Postfix 是一个自由开源的 MTA（邮件传输代理），用于在 Linux 系统上路由或传递电子邮件。在本指南中，你将学习如何在 CentOS 8 上安装和配置 Postfix。

实验室设置：

• 系统：CentOS 8 服务器
• IP 地址：192.168.1.13
• 主机名：server1.crazytechgeek.info（确保域名指向服务器的 IP）

步骤 1）更新系统

第一步是确保系统软件包是最新的。为此，请按如下所示更新系统：

# dnf update

继续之前，还请确保不存在其他 MTA（如 Sendmail），因为这将导致与 Postfix 配置冲突。例如，要删除 Sendmail，请运行以下命令：

# dnf remove sendmail

步骤 2）设置主机名并更新 /etc/hosts

使用下面的 hostnamectl 命令在系统上设置主机名：

# hostnamectl set-hostname server1.crazytechgeek.info
# exec bash

此外，你需要在 /etc/hosts 中添加系统的主机名和 IP：

# vim /etc/hosts
192.168.1.13   server1.crazytechgeek.info

保存并退出文件。

步骤 3）安装 Postfix 邮件服务器

验证系统上没有其他 MTA 在运行后，运行以下命令安装 Postfix：

# dnf install postfix

步骤 4）启动并启用 Postfix 服务

成功安装 Postfix 后，运行以下命令启动并启用 Postfix 服务：

# systemctl start postfix
# systemctl enable postfix

要检查 Postfix 状态，请运行以下 systemctl 命令：

# systemctl status postfix

太好了，我们已经验证了 Postfix 已启动并正在运行。接下来，我们将配置 Postfix 从本地发送邮件到我们的服务器。

步骤 5）安装 mailx 邮件客户端

在配置 Postfix 服务器之前，我们需要安装 mailx，要安装它，请运行以下命令：

# dnf install mailx

步骤 6）配置 Postfix 邮件服务器

Postfix 的配置文件位于 /etc/postfix/main.cf 中。我们需要对配置文件进行一些修改，因此请使用你喜欢的文本编辑器将其打开：

# vi /etc/postfix/main.cf

更改以下几行：

myhostname = server1.crazytechgeek.info
mydomain = crazytechgeek.info
myorigin = $mydomain
## 取消注释并将 inet_interfaces 设置为 all##
inet_interfaces = all
## 更改为 all ##
inet_protocols = all
## 注释 ##
#mydestination = $myhostname, localhost.$mydomain, localhost
## 取消注释 ##
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
## 取消注释并添加 IP 范围 ##
mynetworks = 192.168.1.0/24, 127.0.0.0/8
## 取消注释 ##
home_mailbox = Maildir/

完成后，保存并退出配置文件。重新启动 postfix 服务以使更改生效：

# systemctl restart postfix

步骤 7）测试 Postfix 邮件服务器

测试我们的配置是否有效，首先，创建一个测试用户。

# useradd postfixuser
# passwd postfixuser

接下来，运行以下命令，从本地用户 pkumar 发送邮件到另一个用户 postfixuser。

# telnet localhost smtp
或者
# telnet localhost 25

如果未安装 telnet 服务，那么可以使用以下命令进行安装：

# dnf install telnet -y

如前所述运行命令时，应获得如下输出：

[root@linuxtechi ~]# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 server1.crazytechgeek.info ESMTP Postfix

上面的结果确认与 postfix 邮件服务器的连接正常。接下来，输入命令：

# ehlo localhost

输出看上去像这样：

250-server1.crazytechgeek.info
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8

接下来，运行橙色高亮的命令，例如 mail from、rcpt to、data，最后输入 quit：

mail from:<pkumar>
250 2.1.0 Ok
rcpt to:<postfixuser>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
Hello, Welcome to my mailserver (Postfix)
.
250 2.0.0 Ok: queued as B56BF1189BEC
quit
221 2.0.0 Bye
Connection closed by foreign host

完成 telnet 命令可从本地用户 pkumar 发送邮件到另一个本地用户 postfixuser，如下所示：

如果一切都按计划进行，那么你应该可以在新用户的家目录中查看发送的邮件：

# ls /home/postfixuser/Maildir/new
1573580091.Vfd02I20050b8M635437.server1.crazytechgeek.info
#

要阅读邮件，只需使用 cat 命令，如下所示：

# cat /home/postfixuser/Maildir/new/1573580091.Vfd02I20050b8M635437.server1.crazytechgeek.info

Postfix 邮件服务器日志

Postfix 邮件服务器邮件日志保存在文件 /var/log/maillog 中，使用以下命令查看实时日志，

# tail -f /var/log/maillog

保护 Postfix 邮件服务器

建议始终确保客户端和 Postfix 服务器之间的通信安全，这可以使用 SSL 证书来实现，它们可以来自受信任的权威机构或自签名证书。在本教程中，我们将使用 openssl 命令生成用于 Postfix 的自签名证书，

我假设 openssl 已经安装在你的系统上，如果未安装，请使用以下 dnf 命令：

# dnf install openssl -y

使用下面的 openssl 命令生成私钥和 CSR（证书签名请求）：

# openssl req -nodes -newkey rsa:2048 -keyout mail.key -out mail.csr

现在，使用以下 openssl 命令生成自签名证书：

# openssl x509 -req -days 365 -in mail.csr -signkey mail.key -out mail.crt
Signature ok
subject=C = IN, ST = New Delhi, L = New Delhi, O = IT, OU = IT, CN = server1.crazytechgeek.info, emailAddress = root@linuxtechi
Getting Private key
#

