Подготовка инфраструктуры Linux к инцидентам: обязательный минимум

Логотип компании
Подготовка инфраструктуры Linux к инцидентам: обязательный минимум
AI
Почему простой в инфраструктуре, который по SLA должен уложиться в 15 минут, регулярно растягивается на 45? Причина проста: на проде нет базовых утилит наподобие strace, tcpdump, lsof. И вместо того чтобы исправлять неполадки, инженер пытается поставить недостающие утилиты, в то время как значительная часть сервиса уже недоступна. IT-World разберет, как возникает эта ситуация, какие инструменты должны быть на каждом Linux-хосте до возникновения первого инцидента и какие организационные практики делают инфраструктуру готовой к сбоям.
Каналы и подписка
IT-World там, где вам удобно

Новости рынка, редакционные обзоры, экспертные материалы и выпуски изданий. Выберите формат, который удобен вам.

ВК Дзен TG Max Email Подписка

Что происходит в момент сбоя

Ночью сервис на проде начинает тормозить: запросы к API отваливаются по таймауту, мониторинг присылает алерты. Дежурная смена заходит на проблемный узел.

На хосте нет необходимых инструментов для анализа. Попытка поставить недостающие пакеты стандартным способом не проходит: некоторые пакеты можно поставить только по согласованию с ИБ-отделом, других просто нет в корпоративных прокси-репозиториях, а третьи нельзя применить из-за особенностей компиляции текущей версии ядра.

И получается замкнутый круг:

  • для диагностики нужны инструменты;
  • для установки и использования инструментов нужны доступы, согласования, заявка;
  • в момент инцидента нет ни того, ни другого.

Представим, что целевой показатель SLA по восстановлению составляет около 15 минут. Фактическое время в подобных случаях доходит до 40–50 минут. Разница уходит не на разбор причины, а на поиск обходных путей для установки необходимых для починки пакетов и утилит.

Почему прод остается без инструментов

Минимизация образов как отраслевой стандарт

За последние пять-семь лет мы наблюдаем минимизацию образов ОС:

  • Ubuntu Server Minimal — включает только ядро и базовые пакеты;
  • RHEL/CentOS Minimal Install — включает минимальный набор пользовательских пакетов и системных компонентов;
  • Alpine Linux — дистрибутив, следующий концепции минимализма и и ориентированный на безопасность

Все очевидно: меньше софта — меньше поверхности для атак. С другой стороны — отсутствие базовых утилит в момент, когда они на самом деле нужны.

Узбекистан как операционный хаб для ИТ-бизнеса. Чем он привлекателен
Николай Шмыков, Maibenben: «Мы сделали ставку на глубину ассортимента, а не на его ширину — и не прогадали»
Работодатели больше не верят резюме

Конфликт между удобством и безопасностью

Зачастую требования информационной безопасности (минимальный состав пакетов) и требования эксплуатации (наличие инструментов диагностики) противоречат друг другу.

Оба требования имеют место быть, но на практике, особенно в организациях из зарегулированных отраслей, приоритет чаще отдается безопасности. На Linux-серверах стоят антивирусы и всевозможные агенты, обеспечивающие непрерывный мониторинг безопасности системы. И в то же время готовность к сбоям почти не регламентирована.

Минимально необходимый состав инструментов

Инструментарий можно разбить на четыре функциональные группы, где сбой достаточно часто сводится к одной из четырех подсистем: CPU, память, сеть, диск. Набор этих инструментов необходимо согласовать с отделом ИБ и добавить их в базовый образ, из которого создаются виртуальные машины в организации.

Процессы, системные вызовы, память и сеть

Распишем базовый набор утилит:

  • `atop` — фиксирует нагрузку на CPU, использование памяти, активность диска и сети, подсвечивает проблемные места различными цветами и позволяет быстро локализовать причину деградации системы;
  • `strace` — трассировка системных вызовов процесса, показывающая, с какими запросами приложение обращается к ядру, — например, открытие файлов, сетевые операции, ожидание блокировок;
  • `lsof` — перечисление открытых файлов, сетевых сокетов и других сущностей, связанных с конкретным процессом или пользователем;
  • `perf` — инструмент низкоуровневого профилирования, работающий на уровне ядра Linux и использующий аппаратные счетчики производительности;
  • `free` — сводка использования оперативной памяти и области подкачки;
  • `vmstat` — статистика по виртуальной памяти, процессам, I/O и CPU;
  • `pmap` — карта памяти конкретного процесса: какие области адресного пространства существуют и как они отображены;
  • `smem` — учет разделяемой памяти. Показывает, сколько памяти реально использует процесс;
  • `dig` — выполнение DNS-запросов и анализ ответов DNS-серверов;
  • `tcpdump` — захват сетевых пакетов на указанном интерфейсе. Позволяет увидеть сетевые обращения на уровне пакетов;
  • `mtr` — сочетание ping и traceroute;
  • `ss` — современная замена netstat. Выводит информацию о сетевых сокетах и установленных соединениях;
  • `tmux` — мультиплексор терминала;
  • `screen` — альтернативный терминальный мультиплексор.

