C++博客-无法递归的五点半-随笔分类-开发环境

OpenSSH下SFTP的配置

五点半 — Wed, 02 Dec 2009 13:04:00 GMT

OpenSSH网站上那只SSH刺河豚将FTP埋葬

有关sftp有人推荐www.ssh.com的实现，不过我更喜欢开源的产品，特别是Open系列的安全产品。

需求

首先我们明确我们的目标，我们是希望通过SFTP代替FTP，需求是这样的:

这些用户只能通过SFT访问服务器
用户要锁定在相应的目录下

我想通常的思路是这样的:

打开OpenSSH的SFTP
将这些用户设置在一个组中
让OpenSSH识别这个组，只允许这些用户使用SFTP
最后系统要自动的将用户chroot在用户目录下

配置

我开始都觉得是不是要求太高，不过OpenSSH可以解决以上所有问题。话说回来，如果不能解决怎么可以把FTP埋葬呢。

SSHD_CONFIG

sshd通常是打开了sftp的，不过我们应该使用internal-sftp在sshd_conf中作如下配置:

1 # Subsystem sftp /usr/lib/openssh/sftp-server # 注释掉
2 Subsystem sftp internal-sftp
3
4 ##
5 Match group sftponly
6     ChrootDirectory /sftphome/%u
7     X11Forwarding no
8     AllowTcpForwarding no
9     ForceCommand internal-sftp
10

解释一下：当sshd匹配到sftponly组中的用户，就会强制使用sftp(ForceCommand的作用)，并将用户限定在/sftphome/下相应用户的目录下(ChrootDirectory的作用)。

创建用户

我们需要创建相应的用户了：

#useradd -G sftponly -d /sftphome/sftpuser -s /usr/sbin/nologin sftpuser
#tail /etc/password

sftpuser:x:1000:1000::/sftphome/sftpuser:/usr/sbin/nologin
#passwd sftpuser

你可以在其他机器上用sftp登录试试了。你的连接将会被reset!去看看sshd的日志，你会发现pam.d的认证是通过了的，但是chroot失败了。按网络上的说法

#chown root /sftphome/sftpuser
#chmod 755 /sftphome/sftpuser

再试，可以登录。新的问题是不能在此目录下写入。对的嘛，755对于组用户是不能写啊。再试试775，刚才的问题就来又了，chroot失败。

以上内容网络上一google一大把。

可以登录不能写这个问题真让人困惑!后来我想可能应该这样理解：既然要chroot，那个目录不属于root肯定是不行的(说错了，猛拍砖)。那我们就不能为用户提供完整的sftp服务了吗？我想可以这样

#mkdir /sftphome/sftpuser/space
#chown sftpuser.sftpuser /sftphome/sftpuser/space

由系统管理员为sftp用户提供一个目录，并设置其用户属性，用户在这个目录下用户是可写的。当然可以创建很多个。

这样算不算解决这个问题呢？暂且如此吧。如果您有好方法，一定告知哦。

五点半 2009-12-02 21:04 发表评论

应用中的MySQL服务器部署Replication

五点半 — Fri, 14 Aug 2009 14:39:00 GMT

本文记录如何给一台应用中的MySQL服务器部署Replication。

安装环境

现有MySQL

现有MySQL服务器的特点：

没有专门为Replication环境配置
MySQL为编译安装
MySQL处于运行状态，不可长时间停机

目的

将现有服务器作为Master服务器，配置并运行一台新的MySQL服务器作为Slave服务器

准备

服务器硬件
现有主服务器的安装代码包(mysql-5.x.xxx.tar.gz)

主服务器的配置和数据准备

Master服务器的必须配置

要使用Replication必须将Master的binlog打开，并设置服务器ID。最简单的配置如下:

log-bin     =  mysql-bin
server-id   =  1

当然关于MySQL Bin Log的配置还有很多设置，可以参考相关手册

数据备份

现在需要将Master的数据备份出来要注意的是要记住 备份点的binlog日志和postion 。Master数据备份的方式可以是停机冷备份，如果安装了LVM可以使用LVM的Snapshot。下面使用mysqldump 导出数据。在导出数据之前我们应该Flush表，并锁住表，比允许数据写入。

mysql> FLUASH TABLES WITH READ LOCK;
mysql> SHOW MASTER STATUS;
+------------------+----------+--------------+------------------+
| File             | Position | Binlog_Do_DB | Binlog_Ignore_DB |
+------------------+----------+--------------+------------------+
| mysql-bin.000157 | 18757860 |              |                  |
+------------------+----------+--------------+------------------+
1 row in set (0.00 sec)

