ADMINISTRACIÓN BÁSICA SISTEMA OPERATIVO LINUX

INTRODUCCION

Como parte de la administración básica y mantenimiento de los servicios que operan bajo sistemas
operativos Linux, es importante monitorear el estado de los servidores que soportan la plataforma
y las arquitecturas implementadas en la entidad. Por tal motivo se crea este instructivo para dar una
guía de los comandos y archivos básicos que se deben tener en cuenta al momento de monitorear
el comportamiento de un servidor o identificar fallas que se encuentren impactando la operación
ya sea por indisponibilidad de los servicios o bajo rendimiento en el funcionamiento de las
aplicaciones.

DESARROLLO

Monitoreo

Actualmente la plataforma se encuentra monitoreada a través de la herramienta PRTG Network

Monitor donde se tienen implementados sensores para medición de variables de rendimiento por
servidor.

Las variables básicas que se deben monitorear para los servidores son: uso de memoria RAM, carga
de procesamiento, tamaño de discos y algunas URL que se han identificado previamente y que
corresponden a servicios corriendo sobre el servidor monitoreado.

Para que pueda hacerse efectivo el monitoreo de los servidores, por cada nuevo equipo se debe
configurar el servicio snmp y que el personal administrador de la herramienta de monitoreo realice
el descubrimiento del nuevo servidor.

A continuación se describe el procedimiento para configurar el servicio snmp sobre un servidor

con sistema operativo Linux:

1. Verificar si el servicio de snmp está corriendo sobre el sistema:

# service snmpd status

En el caso anterior se observa que el servicio está instalado pero detenido, por lo que se
procede a iniciar el servicio:
 # service snmpd start

2. Si el servicio no se encuentra instalado, se procede con la instalación de los paquetes

correspondientes al servicio snmp net-snmp y net-snmp-utils.

# yum -y install net-snmp net-snmp-utils

3. Luego de iniciar el servicio, se ejecuta el siguiente comando para dejar el servicio

persistente:

# chkconfig snmpd on

4. Se realiza una copia del archivo que viene configurado para el servicio snmp con un
nombre diferente:

# cp /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.old

5. Se vacía el archivo de la configuración original con la siguiente instrucción:

# cat /dev/null > /etc/snmp/snmpd.conf

6. Se edita el archivo y se coloca el siguiente contenido:

# vi /etc/snmp/snmpd.conf

Inicio de archivo (esto no se coloca dentro del archivo)

# Definicion de comunidad solo lectura

rocommunity s1c0t1snmp

# Listas de control de acceso (ACL)

## sec.name source community
com2sec local 127.0.0.1/32 s1c0t1snmp
com2sec PRTG 10.20.1.131 s1c0t1snmp

#Se asigna ACL al grupo de lectura escritura

group MiGrupoRW v1 local
group MiGrupoRW v2c local
group MiGrupoRW usm local
 #Se asigna ACL al grupo de solo lectura
group MiGrupoRO v1 PRTG
group MiGrupoRO v2c PRTG
group MiGrupoRO usm PRTG

# Ramas MIB que se permiten ver

## name incl/excl subtree mask(optional)
view all included .1 80

# Establece permisos de lectura y escritura

## group context sec.model sec.level prefix read write notif
access MiGrupoRO "" any noauth exact all none none
access MiGrupoRW "" any noauth exact all all none

# Información de Contacto del Sistema

syslocation Servidor Linux Virtual RHEV
syscontact Administrador (dc.linux@sic.gov.co)

# Nombre del servidor

sysname pandora

Fin de archivo (esto no se coloca dentro del archivo)

7. Se reinicia el servicio snmp y se verifica conectividad local:

# service snmpd restart

# snmpwalk -v2c -c s1c0t1snmp localhost .1.3.6.1.4.1.2021.10.1.3

Debe arrojar una salida como:

UCD-SNMP-MIB::laLoad.1 = STRING: 0.22

UCD-SNMP-MIB::laLoad.2 = STRING: 0.18
UCD-SNMP-MIB::laLoad.3 = STRING: 0.11

8. Verificar el servicio firewall, si está arriba se deben adicionar los puertos que utiliza el
servicio snmp:

# service iptables status

 # vi /etc/sysconfig/iptables
------Adicionar
#Servicio SNMP
-A INPUT -m state --state NEW -m udp -p udp --dport 161 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 162 -j ACCEPT

# service iptables restart

Luego de ejecutado el procedimiento anteriormente descrito, se notifica al administrador de la

herramienta PRTG para que se realice el descubrimiento del nuevo equipo y se configuren los
correspondientes umbrales para el envío de alertas.

