容器现在风靡于 IT 界 —— 这很好理解。容器是轻量级的，包含应用运行所需所有东西（代码、库、运行时环境、系统设置，以及依赖关系）的独立的包。每个容器都部署于它自己的 CPU、内存、块 I/O，以及网络资源上，所有这些都不依赖于某个内核和操作系统。这也是容器与虚拟机之间最大的不同；相比之下，虚拟机是一个运行于宿主机操作系统上的完整的操作系统平台，而容器不是。

容器允许你以一种前所未有的方式扩展交付能力（不管内部还是外部的）。例如，你可以快速部署多个 NGINX 实例（甚至可以应用于多个不同的阶段 —— 比如开发和生产阶段）。跟虚拟机不同，容器不会消耗太多系统资源。

Docker 使得创建、部署，和管理容器变得特别简单。更好的是，安装和使用 Docker 在 Linux 平台上特别的方便。

我将会向你演示在 Linux 上安装 Docker 是多么方便，同时带你入门 Docker。我的演示平台是 Ubuntu 16.04 Server，但流程在大多数其它 Linux 平台都差不多。

我这里假设你已经启动了 Ubuntu Server 16.04。

安装

由于 Ubuntu Server 16.04 缺少图形界面，我会完全通过命令行来安装和使用 Docker。在你安装前，你需要更新 apt 然后进行必要的升级。一定要注意，若系统内核升级了，你会需要重启系统。因此最好挑个服务器能重启的时间进行。

运行下面命令更新 apt：

sudo apt update

完成后，使用命令升级系统：

sudo apt upgrade

若内核升级了，你需要用下面命令重启服务器：

sudo reboot

若内核没有升级，你就可以安装 Docker 了（无需重启）。安装 Docker 的命令为：

sudo apt install docker.io

若你使用的是其它 Linux 发行版，当尝试用相应的包管理器来安装时却发现没有 docker.io 包，则你应该安装 docker 包。例如，在 Fedora 上安装应该用命令：

sudo dnf install docker

若你使用的是 CentOS 7，那么最好使用安装脚本来安装 docker。首先使用命令 sudo yum check-update 更新系统。升级完后，输入下面命令来下载并运行所需的脚本：

curl -fsSL https://get.docker.com/ | sh

默认情况下，只有管理员权限能够运行 docker 命令。考虑到安全问题，你不会想用 root 用户或使用 sudo 来运行 Docker 的。要解决这个问题，你需要将自己的用户加入到 docker 组中。命令如下：

sudo usermod -a -G docker $USER

完成操作后，登出系统然后再重新登录，应该就搞定了。不过若你的平台是 Fedora，则添加用户到 docker 组时会发现这个组是不存在的。那该怎么办呢？你需要首先创建这个组。命令如下：

sudo groupadd docker && sudo gpasswd -a ${USER} docker && sudo systemctl restart docker
newgrp docker

登出后再登录。就可以开始用 Docker 了。

启动，暂停以及启用 Docker

安装好 Docker 后，你可以让系统在启动时自动启动 Docker 守护进程。使用下面两个命令来实现这一点：

sudo systemctl start docker
sudo systemctl enable docker

若需要暂停或重启 Docker 守护进程，则命令为：

sudo systemctl stop docker
sudo systemctl restart docker

现在可以用 Docker 来部署容器了。

拉取镜像

对 Docker 来说，镜像是构建容器的基石。你可以拉下一个镜像（比如 NGINX）然后根据这个镜像部署任意多个容器出来。使用镜像前，你首先需要把镜像拉取到系统中。镜像从注册仓库中拉取，默认情况下安装好的 Docker 包含了一个默认的注册仓库 Docker Hub —— 这个注册仓库包含了大量别人所贡献的镜像（既包括官方的镜像，也包括用户自己贡献的镜像）。

假设你想要拉取一个 Nginx Web 服务器相关的镜像。在开始拉取前，先检查一下系统中已经有了哪些镜像。输入 docker images 命令你会发现现在还没有镜像存在（图 1）。

图 1：还没有镜像。

让我们来拉取一个镜像。使用下面命令可以从 Docker Hub 中下载 Nginx 镜像：

docker pull nginx

上面命令会从 Docker Hub 下载最新的（官方的） Nginx 镜像。现在再运行 docker images 命令就能看到有列出镜像了（图 2）。

图 2：NGINX 镜像已经被拉取下来了。

注意到我这里说的是“官方” Nginx 镜像了吗？在 Docker Hub 上有很多的非官方 Nginx 镜像。这些非官方镜像都是基于各种不同的目的而创建出来的。你可以使用下面过命令来搜索 Docker Hub 中的所有 Nginx 镜像：

docker search nginx

你会发现（图 3 中），有很多基于不同目的所创建的 Nginx 镜像（反向代理、PHP-FPM（LCTT 译注： FastCGI 进程管理器 FastCGI Process Manager 是一个 PHPFastCGI 管理器，旨在将 FastCGI 进程管理整合进 PHP 包中）功能、LetsEncrypt（LCTT 译注：由 ISRG 提供的免费 SSL 项目），Bitnami，在树莓派上使用的 Nginx 和 Drupal，等等很多很多)。