使用mysqldump导出数据

mysql:~# mysqldump -uroot -p --all-databases > dump.sql

解锁

mysql> UNLOCK TABLES;

安装参数的提取

需要在Slave主机编译安装MySQL要了解Master安装时的编译参数，可以通过如下方式获得:

mysql:~# cat /usr/local/mysql/bin/mysqlbug | grep CONFIGURE

repl用户创建

在Master服务器中创建repl用户，用于在Slave 数据库中访问Master数据

mysql> GREANT REPLICATION SLAVE ON *.* to 'repl'@'IP.SLAVE.SERVER' identified by 'repl_passwd';

Slave服务器的安装

MySQL的安装

按前面提取的configure参数对源代码进行编译(./configure; make; make install;)
安装初始化数据库:

#mysql_install_db --datadir=/data --user=mysql

参照@{mysql-src}/support-files/目录中my.cnf文件在/etc/下创建@my.cnf
参照@{mysql-src}/support-files/mysql.server@文件在@/etc/init.d/下配置@mysqldb
可尝试启动mysql。 /etc/init.d/mysqldb start

数据的导入

mysql# mysql -uroot -p < dump.sql

如果导入出现超出最大数据包错误可以尝试修改my.cnf中的max_allow_packet

在my.cnf中配置slave

在my.cnf中配置：

server-id       =  2
master-host     =  master_ip
master-user     =  repl
master-password =  repl_passwd

在Slave服务器上启动Slave

mysql> STOP SLAVE;
mysql> CHANGE MASTER TO     
       MASTER_HOST='masterip',
       MASTER_USER='repl',
       MASTER_PASSWORD='repl_passwd',
       MASTER_LOG_FILE='mysql-bin.000157',
       MASTER_LOG_POS=18757860 ;
mysql> START SLAVE;

五点半 2009-08-14 22:39 发表评论

在Debian下安装Oracle 10 XE

五点半 — Fri, 03 Nov 2006 15:17:00 GMT

现在安装Oracle已经很简单了，看来有官方的支持。记录下备忘：

在source.list中加入deb http://oss.oracle.com/debian/ unstable main non-free
aptitude update
aptitude oracle-xe-client oracle-xe-universal 包有点大200多兆
通过/etc/init.d/oracle-xe configure配置基本参数
通过http://127.0.0.1:8080/apex/进行管理

Oracle 10 XE 需要1G的交换分区，如果没有可以建一个交换文件

dd if=/dev/zero of=/mnt/swapfile bs=1024 count=1048576
mkswap /mnt/swapfile
swapon /mnt/swapfile

参考了一下：疯狂小强（没有使用aptitude,不过很详细）

五点半 2006-11-03 23:17 发表评论

Debian下mrtg的配置

五点半 — Fri, 02 Jun 2006 10:44:00 GMT

先要保证已经安装了Apache.创建一个mrtg的工作目录,通常是/var/www/mrtg/.

安装

aptitude install mrtg mrtgutils

生成mrtg.cfg文件

要保证管理的设备开启了snmp的读操作;
/usr/bin/cfgmaker --global WorkDir:/var/www/mrtg --global 'Options[_]: growright,bits' --ifref=ip public@192.168.100.1
其中public是设备的 community名,192.168,100.1是设备的ip
如果上面的命令产生了正确的结果，就可以将其输出到一个文件中,如/etc/mrtg.cfg.
可以编辑这个文件，将一些东西汉化

生成网页

运行mrtg /etc/mrtg.cfg即可在/var/www/mrtg下看见一些html文件和图像文件,这些就是mrtg生成的.
应为产生日志的原因,可能需要多运行几次mrtg /etc/mrtg.cfg直到没有输出为止

生成index.html

运行 indexmaker --output=index.html /etc/mrtg.cfg 生成index.html文件
将index.html拷贝到/var/www/mrtg

在cron配置定时运行mrtg

mrtg是通过读入mrtg.cfg来生成图像的,它不会只动运行.要实现流量监控可在cron配置，使mrtg定时执行
每5分钟执行一下mrtg，在cron添加记录:0,5,10,15,20,25,30,35,40,45,50,55 * * * * mrtg /etc/mrtg.cfg

详细的文档要参考:http://oss.oetiker.ch/mrtg/doc/indexmaker.en.html

五点半 2006-06-02 18:44 发表评论