Linux 常用内核参数说明

发表于 2023-02-13 更新于 2023-04-19 上层目录 Linux

sysctl 命令被用于在内核运行时动态地修改内核的运行参数，可用的内核参数在目录 /proc/sys 中。

sysctl 命令对内核参数的修改仅在当前生效，重启系统后参数丢失。如果希望参数永久生效可以修改配置文件 /etc/sysctl.conf。

常用内核参数说明

内核参数	取值范围	含义	使用说明
`kernel.hung_task_timeout_secs = 120`	int	设置系统检测到进程阻塞(如 `D` 状态)后，等待进程结束的时常。如果进程未在规定时间内结束，系统认为该进程无响应，则自动杀死以避免系统奔溃

mem

内核参数	取值范围	含义	使用说明
`vm.min_free_kbytes = 2097152`	单位 `KB`	设置系统最小剩余内存，以避免缓存不释放导致的死机
`vm.oom-kill = 0`	0,1 默认值为 1，开启	是否启用 OOM-killer。特定情况下，可能不希望核心执行 OOM killer 的工作,关闭 OOM killer。例如，排错时 `echo 0 > /proc/sys/vm/oom-kill` 临时关闭 ^[1]
`vm.overcommit_memory = 0`	0,1,2	内存分配策略 `/proc/sys/vm/overcommit_memory`	vm.overcommit_memory 详细说明
`vm.overcommit_ratio = 50`	int default = 50	`vm.overcommit_memory = 2` 时才生效，配置允许 `overcommit` 的百分比	vm.overcommit_memory 详细说明
`vm.panic_on_oom = 0`	0,1 默认为 0 ，开启	表示当内存耗尽时，内核会触发 OOM killer 杀掉最耗内存的进程
`vm.oom_kill_allocating_task = 0`	0,1 默认为 0 ，不启用	OOM-Killer 时，是否选择当前正在申请内存的进程进行 kill

阅读全文 »

Linux 系统崩溃问题分析

发表于 2023-04-19 上层目录 Linux

环境信息

Centos7 5.4.221-1.el7
Docker Engine - Community 20.10.9

本文档中的日志分析主要依赖于 journald 服务记录的日志，因此首先需要对 `journald` 服务记录的日志进行持久化配置

场景分析

k8s worker 节点经常死机(奔溃)

环境信息

Centos7 5.4.221-1.el7
Docker Engine - Community 20.10.9
Kubernetes v1.24.7

k8s 节点经常出现无响应(死机)，重启才能恢复正常。重启恢复后，检查系统 messages 日志。

/var/log/messages

Feb 10 12:21:40 k8s-work1 kernel: INFO: task dockerd:1443 blocked for more than 368 seconds.
Feb 10 12:21:40 k8s-work1 kernel:      Tainted: G            E     5.4.221-1.el7.elrepo.x86_64 #1
Feb 10 12:21:40 k8s-work1 kernel: "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" disables this message.
Feb 10 12:21:40 k8s-work1 kernel: dockerd         D    0  1443      1 0x00004080
Feb 10 12:21:40 k8s-work1 kernel: Call Trace:
Feb 10 12:21:40 k8s-work1 kernel: __schedule+0x2d2/0x730
Feb 10 12:21:40 k8s-work1 kernel: schedule+0x42/0xb0
Feb 10 12:21:40 k8s-work1 kernel: wb_wait_for_completion+0x56/0x90
Feb 10 12:21:40 k8s-work1 kernel: ? finish_wait+0x80/0x80
Feb 10 12:21:40 k8s-work1 kernel: sync_inodes_sb+0xd4/0x2c0
Feb 10 12:21:40 k8s-work1 kernel: ? __filemap_fdatawrite_range+0xf1/0x110
Feb 10 12:21:40 k8s-work1 kernel: sync_filesystem+0x5f/0xa0
Feb 10 12:21:40 k8s-work1 kernel: ovl_sync_fs+0x39/0x60 [overlay]
Feb 10 12:21:40 k8s-work1 kernel: sync_filesystem+0x79/0xa0
Feb 10 12:21:40 k8s-work1 kernel: generic_shutdown_super+0x27/0x110
Feb 10 12:21:40 k8s-work1 kernel: kill_anon_super+0x18/0x30
Feb 10 12:21:40 k8s-work1 kernel: deactivate_locked_super+0x3b/0x80
Feb 10 12:21:40 k8s-work1 kernel: deactivate_super+0x3e/0x50
Feb 10 12:21:40 k8s-work1 kernel: cleanup_mnt+0x109/0x160
Feb 10 12:21:40 k8s-work1 kernel: __cleanup_mnt+0x12/0x20
Feb 10 12:21:40 k8s-work1 kernel: task_work_run+0x8f/0xb0
Feb 10 12:21:40 k8s-work1 kernel: exit_to_usermode_loop+0x10c/0x130
Feb 10 12:21:40 k8s-work1 kernel: do_syscall_64+0x170/0x1b0
Feb 10 12:21:40 k8s-work1 kernel: entry_SYSCALL_64_after_hwframe+0x5c/0xc1
Feb 10 12:21:40 k8s-work1 kernel: RIP: 0033:0x55cf9a53e13b
Feb 10 12:21:40 k8s-work1 kernel: Code: Bad RIP value.
Feb 10 12:21:40 k8s-work1 kernel: RSP: 002b:000000c252fea778 EFLAGS: 00000212 ORIG_RAX: 00000000000000a6
Feb 10 12:21:40 k8s-work1 kernel: RAX: 0000000000000000 RBX: 000000c000070800 RCX: 000055cf9a53e13b
Feb 10 12:21:40 k8s-work1 kernel: RDX: 0000000000000000 RSI: 0000000000000002 RDI: 000000c2d000c3f0
Feb 10 12:21:40 k8s-work1 kernel: RBP: 000000c252fea7d0 R08: 0000000000000000 R09: 0000000000000000
Feb 10 12:21:40 k8s-work1 kernel: R10: 0000000000000000 R11: 0000000000000212 R12: 0000000000000000
Feb 10 12:21:40 k8s-work1 kernel: R13: 0000000000000001 R14: 000000000000000a R15: ffffffffffffffff

