centos – Page 7 – 月与灯依旧

CentOS 6安装部署轻量级批量运维工具Omnitty

CentOS 6安装部署轻量级运维工具Omnitty的过程，本文基于CentOS 6 64bit.

1, 安装
Omnitty的官网介绍了安装方法，因此这里从Omnitty的官网复制过来的。

$ yum install gcc gcc-c++ make ncurses ncurses-devel
$ sudo apt install gcc g++ make ncurses-bin ncurses-dev 

#In order to run Omnitty, you will need to download and install libROTE first. 
#Then you can install Omnitty.
$ tar -zxf /path/to/rote-X.Y.Z.tar.gz
$ cd rote-X.Y.Z
$ ./configure
$ make
$ su -c "make install"
$ cd ..

$ tar -zxf /path/to/omnitty-X.Y.Z.tar.gz
$ cd omnitty-X.Y.Z
$ ./configure
$ make                   # 可能会遇到错误, 参考下方的处理方法.
$ su -c "make install"

然后，你就可以运行omnitty了.

可能会遇到的错误1:
make时提示/usr/lib64/libncurses.so.5: error adding symbols: DSO missing from command line
解决方法(参考文档):

$ vim Makefile  # 在下方添加-lncurses -ltinfo
...
omnitty: $(objects)
        $(CC) $(CFLAGS)  -o omnitty $(objects) $(LDFLAGS) $(LIBS) -lncurses -ltinfo
...

(more…)

Posted on 2016-09-29 by bear in Linux运维.Tags: centos, Linux, ubuntu.0 Comments

CentOS/Ubuntu安装配置集群管理工具Ansible

CentOS/Ubuntu安装配置集群管理工具Ansible的过程, 记录一下.

1, 安装

yum install ansible    #CentOS6请先安装epel

#Ubuntu的安装(从Ubuntu官方的源里安装的大概是1.4的版本,非常古老,这里我们启用其它的源)
sudo apt-get install software-properties-common
sudo apt-add-repository ppa:ansible/ansible
sudo apt-get update
sudo apt-get install ansible

2, 配置

vim ansible.cfg    #主配置文件, 修改如下选项
host_key_checking = False
#ask_sudo_pass = True      //每次在本机执行ansible命令是否询问ssh密码
#ask_pass      = True      //每次在本机执行ansible命令时是否询问sudo密码
log_path = /var/log/ansible.log
executable = /bin/bash
remote_tmp     = /tmp/.ansible/tmp

#如果远程调用的命令需要sudo命令提权,需要开启如下几项
#以下几项在ansible1.9版本以后才有,请先运行ansible --version确定下版本
[privilege_escalation]
become=True
become_method=sudo
become_user=root
become_ask_pass=False

(more…)

Posted on 2016-08-03 by bear in Linux运维.Tags: centos, Linux, ubuntu.0 Comments

VNC over SSH tunnel

VNC over SSH tunnel, 意为建立在SSH通道上的VNC. 这样做可以达到2个目的, 一是可以增强VNC的安全性, 二是如果VNC速度太慢, 可以走SSH通道作为代理. 本文介绍其配置方法.

使用环境:
A机在韩国, IP为1.1.1.1, 速度较快
B机在美国, IP为8.8.8.8, 速度慢, 且有一个VNC桌面(ID号为:55)
由于我们直接连接B机的VNC桌面会非常慢, 此时我们可以借助A机的SSH服务跳转, 以达到加速VNC桌面的目的.
本地也是Linux环境, 本机有多位用户需要登陆到美国的VNC桌面上

1, 在A机(用于代理的机器)上以bear用户的身份生成SSH-Key, 并将私钥拷贝回本地

ssh-keygen -t rsa    #一路回车即可
chmod 700 ~/.ssh
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys      #必须做,否则在连接VNC的时候仍需要输入bear的密码

然后将私钥(id_rsa文件)拷贝回本地, 注意不是id_rsa.pub文件.

