LINUX防DDOS和CC攻击的方法

虚拟主机服务商在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等。通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长。比较彻底的解决方法是添置硬件防火墙。不过,硬件防火墙价格比较昂贵。可以考虑利用Linux虚拟主机服务器本身提供的防火墙功能来防御。

1. 抵御SYN
SYN攻击是利用TCP/IP协议3次握手的原理,发送大量的建立连接的网络包,但不实际建立连接,最终导致被攻击服务器的网络队列被占满,无法被正常用户访问。

Linux内核提供了若干SYN相关的配置,用命令:
sysctl -a | grep syn
看到:
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5

tcp_max_syn_backlog是SYN队列的长度,tcp_syncookies是一个开关,是否打开SYN Cookie
功能,该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN
的重试次数。

加大SYN队列长度可以容纳更多等待连接的网络连接数,打开SYN Cookie功能可以阻止部分
SYN攻击,降低重试次数也有一定效果。

调整上述设置的方法是:
增加SYN队列长度到2048:
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
打开SYN COOKIE功能:
sysctl -w net.ipv4.tcp_syncookies=1
降低重试次数:
sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3

为了系统重启动时保持上述配置,可将上述命令加入到/etc/rc.d/rc.local文件中。

2. 抵御DDOS
DDOS,分布式拒绝访问攻击,是指黑客组织来自不同来源的许多主机,向常见的端口,如80,
25等发送大量连接,但这些客户端只建立连接,不是正常访问。由于一般Apache配置的接受连接
数有限(通常为256),这些“假” 访问会把Apache占满,正常访问无法进行。

Linux提供了叫ipchains的防火墙工具,可以屏蔽来自特定IP或IP地址段的对特定端口的连接。
使用ipchains抵御DDOS,就是首先通过netstat命令发现攻击来源地址,然后用ipchains命令阻断
攻击。发现一个阻断一个。

*** 打开ipchains功能
首先查看ipchains服务是否设为自动启动:
chkconfig --list ipchains
输出一般为:
ipchains 0ff 1ff 2n 3n 4n 5n 6ff
如果345列为on,说明ipchains服务已经设为自动启动
如果没有,可以用命令:
chkconfig --add ipchains
将ipchains服务设为自动启动
其次,察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果这一文件不存在,ipchains
即使设为自动启动,也不会生效。缺省的ipchains配置文件内容如下:

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
utput ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
# allow http,ftp,smtp,ssh,domain via tcp; domain via udp
-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
# deny icmp packet
#-A input -p icmp -s 0/0 -d 0/0 -j DENY
# default rules
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT

如果/etc/sysconfig/ipchains文件不存在,可以用上述内容创建之。创建之后,启动ipchains服务:
/etc/init.d/ipchains start

*** 用netstat命令发现攻击来源
假如说黑客攻击的是Web 80端口,察看连接80端口的客户端IP和端口,命令如下:
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort
输出:
161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2
...
第一栏是客户机IP和端口,第二栏是连接状态
如果来自同一IP的连接很多(超过50个),而且都是连续端口,就很可能是攻击。
如果只希望察看建立的连接,用命令:
netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

*** 用ipchains阻断攻击来源
用ipchains阻断攻击来源,有两种方法。一种是加入到/etc/sysconfig/ipchains里,然后重启动
ipchains服务。另一种是直接用ipchains命令加。屏蔽之后,可能还需要重新启动被攻击的服务,
是已经建立的攻击连接失效

* 加入/etc/sysconfig/ipchains
假定要阻止的是218.202.8.151到80的连接,编辑/etc/sysconfig/ipchains文件,在utput ACCEPT
行下面加入:
-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT
保存修改,重新启动ipchains:
/etc/init.d/ipchains restart
如果要阻止的是218.202.8的整个网段,加入:
-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

* 直接用命令行
加入/etc/sysconfig/ipchains文件并重起ipchains的方法,比较慢,而且在ipchains重起的瞬间,
可能会有部分连接钻进来。最方便的方法是直接用ipchains命令。
假定要阻止的是218.202.8.151到80的连接,命令:
ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT
如果要阻止的是218.202.8的整个网段,命令:
ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT
其中,-I的意思是插入,input是规则连,1是指加入到第一个。

