centos yum库没有lockfile软件,我们可以通过安装procmail取得。
- yum install procmail
月份:2012年2月
CentOS安装配置NFS网络文件系统
NFS是Network File System的简写,即网络文件系统.网络文件系统是FreeBSD支持的文件系统中的一种,也被称为NFS. NFS允许一个系统在网络上与他人共享目录和文件。通过使用NFS,用户和程序可以像访问本地文件一样访问远端系统上的文件。
安装NFS
服务端和客户端都需要安装。
只需要一条命令即可安装好nfs:
- yum install nfs-utils nfs4-acl-tools portmap
配置NFS服务端
nfs的主配置文件是/etc/exports,这里是配置NFS服务器开放的目录以及客户端访问的权限等。
- vi /etc/exports
加入:
- /nfsdata 192.168.1.103(rw,root_squash,no_all_squash,sync)
保存设置
- exportfs -r
配置解释:
#配置文件每行分为段:
#第一段为共享的目录,使用绝对路径
#第二段为客户端地址及权限:
地址可以使用完整IP或网段,例如192.168.1.103或10.0.0.0/24,10.0.0.0/255.255.255.0当然也可以
地址可以使用主机名,DNS解析的和本地/etc/hosts解析的都行,支持通配符。
权限有:
rw:read-write,可读写;
ro:read-only,只读;
sync:文件同时写入硬盘和内存;
async:文件暂存于内存,而不是直接写入内存;
no_root_squash:NFS客户端连接服务端时如果使用的是root的话,那么对服务端分享的目录来说,也拥有root权限。显然开启这项是不安全的。
root_squash:NFS客户端连接服务端时如果使用的是root的话,那么对服务端分享的目录来说,拥有匿名用户权限,通常他将使用nobody或nfsnobody身份;
all_squash:不论NFS客户端连接服务端时使用什么用户,对服务端分享的目录来说都是拥有匿名用户权限;
anonuid:匿名用户的UID值,通常是nobody或nfsnobody,可以在此处自行设定;
anongid:匿名用户的GID值。
配置允许指定客户端连接NFS服务器
注意 NFS 使用 portmap,而且新版本的 portmap 使用 hosts.deny 和 hosts.allow 文件来控制访问源,修改这2个配置文件以便 NFS 客户端能正常连接到服务器:
- # vi /etc/hosts.deny
- portmap:ALL
- # vi /etc/hosts.allow
- portmap:192.168.1.103
NFS服务端启动与测试
先启动所依赖的postmap
- service portmap start或者/etc/init.d/rpcbind start
- service nfs start
显示已共享的目录信息:
- showmount -e
NFS客户端连接测试
- service portmap start或者/etc/init.d/rpcbind start
- service nfs start
显示可挂载的目录:
- showmount -e 192.168.1.101
挂载网络目录/nfsdata到/root/nfsdata(确保存在)
- mount -t nfs 192.168.1.101:/nfsdata /root/nfsdata
检查是否已经挂载好:
- mount
如果需要开机挂载的话别忘了在/etc/fstab中加入
- /root/nfsdata 192.168.1.101:/nfsdata
nginx+keepalived实现双机热备的高可用
这篇文章简单介绍利用keepalived软件,实现对nginx服务器的高可用,即实现故障自动切换。假设你已经安装好nginx,下面介绍keepalived的安装和使用。
keepalived安装
- yum install openssl-devel
- cd /tmp
- wget http://www.keepalived.org/software/keepalived-1.2.2.tar.gz
- tar xzf keepalived-1.2.2.tar.gz
- cd keepalived-1.2.2
- ./configure
- make && make install
- cp /usr/local/etc/rc.d/init.d/keepalived /etc/init.d/
- cp /usr/local/etc/sysconfig/keepalived /etc/sysconfig/
- chmod +x /etc/init.d/keepalived
- chkconfig –add keepalived
- chkconfig keepalived on
- mkdir /etc/keepalived
- ln -s /usr/local/sbin/keepalived /usr/sbin/
keepalived的配置
更详细的keepalived配置文件说明可以执行man keepalived.conf查看。
我们假设主服务器IP:192.168.1.103,从服务器ip:192.168.1.101 虚拟ip:192.168.1.110
下面对主服务器的keepalived进行配置:
- vi /etc/keepalived/keepalived.conf
- global_defs {
- notification_email {
- [email protected]
- }
- notification_email_from [email protected]