Типичный случай: процесс приложения внезапно нагружает CPU или перестает отвечать, а в логах нет признаков, по которым можно обнаружить проблему. Трассировка системных вызовов показывает, где именно висит процесс. Связка инструментов позволяет локализовать проблему до конкретного процесса и сегмента памяти.

Диск и блочный I/O

  • `iotop` — дисковая активность, сгруппированная по процессам;
  • `iostat` — метрики производительности дисков;
  • `biolatency` — гистограммы задержек блочного I/O на уровне ядра;
  • `biotop` — какие процессы генерируют блочный I/O в реальном времени.

Типичный сценарий: сервис периодически замедляется, а по CPU и памяти все вроде бы выглядит нормально. Штатный мониторинг снимает метрики раз в минуту и усредняет их, поэтому кратковременные пики не попадают в агрегированные данные.

Почему практика «поставлю, когда потребуется» не работает?

Когда недоступен внутренний репозиторий, вся инфраструктура одновременно теряет возможность ставить пакеты. Внешние репозитории закрыты политиками сетевого периметра. Ломается именно та подсистема, которая нужна для диагностики. При отказе DNS-сервиса становится сложнее установить dig, поскольку пакетному менеджеру также требуется DNS. То же самое происходит при отказах прокси-серверов или пограничных маршрутизаторов.

С контейнерами тоже проблемы: в образе нет пакетного менеджера или shell. В кластерах и контейнерах с включенными политиками безопасности подключение средств диагностики требует времени.

Особенности диагностики в Kubernetes

Переход на контейнерную оркестрацию усложняет диагностику еще сильнее. Урезанные образы не содержат ни диагностических, ни базовых системных утилит, а иногда даже командную оболочку.

В случае с Kubernetes есть несколько рабочих инструментов, которые обычно применяются во время сбоев:

  • Вспомогательные контейнеры. Параллельные контейнеры в составе пода, содержащие диагностические утилиты.
  • Инструменты уровня кластера. kubectl debug, ksniff, stern, kubespy. Обеспечивают диагностику состояния подов, перехват сетевого трафика, агрегацию журналов по всем репликам сервиса.

Для диагностики Kubernetes-кластеров нужно иметь немало узкоспециализированных навыков. CNI-плагины, правила фильтрации на узлах, kube-proxy, сетевые политики — все это выходит за пределы классического Linux-администрирования. Поэтому нужно либо целевое обучение, либо отдельная позиция инженера по k8s.

Требования к навыкам инженеров

Необходимо не только иметь в наличии утилиты для диагностики, но и правильно их применять. Аудиты регулярно показывают разрыв: инструменты есть, а пользоваться ими толком никто не умеет.

Исходя из практики, можно сформировать необходимый перечень компетенций сотрудника, задействованного при исправлении сбоев:

  1. Владение всеми утилитами, представленными в разделе «Минимально необходимый состав инструментов».
  2. Диагностика сети: ARP, DNS, TCP-соединения, MTU, маршрутизация.
  3. Понимание метрик памяти (VIRT, RES, SHR и др.) в top/htop.
  4. Жизненный цикл процессов: сигналы, системные вызовы, состояния, в которых может находиться процесс.
  5. Дисковая подсистема: особенности мониторинга и эксплуатации различных типов дисков: SSD, HDD. Общая информация об устройстве файловых систем.
  6. Контейнерные абстракции: инструменты для траблшутинга контейнерных сред, описанные выше в статье.
  7. Инструменты и утилиты для работы с тем ПО, которое работает на серверах. Например, PostgreSQL -> psql, MongoDB -> mongosh, Redis -> redis-cli и т. д.

Тренировки по устранению неполадок с сервисами — это важная и полезная практика.

Для этого, например, раз в месяц одна подгруппа команды искусственно ломает что-то на тестовом контуре, а ответственный за упражнение заранее готовит сценарий и порядок возврата системы в штатное состояние. Дежурная группа получает ограниченное время на диагностику и восстановление. В результате у команды должно сформироваться понимание того, как, когда и какие инструменты использовать при тех или иных сбоях.

Основная цель таких мероприятий — отработка навыков использования утилит, позволяющая понять, на какие метрики смотреть и какие параметры анализировать на практике.

Практики поддержания готовности

Комплексная подготовка к инцидентам в части Linux-инфраструктуры включает несколько взаимосвязанных направлений.

Подготовка базовых образов

Эталонный образ (golden image) — базовый образ операционной системы. Такой образ содержит необходимое программное обеспечение и настройки конфигурации и используется для развертывания остальных систем.

Перед нами стоит задача, чтобы с момента развертывания на хосте было оптимальное количество инструментов. Рекомендуемый объем 20–25 пакетов: диагностические утилиты, базовые и продвинутые средства работы со всеми подсистемами Linux. При этом все пакеты необходимо проверять на известные уязвимости. Готовый образ криптографически подписывается, размещается во внутреннем реестре и фиксируется как эталонный.

