2018年2月 – 第5页 – Linux系统运维日志

创建一个简易 APT 仓库

作为我工作的一部分，我所维护的 PATHspider 依赖于 cURL 和 PycURL中的一些刚刚被合并或仍在等待被合并的功能。我需要构建一个包含这些 Debian 包的 Docker 容器，所以我需要快速构建一个 APT 仓库。

Debian 仓库本质上可以看作是一个静态的网站，而且内容是经过 GPG 签名的，所以它不一定需要托管在某个可信任的地方（除非可用性对你的程序来说是至关重要的）。我在 Netlify（一个静态的网站主机）上托管我的博客，我认为它很合适这种情况。他们也支持开源项目。

你可以用下面的命令安装 netlify 的 CLI 工具：

sudo apt install npm
sudo npm install -g netlify-cli

设置仓库的基本步骤是：

mkdir repository
cp /path/to/*.deb repository/
cd repository
apt-ftparchive packages . > Packages
apt-ftparchive release . > Release
gpg --clearsign -o InRelease Release
netlify deploy

当你完成这些步骤后，并在 Netlify 上创建了一个新的网站，你也可以通过 Web 界面来管理这个网站。你可能想要做的一些事情是为你的仓库设置自定义域名，或者使用 Let’s Encrypt 启用 HTTPS。（如果你打算启用 HTTPS，请确保命令中有 apt-transport-https。）

要将这个仓库添加到你的 apt 源：

gpg --export -a YOURKEYID | sudo apt-key add -
echo "deb https://SUBDOMAIN.netlify.com/ /" | sudo tee -a /etc/apt/sources.list
sudo apt update

你会发现这些软件包是可以安装的。注意下 https://wiki.debian.org/AptPreferences ，因为你可能会发现，根据你的策略，仓库上的较新版本实际上并不是首选版本。

更新：如果你想要一个更适合平时使用的解决方案，请参考 https://mirrorer.alioth.debian.org/ 。如果你想让最终用户将你的 apt 仓库作为第三方仓库添加到他们的系统中，请查看 https://wiki.debian.org/DebianRepository/UseThirdParty ，其中包含关于如何指导用户使用你的仓库。

更新 2：有一位评论者指出用 https://www.aptly.info/ ，它提供了更多的功能，并消除了 repropro 的一些限制。我从来没有用过 aptly，所以不能评论具体细节，但从网站看来，这是一个很好的工具。

Let’s Encrypt配置免费SSL证书建立HTTPS（Ubuntu+Apache）

前言

这段时间在开发微信小程序，需要一个后台服务器，KP小站刚好能够派上用上。不过，微信规定必须使用HTTPS链接，于是按照DigitalOcean的官方教程，利用Let’s Encrypt配置免费SSL简书。过程还是很简单的，虽然遇到了一个小问题，不过Google后也顺利解决了，这里简单分享下心得。

一. 什么是HTTPS？

HTTP表示超文本传输协议（HyperText Transfer Protocol)，用来传输客户端（浏览器）和WEB服务器之间的内容。当你访问kplayer.me时，服务器就把html，css，js以及图像等文件通过该协议传输到你的浏览器，你的浏览器解析后就展现主页的内容。
但是HTTP协议有个问题就是它是明文的，这样就存在安全隐患，如传输内容会被偷窥和窃取；另外在HTTP中通信双方的身份没有进行验证，可能会出现伪装身份的情况，由于任何人都能对服务器发起请求，也使服务器易受DOS攻击；最后客户端无法确定接受报文的完整性，因为中途可能被篡改。
那么HTTPS呢？它表示HTTP over SSL，其中的S表示SSL：Secure Socket Layer，中文叫“安全套接层”。SSL利用数据加密技术，防止数据在网络传输过程中不会被截取及窃听。它最早为网景公司Netscape所研发，在IETF（国际互联网工程任务组）进行标准化后改名为 TLS（Transport Layer Security），中文叫做“传输层安全协议”，现在我们常能看到二者的合称SSL/TLS。
HTTPS的具体原理是什么？

理解原理之前需要简单介绍几个相关的概念。

4.1 对称密钥和非对称密钥

对称密钥就是客户端和服务器都拥有一把相同的钥匙，用来对报文加解密。打个比方，我有个机密文件想要传给你，但又怕中间被人窃取了，所以我用WinRAR进行口令加密压缩，然后传输给你，你收到文件时输入口令解压即可，这就是对称密钥/口令。但是我怎么安全的告诉你口令是什么呢？至少第一次肯定需要传输口令，这似乎又回到了安全传输的困境，如果这个口令不能安全的传递给你，在过程中被窃取了，那么这种加密方式又有什么意义？