现在将私钥和证书文件复制到 /etc/postfix 目录下：

# cp mail.key mail.crt /etc/postfix

在 Postfix 配置文件中更新私钥和证书文件的路径：

# vi /etc/postfix/main.cf
………
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/mail.crt
smtpd_tls_key_file = /etc/postfix/mail.key
smtpd_tls_security_level = may
………

重启 Postfix 服务以使上述更改生效：

# systemctl restart postfix

让我们尝试使用 mailx 客户端将邮件发送到内部本地域和外部域。

从 pkumar 发送内部本地邮件到 postfixuser 中：

# echo "test email" | mailx -s "Test email from Postfix MailServer" -r root@linuxtechi root@linuxtechi

使用以下命令检查并阅读邮件：

# cd /home/postfixuser/Maildir/new/
# ll
total 8
-rw-------. 1 postfixuser postfixuser 476 Nov 12 17:34 1573580091.Vfd02I20050b8M635437.server1.crazytechgeek.info
-rw-------. 1 postfixuser postfixuser 612 Nov 13 02:40 1573612845.Vfd02I20050bbM466643.server1.crazytechgeek.info
# cat 1573612845.Vfd02I20050bbM466643.server1.crazytechgeek.info

从 postfixuser 发送邮件到外部域（[email protected]）：

# echo "External Test email" | mailx -s "Postfix MailServer" -r root@linuxtechi root@linuxtechi

注意：如果你的 IP 没有被任何地方列入黑名单，那么你发送到外部域的邮件将被发送，否则它将被退回，并提示你的 IP 被 spamhaus 之类的数据库列入黑名单。

检查 Postfix 邮件队列

使用 mailq 命令列出队列中的邮件：

# mailq
Mail queue is empty
#

完成！我们的 Postfix 配置正常工作了！目前就这样了。我们希望你觉得本教程有见地，并且你可以轻松地设置本地 Postfix 服务器。

via: https://www.linuxtechi.com/install-configure-postfix-mailserver-centos-8/

作者：James Kiarie 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

如果你运行的是大型 Linux 环境，那么你可能已经将 Red Hat 与 Satellite 集成了。如果是的话，你不必担心补丁合规性报告，因为有一种方法可以从 Satellite 服务器导出它。

但是，如果你运行的是没有 Satellite 集成的小型 Red Hat 环境，或者它是 CentOS 系统，那么此脚本将帮助你创建该报告。

补丁合规性报告通常每月创建一次或三个月一次，具体取决于公司的需求。根据你的需要添加 cronjob 来自动执行此功能。

此 bash 脚本 通常适合于少于 50 个系统运行，但没有限制。

保持系统最新是 Linux 管理员的一项重要任务，它使你的计算机非常稳定和安全。

以下文章可以帮助你了解有关在红帽 （RHEL） 和 CentOS 系统上安装安全修补程序的更多详细信息。

• 如何在 CentOS 或 RHEL 系统上检查可用的安全更新？
• 在 RHEL 和 CentOS 系统上安装安全更新的四种方法
• 在 RHEL 和 CentOS 上检查或列出已安装的安全更新的两种方法

此教程中包含四个 shell 脚本，请选择适合你的脚本。

方法 1：为 CentOS / RHEL 系统上的安全修补生成补丁合规性报告的 Bash 脚本

此脚本只会生成安全修补合规性报告。它会通过纯文本发送邮件。

# vi /opt/scripts/small-scripts/sec-errata.sh

#!/bin/sh
/tmp/sec-up.txt
SUBJECT="Patching Reports on "date""
MESSAGE="/tmp/sec-up.txt"
TO="[email protected]"
echo "+---------------+-----------------------------+" >> $MESSAGE
echo "| Server_Name   |  Security Errata            |" >> $MESSAGE
echo "+---------------+-----------------------------+" >> $MESSAGE
for server in `more /opt/scripts/server.txt`
do
sec=`ssh $server yum updateinfo summary | grep 'Security' | grep -v 'Important|Moderate' | tail -1 | awk '{print $1}'`
echo "$server                $sec" >> $MESSAGE
done
echo "+---------------------------------------------+" >> $MESSAGE
mail -s "$SUBJECT" "$TO" < $MESSAGE

添加完上面的脚本后运行它。

# sh /opt/scripts/small-scripts/sec-errata.sh

你会看到下面的输出。

# cat /tmp/sec-up.txt

+---------------+-------------------+
| Server_Name   |  Security Errata  |
+---------------+-------------------+
server1
server2
server3                21
server4
+-----------------------------------+

添加下面的 cronjob 来每个月得到一份补丁合规性报告。

# crontab -e

@monthly /bin/bash /opt/scripts/system-uptime-script-1.sh

方法 1a：为 CentOS / RHEL 系统上的安全修补生成补丁合规性报告的 Bash 脚本

脚本会为你生成安全修补合规性报告。它会通过 CSV 文件发送邮件。

# vi /opt/scripts/small-scripts/sec-errata-1.sh

#!/bin/sh
echo "Server Name, Security Errata" > /tmp/sec-up.csv
for server in `more /opt/scripts/server.txt`
do
sec=`ssh $server yum updateinfo summary | grep 'Security' | grep -v 'Important|Moderate' | tail -1 | awk '{print $1}'`
echo "$server,  $sec" >> /tmp/sec-up.csv
done
echo "Patching Report for `date +"%B %Y"`" | mailx -s "Patching Report on `date`" -a /tmp/sec-up.csv [email protected]
rm /tmp/sec-up.csv