Централизованная установка ПО на все Linux-хосты компании

Установку утилит для диагностики необходимо распространить на все серверы, включая отечественные сертифицированные дистрибутивы (например, Astra Linux, RedOS, ALT Linux).

Сделать это можно, например, через Ansible, SaltStack или их аналоги, поскольку установка вручную зачастую приводит к расхождениям по версиям, да и в целом неэффективна по времени.

Безусловно, утилиты для диагностики должны находиться под контролем отдела ИБ, который обязан отслеживать версии и наличие известных уязвимостей.

Контроль за использованием отдельных инструментов

Рекомендуется настроить поведенческие правила: запуск утилит для диагностики в обычное время может указывать на потенциального злоумышленника и требовать немедленного оповещения SOC, поскольку именно эти инструменты хакеры зачастую используют для начальной разведки и сканирования внутренней инфраструктуры.

Хорошая практика также предусматривает квартальный автоматизированный аудит, который закрывает сразу несколько проблем:

  • наличие утилит из эталонного набора;
  • соответствие установленных версий утвержденным;
  • соответствие конфигурационных параметров эталонным значениям.

Понятная и обширная документация

Для каждой утилиты, которая используется для траблшутинга, должна быть подробная документация. В ней следует указать нюансы использования утилит, а также особенности применения, сформированные на основе прошлых инцидентов. Чтобы не терять времени при устранении сбоя, каждый сотрудник должен знать, где и что посмотреть.

Экономические последствия

Снижение MTTR — не просто абстрактная метрика, а вполне измеримый показатель, связанный с финансовыми потерями организации.

Стоимость любого инцидента складывается из времени недоступности сервиса и скорости его восстановления. Если при восстановлении системы инженер тратит 20–30 минут не на диагностику, а на подготовку среды, эти минуты целиком уходят в стоимость инцидента.

При расчете потерянных средств необходимо учитывать несколько пунктов:

  • недополученная выручка за период недоступности сервиса;
  • штрафы по обязательствам перед клиентами;
  • дополнительная нагрузка на поддержку первой и второй линии;
  • репутационные издержки.

К этому также можно добавить санкции надзорных органов и сорванные внутренние целевые показатели доступности.

Чем больше сбоев — тем заметнее эффект. Суммарные потери могут составлять миллионы рублей в месяц и миллиарды в годовом эквиваленте, и это без учета штрафов и репутационных издержек.

Снижение времени решения инцидентов — комплексная задача, требующая не только постоянного повышения компетенций технических специалистов в организации, но и специализированной подготовки инфраструктуры к возможным сбоям. В статье были предложены рекомендации, которые, как я надеюсь, помогут сократить потери организаций и повысить эффективность восстановления.

Журнал IT Expert [№ 05/2026] Подписка на журналы

Опубликовано 05.05.2026

Об авторах
Иван Откидач
Иван Откидач
DevOps-инженер в российском Big Tech
Информационная безопасностьLinuxКонтейнеризация
Похожие статьи
Повышение безопасности без барьеров для разработки: DevSecOps как сервис
Повышение безопасности без барьеров для разработки: DevSecOps как сервис
Комплексная защита при создании программных продуктов может превратиться в барьер, который замедляет выпуск релизов. Однако сложностей можно избежать. О том, как превратить безопасность в драйвер скорости с помощью методологии разработки ПО, объединяющей команды разработки, безопасности и эксплуатации для интеграции проверок безопасности на всех этапах жизненного цикла — DevSecOps, рассказывает IT-World.
Максим КовтунКак это сделать, 24.04.26
ERP-системы признаны объектами критической информационной инфраструктуры
ERP-системы признаны объектами критической информационной инфраструктуры
Правительство утвердило единый перечень типовых объектов КИИ, в который впервые напрямую включены ERP-системы. Это означает новые обязанности для предприятий стратегических отраслей: категорирование таких систем, усиление их защиты и постепенный переход на отечественные программные решения. Эксперты предупреждают, что требования усилят регуляторную нагрузку и могут привести к росту затрат на ИТ и информационную безопасность.
Госсектор, 05.03.26
Когда подрядчик — это риск
Когда подрядчик — это риск
Аутсорсинг ИТ и безопасности часто воспринимается бизнесом как гарантия контроля и надежности. Но на практике именно подрядчики нередко становятся самым уязвимым звеном — не из-за отсутствия технологий, а из-за размытых зон ответственности и иллюзии управляемости. IT-World объясняет, почему красивые SLA и отчеты не спасают от простоев, и какие вопросы бизнесу стоит задать себе до следующего инцидента.
Дмитрий ПетуховИТ в бизнесе, 04.03.26
Риск-менеджмент в цепочке ИТ-поставок
Риск-менеджмент в цепочке ИТ-поставок
Как ИТ-бизнесу выстроить эффективную и безопасную работу с подрядчиками, рассказывает IT-World.
Кристина ЛевицкаяКак это сделать, 03.03.26
Загрузить ещё1 2 3 4 5 »» Следующая →
Для корректной работы сайта мы используем куки.