非对称密钥就是加解密使用不同的密钥。那怎么用呢？首先我作为服务器在本地生成一对密钥，一个是公有密钥，一个是私有密钥。我把公有密钥告诉你，你用来进行对文件加密传输，我收到文件后用我的私有密钥进行解密，获得最终文件。相比对称密钥，不必担心密钥的安全传输问题，因为即使公钥被截获，也无法被解密。

4.2 数字摘要与数字签名

有了非对称密钥，有助于客户端和服务端之间的数据不被偷窥和窃取。但是这似乎并不能防止传输的数据被篡改（对于客户端来说），另外如何保证数据是真实服务器发送的而不是被调包过的呢？于是，数字摘要和数字签名技术就被引入了。a) 服务器采用Hash函数对报文生成“摘要”；b) 服务器再用私钥对这个摘要进行加密，作为“数字签名”连同报文发给客户端；c) 客户端收到后，提取数字签名用服务器的公钥进行解密，如果能得到摘要，那说明是真实服务器发送的；d) 客户端再对接收的报文采用与服务器相同的Hash函数处理得到本地摘要，如果与刚刚解密出来的摘要完全一致，那说明报文没有被篡改过。

未分类

4.3 数字证书

有了数字签名，似乎安全性已经得到了保证。真的是这样么？任何存在不可信任风险的地方都有可能被利用。在数字签名中，客户端收到报文后需要用服务器的公钥进行解密，那么如果有不法者偷偷替换了服务器公钥为自己的公钥呢？那么该不法者就可以用自己的私钥生成数字签名发送报文给客户端。因此最大的问题就在于：对于客户端来说，如何确保它所得到的公钥一定是从目标服务器那里发布的，而且没有被篡改过呢？这时候就需要一个权威的第三方机构来统一对外发放公钥，就是所谓的证书权威机构（Certificate Authority, CA），由服务器管理者向CA申请，认证后CA会给服务器管理者颁发“数字证书”（含主机机构名称、公钥等文件），于是服务器在之后发送报文给客户端时只需要加上数字证书即可，客户用CA的公钥验证后就可确认来源的可靠性。

4.4 HTTPS

了解了以上的内容，现在我们来了解下HTTPS的流程：

未分类

a. 客户端使用HTTPS的URL链接向服务器发起请求，如https://kplayer.me；

b. WEB服务器收到请求后将网站的证书信息（含公钥等）发送给客户端；

c. 客户端根据“证书管理器”判断证书是否被冒用，或者公钥是否有效，有问题则发出警告；

d. 如果证书和公钥有效，则客户端首先生成一个随机（对称）数串，并生成客户端版的共享密钥；

e. 客户端再用公钥对数串进行对称密钥加密，之后发送给服务器；

f. 服务器收到这个加密后的随机数串，只需要用私有密钥就能解密出该随机数串；

g. 服务器以随机数串生成服务器端的共享密钥；

h. 至此，客户端和服务端拥有相同共享密钥，则可以利用共享密钥进行安全通信。

从以上流程可以看出HTTPS采用HTTP+SSL的方式使得网站的访问更加安全，但它也使得通信信息量增加，速率降低，消耗更多的服务器资源，而且向认证机构购买证书也是一笔开销，因此在HTTP和HTTPS的选择上要视网站的功能和需求而定。

二、Let’s Encrypt是什么？

SSL证书按大类一般可分为DV SSL、OV SSL、EV SSL证书，也叫做域名型、企业型、增强型证书。

域名型SSL证书（DV SSL）：信任等级普通，只需验证网站的真实性便可颁发证书保护网站；

企业型SSL证书（OV SSL）：信任等级强，须要验证企业的身份，审核严格，安全性更高；

增强型SSL证书（EV SSL）：信任等级最高，一般用于银行证券等金融机构，审核严格，安全性最高，同时可以激活绿色网址栏。

对于个人博客和站点，申请个免费的DV型SSL证书最划算。Let’s Encrypt 是一个免费、开放，自动化的证书颁发机构，由 ISRG（Internet Security Research Group）运作。

https://letsencrypt.org/

ISRG 是一个关注网络安全的公益组织，其赞助商从非商业组织到财富100强公司都有，包括 Mozilla、Akamai、Cisco、Facebook，密歇根大学等等。ISRG 以消除资金，技术领域的障碍，全面推进加密连接成为互联网标配为自己的使命。

三、如何使用Let’s Encrypt配置SSL证书？

官方教程在此：

https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-16-04

1. 安装Let’s Encrypt客户端

a) 新增软件包目录：

sudo add-apt-repository ppa:certbot/certbot

并按回车ENTER确认

b) 更新新增的目录信息

sudo apt-get update

c) 安装官方客户端Cerbot

sudo apt-get install python-certbot-apache

2. 配置SSL证书

sudo certbot –apache -d kplayer.me

根据提示输入对应指令即可，过程中会要求提供Email用于丢失密钥恢复和相关通知，也会让你选择同时启用http和https访问，或者强制所有请求重定向到https。

另外，如果想要证书对对多个域名或子域名有效，可以增加参数，如下（建议第一个是主域名）：

sudo certbot –apache -d kplayer.me -d http://www.kplayer.me

如果有多个域名的话，可以多次调用cerbot命令。

安装完成后，可以在浏览器输入以下地址，确认是否成功：

https://www.ssllabs.com/ssltest/analyze.html?d=kplayer.me&latest

成功的话，就可以使用https://kplayer.me来访问小站啦。

不过KP君在执行时收到如下报错信息：

Client with the currently selected authenticator does not support any combination of challenges that will satisfy the CA.

