IT運維技能必知必會！

IT管理員常用的管理、工具有哪些？先說說TCPcopy這個神器吧，貌似很多人都還在用著ab模擬測壓力，TCPcopy能直接匯入線上流量供上線前的風險測試。下面對使用過的工具會簡單進行功能及使用場景介紹，並提及一些所瞭解的工具。 統一帳號管理： 你還在自己寫指令碼批次增加機器的使用者、分組和修改密碼或者同步主機的/etc/passwd嗎？你還在使用指令碼批次對使用者設定許可權嗎？如果有一臺帳號主機能夠提供所有伺服器的帳號、密碼、許可權控制，如此一來，如果想要增加、修改、刪除使用者，只要到這臺伺服器上面處理即可，這樣是不是很方便？

1. LDAP 統一管理各種平臺帳號和密碼，包括但不限於各種作業系統（Windows、Linux）認證，Linux系統sudo整合（限制使用者的sudo許可權以及使用sudo的主機），使用者可主機登入限制等 可與Apache，HTTP，FTP，SAMBA，ZABBIX，Jenkins等整合 支援密碼策略（密碼強度、密碼過期時間、強制修改、超過驗證錯誤次數鎖定帳號）等 支援外掛式鑑別模組PAM 不同平臺許可權的設定、劃分
2. jumpserver 一款由python編寫開源的跳板機(堡壘機)系統，實現了跳板機應有的功能。基於ssh協議來管理，客戶端無需安裝agent,目前本版本處於beta階段，線上環境慎用。試用了一下demo，感覺在統一帳號管理方面並不成熟。
3. NIS 類似於LDAP 自動化部署
4. Fabric 優點：小巧，無需裝agent，基於SSH，可以在本地、遠端主機上執行所有的shell命令和python函式。主要提供執行本地、遠端命令，上傳、下載檔案功能。適合用來程式設計不常用、碎片化的工具 缺點：內建模組較少，很多東西要自己編寫命令實現。
5. Ansible 無需agent，基於ssh實現，對新申請的機器做初始化擴充套件不錯 特性較多，日常部署需要的功能基本上都覆蓋了，比如git、打包解壓、copy檔案、yum安裝等等都已經整合到了核心模組裡面，alternatives、xattr等模組也有所整合，當然，理論上所有操作都能用命令模組來完成。 缺點： 比較依賴網路的健壯性，網路不好的話會比較坑，執行ansible的主機需要能與遠端主機ssh直連，可以用隧道技術或者sshuttle來解決，還有SaltStack、Pupet、Chef、func等 DNS：
6. dnsmasq 提供 DNS 快取，DNS重定向、記錄轉發，DNS反向解析， DHCP 服務功能，配置簡單 可以配置對上層DNS輪詢請求記錄 配置支援萬用字元，不用批次修改hosts
7. pdnsd 提供DNS快取服務 設定向上級DNS請求方式（TCP、UDP，Both） 設定多個上級DNS並設定請求規則 配置快取保留時間
8. namebench Google自行研發的一款DNS測速工具，還有Bind等 壓力測試:
9. ApacheBench 建立多併發執行緒模擬多使用者對URL訪問進行壓力測試 Apache中有個自帶的，名為ab的程式，ab可以建立很多的併發訪問執行緒，模擬多個訪問者同時對某一URL地址進行訪問。
10. TCPcopy、UDPcopy 直接對某一機器流量copy到另一機器進行壓力測試 提到壓力測試，可能大多數人首先想到的就是ApacheBench，但ab是模擬訪問，模擬畢竟是模擬，然而線上會遇到的錯誤可能往往無法預知，其實國內已經有人開發了一款線上流量copy的工具，就是TCPcopy、UDPcopy，能夠之間copy線上流量到測試環境，大大減少了上線前的風險。支援設定copy流量倍數放大、縮小，修改流量的客戶端IP源地址。
11. TCPburn 類似ApacheBench tcpburn是由網易自主研發的能夠模擬千萬級別併發使用者的一個軟體，目的是能夠用較少的資源來模擬出大量併發使用者，並且能夠更加真實地進行壓力測試， 以解決網路訊息推送服務方面的壓力測試的問題和傳統壓力測試的問題。 安全
12. PortSentry 對埠掃描的機器做防禦策略 特點:給出虛假的路由資訊，把所有的資訊流都重定向到一個不存在的主機； 自動將對伺服器進行埠掃描的主機加到TCP-Wrappers的/etc/hosts.deny檔案中 利用Netfilter機制、包過濾程式，比如iptables和ipchain等，把所有非法資料包（來自對伺服器進行埠掃描的主機）都過濾掉； 透過syslog()函式給出一個目志訊息，甚至可以返回給掃描者一段警告資訊。 2.fail2ban 對SSH密碼暴力破解的機器做防禦策略 防禦 SSH 伺服器的暴力破解攻擊，對安全性要求過高的伺服器還是建議禁止密碼登入，使用金鑰或者金鑰+密碼驗證。
13. Google Authenticator 可以將第二部驗證設定為透過簡訊或語音電話接收驗證碼，同時也支援 Android、iPhone 或 BlackBerry 裝置來生成驗證碼 一款開源的，可基於開放規則（如 HMAP/基於時間）生成一次性密碼的軟體。Google公司同時也支援外掛式鑑別模組PAM，使其能和其他也適用PAM進行驗證的工具（如OpenSSH）協同工作。
14. knockd 害怕伺服器被入侵，但是奈何經常在不同的地方登入或者登入的IP經常變動？knock一下吧。在伺服器端設定只有你知道的“暗語”來讓伺服器給你芝麻開門。 knockd可以讓server監聽特定的埠，如果client按指定的順序及協議（TCP/UDP）訪問server指定埠，則執行指定命令，於是我們就可以用它來做一些有趣的事，比如利用IPTABLES動態增加防火牆等等。 另外，knock client也可以用來模擬發包探測網路連通性。比如不確定本機到對端的某個埠是否可通，可以在遠端用tcpdump監聽對應埠，然後用knock客戶端模擬發包。 Project Site：Zeroflux.org // Judd Vinet 虛擬化: 1.vagrant 每次用想要新建一個虛擬機器是不是都得設定虛擬機器名稱？設定虛擬機器型別、版本、選擇映象、記憶體大小、虛擬機器CPU核心數量、裝置等一堆東西，然後還要裝系統balabala.. 然而我只需要在終端下面輸入一條vagrant up machine 就能新建一個預配置好的虛擬機器哦，實為自己測試和給開發人員建立統一程式設計環境的一個好選擇 支援快速新建虛擬機器 支援快速設定埠轉發 支援自定義映象打包（原始映象方式、增量補丁方式） ...基本上日常能用到的基礎配置都能快速設定 支援開機啟動自動執行命令 可以自己寫擴充套件 2.docker 每次搭建一套新環境是不是很麻煩？有兩個不同程式依賴於同一環境的不同版本怎麼辦？在程式裡指定絕對路徑？做軟連結？ docker幫你解決了這個煩惱，映象打包好之後推送到register之後再到對應機器上pull下來，放上程式碼，done.. 關於docker的實戰案例：

監控:

1. smokeping IDC選址很頭疼吧，不知道某一節點網路質量怎樣，不相信供應商給的資料？試試smokeping吧，能夠測試某地、多地到某一節點的質量情況（包括丟包率，速率） 科學上網:
2. SS，FQ神器 2.GFWlist2PAC，配合FQ神器使用。