【整理:张子萌】
linux下编写shell脚本,手动运行正常,但是放到crontab中,就不能正常运行了,这是环境变量的问题。即使使用同一个账户,手动登陆和crontab自动运行所加载的环境变量也是不同的。
有两种方法可以解决:
1. 比较简单,应该在shell编写时就注意。
在shell脚本的头部添加”. $HOME/.bash_pro
也可以直接写环境变量的绝对位置。如test用户的根目录在/home/test下可以在shell头部添加”. /home/test/.bash_pro
2.比较紧急情况,再确认可以手动执行脚本情况下,可以使用另一种方法。使用root权限调用shell脚本。
如果有/home/test/test.sh需要每分钟运行一次,可以使用root登陆,在root的crontab中添加如下:
# crontab -e
*/1 * * * * /home/test/test.sh
1.快速切换到上次访问目录。
linux中操作经常在两个目录中切换。简单操作方法,在命令行输入“cd -”即可跳转到上次访问目录。
2.转换文本文件编码
iconv -f gbk -t utf8 test.txt > test.txt.utf8
参数:-f 输入编码 -t ENCODING 输出编码 -l 列出支持的编码 -s 不显示有关转换出错的信息
[编写人:张子萌 2010]
Nginx服务器时使用的脚本.
1.在nginx日志出现错误后发送告警邮件,使用该脚本会在nginx的sbin目录下产生last_error_log,错误文件格式
为nginx默认
#!/bin/sh
##############################################
# AUTHOR: simon-zzm
# back log
# Ver : 1.0 For Production
# description:
# 2010-03-12 simon-zzm@163.com
##############################################
######set ip Email base path
IP=172.2.2.2
admin_mail=simon-zzm@163.com
base_path=/usr/local/nginx
###run
cut_error_log=`/bin/cat ${base_path}/sbin/last_error_log`
last_error_log=`/usr/bin/tail -1 ${base_path}/logs/error.log|/bin/cut -c 1-19`
if [ “$cut_error_log” != “$last_error_log” ];then
/usr/bin/tail -5 ${base_path}/logs/error.log>$base_path/sbin/mail1.txt
/bin/mail -s $IP_nginx_error_log $admin_mail<$base_path/sbin/mail1.txt
/bin/rm -rf $base_path/sbin/mail1.txt
echo $last_error_log>${base_path}/sbin/last_error_log
fi
2.nginx日志切割,每个小时切割一个日志,
#!/bin/sh
##############################################
# AUTHOR: simon-zzm
# back log
# Ver : 1.0 For Production
# description:
# 2010-03-12 simon-zzm@163.com
##############################################
###set base path、use every an hour to cut log
log_dir=”/usr/local/nginx/logs”
date_dir=`date +%Y%m%d%H`
###run
/bin/mv ${log_dir}/access.log ${log_dir}/access_${date_dir}.log
/bin/kill -USR1 `cat /usr/local/nginx/logs/nginx.pid`
3.日志备份部分参照通用性日志备份
http://simon-zzm.blog.163.com/blog/static/88809522201021523828112/
[整理 :张子萌 如有转载请保留整理人信息]
测试系统为redhat linux
搭建pptpd VPN服务需要内核支持mppe,内核为2.6以后的内核支持该选项。
查看内核命名# uname -r。注意:如果要远程安装调试,首先将防火墙设置为
不随操作系统启动。
1. 需要安装ppp和pptp服务,本文为使用yum安装。如果希望手动安装请到
http://poptop.sourceforge.net下载pptp源码包。
#yum -y install ppp
#yum -y install pptpd
查看内核是否加载 mppe 模块
# lsmod | grep ppp
如下图:
说明pptp 所又模块加载成功
2. 修改配置文件
安装完成后修改配置文件
2.1 配置pptpd.conf文件
#vi /etc/pptpd.conf
option /etc/ppp/options.pptpd # PPP使用的配置文件位置
stimeout 10 # 控制pptp连接超时,单位为秒
localip 192.168.0.1 # 服务器VPN虚拟接口将分配的IP地址
remoteip 192.168.0.234-238,192.168.0.245 # 客户端VPN连接成功后将分配的IP或IP地址范围。
说明localip和remoteip 不需要必须在同一网段,网络可以连通网段均可。
2.2 配置options.pptpd文件,此处只是对配置文件中部分配置做说明,如无特殊要求可以使用默认配置。
# vi /etc/ppp/options.pptpd
lock
auth # 启用身份验证
name cc3 # 相当于身份验证时的域,这里填上VPN服务器的名字
refuse-pap # 拒绝pap身份验证
refuse-chap # 拒绝chap身份验证
refuse-mschap # 拒绝mschap身份验证
refuse-eap # 拒绝eap身份验证
require-mschap-v2 #使用mschap-v2身份验证,使用windows可以直接建客户端