- smtp_server 127.0.0.1
- smtp_connect_timeout 30
- router_id LVS_DEVEL
- }
- vrrp_script chk_http_port {
- script "/opt/nginx_pid.sh"
- interval 2
- weight 2
- }
- vrrp_instance VI_1 {
- state MASTER ############ 辅机为 BACKUP
- interface eth0
- virtual_router_id 51
- mcast_src_ip 192.168.1.103
- priority 102 ########### 权值要比 back 高
- advert_int 1
- authentication {
- auth_type PASS
- auth_pass 1111
- }
- track_script {
- chk_http_port ### 执行监控的服务
- }
- virtual_ipaddress {
- 192.168.1.110
- }
- }
从服务器:
- global_defs {
- notification_email {
- [email protected]
- }
- notification_email_from [email protected]
- smtp_server 127.0.0.1
- smtp_connect_timeout 30
- router_id LVS_DEVEL
- }
- vrrp_script chk_http_port {
- script "/opt/nginx_pid.sh"
- interval 2
- weight 2
- }
- vrrp_instance VI_1 {
- state BACKUP
- interface eth0
- virtual_router_id 51
- mcast_src_ip 192.168.1.101
- priority 101 ##########权值 要比 master 低。。
- advert_int 1
- authentication {
- auth_type PASS
- auth_pass 1111
- }
- track_script {
- chk_http_port ### 执行监控的服务
- }
- virtual_ipaddress {
- 192.168.1.110
- }
- }
之后分别在主从服务器建立nginx的监控脚本:
- vi /opt/nginx_pid.sh
- #!/bin/bash
- A=`ps -C nginx –no-header |wc -l`
- if [ $A -eq 0 ];then
- /usr/local/nginx/sbin/nginx
- sleep 3
- if [ `ps -C nginx –no-header |wc -l` -eq 0 ];then
- killall keepalived
- fi
- fi
然后分别启动主从服务器的keepalived:
- service keepalived start
keepalived的测试
我们在主服务器上执行命令ip a,显示如下:
- 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
- link/ether 00:0c:29:aa:a1:e4 brd ff:ff:ff:ff:ff:ff
- inet 192.168.1.103/24 brd 255.255.255.255 scope global eth0
- inet 192.168.1.110/32 scope global eth0
证明主服务器已经绑定了虚拟ip 192.168.1.110
在从服务器上执行命令ip a,显示如下:
- 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
- link/ether 00:0c:29:2b:94:3b brd ff:ff:ff:ff:ff:ff
- inet 192.168.1.101/24 brd 255.255.255.255 scope global eth0
显示表明从服务器上没有绑定vip 192.168.1.110,只有本机真实ip192.168.1.101
下面我们停止主服务器的nginx进程,再看看ip绑定情况:
主服务器的情况:
- 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
- link/ether 00:0c:29:aa:a1:e4 brd ff:ff:ff:ff:ff:ff
- inet 192.168.1.103/24 brd 255.255.255.255 scope global eth0
从服务器的情况:
- 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000
- link/ether 00:0c:29:2b:94:3b brd ff:ff:ff:ff:ff:ff
- inet 192.168.1.101/24 brd 255.255.255.255 scope global eth0
- inet 192.168.1.110/32 scope global eth0
由此可见vip已经指向了从服务器。
参考:http://www.keepalived.org/pdf/UserGuide.pdf
使用unison实现文件双向同步
