修改/etc/hosts文件,添加主机地址。
修改/etc/sysconfig/network文件。
修改HOSTNAME=主机名”,如果没有此行可以手动添加。
修改/etc/hosts文件,添加主机地址。
修改/etc/sysconfig/network文件。
修改HOSTNAME=主机名”,如果没有此行可以手动添加。
rsync是linux下快速镜像工具。
下载地址:http://samba.anu.edu.au/rsync/
1. 安装
# tar zxvf rsync-3.0.5.tar.gz
# ./configure –prefix=/usr/local/rsync
# make && make install
2. 添加配置文件
添加/etc/rsyncd.conf文件,文件内容如下:
log file = /var/log/rsyncd.log #日志位置
pid file = /var/run/rsyncd.pid #进程号存放位置
lock file = /var/run/rsync.lock #锁文件存放位置
uid = root #守护进程的用户权限
gid = root
#port=873 #rsync使用的端口,默认873
#hosts allow = 192.168.1.2 #全局允许通过的IP地址
max connections = 5 # 客户端最大连接数目
[back] # 要同步的模块名
path = /back #要同步的目录
comment = source #
ignore errors #忽略IO错误
read on
write on
#list = yes #是否提供资源列表
auth users = back_root #登陆系统使用的用户名,没有默认为匿名。
hosts allow = 192.168.1.3 #本模块允许通过的IP地址
hosts deny = 192.168.1.4 #禁止主机IP
secrets file=/etc/rsync.pass #密码文件存放的位置
3. 配置密码文件
密码文件为配置文件中所写的文件/etc/rsync.pass格式为
账户:密码
4. 修改配置文件和密码文件权限为600
# chmod 600 /etc/rsyncd.conf
# chmod 600 /etc/rsync.pass
5. 启动守护进程
# rsync –daemon
可以通过以下两条命令查看进程是否存在
ps -aux |grep rsync
netstat -an |grep 873
6. 服务端程序启动后,在客户端执行第一步操作。
实例演示
cd /usr/local/rsync/bin
下载文件
./rsync -vzrtopg –progress –delete back_root@x.x.x.x::back /tmp/rsync
上传文件
./rsync -vzrtopg –progress –delete /tmp/rsync back_root@x.x.x.x::back
rsync参数的具体解释如下:
-v, –verbose 详细模式输出
-q, –quiet 精简输出模式
-c, –checksum 打开校验开关,强制对文件传输进行校验
-a, –archive 归档模式,表示以递归方式传输文件,并保持所有文件属性,等于-rlptgoD
-r, –recursive 对子目录以递归模式处理
-R, –relative 使用相对路径信息
-b, –backup 创建备份,也就是对于目的已经存在有同样的文件名时,将老的文件重新命名为~filename。可以使用–suffix选项来指定不同的备份文件前缀。
–backup-dir 将备份文件(如~filename)存放在在目录下。
-suffix=SUFFIX 定义备份文件前缀
-u, –update 仅仅进行更新,也就是跳过所有已经存在于DST,并且文件时间晚于要备份的文件。(不覆盖更新的文件)
-l, –links 保留软链结
-L, –copy-links 想对待常规文件一样处理软链结
–copy-unsafe-links 仅仅拷贝指向SRC路径目录树以外的链结
–safe-links 忽略指向SRC路径目录树以外的链结
-H, –hard-links 保留硬链结
-p, –perms 保持文件权限
-o, –owner 保持文件属主信息
-g, –group 保持文件属组信息
-D, –devices 保持设备文件信息
-t, –times 保持文件时间信息
-S, –sparse 对稀疏文件进行特殊处理以节省DST的空间
-n, –dry-run现实哪些文件将被传输
-W, –whole-file 拷贝文件,不进行增量检测
-x, –on
-B, –block-size=SIZE 检验算法使用的块尺寸,默认是700字节
-e, –rsh=COMMAND 指定使用rsh、ssh方式进行数据同步
–rsync-path=PATH 指定远程服务器上的rsync命令所在路径信息
-C, –cvs-exclude 使用和CVS一样的方法自动忽略文件,用来排除那些不希望传输的文件
–existing 仅仅更新那些已经存在于DST的文件,而不备份那些新创建的文件
–delete 删除那些DST中SRC没有的文件
–delete-excluded 同样删除接收端那些被该选项指定排除的文件
–delete-after 传输结束以后再删除
–ignore-errors 及时出现IO错误也进行删除
–max-delete=NUM 最多删除NUM个文件
–partial 保留那些因故没有完全传输的文件,以是加快随后的再次传输
–force 强制删除目录,即使不为空
–numeric-ids 不将数字的用户和组ID匹配为用户名和组名
–timeout=TIME IP超时时间,单位为秒