添加完上面的脚本后运行它。

# sh /opt/scripts/small-scripts/sec-errata-1.sh

你会看到下面的输出。

方法 2：为 CentOS / RHEL 系统上的安全修补、bugfix、增强生成补丁合规性报告的 Bash 脚本

脚本会为你生成安全修补、bugfix、增强的补丁合规性报告。它会通过纯文本发送邮件。

# vi /opt/scripts/small-scripts/sec-errata-bugfix-enhancement.sh

#!/bin/sh
/tmp/sec-up.txt
SUBJECT="Patching Reports on "`date`""
MESSAGE="/tmp/sec-up.txt"
TO="[email protected]"
echo "+---------------+-------------------+--------+---------------------+" >> $MESSAGE
echo "| Server_Name   |  Security Errata  | Bugfix |  Enhancement        |" >> $MESSAGE
echo "+---------------+-------------------+--------+---------------------+" >> $MESSAGE
for server in `more /opt/scripts/server.txt`
do
sec=`ssh $server yum updateinfo summary | grep 'Security' | grep -v 'Important|Moderate' | tail -1 | awk '{print $1}'`
bug=`ssh $server yum updateinfo summary | grep 'Bugfix' | tail -1 | awk '{print $1}'`
enhance=`ssh $server yum updateinfo summary | grep 'Enhancement' | tail -1 | awk '{print $1}'`
echo "$server                $sec               $bug             $enhance" >> $MESSAGE
done
echo "+------------------------------------------------------------------+" >> $MESSAGE
mail -s "$SUBJECT" "$TO" < $MESSAGE

添加完上面的脚本后运行它。

# sh /opt/scripts/small-scripts/sec-errata-bugfix-enhancement.sh

你会看到下面的输出。

# cat /tmp/sec-up.txt

+---------------+-------------------+--------+---------------------+
| Server_Name   |  Security Errata  | Bugfix |  Enhancement        |
+---------------+-------------------+--------+---------------------+
server01                                16
server02                  5             16
server03                  21           266             20
server04                                16
+------------------------------------------------------------------+

添加下面的 cronjob 来每三个月得到补丁合规性报告。该脚本计划在一月、四月、七月、十月的 1 号运行。

# crontab -e

0 0 01 */3 * /bin/bash /opt/scripts/system-uptime-script-1.sh

方法 2a：为 CentOS / RHEL 系统上的安全修补、bugfix、增强生成补丁合规性报告的 Bash 脚本

脚本会为你生成安全修补、bugfix、增强的补丁合规性报告。它会通过 CSV 文件发送邮件。

# vi /opt/scripts/small-scripts/sec-errata-bugfix-enhancement-1.sh

#!/bin/sh
echo "Server Name, Security Errata,Bugfix,Enhancement" > /tmp/sec-up.csv
for server in `more /opt/scripts/server.txt`
do
sec=`ssh $server yum updateinfo summary | grep 'Security' | grep -v 'Important|Moderate' | tail -1 | awk '{print $1}'`
bug=`ssh $server yum updateinfo summary | grep 'Bugfix' | tail -1 | awk '{print $1}'`
enhance=`ssh $server yum updateinfo summary | grep 'Enhancement' | tail -1 | awk '{print $1}'`
echo "$server,$sec,$bug,$enhance" >> /tmp/sec-up.csv
done
echo "Patching Report for `date +"%B %Y"`" | mailx -s "Patching Report on `date`" -a /tmp/sec-up.csv [email protected]
rm /tmp/sec-up.csv

添加完上面的脚本后运行它。

# sh /opt/scripts/small-scripts/sec-errata-bugfix-enhancement-1.sh

你会看到下面的输出。

via: https://www.2daygeek.com/bash-script-to-generate-patching-compliance-report-on-centos-rhel-systems/

作者：Magesh Maruthamuthu 选题：lujun9972 译者：geekpi 校对：校对者ID

本文由 LCTT 原创编译，Linux中国 荣誉推出

Nagios 是一个自由开源的网络和警报引擎，它用于监控各种设备，例如网络设备和网络中的服务器。它支持 Linux 和 Windows，并提供了直观的 Web 界面，可让你轻松监控网络资源。经过专业配置后，它可以在服务器或网络设备下线或者故障时向你发出邮件警报。在本文中，我们说明了如何在 RHEL 8/CentOS 8 上安装和配置 Nagios Core。

Nagios Core 的先决条件

在开始之前，请先检查并确保有以下各项：

• RHEL 8/CentOS 8 环境
• 能通过 SSH 访问该环境
• 快速稳定的互联网连接

满足上述要求后，我们开始吧！

步骤 1：安装 LAMP

为了使 Nagios 能够按预期工作，你需要安装 LAMP 或其他 Web 软件，因为它们将在浏览器上运行。为此，请执行以下命令：

# dnf install httpd mariadb-server php-mysqlnd php-fpm

你需要确保 Apache Web 服务器已启动并正在运行。为此，请使用以下命令启用并启动 Apache 服务器：

# systemctl start httpd
# systemctl enable httpd

检查 Apache 服务器运行状态：

# systemctl status httpd

接下来，我们需要启用并启动 MariaDB 服务器，运行以下命令：

# systemctl start mariadb
# systemctl enable mariadb

要检查 MariaDB 状态，请运行：

# systemctl status mariadb

另外，你可能会考虑加强或保护服务器，使其不容易受到未经授权的访问。要保护服务器，请运行以下命令：

# mysql_secure_installation

确保为你的 MySQL 实例设置一个强密码。对于后续提示，请输入 “Y” 并按回车。

步骤 2：安装必需的软件包

除了安装 LAMP 外，还需要一些其他软件包来安装和正确配置 Nagios。因此，如下所示安装软件包：

# dnf install gcc glibc glibc-common wget gd gd-devel perl postfix

步骤 3：创建 Nagios 用户帐户

接下来，我们需要为 Nagios 用户创建一个用户帐户。为此，请运行以下命令：

# adduser nagios
# passwd nagios

现在，我们需要为 Nagios 创建一个组，并将 Nagios 用户添加到该组中。

# groupadd nagiosxi

现在添加 Nagios 用户到组中：

# usermod -aG nagiosxi nagios

另外，将 Apache 用户添加到 Nagios 组：

# usermod -aG nagiosxi apache

步骤 4：下载并安装 Nagios Core

现在，我们可以继续安装 Nagios Core。Nagios 4.4.5 的最新稳定版本于 2019 年 8 月 19 日发布。但首先，请从它的官方网站下载 Nagios tarball 文件。

