MongoDB 已经成为市面上最知名的 NoSQL 数据库。MongoDB 是面向文档的，它的无模式设计使得它在各种各样的WEB 应用当中广受欢迎。最让我喜欢的特性之一是它的副本集（Replica Set），副本集将同一数据的多份拷贝放在一组 mongod 节点上，从而实现数据的冗余以及高可用性。

这篇教程将向你介绍如何配置一个 MongoDB 副本集。

副本集的最常见配置需要一个主节点以及多个副节点。这之后启动的复制行为会从这个主节点到其他副节点。副本集不止可以针对意外的硬件故障和停机事件对数据库提供保护，同时也因为提供了更多的节点从而提高了数据库客户端数据读取的吞吐量。

配置环境

这个教程里，我们会配置一个包括一个主节点以及两个副节点的副本集。

为了达到这个目的，我们使用了3个运行在 VirtualBox 上的虚拟机。我会在这些虚拟机上安装 Ubuntu 14.04，并且安装 MongoDB 官方包。

我会在一个虚拟机实例上配置好所需的环境，然后将它克隆到其他的虚拟机实例上。因此，选择一个名为 master 的虚拟机，执行以下安装过程。

首先，我们需要给 apt 增加一个 MongoDB 密钥：

$ sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 7F0CEB10

然后，将官方的 MongoDB 仓库添加到 source.list 中：

$ sudo su
# echo "deb http://repo.mongodb.org/apt/ubuntu "$(lsb_release -sc)"/mongodb-org/3.0 multiverse" | sudo tee /etc/apt/sources.list.d/mongodb-org-3.0.list

接下来更新 apt 仓库并且安装 MongoDB。

$ sudo apt-get update
$ sudo apt-get install -y mongodb-org

现在对 /etc/mongodb.conf 做一些更改

auth = true
dbpath=/var/lib/mongodb
logpath=/var/log/mongodb/mongod.log
logappend=true
keyFile=/var/lib/mongodb/keyFile
replSet=myReplica

第一行的作用是表明我们的数据库需要验证才可以使用。keyfile 配置用于 MongoDB 节点间复制行为的密钥文件。replSet 为副本集设置一个名称。

接下来我们创建一个用于所有实例的密钥文件。

$ echo -n "MyRandomStringForReplicaSet" | md5sum > keyFile

这将会创建一个含有 MD5 字符串的密钥文件，但是由于其中包含了一些噪音，我们需要对他们清理后才能正式在 MongoDB 中使用。

$ echo -n "MyReplicaSetKey" | md5sum|grep -o "[0-9a-z]\+" > keyFile

grep 命令的作用的是把将空格等我们不想要的内容过滤掉之后的 MD5 字符串打印出来。

现在我们对密钥文件进行一些操作，让它真正可用。

$ sudo cp keyFile /var/lib/mongodb
$ sudo chown mongodb:nogroup keyFile
$ sudo chmod 400 keyFile

接下来，关闭此虚拟机。将其 Ubuntu 系统克隆到其他虚拟机上。

这是克隆后的副节点1和副节点2。确认你已经将它们的MAC地址重新初始化，并且克隆整个硬盘。

请注意，三个虚拟机示例需要在同一个网络中以便相互通讯。因此，我们需要它们弄到“互联网"上去。

这里推荐给每个虚拟机设置一个静态 IP 地址，而不是使用 DHCP。这样它们就不至于在 DHCP 分配IP地址给他们的时候失去连接。

像下面这样编辑每个虚拟机的 /etc/networks/interfaces 文件。

在主节点上:

auto eth1
    iface eth1 inet static
    address 192.168.50.2
    netmask 255.255.255.0

在副节点1上:

auto eth1
    iface eth1 inet static
    address 192.168.50.3
    netmask 255.255.255.0

在副节点2上:

auto eth1
    iface eth1 inet static
    address 192.168.50.4
    netmask 255.255.255.0

由于我们没有 DNS 服务，所以需要设置设置一下 /etc/hosts 这个文件，手工将主机名称放到此文件中。

在主节点上:

127.0.0.1 localhost primary
192.168.50.2 primary
192.168.50.3 secondary1
192.168.50.4 secondary2

在副节点1上:

127.0.0.1 localhost secondary1
192.168.50.2 primary
192.168.50.3 secondary1
192.168.50.4 secondary2

在副节点2上:

127.0.0.1 localhost secondary2
192.168.50.2 primary
192.168.50.3 secondary1
192.168.50.4 secondary2

