HHVM全称为 HipHop Virtual Machine，它是一个开源虚拟机，用来运行由 Hack(一种编程语言)和 PHP 开发应用。HHVM 在保证了 PHP 程序员最关注的高灵活性的要求下，通过使用最新的编译方式来取得了非凡的性能。到目前为止，相对于 PHP + APC (Alternative PHP Cache) ，HHVM 为 FaceBook 在 HTTP 请求的吞吐量上提高了9倍的性能，在内存的占用上，减少了5倍左右的内存占用。

同时，HHVM 也可以与基于 FastCGI 的 Web 服务器（如 Nginx 或者 Apache ）协同工作。

安装 HHVM，Nginx和 Apache 还有 MariaDB

在本教程中，我们一起来配置 Nginx/Apache web 服务器、 数据库服务器 MariaDB 和 HHVM 。我们将使用 Ubuntu 15.04 (64 位)，因为 HHVM 只能运行在64位系统上。同时，该教程也适用于 Debian 和 Linux Mint。

第一步: 安装 Nginx 或者 Apache 服务器

1、首先，先进行一次系统的升级并更新软件仓库列表，命令如下

# apt-get update && apt-get upgrade

系统升级

2、 正如我之前说的，HHVM 能和 Nginx 和 Apache 进行集成。所以，究竟使用哪个服务器，这是你的自由，不过，我们会教你如何安装这两个服务器。

安装 Nginx

我们通过下面的命令安装 Nginx/Apache 服务器

# apt-get install nginx

安装 Nginx 服务器

安装 Apache

# apt-get install apache2

安装 Apache 服务器

完成这一步，你能通过以下的链接看到 Nginx 或者 Apache 的默认页面

http://localhost
或
http://IP-Address

Nginx 默认页面

Apache 默认页面

第二步: 安装和配置 MariaDB

3、 这一步，我们将通过如下命令安装 MariaDB，它是一个比 MySQL 性能更好的数据库

# apt-get install mariadb-client mariadb-server

安装 MariaDB

4、 在 MariaDB 成功安装之后，你可以启动它，并且设置 root 密码来保护数据库:

# systemctl start mysql
# mysql_secure_installation

回答以下问题，只需要按下y或者 n并且回车。请确保你仔细的阅读过说明。

Enter current password for root (enter for none) = press enter
Set root password? [Y/n] = y
Remove anonymous users[y/n] = y
Disallow root login remotely[y/n] = y
Remove test database and access to it [y/n] = y
Reload privileges tables now[y/n] = y

5、 在设置了密码之后，你就可以登录 MariaDB 了。

# mysql -u root -p

第三步: 安装 HHVM

6、 在此阶段，我们将安装 HHVM。我们需要添加 HHVM 的仓库到你的sources.list文件中，然后更新软件列表。

# wget -O - http://dl.hhvm.com/conf/hhvm.gpg.key | apt-key add -
# echo deb http://dl.hhvm.com/ubuntu DISTRIBUTION_VERSION main | sudo tee /etc/apt/sources.list.d/hhvm.list
# apt-get update

重要：不要忘记用你的 Ubuntu 发行版代号替换上述的 DISTRIBUTION\_VERSION (比如：lucid, precise, trusty) 或者是 Debian 的 jessie 或者 wheezy。在 Linux Mint 中也是一样的，不过只支持 petra。

添加了 HHVM 仓库之后，你就可以轻松安装了。

# apt-get install -y hhvm

安装之后，就可以启动它，但是它并没有做到开机启动。可以用如下命令做到开机启动。

# update-rc.d hhvm defaults

第四步: 配置 Nginx/Apache 连接 HHVM

7、 现在，nginx/apache 和 HHVM 都已经安装完成了，并且都独立运行起来了，所以我们需要对它们进行设置，来让它们互相关联。这个关键的步骤，就是需要告知 nginx/apache 将所有的 php 文件，都交给 HHVM 进行处理。

如果你用了 Nginx，请按照如下步骤：

nginx 的配置文件在 /etc/nginx/sites-available/default， 并且这些配置文件会在 /usr/share/nginx/html 中寻找文件执行，不过，它不知道如何处理 PHP。

为了确保 Nginx 可以连接 HHVM，我们需要执行所带的如下脚本。它可以帮助我们正确的配置 Nginx，将 hhvm.conf 放到 上面提到的配置文件 nginx.conf 的头部。

这个脚本可以确保 Nginx 可以对 .hh 和 .php 的做正确的处理，并且将它们通过 fastcgi 发送给 HHVM。

# /usr/share/hhvm/install_fastcgi.sh

配置 Nginx、HHVM

重要: 如果你使用的是 Apache，这里不需要进行配置。

8、 接下来，你需要使用 hhvm 来提供 php 的运行环境。

# /usr/bin/update-alternatives --install /usr/bin/php php /usr/bin/hhvm 60

以上步骤完成之后，你现在可以启动并且测试它了。

# systemctl start hhvm

第五步: 测试 HHVM 和 Nginx/Apache

9、 为了确认 hhvm 是否工作，你需要在 nginx/apache 的文档根目录下建立 hello.php。

# nano /usr/share/nginx/html/hello.php       [对于 Nginx]
或
# nano /var/www/html/hello.php               [对于 Nginx 和 Apache]

在文件中添加如下代码:

<?php
if (defined('HHVM_VERSION')) {
    echo 'HHVM is working';
    phpinfo();
} else {
    echo 'HHVM is not working';
}
?>