require-mppe-128 # 要求128位MPPE加密
nomppe-stateful # 无状态,有状态有mppe-stateful
ms-dns 202.106.46.151 # VPN客户端连接成功后将被分配的DNS参数,如只是ip访问可以不用此项
ms-wins 64.32.16.8 # VPN客户端连接成功后将被分配的WINS参数
proxyarp # 启用ARP代理
2.3 创建用户名和密码,可以再文件中直接编写,也可以使用命令创建。推荐使用命令创建。
2.3.1 创建用户
账户为vpntest 密码为123
#vpnuser add vpntest 123
2.3.2 删除用户:
删除 vpntest账户
#vpnuser del vpntest
2.3.3 查看当前用户表
# vpnuser show
2.3.4 直接文件编辑修改账户
#vi /etc/ppp/chap-secrets
格式如下
test pptpd 123 *
注:末尾“*”为分配给vpn客户端ip池的地址,也就是上面设置的remoteip部分。如需要分配指定IP,可以直接打入IP地址。
3. 启动pptpd服务
#service pptpd start
或
# /etc/init.d/pptpd start
pptpd参数有start|stop|restart|restart-kill|status,分别为启动、停止、重启、直接杀进程后重启、查看进程运行状态。
要查看连入vpn服务器的客户端信息,可以使用route命令,Use Iface列为ppp的为连入vpn服务器的客户信息。也可以使用ifconfig查看。
到此linux pptp vpn配置完成,可以使用windows来连接看看是否正常。
4. 安全防范
VPN使用GRE协议用的47端口 也需要开放 1723,如果使用防火墙需要添加如下配置。
#i ptables -A INPUT -p gre -j ACCEPT
如果开启selinux 还需要设置
#setsebool pppd_disable_trans 1
#setsebool pptp_disable_trans 1
如果客户端想用vpn server来上网的话,需要打开vpn server上的ip_forward
# echo “1” > /proc/sys/net/ipv4/ip_forward
永久更改:
# vi /etc/sysctl.conf
net.ipv4.ip_forward = 0 将 0 改为 1
保存后运行# sysctl –p 是参数生效。
设置ip伪装
#iptables -t nat -A POSTROUTING -o eth0 -j SNAT –to-source XXX.XXX.XXX.XXX (vpn 服务器公网ip)
#iptables -t nat -A FORWARD -o eth0 -j ACCEPT
如果还想访问vpn server所在的局域网,还需要在vpn server上添加路由
* 使用route 命令配置路由表 */
//添加到主机路由
# route add –host 192.168.168.110 dev eth0:1
# route add –host 192.168.168.119 gw 192.168.168.1
//添加到网络的路由
# route add –net IP netmask MASK eth0
# route add –net IP netmask MASK gw IP
# route add –net IP/24 eth1
//添加默认网关
# route add default gw IP
//删除路由
# route del –host 192.168.168.110 dev eth0
5. 常见问题处理
a) MGR: Maximum of 10 connections reduced to 3, not enough IP addresses given
说明配置文件中最大连接为10,但是只分配了3个地址。通过/etc/pptpd.conf配置文件修改
b)连接vpn后经常断线
pppd[18052]: Terminating on signal 15
pppd[18052]: Modem hangup
pppd[18052]: Connect time 1.0 minutes.
pppd[18052]: Sent 12143 bytes, received 4968 bytes.
pppd[18052]: MPPE disabled
pppd[18052]: Connection terminated.
pppd[18052]: Exit.
查看日志发现以上信息:
“Connect time 1.0 minutes.”说明用户连接vpn服务器后只连接了1分钟就断开了。
“Sent 12143 bytes, received 4968 bytes.”说明客户在连接后与vpn服务器间的传输量也不大。如
果流量过大,需要注意检查是否存在攻击。
“Terminating on signal 15”此条信息比较主要,说明vpn程序是被系统其它程序发出停止命令后强行
中断连接的。具体信号可以查看http://simon-zzm.blog.163.com/blog/static/8880952220103110240877/
【收集整理:张子萌 2009-11-2】
设置为缓荐服务器
cache_mem 30 M #内存使用大小。一般来说如果系统有内存,设置该值为(n/)3M。现在是3G 所以这里1G
cache_swap_low 90
cache_swap_high 95
max_open_disk_fds 0 #允许最大打开文件数量,0 无限制
minimum_object_size 0 KB #磁盘cache中最小的object的大小(低于这个值则不缓存)
maximum_object_size 20000 KB #磁盘cache中最大的object的大小(超过这个值则不缓存)
maximum_object_size_in_memory 4096 KB #装入内存缓存的文件大小,默认值是8K,超过8K的文件都不装入内存,可以在这里设成4M
cache_swap_low 90 #最小允许使用swap 90%
cache_swap_high 95 #最多允许使用swap 95%
cache_dir ufs /tmp1 10000 16 256 #磁盘缓存的类型和目录,大小,一二级目录的设置,这里磁盘缓存大小是10G
#ufs是一种文件存储方式 因为os一般都是从内存获取数据 那么内存的东西必须最后写的硬盘上