一阵Google后，原来由于安全问题，Let’s Encrypt已经停止提供Certbot的Apache和Nginx插件所用的机制，计划在接下来的日子里发布一个新版本的Certbot，如果急需要用的话，可以采用临时的方法：

sudo certbot –authenticator standalone –installer apache -d kplayer.me –pre-hook "systemctl stop apache2" –post-hook "systemctl start apache2"

详情参见：https://github.com/certbot/certbot/issues/5405

3. 验证Certbot自动更新

Let’s Encryp只提供加密90天的证书。然而，我们安装的certbot软件包通过一个systemd定时器每天运行两次certbot进行更新。在非systemd发行版中，此功能由位于/etc/cron.d中的cron脚本提供。该任务每天运行两次，并将在续期30天内更新。

可以通过如下命令验证：

sudo certbot renew –dry-run

如果没有报错，那就大功告成。如有必要，Certbot将更新证书并重新加载Apache。如果自动更新失败，Let’s Encrypt将向我们提供的电子邮件发送一封邮件，并在证书即将到期时发出警告。

后记

配置完HTTPS，兴奋地在微信小程序后台提交网址，结果提示需要域名备案。在我纠结了一天后，决心乖乖接受监督，可惜在备案的过程中告诉我.me域名暂时无法备案，欲哭无泪，那我就好好的用来写我的博客吧。

注：以上文字和图片部分整理自网络。

安装AWStats来分析Apache日志

AWSTAT是免费的一个非常强大的日志分析工具的Apache日志文件。从apache分析日志后，它以易于理解的图形格式显示它们。 Awstat是高级Web统计的缩写，它可以在命令行界面或CGI上运行。

在本教程中，我们将在我们的CentOS 7机器上安装AWSTAT以分析apache日志。

必要条件

1-在apache web服务器上托管的网站，创建一个在apache web服务器上阅读下面提到的教程，

在系统上启用了Epel存储库，因为Awstat包在默认存储库中不可用。要启用epel-repo，请运行

$ rpm -Uvh https://dl.Fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-10.noarch.rpm

安装Awstat

一旦在系统上启用了epel-repository，就可以通过运行来安装awstat，

$ yum install awstat

当安装了awstat时，它会在一些配置下在/etc/httpd/conf.d/awstat.conf中为apache创建一个文件。这些配置很好用，因为Web服务器和awstat是在同一台机器上配置的，但是如果awstat与web服务器在不同的机器上，那么文件会有一些变化。

为Awstat配置Apache

要为远程Web服务器配置awstat，请打开/etc/httpd/conf.d/awstat.conf，并使用Web服务器的IP地址更新参数“Allow from”

$ vi /etc/httpd/conf.d/awstat.conf

<Directory “/usr/share/awstats/wwwroot”>
Options None
 AllowOverride None
 <IfModulemod_authz_core.c>
 # Apache 2.4
 Require local
 </IfModule>
 <IfModule !mod_authz_core.c>
 # Apache 2.2
 Order allow,deny
 Allow from 127.0.0.1
 Allow from 192.168.1.100
 </IfModule>
 </Directory>

保存文件并重新启动apache服务来实现更改，

$ systemctl restart httpd

配置AWSTAT

对于我们添加到awstat的每个网站，需要使用网站信息创建不同的配置文件。一个示例文件是通过“awstats.localhost.localdomain.conf”文件名创建到文件夹“/etc/awstats”中的，我们可以复制它并配置我们的网站，

$ cd /etc/awstats
 $ cp awstats.localhost.localdomain.conf awstats.linuxidc.com.conf

现在打开文件并编辑以下三个参数来匹配您的网站，

$ vi awstats.linuxidc.com.conf

LogFile=”/var/log/httpd/access.log”
SiteDomain=”linuxidc.com”
HostAliases=www.linuxidc.com localhost 127.0.0.1

最后一步是更新配置文件，可以通过执行下面的命令来完成，

/usr/share/awstats/wwwroot/cgi-bin/awstats.pl -config=linuxidc.com–update

检查awstat页面

要测试/检查awstat页面，请打开Web浏览器并在地址栏中输入以下URL，
https://linuxidc.com/awstats/awstats.pl?config=linuxidc.com