然后访问如下链接，确认自己能否看到 "hello world"

http://localhost/info.php
或
http://IP-Address/info.php

HHVM 页面

如果 “HHVM” 的页面出现了，那就说明你成功了。

结论

以上的步骤都是非常简单的，希望你能觉得这是一篇有用的教程，如果你在以上的步骤中遇到了问题，给我们留一个评论，我们将全力解决。

via: http://www.tecmint.com/install-hhvm-and-nginx-apache-with-mariadb-on-debian-ubuntu/

作者：Ravi Saive 译者：MikeCoder 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

重要的事情说两遍，我完成了一个Linux提示与彩蛋系列，让你的Linux获得更多创造和娱乐。

Linux提示与彩蛋系列

本文，我将会讲解Google-chrome内建小游戏，在终端中如何让文字说话，使用‘at’命令设置作业和使用watch命令重复执行命令。

1. Google Chrome 浏览器小游戏彩蛋

网线脱掉或者其他什么原因连不上网时，Google Chrome就会出现一个小游戏。声明，我并不是游戏玩家，因此我的电脑上并没有安装任何第三方的恶意游戏。安全是第一位。

所以当Internet发生出错，会出现一个这样的界面：

不能连接到互联网

按下空格键来激活Google-chrome彩蛋游戏。游戏没有时间限制。并且还不需要浪费时间安装使用。

不需要第三方软件的支持。同样支持Windows和Mac平台，但是我的平台是Linux，我也只谈论Linux。当然在Linux，这个游戏运行很好。游戏简单，但也很花费时间。

使用空格/向上方向键来跳跃。请看下列截图：

Google Chrome中玩游戏

2. Linux 终端中朗读文字

对于那些不能文字朗读的设备，有个小工具可以实现文字说话的转换器。用各种语言写一些东西，espeak就可以朗读给你。

系统应该默认安装了Espeak，如果你的系统没有安装，你可以使用下列命令来安装：

# apt-get install espeak   (Debian)
# yum install espeak       (CentOS)
# dnf install espeak       (Fedora 22 及其以后)

你可以让espeak接受标准输入的交互输入并及时转换成语音朗读出来。如下：

$ espeak [按回车键]

更详细的输出你可以这样做：

$ espeak --stdout | aplay [按回车键][再次回车]

espeak设置灵活，也可以朗读文本文件。你可以这样设置：

$ espeak --stdout /path/to/text/file/file_name.txt  | aplay [Hit Enter] 

espeak可以设置朗读速度。默认速度是160词每分钟。使用-s参数来设置。

设置每分钟30词的语速：

$ espeak -s 30 -f /path/to/text/file/file_name.txt | aplay

设置每分钟200词的语速：

$ espeak -s 200 -f /path/to/text/file/file_name.txt | aplay

说其他语言，比如北印度语（作者母语），这样设置：

$ espeak -v hindi --stdout 'टेकमिंट विश्व की एक बेहतरीन लाइंक्स आधारित वेबसाइट है|' | aplay 

你可以使用各种语言，让espeak如上面说的以你选择的语言朗读。使用下列命令来获得语言列表：

$ espeak --voices

3. 快速调度任务

我们已经非常熟悉使用cron守护进程执行一个计划命令。

Cron是一个Linux系统管理的高级命令，用于计划定时任务如备份或者指定时间或间隔的任何事情。

但是，你是否知道at命令可以让你在指定时间调度一个任务或者命令？at命令可以指定时间执行指定内容。

例如，你打算在早上11点2分执行uptime命令，你只需要这样做：

$ at 11:02
uptime >> /home/$USER/uptime.txt 
Ctrl+D

Linux中计划任务

检查at命令是否成功设置，使用：

$ at -l

浏览计划任务

at支持计划多个命令，例如：

$ at 12:30
Command – 1
Command – 2
…
command – 50
…
Ctrl + D

4. 特定时间重复执行命令

有时，我们可以需要在指定时间间隔执行特定命令。例如，每3秒，想打印一次时间。

查看现在时间，使用下列命令。

$ date +"%H:%M:%S

Linux中查看日期和时间

为了每三秒查看一下这个命令的输出，我需要运行下列命令：

$ watch -n 3 'date +"%H:%M:%S"'

Linux中watch命令

watch命令的‘-n’开关设定时间间隔。在上述命令中，我们定义了时间间隔为3秒。你可以按你的需求定义。同样watch 也支持其他命令或者脚本。

至此。希望你喜欢这个系列的文章，让你的linux更有创造性，获得更多快乐。所有的建议欢迎评论。欢迎你也看看其他文章，谢谢。

via: http://www.tecmint.com/text-to-speech-in-terminal-schedule-a-job-and-watch-commands-in-linux/

作者：Avishek Kumar 译者：VicYu/Vic020 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Hi， 今天我们将会学习如何使用 Weave 和 Docker 搭建 Nginx 的反向代理/负载均衡服务器。Weave 可以创建一个虚拟网络将 Docker 容器彼此连接在一起，支持跨主机部署及自动发现。它可以让我们更加专注于应用的开发，而不是基础架构。Weave 提供了一个如此棒的环境，仿佛它的所有容器都属于同个网络，不需要端口/映射/连接等的配置。容器中的应用提供的服务在 weave 网络中可以轻易地被外部世界访问，不论你的容器运行在哪里。在这个教程里我们将会使用 weave 快速并且简单地将 nginx web 服务器部署为一个负载均衡器，反向代理一个运行在 Amazon Web Services 里面多个节点上的 docker 容器中的简单 php 应用。这里我们将会介绍 WeaveDNS，它提供一个不需要改变代码就可以让容器利用主机名找到的简单方式，并且能够让其他容器通过主机名连接彼此。