从日志中可看出，dockerd 进程处于 `D` 状态，说明 dockerd 在等待 IO 操作，根据进程调用的栈信息，显示存在对 overlay 文件系统的同步操作，初步猜测，可能是因为 overlay 文件系统中的某些操作未能及时完成，导致了 dockerd 进程的阻塞。

继续检查日志，看到系统连接 NFS 服务超时，怀疑可能是因为 NFS 异常导致。

/var/log/messages

Feb 10 12:21:40 k8s-work1 kernel: nfs: server 172.31.88.9 not responding, timed out
Feb 10 12:21:40 k8s-work1 kernel: nfs: server 172.31.88.9 not responding, still trying
Feb 10 12:21:40 k8s-work1 kernel: nfs: server 172.31.88.9 not responding, timed out
Feb 10 12:21:40 k8s-work1 kernel: nfs: server 172.31.88.9 not responding, still trying
Feb 10 12:21:40 k8s-work1 kernel: nfs: server 172.31.88.9 not responding, timed out

linux 网络接口的混杂模式

发表于 2023-04-04 上层目录 Linux ， network

Linux 网卡的混杂模式（Promiscuous mode），简称 Promisc mode，俗称 监听模式。在非混杂模式下，网卡只会接受目的 MAC 地址是它自己的单播帧，以及多播帧；在混杂模式下，网卡会接受经过它的所有帧。

查看网卡是否处于 Promiscuous mode，可以使用 ifconfig 或者 netstat -i 命令

ifconfig ens33
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.142.10  netmask 255.255.255.0  broadcast 192.168.142.255
        inet6 fe80::20c:29ff:fee7:c027  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:e7:c0:27  txqueuelen 1000  (Ethernet)
        RX packets 194243  bytes 257521006 (245.5 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 92488  bytes 6051258 (5.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

当输出包含 PROMISC 时，表明该网络接口处于 Promiscuous mode，否则表明未处于 Promiscuous mode。要开启网卡的 Promiscuous mode ，可以使用以下命令

$ ifconfig ens33 promisc

$ ifconfig ens33
ens33: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        inet 192.168.142.10  netmask 255.255.255.0  broadcast 192.168.142.255
        inet6 fe80::20c:29ff:fee7:c027  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:e7:c0:27  txqueuelen 1000  (Ethernet)
        RX packets 194383  bytes 257531059 (245.6 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 92561  bytes 6058652 (5.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

以下命令使网卡退出 Promiscuous mode

ifconfig ens33 -promisc

将网络设备加入 Linux bridge 后，网络设备会自动进入混杂模式，此种情况使用 ifconfig 或者 netstat -i 命令查看网卡，未显示 PROMISC，但是查看内核日志，显示网卡已进入混杂模式，并且无法退出，直到将 veth 从Linux bridge 中移除。网络设备移除网桥后，会自动退出混杂模式。

$ ip link add veth0 type veth peer name veth1

$ brctl show
bridge name	bridge id		STP enabled	interfaces
br0		8000.000000000000	no		

$ brctl addif br0 veth0

$ ifconfig veth0
veth0: flags=4099<UP,BROADCAST,MULTICAST>  mtu 1500
        inet 192.168.10.1  netmask 255.255.255.0  broadcast 192.168.10.255
        ether b6:b3:aa:ae:61:05  txqueuelen 1000  (Ethernet)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