要下载 Nagios Core，请首进入 /tmp 目录：

# cd /tmp

接下来下载 tarball 文件：

# wget https://assets.nagios.com/downloads/nagioscore/releases/nagios-4.4.5.tar.gz

下载完 tarball 文件后，使用以下命令将其解压缩：

# tar -xvf nagios-4.4.5.tar.gz

接下来，进入未压缩的文件夹：

# cd nagios-4.4.5

按此顺序运行以下命令：

# ./configure --with-command-group=nagcmd
# make all
# make install
# make install-init
# make install-daemoninit
# make install-config
# make install-commandmode
# make install-exfoliation

要配置 Apache，请运行以下命令：

# make install-webconf

步骤 5：配置 Apache Web 服务器身份验证

接下来，我们将为用户 nagiosadmin 设置身份验证。请注意不要更改该用户名，否则，可能会要求你进一步的配置，这可能很繁琐。

要设置身份验证，请运行以下命令：

# htpasswd -c /usr/local/nagios/etc/htpasswd.users nagiosadmin

系统将提示你输入 nagiosadmin 用户的密码。输入并按要求确认密码。在本教程结束时，你将使用该用户登录 Nagios。

为使更改生效，请重新启动 Web 服务器：

# systemctl restart httpd

步骤 6：下载并安装 Nagios 插件

插件可以扩展 Nagios 服务器的功能。它们将帮助你监控各种服务、网络设备和应用。要下载插件的 tarball 文件，请运行以下命令：

# wget https://nagios-plugins.org/download/nagios-plugins-2.2.1.tar.gz

接下来，解压 tarball 文件并进入到未压缩的插件文件夹：

# tar -xvf nagios-plugins-2.2.1.tar.gz
# cd nagios-plugins-2.2.1

要安装插件，请编译源代码，如下所示：

# ./configure --with-nagios-user=nagios --with-nagios-group=nagiosxi
# make
# make install

步骤 7：验证和启动 Nagios

成功安装 Nagios 插件后，验证 Nagios 配置以确保一切良好，并且配置中没有错误：

# /usr/local/nagios/bin/nagios -v /usr/local/nagios/etc/nagios.cfg

接下来，启动 Nagios 并验证其状态：

# systemctl start nagios
# systemctl status nagios

如果系统中有防火墙，那么使用以下命令允许 ”80“ 端口：

# firewall-cmd --permanent --add-port=80/tcp# firewall-cmd --reload

步骤 8：通过 Web 浏览器访问 Nagios 面板

要访问 Nagios，请打开服务器的 IP 地址，如下所示：http://server-ip/nagios 。

这将出现一个弹出窗口，提示输入我们在步骤 5 创建的用户名和密码。输入凭据并点击“Sign In”。

这将引导你到 Nagios 面板，如下所示：

我们终于成功地在 CentOS 8 / RHEL 8 上安装和配置了 Nagios Core。欢迎你的反馈。

via: https://www.linuxtechi.com/install-nagios-core-rhel-8-centos-8/

作者：James Kiarie 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

有时，你可能需要定期或以预定的时间间隔执行任务。这些任务包括备份数据库、更新系统、执行定期重新引导等。这些任务称为 “cron 任务”。cron 任务用于“自动执行的任务”，它有助于简化重复的、有时是乏味的任务的执行。cron 是一个守护进程，可让你安排这些任务，然后按指定的时间间隔执行这些任务。在本教程中，你将学习如何使用 cron 来安排任务。

crontab 文件

crontab 即 “cron table”，是一个简单的文本文件，其中包含指定任务执行时间间隔的规则和命令。 crontab 文件分为两类：

1）系统范围的 crontab 文件

这些通常由需要 root 特权的 Linux 服务及关键应用程序使用。系统 crontab 文件位于 /etc/crontab 中，并且只能由 root 用户访问和编辑。通常用于配置系统范围的守护进程。crontab 文件的看起来类似如下所示：

2）用户创建的 crontab 文件

Linux 用户还可以在 crontab 命令的帮助下创建自己的 cron 任务。创建的 cron 任务将以创建它们的用户身份运行。

所有 cron 任务都存储在 /var/spool/cron（对于 RHEL 和 CentOS 发行版）和 /var/spool/cron/crontabs（对于 Debian 和 Ubuntu 发行版）中，cron 任务使用创建该文件的用户的用户名列出。

cron 守护进程在后台静默地检查 /etc/crontab 文件和 /var/spool/cron 及 /etc/cron.d*/ 目录。

crontab 命令用于编辑 cron 文件。让我们看一下 crontab 文件的结构。

crontab 文件剖析

在继续之前，我们要首先探索 crontab 文件的格式。crontab 文件的基本语法包括 5 列，由星号表示，后跟要执行的命令。

*    *    *    *    *    command

此格式也可以表示如下：

m h d moy dow command

或

m h d moy dow /path/to/script

让我们来解释一下每个条目

• m：代表分钟。范围是 0 到 59
• h：表示小时，范围是 0 到 23
• d：代表一个月中的某天，范围是 1 到 31
• moy：这是一年中的月份。范围是 1 到 12
• dow：这是星期几。范围是 0 到 6，其中 0 代表星期日
• command：这是要执行的命令，例如备份命令、重新启动和复制命令等