2, 在本地(也是Linux系统)指定SSH Tunnel相关参数 (more…)

Posted on 2016-07-20 by bear in Linux运维.Tags: centos, Linux, ubuntu.0 Comments

CentOS 6设置防跨站

利用open_basedir将PHP脚本的操作限定在某一个目录内，可以防止跨站攻击。本文基于CentOS 6，PHP 5.5.5版本。假设我们有一个网站位于/home/wwwroot/zhukun.net。

$ vim /usr/local/php/etc/php.ini    #保证php.ini文件里的相关设定未被修改
; open_basedir, if set, limits all file operations to the defined directory
; and below.  This directive makes most sense if used in a per-directory
; or per-virtualhost web server configuration file. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
; http://php.net/open-basedir
;open_basedir =        #这一项保持默认即可
......
; 建议关闭的函数
disable_functions = passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server
......
; 确保如下项保持默认
;;;;;;;;;;;;;;;;;;;;
; php.ini Options  ;
;;;;;;;;;;;;;;;;;;;;
; Name for user-defined php.ini (.htaccess) files. Default is ".user.ini"
;user_ini.filename = ".user.ini"

; To disable this feature set this option to empty value
;user_ini.filename =

; TTL for user-defined php.ini files (time-to-live) in seconds. Default is 300 seconds (5 minutes)
;user_ini.cache_ttl = 300

$ vim /home/wwwroot/zhukun.net/.user.ini    #写入如下一行
open_basedir=/home/wwwroot/zhukun.net:/tmp/:/proc/

#相关安全权限设定
$ chmod 644 /home/wwwroot/zhukun.net/.user.ini
$ chown -R root:root /home/wwwroot/zhukun.net/.user.ini
$ chattr +i /home/wwwroot/zhukun.net/.user.ini

很多人觉得，我设定的open_basedir是否有效？很简单，只要将open_basedir后面的路径改一下，重启一下PHP服务，然后观察网站是否还能正常访问即可。

Posted on 2016-07-11 by bear in Linux运维.Tags: centos, Linux.0 Comments

1，设定用户密码定期修改及过期时间
向条目中添加一个名为shadowAccount的objectClass, 设定如下属性(attributes):
shadowLastChange: 密码从1970年1月1日开始, 到最近一次修改, 一共间隔了多少天. 比如这里指定成16967就表示2016年6月15日. 也可以直接获取当天的日期,方法为:在系统里useradd一个用户,查看/etc/shadow中该用户的第三个值, 即是该值. 该值如果设置成0, 则表示下次登陆将强制修改密码, 用户修改密码成功以后, 该值将发生对应的变化;
shadowMin: 密码从shadowLastChange指定的日期开始, 到多少天以后才能再次修改密码, 防止某些人天天没事就修改密码, 此值设置成0表示不限制;
shadowMax: 密码从shadowLastChange指定的日期开始, 到多少天以后过期(即多少天后必须更改密码);
shadowInactive: 密码过期以后还可以登陆多少天(每次登陆都会要求更改密码), 如果超过此值指定的天数, 下次登陆时会提示Your account has expired; please contact your system administrator;
shadowWarning: 提前多少天开始警告用户密码将会过期;
shadowExpire: 密码从1970年1月1日开始, 多少天以后将会过期, 这里一般用不到;
shadowFlag: 暂时无用.

一组建议的值
shadowLastChange: 0
shadowMin: 0
shadowMax: 90 #每隔90天强制更换密码
shadowInactive: 7 #过期以后还有7天可以登陆,每次登陆都会提示修改密码
shadowWarning: 8 #提前8天开始提示密码即将过期

Posted on 2016-06-15 by bear in Linux运维.Tags: centos, Linux, ubuntu.1 Comment

OpenLDAP提示ldap_result: Can’t contact LDAP server (-1)

近日, 出现在频繁登陆不了LDAP服务的情况, 登陆时总提示ldap_result: Can’t contact LDAP server (-1)的错误,

检查系统日志, 出现如下错误

slapd[1044]: warning: cannot open /etc/hosts.deny: Too many open files

基本上可以判断, slapd进程的文件句柄数量达到限制了.