$ netstat -i
Kernel Interface table
Iface             MTU    RX-OK RX-ERR RX-DRP RX-OVR    TX-OK TX-ERR TX-DRP TX-OVR Flg
br0              1500        0      0      0 0            34      0      0      0 BMU
ens33            1500   195528      0      1 0         93168      0      0      0 BMPRU
veth0            1500        0      0      0 0             0      0      0      0 BMU

$ dmesg | grep promisc
[75099.376421] device veth2d80973 entered promiscuous mode
[77630.104784] device ens33 entered promiscuous mode
[77719.626596] device ens33 left promiscuous mode
[77877.905587] device ens33 entered promiscuous mode
[78153.928533] device veth0 entered promiscuous mode

阅读全文 »

Django admin 配置

发表于 2022-09-03 更新于 2023-04-02 上层目录 Python ， Django

Django 自带的 Admin Site 管理页面可以方便用户快速构建一个简单的后台管理系统，少量代码即可快速实现对数据库中的数据进行展示、修改、保存的可视化页面和功能。当需要对后台展示的数据进行配置时，只需要在 app 的代码文件 admin.py 中进行相应配置即可。

环境信息

centos 7
python 3.10
django 4.0

为 model 配置 admin 管理页面

要为 model 启用 admin 管理接口，参考配置

阅读全文 »

mongodb 配置

发表于 2023-03-31 上层目录 Linux

环境信息

Centos 7
mongodb 4.0.26

下载安装

官方社区版下载页面

wget https://repo.mongodb.org/yum/redhat/7/mongodb-org/4.0/x86_64/RPMS/mongodb-org-shell-4.0.28-1.el7.x86_64.rpm
wget https://repo.mongodb.org/yum/redhat/7/mongodb-org/4.0/x86_64/RPMS/mongodb-org-mongos-4.0.28-1.el7.x86_64.rpm
wget https://repo.mongodb.org/yum/redhat/7/mongodb-org/4.0/x86_64/RPMS/mongodb-org-server-4.0.28-1.el7.x86_64.rpm
wget https://repo.mongodb.org/yum/redhat/7/mongodb-org/4.0/x86_64/RPMS/mongodb-org-tools-4.0.28-1.el7.x86_64.rpm

yum localinstall mongodb-org-mongos-4.0.28-1.el7.x86_64.rpm mongodb-org-tools-4.0.28-1.el7.x86_64.rpm mongodb-org-server-4.0.28-1.el7.x86_64.rpm mongodb-org-shell-4.0.28-1.el7.x86_64.rpm

Django admin 模板分析及使用

发表于 2023-03-24 上层目录 Python ， Django

环境信息

Python 3.11
Django 4.1

admin 模板解析

Django 模板之间存在各种复杂的继承关系，最基础的模板为 base.html，文件位于 python3.11/site-packages/django/contrib/admin/templates/admin/base.html。下面以 Admin 页面中的各个模块来解析实现对应模块的模板及代码。

title

title 指网页标题，以 Admin 站点的首页为例，首页的模板文件 index.html 中未定义 title 信息，而是继承自 base_site.html

base_site.html

{% extends "admin/base.html" %}

{% block title %}{% if subtitle %}{{ subtitle }} | {% endif %}{{ title }} | {{ site_title|default:_('Django site admin') }}{% endblock 
%}

base_site.html 模板继承了模板 base.html，并使用 {% block title %} 标签复写了继承自 base.html 模板的 title 信息。默认显示 Django site admin，如果应用的 admin.py 中定义了 admin.site.site_title，则显示其内容

base.html

{% load i18n static %}<!DOCTYPE html>
{% get_current_language as LANGUAGE_CODE %}{% get_current_language_bidi as LANGUAGE_BIDI %}
<html lang="{{ LANGUAGE_CODE|default:"en-us" }}" dir="{{ LANGUAGE_BIDI|yesno:'rtl,ltr,auto' }}">
<head>
<title>{% block title %}{% endblock %}</title>

基础模板 base.html 中 title 信息默认为空。

Django 管理或站点标题

Admin 管理页面最顶部左上角会展示默认的 Django 管理 或者站点标题，如果应用的 admin.py 中配置了 admin.site.site_header，则显示站点标题，这是一个链接，点击后会跳转首页。

这部分的实现是通过继承 base_site.html 实现，其中的 {% block branding %} 定义了这部分内容。

base_site.html

{% extends "admin/base.html" %}

{% block title %}{% if subtitle %}{{ subtitle }} | {% endif %}{{ title }} | {{ site_title|default:_('Django site admin') }}{% endblock %}

{% block branding %}
<h1 id="site-name"><a href="{% url 'admin:index' %}">{{ site_header|default:_('Django administration') }}</a></h1>
{% endblock %}