图 3：Docker Hub 上找到的各种 NGINX 镜像。

假设，你想要下载内建有反向代理功能的 Nginx 镜像，有个非官方的镜像 jwilder/nginx-proxy。因此输入下面命令来拉取这个镜像：

docker pull jwilder/nginx-proxy

再输入 docker images 命令来查看新拉下来的这个镜像（图 4）。

图 4：已经有了两种不同的 NGINX 镜像了。

处于谨慎考虑，我建议只使用官方镜像，毕竟你无法确定非官方镜像是否包含了恶意代码。

有了镜像后就可以用它来部署容器了。下次我们再聊聊如何通过这些 Nginx 镜像来发布容器。

Docker 是一个超级强力的系统可以让你的工作更简单，让你的公司更具有伸缩性，也更灵活。想知道 Docker 还能做什么，运行 man docker 然后阅读它的帮助文档吧。

via: https://www.linux.com/learn/intro-to-linux/2017/11/how-install-and-use-docker-linux

作者：Jack Wallen 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

系统管理员需要监控 IT 基础设施来确保一切正常运行。我们需要监控硬件，也就是内存、硬盘和 CPU 等的性能，我们也必须监控我们的网络。我们需要确保我们的网络不被过度使用，否则我们的程序，网站可能无法正常工作。在本教程中，我们将学习使用 iftop。

（推荐阅读：使用 Nagios 进行资源监控、用于检查系统信息的工具 、要监控的重要日志 ）

iftop 是网络监控工具，它提供实时带宽监控。 iftop 测量进出各个套接字连接的总数据量，即它捕获通过网络适配器收到或发出的数据包，然后将这些数据相加以得到使用的带宽。

在 Debian/Ubuntu 上安装

iftop 存在于 Debian/Ubuntu 的默认仓库中，可以使用下面的命令安装：

$ sudo apt-get install iftop

使用 yum 在 RHEL/Centos 上安装

要在 CentOS 或 RHEL 上安装 iftop，我们需要启用 EPEL 仓库。要启用仓库，请在终端上运行以下命令：

RHEL/CentOS 7：

$ rpm -Uvh https://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-10.noarch.rpm

RHEL/CentOS 6（64 位）：

$ rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

RHEL/CentOS 6 （32 位）：

$ rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

EPEL 仓库安装完成后，我们可以用下面的命令安装 iftop：

$ yum install iftop

这将在你的系统上安装 iftop。我们现在将用它来监控我们的网络。

使用 iftop

可以打开终端窗口，并输入下面的命令使用 iftop：

$ iftop

现在你将看到计算机上发生的网络活动。你也可以使用：

$ iftop -n

这将在屏幕上显示网络信息，但使用 -n，则不会显示与 IP 地址相关的名称，只会显示 IP 地址。这个选项能节省一些将 IP 地址解析为名称的带宽。

我们也可以看到 iftop 可以使用的所有命令。运行 iftop 后，按下键盘上的 h 查看 iftop 可以使用的所有命令。

要监控特定的网络接口，我们可以在 iftop 后加上接口名：

$ iftop -I enp0s3

如上所述，你可以使用帮助来查看 iftop 可以使用的更多选项。但是这些提到的例子只是可能只是监控网络。

via: http://linuxtechlab.com/monitoring-network-bandwidth-iftop-command/

作者：SHUSAIN 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

精进你的系统管理能力和 Linux 技能，学习如何设置工具来简化管理多台机器。

你是否想精进你的系统管理能力和 Linux 技能？也许你的本地局域网上跑了一些东西，而你又想让生活更轻松一点--那该怎么办呢？在本文中，我会向你演示如何设置工具来简化管理多台机器。

远程管理工具有很多，SaltStack、Puppet、Chef，以及 Ansible 都是很流行的选择。在本文中，我将重点放在 Ansible 上并会解释它是如何帮到你的，不管你是有 5 台还是 1000 台虚拟机。

让我们从多机（不管这些机器是虚拟的还是物理的）的基本管理开始。我假设你知道要做什么，有基础的 Linux 管理技能（至少要有能找出执行每个任务具体步骤的能力）。我会向你演示如何使用这一工具，而是否使用它由你自己决定。