管理 cron 任务

看完 crontab 文件的结构之后，让我们看看如何创建、编辑和删除 cron 任务。

创建 cron 任务

要以 root 用户身份创建或编辑 cron 任务，请运行以下命令：

# crontab -e

要为另一个用户创建或安排 cron 任务，请使用以下语法：

# crontab -u username -e

例如，要以 Pradeep 用户身份运行 cron 任务，请发出以下命令：

# crontab -u Pradeep -e

如果该 crontab 文件尚不存在，那么你将打开一个空白文本文件。如果该 crontab 文件已经存在，则 -e 选项会让你编辑该文件，

列出 crontab 文件

要查看已创建的 cron 任务，只需传递 -l 选项：

# crontab -l

删除 crontab 文件

要删除 cron 任务，只需运行 crontab -e 并删除所需的 cron 任务行，然后保存该文件。

要删除所有的 cron 任务，请运行以下命令：

# crontab -r

然后，让我们看一下安排任务的不同方式。

使用 crontab 安排任务示例

如图所示，所有 cron 任务文件都带有 释伴 shebang 标头。

#!/bin/bash

这表示你正在使用的 shell，在这种情况下，即 bash shell。

接下来，使用我们之前指定的 cron 任务条目指定要安排任务的时间间隔。

要每天下午 12:30 重启系统，请使用以下语法：

30  12 *  *  * /sbin/reboot

要安排在凌晨 4:00 重启，请使用以下语法：

0  4  *  *  *  /sbin/reboot

注：星号 * 用于匹配所有记录。

要每天两次运行脚本（例如，凌晨 4:00 和下午 4:00），请使用以下语法：

0  4,16  *  *  *  /path/to/script

要安排 cron 任务在每个星期五下午 5:00 运行，请使用以下语法：

0  17  *  *  Fri  /path/to/script

或

0 17  *  *  *  5  /path/to/script

如果你希望每 30 分钟运行一次 cron 任务，请使用：

*/30  *  *  *  * /path/to/script

要安排 cron 任务每 5 小时运行一次，请运行：

*  */5  *  *  *  /path/to/script

要在选定的日期（例如，星期三和星期五的下午 6:00）运行脚本，请执行以下操作：

0  18  *  *  wed,fri  /path/to/script

要使用单个 cron 任务运行多个命令，请使用分号分隔任务，例如：

*  *  *  *  *  /path/to/script1 ; /path/to/script2

使用特殊字符串节省编写 cron 任务的时间

某些 cron 任务可以使用对应于特定时间间隔的特殊字符串轻松配置。例如，

1）@hourly 时间戳等效于 0 * * * *

它将在每小时的第一分钟执行一次任务。

@hourly /path/to/script

2）@daily 时间戳等效于 0 0 * * *

它在每天的第一分钟（午夜）执行任务。它可以在执行日常工作时派上用场。

@daily /path/to/script

3）@weekly 时间戳等效于 0 0 * * 0

它在每周的第一分钟执行 cron 任务，一周第一天是从星期日开始的。

@weekly /path/to/script

3）@monthly 时间戳等效于 0 0 1 * *

它在每月第一天的第一分钟执行任务。

@monthly /path/to/script

4）@yearly 时间戳等效于 0 0 1 1 *

它在每年的第一分钟执行任务，可以用于发送新年问候。

@yearly /path/to/script

限制 crontab

作为 Linux 用户，你可以控制谁有权使用 crontab 命令。可以使用 /etc/cron.deny 和 /etc/cron.allow 文件来控制。默认情况下，只有一个 /etc/cron.deny 文件，并且不包含任何条目。要限制用户使用 crontab 实用程序，只需将用户的用户名添加到该文件中即可。当用户添加到该文件中，并且该用户尝试运行 crontab 命令时，他/她将遇到以下错误。

要允许用户继续使用 crontab 实用程序，只需从 /etc/cron.deny 文件中删除用户名即可。

如果存在 /etc/cron.allow 文件，则仅文件中列出的用户可以访问和使用 crontab 实用程序。

如果两个文件都不存在，则只有 root 用户具有使用 crontab 命令的特权。

备份 crontab 条目

始终建议你备份 crontab 条目。为此，请使用语法：

# crontab -l > /path/to/file.txt

例如：

# crontab -l > /home/james/backup.txt

检查 cron 日志

cron 日志存储在 /var/log/cron 文件中。要查看 cron 日志，请运行以下命令：

# cat /var/log/cron

要实时查看日志，请使用 tail 命令，如下所示：

# tail -f /var/log/cron

总结

在本指南中，你学习了如何创建 cron 任务以自动执行重复性任务，如何备份和查看 cron 日志。我们希望本文提供有关 cron 作业的有用见解。请随时分享你的反馈和意见。

via: https://www.linuxtechi.com/schedule-automate-tasks-linux-cron-jobs/

作者：Pradeep Kumar 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

通过这份 Jenkins 分步教程，构建持续集成和持续交付（CI/CD）流水线。

在我的文章《使用开源工具构建 DevOps 流水线的初学者指南》中，我分享了一个从头开始构建 DevOps 流水线的故事。推动该计划的核心技术是 Jenkins，这是一个用于建立持续集成和持续交付（CI/CD）流水线的开源工具。

