Syshy’s Blog

通常情况下人们在服务器端采用各种冗余磁盘阵列（RAID）技术来保护数据，中高档的服务器一般都提供了昂贵的硬件RAID控制器。对于资金实力有限的中小企业来讲，在Linux下通过软件来实现硬件的RAID
功能，这样既节省了投资，又能达到很好的效果。何乐而不为呢？
作为一个面向服务器的网络型操作系统，Linux对数据的安全和存取速度给予了高度重视，从2.4版内核开始Linux就实现了对软件RAID的支持（关于 RAID的背景知识请见附文），这让我们可以不必购买昂贵的硬件RAID设备，就能享受到增强的磁盘I/O性能和可靠性，进一步降低了系统的总体拥有成本。下面就让我们看一个Redhat Linux AS 4下的软件RAID配置实例吧。
系统配置情况
假设某单位新上了一套使用Oracle数据库的能量采集系统，该系统数据量极大并且读写非常频繁，实时性要求高，高峰时有近40名用户在线，对数据库服务器的磁盘子系统提出了很高的要求。由于预算比较紧张，经过多方比较，最终选择了采用Linux系统做软件RAID5的方案。
其配置情况如下：
● 操作系统为RedHat Linux AS 4；
● 内核版本为2.6.9-5.EL；
● 支持RAID0、RAID1、RAID4、RAID5、RAID6；
● 五块36GB SCSI接口的磁盘，其中RedHat AS 4安装在第一块磁盘，其它四块组成RAID 5用来存放Oracle数据库。
在RedHat AS 4下实现软件RAID是通过mdadm工具实现的，其版本为1.6.0，它是一个单一的程序，创建、管理RAID都非常方便，而且也很稳定。而在早期 Linux下使用的raidtools，由于维护起来很困难，而且其性能有限，在RedHat AS 4下已经不支持了。
实现过程
1．创建分区
五块SCSI磁盘分别对应/dev/sda、/dev/sdb、/dev/sdc、/dev/sdd、/dev/sde。其中第一块磁盘/dev/sda分两个区，用于安装RedHat AS 4和做交换分区，其他四块磁盘每块只分一个主分区，分别为/dev/sdb1、/dev/sdc1、/dev/sdd1、/dev/sde1，并且将分区类型指定为“fd”，这将使Linux内核能将它们识别为RAID分区，且在每次引导时自动被检测并启动。创建分区使用fdisk命令。
# fdisk /dev/sdb
进入fdisk命令行后，使用命令n创建分区，命令t改变分区类型，命令w保存分区表并退出，命令m为帮助。
2．创建RAID 5
这里使用了/dev/sdb1、/dev/sdc1、/dev/sdd1、/dev/sde1四个设备创建RAID 5，其中/dev/sde1作为备份设备，其他为活动设备。备份设备主要起备用作用，一旦某一设备损坏可以立即用备份设备替换，当然也可以不使用备份设备。命令格式如下：
# mdadm -Cv /dev/md0 -l5 -n3 -x1 -c128 /dev/sd[b,c,d,e]1
命令中各参数分别表示如下作用：“-C”指创建一个新的阵列；“/dev/md0”表示阵列设备名称；“-l5”表示设置阵列模式，可以选择0、1、4、 5、6，它们分别对应于RAID0、RAID1、RAID4、RAID5、RAID6，这里设为RAID5模式；“-n3”指设置阵列中活动设备的数目，该数目加上备用设备的数目应等于阵列中的总设备数; “-x1”设置阵列中备份设备的数目，当前阵列中含有1个备份设备；“-c128”指设置块的尺寸为128KB，缺省为64KB；“/dev/sd[b, c,d,e]1”指当前阵列中包含的所有设备标识符，也可以分开来写，中间用空格分开，其中最后一个为备份设备。
3．查看阵列状态
当创建一个新阵列或者阵列重构时，设备需要进行同步操作，这一过程需要一定时间，可以通过查看/proc/mdstat文件，来显示阵列的当前状态以及同步进度、所需时间等。
# more /proc/mdstat
Personalities : [raid5]
md0 : active raid5 sdd1[3] sde1[4] sdc1[1] sdb1[0]
75469842 blocks level 5, 128k chunk, algorithm [...]

通过quota进行磁盘配额，可以控制用户对磁盘空间和文件的控制，我们以一个实例作为说明，对２个用户user01、user02分别进行磁盘使用空间和创建文件的限制。
首先，创建一个新的分区，将/tmp挂载在新的分区。
＃fdisk /dev/hda创建后执行：
＃partprobe
　
重新写分区表
＃mkfs –t ext3 /dev/hda7　格式化分区
＃mount /dev/hda7 /tmp　将/tmp挂载到hda7分区
修改分区表
＃vi /etc/fstab增加usrquota,grpquota
/dev/hda7   /tmp   ext3    defaults, usrquota,grpquota  0 0
创建用户
＃useradd user01
＃useradd user02
＃cd /tmp
＃mount –o remount /tmp
＃quotacheck –cvug /tmp
＃quotaon –vug /tmp    开启quota
Quota会在/tmp目录下自动创建quota.user quota.group
对用户user01进行磁盘空间使用限制
＃edquota –u user01   修改quota配置文件
                     Block limits                     [...]