-I, –ignore-times 不跳过那些有同样的时间和长度的文件
–size-on
–modify-window=NUM 决定文件是否时间相同时使用的时间戳窗口,默认为0
-T –temp-dir=DIR 在DIR中创建临时文件
–compare-dest=DIR 同样比较DIR中的文件来决定是否需要备份
-P 等同于 –partial
–progress 显示备份过程
-z, –compress 对备份的文件在传输时进行压缩处理
–exclude=PATTERN 指定排除不需要传输的文件模式
–include=PATTERN 指定不排除而需要传输的文件模式
–exclude-from=FILE 排除FILE中指定模式的文件
–include-from=FILE 不排除FILE指定模式匹配的文件
–version 打印版本信息
–address 绑定到特定的地址
–config=FILE 指定其他的配置文件,不使用默认的rsyncd.conf文件
–port=PORT 指定其他的rsync服务端口
–blocking-io 对远程shell使用阻塞IO
-stats 给出某些文件的传输状态
–progress 在传输时现实传输过程
–log-format=formAT 指定日志文件格式
–password-file=FILE 从FILE中得到密码
–bwlimit=KBPS 限制I/O带宽,KBytes per second
-h, –help 显示帮助信息
rsync有六种不同的工作模式:
1)拷贝本地文件。当SRC和DES路径信息都不包含有单个冒号”:”分隔符时就启动这种工作模式。如:rsync -a /da
2)使用一个远程shell程序(如rsh、ssh)来实现将本地机器的内容拷贝到远程机器。当DST路径地址包含单个冒号”:”分隔符时启动该模式。如:rsync -avz *.c foo:src
3)使用一个远程shell程序(如rsh、ssh)来实现将远程机器的内容拷贝到本地机器。当SRC地址路径包含单个冒号”:”分隔符时启动该模式。如:rsync -avz foo:src/bar /da
4)从远程rsync服务器中拷贝文件到本地机。当SRC路径信息包含”::”分隔符时启动该模式。如:rsync -av root@172.16.78.192::www /databack
5)从本地机器拷贝文件到远程rsync服务器中。当DST路径信息包含”::”分隔符时启动该模式。如:rsync -av /databack root@172.16.78.192::www
6)列远程机的文件列表。这类似于rsync传输,不过只要在命令中省略掉本地机信息即可。如:rsync -v rsync://172.16.78.192/www
【整理:张子萌】
linux下编写shell脚本,手动运行正常,但是放到crontab中,就不能正常运行了,这是环境变量的问题。即使使用同一个账户,手动登陆和crontab自动运行所加载的环境变量也是不同的。
有两种方法可以解决:
1. 比较简单,应该在shell编写时就注意。
在shell脚本的头部添加”. $HOME/.bash_pro
也可以直接写环境变量的绝对位置。如test用户的根目录在/home/test下可以在shell头部添加”. /home/test/.bash_pro
2.比较紧急情况,再确认可以手动执行脚本情况下,可以使用另一种方法。使用root权限调用shell脚本。
如果有/home/test/test.sh需要每分钟运行一次,可以使用root登陆,在root的crontab中添加如下:
# crontab -e
*/1 * * * * /home/test/test.sh
1.快速切换到上次访问目录。
linux中操作经常在两个目录中切换。简单操作方法,在命令行输入“cd -”即可跳转到上次访问目录。
2.转换文本文件编码
iconv -f gbk -t utf8 test.txt > test.txt.utf8
参数:-f 输入编码 -t ENCODING 输出编码 -l 列出支持的编码 -s 不显示有关转换出错的信息
[整理 :张子萌 如有转载请保留整理人信息]
测试系统为redhat linux
搭建pptpd VPN服务需要内核支持mppe,内核为2.6以后的内核支持该选项。
查看内核命名# uname -r。注意:如果要远程安装调试,首先将防火墙设置为
不随操作系统启动。
1. 需要安装ppp和pptp服务,本文为使用yum安装。如果希望手动安装请到
http://poptop.sourceforge.net下载pptp源码包。
#yum -y install ppp
#yum -y install pptpd
查看内核是否加载 mppe 模块
# lsmod | grep ppp
如下图:
说明pptp 所又模块加载成功
2. 修改配置文件
安装完成后修改配置文件
2.1 配置pptpd.conf文件
#vi /etc/pptpd.conf
option /etc/ppp/options.pptpd # PPP使用的配置文件位置
stimeout 10 # 控制pptp连接超时,单位为秒
localip 192.168.0.1 # 服务器VPN虚拟接口将分配的IP地址
remoteip 192.168.0.234-238,192.168.0.245 # 客户端VPN连接成功后将分配的IP或IP地址范围。
说明localip和remoteip 不需要必须在同一网段,网络可以连通网段均可。
2.2 配置options.pptpd文件,此处只是对配置文件中部分配置做说明,如无特殊要求可以使用默认配置。
# vi /etc/ppp/options.pptpd
lock
auth # 启用身份验证