在这篇教程里，我们将使用 nginx 来将负载均衡分配到一个运行 Apache 的容器集合。最简单轻松的方法就是使用 Weave 来把运行在 ubuntu 上的 docker 容器中的 nginx 配置成负载均衡服务器。

1. 搭建 AWS 实例

首先，我们需要搭建 Amzaon Web Service 实例，这样才能在 ubuntu 下用 weave 跑 docker 容器。我们将会使用AWS 命令行 来搭建和配置两个 AWS EC2 实例。在这里，我们使用最小的可用实例，t1.micro。我们需要一个有效的Amazon Web Services 账户使用 AWS 命令行界面来搭建和配置。我们先在 AWS 命令行界面下使用下面的命令将 github 上的 weave 仓库克隆下来。

$ git clone https://github.com/weaveworks/guides
$ cd weave-gs/aws-nginx-ubuntu-simple

在克隆完仓库之后，我们执行下面的脚本，这个脚本将会部署两个 t1.micro 实例，每个实例中都是 ubuntu 作为操作系统并用 weave 跑着 docker 容器。

$ sudo ./demo-aws-setup.sh

在这里，我们将会在以后用到这些实例的 IP 地址。这些地址储存在一个 weavedemo.env 文件中，这个文件创建于执行 demo-aws-setup.sh 脚本期间。为了获取这些 IP 地址，我们需要执行下面的命令，命令输出类似下面的信息。

$ cat weavedemo.env

export WEAVE_AWS_DEMO_HOST1=52.26.175.175
export WEAVE_AWS_DEMO_HOST2=52.26.83.141
export WEAVE_AWS_DEMO_HOSTCOUNT=2
export WEAVE_AWS_DEMO_HOSTS=(52.26.175.175 52.26.83.141)

请注意这些不是固定的 IP 地址，AWS 会为我们的实例动态地分配 IP 地址。

我们在 bash 下执行下面的命令使环境变量生效。

 . ./weavedemo.env

2. 启动 Weave 和 WeaveDNS

在安装完实例之后，我们将会在每台主机上启动 weave 以及 weavedns。Weave 以及 weavedns 使得我们能够轻易地将容器部署到一个全新的基础架构以及配置中， 不需要改变代码，也不需要去理解像 Ambassador 容器以及 Link 机制之类的概念。下面是在第一台主机上启动 weave 以及 weavedns 的命令。

ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST1
$ sudo weave launch
$ sudo weave launch-dns 10.2.1.1/24

下一步，我也准备在第二台主机上启动 weave 以及 weavedns。

ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST2
$ sudo weave launch $WEAVE_AWS_DEMO_HOST1
$ sudo weave launch-dns 10.2.1.2/24

3. 启动应用容器

现在，我们准备跨两台主机启动六个容器，这两台主机都用 Apache2 Web 服务实例跑着简单的 php 网站。为了在第一个 Apache2 Web 服务器实例跑三个容器， 我们将会使用下面的命令。

ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST1
$ sudo weave run --with-dns 10.3.1.1/24 -h ws1.weave.local fintanr/weave-gs-nginx-apache
$ sudo weave run --with-dns 10.3.1.2/24 -h ws2.weave.local fintanr/weave-gs-nginx-apache
$ sudo weave run --with-dns 10.3.1.3/24 -h ws3.weave.local fintanr/weave-gs-nginx-apache

在那之后，我们将会在第二个实例上启动另外三个容器，请使用下面的命令。

ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST2
$ sudo weave run --with-dns 10.3.1.4/24 -h ws4.weave.local fintanr/weave-gs-nginx-apache
$ sudo weave run --with-dns 10.3.1.5/24 -h ws5.weave.local fintanr/weave-gs-nginx-apache
$ sudo weave run --with-dns 10.3.1.6/24 -h ws6.weave.local fintanr/weave-gs-nginx-apache

注意: 在这里，--with-dns 选项告诉容器使用 weavedns 来解析主机名，-h x.weave.local 则使得 weavedns 能够解析该主机。

4. 启动 Nginx 容器

在应用容器如预期的运行后，我们将会启动 nginx 容器，它将会在六个应用容器服务之间轮询并提供反向代理或者负载均衡。 为了启动 nginx 容器，请使用下面的命令。

ssh -i weavedemo-key.pem ubuntu@$WEAVE_AWS_DEMO_HOST1
$ sudo weave run --with-dns 10.3.1.7/24 -ti -h nginx.weave.local -d -p 80:80 fintanr/weave-gs-nginx-simple

因此，我们的 nginx 容器在 $WEAVEAWSDEMO\_HOST1 上公开地暴露成为一个 http 服务器。

5. 测试负载均衡服务器

为了测试我们的负载均衡服务器是否可以工作，我们执行一段可以发送 http 请求给 nginx 容器的脚本。我们将会发送6个请求，这样我们就能看到 nginx 在一次的轮询中服务于每台 web 服务器之间。

