذیر در hypervisor وجود دارد و همچنین تعداد کم دفعاتی که باید انجام شود وجود دارد. اما مهم است که این کار انجام شود، اگرچه این به روز رسانی ها از از نفوذ پذیری zero-day پیشگیری نمی کند، اما حداقل سیستم در برابر آسیب پذیری های عادی محافظت می شود.
  •        اختصاص منابع: قبل از اختصاص منابع به ماشین مجازی جدید، منابع باید به درستی محافظت شوند. وقتی فضای حافظه فیزیکی به یک ماشین مجازی اختصاص داده می شود، حافظه باید کلیه حافظه صفر شود تا از نشت داده ای که در سیستم قبلی مورد استفاده قرار میگرفته جلوگیری شود.همین شرایط برای داده دیسک سخت که ممکن است هنوز پس از پارتیشن بندی جدید وجود داشته باشد،صادق است. یک ماشین مجازی جدید می تواند از ابزارهای قانونی متفاوتی برای خواندن همه محتوای ساختاربندی نشده دیسک سخت به یک فایل استفاده کرده و آن را برای نشتی داده تحلیل نماید. برای جلوگیری از این شرایط، ما باید دیسک سخت را قبل از اختصاص به یک ماشین مجازی جدید با پارتیشن بندی قبلی آن صفر کنیم.
  •        حملات ماشین مجازی: باید مطمئن شویم که نرم افزار مجازی سازی زیربنایی می تواند میان ترافیک ورودی و خروجی از ماشین مجازی تمایل قائل شود. این ترافیک همچنین نیازمند تحلیل حملات ممکن شناخته شده است. یک راه برای انجام این امر، استفاده از port mirroring برای کپی هر ترافیک بر روی یک پورت خاص در یک سوئیچ به پورت دیگر برای تحلیل داده توسط IDS/IPS است.
  •        حملات مهاجرت: حملات مهاجرت می تواند با استفاده از مکانیزم مناسبی برای یافتن و جلوگیری کردن از حملات MITM کنترل شود. برای بهبود امنیت، مهاجرت باید از یک کانال ارتباطی امن مانند TLS انجام شود.

جمع بندی

در اینجا ما دیدیدم که چگونه یک محیط مجازی سازی در اپلیکیشن های بر اساس ابر مورد استفاده قرار می گیرد. این شرایط را با یک محیط سنتی مقایسه کرده نگرانی هایی را که در آن وجود دارد ارائه کردیم. ما بطور خاص از حملات hypervisor که یک نفوذ پذیری در آن موجب بهره برداری برای دسترسی به هاست بستر می شود صحبت کردیم. همچنین ریسک نشت داده از اختصاص منابع نیز مطرح شد. جاییکه یک ماشین مجازی می تواند داده را از حافظه فیزیکی و یا دیسک سخت ماشین مجازی قبلی بخواند. همچنین امکان حمله به ماشین های مجازی در یک بستر فیزیکی از طریق یک ماشین مجازی مورد حمله قرار گرفته بر روی همان بستر فیزیکی بدون کشف در یک بازه زمانی طولانی وجود دارد  همچنین در مورد یک راه کپی از کل یک دیسک سخت مجازی با استفاده از حمله MITM در صورت مهاجرت صحبت کردیم.

در پایان مقاله راه کارهایی را برای مقاوم سازی در برابر مشکلات امنیتی که درباره آن صحبت کرده بودیم، مطرح کردیم. در انتها باید تاکید کنیم که ایمن سازی ماشین های مجازی به طور مطلق امکان پذیر نیست. ما تنها باید از نگرانی های امنیتی که وجود دارد آگاه باشیم. در حالی که مهاجرت در محل اتفاق می افتد ما باید زمان برای کنترل آن و مطمئن شدن از ایمن بود در برابر تهدیدات صرف کنیم.

