Product SiteDocumentation Site

8.9. 其他組態:時間同步、記錄、共享近用…

本節列出的細目對希望精通 GNU/Linux 系統組態極有幫助。這裡祗列出簡要的內容,詳情仍需參閱文件。

8.9.1. 時區

基本 符號連結

符號連結是一種指向另個檔案的指標。近用時,被指向的檔案就被打開。移除連結不會刪除指向的檔案。同樣的,沒有自的授權,而是使用目標本身的授權。最後,可以用於任何類型的檔案:資料夾、特殊檔案 (網路插座、具名管道、設備檔案等)、甚至另個符號連結。
ln -s target link-name 命令新增一個符號連結,命名為 link-name,指向 target
若目標不存在,則連結算是 “破損” 且其近用送回錯誤訊息指示目標檔案不存在。若連結指向另個連結,該連結又指向其前任連結,則該等連結的 “鏈” 形成 “循環”。在這種情況下,近用循環內的任一連結也會得到特定的錯誤 (“過多層的符號連結”);經過若干循環後核心放棄它。
初始安裝時經由 tzdata 套件組態時區。dpkg-reconfigure tzdata 命令以互動方式修改時區。其組態內容儲存在 /etc/timezone 檔案。在 /usr/share/zoneinfo 資料夾內對映的檔案複製在 /etc/localtime 檔案內;此檔案包括使用日光節約時間的國家。
暫時變更時區,可使用 TZ 環境變數,它的優先次序在預設的組態檔之前: 
$ date
Thu Feb 19 11:25:18 CET 2015
$ TZ="Pacific/Honolulu" date
Thu Feb 19 00:25:21 HST 2015

說明 系統時鐘,硬體時鐘

電腦內有兩個時間來源。主機板有個硬體時鐘,稱為 “CMOS 時鐘”。這個時鐘不準,近用的速度慢。作業系統核心有自己的系統時鐘,以自己的方式 (可能由時間伺服器協助,見 節 8.9.2, “時間同步”) 保持時間的正確。此系統時鐘較為準確,尤其是不需經由硬體變數就能近用。然而,系統時鐘祗存在於記憶體,開機就歸零,不像 CMOS 時間鐘,有電池支援,不受重新開機或暫停下仍能 “存活”。因此,開機時,由 CMOS 時鐘設定系統時鐘,關機時更新 CMOS 時鐘 (若被不當調整就能修正它)。
實務上有個問題,因為 CMOS 時鐘祗是個計數器,未含時區資訊。有幾個方式選擇其解釋方式:系統以世界標準時間 (UTC,舊稱 GMT),或當地時間看待。雖然可以簡單切換,但卻頗為複雜:它的偏移值不是常數。系統無法判斷偏移值的正確性,尤其在時區交接。總是在世界標準時間與時區資訊之間重組在地時間,建議使用 CMOS 時間為世界標準時間。
不幸的是,視窗系統預設的組態忽視此建議;仍以 CMOS 時鐘為在地時間,啟動時猜測時區的變動。祗要執行單一的視窗系統,就沒有問題。可是,電腦經常安裝多個系統 (“雙重開機” 組態或在虛擬機器執行其他系統),混亂就免不了,無法決定正確的時間。必須保留視窗系統的前提下,應把 CMOS 時鐘組態成 UTC (把機碼 HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\RealTimeIsUniversal 設定為 “1” 做為 DWORD),或使用 Debian 系統的 hwclock --localtime --set 設定硬體時鐘並標記追蹤其為在地時間 (並且在春秋兩季手段檢查時鐘的正確性)。

8.9.2. 時間同步

時間同步,在單機時代是多餘,但在網路時代卻很重要。使用者無權修改日期與時間,所以需要精準的時間以免混亂。尤有甚者,網路上的電腦時間同步後,有助於安排社群工作者透過網路全球串聯。受到攻擊時,容易依序恢復原來的運作。由多部機器收集來的統計資料,必須有同步的時間,才能發揮作用。

基本 NTP

網路時間協定 (Network Time Protocol, NTP) 可以讓機器間相當精準的同步,甚至把網路延遲及其他偏移值列入考量。
網際網路上很多 NTP 伺服器可用,受歡迎的其工作量可能負荷過重。所以建議使用 pool.ntp.org NTP 伺服器,它是一組公開的 NTP 伺服器。也可使用針對特定地區的次群組伺服器,如 us.pool.ntp.org 係供美國使用、ca.pool.ntp.org 供加拿大使用。
然而,管理大型網路時,還是應安裝與公共伺服器同步的自己 NTP 伺服器。同個網路上自己的機器,就能使用內部的 NTP 伺服器不必增加外部公共伺服器的負擔。以自己的時鐘增加網路內機器的同質化,同步擷取與共用資源,使用共同的網路交換時間。

