PHP 配置默认允许服务器在 HTTP 响应头 X-Powered-By 中显示安装在服务器上的 PHP 版本。

出于服务器安全原因（虽然不是主要的要担心的威胁），建议你禁用或隐藏此信息，避免那些针对你的服务器的攻击者知道你是否运行了 PHP。

假设你服务器上安装的特定版本的 PHP 具有安全漏洞，而攻击者了解到这一点，他们将更容易利用漏洞并通过脚本访问服务器。

在我以前的文章中，我已经展示了如何隐藏 apache 版本号，你已经看到如何不再显示 apache 的安装版本。但是如果你在你的 apache 服务器上运行 PHP，你还需要隐藏 PHP 的安装版本，这我们将在本文中展示。

因此，在本文中，我们将解释如何隐藏或关闭服务器 HTTP 响应头中的 PHP 版本号。

此设置可以在加载的 PHP 配置文件中配置。如果你不知道此配置文件在服务器上的位置，请运行以下命令找到它：

$ php -i | grep "Loaded Configuration File"

PHP 配置文件位置

---------------- 在 CentOS/RHEL/Fedora 上---------------- 
Loaded Configuration File => /etc/php.ini
---------------- 在 Debian/Ubuntu/Linux Mint 上---------------- 
Loaded Configuration File => /etc/php/7.0/cli/php.ini

在对 PHP 配置文件进行任何更改之前，我建议您首先备份您的 PHP 配置文件，如下所示：

----------------在 CentOS/RHEL/Fedora 上---------------- 
$ sudo cp /etc/php.ini /etc/php.ini.orig
---------------- 在 Debian/Ubuntu/Linux Mint 上---------------- 
$ sudo cp /etc/php/7.0/cli/php.ini  /etc/php/7.0/cli/php.ini.orig  

用你最喜欢的编辑器，使用超级用户权限打开文件：

---------------- 在 CentOS/RHEL/Fedora 上---------------- 
$ sudo vi /etc/php.ini
----------------在 Debian/Ubuntu/Linux Mint 上---------------- 
$ sudo vi /etc/php/7.0/cli/php.ini

定位到关键词 expose_php，并将值设置成 Off：

expose_php = Off

保存并退出文件。之后，重启 web 服务器：

---------------- 使用 SystemD ---------------- 
$ sudo systemctl restart httpd  
或
$ sudo systemctl restart apache2 
---------------- 使用 SysVInit ---------------- 
$ sudo service httpd restart  
或
$ sudo service apache2 restart

最后，不过同样重要，使用下面的命令检查服务器 HTTP 响应头是否仍然显示你的 PHP 版本号。

$ lynx -head -mime_header http://localhost 
或者
$ lynx -head -mime_header http://server-address

这里的标志含义是：

• -head – 发送一个请求 mime 报头的 HEAD 请求。
• -mime_header – 打印所提取文档的 MIME 标头及其源代码。

注意: 确保你系统中已经安装了命令行 web 浏览器 lynx。

就是这样了！在本文中，我们解释了如何隐藏服务器 HTTP 响应头中的 PHP 版本号以保护 web 服务器免受可能的攻击。你可以在下面的评论栏中留下你的想法或者相关的问题。

作者简介：

Aaron Kili 是 Linux 和 F.O.S.S 爱好者，将来的 Linux SysAdmin 及 web 开发者，目前是 TecMint 的内容创作者，他喜欢用电脑工作，并坚信分享知识。

via: http://www.tecmint.com/hide-php-version-http-header/

作者：Aaron Kili 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

当远程请求发送到你的 Apache Web 服务器时，在默认情况下，一些有价值的信息，如 web 服务器版本号、服务器操作系统详细信息、已安装的 Apache 模块等等，会随服务器生成的文档发回客户端。

这给攻击者利用漏洞并获取对 web 服务器的访问提供了很多有用的信息。为了避免显示 web 服务器信息，我们将在本文中演示如何使用特定的 Apache 指令隐藏 Apache Web 服务器的信息。