什么是 Ansible？

Ansible 的网站上将之解释为 “一个超级简单的 IT 自动化引擎，可以自动进行云供给、配置管理、应用部署、服务内部编排，以及其他很多 IT 需求。” 通过在一个集中的位置定义好服务器集合，Ansible 可以在多个服务器上执行相同的任务。

如果你对 Bash 的 for 循环很熟悉，你会发现 Ansible 操作跟这很类似。区别在于 Ansible 是 幕等的 idempotent 。通俗来说就是 Ansible 一般只有在确实会发生改变时才执行所请求的动作。比如，假设你执行一个 Bash 的 for 循环来为多个机器创建用户，像这样子：

for server in serverA serverB serverC; do ssh ${server} "useradd myuser"; done

这会在 serverA、serverB，以及 serverC 上创建 myuser 用户；然而不管这个用户是否存在，每次运行这个 for 循环时都会执行 useradd 命令。一个幕等的系统会首先检查用户是否存在，只有在不存在的情况下才会去创建它。当然，这个例子很简单，但是幕等工具的好处将会随着时间的推移变得越发明显。

Ansible 是如何工作的？

Ansible 会将 Ansible playbooks 转换成通过 SSH 运行的命令，这在管理类 UNIX 环境时有很多优势：

1. 绝大多数类 UNIX 机器默认都开了 SSH。
2. 依赖 SSH 意味着远程主机不需要有代理。
3. 大多数情况下都无需安装额外的软件，Ansible 需要 2.6 或更新版本的 Python。而绝大多数 Linux 发行版默认都安装了这一版本（或者更新版本）的 Python。
4. Ansible 无需主节点。他可以在任何安装有 Ansible 并能通过 SSH 访问的主机上运行。
5. 虽然可以在 cron 中运行 Ansible，但默认情况下，Ansible 只会在你明确要求的情况下运行。

配置 SSH 密钥认证

使用 Ansible 的一种常用方法是配置无需密码的 SSH 密钥登录以方便管理。（可以使用 Ansible Vault 来为密码等敏感信息提供保护，但这不在本文的讨论范围之内）。现在只需要使用下面命令来生成一个 SSH 密钥，如示例 1 所示。

[09:44 user ~]$ ssh-keygen
Generating public/private rsa key pair。
Enter file in which to save the key (/home/user/.ssh/id_rsa):
Created directory '/home/user/.ssh'。
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_rsa。
Your public key has been saved in /home/user/.ssh/id_rsa.pub。
The key fingerprint is:
SHA256:TpMyzf4qGqXmx3aqZijVv7vO9zGnVXsh6dPbXAZ+LUQ user@user-fedora
The key's randomart image is:
+---[RSA 2048]----+
|                 |
|                 |
|              E  |
|       o .   .。|
|   .  + S    o+。|
|  . .o * .  .+ooo|
| . .+o  o o oo+。*|
|。.ooo* o。*  .*+|
| . o+*BO.o+    .o|
+----[SHA256]-----+

示例 1 ：生成一个 SSH 密钥

在示例 1 中，直接按下回车键来接受默认值。任何非特权用户都能生成 SSH 密钥，也能安装到远程系统中任何用户的 SSH 的 authorized_keys 文件中。生成密钥后，还需要将之拷贝到远程主机上去，运行下面命令：

ssh-copy-id root@servera

注意：运行 Ansible 本身无需 root 权限；然而如果你使用非 root 用户，你需要为要执行的任务配置合适的 sudo 权限。

输入 servera 的 root 密码，这条命令会将你的 SSH 密钥安装到远程主机上去。安装好 SSH 密钥后，再通过 SSH 登录远程主机就不再需要输入 root 密码了。

安装 Ansible

只需要在示例 1 中生成 SSH 密钥的那台主机上安装 Ansible。若你使用的是 Fedora，输入下面命令：

sudo dnf install ansible -y

若运行的是 CentOS，你需要为 EPEL 仓库配置额外的包：

sudo yum install epel-release -y

然后再使用 yum 来安装 Ansible：

sudo yum install ansible -y

对于基于 Ubuntu 的系统，可以从 PPA 上安装 Ansible：

sudo apt-get install software-properties-common -y
sudo apt-add-repository ppa:ansible/ansible
sudo apt-get update
sudo apt-get install ansible -y

若你使用的是 macOS，那么推荐通过 Python PIP 来安装：

sudo pip install ansible

对于其他发行版，请参见 Ansible 安装文档 。

Ansible Inventory

Ansible 使用一个 INI 风格的文件来追踪要管理的服务器，这种文件被称之为 库存清单 Inventory 。默认情况下该文件位于 /etc/ansible/hosts。本文中，我使用示例 2 中所示的 Ansible 库存清单来对所需的主机进行操作（为了简洁起见已经进行了裁剪）：