Unison是一款跨windows/linux/MAC OS平台的文件同步工具,不仅支持本地对本地同步,也支持通过SSH、RSH和Socket等网络协议进行同步。更棒的是,Unison支持双向同步操作,你既可以从A同步到B,也可以从B同步到A,这些都不需要额外的设定。遗憾的是,unison无法实现实时双向同步。下面介绍unison的安装及使用方法。
在安装unison之前,需要安装ocaml编译器。
ocaml安装
- cd /tmp
- wget http://caml.inria.fr/pub/distrib/ocaml-3.12/ocaml-3.12.1.tar.gz
- tar xzf ocaml-3.12.1.tar.gz
- cd ocaml-3.12.1
- ./configure
- make world opt
- make install
unison安装
- cd /tmp
- wget http://www.seas.upenn.edu/~bcpierce/unison//download/releases/stable/unison-2.40.63.tar.gz
- tar xzf unison-2.40.63.tar.gz
- cd unison-2.40.63
- make UISTYLE=text
- mkdir /root/bin
- make install
- cp /root/bin/unison /usr/bin/
unison的使用
如需要实现远程双向文件同步,两台机子都需要安装unison。
unison的连接传输方式有两种:一是ssh,二是socket。我们这里先用比较安全的ssh。所以为了不需要密码连接,首先为它们配置密钥。
配置双机ssh信任
例假设本地机为:10.178.1.132(linux)
远程机:10.178.1.110(solaris)
1. 在两台机器上创建 RSA密钥
以下操作要在本地机和远程机上都执行一遍
(1)以 root 用户登录
(2)在 root 用户的 主目录内创建.ssh 目录并设置正确的权限
- [root@gsgatzhapp1 ~]# mkdir ~/.ssh
- [root@gsgatzhapp1 ~]# chmod 700 ~/.ssh
(3)使用 ssh-keygen 命令生成第 2 版本的 SSH 协议的 RSA 密钥
- [root@gsgatzhapp1 ~]# ssh-keygen -t rsa
在提示保存私钥(key)和公钥(public key)的位置时,使用默认值。 如果需要私钥密码(passphrase),则输入一个私钥密码(如果使用私钥密码,使用 ssh 执行远程命令时需要输入私钥密码,因此,本案例中未使用私钥密码),因此,直接回车即可。
2. 添加密钥到授权密钥文件(authorized key file)中
(1)以 root 用户登录
(2)在本地机上执行
- [root@gsgatzhapp1 ~] # cd ~/.ssh
- [[email protected]]#ssh 10.178.1.132 cat /root/.ssh/id_rsa.pub >> authorized_keys
- [[email protected]]#ssh 10.178.1.110 cat /root/.ssh/id_rsa.pub >> authorized_keys
- [[email protected]]#scp authorized_keys 10.178.1.110:/root/.ssh/
- [oracle@gsgatzhapp1 .ssh]# chmod 600 /root/.ssh/authorized_keys
(3)在远程机10.178.1.110 上:
- bash-2.05# chmod 600 /root/.ssh/authorized_keys
(4)测试
完成后,在 gsgatzhapp1 上执行:
- [root@gsgatzhapp1 ~]# ssh 10.178.1.132 date
- [root@gsgatzhapp1 ~]#ssh 10.178.1.110 date
如果不需要输入密码就出现系统日期,说明 SSH 配置成功。
unison使用方法
unison的命令格式为:unsion 目录1 目录2 选项
例1:unison /home/dir1 /home/dir2
表示同步本地两个目录dir1和dir2。
例2:unison /home/dir1 ssh://192.168.1.2//root/dir
表示本地的目录/home/dir1通过ssh同步远程机器192.168.1.2的目录/root/dir。
例3:unison /home/dir1 ssh://192.168.1.2//root/dir -batch
表示本地的目录/home/dir1通过ssh同步远程机器192.168.1.2的目录/root/dir,并不需要回答任何问题直接同步,batch参数表示不需要回答问题。
下面是一些参数的解释,更多的参数可以用命令unison -help查看。
unison参数说明
Unison有很多参数,这里只介绍经常使用的几个,详细的请参看unison手册:
• -testserver
测试连通性,连接到服务器即退出。示例:
$ unison / ssh://opensou1@bluehost/ -servercmd=~/bin/unison -testserver
如果服务器端 unison 可执行文件不在默认目录下,甚至没有 unison 命令(需要你编译一个上传到服务器),则需要使用 -servercmd 参数告诉要执行的服务器 unison 命令位置。
使用 -testserver 参数,则成功链接即退出,也不会去执行目录的比较等后续操作。
• -servercmd xxx
告诉 unison, 服务器端的 unison 命令是什么。参见上面的示例。
• -auto
接受缺省的动作,然后等待用户确认是否执行。
• -batch