在花旗，有一个单独的团队为专用的 Jenkins 流水线提供稳定的主从节点环境，但是该环境仅用于质量保证（QA）、构建阶段和生产环境。开发环境仍然是非常手动的，我们的团队需要对其进行自动化以在加快开发工作的同时获得尽可能多的灵活性。这就是我们决定为 DevOps 建立 CI/CD 流水线的原因。Jenkins 的开源版本由于其灵活性、开放性、强大的插件功能和易用性而成为显而易见的选择。

在本文中，我将分步演示如何使用 Jenkins 构建 CI/CD 流水线。

什么是流水线？

在进入本教程之前，了解有关 CI/CD 流水线 pipeline 的知识会很有帮助。

首先，了解 Jenkins 本身并不是流水线这一点很有帮助。只是创建一个新的 Jenkins 作业并不能构建一条流水线。可以把 Jenkins 看做一个遥控器，在这里点击按钮即可。当你点击按钮时会发生什么取决于遥控器要控制的内容。Jenkins 为其他应用程序 API、软件库、构建工具等提供了一种插入 Jenkins 的方法，它可以执行并自动化任务。Jenkins 本身不执行任何功能，但是随着其它工具的插入而变得越来越强大。

流水线是一个单独的概念，指的是按顺序连接在一起的事件或作业组：

“ 流水线 pipeline ”是可以执行的一系列事件或作业。

理解流水线的最简单方法是可视化一系列阶段，如下所示：

在这里，你应该看到两个熟悉的概念： 阶段 Stage 和 步骤 Step 。

• 阶段：一个包含一系列步骤的块。阶段块可以命名为任何名称；它用于可视化流水线过程。
• 步骤：表明要做什么的任务。步骤定义在阶段块内。

在上面的示例图中，阶段 1 可以命名为 “构建”、“收集信息”或其它名称，其它阶段块也可以采用类似的思路。“步骤”只是简单地说放上要执行的内容，它可以是简单的打印命令（例如，echo "Hello, World"）、程序执行命令（例如，java HelloWorld）、shell 执行命令（ 例如，chmod 755 Hello）或任何其他命令，只要通过 Jenkins 环境将其识别为可执行命令即可。

Jenkins 流水线以编码脚本的形式提供，通常称为 “Jenkinsfile”，尽管可以用不同的文件名。下面这是一个简单的 Jenkins 流水线文件的示例：

// Example of Jenkins pipeline script

pipeline {
  stages {
    stage("Build") {
      steps {
          // Just print a Hello, Pipeline to the console
          echo "Hello, Pipeline!"
          // Compile a Java file. This requires JDKconfiguration from Jenkins
          javac HelloWorld.java
          // Execute the compiled Java binary called HelloWorld. This requires JDK configuration from Jenkins
          java HelloWorld
          // Executes the Apache Maven commands, clean then package. This requires Apache Maven configuration from Jenkins
          mvn clean package ./HelloPackage
          // List the files in current directory path by executing a default shell command
          sh "ls -ltr"
      }
    }
   // And next stages if you want to define further...
  } // End of stages
} // End of pipeline

从此示例脚本很容易看到 Jenkins 流水线的结构。请注意，默认情况下某些命令（如 java、javac和 mvn）不可用，需要通过 Jenkins 进行安装和配置。 因此：

Jenkins 流水线是一种以定义的方式依次执行 Jenkins 作业的方法，方法是将其编码并在多个块中进行结构化，这些块可以包含多个任务的步骤。

好。既然你已经了解了 Jenkins 流水线是什么，我将向你展示如何创建和执行 Jenkins 流水线。在本教程的最后，你将建立一个 Jenkins 流水线，如下所示：

如何构建 Jenkins 流水线

为了便于遵循本教程的步骤，我创建了一个示例 GitHub 存储库和一个视频教程。

开始本教程之前，你需要：

• Java 开发工具包（JDK）：如果尚未安装，请安装 JDK 并将其添加到环境路径中，以便可以通过终端执行 Java 命令（如 java jar）。这是利用本教程中使用的 Java Web Archive（WAR）版本的 Jenkins 所必需的（尽管你可以使用任何其他发行版）。
• 基本计算机操作能力：你应该知道如何键入一些代码、通过 shell 执行基本的 Linux 命令以及打开浏览器。

让我们开始吧。

步骤一：下载 Jenkins

导航到 Jenkins 下载页面。向下滚动到 “Generic Java package (.war)”，然后单击下载文件；将其保存在易于找到的位置。（如果你选择其他 Jenkins 发行版，除了步骤二之外，本教程的其余步骤应该几乎相同。）使用 WAR 文件的原因是它是个一次性可执行文件，可以轻松地执行和删除。

步骤二：以 Java 二进制方式执行 Jenkins

打开一个终端窗口，并使用 cd <your path> 进入下载 Jenkins 的目录。（在继续之前，请确保已安装 JDK 并将其添加到环境路径。）执行以下命令，该命令将 WAR 文件作为可执行二进制文件运行：

java -jar ./jenkins.war

如果一切顺利，Jenkins 应该在默认端口 8080 上启动并运行。

步骤三：创建一个新的 Jenkins 作业

打开一个 Web 浏览器并导航到 localhost:8080。除非你有以前安装的 Jenkins，否则应直接转到 Jenkins 仪表板。点击 “Create New Jobs”。你也可以点击左侧的 “New Item”。

步骤四：创建一个流水线作业

在此步骤中，你可以选择并定义要创建的 Jenkins 作业类型。选择 “Pipeline” 并为其命名（例如，“TestPipeline”）。单击 “OK” 创建流水线作业。