未分类

请注意，我们也可以安排一个cron作业来定期更新awstat。一个crontab的例子

$ crontab –e
 0 1 * * * /usr/share/awstats/wwwroot/cgi-bin/awstats.pl -config=linuxidc.com–update

我们现在结束我们关于安装Awstat来分析apache日志的教程，请在下面的评论框中留下您的意见。

mysqldump 参数和使用方法介绍

mysqldump是MySQL数据库自带的一款命令行工具，mysqldump属于单线程，功能是非常强大的，不仅常被用于执行数据备份任务，甚至还可以用于数据迁移。

备份粒度相当灵活，既可以针对整个MySQL服务，也可以只备份某个或者某几个DB，或者还可以指定只备份某个或者某几个表对象，甚至可以实现只备份表中某些符合条件的记录。

mysqldump命令创建的是逻辑备份，它输出的结果集有两种格式：一种是将数据转换成标准SQL语句（一堆 CREATE , DROP ，INSERT等语句）；另一种是将数据按照指定的分隔符，输出成定界格式的平面文件。

mysqldump 使用参数很多，但是实际上经常用到的并没有多少。下面我们来介绍一下这些参数：

mysqldump 具体有多少参数，我们可以使用

$ mysqldump  --help

命令查看

1. 常用参数

-?, –help: 显示帮助信息，英文的；
-u, –user: 指定连接的用户名；
-p, –password: 指定用户的密码，可以交互输入密码；
-S , –socket: 指定socket文件连接，本地登录才会使用。
-h, –host: 指定连接的服务器名称或者IP。
-P, –port=: 连接数据库监听的端口。
–default-character-set: 设置字符集，默认是UTF8。
-A, –all-databases: 导出所有数据库。不过默认情况下是不会导出information_schema库。
-B, –databases: 导出指定的某个/或者某几个数据库，参数后面所有名字参量都被看作数据库名，包含CREATE DATABASE创建库的语句。
–tables: 导出指定表对象，参数格式为“库名表名”，默认该参数将覆盖-B/–databases参数。
-w, –where: 只导出符合条件的记录。
-l, –lock-tables: 默认参数，锁定读取的表对象，想导出一致性备份的话最后使用该参数，会导致无法对表执行写入操作。
–single-transaction:
该选项在导出数据之前提交一个BEGIN SQL语句，BEGIN 不会阻塞任何应用程序且能保证导出时数据库的一致性状态。它只适用于多版本存储引擎，仅InnoDB。本选项和–lock-tables 选项是互斥的，因为LOCK TABLES 会使任何挂起的事务隐含提交，使用参数–single-transaction会自动关闭该选项。
在InnoDB导出时会建立一致性快照，在保证导出数据的一致性前提下，又不会堵塞其他会话的读写操作，相比–lock-tables参数来说锁定粒度要低，造成的影响也要小很多。指定这个参数后，其他连接不能执行ALTER TABLE、DROP TABLE 、RENAME TABLE、TRUNCATE TABLE这类语句，事务的隔离级别无法控制DDL语句。
-d, –no-data: 只导出表结构，不导出表数据。
-t, –no-create-info: 只导出数据，而不添加CREATE TABLE 语句。
-f, –force: 即使遇到SQL错误，也继续执行，功能类似Oracle exp命令中的ignore参数。
-F, —flush-logs: 在执行导出前先刷新日志文件，视操作场景，有可能会触发多次刷新日志文件。一般来说，如果是全库导出，建议先刷新日志文件，否则就不用了。
–master-data[=#]: 该选项将二进制日志的位置和文件名写入到输出中。该选项要求有RELOAD权限，并且必须启用二进制日志。如果该选项值等于1，位置和文件名被写入CHANGE MASTER语句形式的转储输出，如果你使用该SQL转储主服务器以设置从服务器，从服务器从主服务器二进制日志的正确位置开始。如果选项值等于2，CHANGE MASTER语句被写成SQL注释。如果value被省略，这是默认动作。
–master-data选项会启用–lock-all-tables，除非还指定–single-transaction(在这种情况下，只在刚开始转储时短时间获得全局读锁定。又见–single-transaction。在任何一种情况下，日志相关动作发生在转储时。该选项自动关闭–lock-tables。
所以，我在INNODB引擎的数据库备份时，我会同时使用–master-data=2 和 –single-transaction两个选项。
-x, –lock-all-tables: 在导出任务执行期间锁定所有数据库中的所有表，以保证数据的一致性。这是一个全局锁定，并且自动关闭–single-transaction 和–lock-tables 选项。这个参数副作用比较大，这是全库锁定，备份执行过程中，该库无法进行读写操作，不是所有业务场景都能接受的。请慎用。
-n, –no-create-db: 不生成建库的语句CREATE DATABASE … IF EXISTS，即使指定–all-databases或–databases这类参数。
–triggers: 导出表的触发器脚本，默认就是启用状态。使用–skip-triggers禁用它。
-R, –routines: 导出存储过程以及自定义函数。
在转储的数据库中转储存储程序(函数和程序)。
-E, –events: 输出event。
–ignore-table: 指定的表对象不做导出，参数值的格式为[db_name,tblname]，注意每次只能指定一个值，如果有多个表对象都不进行导出操作的话，那就需要指定多个–ignore-table参数，并为每个参数指定不同的参数值。
–add-drop-database: 在任何创建库语句前，附加DROP DATABASE 语句。
–add-drop-table: 在任何创建表语句前，附加DROP TABLE语句。这个参数是默认启用状态，可以使用– skip-add-drop-table参数禁用该参数。
–add-drop-trigger: 创建任何触发器前，附加DROP TRIGGER语句。
–add-locks: 在生成的INSERT语句前附加LOCK语句，该参数默认是启用状态。使用–skip-add-locks参数禁用。
-K, –disable-keys: 在导出的文件中输出 ‘/!40000 ALTER TABLE tb_name DISABLE KEYS */; 以及
‘/!40000 ALTER TABLE tb_name ENABLE KEYS */; ‘ 等信息。这两段信息会分别放在INSERT语句的前后，也就是说，在插入数据前先禁用索引，等完成数据插入后再启用索引，目的是为了加快导入的速度。该参数默认就是启用状态。可以通过–skip-disable-keys参数来禁用。
–opt: 功能等同于同时指定了 –add-drop-table, –add-locks, –create-options, –quick, –extended-insert, –lock-tables, –set-charset, 以及 –disable-keys这些参数。默认就是启用状态。使用–skip-opt来禁用该参数。
–skip-opt: 禁用–opt选项，相当于同时禁用 –add-drop-table, –add-locks, –create-options, –quick, –extended-insert, –lock-tables, –set-charset, 及 –disable-keys这些参数。
-q, –quick: 导出时不会将数据加载到缓存，而是直接输出。默认就是启用状态。可以使用–skip-quick 来禁用该参数。