SSH的一些安全小技巧 —————————————————-
 

一, 前言  

关于ssh 的好处, 相信不用我多说了吧?
简而言之, 之前的 rpc command 与 telnet 都全可用 ssh 代替.
比方如下的这些常见功能:
- 远程登录
ssh user@remote.machine
- 远程执行
ssh user@remote.machine ‘command …’
- 远程复制
scp user@remote.machine:/remote/path /local/path
scp /local/path user@remote.machine:/remote/path
- X forward
ssh -X user@remote.machine<
span lang=”EN-US” style=”FONT-SIZE: 10pt; COLOR: #2e2e2e; FONT-FAMILY: Arial”>
xcommand …
- Tunnel / Portforward
ssh [...]

Linux作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是必不可少的。所以，今天我们就来看看Linux中强大的网络数据采集分析工具——TcpDump。
顾名思义，TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
和Linux终端状态下的其他软件一样，TcpDump也是依靠参数来工作，本文将结合实例来说明。
数据过滤
不带任何参数的TcpDump将搜索系统中所有的网络接口，并显示它截获的所有数据，这些数据对我们不一定全都需要，而且数据太多不利于分析。所以，我们应当先想好需要哪些数据，TcpDump提供以下参数供我们选择数据：
-b 在数据-链路层上选择协议，包括ip、arp、rarp、ipx都是这一层的。
例如：tcpdump -b arp 将只显示网络中的arp即地址转换协议信息。
-i 选择过滤的网络接口，如果是作为路由器至少有两个网络接口，通过这个选项，就可以只过滤指定的接口上通过的数据。例如：
tcpdump -i eth0 只显示通过eth0接口上的所有报头。
src、dst、port、host、net、ether、gateway这几个选项又分别包含src、dst 、port、host、net、ehost等附加选项。他们用来分辨数据包的来源和去向，src host 192.168.0.1指定源主机IP地址是192.168.0.1，dst net 192.168.0.0/24指定目标是网络192.168.0.0。以此类推，host是与其指定主机相关无论它是源还是目的，net是与其指定网络相关的，ether后面跟的不是IP地址而是物理地址，而gateway则用于网关主机。可能有点复杂，看下面例子就知道了：
tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24
过滤的是源主机为192.168.0.1与目的网络为192.168.0.0的报头。
tcpdump ether src 00:50:04:BA:9B and dst……
过滤源主机物理地址为XXX的报头（为什么ether src后面没有host或者net？物理地址当然不可能有网络喽）。
Tcpdump src host 192.168.0.1 and dst port not telnet
过滤源主机192.168.0.1和目的端口不是telnet的报头。
ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。例如：
tcpdump ip src……
只过滤数据-链路层上的IP报头。
tcpdump udp and src host 192.168.0.1
只过滤源主机192.168.0.1的所有udp报头。
数据显示/输入输出
TcpDump提供了足够的参数来让我们选择如何处理得到的数据，如下所示：
-l 可以将数据重定向。
如tcpdump -l ＞tcpcap.txt将得到的数据存入tcpcap.txt文件中。
-n 不进行IP地址到主机名的转换。
如果不使用这一项，当系统中存在某一主机的主机名时，TcpDump会把IP地址转换为主机名显示，就像这样：eth0 ＜ ntc9.1165＞ router.domain.net.telnet，使用-n后变成了：eth0 ＜ [...]

Contents:

Introduction
The Basics
Active FTP
Active FTP Example
Passive FTP
Passive FTP Example
Summary
References
Appendix 1: Configuration of Common FTP Servers

Introduction
One of the most commonly seen questions when dealing with firewalls and other Internet connectivity issues is the difference between active and passive FTP and how best to support either or both of them. Hopefully the following text will help to clear [...]

     UUCP 是 Unix-to-Unix Copy的一个缩写。它作为程序的一个文件包启动，在连续的线上转移文件，确定那些转移的时间，并且在远程地点上开始执行程序。自从70年代末它的第一实现以来，它经历了主要的变化 ,但是它仍然在它提供的服务中是一名勇士。它的主要的应用仍然是基于拨号的电话连接在宽区域网络。 
    UUCP 首先与1977年在贝尔实验室被开发，用于在他们的Unix发展地点之间的通讯。在1978年中 ，这个网络已经连接了80多个地点。它作为一个应用程序运行电子邮件,象远程打印一样。然而,系统的中央使用是散布新软件和错误修正。如今, UUCP 不再被限制到环境。有免费的和商业的为许多平台可得到的端口,包括 AmigaOS ，DOS , Atari的 TOS ,等等。 
    UUCP 网络的主要不利条件之一是他们的低带宽。一方面,电话设备对于最大转移频率有严格的限制。另一方面,  UUCP 连接很少是永久的连接;相反,主机在常规的间隔中相互拨号。因此，大部分时间，它通过一个UUCP网络传递一个邮件信息，它懒散地位于一些主机的磁盘上，等待下一次一个连接被建立。 
    尽管有这些限制，仍然有许多 UUCP 网络在整个世界中操作,主要由业余爱好者运行,它提供私人用户在合理价格上的联网存取。UUCP流行的主要的原因是，它与把你的计算机与大的因特网电缆线联接起来相比是极便宜的。使你的计算机成 UUCP 节,你所需要的就是一个调制解调器，一个工作的UUCP实现，以及愿意给你发送邮件和新闻的另外一个UUCP节点。