$ ./access-aws-hosts.sh

{
"message" : "Hello Weave - nginx example",
"hostname" : "ws1.weave.local",
"date" : "2015-06-26 12:24:23"
}
{
"message" : "Hello Weave - nginx example",
"hostname" : "ws2.weave.local",
"date" : "2015-06-26 12:24:23"
}
{
"message" : "Hello Weave - nginx example",
"hostname" : "ws3.weave.local",
"date" : "2015-06-26 12:24:23"
}
{
"message" : "Hello Weave - nginx example",
"hostname" : "ws4.weave.local",
"date" : "2015-06-26 12:24:23"
}
{
"message" : "Hello Weave - nginx example",
"hostname" : "ws5.weave.local",
"date" : "2015-06-26 12:24:23"
}
{
"message" : "Hello Weave - nginx example",
"hostname" : "ws6.weave.local",
"date" : "2015-06-26 12:24:23"
}

结束语

我们最终成功地将 nginx 配置成一个反向代理/负载均衡服务器，通过使用 weave 以及运行在 AWS（Amazon Web Service）EC2 里面的 ubuntu 服务器中的 docker。从上面的步骤输出可以清楚的看到我们已经成功地配置了 nginx。我们可以看到请求在一次轮询中被发送到6个应用容器，这些容器在 Apache2 Web 服务器中跑着 PHP 应用。在这里，我们部署了一个容器化的 PHP 应用，使用 nginx 横跨多台在 AWS EC2 上的主机而不需要改变代码，利用 weavedns 使得每个容器连接在一起，只需要主机名就够了，眼前的这些便捷， 都要归功于 weave 以及 weavedns。

如果你有任何的问题、建议、反馈，请在评论中注明，这样我们才能够做得更好，谢谢:-）

via: http://linoxide.com/linux-how-to/nginx-load-balancer-weave-docker/

作者：Arun Pyasi 译者：dingdongnigetou 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

在之前的教程中，我们演示了如何使用Quagga建立一个完备的BGP路由器和配置前缀过滤。在本教程中，我们会向你演示如何创建IPv6 BGP对等体并通过BGP通告IPv6前缀。同时我们也将演示如何使用前缀列表和路由映射特性来过滤通告的或者获取到的IPv6前缀。

拓扑

教程中，我们主要参考如下拓扑。

服务供应商A和B希望在他们之间建立一个IPv6的BGP对等体。他们的IPv6地址和AS信息如下所示。

• 对等体IP块: 2001:DB8:3::/64
• 供应商A: AS 100, 2001:DB8:1::/48
• 供应商B: AS 200, 2001:DB8:2::/48

CentOS/RHEL安装Quagga

如果Quagga还没有安装，我们可以先使用yum安装。

# yum install quagga 

在CentOS/RHEL 7，SELinux策略会默认的阻止对于/usr/sbin/zebra配置目录的写操作，这会对我们将要介绍的安装操作有所影响。因此我们需要像下面这样关闭这个策略。如果你使用的是CentOS/RHEL 6可以跳过这一步。

# setsebool -P zebra_write_config 1 

创建配置文件

在安装过后，我们先创建配置文件zebra/bgpd作为配置流程的开始。

# cp /usr/share/doc/quagga-XXXXX/zebra.conf.sample /etc/quagga/zebra.conf
# cp /usr/share/doc/quagga-XXXXX/bgpd.conf.sample /etc/quagga/bgpd.conf

然后，允许这些服务开机自启。

在 CentOS/RHEL 6:

# service zebra start; service bgpd start
# chkconfig zebra on; chkconfig bgpd on 

在 CentOS/RHEL 7:

# systemctl start zebra; systemctl start bgpd
# systemctl enable zebra; systmectl enable bgpd 

Quagga内部提供一个叫作vtysh的shell，其界面与那些主流路由厂商Cisco或Juniper十分相似。启动vtysh shell命令行：

# vtysh

提示符将改为：

router-a#

或

router-b# 

在教程的其余部分，这个提示可以表明你正身处在哪个路由的vtysh shell中。

为Zebra指定日志文件

来为Zebra配置日志文件，这会有助于调试。

首先，进入全局配置模式通过输入：

router-a# configure terminal 

提示符将变更成：

router-a(config)#

指定日志文件的位置。然后退出配置模式：

router-a(config)# log file /var/log/quagga/quagga.log
router-a(config)# exit 

保存配置通过：

router-a# write 

配置接口IP地址

现在，让我们为Quagga的物理接口配置IP地址。

首先，查看一下vtysh中现有的接口。

router-a# show interfaces 

Interface eth0 is up, line protocol detection is disabled
## OUTPUT TRUNCATED ###
Interface eth1 is up, line protocol detection is disabled
## OUTPUT TRUNCATED ##

现在我们配置IPv6地址。

router-a# conf terminal
router-a(config)# interface eth0
router-a(config-if)# ipv6 address 2001:db8:3::1/64
router-a(config-if)# interface eth1
router-a(config-if)# ipv6 address 2001:db8:1::1/64

在路由B上采用同样的方式分配IPv6地址。我将配置汇总成如下。

router-b# show running-config 

interface eth0
ipv6 address 2001:db8:3::2/64

interface eth1
ipv6 address 2001:db8:2::1/64

由于两台路由的eth0端口同属一个子网，即2001：DB8：3::/64，你应该可以相互ping通。在保证ping通的情况下，我们开始下面的内容。

router-a# ping ipv6 2001:db8:3::2 

PING 2001:db8:3::2(2001:db8:3::2) 56 data bytes
64 bytes from 2001:db8:3::2: icmp_seq=1 ttl=64 time=3.20 ms
64 bytes from 2001:db8:3::2: icmp_seq=2 ttl=64 time=1.05 ms