2. mysqldump 默认参数

mysqldjmp 默认使用的参数由以下几个：

–opt
–add-drop-table
–add-locks
-i,–comments
-a,–create-options
-e, –extended-insert
-l, –lock-tables
-q, –quick
-K, –disable-keys
-Q, –quote-names
–dump-date
–ssl
–triggers
–tz-utc

上面这些参数，执行mysqldump 命令的时候默认就会带上的。

3. mysqldump 常用方法

(1) 获取一个完整备份
不锁库备份

$ mysqldump -uusername -p --triggers --routines --events -A -B --single-transaction --master-data=2 > backup.$(date +%F).sql

(2) 导出指定库

$ mysqldump -uusername -p -B dbname > backup.$(date +%F).sql

如果是导出单库也可以不使用-B 参数，无非就是没有创建库的语句。
如果是多个库可以使用如下命令，但是必须使用-B参数

$ mysqldump -uusername -p -B DB1 DB2 DB3 > backup.$(date +%F).sql

(3) 导出指定表的数据和结构

$ mysqldump -uusername -p DBNAME table1 table2 > tablename.sql

或者使用 –tables 参数

$ mysqldump -uusername -p --tables DBNAME table1 table2 > backup.$(date +%F).sql

或者

$ mysqldump  -uusername -p DBNAME  --tables table1 table2 table3 > tablename.sql

(4) 导出指定表的结构
不包含数据

$ mysqldump -ubackup -p --no-data  DBNAME table1 table2 > backup.$(date +%F).sql

或者使用–tables参数

$ mysqldump -ubackup -p --no-data DBNAME  --tables table1 table2 > backup.$(date +%F).sql

或者

$ mysqldump -ubackup -p --no-data  --tables DBNAME table1 table2 > backup.$(date +%F).sql

(5) 导出指定表的数据
不包含表结构

$ mysqldump  -uusername -p --no-create-info DBNAME  table1 table2 table3 > backup.$(date +%F).sql

或者使用–tables 参数

$ mysqldump  -uusername -p --no-create-info DBNAME --tables table1 table2 table3 > backup.$(date +%F).sql

或者

$ mysqldump  -uusername -p --no-create-info  --tables DBNAME table1 table2 table3 > backup.$(date +%F).sql

(6) 导出整个数据库结构 (包括表结构)
不包含数据

$ mysqldump -uusername -p --no-data DBNAME > backup.$(date +%F).sql

(7) 导出数据库表结构和数据时排除某些表
使用 –ignore-table 参数

$ mysqldump -uusername -p  --single-transaction --master-data=2 --add-drop-database  -B DBNAME --ignore-table=DBNAME.table1 --ignore-table=DBNAME.table2 > backup.$(date +%F).sql