推荐阅读： 13 个有用的 Apache 服务器安全贴士。

两个重要的指令是：

ServerSignature

这允许在服务器生成的文档（如错误消息、modproxy 的 ftp 目录列表、modinfo 输出等等）下添加一个显示服务器名称和版本号的页脚行。

它有三个可能的值：

• On - 允许在服务器生成的文档中添加尾部页脚行，
• Off - 禁用页脚行
• EMail - 创建一个 “mailto:” 引用；用于将邮件发送到所引用文档的 ServerAdmin。

ServerTokens

它决定了发送回客户端的服务器响应头字段是否包含服务器操作系统类型的描述和有关已启用的 Apache 模块的信息。

此指令具有以下可能的值（以及在设置特定值时发送到客户端的示例信息）：

ServerTokens   Full (或者不指定) 

发送给客户端的信息： Server: Apache/2.4.2 (Unix) PHP/4.2.2 MyMod/1.2

ServerTokens   Prod[uctOnly] 

发送给客户端的信息： Server: Apache

ServerTokens   Major 

发送给客户端的信息： Server: Apache/2

ServerTokens   Minor 

发送给客户端的信息： Server: Apache/2.4

ServerTokens   Min[imal]

发送给客户端的信息：Server: Apache/2.4.2

ServerTokens   OS 

发送给客户端的信息： Server: Apache/2.4.2 (Unix)

注意：在 Apache 2.0.44 之后，ServerTokens 也控制由 ServerSignature 指令提供的信息。

推荐阅读： 5 个加速 Apache Web 服务器的贴士。

为了隐藏 web 服务器版本号、服务器操作系统细节、已安装的 Apache 模块等等，使用你最喜欢的编辑器打开 Apache 配置文件：

$ sudo vi /etc/apache2/apache2.conf        #Debian/Ubuntu systems
$ sudo vi /etc/httpd/conf/httpd.conf       #RHEL/CentOS systems 

添加/修改/附加下面的行：

ServerTokens Prod
ServerSignature Off 

保存并退出文件，重启你的 Apache 服务器：

$ sudo systemctl apache2 restart  #SystemD
$ sudo sevice apache2 restart     #SysVInit

本篇中，我们解释了如何使用特定的 Apache 指令隐藏Apache web 服务器版本号及其他信息。

如果你在 Apache 中运行 PHP，我建议你隐藏 PHP 版本号。

如往常一样，你可以在评论栏中写下你的想法。

作者简介：

Aaron Kili 是 Linux 和 F.O.S.S 爱好者，将来的 Linux SysAdmin 及 web 开发者，目前是 TecMint 的内容创作者，他喜欢用电脑工作，并坚信分享知识。

via: http://www.tecmint.com/hide-apache-web-server-version-information/

作者：Aaron Kili 译者：geekpi 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

本篇中，Carla Schroder 会解释如何使用 OpenSSL 保护你的 Postfix/Dovecot 邮件服务器

在上周，作为我们 OpenSSL 系列的一部分，我们学习了如何配置 Apache 以使用 OpenSSL 并强制所有会话使用 HTTPS。 今天，我们将使用 OpenSSL 保护我们的 Postfix/Dovecot 邮件服务器。这些示例基于前面的教程; 请参阅最后的参考资料部分，了解本系列中以前的所有教程的链接。

你需要配置 Postfix 以及 Dovecot 都使用 OpenSSL，我们将使用我们在OpenSSL 在 Apache 和 Dovecot 下的使用（一）中创建的密钥和证书。

Postfix 配置

你必须编辑 /etc/postfix/main.cf 以及 /etc/postfix/master.cf。实例的 main.cf 是完整的配置，基于我们先前的教程。替换成你自己的 OpenSSL 密钥和证书名以及本地网络地址。

compatibility_level=2
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu/GNU)
biff = no
append_dot_mydomain = no

myhostname = localhost
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

virtual_mailbox_domains = /etc/postfix/vhosts.txt
virtual_mailbox_base = /home/vmail
virtual_mailbox_maps = hash:/etc/postfix/vmaps.txt
virtual_minimum_uid = 1000
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_transport = lmtp:unix:private/dovecot-lmtp

smtpd_tls_cert_file=/etc/ssl/certs/test-com.pem
smtpd_tls_key_file=/etc/ssl/private/test-com.key
smtpd_use_tls=yes

smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_authenticated_header = yes