步骤 1: IPv6 BGP 对等体

本段，我们将在两个路由之间配置IPv6 BGP。首先，我们在路由A上指定BGP邻居。

router-a# conf t
router-a(config)# router bgp 100
router-a(config-router)# no auto-summary
router-a(config-router)# no synchronization
router-a(config-router)# neighbor 2001:DB8:3::2 remote-as 200

然后，我们定义IPv6的地址族。在地址族中，我们需要定义要通告的网段，并激活邻居。

router-a(config-router)# address-family ipv6
router-a(config-router-af)# network 2001:DB8:1::/48
router-a(config-router-af)# neighbor 2001:DB8:3::2 activate

我们在路由B上也实施相同的配置。这里提供我归总后的配置。

router-b# conf t
router-b(config)# router bgp 200
router-b(config-router)# no auto-summary
router-b(config-router)# no synchronization
router-b(config-router)# neighbor 2001:DB8:3::1 remote-as 100
router-b(config-router)# address-family ipv6
router-b(config-router-af)# network 2001:DB8:2::/48
router-b(config-router-af)# neighbor 2001:DB8:3::1 activate

如果一切顺利，在路由间将会形成一个IPv6 BGP会话。如果失败了，请确保在防火墙中开启了必要的端口（TCP 179）。

我们使用以下命令来确认IPv6 BGP会话的信息。

查看BGP汇总：

router-a# show bgp ipv6 unicast summary 

查看BGP通告的路由：

router-a# show bgp ipv6 neighbors <neighbor-IPv6-address> advertised-routes 

查看BGP获得的路由：

router-a# show bgp ipv6 neighbors <neighbor-IPv6-address> routes 

步骤 2： 过滤IPv6前缀

正如我们在上面看到的输出信息那样，路由间通告了他们完整的/48 IPv6前缀。出于演示的目的，我们会考虑以下要求。

• Router-B将通告一个/64前缀，一个/56前缀，和一个完整的/48前缀.
• Router-A将接受任由B提供的何形式的IPv6前缀，其中包含有/56和/64之间的网络掩码长度。

我们将根据需要过滤的前缀，来使用路由器的前缀列表和路由映射。

为路由B修改通告的前缀

目前，路由B只通告一个/48前缀。我们修改路由B的BGP配置使它可以通告额外的/56和/64前缀。

router-b# conf t
router-b(config)# router bgp 200
router-b(config-router)# address-family ipv6
router-b(config-router-af)# network 2001:DB8:2::/56
router-b(config-router-af)# network 2001:DB8:2::/64

我们将路由A上验证了所有的前缀都获得到了。

太好了！我们在路由A上收到了所有的前缀，那么我们可以更进一步创建前缀列表和路由映射来过滤这些前缀。

创建前缀列表

就像在上则教程中描述的那样，前缀列表是一种机制用来匹配带有子网长度的IP地址前缀。按照我们指定的需求，我们需要在路由A的前缀列表中创建一则必要的条目。

router-a# conf t
router-a(config)# ipv6 prefix-list FILTER-IPV6-PRFX permit 2001:DB8:2::/56 le 64

以上的命令会创建一个名为'FILTER-IPV6-PRFX'的前缀列表，用以匹配任何2001:DB8:2::池内掩码在56和64之间的所有前缀。

创建并应用路由映射

现在已经在前缀列表中创建了条目，我们也应该相应的创建一条使用此条目的路由映射规则了。

router-a# conf t
router-a(config)# route-map FILTER-IPV6-RMAP permit 10
router-a(config-route-map)# match ipv6 address prefix-list FILTER-IPV6-PRFX

以上的命令会创建一条名为'FILTER-IPV6-RMAP'的路由映射规则。这则规则将会允许与之前在前缀列表中创建'FILTER-IPV6-PRFX'所匹配的IPv6

要记住路由映射规则只有在应用在邻居或者端口的指定方向时才有效。我们将把路由映射应用到BGP的邻居配置中。我们将路由映射应用于入方向，作为进入路由端的前缀过滤器。

router-a# conf t
router-a(config)# router bgp 100
router-a(config-router)# address-family ipv6
router-a(config-router-af)# neighbor 2001:DB8:3::2 route-map FILTER-IPV6-RMAP in

现在我们在路由A上再查看一边获得到的路由，我们应该只能看见两个被允许的前缀了。

注意： 你可能需要重置BGP会话来刷新路由表。

所有IPv6的BGP会话可以使用以下的命令重启：

router-a# clear bgp ipv6 * 

我汇总了两个路由的配置，并做成了一张清晰的图片以便阅读。

总结

总结一下，这篇教程重点在于如何创建BGP对等体和IPv6的过滤。我们演示了如何向邻居BGP路由通告IPv6前缀，和如何过滤通告前缀或获得的通告。需要注意，本教程使用的过程可能会对网络供应商的网络运作有所影响，请谨慎参考。

希望这些对你有用。

via: http://xmodulo.com/ipv6-bgp-peering-filtering-quagga-bgp-router.html

作者：Sarmed Rahman 译者：martin2011qi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