(8) 导出数据直接压缩

$ mysqldump -uusername -p -B DBNAME | gzip > backup.sql.gz

解压命令：

$ gunzip backup.sql.gz

定制ENTRYPOINT自动修改Docker中volume的权限

volume的权限问题

在Docker中，需要把host的目录挂载到container中作为volume使用时，往往会发生文件权限问题。常见的现象是，container对该路径并无写权限，以致其中服务的各种千奇百怪的问题。

导致这类问题的原因，是container内外的UID不同。比如，host当前使用docker的用户UID是1000（这是默认第一个用户的UID）。如果container内的UID是2000，那么host创建的目录对container来说就并非owner，默认情况下不可写入。

此外还有一种情况，那就是挂载前，host上不存在被挂载的目录。 Docker会以root权限，先创建该目录，再挂载。这就导致，即使host与container的UID都是1000，也会出现无写权限的情况。这种现象，只会在初始化时出现，但也足够令新手困惑，令老手厌烦。

为什么在Dockerfile中不能把volume的权限配置好？因为Dockerfile是对image的描述，而volume则是container的内容。 Dockerfile中做出的权限配置，对非volume来说是可以生效的，而对volume则不然。本质上，host挂载到volume上的目录，是属于host的。 Dockerfile是在docker build期间执行，而volume则是在docker run的时候产生。

其实，Docker在自动创建volume路径时，应该再自动地把它修改为container内前台进程的user:group。然而Docker目前并无此类机制，俺们这些用户就只能另谋出路。

一般的临时方案，都是去手动修改权限。要么通过chown，把owner改成container内用户的UID；要么通过chmod 777，搞成所有用户通用。这些当然不是什么好的长期方案，也违背了Docker方便部署的初衷。

目前看来，最好的方案，还是定制Dockerfile的ENTRYPOINT。

定制ENTRYPOINT

默认情况下ENTRYPOINT相当于是/bin/sh，只是准备简单的Shell运行环境。定制ENTRYPOINT为一个复杂的脚本，就可以在每次container启动时，都执行一遍。这个入口脚本，一般都是叫entrypoint.sh或docker-entrypoint.sh，并无强制约定。

COPY entrypoint.sh ./

ENTRYPOINT ["./entrypoint.sh"]

在volume产生时，是docker run的准备阶段（create），而执行entrypoint.sh则是在启动阶段（start）。所以，在entrypoint.sh中可以对volume做权限配置。当然，权限配置需要root权限，entrypoint.sh需要在root用户下启动。

当然，也可以在一般用户下启动，需要chown时在提升至root权限。不过这样会有安全隐患。反之，以root执行entrypoint.sh，在其中以普通用户启动真正的服务，这样在服务被黑的情况下，能确保仅当前服务受影响。

选择ENTRYPOINT的shell

Docker基础镜像的发行版，通常是Debian或Alpine。 Debian包含了Bash和Dash，而Alpine则默认只有Ash。

Ash的全称是Almquist shell，由Kenneth Almquist在1989年5月30日发布。它是一种轻量级的Unix shell，在多个发行版上都有开枝散叶，详见ash variants。现在，各大发行版上能看到的/bin/sh，基本都是[Ash]的一种。 Dash其实就是Debian上的一种[Ash]。

因此，用[Ash]来写ENTRYPOINT，会更具有通用性。文件头可以使用以下形式的Shebang。

#!/bin/sh

当然，什么也不写其实也默认是这个。写上后显得更专业，对自己也算是一个提示吧，以免把Bash特有的一些用法，如source、[[]]等，用在脚本中。

样例

#!/bin/sh

mkdir -p "${DJANGO_DATABASE}" "${DJANGO_LOGS}" "${DJANGO_STATIC}"
python manage.py collectstatic --noinput
python -Wd manage.py migrate --fake-initial
chown -R "${DJANGO_USER}":999 "${DJANGO_SITE}"

if [ $# -gt 0 ]
then
    su "${DJANGO_USER}" -c "exec $*"
else
    su "${DJANGO_USER}" -c "exec uwsgi --ini uwsgi.ini --http=0.0.0.0:${DJANGO_PORT}"
fi

以上是一个Django网站镜像的entrypoint.sh。其中，和本文关系密切的是chown那一行。把相关volume的UID设为${DJANGO_USER}，是镜像内的读写需要；把GID设为999，是因为在宿主机上，Docker安装后，默认的docker用户组的GID就是999，便于宿主机进行操作。最后的if代码块，用${DJANGO_USER}执行前台进程，提高了安全性（相当于Dockerfile里使用USER）； exec相关的配置，给了一个CMD为空时的默认命令。