您可以编辑一个shell脚本,更方便地做这件事,命令:
vi blockit
内容:
#!/bin/sh
if [ ! -z "$1" ] ; then
echo "Blocking: $1"
ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
else
echo "which ip to block?"
fi
保存,然后:
chmod 700 blockit
使用方法:
./blockit 218.202.8.151
./blockit 218.202.8.0/255.255.255.0

上述命令行方法所建立的规则,在重起之后会失效,您可以用ipchains-save命令打印规则:
ipchains-save
输出:
:input ACCEPT
:forward ACCEPT
utput ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y

您需要把其中的"Saving `input'."去掉,然后把其他内容保存到/etc/sysconfig/ipchains文件,
这样,下次重起之后,建立的规则能够重新生效。

3. 如果使用iptables
RH 8.0以上开始启用iptables替代ipchains,两者非常类似,也有差别的地方。
* 启用iptables
如果/etc/sysconfig/下没有iptables文件,可以创建:
# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
COMMIT
以上配置允许了ftp, ssh, http, smtp, pop3, mysql, 2001(Prima的ACA端口),domain端口。

* 启动iptables
/etc/init.d/iptables start

* 设置iptables为自动启动
chkconfig --level 2345 iptables on

* 用iptables屏蔽IP
iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT
注意到,和ipchains的区别是:
-I 后面跟的规则名称的参数和ipchains不同,不是统一的input,而是在/etc/sysconfig/iptables里定义的那个
多了-m tcp
指定端口的参数是--dport 80
多了--syn参数,可以自动检测sync攻击

使用iptables禁止ping:
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 2 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable

允许某ip连接
-I RH-Firewall-1-INPUT 1 -p tcp -m tcp -s 192.168.0.51 --syn -j ACCEPT

注:具体的端口需要根据自己的网络来进行相应的修改。

快速更换一个国内的yum源

1.删除/etc/yum.repos.d目录所有的repo文件

2.下载CentOS-Base-163.repo, 放入/etc/yum.repos.d/
wget http://mirrors.163.com/.help/CentOS-Base-163.repo -O /etc/yum.repos.d/CentOS-Base-163.repo

3. rm -rf /var/cache/yum/*
运行yum makecache生成缓存

4.yum search softwarename 查找软件

5.yum list softwarename 列出已装软件

6.yum install softwarename 安装软件

7.yun remove softwarename 卸载软件

____________________________________

CentOS-Base-163.repo源文件如下:
# CentOS-Base.repo
#
# The mirror system uses the connecting IP address of the client and the
# update status of each mirror to pick mirrors that are updated to and
# geographically close to the client.  You should use this for CentOS updates
# unless you are manually picking other mirrors.
#
# If the mirrorlist= does not work for you, as a fall back you can try the
# remarked out baseurl= line instead.
#
#

[base]
name=CentOS-$releasever - Base - 163.com
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
baseurl=http://mirrors.163.com/centos/$releasever/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#released updates
[updates]
name=CentOS-$releasever - Updates - 163.com
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=updates
baseurl=http://mirrors.163.com/centos/$releasever/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#packages used/produced in the build but not released
[addons]
name=CentOS-$releasever - Addons - 163.com
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=addons
baseurl=http://mirrors.163.com/centos/$releasever/addons/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#additional packages that may be useful
[extras]
name=CentOS-$releasever - Extras - 163.com
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=extras
baseurl=http://mirrors.163.com/centos/$releasever/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#additional packages that extend functionality of existing packages
[centosplus]
name=CentOS-$releasever - Plus - 163.com
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=centosplus
baseurl=http://mirrors.163.com/centos/$releasever/centosplus/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

#contrib - packages by Centos Users
[contrib]
name=CentOS-$releasever - Contrib - 163.com
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=contrib
baseurl=http://mirrors.163.com/centos/$releasever/contrib/$basearch/
gpgcheck=1
enabled=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-5

未命名文档


FastDFS的安装

FastDFS安装2009-07-23 15:36转载: http://blog.chinaunix.net/u/12479/showart_1341477.html

系统:Gentoo-linux
Tracker Server:10.60.0.110 10.60.0.242
Storage Server:10.60.0.112 10.60.0.233 10.60.0.241