在 master.cf 取消 submission inet 部分的注释，并编辑 smtpd_recipient_restrictions：

#submission inet n  -  y  -  - smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o milter_macro_daemon_name=ORIGINATING
  -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
  -o smtpd_tls_wrappermode=no

完成后重新加载 Postfix：

$ sudo service postfix reload

Dovecot 配置

在我们以前的教程中，我们为 Dovecot 创建了一个单一配置文件 /etc/dovecot/dovecot.conf，而不是使用多个默认配置文件。这是一个基于我们以前的教程的完整配置。再说一次，使用你自己的 OpenSSL 密钥和证书，以及你自己的 userdb 的 home 文件：

protocols = imap pop3 lmtp
log_path = /var/log/dovecot.log
info_log_path = /var/log/dovecot-info.log
disable_plaintext_auth = no
mail_location = maildir:~/.Mail
pop3_uidl_format = %g
auth_mechanisms = plain

passdb {
  driver = passwd-file
  args = /etc/dovecot/passwd
}

userdb {
  driver = static
  args = uid=vmail gid=vmail home=/home/vmail/studio/%u
}

service lmtp {
 unix_listener /var/spool/postfix/private/dovecot-lmtp {
   group = postfix
   mode = 0600
   user = postfix
  }
}

protocol lmtp {
  postmaster_address = postmaster@studio
}

service lmtp {
  user = vmail
}

service auth {
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
        user=postfix
        group=postfix
  }
 }

ssl=required
ssl_cert = </etc/ssl/certs/test-com.pem
ssl_key = </etc/ssl/private/test-com.key

重启 Dovecot:

$ sudo service postfix reload

用 telnet 测试

就像我们以前一样，现在我们可以通过使用 telnet 发送消息来测试我们的设置。 但是等等，你说 telnet 不支持 TLS/SSL，那么这样怎么办呢？首先通过使用 openssl s_client 打开一个加密会话。openssl s_client 的输出将显示你的证书及其指纹和大量其它信息，以便你知道你的服务器正在使用正确的证书。会话建立后输入的命令都是不以数字开头的：

$ openssl s_client -starttls smtp -connect studio:25
CONNECTED(00000003)
[masses of output snipped]
    Verify return code: 0 (ok)
---
250 SMTPUTF8
EHLO studio
250-localhost
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8
mail from: <[email protected]>
250 2.1.0 Ok
rcpt to: <alrac@studio>
250 2.1.5 Ok
data
354 End data with .subject: TLS/SSL test
Hello, we are testing TLS/SSL. Looking good so far.
.
250 2.0.0 Ok: queued as B9B529FE59
quit
221 2.0.0 Bye

你应该可以在邮件客户端中看到一条新邮件，并在打开时要求你验证 SSL 证书。你也可以使用 openssl s_client 来测试 Dovecot 的 POP3 和 IMAP 服务。此示例测试加密的 POP3，第 5 号消息是我们在 telnet（如上）中创建的：

$ openssl s_client -connect studio:995
CONNECTED(00000003)
[masses of output snipped]
    Verify return code: 0 (ok)
---
+OK Dovecot ready
user alrac@studio 
+OK
pass password
+OK Logged in.
list
+OK 5 messages:
1 499
2 504
3 514
4 513
5 565
.
retr 5
+OK 565 octets
Return-Path: <[email protected]>
Delivered-To: alrac@studio
Received: from localhost
        by studio.alrac.net (Dovecot) with LMTP id y8G5C8aablgKIQAAYelYQA
        for <alrac@studio>; Thu, 05 Jan 2017 11:13:10 -0800
Received: from studio (localhost [127.0.0.1])
        by localhost (Postfix) with ESMTPS id B9B529FE59
        for <alrac@studio>; Thu,  5 Jan 2017 11:12:13 -0800 (PST)
subject: TLS/SSL test
Message-Id: <20170105191240.B9B529FE59@localhost>
Date: Thu,  5 Jan 2017 11:12:13 -0800 (PST)
From: [email protected]

Hello, we are testing TLS/SSL. Looking good so far.
.
quit
+OK Logging out.
closed

