网页浏览总次数

2011年4月7日星期四

cfengine 3 入门

1 快速开始

上 http://www.cfengine.org/pages/source_code 去抓个最新的源码,

wget http://www.cfengine.org/tarballs/download.php?file=cfengine-3.1.4.tar.gz

解压安装

tar zxvf cfengine-3.1.4.tar.gz
cd cfengine-3.1.4
./configure --prefix=/usr/local/cfengine-3.1.4
make
sudo make install

准备运行目录

以root身份运行如下命令:

mkdir -p /var/cfengine/{bin,masterfiles,inputs,outputs}
cp /usr/local/cfengine-3.1.4/sbin/* /var/cfengine/bin
cp /usr/local/cfengine-3.1.4/share/doc/cfengine/inputs/* /var/cfengine/masterfiles
cp /var/cfengine/masterfiles/* /var/cfengine/inputs
/var/cfengine/bin/cf-key
/var/cfengine/bin/cf-agent


现在cfengine已能正常工作,其工作目录为 /var/cfengine。


2 相关概念

cfengine主要的可执行程序有:

cf-agent 执行策略定义文件,产生预期的配置结果
cf-execd 包装程序,配置到crontab里定时执行cf-agent
cf-key 证书生成文件
cf-promises 测试策略定义文件
cf-runagent 远程触发cf-agent的执行
cf-serverd 配置文件分发服务和接收远程执行cf-agent的请求


典型的IDC配置管理如下分布:

一个策略定义点(CVS或者SVN配置仓库)
多个策略分发点,从策略定义点获取策略定义文件
多个策略实施点,从策略分发点获取策略定义文件,并本地执行实施

策略分发点的策略定义文件通常存在 /var/cfengine/masterfiles 目录,
策略实施点的策略定义文件存在 /var/cfengine/inputs 目录,
/var/cfengine/outputs保存策略实施的结果。

系统自带的策略定义文件:

cfengine_stdlib.cf cfengine标准库
failsafe.cf 当出现错误时执行的动作(一般是更新本地的策略定义文件)
promises.cf 这是cf-agent执行时的起点文件
site.cf 机器特定的一些配置
update.cf 更新本地的策略定义文件

cfengine里的每一个配置策略称为一项承诺(promise),即配置要达到的目标。承诺可包含若干个执行体(body),即为达到配置目的要执行的动作。若干个承诺组在一起形成配置束(bundle),它是承诺的容器,类似于子函数的概念。哪些机器适用于哪些承诺,这是由类(class)决定的,如果不指定承诺适用的类,则对任何机器都适用。

cfengine内定了一些承诺(promise),执行过程是无法更改的,但可以更改这些promise的执行体(body)达到定制目的,比如"control"这个执行体可定制大多数cfengine程序的行为。

不管是budnle还是body,它们的定义语法是类似的:

<它是什么> <它对谁起作用> <它的名字>

<它是什么> 这部分是cfengine的关键字,可选为 bundle 或 body
<它对谁起作用> 这部分是cfengine的关键字,可选为 agent, server, perms, signals等
<它的名字> 这是用户自定义的标记


3 建立分布式的配置管理系统

假设策略分发点的ip地址是 192.168.132.1,策略实施点的ip地址是 192.168.132.60。

策略分发点的配置

/var/cfengine/masterfiles/promises.cf:
...
body runagent control
{
...
trustkey => "true";
force_ipv4 => "true";
}
...
body server control
{
...
allowconnects => { "127.0.0.1" , "::1", "192\.168\.132\..*" };
allowallconnects => { "127.0.0.1" , "::1", "192\.168\.132\..*" };
trustkeysfrom => { "127.0.0.1" , "::1", "192\.168\.132\..*" };
skipverify => { "192\.168\.132\..*" };
}
...


/var/cfengine/masterfiles/site.cf:
...
bundle server access_rules()
{
access:
"/var/cfengine/masterfiles"
admit => { "192\.168\.132\..*" };

"/var/cfengine/bin/cf-agent"
admit => { "192\.168\.132\..*" };
...
}
...