根据源代码中的INSTALL,FastDFS的安装非常简单。
1、安装
#wget http://fastdfs.googlecode.com/files/FastDFS_v1.21.tar.gz
#tar zxf FastDFS_v1.11.tar.gz
#cd FastDFS
#./make.sh
#mkdir /usr/local/include
#./make.sh install
要想支持http需要下载libevent-1.4x...
wget http://down1.chinaunix.net/distfiles/libevent-1.4.9-stable.tar.gz
2、配置文件
2.1 Tracker Server
#cat /etc/conf.d/FastDFS_tracker.conf

###start of tracker server config###
disabled=false
bind_addr=
port=22122
network_timeout=20
base_path=/ms/var/FastDFS
max_connections=256

#0: round robin
#1: specify group
#2: load balance
store_lookup=0

#when store_lookup set to 1(specify group), must set store_group to the group name
store_group=group1

#reserved storage space for system or other applications.
#if the free(available) space of any stoarge server in a group <= reserved_storage_space,
#no file can be uploaded to this group.
#bytes unit can be one of follows:
### G or g for gigabyte(GB)
### M or m for megabyte(MB)
### K or k for kilobyte(KB)
### no unit for byte(B)
reserved_storage_space = 4GB

#standard log level as syslog, case insensitive, value list:
### emerg for emergency
### alert
### crit for critical
### error
### warn for warning
### notice
### info
### debug
log_level=info


#unix group name to run this program,
#not set (empty) means run by the group of current user
run_by_group=

#unix username to run this program,
#not set (empty) means run by current user
run_by_user=

# allow_hosts can ocur more than once, host can be hostname or ip address,
# "*" means match all ip addresses, can use range like this: 10.0.1.[1-15,20] or
# host[01-08,20-25].domain.com, for example:
# allow_hosts=10.0.1.[1-15,20]
# allow_hosts=host[01-08,20-25].domain.com
allow_hosts=*
###end of tracker server config###
2.2 Storage Server
相同group的配置文件内容要一样
#cat /etc/conf.d/FastDFS_storage.conf
###start of storage server config###
disabled=false
group_name=group1
bind_addr=
port=23000
network_timeout=20
heart_beat_interval=30
stat_report_interval=600
base_path=/ms/var/FastDFS
sync_wait_msec=200
max_connections=256

tracker_server=10.60.0.110:22122
tracker_server=10.60.0.242:22122

#standard log level as syslog, case insensitive, value list:
### emerg for emergency
### alert
### crit for critical
### error
### warn for warning
### notice
### info
### debug
log_level=info


#unix group name to run this program,
#not set (empty) means run by the group of current user
run_by_group=

#unix username to run this program,
#not set (empty) means run by current user
run_by_user=

# allow_hosts can ocur more than once, host can be hostname or ip address,
# "*" means match all ip addresses, can use range like this: 10.0.1.[1-15,20] or
# host[01-08,20-25].domain.com, for example:
# allow_hosts=10.0.1.[1-15,20]
# allow_hosts=host[01-08,20-25].domain.com
allow_hosts=*
###end of storage server config###

3、启动
首先在Tracker Server和Storage Server上建立目录/ms/var/FastDFS
3.1 Tracker Server 启动
在10.60.0.110和10.60.0.242启动Tracker进程:
#/usr/local/bin/fdfs_trackerd /etc/conf.d/FastDFS_tracker.conf
3.2 Storage Server 启动
在10.60.0.112,10.60.0.233和10.60.0.241上启动storage进程:
#/usr/local/bin/fdfs_storaged /etc/conf.d/FastDFS_storage.conf

4、测试
在一台Storage Server上运行
#/usr/local/bin/fdfs_test /etc/conf.d/FastDFS_storage.conf upload needed_upload_filename

修改linux系统的默认字符集

系统安装时选择了简体中文安装,安装完后运行netconfig、setup等命令,中文显示乱码


只要修改 /etc/sysconfig/i18n ,默认为:


LANG="zh_CN.UTF-8"

SUPPORTER="zh_CN.UTF-8:zh_CN:zh"

SYSFONT="latarcyrheb-sun16"


修改后:


LANG="en_US.UTF-8"

SUPPORTER="en_US.UTF-8:en_US:zh"

SYSFONT="latarcyrheb-sun16"


重启系统就ok,中文乱码变成了英文显示。

linx LVS 集群

前期准备:
  试验环境 Red Hat Enterprise Linux 4 U2

  软件版本 ipvsadm-1.24.tar.gz

  编译安装注意

  
  #rpm -ivh ipvsadm-1.24-6.i386.rpm

  正常使用时提示:

  [root@lvs boot]# ipvsadm

  IP Virtual Server version 1.2.0 (size=65536)

  Prot LocalAddress:Port Scheduler Flags

  -> RemoteAddress:Port Forward Weight ActiveConn InActConn

  一、NAT方式

  Load Balance:192.168.1.1

  Virtual IP: 10.0.0.1

  RealServer1: 192.168.1.2

  RealServer2: 192.168.1.3

  nameserver: 192.168.1.1

  gateway: 192.168.1.1 (使用正确地址,或者使用本机地址,否则会出现刷新ipvsadm rule时很慢)

  1.开启路由机制

  #echo 1 > /proc/sys/net/ipv4/ip_forward

  注意:

  永久修改要修改/etc/sysctl.conf

  2.加载nat模块

  #modprobe iptable_nat

  注意:

  用lsmod检查,另如果不加载此模块,也可以在第一次访问时成功,但是会在再次访问时出现延迟过长,或访问超时现象。

  3.加载rule

  #ipvsadm -A -t 10.0.0.1:80 -s rr

  #ipvsadm -a -t 10.0.0.1:80 -r 192.168.1.2:80 -m

  #ipvsadm -a -t 10.0.0.1:80 -r 192.168.1.3:80 -m

  rr 轮询方式

  -m 设置为NAT方式

  4.保存rule

  #ipvsadm --save > /etc/sysconfig/ipvsadm

  5.邦定vip

  #ifconfig eth0:1 10.0.0.1 netmask 255.255.255.0 borcast 10.0.0.255

  6.RealServer设置

  RealServer1:

  ip: 192.168.1.2

  gateway: 192.168.1.1

  nameserver: 192.168.1.1

  开启HTTP服务,确认自己能够访问。

  RealServer2:

  ip: 192.168.1.3

  gateway: 192.168.1.1

  nameserver: 192.168.1.1

  开启HTTP服务,确认自己能够访问。页面与realserver1不同就可以。

  7.测试

  选择一台主机,ip设置10.0.0.2 ,访问http://10.0.0.1,反复刷新网页,每次出现的网页不同则表示成功。

 二、Direct Routing方式

  Load Balance:192.168.1.1

  Virtual IP: 10.0.0.1

  RealServer1: 192.168.1.2

  RealServer2: 192.168.1.3

  nameserver: 192.168.1.254

  gateway: 192.168.1.254

  1.开启路由机制

  #echo 1 > /proc/sys/net/ipv4/ip_forward

  注意:

  永久修改要修改sysctl.conf

  2.加载rule

  #ipvsadm -A -t 10.0.0.1:80 -s rr

  #ipvsadm -a -t 10.0.0.1:80 -r 192.168.1.2:80 -g

  #ipvsadm -a -t 10.0.0.1:80 -r 192.168.1.3:80 -g

  rr 轮询方式

  -g 设置为DR方式

  3.保存rule

  #ipvsadm ——save > /etc/sysconfig/ipvsadm

  4.邦定vip

  #ifconfig eth0:1 10.0.0.1 netmask 255.255.255.0 borcast 10.0.0.255

  4.RealServer设置

  RealServer1:

  ip: 192.168.1.2

  gateway: 192.168.1.254

  nameserver: 192.168.1.254

  #ifconfig lo:1 10.0.0.1 netmask 255.255.255.255 borcast 10.0.0.1

  #echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore 注释:这四句目的是为了关闭ARP广播响应

  #echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce

  #echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

  #echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

  开启HTTP服务,确认自己能够访问。

  RealServer2:

  ip: 192.168.1.3

  gateway: 192.168.1.254

  nameserver: 192.168.1.254

  #ifconfig lo:1 10.0.0.1 netmask 255.255.255.255 borcast 10.0.0.1

  #echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore

  #echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce

  #echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore

  #echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

  开启HTTP服务,确认自己能够访问。页面与realserver1不同就可以。

  5.测试

  在网关作测试即可,其中一块ip设置10.0.0.2 ,另一块设置192.168.1.254。访问http://10.0.0.1,反复刷新网页,每次出现的网页不同则表示成功。