如果你是一个系统管理员，负责关键的 IT 基础设置或公司的服务，你将明白有效的沟通在日常任务中的重要性。假设你的线上存储服务器故障了。你希望团队所有人达成共识你好尽快的解决问题。当你忙来忙去时，你不会想一半的人问你为什么他们不能访问他们的文档。当一个维护计划快到时间了你想在计划前提醒相关人员，这样避免了不必要的开销。

这一切的要求或多或少改进了你、你的团队、和你服务的用户之间沟通渠道。一个实现它的方法是维护一个集中的系统状态页面，报告和记录故障停机详情、进度更新和维护计划等。这样，在故障期间你避免了不必要的打扰，也可以提醒一些相关方，以及加入一些可选的状态更新。

有一个不错的开源, 自承载系统状态页解决方案叫做 Cachet。在这个教程，我将要描述如何用 Cachet 部署一个自承载系统状态页面。

Cachet 特性

在详细的配置 Cachet 之前，让我简单的介绍一下它的主要特性。

• 全 JSON API：Cachet API 可以让你使用任意的外部程序或脚本（例如，uptime 脚本）连接到 Cachet 来自动报告突发事件或更新状态。
• 认证：Cachet 支持基础认证和 JSON API 的 API 令牌，所以只有认证用户可以更新状态页面。
• 衡量系统：这通常用来展现随着时间推移的自定义数据（例如，服务器负载或者响应时间）。
• 通知：可选地，你可以给任一注册了状态页面的人发送突发事件的提示邮件。
• 多语言：状态页被翻译为11种不同的语言。
• 双因子认证：这允许你使用 Google 的双因子认证来提升 Cachet 管理账户的安全性。
• 跨数据库支持：你可以选择 MySQL，SQLite，Redis，APC 和 PostgreSQL 作为后端存储。

剩下的教程，我会说明如何在 Linux 上安装配置 Cachet。

第一步：下载和安装 Cachet

Cachet 需要一个 web 服务器和一个后端数据库来运转。在这个教程中，我将使用 LAMP 架构。以下是一些特定发行版上安装 Cachet 和 LAMP 架构的指令。

Debian，Ubuntu 或者 Linux Mint

$ sudo apt-get install curl git apache2 mysql-server mysql-client php5 php5-mysql
$ sudo git clone https://github.com/cachethq/Cachet.git /var/www/cachet
$ cd /var/www/cachet
$ sudo git checkout v1.1.1
$ sudo chown -R www-data:www-data .

在基于 Debian 的系统上设置 LAMP 架构的更多细节，参考这个教程。

Fedora， CentOS 或 RHEL

在基于 Red Hat 系统上，你首先需要设置 REMI 软件库（以满足 PHP 的版本需求）。然后执行下面命令。

$ sudo yum install curl git httpd mariadb-server
$ sudo yum --enablerepo=remi-php56 install php php-mysql php-mbstring
$ sudo git clone https://github.com/cachethq/Cachet.git /var/www/cachet
$ cd /var/www/cachet
$ sudo git checkout v1.1.1
$ sudo chown -R apache:apache .
$ sudo firewall-cmd --permanent --zone=public --add-service=http
$ sudo firewall-cmd --reload
$ sudo systemctl enable httpd.service; sudo systemctl start httpd.service
$ sudo systemctl enable mariadb.service; sudo systemctl start mariadb.service

在基于 Red Hat 系统上设置 LAMP 的更多细节，参考这个教程。

配置 Cachet 的后端数据库

下一步是配置后端数据库。

登录到 MySQL/MariaDB 服务，然后创建一个空的数据库称为‘cachet’。

$ sudo mysql -uroot -p

mysql> create database cachet;
mysql> quit

现在用一个示例配置文件创建一个 Cachet 配置文件。

$ cd /var/www/cachet
$ sudo mv .env.example .env

在 .env 文件里，填写你自己设置的数据库信息（例如，DB\_*）。其他的字段先不改变。

APP_ENV=production
APP_DEBUG=false
APP_URL=http://localhost
APP_KEY=SomeRandomString

DB_DRIVER=mysql
DB_HOST=localhost
DB_DATABASE=cachet
DB_USERNAME=root
DB_PASSWORD=<root-password>

CACHE_DRIVER=apc
SESSION_DRIVER=apc
QUEUE_DRIVER=database

MAIL_DRIVER=smtp
MAIL_HOST=mailtrap.io
MAIL_PORT=2525
MAIL_USERNAME=null
MAIL_PASSWORD=null
MAIL_ADDRESS=null
MAIL_NAME=null

REDIS_HOST=null
REDIS_DATABASE=null
REDIS_PORT=null

第三步：安装 PHP 依赖和执行数据库迁移

下面，我们将要安装必要的PHP依赖包。我们会使用 composer 来安装。如果你的系统还没有安装 composer，先安装它：

$ curl -sS https://getcomposer.org/installer | sudo php -- --install-dir=/usr/local/bin --filename=composer

现在开始用 composer 安装 PHP 依赖包。

$ cd /var/www/cachet
$ sudo composer install --no-dev -o

下面执行一次性的数据库迁移。这一步会在我们之前创建的数据库里面创建那些所需的表。

$ sudo php artisan migrate

假设在 /var/www/cachet/.env 的数据库配置无误，数据库迁移应该像下面显示一样成功完成。

下面，创建一个密钥，它将用来加密进入 Cachet 的数据。

$ sudo php artisan key:generate
$ sudo php artisan config:cache

生成的应用密钥将自动添加到你的 .env 文件 APP\_KEY 变量中。你不需要自己编辑 .env。

第四步：配置 Apache HTTP 服务

现在到了配置运行 Cachet 的 web 服务的时候了。我们使用 Apache HTTP 服务器，为 Cachet 创建一个新的虚拟主机，如下：

Debian，Ubuntu 或 Linux Mint

$ sudo vi /etc/apache2/sites-available/cachet.conf

<VirtualHost *:80>
    ServerName cachethost
    ServerAlias cachethost
    DocumentRoot "/var/www/cachet/public"
    <Directory "/var/www/cachet/public">
        Require all granted
        Options Indexes FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
</VirtualHost>