[arch]
nextcloud
prometheus
desktop1
desktop2
vm-host15

[fedora]
netflix

[centos]
conan
confluence
7-repo
vm-server1
gitlab

[ubuntu]
trusty-mirror
nwn
kids-tv
media-centre
nas

[satellite]
satellite

[ocp]
lb00
ocp_dns
master01
app01
infra01

示例 2 ： Ansible 主机文件

每个分组由中括号和组名标识（像这样 [group1] )，是应用于一组服务器的任意组名。一台服务器可以存在于多个组中，没有任何问题。在这个案例中，我有根据操作系统进行的分组（arch、ubuntu、centos、fedora），也有根据服务器功能进行的分组（ocp、satellite）。Ansible 主机文件可以处理比这复杂的多的情况。详细内容，请参阅 库存清单文档。

运行命令

将你的 SSH 密钥拷贝到库存清单中所有服务器上后，你就可以开始使用 Ansible 了。Ansible 的一项基本功能就是运行特定命令。语法为：

ansible -a "some command"

例如，假设你想升级所有的 CentOS 服务器，可以运行：

ansible centos -a 'yum update -y'

注意：不是必须要根据服务器操作系统来进行分组的。我下面会提到，Ansible Facts 可以用来收集这一信息；然而，若使用 Facts 的话，则运行特定命令会变得很复杂，因此，如果你在管理异构环境的话，那么为了方便起见，我推荐创建一些根据操作系统来划分的组。

这会遍历 centos 组中的所有服务器并安装所有的更新。一个更加有用的命令应该是 Ansible 的 ping 模块了，可以用来验证服务器是否准备好接受命令了：

ansible all -m ping

这会让 Ansible 尝试通过 SSH 登录库存清单中的所有服务器。在示例 3 中可以看到 ping 命令的部分输出结果。

nwn | SUCCESS => {
    "changed":false，
    "ping":"pong"
}
media-centre | SUCCESS => {
    "changed":false，
    "ping":"pong"
}
nas | SUCCESS => {
    "changed":false，
    "ping":"pong"
}
kids-tv | SUCCESS => {
    "changed":false，
    "ping":"pong"
}
...

示例 3 ：Ansible ping 命令输出

运行指定命令的能力有助于完成快速任务（LCTT 译注：应该指的那种一次性任务），但是如果我想在以后也能以同样的方式运行同样的任务那该怎么办呢？Ansible playbooks 就是用来做这个的。

复杂任务使用 Ansible playbooks

Ansible 剧本 playbook 就是包含 Ansible 指令的 YAML 格式的文件。我这里不打算讲解类似 Roles 和 Templates 这些比较高深的内容。有兴趣的话，请阅读 Ansible 文档。

在前一章节，我推荐你使用 ssh-copy-id 命令来传递你的 SSH 密钥；然而，本文关注于如何以一种一致的、可重复性的方式来完成任务。示例 4 演示了一种以冥等的方式，即使 SSH 密钥已经存在于目标主机上也能保证正确性的实现方法。

---
- hosts:all
  gather_facts:false
  vars:
    ssh_key:'/root/playbooks/files/laptop_ssh_key'
  tasks:
    - name:copy ssh key
      authorized_key:
        key:"{{ lookup('file'，ssh_key) }}"
        user:root

示例 4：Ansible 剧本 “push ssh keys.yaml”

- hosts: 行标识了这个剧本应该在那个主机组上执行。在这个例子中，它会检查库存清单里的所有主机。

gather_facts: 行指明 Ansible 是否去搜索每个主机的详细信息。我稍后会做一次更详细的检查。现在为了节省时间，我们设置 gather_facts 为 false。

vars: 部分，顾名思义，就是用来定义剧本中所用变量的。在示例 4 的这个简短剧本中其实不是必要的，但是按惯例我们还是设置了一个变量。

最后由 tasks: 标注的这个部分，是存放主体指令的地方。每个任务都有一个 -name:。Ansbile 在运行剧本时会显示这个名字。

authorized_key: 是剧本所使用 Ansible 模块的名字。可以通过命令 ansible-doc -a 来查询 Ansible 模块的相关信息； 不过通过网络浏览器查看 文档 可能更方便一些。authorized\_key 模块 有很多很好的例子可以参考。要运行示例 4 中的剧本，只要运行 ansible-playbook 命令就行了：

ansible-playbook push_ssh_keys.yaml

如果是第一次添加 SSH 密钥，SSH 会提示你输入 root 用户的密码。

现在 SSH 密钥已经传输到服务器中去了，可以来做点有趣的事了。

使用 Ansible 收集信息

Ansible 能够收集目标系统的各种信息。如果你的主机数量很多，那它会特别的耗时。按我的经验，每台主机大概要花个 1 到 2 秒钟，甚至更长时间；然而有时收集信息是有好处的。考虑下面这个剧本，它会禁止 root 用户通过密码远程登录系统：