现在做什么？

现在你有一个功能良好的，具有合适的 TLS/SSL 保护的邮件服务器了。我鼓励你深入学习 Postfix 以及 Dovecot； 这些教程中的示例尽可能地简单，不包括对安全性、防病毒扫描程序、垃圾邮件过滤器或任何其他高级功能的调整。我认为当你有一个基本工作系统时更容易学习高级功能。

下周回到 openSUSE 包管理备忘录上。

资源

• 为 Apache 和 Dovecot 使用 OpenSSL
• 如何在 Ubuntu Linux 上构建电子邮件服务器
• 在 Ubuntu Linux 上构建电子邮件服务器：第2部分
• 在 Ubuntu Linux 上构建电子邮件服务器：第3部分
• 给初学者看的在 Ubuntu Linux 上使用 Apache
• 给初学者看的在 Ubuntu Linux 上使用 Apache：第二部分
• 给初学者看的在 CentOS Linux 上使用 Apache
• 消灭让人害怕的 web 浏览器 SSL 警告

via: https://www.linux.com/learn/intro-to-linux/openssl-apache-and-dovecot-part-2

作者：CARLA SCHRODER 译者：geekpi 校对：校对者ID

本文由 LCTT 原创编译，Linux中国 荣誉推出

在这有两部分的系列中，Carla Schroder 会向你展示如何创建自己的 OpenSSL 证书以及如何配置 Apache 和 Dovecot 来使用它们。

这么长时间之后，我的读者们，这里是我给你们承诺的在 Apache 中使用 OpenSSL 的方法，下周你会看到在 Dovecot 中使用 SSL。 在这个分为两部分的系列中，我们将学习如何创建自己的 OpenSSL 证书，以及如何配置 Apache 和 Dovecot 来使用它们。

这些例子基于这些教程：

• 给初学者看的在 Ubuntu Linux 上使用 Apache
• 给初学者看的在 Ubuntu Linux 上使用 Apache：第 2 部分
• 给初学者看的在 CentOS Linux 上使用 Apache

创建你的证书

Debian/Ubuntu/Mint 会在 /etc/ssl 中存储私钥和证书的符号链接。系统自带的证书保存在 /usr/share/ca-certificates 中。你安装或创建的证书在 /usr/local/share/ca-certificates/ 中。

这个例子是对 Debian 而言。创建私钥和公用证书，将证书转换为正确的格式，并将其符号链接到正确的目录：

$ sudo openssl req -x509 -days 365 -nodes -newkey rsa:2048 \
   -keyout /etc/ssl/private/test-com.key -out \
   /usr/local/share/ca-certificates/test-com.crt
Generating a 2048 bit RSA private key
.......+++
......................................+++
writing new private key to '/etc/ssl/private/test-com.key'
-----
You are about to be asked to enter information that will 
be incorporated into your certificate request.
What you are about to enter is what is called a Distinguished 
Name or a DN. There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:WA
Locality Name (eg, city) []:Seattle
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Alrac Writing Sweatshop
Organizational Unit Name (eg, section) []:home dungeon
Common Name (e.g. server FQDN or YOUR name) []:www.test.com
Email Address []:[email protected]

$ sudo update-ca-certificates
Updating certificates in /etc/ssl/certs...
1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d...

Adding debian:test-com.pem
done.
done.

CentOS/Fedora 使用不同的文件结构，并不使用 update-ca-certificates，使用这个命令：

$ sudo openssl req -x509 -days 365 -nodes -newkey rsa:2048 \
   -keyout /etc/httpd/ssl/test-com.key -out \
   /etc/httpd/ssl/test-com.crt

最重要的条目是 Common Name，它必须与你的完全限定域名（FQDN）完全匹配。此外其它信息都是任意的。-nodes 用于创建一个无密码的证书，这是 Apache 所必需的。-days 用于定义过期日期。更新证书是一个麻烦的事情，但这样应该能够额外提供一些安全保障。参见 90 天证书有效期的利弊中的讨论。

配置 Apache

现在配置 Apache 以使用你的新证书。如果你遵循给初学者看的在 Ubuntu Linux 上使用 Apache：第 2 部分，你所要做的就是修改虚拟主机配置中的 SSLCertificateFile 和 SSLCertificateKeyFile，以指向你的新私钥和公共证书。来自该教程中的 test.com 示例现在看起来像这样：