منبع : http://resources.infosecinstitute.com


آشنایی کلی با مجازی سازی

آشنایی کلی با مجازی سازی

دنیای IT معمولا دارای کلمات بسیار ویژه ایست و و حتی گاهی برخی اصطلاحات را آنگونه که خود میخواهد دوباره تعریف میکند. گاهی آخرین نامگذاری ها که در این صنعت استفاده میشود بیانگر یک فناوری خاص است. مواردی مانند x86 یا مفاهیمی مانند رایانش سبز(green computing). در حالی که دنیای IT در حال رشد است اصطلاحات جدیدی بوجود می آیند و یا کم کم ازبین میروند. در سال های اخیر عبارت مجازی سازی(virtualization) تبدیل به یکی از جدیدترین کلمات دنیای IT شده است. همین موضوع این سوال را بوجود می آورد که اصلا مجازی سازی چیست؟ اولین مفهومی که برای اولین بار  به ذهن اکثر حرفه ای ها  میرسد، اجرای یک یاچند سیستم عامل در یک سیستم سرور است. اگرچه اندکی کنکاش بیشتر روشن میکند که این تعریف خیلی محدود است. تعداد بسیار زیادی سرویس، سخت افزار و نرم افزار وجود دارند که میتوانند مجازی شوند. این مقاله میخواهد نگاهی به انواع مختلف مجازی سازی و مزایا و معایب آنها بیندازد.

 

مجازی سازی چیست؟

قبل از شروع به بحث در مورد جزئیات  انواع  مختلف مجازی سازی، ارائه تعریف خلاصه ای از این عبارت مفید خواهد بود. ویکیپدیا از این تعریف استفاده میکند: “در رایانش، مجازی سازی اصطلاح گسترده ای است که مفهوم عمومی آن مختصر کردن منابع رایانه ای است.مجازی سازی ویژگی های فیزیکی منابع کامپیوتری را از کاربران آنها مخفی میکند. همچنین  میتواند باعث شود یک منبع فیریکی مانند یک سرور، یک سیستم عامل، یک نرم افزار کاربردی و یا یک دستگاه ذخیره سازی مانند چند منبع مجازی عمل کند و یا چند منبع فیزیکی مانند دستگاه یا سروربه صورت یک منبع مجازی را دیده شود.

در یک بیان ساده مجازی سازی اغلب به یکی از دو صورت زیر شناخته میشود.

  1. ایجاد تعداد زیادی منابع مجازی ازیک منبع فیزیکی است.
  2. ایجاد یک منبع از یک یا چند منبع فیزیکی است.

این عبارت (مجازی سازی) معمولا برای بیان یکی از مفاهیم فوق در حوزه های مختلف مانند شبکه، ذخیره سازی و یا سخت افزار استفاده میشود.

 

تاریخچه

مجازی سازی یک مفهوم جدید نیست. یکی از کارهای ابتدایی در این زمینه یک مقاله از Christopher Strachey با عنوان “تقسیم زمان در رایانه های بزرگ سریع” بود.اولین بار IBM شروع به تحقیق در مورد مجازی سازی نمود. مفهوم ماشین مجازی کاربران را در حالیکه یک رایانه شخصی برای هریک شبیه سازی میکرد جدا از هم نگاه داشت.

در دهه 80 و اوایل دهه 90 صنعت دنیای رایانه را از CPU های واحد به مجموعه از رایانه های کوچکتر و ارزانتر که از x86 استفاده میکردند سوق داد. در نتیجه مجازی سازی کمتر مورد توجه قرار گرفت. درسال 1999 با معرفی VMware workstation تغییر کرد. این امر با  VMware’s ESX Server که بر روی یک رایانه که ماشین مجازی برروی سخت افزار آن نصب شده بود و نیاز به یک سیستم عامل میزبان نداشت دنبال شد.

 

آشنایی کلی با مجازی سازی
آشنایی کلی با مجازی سازی

انواع مجازی سازی

امروزه عبارت مجازی سازی به طور گسترده برای مفاهیم مختلف استفاده میشود که عبارتند از:

  • Server Virtualization
  • Client / Desktop / Application Virtualization
  • Network Virtualization
  • Storage Virtualization
  • Service / Application Infrastructure Virtualization

درمجازی سازی در بیشتر موارد ،یکی از دو حالت تبدیل یک منبع فیزیکی به چند منبع مجازی و یا عکس آن تبدیل چند منبع فیزیکی به یک منبع مجازی در حال اتفاق افتادن است.