8.9.2.1. 給工作站

工作經常需要重新開機 (雖然祗是節省能源),開機時以 NTP 同步就夠了。安裝 ntpdate 套件就可以。需要更換 NTP 伺服器時,再修改 /etc/default/ntpdate 檔案即可。

8.9.2.2. 供伺服器

伺服器很少重開機,系統時間必須絕對精準。為了永久維持時間的正確性,必須安裝由 ntp 套件提供的 NPT 伺服器。預設的組態方式係與 pool.ntp.org 同步,且回應在地網路的請求。可以編輯 /etc/ntp.conf 檔案改變原來的組態,NTP 伺服器依照該檔案的內容而變更。若有多個伺服器,最好有一個在地時間伺服器與公共的伺服器同步,並做為在地網路其他伺服器的同步的依據。

進一步 GPS 模組與其他時間來源

如果網路對時間同步極為敏感,最好在伺服器安裝 GPS 模組 (which will use the time from GPS satellites) 或 DCF-77 模組 (which will sync time with the atomic clock near Frankfurt, Germany)。在這種情況下,NTP 伺服器的組態就有點複雜,必須參照文件辦理。

8.9.3. 輪轉日誌檔

日誌檔成長的速度很快,需要典藏它。最常的做法是循環典藏:祗保留最新的 X 部份。logrotate 是負責循環的程式,根據 /etc/logrotate.conf 檔案內的組態,把日誌檔儲存在 /etc/logrotate.d/ 資料夾內。管理者可以修改該等檔案,修改 Debian 預設的循環政策。logrotate(1) 手冊頁面描述該組態可用的選項。可以在循環的過程中,增加典藏的檔案數,或把檔案移至指定的資料夾而不是刪除它們。也可以電子郵件方式寄到別的地方。
logrotate 程式每日執行 cron 排程的要求 (詳情見 節 9.7, “以 cronatd 使用排定的工作”)。

8.9.4. 共享管理員權限

數個管理者共同在同個伺服器工作。共用同個根使用者密碼不是好主意,匿名引發的誤用很麻煩。解決方案是使用 sudo 程式,允許使用者對特定命令擁有專門的權力。在多數情況下,sudo 允許受信任的使用者以根的權限執行命令。使用者祗需執行 sudo command 並以個人的密碼通過認證。
安裝的時候,sudo 套件把完整的 root 權限授權給 sudo Unix 群組。管理者必須使用 visudo 命令授予其他權利,該命令允許使用者修改 /etc/sudoers 組態檔 (當然,必須啟用 vi 編輯器,或在 EDITOR 環境變數指定的編輯器)。新增一列 username ALL=(ALL) ALL 就能允許該使用者以 root 的授權執行命令。
還有較複雜的組態,祗允許特定使用者執行部份命令。詳情在 sudoers(5) 手冊頁面。

8.9.5. 掛載點清單

基本 掛載與卸載

在 Debian 這類的 Unix-like 系統裡,檔案以樹狀的資料夾階層組織。/ 資料夾稱為 “根資料夾”;其他的資料夾都是此根資料夾的次資料夾。“掛載” 是把週邊設備 (通常是磁碟) 納入系統檔案樹的作業。如果以其他磁碟儲存使用者個人的資料,將 “掛載” 於 /home/ 資料夾。根檔案系統由核心永遠掛載於根;其他設備則稍後再透過啟動順序或以 mount 命令掛載進來。
Some removable devices are automatically mounted when connected, especially when using the GNOME, Plasma or other graphical desktop environments. Others have to be mounted manually by the user. Likewise, they must be unmounted (removed from the file tree). Normal users do not usually have permission to execute the mount and umount commands. The administrator can, however, authorize these operations (independently for each mount point) by including the user option in the /etc/fstab file.
mount 命令可以直接使用不需參數 (列出所有已掛載的檔案系統)。以下參數為掛載或卸載設備所必需。完整的參數,請參見對應的手冊頁面,mount(8)umount(8)。單純個案的語法也簡單:例如,掛載使用 ex3 檔案系統的 /dev/sdc1 分區入 /mnt/tmp/ 資料夾時,需執行 mount -t ext3 /dev/sdc1 /mnt/tmp/ 命令。
/etc/fstab 檔案列出所有開機自動掛載或手動掛載的移動儲存裝置。每個掛載點由一列文字描述,包括若干空格區隔的欄位:
  • file system: this indicates where the filesystem to be mounted can be found, it can be a local device (hard drive partition, CD-ROM) or a remote filesystem (such as NFS).
    此欄位通常以檔案系統的 ID 取代 (可以用 blkid device) 前置及 UUID=。此種方式可以應付新增或移除磁碟設備名稱的情況,或者以其他順序偵測到的磁碟。
  • 掛載點:這是把設備、遠端系統,或分區掛載於在地檔案系統的位置。
  • 類型:這個欄位定義掛載設備使用的檔案系統。ext4ext3vfatntfsbtrfsxfs 等。