SSLCertificateFile /etc/ssl/certs/test-com.pem
SSLCertificateKeyFile /etc/ssl/private/test-com.key

CentOS 用户，请参阅在 CentOS wiki 中的在 CentOS 上设置 SSL 加密的 Web 服务器一文。过程是类似的，wiki 会告诉如何处理 SELinux。

测试 Apache SSL

一个简单的方法是用你的网络浏览器访问 https://yoursite.com，看看它是否可以正常工作。在第一次这样做时，你会在你过度保护的 web 浏览器中看到可怕的警告说网站是不安全的，因为它使用的是自签名证书。请忽略你这个敏感的浏览器，并单击屏幕创建永久性例外。 如果你遵循在给初学者看的在 Ubuntu Linux 上使用 Apache：第 2 部分上的示例虚拟主机配置，那么即使你的网站访问者尝试使用纯 HTTP，你的网站的所有流量都将强制通过 HTTPS。

一个很好测试方法是使用 OpenSSL。是的，有一个漂亮的命令来测试这些东西。试下这个：

$ openssl s_client -connect www.test.com:443
CONNECTED(00000003)
depth=0 C = US, ST = WA, L = Seattle, O = Alrac Writing Sweatshop, 
OU = home dungeon, CN = www.test.com, emailAddress = [email protected]
verify return:1
---
Certificate chain
 0 s:/C=US/ST=WA/L=Seattle/O=Alrac Writing Sweatshop/OU=home 
     dungeon/CN=www.test.com/[email protected]
   i:/C=US/ST=WA/L=Seattle/O=Alrac Writing Sweatshop/OU=home 
     dungeon/CN=www.test.com/[email protected]
---
Server certificate
-----BEGIN CERTIFICATE-----
[...]

这里输出了大量的信息。这里有很多关于 openssl s_client 的有趣信息; 现在足够我们知道我们的 web 服务器是否使用了正确的 SSL 证书。

创建一个证书签名请求

如果你决定使用第三方证书颁发机构（CA），那么就必须创建证书签名请求（CSR）。你将它发送给你的新 CA，他们将签署并将其发送给您。他们可能对创建你的 CSR 有自己的要求; 这是如何创建一个新的私钥和 CSR 的典型示例：

$ openssl req -newkey rsa:2048 -nodes \
   -keyout yourdomain.key -out yourdomain.csr

你也可以从一个已经存在的 key 中创建一个 CSR：

$ openssl req  -key yourdomain.key \
   -new -out domain.csr

今天就是这样了。下周我们将学习如何正确地在 Dovecot 中设置 OpenSSL。

额外的教程

• 消灭让人害怕的 web 浏览器 SSL 警告
• 如何在 Linux 上使用 OpenVPN 设置安全远程网络：第一部分
• 如何在 Linux 上使用 OpenVPN 设置安全远程网络：第一部分

提高你的系统管理职业生涯吧！查看Linux基金会的系统管理的要点课程。

via: https://www.linux.com/learn/sysadmin/openssl-apache-and-dovecot

作者：CARLA SCHRODER 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

从系统管理员接手服务器和主机管理以来，像应用监控这样的工具就成了他们的好帮手。其中比较有名的有 Nagios、 Zabbix、 Icinga 和 Centreon。以上这些是重量级的监控工具，让一个新手管理员来设置，并使用其中的高级特性是有些困难的。

本文将向你介绍 Ganglia，它是一个易于扩展的监控系统。使用它可以实时查看 Linux 服务器和集群（图形化展示）中的各项性能指标。

Ganglia 能够让你以集群（按服务器组）和网格（按地理位置）的方式更好地组织服务器。

这样，我们可以创建一个包含所有远程主机的网格，然后将那些机器按照其它标准分组成小的集合。

此外， Ganglia 的 web 页面对移动设备进行过优化，也允许你导出 csv 和 .json 格式的数据。

我们的测试环境包括一个安装 Ganglia 的主节点服务器 CentOS 7 （IP 地址 192.168.0.29），和一个作为被监控端的 Ubuntu 14.04 主机（192.168.0.32）。我们将通过 Ganglia 的 Web 页面来监控这台 Ubuntu 主机。