其它关于collectstatic、migrate等操作，是Django网站相关的有用配置，不在本文详解。

另一个复杂的参考，是postgres的官方镜像docker-entrypoint.sh。其中做了很多事，但比较核心的，还是chown、chmod那几行。

参考

还有一种方案，利用–volumes-from，可以指定一个Docker管控的非挂载数据卷。这种数据卷没有权限问题，但宿主机的访问会有些麻烦。

Ubuntu通过apt-get安装指定版本和查询指定软件有多少个版本

一、通过apt-get安装指定版本

apt-get install <<package name>>=<<version>>

二、查询指定软件有多少个版本

说明：在Linux用这个查询并不能完全的把所有版本都列举出来，因为每个版本都与系统版本和CPU架构有关，比如一个软件支持Ubuntu系统的16.04的CPU架构为amd64的版本只有1.0和1.2，其余都不支持，所以列举时就只有两款。

列举版本列表

0、通过网站搜索：

https://packages.ubuntu.com/

1、

apt-cache madison <<package name>>

将列出所有来源的版本。如下输出所示：

apt-cache madison vim
   vim | 2:7.3.547-1 | http://debian.mirrors.tds.net/debian/ unstable/main amd64 Packages
   vim | 2:7.3.429-2 | http://debian.mirrors.tds.net/debian/ testing/main amd64 Packages
   vim | 2:7.3.429-2 | http://http.us.debian.org/debian/ testing/main amd64 Packages
   vim | 2:7.3.429-2 | http://debian.mirrors.tds.net/debian/ testing/main Sources
   vim | 2:7.3.547-1 | http://debian.mirrors.tds.net/debian/ unstable/main Sources

madison是一个apt-cache子命令，可以通过man apt-cache查询更多用法。

2、

apt-cache policy <<package name>>

将列出所有来源的版本。信息会比上面详细一点，如下输出所示：

apt-cache policy gdb
gdb:
  Installed: 7.7.1-0ubuntu5~14.04.2
  Candidate: 7.7.1-0ubuntu5~14.04.2
  Version table:
 *** 7.7.1-0ubuntu5~14.04.2 0
        500 http://fr.archive.ubuntu.com/ubuntu/ trusty-updates/main amd64 Packages
        100 /var/lib/dpkg/status
     7.7-0ubuntu3 0
        500 http://fr.archive.ubuntu.com/ubuntu/ trusty/main amd64 Packages
        500 http://archive.ubuntu.com/ubuntu/ trusty/main amd64 Packages

policy是一个apt-cache子命令，可以通过man apt-cache查询更多用法。

3、

apt-cache showpkg <<package name>>

4、

apt-get install -s <<package-name>>

说明：这个命令只是模拟安装时会安装哪些软件列表，但不会例举出每个软件有多少个版本

5、

aptitude versions <<package name>>

参考：https://manpages.debian.org/unstable/aptitude/aptitude.8.en.html

6、

apt-show-versions -a <<package name>>

说明：列举出所有版本，且能查看是否已经安装。还可以通过apt-show-versions -u <>来查询是否有升级版本。

参考：http://manpages.ubuntu.com/manpages/trusty/man1/apt-show-versions.1p.html

7、

whohas -d Debian,Ubuntu <<package name>> | tr -s ' ' 't' | cut -f 1-3 | column -t

8、

rmadison -u debian,ubuntu,bpo <<package name>> | cut -d "|" -f 1-3

单个详情

1、

apt-cache show <<package name>>

说明：查询指定包的详情，不管是否已经安装。

2、

dpkg -l <<package name>>

说明：效果和上面基本一致，但是结果是列表详情展示，会提示是否已经删除了之后还有依赖包没有删除等。

3、

dpkg -s <<package name>>

说明：必须是安装的包才能显示详情。

4、

dpkg-query -s <<package name>>

说明：同上，效果一致。

使用技巧

1、可以在查询后面带上一些参数来实现筛选

apt-cache show package | grep Version

apt-show-versions | more

linux shell grep/awk/sed 匹配tab

处理文件的命令实在是多, sed, awk, grep等。遇到了需要匹配tab的情况, 记录一下。

例子如下：找出文本中第一列是1的行。

文本a

1    2    3
12    3    31
21    1    3

解法1 : 直接使用正则表达式, ^表示开头, t表示tab

grep -P "^1t" a

解法2 : awk循环行，并判断

awk '{if($1 == 1) print $0}' a

解法3: sed 中使用正则，-n 只打印匹配行

sed -n '/^1t/p' a

awk的二维数组

awk二维数组练习

现有f1,f2两个文档

$cat f2
    5   6   7   8   9   10
A   0.7 0.8 0.9 1   1.1 1.2
C   0.22    0.34    0.46    0.58    0.7 0.82
D   -0.26   -0.12   0.02    0.16    0.3 0.44
E   -0.74   -0.58   -0.42   -0.26   -0.1    0.06
F   -1.22   -1.04   -0.86   -0.68   -0.5    -0.32
G   -1.7    -1.5    -1.3    -1.1    -0.9    -0.7
H   -2.18   -1.96   -1.74   -1.52   -1.3    -1.08
I   -2.66   -2.42   -2.18   -1.94   -1.7    -1.46
K   -3.14   -2.88   -2.62   -2.36   -2.1    -1.84
L   -3.62   -3.34   -3.06   -2.78   -2.5    -2.22
M   -4.1    -3.8    -3.5    -3.2    -2.9    -2.6
$cat f1
5   A
8   C
10  G
11  D
12  F
13  H