---
- hosts:all
  gather_facts:true
  vars:
  tasks:
    - name:Enabling ssh-key only root access
      lineinfile:
        dest:/etc/ssh/sshd_config
        regexp:'^PermitRootLogin'
        line:'PermitRootLogin without-password'
      notify:
        - restart_sshd
        - restart_ssh

  handlers:
    - name:restart_sshd
      service:
        name:sshd
        state:restarted
        enabled:true
      when:ansible_distribution == 'RedHat'
    - name:restart_ssh
      service:
        name:ssh
        state:restarted
        enabled:true
      when:ansible_distribution == 'Debian'

示例 5：锁定 root 的 SSH 访问

在示例 5 中 sshd_config 文件的修改是有条件 的，只有在找到匹配的发行版的情况下才会执行。在这个案例中，基于 Red Hat 的发行版与基于 Debian 的发行版对 SSH 服务的命名是不一样的，这也是使用条件语句的目的所在。虽然也有其他的方法可以达到相同的效果，但这个例子很好演示了 Ansible 信息的作用。若你想查看 Ansible 默认收集的所有信息，可以在本地运行 setup 模块：

ansible localhost -m setup |less

Ansible 收集的所有信息都能用来做判断，就跟示例 4 中 vars: 部分所演示的一样。所不同的是，Ansible 信息被看成是内置 变量，无需由系统管理员定义。

更近一步

现在可以开始探索 Ansible 并创建自己的基本了。Ansible 是一个富有深度、复杂性和灵活性的工具，只靠一篇文章不可能就把它讲透。希望本文能够激发你的兴趣，鼓励你去探索 Ansible 的功能。在下一篇文章中，我会再聊聊 Copy、systemd、service、apt、yum、virt，以及 user 模块。我们可以在剧本中组合使用这些模块，还可以创建一个简单的 Git 服务器来存储这些所有剧本。

via: https://opensource.com/article/17/7/automate-sysadmin-ansible

作者：Steve Ovens 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在我们前面的教程中，我们已经学习了 如何安装和配置 MariaDB，也学习了 管理 MariaDB 的一些基础命令。现在我们来学习，如何在 MariaDB 服务器上配置一个主从复制。

复制是用于为我们的数据库创建多个副本，这些副本可以在其它数据库上用于运行查询，像一些非常繁重的查询可能会影响主数据库服务器的性能，或者我们可以使用它来做数据冗余，或者兼具以上两个目的。我们可以将这个过程自动化，即主服务器到从服务器的复制过程自动进行。执行备份而不影响在主服务器上的写操作。

因此，我们现在去配置我们的主-从复制，它需要两台安装了 MariaDB 的机器。它们的 IP 地址如下：

• 主服务器 - 192.168.1.120 主机名 - master.ltechlab.com
• 从服务器 - 192.168.1.130 主机名 - slave.ltechlab.com

MariaDB 安装到这些机器上之后，我们继续进行本教程。如果你需要安装和配置 MariaDB 的教程，请查看这个教程。

第 1 步 - 主服务器配置

我们现在进入到 MariaDB 中的一个命名为 important 的数据库，它将被复制到我们的从服务器。为开始这个过程，我们编辑名为 /etc/my.cnf 的文件，它是 MariaDB 的配置文件。

$ vi /etc/my.cnf

在这个文件中找到 [mysqld] 节，然后输入如下内容：

[mysqld]
log-bin
server_id=1
replicate-do-db=important
bind-address=192.168.1.120

保存并退出这个文件。完成之后，需要重启 MariaDB 服务。

$ systemctl restart mariadb

接下来，我们登入我们的主服务器上的 Mariadb 实例。

$ mysql -u root -p

在它上面创建一个命名为 slaveuser 的为主从复制使用的新用户，然后运行如下的命令为它分配所需要的权限：

STOP SLAVE;
GRANT REPLICATION SLAVE ON *.* TO  'slaveuser'@'%' IDENTIFIED BY 'iamslave';
FLUSH PRIVILEGES;
FLUSH TABLES WITH READ LOCK;
SHOW MASTER STATUS;

注意： 我们配置主从复制需要 MASTER_LOG_FILE 和 MASTER_LOG_POS 的值，它可以通过 show master status 来获得，因此，你一定要确保你记下了它们的值。

这些命令运行完成之后，输入 exit 退出这个会话。

第 2 步 - 创建一个数据库备份，并将它移动到从服务器上

现在，我们需要去为我们的数据库 important 创建一个备份，可以使用 mysqldump 命令去备份。

$ mysqldump -u root -p important > important_backup.sql

备份完成后，我们需要重新登录到 MariaDB 数据库，并解锁我们的表。

$ mysql -u root -p
$ UNLOCK TABLES;