使用 ping 命令检查各个节点之间的连接。

$ ping primary
$ ping secondary1
$ ping secondary2

配置副本集

验证各个节点可以正常连通后，我们就可以新建一个管理员用户，用于之后的副本集操作。

在主节点上，打开 /etc/mongodb.conf 文件，将 auth 和 replSet 两项注释掉。

dbpath=/var/lib/mongodb
logpath=/var/log/mongodb/mongod.log
logappend=true
#auth = true
keyFile=/var/lib/mongodb/keyFile
#replSet=myReplica

在一个新安装的 MongoDB 上配置任何用户或副本集之前，你需要注释掉 auth 行。默认情况下，MongoDB 并没有创建任何用户。而如果在你创建用户前启用了 auth，你就不能够做任何事情。你可以在创建一个用户后再次启用 auth。

修改 /etc/mongodb.conf 之后，重启 mongod 进程。

$ sudo service mongod restart

现在连接到 MongoDB master：

$ mongo <master-ip-address>:27017

连接 MongoDB 后，新建管理员用户。

> use admin
> db.createUser({
user:"admin",
pwd:"
})

重启 MongoDB：

$ sudo service mongod restart

再次连接到 MongoDB，用以下命令将 副节点1 和副节点2节点添加到我们的副本集中。

> use admin
> db.auth("admin","myreallyhardpassword")
> rs.initiate()
> rs.add ("secondary1:27017")
> rs.add("secondary2:27017")

现在副本集到手了，可以开始我们的项目了。参照 官方驱动文档 来了解如何连接到副本集。如果你想要用 Shell 来请求数据，那么你需要连接到主节点上来插入或者请求数据，副节点不行。如果你执意要尝试用副本集操作，那么以下错误信息就蹦出来招呼你了。

myReplica:SECONDARY>
myReplica:SECONDARY> show databases
2015-05-10T03:09:24.131+0000 E QUERY    Error: listDatabases failed:{ "note" : "from execCommand", "ok" : 0, "errmsg" : "not master" }
    at Error ()
    at Mongo.getDBs (src/mongo/shell/mongo.js:47:15)
    at shellHelper.show (src/mongo/shell/utils.js:630:33)
at shellHelper (src/mongo/shell/utils.js:524:36)
    at (shellhelp2):1:1 at src/mongo/shell/mongo.js:47

如果你要从 shell 连接到整个副本集，你可以安装如下命令。在副本集中的失败切换是自动的。

$ mongo primary,secondary1,secondary2:27017/?replicaSet=myReplica

如果你使用其它驱动语言（例如，JavaScript、Ruby 等等），格式也许不同。

希望这篇教程能对你有所帮助。你可以使用Vagrant来自动完成你的本地环境配置，并且加速你的代码。

via: http://xmodulo.com/setup-replica-set-mongodb.html

作者：Christopher Valerio 译者：mr-ping 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Vim是Linux上一个轻量级的通用文本编辑器。虽然它开始时的学习曲线对于一般的Linux用户来说可能很困难，但比起它的好处，这些付出完全是值得的。vim 可以通过完全可定制的插件来增加越来越多的功能。但是，由于它的功能配置比较难，你需要花一些时间去了解它的插件系统，然后才能够有效地去个性化定置Vim。幸运的是，我们已经有一些工具能够使我们在使用Vim插件时更加轻松。而我日常所使用的就是Vundle。

什么是Vundle

Vundle意即Vim Bundle，是一个vim插件管理器。Vundle能让你很简单地实现插件的安装、升级、搜索或者清除。它还能管理你的运行环境并且在标签方面提供帮助。在本教程中我们将展示如何安装和使用Vundle。

安装Vundle

首先，如果你的Linux系统上没有Git的话，先安装Git。

接着，创建一个目录，Vim的插件将会被下载并且安装在这个目录上。默认情况下，这个目录为~/.vim/bundle。

$ mkdir -p ~/.vim/bundle 

现在，使用如下指令安装Vundle。注意Vundle本身也是一个vim插件。因此我们同样把vundle安装到之前创建的目录~/.vim/bundle下。

$ git clone https://github.com/gmarik/Vundle.vim.git ~/.vim/bundle/Vundle.vim 

配置Vundle

现在配置你的.vimrc文件如下：

set nocompatible              " 必需。 
filetype off                  " 必须。

" 在这里设置你的运行时环境的路径。
set rtp+=~/.vim/bundle/Vundle.vim

" 初始化vundle
call vundle#begin()