启用新虚拟主机和 mod\_rewrite：

$ sudo a2ensite cachet.conf
$ sudo a2enmod rewrite
$ sudo service apache2 restart

Fedora， CentOS 或 RHEL

在基于 Red Hat 系统上，创建一个虚拟主机文件，如下：

$ sudo vi /etc/httpd/conf.d/cachet.conf

<VirtualHost *:80>
    ServerName cachethost
    ServerAlias cachethost
    DocumentRoot "/var/www/cachet/public"
    <Directory "/var/www/cachet/public">
        Require all granted
        Options Indexes FollowSymLinks
        AllowOverride All
        Order allow,deny
        Allow from all
    </Directory>
</VirtualHost>

现在重载 Apache 配置：

$ sudo systemctl reload httpd.service

第五步：配置 /etc/hosts 来测试 Cachet

这时候，初始的 Cachet 状态页面应该启动运行了，现在测试一下。

由于 Cachet 被配置为Apache HTTP 服务的虚拟主机，我们需要调整你的客户机的 /etc/hosts 来访问他。你将从这个客户端电脑访问 Cachet 页面。（LCTT 译注：如果你给了这个页面一个正式的主机地址，则不需要这一步。）

打开 /etc/hosts，加入如下行：

$ sudo vi /etc/hosts

<cachet 服务器的 IP 地址>    cachethost

上面名为“cachethost”必须匹配 Cachet 的 Apache 虚拟主机文件的 ServerName。

测试 Cachet 状态页面

现在你准备好访问 Cachet 状态页面。在你浏览器地址栏输入 http://cachethost。你将被转到如下的 Cachet 状态页的初始化设置页面。

选择 cache/session 驱动。这里 cache 和 session 驱动两个都选“File”。

下一步，输入关于状态页面的基本信息（例如，站点名称、域名、时区和语言），以及管理员认证账户。

你的状态页初始化就要完成了。

继续创建组件（你的系统单元）、事件或者任意你要做的维护计划。

例如，增加一个组件：

增加一个维护计划：

公共 Cachet 状态页就像这样：

集成了 SMTP，你可以在状态更新时发送邮件给订阅者。并且你可以使用 CSS 和 markdown 格式来完全自定义布局和状态页面。

结论

Cachet 是一个相当易于使用，自托管的状态页面软件。Cachet 一个高级特性是支持全 JSON API。使用它的 RESTful API，Cachet 可以轻松连接单独的监控后端（例如，Nagios），然后回馈给 Cachet 事件报告并自动更新状态。比起手工管理一个状态页它更快和有效率。

最后一句，我喜欢提及一个事。用 Cachet 设置一个漂亮的状态页面是很简单的，但要将这个软件用好并不像安装它那么容易。你需要完全保障所有 IT 团队习惯准确及时的更新状态页，从而建立公共信息的准确性。同时，你需要教用户去查看状态页面。最后，如果没有很好的填充数据，部署状态页面就没有意义，并且/或者没有一个人查看它。记住这个，尤其是当你考虑在你的工作环境中部署 Cachet 时。

故障排查

补充，万一你安装 Cachet 时遇到问题，这有一些有用的故障排查的技巧。

1. Cachet 页面没有加载任何东西，并且你看到如下报错。

production.ERROR: exception 'RuntimeException' with message 'No supported encrypter found. The cipher and / or key length are invalid.' in /var/www/cachet/bootstrap/cache/compiled.php:6695

解决方案：确保你创建了一个应用密钥，以及明确配置缓存如下所述。

$ cd /path/to/cachet
$ sudo php artisan key:generate
$ sudo php artisan config:cache

2. 调用 composer 命令时有如下报错。

- danielstjules/stringy 1.10.0 requires ext-mbstring * -the requested PHP extension mbstring is missing from your system.
- laravel/framework v5.1.8 requires ext-mbstring * -the requested PHP extension mbstring is missing from your system.
- league/commonmark 0.10.0 requires ext-mbstring * -the requested PHP extension mbstring is missing from your system.

解决方案：确保在你的系统上安装了必要的 PHP 扩展 mbstring ，并且兼容你的 PHP 版本。在基于 Red Hat 的系统上，由于我们从 REMI-56 库安装PHP，所以要从同一个库安装扩展。

$ sudo yum --enablerepo=remi-php56 install php-mbstring

3. 你访问 Cachet 状态页面时得到一个白屏。HTTP 日志显示如下错误。

PHP Fatal error:  Uncaught exception 'UnexpectedValueException' with message 'The stream or file "/var/www/cachet/storage/logs/laravel-2015-08-21.log" could not be opened: failed to open stream: Permission denied' in /var/www/cachet/bootstrap/cache/compiled.php:12851

解决方案：尝试如下命令。

$ cd /var/www/cachet
$ sudo php artisan cache:clear
$ sudo chmod -R 777 storage
$ sudo composer dump-autoload