下面的例子可以给大家提供参考，CentOS7 作为主节点，Ubuntu 作为被监控对象。

安装和配置 Ganglia

请遵循以下步骤，在主节点服务器安装监控工具。

1、 启用 EPEL 仓库 ，然后安装 Ganglia 和相关工具：

# yum update && yum install epel-release
# yum install ganglia rrdtool ganglia-gmetad ganglia-gmond ganglia-web

在上面这步随 Ganglia 将安装一些应用，它们的功能如下：

• rrdtool，Round-Robin 数据库，它是一个储存并图形化显示随着时间变化的数据的工具；
• ganglia-gmetad 一个守护进程，用来收集被监控主机的数据。被监控主机与主节点主机都要安装 Ganglia-gmond（监控守护进程本身）；
• ganglia-web 提供 Web 前端，用于显示监控系统的历史数据和图形。 2、 使用 Apache 提供的基本认证功能，为 Ganglia Web 界面（/usr/share/ganglia）配置身份认证。

如果你想了解更多高级安全机制，请参阅 Apache 文档的 授权与认证部分。

为完成这个目标，我们需要创建一个用户名并设定一个密码，以访问被 Apache 保护的资源。在本例中，我们先来创建一个叫 adminganglia 的用户名，然后给它分配一个密码，它将被储存在 /etc/httpd/auth.basic（可以随意选择另一个目录 和/或 文件名， 只要 Apache 对此有读取权限就可以。）

# htpasswd -c /etc/httpd/auth.basic adminganglia

给 adminganglia 输入两次密码完成密码设置。

3、 修改配置文件 /etc/httpd/conf.d/ganglia.conf：

Alias /ganglia /usr/share/ganglia
<Location /ganglia>
AuthType basic
AuthName "Ganglia web UI"
AuthBasicProvider file
AuthUserFile "/etc/httpd/auth.basic"
Require user adminganglia
</Location>

4、 编辑 /etc/ganglia/gmetad.conf：

首先，使用 gridname 指令来为网格设置一个描述性名称。

gridname "Home office"

然后，使用 data_source 指令，后面跟集群名（服务器组）、轮询时间间隔（秒）、主节点主机和被监控节点的 IP 地址：

data_source "Labs" 60 192.168.0.29:8649 # 主节点
data_source "Labs" 60 192.168.0.32 # 被监控节点

5、 编辑 /etc/ganglia/gmond.conf。

a) 确保集群的配置类似下面。

cluster {
name = "Labs" # gmetad.conf 中的  data_source 指令的名字
owner = "unspecified"
latlong = "unspecified"
url = "unspecified"
}

b) 在 udp_send_chanel 中，注释掉 mcast_join：

udp_send_channel   {
# mcast_join = 239.2.11.71
host = localhost
port = 8649
ttl = 1
}

c) 在 udp_recv_channel 中，注释掉 mcast_join 和 bind 部分：

udp_recv_channel {
# mcast_join = 239.2.11.71 ## comment out
port = 8649
# bind = 239.2.11.71 ## comment out
}

保存并退出。

6、打开 8649/udp 端口，使用 SELinux 确保 php 脚本（通过 Apache 运行）能够连接到网络：

# firewall-cmd --add-port=8649/udp
# firewall-cmd --add-port=8649/udp --permanent
# setsebool -P httpd_can_network_connect 1

7、重启 Apache、gmetad、gmond，并确保它们启用了“开机启动”。

# systemctl restart httpd gmetad gmond
# systemctl enable httpd gmetad httpd

至此，我们现在能够打开 Ganglia 的 Web 页面 http://192.168.0.29/ganglia 并用步骤 2 中设置的凭证登录。

Gangila Web 页面

8、 在 Ubuntu 主机上，只需安装 Ganglia-monitor，等同于 CentOS 上的 ganglia-gmond：

$ sudo aptitude update && aptitude install ganglia-monitor

9、 编辑被监控主机的 /etc/ganglia/gmond.conf 文件。与主节点主机上是相同的文件，除了被注释掉的 cluster, udp_send_channel ， udp_recv_channel 这里不应被注释：

cluster {
name = "Labs" # The name in the data_source directive in gmetad.conf
owner = "unspecified"
latlong = "unspecified"
url = "unspecified"
}
udp_send_channel   {
mcast_join = 239.2.11.71
host = localhost
port = 8649
ttl = 1
}
udp_recv_channel {
mcast_join = 239.2.11.71 ## comment out
port = 8649
bind = 239.2.11.71 ## comment out
}