{% block nav-global %}{% endblock %}

用户欢迎信息

Django admin 站点默认会显示如下的欢饮信息及修改密码、注销等链接

此处的配置位于 base.html 中的 {% block usertools %} 块内，{% block usertools %} 块位于 {% block header %} 块内。

base.html

{% block header %}
<div id="header">
    <div id="branding">
    {% block branding %}{% endblock %}
    </div>
    {% block usertools %}
 {% if has_permission %}
    <div id="user-tools">
        {% block welcome-msg %}
            {% translate 'Welcome,' %}
            <strong>{% firstof user.get_short_name user.get_username %}</strong>.
        {% endblock %}
        {% block userlinks %}
            {% if site_url %}
                <a href="{{ site_url }}">{% translate 'View site' %}</a> /
            {% endif %}
            {% if user.is_active and user.is_staff %}
                {% url 'django-admindocs-docroot' as docsroot %}
                {% if docsroot %}
                    <a href="{{ docsroot }}">{% translate 'Documentation' %}</a> /
                {% endif %}
            {% endif %}
            {% if user.has_usable_password %}
            <a href="{% url 'admin:password_change' %}">{% translate 'Change password' %}</a> /
            {% endif %}
            <a href="{% url 'admin:logout' %}">{% translate 'Log out' %}</a>
        {% endblock %}
    </div>
 {% endif %} 
    {% endblock %}
    {% block nav-global %}{% endblock %}
</div>
{% endblock %}

自定义页面

自定义和 Django admin 风格一样的页面

如果要自定义自己的页面，并实现和 Django admin 一致的风格，比如一样的 branding 和用户欢迎信息，可以使用如下代码实现

{% extends "admin/base_site.html" %}
{% load i18n static %}

{% block title %}
My Customize Site
{% endblock %}

{% block extrastyle %}

{% endblock %}

{% block branding %}
<h1 id="site-name"><a href="{% url 'admin:index' %}">My Customize Site</a></h1>
{% endblock %}

{% block usertools %}
<div id="user-tools">
            {% block welcome-msg %}
                {% translate 'Welcome,' %}
                <strong>{% firstof user.get_short_name user.get_username %}</strong>.
            {% endblock %}
            {% block userlinks %}
                {% if site_url %}
                    <a href="{{ site_url }}">{% translate 'View site' %}</a> /
                {% endif %}
                {% if user.is_active and user.is_staff %}
                    {% url 'django-admindocs-docroot' as docsroot %}
                    {% if docsroot %}
                        <a href="{{ docsroot }}">{% translate 'Documentation' %}</a> /
                    {% endif %}
                {% endif %}
                {% if user.has_usable_password %}
                <a href="{% url 'admin:password_change' %}">{% translate 'Change password' %}</a> /
                {% endif %}
                <a href="{% url 'admin:logout' %}">{% translate 'Log out' %}</a>
            {% endblock %}
        </div>

{% endblock %}

{% block breadcrumbs %}{% endblock %}
{% block content %}
hello world
{% endblock %}

django-bootstrap5 使用

发表于 2023-03-22 上层目录 Python ， Django

环境信息

Python3.11
Django4

django-bootstrap5 安装配置

pip install django-bootstrap5

在项目配置文件 settings.py 中添加应用名

settings.py


INSTALLED_APPS = [
    ...
    'django_bootstrap5',
]

bootstrap5 使用

MySQL 备份及主从恢复

发表于 2022-07-19 更新于 2023-03-20 上层目录 Mysql

环境信息

Centos 7
Mysql 5.7
Percona-XtraBackup-2.4.4

恢复方法1：mysqldump 主库锁表备份恢复

前提：接受主库锁表操作，备份恢复过程中主库无法写入数据

从库停止slave进程

登录 mysql 从库，执行以下命令，停止 slave 进程

stop slave;

阅读全文 »

Mysql 常用 SQL

发表于 2022-07-21 更新于 2023-03-20 上层目录 Mysql

环境信息

Mysql 5.7

常用 sql

导出数据

导出到文件

SELECT * FROM [TABLE] 
    INTO OUTFILE '[FILE]' 
    FIELDS TERMINATED BY ',' 
    OPTIONALLY ENCLOSED BY '"' 
    LINES TERMINATED BY '\n'；

参数说明：

into outfile ‘导出的目录和文件名’
fields terminated by ‘字段间分隔符’
optionally enclosed by ‘字段包围符’
optionally enclosed by 对数值型字段无效
lines terminated by ‘行间分隔符’

产生报错可参考 Mysql 常见错误

插入数据

批量插入

insert into tb(c1,c2) values(1,2),(3,4),(5,6);

阅读全文 »

git 常见错误

发表于 2020-09-07 更新于 2023-03-09 上层目录 Tools ， git

常见错误

error: RPC failed; HTTP 403 curl 22 The requested URL returned error: 403

错误场景 ： windows 系统中 git push 报错

错误原因 ：大概率为用户密码错误

排查步骤 ：

清除 windows 凭据管理中的 git 密码，或更改为正确的密码
编辑 .git/config 文件，对 url 按照如下格式配置：
.git/config
url = http://USERNAME@git.server.com/test.git
其中 USERNAME 为用户名，重新执行 git push，此时会要求输入用户密码，输入正确的用户密码后，可正常执行