FastDFS 介绍

FastDFS是一个轻量级的开源分布式文件系统
FastDFS主要解决了大容量的文件存储和高并发访问的问题,文件存取时实现了负载均衡
FastDFS实现了软件方式的RAID,可以使用廉价的IDE硬盘进行存储
支持存储服务器在线扩容
支持相同内容的文件只保存一份,节约磁盘空间
FastDFS只能通过Client API访问,不支持POSIX访问方式
FastDFS特别适合大中型网站使用,用来存储资源文件(如:图片、文档、音频、视频等等)

Tar打包、压缩与解压缩到指定目录的方法

tar在linux上是常用的打包、压缩、加压缩工具,他的参数很多,折里仅仅列举常用的压缩与解压缩参数

参数:

-c :create 建立压缩档案的参数;

-x : 解压缩压缩档案的参数;

-z : 是否需要用gzip压缩;

-v: 压缩的过程中显示档案;

-f: 置顶文档名,在f后面立即接文件名,不能再加参数

举例: 一,将整个/home/www/images 目录下的文件全部打包为 /home/www/images.tar

[root@xoaocom ~]# tar -cvf /home/www/images.tar /home/www/images ← 仅打包,不压缩

[root@xoaocom ~]# tar -zcvf /home/www/images.tar.gz /home/www/images ← 打包后,以gzip压缩

在参数f后面的压缩文件名是自己取的,习惯上用tar来做,如果加z参数,则以tar.gz 或tgz来代表gzip压缩过的tar file文件


举例: 二,将 /home/www/images.tar.gz 解压到/home/www下面

[root@xoaocom ~]# cd /home/www

[root@xoaocom ~]# tar -zxvf /home/images.tar.gz


解压到指定的目录

[root@xoaocom ~]# tar -zxvf /home/images.tar.gz -C /specific dir

linux下调整时区和时间的方法

1) 找到相应的时区文件 /usr/share/zoneinfo/Asia/Shanghai,用这个文件替换当前的/etc/localtime文件。cp   /usr/share/zoneinfo/Asia/Shanghai /etc/localtime2) 修改/etc/sysconfig/clock文件,修改为:ZONE="Asia/Shanghai"
UTC=false
ARC=false
3) 时间设定成2007年6月28日的命令:
#date -s 06/28/2007
将系统时间设定成下午6点40分0秒的命令:
#date -s 16:40:00
4) 同步BIOS时钟,强制把系统时间写入CMOS,命令:#clock -w

如何在linux下恢复被误删除的文件

注:本文转自互联网
【场景】

Tencent:/data # df -h

Filesystem            Size  Used Avail Use% Mounted on

/dev/sda1             9.9G  1.6G  7.9G  17% /

udev                 1011M  120K 1011M   1% /dev

/dev/sda3              20G  240M   19G   2% /usr/local

/dev/sda4              42G  129M   40G   1% /data

Tencent:/data # cd  test

Tencent:/data/test # ls -lrt

total 800

-rw-r--r-- 1 root root 814739 May 20 14:45 rtagent.tar.gz

Tencent:/data/test # rm rtagent.tar.gz  (假设这个是个误操作)

我们现在要做的,就是恢复/data/test/rtagent.tar.gz这个文件。

       【停止写入】大家应该都清楚,在ext2/ext3中,删除文件操作只是将该文件的节点做删除标记,并没有实际删除该文件的内容块;但是如果有新内容写入,就很有可能覆盖掉这些内容块,所以,一旦发生误删除的情况,必须马上停止向磁盘写入,方法可以是umoun掉该磁盘。

       【安装ext3grep】接下来,我们需要在服务器上安装ext3grep这个工具:ext3grep-0.10.1.tar.gz;安装这个工具之前,必须安装好e2fsprogs-devel:e2fsprogs-devel-1.38-25.30.i586.rpm,可以用通用的安装方法进行安装,这里就不介绍了。

       【扫描磁盘】先让ext3grep扫描文件所在磁盘,获取磁盘的inode和对应内容信息(包括标记为删除的inode)(在/usr/local目录下执行,后面会解析为什么):

Tencent:/usr/local # ext3grep /dev/sda4   --ls  --inode 2   (inode=2表示的是最顶层的inode)

Running ext3grep version 0.10.1

Number of groups: 341

Loading group metadata... done

Minimum / maximum journal block: 522 / 33841

Loading journal descriptors... sorting... done

The oldest inode block that is still in the journal, appears to be from 1240191984 = Mon Apr 20 09:46:24 2009

Journal transaction 3642 wraps around, some data blocks might have been lost of this transaction.