 

مجازی سازی سرور

مجازی سازی سرور  یک از مهم ترین بخش های صنعت مجازی سازی است که شرکت هایی مانند VMware، Microsoft، Citrix در آن فعال هستند. با مجازی سازی سرور یک ماشین فیزیکی به تعداد زیادی سرور مجازی تقسیم میشود. در هسته چنین نوع مجازی سازی مفهوم hypervisor (نمایش گر ماشین مجازی) نهفته است. یک hypervisor لایه نرم افزاری است که بین سیستم عامل و سخت افزار قرار میگرد. hypervisor معمولا یک CPU مجازی و حافظه برای نرم افزار هایی که برروی آن اجرا شده اند اختصاص می دهد. این عبارت نخستین بار در ارتباط با IBM CP-370 استفاده شد.

نرم افزارهای hypervisor در دو دسته دسته بندی میشوند:

نوع اول: نوعی که به عنوان bare-metal شناخته میشنود. این دسته مستقیما برروی سخت افزار اجرا میشوند و سیستم عامل ها برروی آنها اجرا میگردند. مثال هایی مانند VMware, ESX و Microsoft Hyper-V

نوع دوم: نوعی که بر روی یک سیستم عامل موجود اجرا شده وسیستم عامل های دیگری در لایه سوم بعد از سخت افزار برروی آنها نصب میشوند. مثال هایی مانند VMware Workstation و SWSoft’s Parallels Desktop

مجازی سازی هایی که ازhypervisor  نوع اول استفاده میکنند با مفهوم مجازی سازی موازی paravirtualized در ارتباط هستند. مجازی سازی موازی روشی است که در آن یک رابط نرم افزاری بسیار شبیه و اما نه دقیقا مانند سخت افزاربستر ارائه میشود. سیستم عامل ها باید بر روی hypervisor مجازی سازی موازی قرار گیرند. سیستم عامل اصلاح شده hypercall هایی که توسط parvirtualized hypervisor پشتیبانی میشود را استفاده میکند تا از این طریق مستقیما با سخت افزار ارتباط داشته باشد. پروژه عمومی Xen از این نوع مجازی سازی استفاده میکند. اگرچه با شروع نسخه 3 Xen این نرم افزار همچنین قادر شده است سخت افزار را با کمک فناوریهای مجازی سازی اینتل و AMD بکار گیرد. این ویژگی ها به Xen  اجازه میدهند که سیستم عامل های دستکاری نشده مانند ویندوز را اجرا کند.

مجازی سازی سرور منافع متعددی برای شرکت هایی که از این فناوری استفاده میکنند دارد. ازمیان این منافع متداول ترین آنها عبارتند از:

کاربری سخت افزار افزایش می یابد: این موضوع منجر به صرفه جویی در منابع سخت افزاری شده و مخارج مدیریتی را کاهش داده و در انرژی صرفه جویی میشود.

امنیت: سیستم های درخطر با استفاده از یک پشتیبان کامل قابل بازگردانی میشوند. همچنین ماشین های مجازی میتوانند یک فضای ایمنی و یا فضای مجزا برای جلوگیری از حمله ها فراهم کنند.

برنامه نویسی: عیب یابی و مانیتور کردن عملکرد به راحتی در یک روال قابل تکرار اجرا میشود. برنامه نویسان همچنین به سیستم عامل دسترسی آسانی دارند که در صورت عدم استفاده از مجازی سازی قادر به استفاده از آنها نخواهند بود.

به طور متناسب تعدادی معایب احتمالی نیز وجود دارند که باید درنظر قرارگیرند:

امنیت: با این شرایط نقاط ورودی بیشتری مانند hypervisor و لایه شبکه مجازی وجود دارند که باید کاملا پایش شوند. یک نسخه پشتیبان در معرض  خطر نیز ممکن است با تکنولوژی مجازی سازی به آسانی منتشر شود.

مدیریت: با وجود اینکه ماشین های فیزیکی کمتری برای نگهداری و تعمیروجود دارد ممکن است در مجموع کار بیشتری وجود داشته باشد. چنان فرآیند تعمیر و نگهداری ممکن است مهارتهای جدید و آشنایی با نرم افزاری که مدیریت برروی آن انجام میشود احتیاج باشد که در گذشته احتیاج نبود.

مدیریت هزینه ها: بسیار از نرم افزارها هزینه هایی  را به شرکت ها تحمیل میکنند. مثلا اجرای چهار ویندوز برروی یک سرور نیازمند چهار نسخه اصلی خریداری شده ویندوز است که هزینه را به شدت افزایش میدهد.