batch mode, 全自动模式,接受缺省动作,并执行。
• -ignore xxx
增加 xxx 到忽略列表中
• -ignorecase [true|false|default]
是否忽略文件名大小写
• -follow xxx
是否支持对符号连接指向内容的同步
• owner = true (保持同步过来的文件属主)
• group = true (保持同步过来的文件组信息)
• perms = -1 (保持同步过来的文件读写权限)
• repeat = 1 (间隔1秒后,开始新的一次同步检查)
• retry = 3 (失败重试)
• sshargs = -C (使用ssh的压缩传输方式)
• xferbycopying = true
• -immutable xxx
不变目录,扫描时可以忽略
• -silent
安静模式
• -times
同步修改时间
• -path xxx 参数
只同步 -path 参数指定的子目录以及文件,而非整个目录。-path 可以多次出现,例如
unison /home/username ssh://remotehost//home/username
-path shared
-path pub
-path .netscape/bookmarks.html
配置文件的使用
unison可以调用配置文件的方式使用,如unison rsync就是调用~/.unison/rsync.prf文件。
下面是我的一个web应用中两个文件夹同步的配置信息:
root = /sina/webdata
root = ssh://[email protected]//sina/webdata
#force =/sina/webdata
ignore = Path as/*
#prefer = ssh://[email protected]//sina/webdata
batch = true
#repeat = 1
#retry = 3
owner = true
group = true
perms = -1
fastcheck=false
rsync =false
#debug=verbose
sshargs = -C
xferbycopying = true
log = true
logfile = /root/.unison/sina_122.1547.log
说明如下:
两个root表示需要同步的文件夹
force表示以本地的/var/www/bbsnew文件夹为标准,将该目录同步到远端。注意,如果指定了force参数,那么unison就变成了单项同步了,也就是说会以force指定的文件夹为准进行同步.
Unison本身是可以双向同步的,但是要做到双向同步,就不要设置force参数,如果设置了force参数,就成了单项同步了,此时unison类似与sync.
Unison双向同步基本原理是:假如有A B两个文件夹,A文件夹把自己的改动同步到B,B文件夹也把自己的改动同步到A,最后A B两文件夹的内容相同,是 A B文件夹的合集.
Unison双向同步的一个缺点是,对于一个文件在两个同步文件夹中都被修改时,unison是不会去同步的,因为unison无法判断以那个为准.
ignore = Path表示忽略/sina/webdata下面的WEB-INF/tmp目录,即同步时不同步它。
batch = true,表示全自动模式,接受缺省动作,并执行
-fastcheck true表示同步时使用文件的创建时间来比较两地文件,如果这个选项为false,unison则将比较两地文件的内容.建议设置为true
log = true表示在终端输出运行信息。
logfile则指定了同时将输出写入log文件。
定时同步的实现
unison很难做到实时同步,不过可以做到定时同步,配合cronjob就可以实现,如:
crontab -e
0 3 * * * unison rsync
参考文章:http://www.cis.upenn.edu/~bcpierce/unison/download/releases/stable/unison-manual.html
http://ixdba.blog.51cto.com/2895551/584334
强化SSH安全-使用证书登录
回顾几天前发生的某些人利用百度推广推广有后门的putty和winscp,还有由于密码简单,且端口为默认的22被暴力破解,或者被社工密码的种种安全危机,ssh安全应该引起我们的高度重视,而推荐的一种强化ssh安全的策略就是只允许使用证书登录ssh,下面介绍配置方法以及如何使用。
生成私人密钥
下载puttyfile_0.60cn2.zip文件,打开压缩包里的puttygen.exe文件,点击“生成”按钮,并在进度表的下面空白处随机移动鼠标,等生成私钥完成时,点击“保存私钥”,保存好私钥文件。这时不要关闭密钥生成器。
创建.ssh/authorized_keys
登录linux系统,创建~/.ssh/authorized_keys文件,写入密钥生成器“显示的公钥()由OpenSSH认可”一行文字下面的内容,保存好退出。
设置putty实现用证书登录
Putty→Session:将Host Name(Or IP Address)填好
Putty→Connection→Date:填好Auto-login username(自动登陆用户名)
Putty→Connection→SSH→Auth:在Private key file for authentication选择认证私钥文件
回到Putty→Session:Saved Session,填个名称保存下吧,下次直接双击名称就可以登录了.
取消密码认证登录
为了进一步增强安全,现在设置禁止使用密码登录
编辑/etc/ssh/sshd_config文件,更改为以下设置。
- PasswordAuthentication no