你将看到一个 Jenkins 作业配置页面。向下滚动以找到 “Pipeline” 部分。有两种执行 Jenkins 流水线的方法。一种方法是在 Jenkins 上直接编写流水线脚本，另一种方法是从 SCM（源代码管理）中检索 Jenkins 文件。在接下来的两个步骤中，我们将体验这两种方式。

步骤五：通过直接脚本配置并执行流水线作业

要使用直接脚本执行流水线，请首先从 GitHub 复制该 Jenkinsfile 示例的内容。选择 “Pipeline script” 作为 “Destination”，然后将该 Jenkinsfile 的内容粘贴到 “Script” 中。花一些时间研究一下 Jenkins 文件的结构。注意，共有三个阶段：Build、Test 和 Deploy，它们是任意的，可以是任何一个。每个阶段中都有一些步骤；在此示例中，它们只是打印一些随机消息。

单击 “Save” 以保留更改，这将自动将你带回到 “Job Overview” 页面。

要开始构建流水线的过程，请单击 “Build Now”。如果一切正常，你将看到第一个流水线（如下面的这个）。

要查看流水线脚本构建的输出，请单击任何阶段，然后单击 “Log”。你会看到这样的消息。

步骤六：通过 SCM 配置并执行流水线作业

现在，换个方式：在此步骤中，你将通过从源代码控制的 GitHub 中复制 Jenkinsfile 来部署相同的 Jenkins 作业。在同一个 GitHub 存储库中，通过单击 “Clone or download” 并复制其 URL 来找到其存储库 URL。

单击 “Configure” 以修改现有作业。滚动到 “Advanced Project Options” 设置，但这一次，从 “Destination” 下拉列表中选择 “Pipeline script from SCM” 选项。将 GitHub 存储库的 URL 粘贴到 “Repository URL” 中，然后在 “Script Path” 中键入 “Jenkinsfile”。 单击 “Save” 按钮保存。

要构建流水线，回到 “Task Overview” 页面后，单击 “Build Now” 以再次执行作业。结果与之前相同，除了多了一个称为 “Declaration: Checkout SCM” 的阶段。

要查看来自 SCM 构建的流水线的输出，请单击该阶段并查看 “Log” 以检查源代码控制克隆过程的进行情况。

除了打印消息，还能做更多

恭喜你！你已经建立了第一个 Jenkins 流水线！

“但是等等”，你说，“这太有限了。除了打印无用的消息外，我什么都做不了。”那没问题。到目前为止，本教程仅简要介绍了 Jenkins 流水线可以做什么，但是你可以通过将其与其他工具集成来扩展其功能。以下是给你的下一个项目的一些思路：

• 建立一个多阶段的 Java 构建流水线，从以下阶段开始：从 Nexus 或 Artifactory 之类的 JAR 存储库中拉取依赖项、编译 Java 代码、运行单元测试、打包为 JAR/WAR 文件，然后部署到云服务器。
• 实现一个高级代码测试仪表板，该仪表板将基于 Selenium 的单元测试、负载测试和自动用户界面测试，报告项目的运行状况。
• 构建多流水线或多用户流水线，以自动化执行 Ansible 剧本的任务，同时允许授权用户响应正在进行的任务。
• 设计完整的端到端 DevOps 流水线，该流水线可提取存储在 SCM 中的基础设施资源文件和配置文件（例如 GitHub），并通过各种运行时程序执行该脚本。

学习本文结尾处的任何教程，以了解这些更高级的案例。

管理 Jenkins

在 Jenkins 主面板，点击 “Manage Jenkins”。

全局工具配置

有许多可用工具，包括管理插件、查看系统日志等。单击 “Global Tool Configuration”。

增加附加能力

在这里，你可以添加 JDK 路径、Git、Gradle 等。配置工具后，只需将该命令添加到 Jenkinsfile 中或通过 Jenkins 脚本执行即可。

后继

本文为你介绍了使用酷炫的开源工具 Jenkins 创建 CI/CD 流水线的方法。要了解你可以使用 Jenkins 完成的许多其他操作，请在 Opensource.com 上查看以下其他文章：

• Jenkins X 入门
• 使用 Jenkins 安装 OpenStack 云
• 在容器中运行 Jenkins
• Jenkins 流水线入门
• 如何与 Jenkins 一起运行 JMeter
• 将 OpenStack 集成到你的 Jenkins 工作流中

你可能对我为你的开源之旅而写的其他一些文章感兴趣：

• 9 个用于构建容错系统的开源工具
• 了解软件设计模式
• 使用开源工具构建 DevOps 流水线的初学者指南

via: https://opensource.com/article/19/9/intro-building-cicd-pipelines-jenkins

作者：Bryant Son 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

你可能已经熟悉使用 ssh 命令访问远程系统。ssh 命令背后所使用的协议允许终端的输入和输出流经安全通道。但是你知道也可以使用 ssh 来安全地发送和接收其他数据吗？一种方法是使用“ 端口转发 port forwarding ”，它允许你在进行 ssh 会话时安全地连接网络端口。本文向你展示了它是如何工作的。

关于端口

标准 Linux 系统已分配了一组网络端口，范围是 0 - 65535。系统会保留 0 - 1023 的端口以供系统使用。在许多系统中，你不能选择使用这些低端口号。通常有几个端口用于运行特定的服务。你可以在系统的 /etc/services 文件中找到这些定义。

你可以认为网络端口是类似的物理端口或可以连接到电缆的插孔。端口可以连接到系统上的某种服务，类似物理插孔后面的接线。一个例子是 Apache Web 服务器（也称为 httpd）。对于 HTTP 非安全连接，Web 服务器通常要求在主机系统上使用端口 80，对于 HTTPS 安全连接通常要求使用 443。