There is no tracking information for the current branch

执行 git pull 命令时报错：

$ git pull
There is no tracking information for the current branch.
Please specify which branch you want to merge with.
See git-pull(1) for details

    git pull <remote> <branch>

If you wish to set tracking information for this branch you can do so with:

    git branch --set-upstream-to=origin/<branch> activity

此错误原因为本地的分支（activity）未和远程分支建立关联，根据提示，执行以下命令建立关联关系

$ git branch --set-upstream-to=origin/activity origin/xhy-activity
warning: refname 'origin/activity' is ambiguous.
fatal: Ambiguous object name: 'origin/activity'.

执行报错： fatal: Ambiguous object name: 'origin/activity'.，此报错原因为本地已存在分支 origin/activity，远程也存在此分支，导致 git 无法分辨。可以执行以下命令重命名本地分支

git branch -m origin/activity activity

重新建立关联关系

$ git branch --set-upstream-to=origin/activity activity
Branch activity set up to track remote branch activity from origin.

关联正常后，执行 git pull 正常。

internetbs API 使用

发表于 2023-03-07 上层目录云平台， internetbs

internetbs 域名注册平台 API 接口稳定

调用 API 接口需要使用 API key 及账号密码。API 接口申请 key 时需要添加 IP 白名单，只允许从添加的白名单 IP 请求 API。

常见操作

获取域名数量

API 默认返回的数据格式为 TEXT，建议指定数据返回格式为 JSON，通过 eval(response.content) 将返回的字节类型数据转换为字典类型。

>>> params = {'ApiKey': 'key', 'Password': 'pswd', 'ResponseFormat': 'JSON'}

>>> response = requests.get('https://api.internet.bs/Domain/Count', params=params, )

>>> response.content
b'{"transactid":"3b3df8bfdfcc215ea7e6575a97adcea3","status":"SUCCESS","app":9,"com":6,"de":1,"in":1,"live":1,"tv":2,"vip":1,"world":1,"totaldomains":22}'

>>> eval(response.content)
{'transactid': '3b3df8bfdfcc215ea7e6575a97adcea3', 'status': 'SUCCESS', 'app': 9, 'com': 6, 'de': 1, 'in': 1, 'live': 1, 'tv': 2, 'vip': 1, 'world': 1, 'totaldomains': 22}

获取所有域名

>>> params = {'ApiKey': 'key', 'Password': 'pswd', 'ResponseFormat': 'JSON'}

>>> response = requests.get('https://api.internet.bs/Domain/List', params=params, )

namesilo api 使用

发表于 2023-03-03 上层目录云平台， Namesilo

Namesilo api 官方文档

Python SDK 为 python-namesilo，安装方法

pip install python-namesilo

环境信息

Python 3.11.2
python-namesilo==1.1.3

python-namesilo 常见用法示例

获取账号中的所有域名

使用 SDK 之前需要先登陆账号创建 API Token，详细使用方法可以查看帮助信息，获取所有域名使用方法 list_domains

>>> from namesilo.core import NameSilo
>>> key = 'KKKKKKKKKKKKKKKKKK'

>>> client = NameSilo(token=key, sandbox=False)

>>> help(client)

>>> client.list_domains()

获取指定域名的详细信息

获取指定域名的详细信息使用 get_domain_info，此方法返回一个 DomainInfo 对象，里面包括域名创建时间，过期时间，nameserver等信息

>>> client.get_domain_info('test.app')
<namesilo.common.models.DomainInfo object at 0x7f71a0530a50>

>>> dir(client.get_domain_info('test.app'))
['auto_renew', 'contacts', 'created', 'expires', 'locked', 'name_servers', 'private', 'status', 'traffic_type']

Windows 小脚本

发表于 2023-02-25 上层目录 Windows

定时同步数据到 Linux rsync 服务器

脚本内容如下，本示例中 Windows 版 rsync 客户端安装位置： d:\cwrsync_6.2.4_x64_free\，密码文件路径：d:\cwrsync_6.2.4_x64_free\rsync.client.pswd