" 这一行应该永远放在开头。
Plugin 'gmarik/Vundle.vim'

" 这个示范来自https://github.com/gmarik/Vundle.vim README
Plugin 'tpope/vim-fugitive'

" 取自http://vim-scripts.org/vim/scripts.html的插件
Plugin 'L9'

"　该Git插件没有放在GitHub上。
Plugin 'git://git.wincent.com/command-t.git'

"本地计算机上的Git仓库路径　（例如，当你在开发你自己的插件时）
Plugin 'file:///home/gmarik/path/to/plugin'

" vim脚本sparkup存放在这个名叫vim的仓库下的一个子目录中。
" 将这个路径正确地设置为runtimepath。
Plugin 'rstacruz/sparkup', {'rtp': 'vim/'}

"　避免与L9发生名字上的冲突
Plugin 'user/L9', {'name': 'newL9'}

"所有的插件都应该在这一行之前。
call vundle#end()            " 必需。

容我简单解释一下上面的设置：默认情况下，Vundle将从github.com或者vim-scripts.org下载和安装vim插件。你也可以改变这个默认行为。

要从github安装插件:

Plugin 'user/plugin'

要从 http://vim-scripts.org/vim/scripts.html 处安装:

Plugin 'plugin_name'

要从另外一个git仓库中安装:

Plugin 'git://git.another_repo.com/plugin'

从本地文件中安装：

Plugin 'file:///home/user/path/to/plugin'

你同样可以定制其它东西，例如你的插件的运行时路径，当你自己在编写一个插件时，或者你只是想从其它目录——而不是~/.vim——中加载插件时，这样做就非常有用。

Plugin 'rstacruz/sparkup', {'rtp': 'another_vim_path/'}

如果你有同名的插件，你可以重命名你的插件，这样它们就不会发生冲突了。

Plugin 'user/plugin', {'name': 'newPlugin'}

使用Vum命令

一旦你用vundle设置好你的插件，你就可以通过几个vundle命令来安装、升级、搜索插件，或者清除没有用的插件。

安装一个新的插件

PluginInstall命令将会安装所有列在你的.vimrc文件中的插件。你也可以通过传递一个插件名给它，来安装某个的特定插件。

:PluginInstall
:PluginInstall <插件名>

清除没有用的插件

如果你有任何没有用到的插件，你可以通过PluginClean命令来删除它。

:PluginClean

查找一个插件

如果你想从提供的插件清单中安装一个插件，搜索功能会很有用。

:PluginSearch <文本>

在搜索的时候，你可以在交互式分割窗口中安装、清除、重新搜索或者重新加载插件清单。安装后的插件不会自动加载生效，要使其加载生效，可以将它们添加进你的.vimrc文件中。

总结

Vim是一个妙不可言的工具。它不单单是一个能够使你的工作更加顺畅高效的默认文本编辑器，同时它还能够摇身一变，成为现存的几乎任何一门编程语言的IDE。

注意，有一些网站能帮你找到适合的vim插件。猛击 http://www.vim-scripts.org, Github或者 http://www.vimawesome.com 获取新的脚本或插件。同时记得使用为你的插件提供的帮助。

和你最爱的编辑器一起嗨起来吧!

via: http://xmodulo.com/manage-vim-plugins.html

作者：Christopher Valerio 译者：XLCYun(袖里藏云) 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

作为罪犯，你需要为自己的身份保密；而作为中情局成员，你同样也需要为自己的身份保密。但是，你却不是他们其中的任何一员，你只是不想其他人查探到你的金融数据、家庭照片、尚未出版的手稿，或者记录着你能发家致富的最初想法的私密笔记。

我时常听到有人告诉我“我只是个微不足道的人，没人会查探我”或者“我没有什么东西要隐藏的。”好吧，告诉你我的想法，即便我没有什么要隐藏的，或者我也可以公开我带着狗的孩子的照片，那我也有权利不这么去做，也有权利来保护我的隐私。

加密类型

我们主要有两种加密文件和目录的方法。一种是文件系统级别的加密，在这种加密中，你可以选择性地加密某些文件或者目录（如，/home/alice）。对我而言，这是个十分不错的方法，你不需要为了启用或者测试加密而把所有一切重新安装一遍。然而，文件系统级别的加密也有一些缺点。例如，许多现代应用程序会缓存（部分）文件你硬盘中未加密的部分中，比如交换分区、/tmp和/var文件夹，而这会导致隐私泄漏。