原因分析

$ pidof slapd | xargs lsof -a -p | wc -l    #查看slapd当前的文件句柄数量

$ cat /proc/`pidof slapd`/limits    #查看系统对slapd进程的文件句柄数量限制
Limit                     Soft Limit           Hard Limit           Units     
……
Max open files            4096                 4096                 files     
……

$ ulimit -a    #也可以通过这条命令来查看
……
open files                      (-n) 1024
……

“open files (n) 1024 “是Linux操作系统对一个进程打开的文件句柄数量的限制(也包含打开的SOCKET数量,可影响MySQL的并发连接数目). 这个值可用ulimit命令来修改, 但ulimit命令修改的数值只对当前登录用
户的目前使用环境有效, 系统重启或者用户退出后就会失效.

cat /proc/sys/fs/file-max    #查看系统总限制
cat /proc/sys/fs/file-nr    #查看系统目前使用的文件句柄数量

解决办法
不想重启的话，可以按照如下办法来解决

$ vim /etc/init.d/slapd
function start() {          #找到start()函数
……
        harg="$SLAPD_URLS"
        ulimit -HSn 4096    #添加这一行
……

$ /etc/init.d/slapd restart

然后可以切换到一个普通用户, 执行ulimit -a看看是否发生了变化.

建议采取的办法

$ vim /etc/security/limits.conf    #添加如下两行,注意slapd进程使用的用户是ldap
ldap		soft	nofile		4096
ldap		hard	nofile		4096

然后重启即可.

参考文档:
Troubleshooting slapd error: too many open files

====================================================

2016.07.27补充:

公司使用的OpenLDAP, 在/etc/security/limits.conf指了soft和hard均为4096, 重启以后现在soft limit又变成1024, 但hard limit变成了4096. 经过一翻搜索得知, 原来OpenLDAP进程启动时会自行修改soft limit. 解决办法为

$ vim /etc/sysconfig/ldap    #指定如下参数
......
SLAPD_ULIMIT_SETTINGS="-n 4096"
......

Ubuntu系统里可能是/etc/default/ldap(不确定).

Posted on 2016-06-01 by bear in Linux运维.Tags: centos, Linux, ubuntu.0 Comments

Linux内核参数设置sysctl命令详解

sysctl是一个允许您改变正在运行中的Linux系统的接口. 它包含一些 TCP/IP 堆栈和虚拟内存系统的高级选项, 这可以让有经验的管理员提高引人注目的系统性能. 用sysctl可以读取设置超过五百个系统变量. 基于这点, sysctl提供两个功能:读取和修改系统设置.

常用参数

-w  临时改变某个指定参数的值，如sysctl -w net.ipv4.ip_forward=1
-a  显示所有的系统参数
-p  从指定的文件加载系统参数，如不指定即从/etc/sysctl.conf中加载

以下是实例

$ sysctl -a     #查看所有可读变量

$ sysctl net.ipv4.ip_forward    #查看某个变量
net.ipv4.ip_forward = 1

$ sysctl -n net.ipv4.ip_forward    #获取某个变量的值
1

$ sysctl -w kernel.yama.ptrace_scope=0   #临时修改某个变量的当前值,即虚拟文件系统/proc下的值,重启失效
kernel.yama.ptrace_scope = 0

$ echo 1 > /proc/sys/net/ipv4/ip_forward  #临时修改某个变量的当前值,效果同上

#使用sed命令永久修改某值
#把kernel.yama.ptrace_scope开头的行修改为后面的值,注意第2个/后面有个c表示change
$ sudo sed -i "/^kernel.yama.ptrace_scope/ckernel.yama.ptrace_scope = 0" /etc/sysctl.d/10-ptrace.conf
$ sysctl -p    #将sysctl.conf文件中的修改读取到系统中,即虚拟文件系统/proc下的值

(more…)

Posted on 2016-05-16 by bear in Linux运维.Tags: centos, Linux, Linux Kernel, ubuntu.0 Comments