:start
cd d:\
cd cwrsync_6.2.4_x64_free

.\bin\rsync.exe --progress -a -c -r -u -t --timeout=300 -z --password-file rsync.client.pswd --exclude '.idea' --exclude 'rsync2Server.bat' /cygdrive/d/cwrsync_6.2.4_x64_free/data/ rsync@${RSYNC_SERVER}:backup

choice /t 5 /d y /n >nul

goto start

Docker 部署 OpenVPN

发表于 2023-02-17 更新于 2023-02-25 上层目录 Tools ， VPN

环境信息

Centos 7 3.10.0-1160
Docker 20.10.9
iptables

前提条件

宿主机操作系统内核配置允许数据转发，开启系统 IPv4 转发功能

Docker 部署 OpenVPN 服务端步骤

创建本地配置目录

用了在启动容器时挂载以持久化 OpenVPN 配置

mkdir /opt/openvpn1/

初始化配置文件

执行以下命令初始化 OpenVPN 服务端配置

docker run --rm \
          -v /opt/openvpn1/:/etc/openvpn \
          kylemanna/openvpn:2.4 ovpn_genconfig -u udp://${PUB_IP}:1194

参数说明：

udp://${PUB_IP}:1194 - 指定 VPN 服务器配置，使用 1194/udp 端口。${PUB_IP} 为服务器公网 IP。

生成密钥(证书)文件

docker run --rm -it \
          -v /opt/openvpn1/:/etc/openvpn \
          kylemanna/openvpn:2.4 ovpn_initpki

根据提示，输入 CA 根证书密码及名称

创建带有密码的客户端证书

执行以下命令，根据提示输入客户端证书密码及 CA 密码，生成客户端证书。如果客户端证书无需密码，最后加选项 nopass

docker run --rm -it \
          -v /opt/openvpn1/:/etc/openvpn \
          kylemanna/openvpn:2.4 easyrsa build-client-full vpn1

导出客户端证书

docker run --rm -it \
          -v /opt/openvpn1/:/etc/openvpn \
          kylemanna/openvpn:2.4 ovpn_getclient vpn1 > /opt/openvpn/client/vpn1.ovpn

启动 OpenVPN

docker run -it --name OpenVPN1 \
           -v /opt/openvpn1/:/etc/openvpn \
           -d -p 1194:1194/udp --cap-add=NET_ADMIN \
           kylemanna/openvpn:2.4

防火墙放通 1194/udp 端口

/etc/sysconfig/iptables

-A INPUT -p udp --dport 1194 -j ACCEPT -m comment --comment "openvpn"

OpenVPN 启动后，docker 会在宿主机操作系统的 iptables 中添加对应的 MASQUERADE 规则，负责转发和 NAT 数据，具体规则可通过以下方法查看

查看 NAT 表添加的规则

$ iptables -t nat -L -v -n --line-numbers | more
Chain PREROUTING (policy ACCEPT 127 packets, 9255 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       54  2490 DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DOCKER     all  --  *      *       0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT 1 packets, 70 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       75  6875 MASQUERADE  all  --  *      !docker0  172.17.0.0/16        0.0.0.0/0           
2      610 36387 MASQUERADE  all  --  *      *       10.8.0.0/24          0.0.0.0/0           
3        0     0 MASQUERADE  udp  --  *      *       172.17.0.2           172.17.0.2           udp dpt:1194

Chain DOCKER (2 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 RETURN     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0           
2        1    70 DNAT       udp  --  !docker0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194 to:172.17.0.2:1194

查看 FILTER 表添加的规则

$ iptables -L -v -n --line-numbers | more
Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      641 51489 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
3        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194 /* openvpn */
...
13       0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
14       0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 0
15     230 14788 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1    16891 4860K DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
2    16891 4860K DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
3     8465 2439K ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
4        1    70 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0           
5     8425 2421K ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           
6        0     0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0           
7     4177 1774K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
8      202 13030 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 343 packets, 61383 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain DOCKER (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        1    70 ACCEPT     udp  --  !docker0 docker0  0.0.0.0/0            172.17.0.2           udp dpt:1194

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1     8425 2421K DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0           
2    16891 4860K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       all  --  *      docker0  0.0.0.0/0            0.0.0.0/0           
2     8425 2421K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain DOCKER-USER (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1    16891 4860K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

客户端连接

将导出客户端证书中生成的客户端证书发送到客户端，测试连接。

客户端连接失败，可以检查以下内容：

客户端日志及服务端日志，服务端日志可以通过以下方法查看
docker logs -f OpenVPN
检查是否是因为 iptables 防火墙规则问题导致无法连接，如果防火墙相关规则丢失，可以通过重启 docker 和 OpenVPN 容器的方式恢复。
检查容器中启动的端口和 docker 映射的端口是否一致。

tar 命令用法

发表于 2023-02-23 上层目录 Linux

常用选项

选项	说明	示例
`-c`	打包文件
`-x`	解包
`-t`	检测打包文件中的内容	`tar -tf test.tar`
`-f`	目标文件名称，要打包或解包的文件名	`tar -cf test.tar test` `tar -xf test.tar`
`--exclude`	打包时排除文件打包的目录使用相对路径，排除的文件只能接相对路径打包的目录使用绝对路径，排除的文件接相对路径或绝对路径	`tar -cf test.tar test --exclude=runtime/*`