Revisión de servidores por reporte de falla o bajo rendimiento aplicaciones

Cuando se reporten fallas sobre servicios ya sea por indisponibilidad o bajo rendimiento de las
aplicaciones podemos utilizar los siguientes comandos básicos para la revisión:

1. En caso de presentarse indisponibilidad de los servicios, debemos verificar el estado en

el cual se encuentra la aplicación relacionada con el servicio. En su mayoría, para la
entidad, se revisan los servicios apache, mysql o postgres de acuerdo a como se
encuentre implementado el Web service relacionado.

# service httpd status

# service mysql status

# service postgresql status

Si el estado de estos servicios es detenido, se intenta iniciarlos revisando de acuerdo al

estado si se presenta falla para indagar más al detalle el problema de inicio del servicio.
Para esto es muy útil revisar los logs que se encuentran alojados en la carpeta /var/log
específicamente el archivo messages o los logs específicos de cada servicio.

2. En caso de presentarse bajo rendimiento de las aplicaciones, podemos iniciar con el

diagnóstico de comportamiento de la máquina mediante el comando top con el cual
obtendremos información importante a nivel de usos de los recursos de hardware:

# top
 En el caso anterior cuando se detecta un servicio o proceso que tenga un alto uso de
procesamiento o memoria, si se hace necesario, se puede finalizar el proceso de forma
forzada y así estabilizar el comportamiento de la máquina. El comando con el cual se
realiza esta finalización es:

# kill -9 numero_de_proceso

A nivel de espacio en disco se revisa con el siguiente comando:

# df –hl

Es importante contar con espacio libre en las particiones, especialmente en los puntos
de montaje / y /var debido a que allí se almacenan datos de instalación y logs de sistema
que son importantes para el buen funcionamiento del servidor. Si alguna de estas
particiones llega a su 100% de ocupación puede ocasionar fallas en el sistema o en las
aplicaciones.

3. Cuando el sistema permite ingreso y se observan las condiciones de hardware en límites

normales, para continuar diagnosticando del sistema, nos remitimos a un insumo muy
importante que es log de sistema y que se puede revisar en la ruta /var/log. Este log es
llamado messages y contiene toda la información de eventos y registros importantes a
tener en cuenta en caso de una falla. Otros log que son importantes revisar en caso de
falla de las aplicaciones, son los logs de cada una de las aplicaciones. Para el caso de la
entidad uno de estos logs corresponde en su mayoría al servicio apache y el cual se
ubica en la ruta /var/log/httpd bajo el nombre de error_log.

4. Para los servidores con sistema operativo Linux Red Hat existe un nivel de seguridad
que se habilita con el paquete llamado selinux y que viene por defecto habilitado sobre
el sistema operativo. Este nivel de seguridad es una protección adicional del sistema
 para evitar que usuarios, procesos o archivos no autorizados, accedan o realicen
modificaciones sobre otros servicios.

a. Para diagnosticar fallas por selinux, inicialmente se podría dejar en modo

permisivo para confirmar que el tenerlo habilitado, sea la razón por la cual un
servicio o aplicativo no funcione.
 # setenforce 0
b. Se revisa el log /var/log/audit/audit.log para identificar la razón por la cual
selinux no está permitiendo el funcionamiento del servicio o aplicativo.

c. Luego de identificar la falla y corregirla a través de las opciones de selinux se

vuelve a dejar habilitado por seguridad:
 # setenforce 1

5. Cuando el servidor no responde a ping y no se puede ingresar por ssh, se debe

diagnosticar por consola en caso de un servidor virtual, por ILO en caso de ser un
servidor ubicado en los Enclosure o conectando un monitor, teclado y mouse en un
servidor físico y que no tenga acceso por ILO.