需求：

根据f2文件的第一行第一列为序号，求出f1中各对应的结果，打印在第三列

[root@Web awk]# awk 'FNR==NR{for(i=0;i++<NF;){if(NR==1)a[i+1]=$i;if(NR>1)b[a[i],$1]=$i};next}{print $0,b[$1,$2]}'  f2  f1
5   A 0.7
8   C 0.58
10  G -0.7
11  D 
12  F 
13  H

思路

awk 'FNR==NR{for(i=0;i++<NF;){if(NR==1)a[i+1]=$i;if(NR>1)b[a[i],$1]=$i};next}{print $0,b[$1,$2]}'  f2  f1

对每一行进行循环，对第一行进行对应数组处理
a[1]=$0,a[2]=5,a[3]=6,a[4]=7,a[5]=8,a[6]=9,a[7]=10
然后下次循环跳过第一列

b[a[1],$1]=$1,b[a[2],$1]=$2,b[a[3],$1]=$3,b[a[4],$1]=$4,b[a[5],$1]=$5,b[a[6],$1]=$6,b[a[7],$1]=$7

这样就形成了我们需要的二维数组
然后循环整个f2文件
最后对f1文件获取，将结果打印在f1文件的第三列

Cacti安装配置

被监控端配置：

1）安装配置net-snmp及依赖包lm_sensors

yum install -y net-snmp lm_sensors

修改snmpd的配置文件：

vi /etc/snmp/snmpd.conf

如图:

未分类

第一步：映射通信名称到安全用户名称；第二步：将用户加入到组中；第三步，为组创建systemvies视图；第四步：创建all视图并赋予组只读访问权限。

2）修改被控端防火墙规则：

iptables -I INPUT -p ucp –dport 161 -j ACCEPT
iptables -I INPUT -p tcp –dport 199 -j ACCEPT
service iptables save

3）启动snmpd服务：

service snmpd start
chkconfig snmpd on

监控端配置：

1）cacti是基于php的web监控管理系统，首先需要部署lamp环境，略。

2）安装依赖包：

yum -y install net-snmp net-snmp-devel net-snmp-utils net-snmp-libs lm_sensors php-xml zlib libpng freetype cairo-devel pango-devel gd

3）安装rrdtool：

yum -y install rrdtool

4）检查与客户端snmp通信：

snmpwalk -v 1 192.168.88.151 -c rose0011 system

5）配置apache虚拟主机：

vi /usr/local/apache2/conf/extra/httpd-vhosts.conf

如图：

未分类

6）修改php配置文件的时区配置，默认date.timezone为注释行。修改php.ini,date.timezone=”Aisa/Shanghai”

7)解压cacti包并移动至web根目录下，修改根目录权限为apache运行账户。

tar -zxf acti-0.8.8a.tar.gz
mv cacti-0.8.8a /usr/local/apache2/htdocs/cacti/cacti
chown -R daemon.daemon /usr/local/apache2/htdocs/cacti/
iptables -I INPUT -p tcp –dport 80 -j ACCEPT
service iptables save

8)初始化cacti数据库

mysql -uroot -p -e “create database cacti”;
mysql -uroot -p cacti < /usr/local/apache2/htdocs/cacti/cacti/cacti.sql
grant all on cacti.* to cactiuser@localhost identified by ‘rose0011’;
flush privileges;

9)编辑cacti配置文件/usr/local/apache2/htdocs/cacti/cacti/include/config.php

如图：

未分类

10)浏览器中输入网址，安装cacti

Ubuntu 16.04 下通过 apt 安装 ActiveMQ

更新系统软件包

sudo apt update 
sudo apt upgrade

安装 jdk

sudo apt install default-jdk

安装、启动 ActiveMQ

sudo apt install activemq
sudo systemctl start activemq

查看

sudo systemctl status activemq
netstat -nl|grep 61616

说明：截止到2018-01-26 这种方式都还是有问题的【active (exited)】，已有人提交 bug report。

Web 管理页：http://127.0.0.1:8161/admin/
服务状态说明

loaded              # 系统服务已经初始化完成，加载过配置
active(running)     # 正有一个或多个程序正在系统中执行，守护进程 activemq 就应该是这种模式
atcive(exited)      # 仅执行一次就正常结束的服务，如 iptables
atcive(waiting)     # 正在执行中，不过还再等待其他的事件才能继续处理
inactive            # 服务关闭
enbaled             # 服务开机启动
disabled            # 服务开机不自启
static              # 服务开机启动项不可被管理
failed              # 系统配置错误