然后退出这个会话。现在，我们移动我们刚才的备份到从服务器上，它的 IP 地址是：192.168.1.130。

在主服务器上的配置已经完成了，现在，我们开始配置从服务器。

第 3 步：配置从服务器

我们再次去编辑（从服务器上的） /etc/my.cnf 文件，找到配置文件中的 [mysqld] 节，然后输入如下内容：

[mysqld]
server-id = 2
replicate-do-db=important
[ …]

现在，我们恢复我们主数据库的备份到从服务器的 MariaDB 上，运行如下命令：

$ mysql -u root -p < /data/ important_backup.sql

当这个恢复过程结束之后，我们将通过登入到从服务器上的 MariaDB，为数据库 important 上的用户 'slaveuser' 授权。

$ mysql -u root -p

GRANT ALL PRIVILEGES ON important.* TO 'slaveuser'@'localhost' WITH GRANT OPTION;
FLUSH PRIVILEGES;

接下来，为了这个变化生效，重启 MariaDB。

$ systemctl restart mariadb

第 4 步：启动复制

记住，我们需要 MASTER_LOG_FILE 和 MASTER_LOG_POS 变量的值，它可以通过在主服务器上运行 SHOW MASTER STATUS 获得。现在登入到从服务器上的 MariaDB，然后通过运行下列命令，告诉我们的从服务器它应该去哪里找主服务器。

STOP SLAVE;
CHANGE MASTER TO MASTER_HOST= '192.168.1.110′, MASTER_USER='slaveuser', MASTER_PASSWORD='iamslave', MASTER_LOG_FILE='mariadb-bin.000001′, MASTER_LOG_POS=460;
SLAVE START;
SHOW SLAVE STATUS\G;

注意： 请根据你的机器的具体情况来改变主服务器的配置。

第 5 步：测试复制

我们将在我们的主服务器上创建一个新表来测试主从复制是否正常工作。因此，登入到主服务器上的 MariaDB。

$ mysql -u root -p

选择数据库为 important：

use important;

在这个数据库上创建一个名为 test 的表：

create table test (c int);

然后在这个表中插入一些数据：

insert into test (c) value (1);

检索刚才插入的值是否存在：

select * from test;

你将会看到刚才你插入的值已经在这个新建的表中了。

现在，我们登入到从服务器的数据库中，查看主从复制是否正常工作。

$ mysql -u root -p
$ use important;
$ select * from test;

你可以看到与前面在主服务器上的命令输出是一样的。因此，说明我们的主从服务工作正常，没有发生任何问题。

我们的教程结束了，请在下面的评论框中留下你的查询/问题。

via: http://linuxtechlab.com/creating-master-slave-replication-mariadb/

作者：Shusain 译者：qhwdw 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

有多种可以导致网站下线的攻击方法，比较复杂的方法要涉及数据库和编程方面的技术知识。一个更简单的方法被称为“ 拒绝服务 Denial Of Service ”（DOS）攻击。这个攻击方法的名字来源于它的意图：使普通客户或网站访问者的正常服务请求被拒绝。

一般来说，有两种形式的 DOS 攻击：

1. OSI 模型的三、四层，即网络层攻击
2. OSI 模型的七层，即应用层攻击

第一种类型的 DOS 攻击——网络层，发生于当大量的垃圾流量流向网页服务器时。当垃圾流量超过网络的处理能力时，网站就会宕机。

第二种类型的 DOS 攻击是在应用层，是利用合法的服务请求，而不是垃圾流量。当页面请求数量超过网页服务器能承受的容量时，即使是合法访问者也将无法使用该网站。

本文将着眼于缓解应用层攻击，因为减轻网络层攻击需要大量的可用带宽和上游提供商的合作，这通常不是通过配置网络服务器就可以做到的。

通过配置普通的网页服务器，可以保护网页免受应用层攻击，至少是适度的防护。防止这种形式的攻击是非常重要的，因为 Cloudflare 最近 报告称 网络层攻击的数量正在减少，而应用层攻击的数量则在增加。

本文将介绍如何使用 zdziarski 开发的 Apache2 的模块 mod\_evasive。

另外，mod\_evasive 会阻止攻击者通过尝试数百个用户名和密码的组合来进行猜测（即暴力攻击）的企图。

mod\_evasive 会记录来自每个 IP 地址的请求的数量。当这个数字超过相应 IP 地址的几个阈值之一时，会出现一个错误页面。错误页面所需的资源要比一个能够响应合法访问的在线网站少得多。