عملکرد: مجازی سازی به طور بهینه منابع سخت افزاری مانند RAM و CPU را بخش بندی میکند. این ویژگی در ترکیب با Hypervisor که در رده بالای آن  قرا دارد منجر به محیطی میشود که به حداکثر عملکردمنتهی نخواهد شد.

 

گروه فنی و مهندسی وی سنتر ارائه دهنده کلیه راهکارهای مجازی سازی آمادگی خود را برای تامین نیازهای مشتریان اعلام می دارد.

شماره تماس: 88884268

 


تراشه‌ی A10 اپل در پایگاه Geekbench رویت شد

تراشه‌ی A10 اپل در پایگاه Geekbench رویت شد

تراشه‌ی A10 اپل در پایگاه Geekbench رویت شد

ساعاتی پیش نتایج عملکرد A10، جدیدترین تراشه‌ی اپل، در پایگاه بنچمارک Geekbench منتشر شد. با توجه به این نتایج شاهد بهبود ۲۰ درصدی در عملکرد آن نسبت به نسل پیش هستیم. برای اطلاعات بیشتر در ادامه همراه زومیتباشید.

 همانطور که می‌دانید این روزها بازار شایعات بسیار داغ است و در حال حاضر رقابت اصلی بین گلکسی نوت 7 و آیفون 7 در جریان است. می‌دانیم که هنوز چند ماه تا زمان عرضه‌ی مرسوم اپل در فصل پاییز باقی است، بنابراین آیفون ۷ فرصت خوبی برای ربودن گوی سبقت از گلکسی نوت ۷ دارد.

با این حال، علیرغم انبوه شایعاتی که این روزها در حال منتشر شدن است، ما هنوز هم اطلاعات چندانی در ارتباط با مشخصات تلفن هوشمند جدید کوپرتینو، به خصوص چیپ A10 منتسب به این تلفن، نداریم.

البته شایان ذکر است که اپل به طور معمول، چندان بر روی مشخصات داخلی، به ویژه مواردی مثل حافظه‌ی رم، تمرکز نمی‌کند. با این حال ما بسیار مشتاق به دانستن این هستیم که آیا A10 از لحاظ عملکرد فوق‌العاده‌ی تک هسته‌ای توانسته جای A9 و A9x را بگیرد یا خیر. اما با توجه به رویت شدن A10 در پایگاه Geekbench، به نظر می‌رسد که فرصت خوبی برای پی بردن به این موضوع فراهم شده باشد.

a10 geekbench

با توجه به نتایج ثبت شده در این پایگاه، جدیدترین تراشه‌ی اپل، عملکرد تک هسته‌ای تقریبا یکسانی را با تراشه‌ی A9x، قوی‌ترین تراشه‌ی موبایل کنونی این شرکت که در تبلت‌های آیپد پرو به کار گرفته شده، از خود به نمایش گذاشته است. در مقایسه با نسل فعلی آیفون، شاهد بهبود عملکرد به میزان ۲۰ درصدی هستیم. به نظر می رسد که امسال تمام تراشه‌های A10 توسط TSMC تولید خواهد شد.

این به مفهوم آن است که تراشه‌ی جدید اپل بر اساس فرایند ۱۶ نانومتری تولید خواهد شد، چرا که فرایند ۱۰ نانومتری TSMC هنوز در مرحله‌ی آزمایشی قرار داشته و اپل نیاز مبرمی به تولید سریع و در مقیاس زیاد تراشه‌ی A10 دارد. با این حال، منابع مختلف مدعی هستند که این فرایند همانند گذشته نبوده و متد تولید جدیدی موسوم به “fan-out” به آن اضافه شده است. با صرف نظر از جزئیات فنی، نتیجه‌ی نهایی آن جای‌گیری کلی تراشه است. این موضوع می‌تواند در نهایت منجر به ساخت دستگاه‌های باریک‌تر شود یا فضای بیشتری برای باتری ایجاد گردد، که به نظر می‌رسد که در مورد آیفون 7 شاهد استفاده‌ از مزیت دوم این متد، یعنی فضای بیشتر برای جای دادن باتری بزرگتر، باشیم.

fan-out method

در نهایت اینکه یک منبع قابل اعتماد Weibo مدعی است که تراشه‌ی A10 همانند نسل قبل خود، دو هسته‌ای خواهد بود. این موضوع با توجه به تاکید زیاد بر عملکرد تک هسته‌ای و انطباق با بهینه‌سازی و طراحی بیشتر اپلیکیشن‌های موجود در اپ استور، کاملا معقول به نظر می‌رسد.