当你连接到远程系统（例如，使用 Web 浏览器）时，你是将浏览器“连接”到你的主机上的端口。这通常是一个随机的高端口号，例如 54001。你的主机上的端口连接到远程主机上的端口（例如 443）来访问其安全的 Web 服务器。

那么，当你有这么多可用端口时，为什么还要使用端口转发呢？这是 Web 开发人员生活中的几种常见情况。

本地端口转发

想象一下，你正在名为 remote.example.com 的远程系统上进行 Web 开发。通常，你是通过 ssh 进入此系统的，但是它位于防火墙后面，而且该防火墙很少允许其他类型的访问，并且会阻塞大多数其他端口。要尝试你的网络应用，能够使用浏览器访问远程系统会很有帮助。但是，由于使用了讨厌的防火墙，你无法通过在浏览器中输入 URL 的常规方法来访问它。

本地转发使你可以通过 ssh 连接来建立可通过远程系统访问的端口。该端口在系统上显示为本地端口（因而称为“本地转发”）。

假设你的网络应用在 remote.example.com 的 8000 端口上运行。要将那个系统的 8000 端口本地转发到你系统上的 8000 端口，请在开始会话时将 -L 选项与 ssh 结合使用：

$ ssh -L 8000:localhost:8000 remote.example.com

等等，为什么我们使用 localhost 作为转发目标？这是因为从 remote.example.com 的角度来看，你是在要求主机使用其自己的端口 8000。（回想一下，任何主机通常可以通过网络连接 localhost 而连接到自身。）现在那个端口连接到你系统的 8000 端口了。ssh 会话准备就绪后，将其保持打开状态，然后可以在浏览器中键入 http://localhost:8000 来查看你的 Web 应用。现在，系统之间的流量可以通过 ssh 隧道安全地传输！

如果你有敏锐的眼睛，你可能已经注意到了一些东西。如果我们要 remote.example.com 转发到与 localhost 不同的主机名怎么办？如果它可以访问该网络上另一个系统上的端口，那么通常可以同样轻松地转发该端口。例如，假设你想访问也在该远程网络中的 db.example.com 的 MariaDB 或 MySQL 服务。该服务通常在端口 3306 上运行。因此，即使你无法 ssh 到实际的 db.example.com 主机，你也可以使用此命令将其转发：

$ ssh -L 3306:db.example.com:3306 remote.example.com

现在，你可以在 localhost 上运行 MariaDB 命令，而实际上是在使用 db.example.com 主机。

远程端口转发

远程转发让你可以进行相反操作。想象一下，你正在为办公室的朋友设计一个 Web 应用，并想向他们展示你的工作。不过，不幸的是，你在咖啡店里工作，并且由于网络设置，他们无法通过网络连接访问你的笔记本电脑。但是，你同时使用着办公室的 remote.example.com 系统，并且仍然可在这里登录。你的 Web 应用似乎在本地 5000 端口上运行良好。

远程端口转发使你可以通过 ssh 连接从本地系统建立端口的隧道，并使该端口在远程系统上可用。在开始 ssh 会话时，只需使用 -R 选项：

$ ssh -R 6000:localhost:5000 remote.example.com

现在，当在公司防火墙内的朋友打开浏览器时，他们可以进入 http://remote.example.com:6000 查看你的工作。就像在本地端口转发示例中一样，通信通过 ssh 会话安全地进行。

默认情况下，sshd 守护进程运行在设置的主机上，因此只有该主机可以连接它的远程转发端口。假设你的朋友希望能够让其他 example.com 公司主机上的人看到你的工作，而他们不在 remote.example.com 上。你需要让 remote.example.com 主机的所有者将以下选项之一添加到 /etc/ssh/sshd_config 中：

GatewayPorts yes       # 或
GatewayPorts clientspecified

第一个选项意味着 remote.example.com 上的所有网络接口都可以使用远程转发的端口。第二个意味着建立隧道的客户端可以选择地址。默认情况下，此选项设置为 no。

使用此选项，你作为 ssh 客户端仍必须指定可以共享你这边转发端口的接口。通过在本地端口之前添加网络地址范围来进行此操作。有几种方法可以做到，包括：

$ ssh -R *:6000:localhost:5000                   # 所有网络
$ ssh -R 0.0.0.0:6000:localhost:5000             # 所有网络
$ ssh -R 192.168.1.15:6000:localhost:5000        # 单个网络
$ ssh -R remote.example.com:6000:localhost:5000  # 单个网络

其他注意事项

请注意，本地和远程系统上的端口号不必相同。实际上，有时你甚至可能无法使用相同的端口。例如，普通用户可能不会在默认设置中转发到系统端口。

另外，可以限制主机上的转发。如果你需要在联网主机上更严格的安全性，那么这你来说可能很重要。 sshd 守护程进程的 PermitOpen 选项控制是否以及哪些端口可用于 TCP 转发。默认设置为 any，这让上面的所有示例都能正常工作。要禁止任何端口转发，请选择 none，或仅允许的特定的“主机:端口”。有关更多信息，请在手册页中搜索 PermitOpen 来配置 sshd 守护进程：

$ man sshd_config

最后，请记住，只有在 ssh 会话处于打开状态时才会端口转发。如果需要长时间保持转发活动，请尝试使用 -N 选项在后台运行会话。确保控制台已锁定，以防止在你离开控制台时其被篡夺。

via: https://fedoramagazine.org/using-ssh-port-forwarding-on-fedora/

作者：Paul W. Frields 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出