/var/cfengine/masterfiles/update.cf:
...
bundle agent update
{
vars:

"master_location" string => "/var/cfengine/masterfiles";

files:

!192_168_132_1::
"/var/cfengine/inputs"

perms => u_p("600"),
# copy_from => mycopy("$(master_location)","localhost"),
copy_from => myrcopy("$(master_location)","192.168.132.1"),
depth_search => recurse("inf"),
action => uimmediate;

192_168_132_1::
"/var/cfengine/inputs"

perms => u_p("600"),
copy_from => mycopy("$(master_location)","localhost"),
depth_search => recurse("inf"),
action => uimmediate;
}
...
body copy_from myrcopy(from,server)
{
trustkey => "true";
source => "$(from)";
servers => { "$(server)" };
compare => "digest";
encrypt => "true";
verify => "true";
force_ipv4 => "true";

}
...


大部分定制的配置选项是关于远程连接授权的,细节可参考cfengine手册。

配置完成后,运行 /var/cfengine/bin/cf-agent 让配置在本地生效。


策略实施点的配置

把测试分发点的 /var/cfengine/masterfiles/update.cf 覆盖本地的 /var/cfengine/inputs/update.cf即可。运行 /var/cfengine/bin/cf-agent 同步其他配置文件并在本地执行实施。


4 排错

修改完配置后,建议在策略分发点以非root用户先执行,没错后再考虑拷贝到策略分发目录。

当以非root用户执行cf-agent或者cf-promises时,cfengine的工作目录为 $HOME/.cfengine。

如遇到问题可启动相关程序的详细输出选项和调试选项,比如 cf-serverd -d2 -v 。


5 参考资料

http://www.cfengine.org/pages/manual_guides

2011年4月6日星期三

如何看每个进程的IO操作

用 sysstat 包的iostat可以查看磁盘的状态,比如

iostat -xkd

但无法看到每个进程的IO操作状态。

sysstat 8.1.7-1有一个工具pidstat可以看进程磁盘活动,

pidstat -d 1

但CentOS不可用。

iotop,iopp,atop……工具很多,但得费点周折,这里有个简单的办法。

下载 iodump,

wget http://aspersa.googlecode.com/svn/trunk/iodump
dmesg -c
/etc/init.d/klogd stop
echo 1 > /proc/sys/vm/block_dump

# allow 30 seconds of stats to be logged
sleep 30

dmesg -c | perl iodump

echo 0 > /proc/sys/vm/block_dump
/etc/init.d/klogd start

参考 http://www.xaprb.com/blog/2009/08/23/how-to-find-per-process-io-statistics-on-linux/

2011年3月12日星期六

程序员的练车日记 - 第二个两小时

左右并线:看反光镜,确认安全,打转向灯并线。困难在于看到后面有车,但估计不了是否安全。一般右反光镜能看到后面的车头,并线是安全的,但看到后面的车身时,并线就有些危险了。

换档咯噔响:离合要踩到底,先把档位推到空档,再推到目标档位,完全抬离合之前不要给油。

车速控制:到路口的时候不管有没有车或行人都要收油,左转弯的时候不要给油。

车位控制:行走的时候左右位置要控制好,避免压线和撞栏杆,一般是评经验完成。

加快起步速度:笨鸟先飞,估计绿灯要亮时先挂档慢松离合。

编译 CentOS 5 内核

如果只是编译驱动程序,只要安装kernel-devel包就可以。

为了安装rpm源码,需要安装 rpm-build,redhat-rpm-config和unifdef:

[root@host]# rpm install rpm-build redhat-rpm-config unifdef

因不建议以root身份编译内核,以普通用户身份创建目录树 ~/rpmbuild:

[user@host]$ mkdir -p ~/rpmbuild/{BUILD,RPMS,SOURCES,SPECS,SRPMS}
[user@host]$ echo '%_topdir %(echo $HOME)/rpmbuild' > ~/.rpmmacros