在 Ubuntu 16.04 上安装 mod\_evasive

Ubuntu 16.04 默认的软件库中包含了 mod\_evasive，名称为 “libapache2-mod-evasive”。您可以使用 apt-get 来完成安装：

apt-get update
apt-get upgrade
apt-get install libapache2-mod-evasive

现在我们需要配置 mod\_evasive。

它的配置文件位于 /etc/apache2/mods-available/evasive.conf。默认情况下，所有模块的设置在安装后都会被注释掉。因此，在修改配置文件之前，模块不会干扰到网站流量。

<IfModule mod_evasive20.c>
   #DOSHashTableSize    3097
   #DOSPageCount        2
   #DOSSiteCount        50
   #DOSPageInterval     1
   #DOSSiteInterval     1
   #DOSBlockingPeriod   10

   #DOSEmailNotify      [email protected]
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   #DOSLogDir           "/var/log/mod_evasive"
</IfModule>

第一部分的参数的含义如下：

• DOSHashTableSize - 正在访问网站的 IP 地址列表及其请求数的当前列表。
• DOSPageCount - 在一定的时间间隔内，每个页面的请求次数。时间间隔由 DOSPageInterval 定义。
• DOSPageInterval - mod\_evasive 统计页面请求次数的时间间隔。
• DOSSiteCount - 与 DOSPageCount 相同，但统计的是来自相同 IP 地址对网站内任何页面的请求数量。
• DOSSiteInterval - mod\_evasive 统计网站请求次数的时间间隔。
• DOSBlockingPeriod - 某个 IP 地址被加入黑名单的时长（以秒为单位）。

如果使用上面显示的默认配置，则在如下情况下，一个 IP 地址会被加入黑名单：

• 每秒请求同一页面超过两次。
• 每秒请求 50 个以上不同页面。

如果某个 IP 地址超过了这些阈值，则被加入黑名单 10 秒钟。

这看起来可能不算久，但是，mod\_evasive 将一直监视页面请求，包括在黑名单中的 IP 地址，并重置其加入黑名单的起始时间。只要一个 IP 地址一直尝试使用 DOS 攻击该网站，它将始终在黑名单中。

其余的参数是：

• DOSEmailNotify - 用于接收 DOS 攻击信息和 IP 地址黑名单的电子邮件地址。
• DOSSystemCommand - 检测到 DOS 攻击时运行的命令。
• DOSLogDir - 用于存放 mod\_evasive 的临时文件的目录。

配置 mod\_evasive

默认的配置是一个很好的开始，因为它不会阻塞任何合法的用户。取消配置文件中的所有参数（DOSSystemCommand 除外）的注释，如下所示：

<IfModule mod_evasive20.c>
   DOSHashTableSize   3097
   DOSPageCount       2
   DOSSiteCount       50
   DOSPageInterval    1
   DOSSiteInterval    1
   DOSBlockingPeriod  10

   DOSEmailNotify       [email protected]
   #DOSSystemCommand    "su - someuser -c '/sbin/... %s ...'"
   DOSLogDir            "/var/log/mod_evasive"
</IfModule>

必须要创建日志目录并且要赋予其与 apache 进程相同的所有者。这里创建的目录是 /var/log/mod_evasive ，并且在 Ubuntu 上将该目录的所有者和组设置为 www-data ，与 Apache 服务器相同：

mkdir /var/log/mod_evasive
chown www-data:www-data /var/log/mod_evasive

在编辑了 Apache 的配置之后，特别是在正在运行的网站上，在重新启动或重新加载之前，最好检查一下语法，因为语法错误将影响 Apache 的启动从而使网站宕机。

Apache 包含一个辅助命令，是一个配置语法检查器。只需运行以下命令来检查您的语法：

apachectl configtest

如果您的配置是正确的，会得到如下结果：

Syntax OK

但是，如果出现问题，您会被告知在哪部分发生了什么错误，例如：

AH00526: Syntax error on line 6 of /etc/apache2/mods-enabled/evasive.conf:
DOSSiteInterval takes one argument, Set site interval
Action 'configtest' failed.
The Apache error log may have more information.