阅读全文 »

firewalld 使用

发表于 2023-02-22 上层目录 Linux

环境信息

Centos7 3.10.0-1160

firewalld 是 iptables 的一个封装，可以让你更容易地管理 iptables 规则，它并不是 iptables 的替代品。虽然 iptables 命令仍可用于 firewalld ，但建议使用 firewalld 时仅使用 firewalld 命令。 ^[1]

firewalld 是 iptables 的前端控制器，用于实现持久的网络流量规则。它提供命令行和图形界面，在大多数 Linux 发行版的仓库中都有。与直接控制 iptables 相比，使用 firewalld 有两个主要区别：

firewalld 使用区域和服务而不是链式规则。
它动态管理规则集，允许更新规则而不破坏现有会话和连接。

firewalld 配置说明

配置文件目录

配置文件位于两个目录中：

/usr/lib/firewalld/ 下保存默认配置，如默认区域和公用服务。避免修改它们，因为每次 firewall 软件包更新时都会覆盖这些文件。
/etc/firewalld 下保存系统配置文件。这些文件将覆盖默认配置。

配置集说明

firewalld 使用两个配置集： 运行时 和 持久

在系统重新启动或重新启动 firewalld 服务时，不会保留 运行时 的配置更改，而对 持久 配置集的更改不会应用于正在运行的系统。

默认情况下，firewall-cmd 命令适用于 运行时 配置，但使用 --permanent 选项将保存配置到 持久 配置中。

要添加和激活持久性规则，你可以使用以下两种方法之一：

将规则同时添加到持久规则集和运行时规则集中

sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=http

将规则添加到持久规则集中并重新加载 firewalld
sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --reload
--reload 选项会删除所有 运行时 配置并应用 持久 配置。因为 firewalld 动态管理规则集，所以它不会破坏现有的连接和会话。
阅读全文 »

OpenVPN 安装及使用

发表于 2023-02-16 上层目录 Tools ， VPN

环境信息

Centos 7 5.4.221
openvpn 2.4.12
easy-rsa-3.0.8
iptables

OpenVPN 服务端安装配置步骤

安装 openvpn 服务端程序

epel 仓库源中包含了 OpenVPN 的安装包

$ yum info openvpn

 * epel: mirror.sfo12.us.leaseweb.net
 * extras: download.cf.centos.org
 * updates: download.cf.centos.org
Available Packages
Name        : openvpn
Arch        : x86_64
Version     : 2.4.12
Release     : 1.el7
Size        : 529 k
Repo        : epel/x86_64
Summary     : A full-featured SSL VPN solution
URL         : https://community.openvpn.net/
License     : GPLv2

$ yum install -y openvpn

安装 easy-rsa

easy-rsa 主要用来生成证书

yum install easy-rsa

阅读全文 »

vsftpd 服务常用配置说明

发表于 2022-07-23 更新于 2023-02-14 上层目录 Linux ，常用服务

环境信息

Centos 7
vsftpd 3.0.2

FTP(File transfer Protocol)是一种在互联网中进行文件传输的协议，基于客户端/服务器模式，默认使用 20、21 号端口，
其中端口 20（数据端口）用于进行数据传输，端口 21（命令端口）用于接受客户端发出的相关 FTP 命令与参数。

FTP 有两种工作模式：

主动模式(PORT) - 服务器主动向客户端发起连接请求.
被动模式(PAVS) - FTP 服务器打开协商好的端口，等待客户端发起连接请求（默认工作模式）.

FTP 协议需要用到两个 TCP 连接：

命令连接 - 用来在 FTP 客户端与服务器之间传递命令。
数据连接 - 用来在服务器和客户端进行文件传输。

无论是主动模式还是被动模式，其要进行文件传输都必须依次建立两个连接，分别为命令连接与数据连接。而主动模式与被动模式的差异主要体现在数据连接通道上。^[1]

服务配置文件

通用配置

vsftpd.conf

# 匿名用户和本地用户是否能登录，匿名用户使用的登陆名为ftp或anonymous，口令为空，匿名用户不能离开匿名 用户家目录/var/ftp,且只能下载不能上传。
# 本地用户的登录名为本地用户名，口令为此本地用户的口令；本地用户可以在自己家目录中进行读写操作；本地用户可以离开自家目录切换至有权限访问的其他目录，并在权限允许的情况下进行上传/下载。
# 默认写在文件/etc/vsftpd.ftpusers中的本地用户禁止登陆。
anonymous_enable=YES 
local_enable=YES 