从CentOS镜像站点下载 kernel 源码包:

[user@host]$ wget http://mirror.neu.edu.cn/centos/5.5/os/SRPMS/kernel-2.6.18-194.el5.src.rpm
[user@host]$ rpm -i kernel-2.6.18-194.el5.src.rpm 2>&1 | grep -v mockb

版本号 2.6.28-194 需根据实际情况替换。由于 ~/.rpmmacros配置了rpm源码安装环境,kernel源码会被安装到 ~/rpmbuild 目录下。

产生编译用的源码目录树:

[user@host]$ cd ~/rpmbuild/SPECS
[user@host SPECS]$ rpmbuild -bp --target=`uname -m` kernel-2.6.spec 2> prep-err.log | tee prep-out.log

在 ~/rpmbuild/BUILD 目录会发现生成的源码目录树。

安装编译环境:

[root@host]# yum groupinstall "Development Tools"
[root@host]# yum install ncurses-devel

配置内核:
[user@host]$ cd ~/rpmbuild/BUILD/kernel-2.6.18/linux-2.6.18.`uname -m`
[user@host]$ cp configs/kernel-2.6.18-`uname -m`[-type].config .config

[-type] 是可选的配置类型。

编译内核:

首先运行 make oldconfig,然后按照编译内核的步骤进行。为了自定义编译后的内核版本,可编辑Makefile里的 EXTRAVERSION 变量。


参考:
http://wiki.centos.org/HowTos/I_need_the_Kernel_Source
http://wiki.centos.org/HowTos/Custom_Kernel

2011年3月6日星期日

程序员的练车日记 - 第一个两小时

起 步:踩离合,挂1档,给车打火,半抬离合,确认离合已稳,保持离合位置,给油,慢抬离合。注意事项:熄火主要发生在离合抬得太快(给油的时候踩离合的脚不自觉松了)。半抬离合的距离要控制好,感觉车稍微有些抖动的时候就可以稳住离合给油。

找半联洞:踩离合,挂1档,踩刹车,半抬离合找半联洞,找到后确认离合已稳,保持离合位置,抬刹车给油,慢抬离合。熄火主要发生在离合抬得太快(给油的时候踩离合的脚不自觉松了)。

换 档:踩离合,换档,抬离合,给油。注意在踩离合之前不要给油,直到整个换档过程完成才给油。离合要踩到底。

停 车:踩刹车,等车速到可控时,再踩离合,挂空档,轻踩刹车,让车自然停下。注意不可急踩刹车。


他人经验:
左右转弯要抬头看
靠左侧开,视野好
刹车重踩慢放

2011年3月5日星期六

CentOS 5 配置 sendmail 用户转发

如果以用户 A 的身份给用户 B 发送信件,但用户 B 不可达,则 sendmail 会尝试给 A 发退信通知,如果 A 也不可达则会堵住邮件队列。这种情况通常发生在需要发送匿名邮件时,A通常是个伪帐号。

解决办法是把发给A的信件转给一个可达的地址,比如C,在sendmail可通过如下方式实现:

方案一:配置别名(alias),A的别名是C
方案二:通过虚拟帐号(virtusertable)
方案三:通过地址改写

在 O'Reilly Sendmail 4th Edition 这本书有这么一段文字描述

Before undertaking this step, however, see §17.8.59 on page 645 for a description of the FEATURE(virtusertable) which also allows nonlocal addresses to be transformed into inside or outside addresses. Note, too, that the User Database (§23.7.27 on page 942) allows recipient addresses to be changed so that they can be delivered to new hosts, and that the FEATURE(genericstable) in §17.8.19 on page 622 allows sender addresses to be changed to appear to be coming from new hosts. Clearly, there are many ways to achieve the same result, and one of those might be more suitable to your needs than the F=A flag.