#sync 同步的时候用的ufs 那么squid也是一样
#ufs一般是同时写入内存和硬盘
#注意:size是按照M为单位的也就这个目录中最大存储容量的上限
acl QUERY urlpath_regex -i cgi-bin .php .cgi .avi .wmv .rm .ram .mpg .mpeg .zip .exe #-i为不区分大小写
cache deny QUERY #设置不想缓存的目录或者文件类型
cache_mgr webmaster@test.com #管理员邮箱
###相关日志记录,可以设为none成不记录日志####
cache_store_log /var/log/squid/store.log
cache_log /var/log/squid/cache.log
access_log /var/log/squid/access.log combined
http_port 80 # squid监听的端口,客户访问网站的端口
httpd_accel_host ip_address # WEB服务器的IP地址
httpd_accel_single_host on # 设置转发为缓冲的请求到一台单独的机器
httpd_accel_port 81 # WEB服务器的端口
httpd_accel_uses_host_header off # 完成单台WEB服务器的反向代理功能
httpd_accel_with_proxy off # 停用代理
cache_peer www.XXXXX.com parent 80 0 no-query originserver name=www #定义不同的父节点,将节点设为no-query以及originserver说明这些节点是实际服务器
cache_peer_domain www.XXXXX.com #设定不同域名转发到不同的cache_peer上,如果没有这项.不同域名的域名可能被分发到同一台服务器上.
hierarchy_stoplist cgi-bin ? #用来强制某些特定的对象不被缓存,主要是处于安全的目的。
refresh_pattern . 0 20% 4320 override-expire override-lastmod reload-into-ims ignore-reload #更新cache规则
client_lifetime 120 minute #最大客户连接时间 120分钟
cache_mgr sky@test.com #指定当缓冲出现问题时向缓冲管理者发送告警信息的地址信息
request_entities off #禁止非http的标准请求,防止攻击
acl buggy_server url_regex ^http://…. http:// #只允许http的请求
# 设定可以访问的域名别名
acl HostA dstdomain www.XXXX.com
acl HostB dstdomain bbs.XXXX.com
# 加速器采用http协议在8000端口监听
acl acceleratedProtocol protocol HTTP
acl acceleratedPort port 8000
acl all src 0.0.0.0/0.0.0.0 #允许所有IP访问
acl manager proto http #manager url协议为http
acl localhost src 127.0.0.1/255.255.255.255 #允午本机IP
acl to_localhost dst 127.0.0.1 #允午目的地址为本机IP
acl Safe_ports port 80 # 允许安全更新的端口为80
acl CONNECT method CONNECT #请求方法以CONNECT
http_access allow all #允许所有人使用该代理.因为这里是代理加速web服务器
http_reply_access allow all #允许所有客户端使用该代理
acl OverConnLimit maxconn 16 #限制每个IP最大允许16个连接,防止攻击
http_access deny OverConnLimit
icp_access deny all #禁止从邻居服务器缓冲内发送和接收ICP请求.
miss_access allow all #允许直接更新请求
ident_lookup_access deny all #禁止lookup检查DNS
half_closed_clients off #半关闭状态的TCP连接,设为off,则一旦从客户端返回“no more da
refresh_pattern .htm 0 25% 8 #设置htm文件过期时间为10分钟
一些关于squid调试的命令:
1,初始化squid.conf 里配置的 cache 目录
#squid/sbin/squid -z
如果有错误提示,请检查 cache目录的权限。
2. squid.conf 排错,即验证 squid.conf 的语法和配置。
#squid/sbin/squid -k parse
如果squid.conf 有语法或配置错误,这里会返回提示你,如果没有返回,恭喜,可以尝试启动squid。
3.在前台启动squid,并输出启动过程。
#squid/sbin/squid -N -d1
如果有到 ready to server reques,启动成功。
然后 ctrl + c,停止squid,并以后台运行的方式启动。
4.启动squid在后台运行。
#squid/sbin/squid -s
可以通过ps -ef|grep squid 来查看系统进程。
5.停止 squid
#squid/sbin/squid -k shutdown
6.重引导修改过的 squid.conf
#squid/sbin/squid -k reconfigure
修改squid.conf配置后,先检查配置文件是否正确,然后再执行此指令,即可让squid按新quid.conf 来运行。
7.把squid添加到系统启动项 编辑
/etc/rc.d/rc.local 添加如下行:
/usr/local/squid/sbin/squid -s
8.查看你的日志文档。
#more /usr/local/squid/var/logs/access.log | grep TCP_MEM_HIT
该指令可以看到在squid运行过程中,有那些文件被squid缓存到内存中,并返回给访问用户。
#more /usr/local/squid/var/logs/access.log | grep TCP_HIT
该指令可以看到在squid运行过程中,有那些文件被squid缓存到cache目录中