خنک کننده های کولر مستر برای کاربران حرفه ای دسکتاپ

خنک کننده های کولر مستر برای کاربران حرفه ای دسکتاپ

خنک کننده های CPU به دلایل مختلفی مورد مصرف قرار می گیرند. برخی پردازنده ها گرمای زیادی ایجاد می کنند که خنک کننده استوک توانایی دفع آن میزان حرارت را ندارد، برخی کاربران از میزان صدای ایجاد شده توسط فن استوک ناراضی اند، برخی اقدام به اورکلاک CPUمی کنند و نیازمند خنک کننده ای قوی تر می باشند و البته برخی پردازنده ها از طرف کارخانه سازنده بدون خنک کننده استوک عرضه می شوند.

کمپانی کولر مستر برای هر رده از نیازهای کاربران، راه حلی اندیشیده است. در این نوشتار 3 خنک کننده محبوب این کمپانی با تمرکز بر ویژگی اورکلاکینگ معرفی می شوند.

Cooler Master V8 GTS؛ لذت اورکلاک با هیولای کولر مستر

اگر خواهان اورکلاک شدن پردازنده تان تا آخرین حد ممکن هستید V8 GTS گزینه ای عالی برای شماست. این خنک کننده air cooling که دارای ظاهری همانند موتور اتومبیل های قدرتمند است با استفاده از تکنولوژی Vapor Chamber، باله های آلومینیومی، 8 عدد هیت پایپ و 2 عدد فن 140 میلی متری PWM با LED های قرمز جریان هوای مورد نیاز را تولید می کنند به خوبی از پس دفع حرارت پر مصرف ترین پردازنده ها بر می آید.

خنک کننده های کولر مستر برای کاربران حرفه ای دسکتاپ
خنک کننده های کولر مستر برای کاربران حرفه ای دسکتاپ

Cooler Master Seidon 120V؛ مرحمی از جنس آب

خنک کننده های آبی عملکرد درخشانی در دفع حرارت پردازنده بدون ایجاد صدای زیاد دارند. رادیاتور 120 میلی متری این کولر به طور مخصوص طراحی شده تا در هر نوع کیسی جای بگیرد و فن 120 میلی متری آن نیز طیف وسیعی از RPM(600 تا 2400) را پوشش می دهد تا برای هر نوع سیستم های حرفه ای با پردازنده رده متوسط به بالا انتخابی مناسب باشد. با انتخاب این خنک کننده می توانید پردازنده تان را تا میزان مناسبی اورکلاک کنید.

CoolerMaster Seidon 120V

Cooler Master Hyper 212X؛ کوچک و قدرتمند

برای کاربرانی که خواهان خنک کننده ای جمع و جور و بهینه می باشند یکی از بهترین انتخاب ها می تواند Hyper 212X باشد. این خنک کننده air cooling با بهره بردن از تکنولوژی CDC™ که به معنای تماس مستقیم 4 هیت پایپ با پردازنده است به راحتی از پس خنک نگه داشتن گرم ترین CPU ها نیز بر می آید که با آن می توان تا حد متعادلی نیز به اورکلاک پردازنده های کم مصرف تر پرداخت.

CoolerMaster Hyper 212X


سرویس Microsoft Volume Shadow Copy VSS

سرویس Microsoft Volume Shadow Copy VSS

سرویس Microsoft Volume Shadow Copy VSS
سرویس Microsoft Volume Shadow Copy VSS

سرویس Microsoft Volume Shadow Copy VSS یکی از قابلیتهای ویندوز سرور می باشد که می تواند از Volume ها Snapshot بگیریم که می تواند برای بازیابی LUN ها و فایلهای مختلف و داده کاوی مورد استفاده قرار گیرد. این Snapshot ها می توانند بصورت دستی و یا اتوماتیک گرفته شود.