方案一和二默认只支持本地域,如果A不属于本地域,则需要做额外的配置。假设本地域是 localdomain,而A的地址是 user-a@example.com,则方案二的实现过程如下:

修改 /etc/mail/sendmail.mc,确认如下行以配置

...
FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl
...
VIRTUSER_DOMAIN(`example.com')
...

修改 /etc/mail/virtusertable,如下
user-a@example.com another-user@another-domain

如果another-user是本地域的用户,则 @another-domain 可以省略。

执行如下命令让配置生效

cd /etc/mail
make
makemap hash /etc/mail/virtusertable.db < /etc/mail/virtusertable
/etc/init.d/sendmail restart

要flush特定特征的队列里的邮件,比如收件人地址含 leo 的邮件,可用

/usr/sbin/sendmail -qf -qRleo -v

参考 http://kb.bobcares.com/?View=entry&EntryID=153

2011年3月2日星期三

CentOS 5 给sendmail加 sasl 认证

CentOS 5的sendmail包已支持sasl认证,可用如下命令确认:

[root@yylab3 ~]# sendmail -d0.1 -bv
Version 8.13.8
Compiled with: DNSMAP HESIOD HES_GETMAILHOST LDAPMAP LOG MAP_REGEX
MATCHGECOS MILTER MIME7TO8 MIME8TO7 NAMED_BIND NETINET NETINET6
NETUNIX NEWDB NIS PIPELINING SASLv2 SCANF SOCKETMAP STARTTLS
TCPWRAPPERS USERDB USE_LDAP_INIT

可看到有 SASLv2的输出。

首先编辑 Sendmail 认证配置文件,如下

[root@yylab3 ~]# cat /usr/lib64/sasl2/Sendmail.conf
pwcheck_method:saslauthd
#pwcheck_method:auxprop

32位CentOS该文件的位置是 /usr/lib/sasl2/Sendmail.conf。

编辑 /etc/mail/sendmail.mc,修改相关行如下

define(`confLOG_LEVEL’, `20′)dnl
dnl #DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA’)dnl
TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN’)dnl
define(`confAUTH_MECHANISMS’, `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN’)dnl

然后 cd /etc/mail && make 可产生 /etc/mail/sendmail.cf文件。
为了方便mc到cf文件的转换,可安装 sendmail-cf 包。

重启 sendmail 服务让修改生效:
/etc/init.d/sendmail restart


接下来配置 saslauthd,修改 /etc/sysconfig/saslauthd 如下

[root@yylab3 ~]# cat /etc/sysconfig/saslauthd
SOCKETDIR=/var/run/saslauthd
MECH=pam
#MECH=shadow
FLAGS=

运行 /etc/init.d/saslauthd restart 使修改生效,可用 testsaslauthd 测试 saslauthd是否生效:

[root@yylab3 ~]# testsaslauthd -s smtp.sendmail -u leo -p leoleo
0: OK "Success."

现在 sendmail 应该支持认证转发邮件了,可以 telnet 服务器的25端口,

[root@yylab3 ~]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 yylab3.example.com ESMTP Sendmail 8.13.8/8.13.8; Thu, 3 Mar 2011 16:29:55 +0800
ehlo localhost
250-yylab3.example.com Hello localhost.localdomain [127.0.0.1], pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE
250-DSN
250-ETRN
250-AUTH LOGIN PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
auth login
334 VXNlcm5hbWU6
bGVv
334 UGFzc3dvcmQ6
bGVvbGVv
235 2.0.0 OK Authenticated


参考 http://www.ispexperts.com.np/?page_id=449

2011年1月9日星期日

使用sh2log记录用户shell操作

sh2log是一个shell包装器,可记录用户操作的输入输出,并以udp加密数据包的形式发送给审计机器。审计机器启动一个udp接收进程sh2logd,把这些信息存入文件。为查看这些信息,可使用parser程序。parser程序可以重放操作过程,或者仅仅列出用户输入。

sh2logd默认以文件大小切换记录文件,在某些情况下不便于检索。parser程序支持的选项有时候会感觉不够用。

maven 使用摘要

1 安装maven

导出环境变量,

export JAVA_HOME=/path/to/java/home
export M2_HOME=/path/to/maven/home
export M2=$M2_HOME/bin
export MAVEN_OPTS="-Xms256m -Xmx512m"
export PATH=$M2:$PATH