# 否允许登录用户有写权限。属于全局设置，默认值为YES。
write_enable=YES

# 如果设置为NO，所有的文件都不能下载到本地，文件夹不受影响。默认值为YES。
download_enable=YES/NO

匿名用户（anonymous）设置

vsftpd.conf

# 若是启动这项功能，则使用匿名登入时，不会询问密码。默认值为NO。
no_anon_password=YES/NO

# 定义匿名登入的使用者名称。默认值为ftp。
ftp_username=ftp

# 使用匿名登入时，所登入的目录。默认值为/var/ftp。注意ftp目录不能是777的权限属性，即匿名用户的家目录不能有777的权限。
anon_root=/var/ftp

# 如果设为YES，则允许匿名登入者有上传文件（非目录）的权限，只有在write_enable=YES时，此项才有效。
# 当然，匿名用户必须要有对上层目录的写入权。默认值为NO。
anon_upload_enable=YES/NO

# 如果设为YES，则允许匿名登入者下载可阅读的档案（可以下载到本机阅读，不能直接在FTP服务器中打开阅读）。默认值为YES。
anon_world_readable_only=YES/NO

# 如果设为YES，则允许匿名登入者有新增目录的权限，只有在write_enable=YES时，此项才有效。
# 当然，匿名用户必须要有对上层目录的写入权。默认值为NO。
anon_mkdir_write_enable=YES/NO

# 如果设为YES，则允许匿名登入者更多于上传或者建立目录之外的权限，譬如删除或者重命名。
# 如果anon_upload_enable=NO，则匿名用户 不能上传文件，但可以删除或者重命名已经存在的文件；
# 如果anon_mkdir_write_enable=NO，则匿名用户不能上传或者新建文件夹，但 可以删除或者重命名已经存在的文件夹。）默认值为NO。
anon_other_write_enable=YES/NO

# 设置是否改变匿名用户上传文件（非目录）的属主。默认值为NO。
chown_uploads=YES/NO

# 设置匿名用户上传文件（非目录）的属主名。建议不要设置为root。
chown_username=username

# 设置匿名登入者新增或上传档案时的umask 值。默认值为077，则新建档案的对应权限为700。
anon_umask=077

# 若是启动这项功能，则必须提供一个档案/etc/vsftpd/banner_emails，内容为email address。
# 若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。默认值为NO。
deny_email_enable=YES/NO

# 此文件用来输入email address，只有在deny_email_enable=YES时，才会使用到此档案。
# 若是使用匿名登入，则会要求输入email address，若输入的email address 在此档案内，则不允许进入。
banned_email_file=/etc/vsftpd/banner_emails

阅读全文 »

hexo markdown常用语法

发表于 2019-07-20 更新于 2023-02-13 上层目录 Hexo

url 链接

[这是一个链接](https://csms.tech [title])

这是一个链接

图片链接

![图片名称](https://i.csms.tech/img_10.png [title])

图片名称

阅读全文 »

nfs 服务部署使用

发表于 2020-10-25 更新于 2023-02-10 上层目录 Linux ，常用服务

NFS（Network File System 的缩写），它的主要功能是：通过网络、让不同的机器、不同的 OS 可以共享彼此的文件

NFS 服务器可以允许 NFS 客户端将远端 NFS 服务器的共享目录挂载到自己的系统上，当作本地磁盘一样使用

环境信息

Centos 7

服务安装

服务端安装

安装需要的软件包

yum -y install nfs-utils rpcbind

创建数据目录

mkdir /data/NFSDataHome
chmod 666 /data/NFSDataHome

修改配置文件 /etc/exports:

/etc/exports

/data/NFSDataHome 192.168.1.0/24(rw,sync,insecure,no_subtree_check,no_root_squash) 
/data/NFSDataHome *(ro)

参数	说明
ro	只读访问
rw	读写访问
sync	所有数据在请求时写入共享
async	nfs 在写入数据前可以响应请求
secure	nfs 通过 1024 以下的安全 TCP/IP 端口发送
insecure	nfs 通过 1024 以上的端口发送
wdelay	如果多个用户要写入 nfs 目录，则归组写入（默认）
no_wdelay	如果多个用户要写入 nfs 目录，则立即写入，当使用 async 时，无需此设置
hide	在 nfs 共享目录中不共享其子目录
no_hide	共享 nfs 目录的子目录
subtree_check	如果共享 /usr/bin 之类的子目录时，强制 nfs 检查父目录的权限（默认）
no_subtree_check	不检查父目录权限
all_squash	无论 NFS 客户端以哪种用户身份访问，均映射为 NFS 服务器的 nfsnobody 用户
no_all_squash	保留共享文件的 UID 和 GID（默认）
root_squash	当 NFS 客户端以 root 用户身份访问时，映射为 NFS 服务器的 nfsnobody 用户
no_root_squash	当 NFS 客户端以 root 身份访问时，映射为 NFS 服务器的 root 用户，也就是要为超级用户保留权限。这个选项会留下严重的安全隐患，一般不建议采用。
anonuid=xxx	指定 nfs 服务器 /etc/passwd 文件中匿名用户的 UID
anongid=xxx	指定 nfs 服务器 /etc/passwd 文件中匿名用户的 GID