Number of descriptors in journal: 29110; min / max sequence numbers: 1423 / 5763

Inode is Allocated

Finding all blocks that might be directories.

D: block containing directory start, d: block containing more directory entries.

Each plus represents a directory start that references the same inode as a directory start that we found previously.

Searching group 1:

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Searching group 2:

Searching group 3:

Searching group 4:

Searching group 5:

Searching group 6:

。。。。。

。。。。。

。。。。。

          .-- File type in dir_entry (r=regular file, d=directory, l=symlink)

          |          .-- D: Deleted ; R: Reallocated

Indx Next |  Inode   | Deletion time                        Mode        File name

==========+==========+----------------data-from-inode------+-----------+=========

   0    1 d       2                                         drwxr-xr-x  .

   1    2 d       2                                         drwxr-xr-x  ..

   2    3 d      11                                         drwx------  lost+found

   3    4 d  719489                                         drwxrwxrwx  corefile

   4    5 d 1684257                                         drwxr-xr-x  test

   5  end r   49057                                         rrw-r--r--  2

   6  end r   49058  D 1242805686 Wed May 20 15:48:06 2009  rrw-------  tmp_agent_9RowP3



最后面的是扫描的结果。



扫描完成之后,会在执行命令当前目录下生成2个文件:sda4.ext3grep.stage1和sda4.ext3grep.stage2。这两个文件应该是包含了该磁盘的所有inode信息,下次再运行ext3grep命令的时候,都会从2个文件里面去寻找结果(所以别删除,否则又得扫描一次。。。时间挺久的,不过如果希望重新扫描,请删除这两个文件)。



       【寻找文件】这个时候,我们就要寻找刚才被误删的rtagent.tar.gz文件了。可以通过如下方式,一步步的找到改文件:从上面的结果中我们可以看到被删除文件所在目录test的inode是1684257,所以执行:ext3grep /dev/sda4   --ls  --inode 1684257


Tencent:/usr/local # ext3grep /dev/sda4   --ls  --inode 1684257
Running ext3grep version 0.10.1
WARNING: EXT3_FEATURE_INCOMPAT_RECOVER is set. This either means that your partition is still mounted, and/or the file system is in an unclean state.
Number of groups: 341
Minimum / maximum journal block: 522 / 33841
Loading journal descriptors...

sorting... done
The oldest inode block that is still in the journal, appears to be from 1240191984 = Mon Apr 20 09:46:24 2009
Journal transaction 3642 wraps around, some data blocks might have been lost of this transaction.
Number of descriptors in journal: 29109; min / max sequence numbers: 1423 / 5767
Inode is Allocated
Loading sda4.ext3grep.stage2... done
The first block of the directory is 3405824.
Inode 1684257 is directory "test".
Directory block 3405824:
          .-- File type in dir_entry (r=regular file, d=directory, l=symlink)
          |          .-- D: Deleted ; R: Reallocated
Indx Next |  Inode   | Deletion time                        Mode        File name
==========+==========+----------------data-from-inode------+-----------+=========
   0    1 d 1684257                                         drwxr-xr-x  .
   1  end d       2                                         drwxr-xr-x  ..
   2  end r 1684258  D 1242802212 Wed May 20 14:50:12 2009  rrw-r--r--  rtagent.tar.gz



看到了看到了,被删除的文件找到了,而且标记的确是为D。



       【恢复文件】执行如下命令可以恢复这个文件:ext3grep /dev/sda4   --restore-file  test/rtagent.tar.gz

       该文件现在已经被恢复到了当前目录下的RESTORED_FILES中,所以执行该命令的时候,一定要保证当前分区有足够的空间,这就是之前为什么要在/usr/local下面执行所有的操作的原因:

        

       当然,我们还可以指定inode进行恢复。



至此,该文件恢复完成。



在实际操作中,以下信息可能对操作者有用:

1、  扫描磁盘时,磁盘可以不umount,而是以只读的方式mount(mount的时候带上-r参数),这样只读的业务可以继续提供服务。

2、  恢复文件的时候,如果指定inode进行恢复,恢复出来的文件将以inode.***作为文件名。

3、  目前还没有找到批量恢复一批文件的方法,不过可以用--restore-all参数进行全恢复。

4、  如果被删除的文件本身就在根分区,考虑到恢复本身会写跟分区,安全起见,还是建议立即停机,并将硬盘拔插到另外一台服务器上进行恢复。

5、  如果文件个数太多,恢复成功的概率比较小,我在恢复5W多个文件的时候,使用--restore-all参数进行全恢复,最终只恢复了600多个。。。

6、  更多参数含义请参考ext3grep –help

在linux下如何查看CPU是否支持64位的方法

在linux下如何查看CPU是否支持64位的方法是:

# grep "flags" /proc/cpuinfo
flags           : fpu tsc msr pae mce cx8 apic mtrr mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx lm constant_tsc pni monitor ds_cpl vmx smx est tm2 cx16 xtpr lahf_lm
flags           : fpu tsc msr pae mce cx8 apic mtrr mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx lm constant_tsc up pni monitor ds_cpl vmx smx est tm2 cx16 xtpr lahf_lm

如果flags中有lm,则表示支持64位,lm的意思是long mode。

Windows Route 路由表命令

                              要显示 IP 路由表的完整内容,请键入:
route print

要显示 IP 路由表中以 10. 开始的路由,请键入:
route print 10.*

要添加默认网关地址为 192.168.12.1 的默认路由,请键入:
route add 0.0.0.0 mask 0.0.0.0 192.168.12.1

要添加目标为 10.41.0.0,子网掩码为 255.255.0.0,下一个跃点地址为 10.27.0.1 的路由,请键入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1

要添加目标为 10.41.0.0,子网掩码为 255.255.0.0,下一个跃点地址为 10.27.0.1 的永久路由,请键入:
route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1

要删除目标为 10.41.0.0,子网掩码为 255.255.0.0 的路由,请键入:
route delete 10.41.0.0 mask 255.255.0.0

要删除 IP 路由表中以 10. 开始的所有路由,请键入:
route delete 10.*

要将目标为 10.41.0.0,子网掩码为 255.255.0.0 的路由的下一个跃点地址由 10.27.0.1 更改为 10.27.0.25,请键入:
route change 10.41.0.0 mask 255.255.0.0 10.27.0.25

为什么登录windows live messenger 失败,因为服务暂时不可用.错误代码:8000401a

退出MSN

您的这个问题需要按照下面的方法解决:

打开注册表搜索:

CLSID:{380689D0-AFAA-47E6-B80E-A33436FE314B},

大概在第二个位置,查找到{380689D0-AFAA-47E6-B80E-A33436FE314B}值,

删除掉。

重新打开MSN,问题解决。

使用Varnish代替Squid做网站缓存加速器的详细解决方案(转)