另外一种方式，就是所谓的全盘加密，这意味着整个磁盘都会被加密（可能除了主引导记录外）。全盘加密工作在物理磁盘级别，写入到磁盘的每个比特都会被加密，而从磁盘中读取的任何东西都会在运行中解密。这会阻止任何潜在的对未加密数据的未经授权的访问，并且确保整个文件系统中的所有东西都被加密，包括交换分区或任何临时缓存数据。

可用的加密工具

在Linux中要实施加密，有几个可供选择的工具。在本教程中，我打算介绍其中一个：eCryptFS，一个用户空间文件系统加密工具。下面提供了一个Linux上可用的加密工具摘要供您参考。

文件系统级别加密

• EncFS：尝试加密的最简单方式之一。EncFS工作在基于FUSE的伪文件系统上，所以你只需要创建一个加密文件夹并将它挂载到某个文件夹就可以工作了。
• eCryptFS：一个POSIX兼容的加密文件系统，eCryptFS工作方式和EncFS相同，所以你必须挂载它。

磁盘级别加密

• Loop-AES：最古老的磁盘加密方法。它真的很快，并且适用于旧系统（如，2.0内核分支）。
• DMCrypt：最常见的磁盘加密方案，支持现代Linux内核。
• CipherShed：已停止的TrueCrypt磁盘加密程序的一个开源分支。

eCryptFS基础

eCrypFS是一个基于FUSE的用户空间加密文件系统，在Linux内核2.6.19及更高版本中可用（作为encryptfs模块）。eCryptFS加密的伪文件系统是挂载到当前文件系统顶部的。它可以很好地工作在EXT文件系统家族和其它文件系统如JFS、XFS、ReiserFS、Btrfs，甚至是NFS/CIFS共享文件系统上。Ubuntu使用eCryptFS作为加密其家目录的默认方法，ChromeOS也是。在eCryptFS底层，默认使用的是AES算法，但是它也支持其它算法，如blowfish、des3、cast5、cast6。如果你是通过手工创建eCryptFS设置，你可以选择其中一种算法。

就像我所的，Ubuntu让我们在安装过程中选择是否加密/home目录。好吧，这是使用eCryptFS的最简单的一种方法。

Ubuntu提供了一个用户友好的工具集，通过eCryptFS可以让我们的生活更轻松，但是在Ubuntu安装过程中启用eCryptFS只创建了一个指定的预配置的设置。所以，如果默认的设置不适合你的需求，你需要进行手工设置。在本教程中，我将介绍如何在主流Linux发行版上手工设置eCryptFS。

eCryptFS的安装

Debian，Ubuntu或其衍生版：

$ sudo apt-get install ecryptfs-utils 

注意，如果你在Ubuntu安装过程中选择加密家目录，eCryptFS应该已经安装了。

CentOS, RHEL or Fedora：

# yum install ecryptfs-utils

Arch Linux：

$ sudo pacman -S ecryptfs-utils

在安装完包后，加载eCryptFS内核模块当然会是一个很好的实践：

$ sudo modprobe ecryptfs

配置eCryptFS

现在，让我们开始加密一些目录，运行eCryptFS配置工具：

$ ecryptfs-setup-private 

它会要求你输入登录密码和挂载密码。登录密码和你常规登录的密码一样，而挂载密码用于派生一个文件加密主密钥。这里留空可以生成一个（复杂的），这样会更安全。登出然后重新登录。

你会注意到，eCryptFS默认在你的家目录中创建了两个目录：Private和.Private。~/.Private目录包含有加密的数据，而你可以在~/Private目录中访问到相应的解密后的数据。在你登录时，~/.Private目录会自动解密并映射到~/Private目录，因此你可以访问它。当你登出时，~/Private目录会自动卸载，而~/Private目录中的内容会加密回到~/.Private目录。

eCryptFS怎么会知道你拥有~/.Private目录，并自动将其解密到~/Private目录而不需要我们输入密码呢？这就是eCryptFS的PAM模块捣的鬼，它为我们提供了这项便利服务。

如果你不想让~/Private目录在登录时自动挂载，只需要在运行ecryptfs-setup-private工具时添加“--noautomount”选项。同样，如果你不想要~/Private目录在登出后自动卸载，也可以自动“--noautoumount”选项。但是，那样后，你需要自己手工挂载或卸载~/Private目录：

$ ecryptfs-mount-private ~/.Private ~/Private
$ ecryptfs-umount-private ~/Private