    基本 NFS,網路檔案系統

    NFS 是一種 Linux 環境下的網路檔案系統,把遠端的檔案以透明方式納入在地的檔案系統內。
    知名的檔案系統清單在 mount(8) 手冊頁面。特殊值 swap 係供交換分區使用;特殊值 auto 告訴mount 程式自動偵測檔案系統 (對讀卡機與 USB 磁碟機特別有用,因為它們可能使用不同的檔案系統);
  • 選項:依檔案系統的不同,而有多種選項,詳情見 mount 手冊頁面。最常用的是
    • rwro,表示該設備掛載後可以讀/寫,或祗有讀取的權限。
    • noauto 開機時關閉自動掛載。
    • nofail 允許在啟動時處理設備,即使該設備不存在。確認啟動時,該外接磁碟機可能未插入,因為 systemd 將確認所有掛載點在啟動完成前必須自動掛載。可將此與 x-systemd.device-timeout=5s 併用,告訴 systemd 不必等 5 秒以上的時間,直接進入下個作業階段 (見 systemd.mount(5))。
    • user 授權所有的使用者均可掛載此檔案系統 (若無此選項,則祗有根使用者才有此權限)。
    • defaults 表示預設的選項群組為:rwsuiddevexecautonouserasync,使用了 defaults 之後,還可以用 nosuid 命令、nodev 及其他類似的命令,中止 suiddev 等作用。加入 user 選項可再啟用它,因為 defaults 包括 nouser
  • dump: this field is almost always set to 0. When it is 1, it tells the dump tool that the partition contains data that is to be backed up.
  • pass: this last field indicates whether the integrity of the filesystem should be checked on boot, and in which order this check should be executed. If it is 0, no check is conducted. The root filesystem should have the value 1, while other permanent filesystems get the value 2.

範例 8.6. 範例 /etc/fstab 檔案

# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
# / was on /dev/sda1 during installation
UUID=c964222e-6af1-4985-be04-19d7c764d0a7 / ext3 errors=remount-ro 0 1
# swap was on /dev/sda5 during installation
UUID=ee880013-0f63-4251-b5c6-b771f53bd90e none swap sw  0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto 0       0
/dev/fd0        /media/floppy   auto    rw,user,noauto  0       0
arrakis:/shared /shared         nfs     defaults        0       0
此例的最後一個款目對應於網路檔案系統 (NFS):/shared/ 資料夾位於 arrakis 伺服器掛載於本地機器的 /shared//etc/fstab 檔案格式位於 fstab(5) 手冊頁面。

下一步 自動掛載

systemd is able to manage automount points: those are filesystems that are mounted on-demand when a user attempts to access their target mount points. It can also unmount these filesystems when no process is accessing them any longer.
Like most concepts in systemd, automount points are managed with dedicated units (using the .automount suffix). See systemd.automount(5) for their precise syntax.
Other auto-mounting utilities exist, such as automount in the autofs package or amd in the am-utils.
Note also that GNOME, Plasma, and other graphical desktop environments work together with udisks, and can automatically mount removable media when they are connected.

8.9.6. locateupdatedb

可以用 locate 命令找尋已知名稱的檔案。幾乎即時送回結果,因為它搜尋的資料庫儲存系統內所有檔案的位置;此資料庫由 updatedb 命令每日更新。locate 命令還有其他用途,Debian 選擇 mlocate 做為其標準系統。
mlocate 很聰明,祗送回該命令使用者能夠近用的檔案,不會顯示系統內其他符合條件的檔案 (因為它以根權限執行 updatedb 命令)。為了提供額外的安全保護,管理者可以使用 PRUNEDPATHS 位於 /etc/updatedb.conf,排除已經索引的其他資料夾。