C++博客-无法递归的五点半-随笔分类-开发环境

OpenLDAP启动与配置

五点半 — Sat, 25 Dec 2010 09:07:00 GMT

启动slapd

不论是包安装还是编译安装的OpenLDAP服务,启动LDAP服务通常使用类似这样的方式运行:

/usr/sbin/slapd -h ldap:/// ldapi:/// -g openldap -u openldap -F /etc/ldap/slapd.d/

如果没有任何的配置是否可以启动slapd呢？

$mkdir ldap_slapd.d
$/usr/sbin/slapd -d 65535 -h ldap://localhost:3890 -F ldap_slapd.d

系统提示没有配置目录中没有 cn=config.ldif 文件

最简单的配置

现在在配置目录中写一个最简单的配置:

$cat ldap_slapd.d/cn=config.ldif
dn: cn=config
objectClass: olcGlobal
cn: config
$/usr/sbin/slapd -d 65535 -h ldap://localhost:3890 -F ldap_slapd.d

成功启动！在ldap_slapd.d下生成了cn=config 目录并且将基本的schema自动的导入了，从运行日志中也可以看到这些。

通过这个例子可以看到slapd运行的过程，但这样一个没有实际Backend数据库的slapd实例是没有实际意义的。

配置

slapd的配置就是运行的关键，在新版OpenLDAP中，LDAP配置不再是slapd.conf，而是一系列的配置文件，放置在一个配置目录下。LDAP将这个目录看成一种Backend，也就是config backend。配置目录中是若干的ldif文件，然后通过子目录的方式表现树形结构，以文件名表示配置节点的名称。

slapd.d 目录

LDAP的配置Backend包含3个内容：Schema、Backend、Database，都以ldif方式直接写在配置文件中。backend和database配置相对较小可直接编辑，而schema比较复杂，如有外部定义的schema更是麻烦，如果直接编辑很麻烦也容易出错。好在可以使用slaptest将旧式的.conf文件生成新配置。

实际上，slaptest的功能还不止这个，它还负责创建基本的数据库文件。最新版的OpenLDAP在安装后还是使用slapd.conf作为配置文件，然后在运行前创建配置Backend。

slapd.conf

slapd.conf由2个部分，先include schema文件，然后配置database。要注意后面database内容的语法是依赖core.schema的，所以没有 include core.schema，后面的内容是不符合语法的。

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /user/defined/special.schema

database        bdb
suffix          "dc=example,dc=com"
rootdn          "cn=admin,dc=example,dc=com"
rootpw          secret
directory       /ldap/data/dir
index   objectClass     eq

slaptest

运行:

$sudo /usr/bin/slaptest -f schema.conf -F /etc/ldap/slapd.d

slaptest要完成2个工作：将按schema生成schema.ldif配置，然后在指定的目录下初始化bdb文件。

五点半 2010-12-25 17:07 发表评论

OpenSSH下SFTP的配置

五点半 — Wed, 02 Dec 2009 13:04:00 GMT

OpenSSH网站上那只SSH刺河豚将FTP埋葬

有关sftp有人推荐www.ssh.com的实现，不过我更喜欢开源的产品，特别是Open系列的安全产品。

需求

首先我们明确我们的目标，我们是希望通过SFTP代替FTP，需求是这样的:

这些用户只能通过SFT访问服务器
用户要锁定在相应的目录下

我想通常的思路是这样的:

打开OpenSSH的SFTP
将这些用户设置在一个组中
让OpenSSH识别这个组，只允许这些用户使用SFTP
最后系统要自动的将用户chroot在用户目录下

配置

我开始都觉得是不是要求太高，不过OpenSSH可以解决以上所有问题。话说回来，如果不能解决怎么可以把FTP埋葬呢。

SSHD_CONFIG

sshd通常是打开了sftp的，不过我们应该使用internal-sftp在sshd_conf中作如下配置:

1 # Subsystem sftp /usr/lib/openssh/sftp-server # 注释掉
2 Subsystem sftp internal-sftp
3
4 ##
5 Match group sftponly
6     ChrootDirectory /sftphome/%u
7     X11Forwarding no
8     AllowTcpForwarding no
9     ForceCommand internal-sftp
10

解释一下：当sshd匹配到sftponly组中的用户，就会强制使用sftp(ForceCommand的作用)，并将用户限定在/sftphome/下相应用户的目录下(ChrootDirectory的作用)。

创建用户

我们需要创建相应的用户了：

#useradd -G sftponly -d /sftphome/sftpuser -s /usr/sbin/nologin sftpuser
#tail /etc/password

sftpuser:x:1000:1000::/sftphome/sftpuser:/usr/sbin/nologin
#passwd sftpuser

你可以在其他机器上用sftp登录试试了。你的连接将会被reset!去看看sshd的日志，你会发现pam.d的认证是通过了的，但是chroot失败了。按网络上的说法

#chown root /sftphome/sftpuser
#chmod 755 /sftphome/sftpuser

再试，可以登录。新的问题是不能在此目录下写入。对的嘛，755对于组用户是不能写啊。再试试775，刚才的问题就来又了，chroot失败。

以上内容网络上一google一大把。

可以登录不能写这个问题真让人困惑!后来我想可能应该这样理解：既然要chroot，那个目录不属于root肯定是不行的(说错了，猛拍砖)。那我们就不能为用户提供完整的sftp服务了吗？我想可以这样

#mkdir /sftphome/sftpuser/space
#chown sftpuser.sftpuser /sftphome/sftpuser/space

由系统管理员为sftp用户提供一个目录，并设置其用户属性，用户在这个目录下用户是可写的。当然可以创建很多个。

这样算不算解决这个问题呢？暂且如此吧。如果您有好方法，一定告知哦。

五点半 2009-12-02 21:04 发表评论

应用中的MySQL服务器部署Replication

五点半 — Fri, 14 Aug 2009 14:39:00 GMT

本文记录如何给一台应用中的MySQL服务器部署Replication。

安装环境

现有MySQL

现有MySQL服务器的特点：

没有专门为Replication环境配置
MySQL为编译安装
MySQL处于运行状态，不可长时间停机

目的

将现有服务器作为Master服务器，配置并运行一台新的MySQL服务器作为Slave服务器

准备

服务器硬件
现有主服务器的安装代码包(mysql-5.x.xxx.tar.gz)

主服务器的配置和数据准备

Master服务器的必须配置

要使用Replication必须将Master的binlog打开，并设置服务器ID。最简单的配置如下:

log-bin     =  mysql-bin
server-id   =  1

当然关于MySQL Bin Log的配置还有很多设置，可以参考相关手册

数据备份

现在需要将Master的数据备份出来要注意的是要记住 备份点的binlog日志和postion 。Master数据备份的方式可以是停机冷备份，如果安装了LVM可以使用LVM的Snapshot。下面使用mysqldump 导出数据。在导出数据之前我们应该Flush表，并锁住表，比允许数据写入。

mysql> FLUASH TABLES WITH READ LOCK;
mysql> SHOW MASTER STATUS;
+------------------+----------+--------------+------------------+
| File             | Position | Binlog_Do_DB | Binlog_Ignore_DB |
+------------------+----------+--------------+------------------+
| mysql-bin.000157 | 18757860 |              |                  |
+------------------+----------+--------------+------------------+
1 row in set (0.00 sec)

使用mysqldump导出数据

mysql:~# mysqldump -uroot -p --all-databases > dump.sql

解锁

mysql> UNLOCK TABLES;

安装参数的提取

需要在Slave主机编译安装MySQL要了解Master安装时的编译参数，可以通过如下方式获得:

mysql:~# cat /usr/local/mysql/bin/mysqlbug | grep CONFIGURE

repl用户创建

在Master服务器中创建repl用户，用于在Slave 数据库中访问Master数据

mysql> GREANT REPLICATION SLAVE ON *.* to 'repl'@'IP.SLAVE.SERVER' identified by 'repl_passwd';