如果上面的方法不起作用，试试禁止 SELinux：

$ sudo setenforce 0 

via: http://xmodulo.com/setup-system-status-page.html

作者：Dan Nanni 译者：wyangsun 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

对于网络安全而言入侵检测是一件非常重要的事。入侵检测系统（IDS）用于检测网络中非法与恶意的请求。Snort是一款知名的开源的入侵检测系统。其 Web界面（Snorby）可以用于更好地分析警告。Snort使用iptables/pf防火墙来作为入侵检测系统。本篇中，我们会安装并配置一个开源的入侵检测系统snort。

Snort 安装

要求

snort所使用的数据采集库（DAQ）用于一个调用包捕获库的抽象层。这个在snort上就有。下载过程如下截图所示。

解压并运行./configure、make、make install来安装DAQ。然而，DAQ要求其他的工具，因此，./configure脚本会生成下面的错误。

flex和bison错误

libpcap错误

因此在安装DAQ之前先安装flex/bison和libcap。

如下所示安装libpcap开发库

安装完必要的工具后，再次运行./configure脚本，将会显示下面的输出。

make和make install 命令的结果如下所示。

成功安装DAQ之后，我们现在安装snort。如下图使用wget下载它。

使用下面的命令解压安装包。

#tar -xvzf  snort-2.9.7.3.tar.gz

创建安装目录并在脚本中设置prefix参数。同样也建议启用包性能监控（PPM）的sourcefire标志。

#mkdir /usr/local/snort

#./configure --prefix=/usr/local/snort/ --enable-sourcefire

配置脚本会由于缺少libpcre-dev、libdumbnet-dev 和zlib开发库而报错。

配置脚本由于缺少libpcre库报错。

配置脚本由于缺少dnet（libdumbnet）库而报错。

配置脚本由于缺少zlib库而报错

如下所示，安装所有需要的开发库。

# aptitude install libpcre3-dev

# aptitude install libdumbnet-dev

# aptitude install zlib1g-dev

安装完snort需要的库之后，再次运行配置脚本就不会报错了。

运行make和make install命令在/usr/local/snort目录下完成安装。

# make

# make install

最后，从/usr/local/snort/bin中运行snort。现在它对eth0的所有流量都处在promisc模式（包转储模式）。

如下图所示snort转储流量。

Snort的规则和配置

从源码安装的snort还需要设置规则和配置，因此我们需要复制规则和配置到/etc/snort下面。我们已经创建了单独的bash脚本来用于设置规则和配置。它会设置下面这些snort设置。

• 在linux中创建用于snort IDS服务的snort用户。
• 在/etc下面创建snort的配置文件和文件夹。
• 权限设置并从源代码的etc目录中复制数据。
• 从snort文件中移除规则中的#(注释符号)。

#!/bin/bash#
# snort源代码的路径
snort_src="/home/test/Downloads/snort-2.9.7.3"
echo "adding group and user for snort..."
groupadd snort &> /dev/null
useradd snort -r -s /sbin/nologin -d /var/log/snort -c snort_idps -g snort &> /dev/null#snort configuration
echo "Configuring snort..."mkdir -p /etc/snort
mkdir -p /etc/snort/rules
touch /etc/snort/rules/black_list.rules
touch /etc/snort/rules/white_list.rules
touch /etc/snort/rules/local.rules
mkdir /etc/snort/preproc_rules
mkdir /var/log/snort
mkdir -p /usr/local/lib/snort_dynamicrules
chmod -R 775 /etc/snort
chmod -R 775 /var/log/snort
chmod -R 775 /usr/local/lib/snort_dynamicrules
chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules
###copy  configuration and rules from  etc directory under source code of snort
echo "copying from snort source to /etc/snort ....."
echo $snort_src
echo "-------------"
cp $snort_src/etc/*.conf* /etc/snort
cp $snort_src/etc/*.map /etc/snort##enable rules
sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf
echo "---DONE---"

改变脚本中的snort源目录路径并运行。下面是成功的输出。

上面的脚本从snort源中复制下面的文件和文件夹到/etc/snort配置文件中

snort的配置非常复杂，要让IDS能正常工作需要进行下面必要的修改。

ipvar HOME_NET 192.168.1.0/24  # LAN side

ipvar EXTERNAL_NET !$HOME_NET   # WAN side

var RULE_PATH /etc/snort/rules     # snort signature path
var SO_RULE_PATH /etc/snort/so_rules        #rules in shared libraries
var PREPROC_RULE_PATH /etc/snort/preproc_rules  # Preproces path
var WHITE_LIST_PATH /etc/snort/rules        # dont scan
var BLACK_LIST_PATH /etc/snort/rules        #  Must scan

include $RULE_PATH/local.rules   # file for custom rules

移除ftp.rules、exploit.rules前面的注释符号(#)。

现在下载社区规则并解压到/etc/snort/rules。启用snort.conf中的社区及紧急威胁规则。

进行了上面的更改后，运行下面的命令来检验配置文件。

# snort -T -c /etc/snort/snort.conf

总结

本篇中，我们关注了开源IDPS系统snort在Ubuntu上的安装和配置。通常它用于监控事件，然而它可以被配置成用于网络保护的在线模式。snort规则可以在离线模式中可以使用pcap捕获文件进行测试和分析

via: http://linoxide.com/security/install-snort-usage-ubuntu-15-04/

作者：nido 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出