之后重启服务。

$ sudo service ganglia-monitor restart

10、 刷新页面，你将在 Home office grid / Labs cluster 中看到两台主机的各种统计及图形化的展示（用下拉菜单选择集群，本例中为 Labs）：

Ganglia 中 Home office 网格报告

使用菜单按钮（如上指出的），你可以获取到每台服务器和集群的信息。还可以使用 对比主机Compare Hosts选项卡来比较集群中所有服务器的状态。

可以使用正则表达式选择一组服务器，立刻就可以看到它们性能的对比：

Ganglia 服务器信息

我最喜欢的一个特点是对移动端有友好的总结界面，可以通过 Mobile 选项来访问。选择你感兴趣的集群，然后选中一个主机。

Ganglia 移动端总结截图

总结

本篇文章向大家介绍了 Ganglia，它是一个功能强大、扩展性很好的监控工具，主要用来监控集群和网格。它可以随意安装，便捷的组合各种功能（你甚至可以尝试一下官方网站提供的 Demo）。

此时，你可能会发现许多知名的 IT 或非 IT 的企业在使用 Ganglia。除了我们在文章中提及的之外，还有很多理由这样做，其中易用性，统计的图形化（在名字旁附上脸部照片更清晰，不是吗）可能是最重要的原因。

但是请不要拘泥于本篇文章，尝试一下自己去做。如果你有任何问题，欢迎给我留言。

via: http://www.tecmint.com/install-configure-ganglia-monitoring-centos-linux/

作者：Gabriel Cánepa 译者：ivo-wang 校对：jasminepeng

本文由 LCTT 组织编译，Linux中国 荣誉推出

在最近的文章中，我们向你展示了 在 Linux 中设置 sudo 的十条 sudoers 实用配置以及让 sudo 在你输入错误的密码时“嘲讽”你，在本文中，我们发现了另一个 sudo 贴士，在 Ubuntu Linux 中使 sudo 密码会话（超时）更长或更短。

在 Ubuntu 及其衍生版如 Linux Mint 或任何其他基于 Ubuntu 的发行版中，当你执行 sudo 命令 时，它将提示你输入管理密码。

在第一次执行 sudo 命令后，默认情况下密码将保持 15 分钟，因此你不需要为每个 sudo 命令键入密码。

如果，你因为某种原因觉得 15 分钟太长或太短，你可以在 sudoers 文件中做一个简单的调整。

要设置 sudo 密码超时值，请使用 passwd_timeout 参数。首先使用 sudo 和 visudo 命令以超级用户权限打开 /etc/sudoers 文件，如下所示：

$ sudo visudo 

接着添加下面的默认值，这意味着 sudo 密码提示将会在用户使用 sudo 20 分钟后过期。

Defaults        env_reset,timestamp_timeout=20

注意：你可以以分钟设置为你所需的任何时间，它会在超时之前一直等待。 如果要为每个执行的 sudo 命令弹出密码提示，你也可以将时间设置为 0，或者通过设置值 -1 永久禁用密码提示。

下面的截图显示了我在 /etc/sudoers 文件中设置的默认参数。

改变 sudo 密码超时

按 Ctrl + O 保存文件，然后使用 Ctrl + X 退出。 然后，使用 sudo 运行命令并等待 2 分钟以检查密码提示是否超时以测试设置是否正常。

在本篇中，我们解释了如何设置 sudo 密码提示超时之前的分钟数，记得在评论栏分享你对这篇文章的想法或者其他对系统管理员配置有用的 sudo 配置。

作者简介：

Aaron Kili 是 Linux 和 F.O.S.S 爱好者，将来的 Linux SysAdmin 以及 web 开发人员，目前是 TecMint 的内容创建者，他喜欢用电脑工作，并坚信分享知识。

via: http://www.tecmint.com/set-sudo-password-timeout-session-longer-linux/

作者：Aaron Kili 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出