Slave服务器的安装

MySQL的安装

按前面提取的configure参数对源代码进行编译(./configure; make; make install;)
安装初始化数据库:

#mysql_install_db --datadir=/data --user=mysql

参照@{mysql-src}/support-files/目录中my.cnf文件在/etc/下创建@my.cnf
参照@{mysql-src}/support-files/mysql.server@文件在@/etc/init.d/下配置@mysqldb
可尝试启动mysql。 /etc/init.d/mysqldb start

数据的导入

mysql# mysql -uroot -p < dump.sql

如果导入出现超出最大数据包错误可以尝试修改my.cnf中的max_allow_packet

在my.cnf中配置slave

在my.cnf中配置：

server-id       =  2
master-host     =  master_ip
master-user     =  repl
master-password =  repl_passwd

在Slave服务器上启动Slave

mysql> STOP SLAVE;
mysql> CHANGE MASTER TO     
       MASTER_HOST='masterip',
       MASTER_USER='repl',
       MASTER_PASSWORD='repl_passwd',
       MASTER_LOG_FILE='mysql-bin.000157',
       MASTER_LOG_POS=18757860 ;
mysql> START SLAVE;

五点半 2009-08-14 22:39 发表评论

在Debian下安装Oracle 10 XE

五点半 — Fri, 03 Nov 2006 15:17:00 GMT

现在安装Oracle已经很简单了，看来有官方的支持。记录下备忘：

在source.list中加入deb http://oss.oracle.com/debian/ unstable main non-free
aptitude update
aptitude oracle-xe-client oracle-xe-universal 包有点大200多兆
通过/etc/init.d/oracle-xe configure配置基本参数
通过http://127.0.0.1:8080/apex/进行管理

Oracle 10 XE 需要1G的交换分区，如果没有可以建一个交换文件

dd if=/dev/zero of=/mnt/swapfile bs=1024 count=1048576
mkswap /mnt/swapfile
swapon /mnt/swapfile

参考了一下：疯狂小强（没有使用aptitude,不过很详细）

五点半 2006-11-03 23:17 发表评论

Debian下mrtg的配置

五点半 — Fri, 02 Jun 2006 10:44:00 GMT

先要保证已经安装了Apache.创建一个mrtg的工作目录,通常是/var/www/mrtg/.

安装

aptitude install mrtg mrtgutils

生成mrtg.cfg文件

要保证管理的设备开启了snmp的读操作;
/usr/bin/cfgmaker --global WorkDir:/var/www/mrtg --global 'Options[_]: growright,bits' --ifref=ip public@192.168.100.1
其中public是设备的 community名,192.168,100.1是设备的ip
如果上面的命令产生了正确的结果，就可以将其输出到一个文件中,如/etc/mrtg.cfg.
可以编辑这个文件，将一些东西汉化

生成网页

运行mrtg /etc/mrtg.cfg即可在/var/www/mrtg下看见一些html文件和图像文件,这些就是mrtg生成的.
应为产生日志的原因,可能需要多运行几次mrtg /etc/mrtg.cfg直到没有输出为止

生成index.html

运行 indexmaker --output=index.html /etc/mrtg.cfg 生成index.html文件
将index.html拷贝到/var/www/mrtg

在cron配置定时运行mrtg

mrtg是通过读入mrtg.cfg来生成图像的,它不会只动运行.要实现流量监控可在cron配置，使mrtg定时执行
每5分钟执行一下mrtg，在cron添加记录:0,5,10,15,20,25,30,35,40,45,50,55 * * * * mrtg /etc/mrtg.cfg

详细的文档要参考:http://oss.oetiker.ch/mrtg/doc/indexmaker.en.html

五点半 2006-06-02 18:44 发表评论