如果您的配置通过了 configtest 的测试，那么这个模块可以安全地被启用并且 Apache 可以重新加载：

a2enmod evasive
systemctl reload apache2.service

mod\_evasive 现在已配置好并正在运行了。

测试

为了测试 mod\_evasive，我们只需要向服务器提出足够的网页访问请求，以使其超出阈值，并记录来自 Apache 的响应代码。

一个正常并成功的页面请求将收到如下响应：

HTTP/1.1 200 OK

但是，被 mod\_evasive 拒绝的将返回以下内容：

HTTP/1.1 403 Forbidden

以下脚本会尽可能迅速地向本地主机（127.0.0.1，localhost）的 80 端口发送 HTTP 请求，并打印出每个请求的响应代码。

你所要做的就是把下面的 bash 脚本复制到一个文件中，例如 mod_evasive_test.sh：

#!/bin/bash
set -e

for i in {1..50}; do
        curl -s -I 127.0.0.1 | head -n 1
done

这个脚本的部分含义如下：

• curl - 这是一个发出网络请求的命令。

  • -s - 隐藏进度表。
  • -I - 仅显示响应头部信息。

• head - 打印文件的第一部分。

  • -n 1 - 只显示第一行。

然后赋予其执行权限：

chmod 755 mod_evasive_test.sh

在启用 mod\_evasive 之前，脚本运行时，将会看到 50 行 “HTTP / 1.1 200 OK” 的返回值。

但是，启用 mod\_evasive 后，您将看到以下内容：

HTTP/1.1 200 OK
HTTP/1.1 200 OK
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
HTTP/1.1 403 Forbidden
...

前两个请求被允许，但是在同一秒内第三个请求发出时，mod\_evasive 拒绝了任何进一步的请求。您还将收到一封电子邮件（邮件地址在选项 DOSEmailNotify 中设置），通知您有 DOS 攻击被检测到。

mod\_evasive 现在已经在保护您的网站啦！

via: https://bash-prompt.net/guides/mod_proxy/

作者：Elliot Cooper 译者：jessie-pang 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在早先的教程中，我们讨论了如何使用 ISO 镜像和在线 Yum 仓库的方式来创建自己的 Yum 仓库 。创建自己的 Yum 仓库是一个不错的想法，但若网络中只有 2-3 台 Linux 机器那就没啥必要了。不过若你的网络中有大量的 Linux 服务器，而且这些服务器还需要定时进行升级，或者你有大量服务器无法直接访问互联网，那么创建自己的 Yum 仓库就很有必要了。

当我们有大量的 Linux 服务器，而每个服务器都直接从互联网上升级系统时，数据消耗会很可观。为了节省数据量，我们可以创建个离线 Yum 源并将之分享到本地网络中。网络中的其他 Linux 机器就可以直接从本地 Yum 上获取系统更新，从而节省数据量，而且传输速度也会很好。

我们可以使用下面两种方法来分享 Yum 仓库：

• 使用 Web 服务器（Apache）
• 使用 FTP 服务器（VSFTPD）

在开始讲解这两个方法之前，我们需要先根据之前的教程创建一个 Yum 仓库。

使用 Web 服务器

首先在 Yum 服务器上安装 Web 服务器（Apache），我们假设服务器 IP 是 192.168.1.100。我们已经在这台系统上配置好了 Yum 仓库，现在我们来使用 yum 命令安装 Apache Web 服务器，

$ yum install httpd

下一步，拷贝所有的 rpm 包到默认的 Apache 根目录下，即 /var/www/html，由于我们已经将包都拷贝到了 /YUM 下，我们也可以创建一个软连接来从 /var/www/html 指向 /YUM。

$ ln -s /var/www/html/Centos /YUM

重启 Web 服务器应用改变：

$ systemctl restart httpd

配置客户端机器

服务端的配置就完成了，现在需要配置下客户端来从我们创建的离线 Yum 中获取升级包，这里假设客户端 IP 为 192.168.1.101。

在 /etc/yum.repos.d 目录中创建 offline-yum.repo 文件，输入如下信息，

$ vi /etc/yum.repos.d/offline-yum.repo

name=Local YUM
baseurl=http://192.168.1.100/CentOS/7
gpgcheck=0
enabled=1

客户端也配置完了。试一下用 yum 来安装/升级软件包来确认仓库是正常工作的。

使用 FTP 服务器

在 FTP 上分享 Yum，首先需要安装所需要的软件包，即 vsftpd。

$ yum install vsftpd

vsftp 的默认根目录为 /var/ftp/pub，因此你可以拷贝 rpm 包到这个目录，或者为它创建一个软连接：

$ ln -s /var/ftp/pub /YUM

重启服务应用改变：

$ systemctl restart vsftpd

配置客户端机器

像上面一样，在 /etc/yum.repos.d 中创建 offline-yum.repo 文件，并输入下面信息，

$ vi /etc/yum.repos.d/offline-yum.repo

[Offline YUM]
name=Local YUM
baseurl=ftp://192.168.1.100/pub/CentOS/7
gpgcheck=0
enabled=1

现在客户机可以通过 ftp 接收升级了。要配置 vsftpd 服务器为其他 Linux 系统分享文件，请阅读这篇指南。

这两种方法都很不错，你可以任意选择其中一种方法。有任何疑问或这想说的话，欢迎在下面留言框中留言。

via: http://linuxtechlab.com/offline-yum-repository-for-lan/

作者：Shusain 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出