name cc3 # 相当于身份验证时的域,这里填上VPN服务器的名字
refuse-pap # 拒绝pap身份验证
refuse-chap # 拒绝chap身份验证
refuse-mschap # 拒绝mschap身份验证
refuse-eap # 拒绝eap身份验证
require-mschap-v2 #使用mschap-v2身份验证,使用windows可以直接建客户端
require-mppe-128 # 要求128位MPPE加密
nomppe-stateful # 无状态,有状态有mppe-stateful
ms-dns 202.106.46.151 # VPN客户端连接成功后将被分配的DNS参数,如只是ip访问可以不用此项
ms-wins 64.32.16.8 # VPN客户端连接成功后将被分配的WINS参数
proxyarp # 启用ARP代理
2.3 创建用户名和密码,可以再文件中直接编写,也可以使用命令创建。推荐使用命令创建。
2.3.1 创建用户
账户为vpntest 密码为123
#vpnuser add vpntest 123
2.3.2 删除用户:
删除 vpntest账户
#vpnuser del vpntest
2.3.3 查看当前用户表
# vpnuser show
2.3.4 直接文件编辑修改账户
#vi /etc/ppp/chap-secrets
格式如下
test pptpd 123 *
注:末尾“*”为分配给vpn客户端ip池的地址,也就是上面设置的remoteip部分。如需要分配指定IP,可以直接打入IP地址。
3. 启动pptpd服务
#service pptpd start
或
# /etc/init.d/pptpd start
pptpd参数有start|stop|restart|restart-kill|status,分别为启动、停止、重启、直接杀进程后重启、查看进程运行状态。
要查看连入vpn服务器的客户端信息,可以使用route命令,Use Iface列为ppp的为连入vpn服务器的客户信息。也可以使用ifconfig查看。
到此linux pptp vpn配置完成,可以使用windows来连接看看是否正常。
4. 安全防范
VPN使用GRE协议用的47端口 也需要开放 1723,如果使用防火墙需要添加如下配置。
#i ptables -A INPUT -p gre -j ACCEPT
如果开启selinux 还需要设置
#setsebool pppd_disable_trans 1
#setsebool pptp_disable_trans 1
如果客户端想用vpn server来上网的话,需要打开vpn server上的ip_forward
# echo “1” > /proc/sys/net/ipv4/ip_forward
永久更改:
# vi /etc/sysctl.conf
net.ipv4.ip_forward = 0 将 0 改为 1
保存后运行# sysctl –p 是参数生效。
设置ip伪装
#iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to-source XXX.XXX.XXX.XXX (vpn 服务器公网ip)
#iptables -t nat -A FORWARD -o eth0 -j ACCEPT
如果还想访问vpn server所在的局域网,还需要在vpn server上添加路由
* 使用route 命令配置路由表 */
//添加到主机路由
# route add –host 192.168.168.110 dev eth0:1
# route add –host 192.168.168.119 gw 192.168.168.1
//添加到网络的路由
# route add –net IP netmask MASK eth0
# route add –net IP netmask MASK gw IP
# route add –net IP/24 eth1
//添加默认网关
# route add default gw IP
//删除路由
# route del –host 192.168.168.110 dev eth0
5. 常见问题处理
a) MGR: Maximum of 10 connections reduced to 3, not enough IP addresses given
说明配置文件中最大连接为10,但是只分配了3个地址。通过/etc/pptpd.conf配置文件修改
b)连接vpn后经常断线
pppd[18052]: Terminating on signal 15
pppd[18052]: Modem hangup
pppd[18052]: Connect time 1.0 minutes.
pppd[18052]: Sent 12143 bytes, received 4968 bytes.
pppd[18052]: MPPE disabled
pppd[18052]: Connection terminated.
pppd[18052]: Exit.
查看日志发现以上信息:
“Connect time 1.0 minutes.”说明用户连接vpn服务器后只连接了1分钟就断开了。
“Sent 12143 bytes, received 4968 bytes.”说明客户在连接后与vpn服务器间的传输量也不大。如
果流量过大,需要注意检查是否存在攻击。
“Terminating on signal 15”此条信息比较主要,说明vpn程序是被系统其它程序发出停止命令后强行
中断连接的。具体信号可以查看http://simon-zzm.blog.163.com/blog/static/8880952220103110240877/