时间:2007-11-15 20:01:49  来源:blog.s135.com  作者:张宴

CGI的工作原理

CGI(Common Gateway Interface)是外部应用程序与Web服务器交互的一个标准接口。CGI应用程序可以完成客户端与服务器的交互操作,它打破了服务器软件的局限性,允许用户根据需要采用各种语言去实现无法用HTTP、HTML实现的功能,给WWW提供了更为广阔的应用空间。例如,一个能够访问外部数据库的CGI程序可以使客户端用户通过Web服务器进行数据库的查询。同时,CGI也为如何在不同的平台之间进行沟通提供了范例。
CGI工作的主要流程是:1.一个用户请求激活一个CGI应用程序;2.CGI应用程序将交互主页中用户输入的信息提取出来;3.将用户输入的信息传给服务器主机应用程序(如数据库查询);4.将服务器处理结果通过HTML文件返回给用户;5.CGI进程结束。
  CGI程序的工作原理是:客户端的Web浏览器浏览到某个主页后,利用一定的方式提交数据,并通过HTTP协议向Web服务器发出请求,服务器端的HTTP Daemon(守护进程)将描述的主页信息通过标准输入stdin和环境变量(environment variable)传递给主页指定的CGI程序,并启动此应用程序进行处理(包括对数据库的处理),处理结果通过标准输出stdout返回给HTTP Daemon守护进程,再由HTTP Daemon进程通过HTTP协议返回给客户端的浏览器,由浏览器负责解释执行,将最终的结果显示给用户。
  服务器使用环境变量(执行CGI程序时的设置)传输有关的请求信息到CGI程序,这些环境变量包括服务器的名字、CGI和服务器使用协议的版本号、客户端的IP地址和域名地址、客户端的请求方式、请求内容及编码方式、访问信息的合法性以及用户的输入信息等。
  CGI程序一般是可执行程序。编译好的CGI程序一般要集中放在一个目录下。具体存放的位置随操作系统的不同而不同(而且可以由用户自己根据情况进行配置),例如UNIX系统下的WWW服务器中一般放在cgi-bin子目录下,而在Windows操作系统下以Webstar或Website作WWW服务器,CGI程序都放在cgi-win下。不过,CGI程序的执行一般有两种调用方式:一是通过URL直接调用,如:"http://202.205.240.63/cgi-bin/test.cgi",在浏览器的URL栏里直接写入上述地址就可以调用该程序;另一种方式,也是主要的方式,是通过交互式主页中的FORM栏调用,通常都是用户在填完一张输入信息主页后按"确认"按钮启动CGI程序。主页的交互一般都是这样调用CGI来完成的。
  CGI的跨平台性能极佳,几乎可以在任何操作系统上实现,如DOS、Windows、UNIX、OS/2、Macintosh等。实现CGI的编程语言也有很多选择,常用的有Perl、C/C++、VisualBasic等。CGI的应用程序一般都是一个独立的可执行程序,与Web服务器各自占据着不同的进程,而且一般一个CGI程序只能处理一个用户请求。CGI的缺点也是显而易见的:每当有一个用户请求,就会激活一个CGI进程,当用户请求数量非常多时,大量的CGI程序就会大量挤占系统的资源,如内存、CPU时间等,造成CGI运行效率低下。
  正因为如此,Web服务器开发商又开发出了专用的API,它是驻留在Web服务器上的原始代码,可以像CGI那样扩展Web服务器的功能,同时又比CGI占用的资源少。但开发API应用程序比开发CGI应用程序更复杂,需要较多的编程技巧,如多线程、同步运行机制、直接的协议编程和容错处理等。

cfengine的介绍和配置


fengine是一个功能强大的自动化系统管理工具,它可以保证你的系统总是维持你所希望的那个状态。也就是说有黑客进来了修改了某个重要的配置文件的内容或者权限,也会被cfengine自动修复!它是一个很好的配置管理工具,比如现在有这样一个需求,你需要临时修改一下200多台服务器的一个配置参数,或者删掉某个权限,停掉某个服务等等,一般的我们只能不厌其烦的登录到服务器上去完成这个操作,但有了cfengine这个工具后,一个命令就可以搞定了,是不是很牛X?

cfengine大概的功能有:

·检查和配置网络接口
·编辑系统和用户的文本文件
·维护符号链接
·检查和设置文件的权限
·删除垃圾文件
·检查重要文件和文件系统的存在
·控制用户脚本和shell命令的执行
·基于类的判定结构
·进程管理

Cfengine是一个用于设置和维护计算机系统的工具,包含了以下几个组件:

·cfagent 自动配置代理(必须),其配置文件为cfupdate.conf和 cfagent.conf
·cfservd 文件服务和远程激活服务(推荐),其配置文件为cfservd.conf
·cfexecd 计划和报告服务(建议)
·cfenvd 异常检测服务(强烈建议)
·cfrun 远程激活cfagent的方法(需要的时候用这个),其配置文件为cfrun.hosts
·cfshow 检查有帮助的数据库的内容的方法(辅助)
·cfenvgraph  异常检测服务cfenvd的附属工具(辅助)
·cfkey 密匙生成工具(每台主机运行一次)。

cfengine常用的工作方式:(服务器激活方式)
这是一种集中控制的方式,这种工作方式是由服务器运行cfrun连接远程客户端的cfservd,激活远程主机的cfagent程序,例如现在有个配置需要立刻更改,有了cfrun就可以在中央机上对所有的客户发出指令让他们立即运行cfagent。

1)服务器上运行cfrun,cfrun会根据cfrun.hosts中的主机列表来连接到某个客户机的cfservd程序

2)客户机上cfservd调用本机的cfagent程序

3)客户机上cfagent程序执行update.conf,连接到中央机的cfservd复制下载策略文件cfagent.conf

4)客户机下载成功后执行最新版本的策略文件,不成功就执行旧版本的.

注:update.conf的内容一般为一些非常简单的固定操作:下载策略文件,清理日志,重启服务,基本上这个文件创建好了之后就不会更改了.在下载策略文件的时候如果下载成功,会将原策略文件改名,加上.cfsaved后缀