测试mvn是否正常,

mvn --version

可选配置:
$M2_HOME/conf/settings.xml
$HOME/.m2/settings.xml

配置细节参考 http://maven.apache.org/settings.html


2 编译一个mvn工程

mvn clean install


3 项目中使用mvn

生成新项目,

mvn archetype:generate \
-DgroupId=com.mycompany.app \
-DartifactId=my-app \
-DarchetypeArtifactId=maven-archetype-quickstart \
-DinteractiveMode=false

archetype:generate mvn程序的执行目标,本例目标是插件archetype的generate任务;
groupId 程序包(java package)的全称
artifactId 程序包的标识
archetypeArtifactId 程序包的模板名称

编译项目,生成jar包,

mvn package

maven工具的几个阶段:
validate 验证工程是否正确
compile 编译工程源码
test 测试源码
package 打包成发布的形式
integration-test 发布包到集成测试环境
verify 验证包是否有效并符合质量规范
install 安装包到本地仓库
deploy 发布包到远程环境
clean 清场
site 为工程产生文档

细节参考 http://maven.apache.org/guides/getting-started/maven-in-five-minutes.html


4 技巧

生成eclipse环境
mvn eclipse:eclipse

生成web-app项目

mvn archetype:create \
-DarchetypeGroupId=org.apache.maven.archetypes \
-DarchetypeArtifactId=maven-archetype-webapp \
-DgroupId=com.mycompany.app \
-DartifactId=my-webapp

打包时跳过测试

mvn package -Dmaven.test.skip=true

更多细节参考 http://maven.apache.org/guides/getting-started/index.html


5 更多参考

pom参考 http://maven.apache.org/pom.html
设置参考 http://maven.apache.org/settings.html
插件参考 http://maven.apache.org/plugins/index.html

2011年1月6日星期四

CentOS 5 安装VNC和Web VNC客户端

1 安装图形桌面系统和VNC

yum groupinstall "GNOME Desktop Environment" # 桌面环境
yum install vnc-server # VNC Server
yum install vnc # VNC Client


2 添加vnc用户

useradd eric
useradd leo
...

分别以这些用户登录,运行 vncpasswd,创建vnc口令。


3 编辑vnc服务的配置

编辑 /etc/sysconfig/vncservers,在文件尾部加入如下行

VNCSERVERS="1:eric 2:leo"
VNCSERVERARGS[1]="-geometry 800x600"
VNCSERVERARGS[2]="-geometry 800x600"

其中1、2指X Windows显示编号。

启动 vnc 服务,

service vncserver start

如果想定制用户登录的X环境,可修改 $HOME/.vnc/xstartup


4 测试VNC连通性

# login as eric
vncviewer 192.168.1.1:1

# login as leo
vncviewer 192.168.1.1:2

注意,直接指定ip地址和显示编号即可,实际端口是 TCP/(5900 + 显示编号)
另外也可通过 http 端口直接访问,端口号是 TCP/(5800 + 显示编号)


5 安装配置 guacamole

guacamole的优势是速度快,纯Javascript/Html5的客户端访问。

解压下载包,

把 guacamole.xml 拷贝到 $tomcat_prefix/conf/Catalina/localhost/,
把 guacamole-users.xml 拷贝到 $tomcat_prefix/conf/,
把 guacamole.war 拷贝到 $tomcat_prefix/webapps/,

修改 guacamole.xml 里VNC Server相关的配置,注意端口需指定VNC实际端口号。
修改 guacamole-users.xml 里http用户认证信息。

启动 tomcat 即可。


参考

http://wiki.centos.org/HowTos/VNC-Server
http://sourceforge.net/projects/guacamole/