سرویس VSS بر روی ویندوز سرور 2003 معرفی شد. با استفاده از این سرویس ، بکاپ گیری داده های Application ها حتی Application های در حال اجرا را انجام می دهد. این سرویس با NTFS کاملا سازگار می باشد. این قابلیت می تواند به صورت نرم افزاری یا سخت افزاری مدیریت شود. یک Provider سخت افزاری ، مدیریت Shadow Copy ها را در ارتباط با استوریج کنترلر سخت افزاری را انجام می دهد و یک Provider نرم افزاری نیز مانع از درخواستهای IO میان فایل سیستم و Volume Manager می شود.

متدهای مختلفی وجود دارند که در آن سرویس Volume Shadow Copy می تواند کپی هایی تهیه نماید. اولین متد Complete copy می باشد که در آن کپی Read-only از Volume اصلی گرفته می شود. در دومین متد که Copy-on-write می باشد در آن فقط تغییرات در Volume را کپی می نماید. این سرویس همچنین می تواند کپی redirect-on-write انجام دهد که در آن کپی differential شبیه به متد copy-on-write ایجاد می کند ولی تغییرات را به Volume دیگری redirect می کند.

 

 


مفهوم VTS Virtual Tape System

مفهوم VTS Virtual Tape System

Virtual Tape System (VTS)

 

مفهوم-VTS-Virtual-Tape-System

مفهوم اصلی VTS چیست؟

یک Virtual Tape System VTS یک استوریج Cloud یا Virtual می باشد که بر پایه نوارهای مغناطیسی کار می کند و یک ساختار استوریج یکپارچه برای ذخیره و بازایابی اطلاعات را در اختیار کاربر قرار می دهد.

 

Definition – What does Virtual Tape System (VTS) mean?

A virtual tape system (VTS) is a cloud or virtual data storage and backup system that uses magnetic-tape-based consolidated storage infrastructure to store and retrieve data.

A virtual tape system combines the functionality of disk cache and a virtual tape library to deliver a data storage and backup solution that can be accessed over the Internet or through an IP network.

A virtual tape system may also be referred to as a virtual tape server.

Techopedia explains Virtual Tape System (VTS)

A virtual tape system works like a typical magnetic tape storage system but is enabled and integrated with cloud storage and virtualization techniques. A virtual tape system is generally implemented to achieve enhanced storage management performance and reduce disk cartridge waste.

VTS eliminates data retrieval latency by storing an instance of frequently used programs in disk caches to provide faster access to the data. VTS also uses a virtual tape library (VTL) built over storage virtualization to reduce the amount of tape disk required.


جدا سازی پهنای باند شبکه داخلی از اینترنت در میکروتیک

جدا سازی پهنای باند شبکه داخلی از اینترنت در میکروتیک

جدا سازی پهنای باند شبکه داخلی از اینترنت در میکروتیک
جدا سازی پهنای باند شبکه داخلی از اینترنت در میکروتیک

در میکروتیک هنگامیکه کاربران به سرور pppoe  متصل میشوند queue دینامیک برایشان با توجه به گروه انتخابی ایجاد میشود.بطور مثال گروه ۱۲۸k .حالا مشکلی که ممکنه بوجود بیاد اینه که دسترسی کاربران به سرورهای داخلی مثل سرور ftp یا file server محدود میشه به ۱۲۸k .در این سناریو میخوام دسترسی به سرور داخلی ftp نامحدود ولی دسترسی به اینترنت همون ۱۲۸k باشه.

فرض میکنیم ۱۹۲٫۱۶۸٫۱٫۰/۲۴ رنج ip کاربران pppoe باشه و ۱۹۲٫۱۶۸٫۲٫۱ ip سرور ftp.

حالا دستورات زیر رو در میکروتیک وارد کنید :

1
2
3
4
5
6
7
8
9
/ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 dst-address=192.168.2.1 action=mark-packet new-packet-mark=ftp-up
/ip firewall mangle add chain=postrouting dst-address=192.168.1.0/24 src-address=192.168.2.1 action=mark-packet new-packet-mark=ftp-down
/queue type add name=ftp-exempt kind=sfq
/queue tree add name=ftp-up parent=global-in packet-mark=ftp-up queue=ftp-exempt max-limit=100M
/queue tree add name=ftp-down parent=global-out packet-mark=ftp-down queue=ftp-exempt max-limit=100M

من در نسخه ۵٫۲۶ تست کردم و کاملا درست کار کرد.


آخرین دیدگاه‌ها

    دسته‌ها