你可以来验证一下.Private文件夹是否被挂载，运行：

$ mount 

现在，我们可以开始把任何敏感文件放进~/Private文件夹里头了，它们会在我们登出时自动被加密并锁在~/.Private文件内。

所有这一切看起来是那么得神奇。这主要是ecryptfs-setup-private工具让一切设置变得简单。如果你想要深究一点，对eCryptFS指定的方面进行设置，那么请转到官方文档。

结尾

综上所述，如果你十分关注你的隐私，最好是将基于eCryptFS文件系统级别的加密和全盘加密相结合。切记，只进行文件加密并不能保证你的隐私不受侵犯。

via: http://xmodulo.com/encrypt-files-directories-ecryptfs-linux.html

作者：Christopher Valerio 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

使用拥有权限控制的Liunx，工作是一件轻松的任务。它可以定义任何user,group和other的权限。无论是在桌面电脑或者不会有很多用户的虚拟Linux实例，或者当用户不愿意分享他们之间的文件时，这样的工作是很棒的。然而，如果你是在一个大型组织，你运行了NFS或者Samba服务给不同的用户，然后你将会需要灵活的挑选并设置很多复杂的配置和权限去满足你的组织不同的需求。

Linux（和其他Unix等POSIX兼容的操作系统）有一种被称为访问控制列表(ACL)的权限控制方法，它是一种权限分配之外的普遍范式。例如，默认情况下你需要确认3个权限组：owner、group和other。而使用ACL，你可以增加权限给其他用户或组别，而不单只是简单的"other"或者是拥有者不存在的组别。可以允许指定的用户A、B、C拥有写权限而不再是让他们整个组拥有写权限。

ACL支持多种Linux文件系统，包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不确定你的文件系统是否支持ACL，请参考文档。

在文件系统使ACL生效

首先，我们需要安装工具来管理ACL。

Ubuntu/Debian 中:

$ sudo apt-get install acl

CentOS/Fedora/RHEL 中:

# yum -y install acl

Archlinux 中:

# pacman -S acl

出于演示目的，我将使用ubuntu server版本，其他版本类似。

安装ACL完成后，需要激活我们磁盘分区的ACL功能，这样我们才能使用它。

首先，我们检查ACL功能是否已经开启。

$ mount

你可以注意到，我的root分区中ACL属性已经开启。万一你没有开启，你需要编辑/etc/fstab文件，在你需要开启ACL的分区的选项前增加acl标记。

现在我们需要重新挂载分区（我喜欢完全重启，因为我不想丢失数据），如果你对其它分区开启ACL，你必须也重新挂载它。

$ sudo mount / -o remount

干的不错！现在我们已经在我们的系统中开启ACL，让我们开始和它一起工作。

ACL 范例

基础ACL通过两条命令管理：setfacl用于增加或者修改ACL，getfacl用于显示分配完的ACL。让我们来做一些测试。

我创建一个目录/shared给一个假设的用户，名叫freeuser

$ ls -lh /

我想要分享这个目录给其他两个用户test和test2，一个拥有完整权限，另一个只有读权限。

首先，为用户test设置ACL：

$ sudo setfacl -m u:test:rwx /shared

现在用户test可以随意创建文件夹，文件和访问在/shared目录下的任何地方。

现在我们增加只读权限给用户test2:

$ sudo setfacl -m u:test2:rx /shared

注意test2读取目录需要执行(x)权限

让我来解释下setfacl命令格式：

• -m 表示修改ACL。你可以增加新的，或修改存在的ACL
• u: 表示用户。你可以使用 g 来设置组权限
• test 用户名
• :rwx 需要设置的权限。

现在让我向你展示如何读取ACL：

$ ls -lh /shared

你可以注意到，正常权限后多一个+标记。这表示ACL已经设置成功。要具体看一下ACL，我们需要运行：

$ sudo getfacl /shared

最后，如果你需要移除ACL：

$ sudo setfacl -x u:test /shared

如果你想要立即擦除所有ACL条目：

$ sudo setfacl -b /shared

最后，在设置了ACL文件或目录工作时，cp和mv命令会改变这些设置。在cp的情况下,需要添加“p”参数来复制ACL设置。如果这不可行，它将会展示一个警告。mv默认移动ACL设置，如果这也不可行，它也会向您展示一个警告。

总结

使用ACL让在你想要分享的文件上拥有更多的能力和控制，特别是在NFS/Samba服务。此外，如果你的主管共享主机，这个工具是必备的。

via: http://xmodulo.com/2014/08/configure-access-control-lists-acls-linux.html

作者：Christopher Valerio 译者：VicYu 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出