为了确保你的 RHEL 7 系统安全，你需要通过查看日志文件来监控系统中发生的所有活动。这样，你就可以检测到任何不正常或有潜在破坏的活动并进行系统故障排除或者其它恰当的操作。

RHCE 考试 - 第五部分：使用 Rsyslog 和 Logrotate 管理系统日志

在 RHEL 7 中，rsyslogd 守护进程负责系统日志，它从 /etc/rsyslog.conf（该文件指定所有系统日志的默认路径）和 /etc/rsyslog.d 中的所有文件（如果有的话）读取配置信息。

Rsyslogd 配置

快速浏览一下 rsyslog.conf 会是一个好的开端。该文件分为 3 个主要部分：模块（rsyslong 按照模块化设计），全局指令（用于设置 rsyslogd 守护进程的全局属性），以及规则。正如你可能猜想的，最后一个部分指示记录或显示什么以及在哪里保存（也称为 选择子 （ selector ） ），这也是这篇文章关注的重点。

rsyslog.conf 中典型的一行如下所示：

Rsyslogd 配置

在上面的图片中，我们可以看到一个选择子包括了一个或多个用分号分隔的 “设备:优先级” （ Facility:Priority ） 对，其中设备描述了消息类型（参考 RFC 3164 4.1.1 章节，查看 rsyslog 可用的完整设备列表），优先级指示它的严重性，这可能是以下几种之一：

• debug
• info
• notice
• warning
• err
• crit
• alert
• emerg

尽管 none 并不是一个优先级，不过它意味着指定设备没有任何优先级。

注意：给定一个优先级表示该优先级以及之上的消息都应该记录到日志中。因此，上面例子中的行指示 rsyslogd 守护进程记录所有优先级为 info 以及以上（不管是什么设备）的除了属于 mail、authpriv、以及 cron 服务（不考虑来自这些设备的消息）的消息到 /var/log/messages。

你也可以使用逗号将多个设备分为一组，对同组中的设备使用相同的优先级。例如下面这行：

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

也可以这样写：

*.info;mail,authpriv,cron.none                /var/log/messages

换句话说，mail、authpriv 以及 cron 被分为一组，并使用关键字 none。

创建自定义日志文件

要把所有的守护进程消息记录到 /var/log/tecmint.log，我们需要在 rsyslog.conf 或者 /etc/rsyslog.d 目录中的单独文件（这样易于管理）添加下面一行：

daemon.*    /var/log/tecmint.log

然后重启守护进程（注意服务名称不以 d 结尾）：

# systemctl restart rsyslog

在随便重启两个守护进程之前和之后查看下自定义日志的内容：

创建自定义日志文件

作为一个自学练习，我建议你重点关注设备和优先级，添加额外的消息到已有的日志文件或者像上面那样创建一个新的日志文件。

使用 Logrotate 轮换日志

为了防止日志文件无限制增长，logrotate 工具用于轮换、压缩、移除或者通过电子邮件发送日志，从而减轻管理会产生大量日志文件系统的困难。（译者注：日志轮换（rotate）是系统管理中归档每天产生的日志文件的自动化过程）

Logrotate 作为一个 cron 任务（/etc/cron.daily/logrotate）每天运行，并从 /etc/logrotate.conf 和 /etc/logrotate.d 中的文件（如果有的话）读取配置信息。

对于 rsyslog，即使你可以在主文件中为指定服务包含设置，为每个服务创建单独的配置文件能帮助你更好地组织设置。

让我们来看一个典型的 logrotate.conf：

Logrotate 配置

在上面的例子中，logrotate 会为 /var/log/wtmp 进行以下操作：尝试每个月轮换一次，但至少文件要大于 1MB，然后用 0664 权限、用户 root、组 utmp 创建一个新的日志文件。下一步只保存一个归档日志，正如轮换指令指定的：

每月 Logrotate 日志

让我们再来看看 /etc/logrotate.d/httpd 中的另一个例子：

轮换 Apache 日志文件

你可以在 logrotate 的 man 手册（man logrotate 和 man logrotate.conf）中阅读更多有关它的设置。为了方便你的阅读，本文还提供了两篇文章的 PDF 格式。

作为一个系统工程师，很可能由你决定多久按照什么格式保存一次日志，这取决于你是否有一个单独的分区/逻辑卷给 /var。否则，你真的要考虑删除旧日志以节省存储空间。另一方面，根据你公司和客户内部的政策，为了以后的安全审核，你可能必须要保留多个日志。

保存日志到数据库

当然检查日志可能是一个很繁琐的工作（即使有类似 grep 工具和正则表达式的帮助）。因为这个原因，rsyslog 允许我们把它们导出到数据库（OTB 支持的关系数据库管理系统包括 MySQL、MariaDB、PostgreSQL 和 Oracle 等）。

指南的这部分假设你已经在要管理日志的 RHEL 7 上安装了 MariaDB 服务器和客户端：

# yum update && yum install mariadb mariadb-server mariadb-client rsyslog-mysql
# systemctl enable mariadb && systemctl start mariadb

然后使用 mysql_secure_installation 工具为 root 用户设置密码以及其它安全考量：

保证 MySQL 数据库安全

注意：如果你不想用 MariaDB root 用户插入日志消息到数据库，你也可以配置用另一个用户账户。如何实现的介绍已经超出了本文的范围，但在 MariaDB 知识 中有详细解析。为了简单在这篇指南中我们会使用 root 账户。

下一步，从 GitHub 下载 createDB.sql 脚本并导入到你的数据库服务器：

# mysql -u root -p < createDB.sql

保存服务器日志到数据库

最后，添加下面的行到 /etc/rsyslog.conf：

$ModLoad ommysql
$ActionOmmysqlServerPort 3306
*.* :ommysql:localhost,Syslog,root,YourPasswordHere

重启 rsyslog 和数据库服务器：

# systemctl restart rsyslog 
# systemctl restart mariadb

使用 SQL 语法查询日志

现在执行一些会改变日志的操作（例如停止和启动服务），然后登录到你的数据库服务器并使用标准的 SQL 命令显示和查询日志：

USE Syslog;
SELECT ReceivedAt, Message FROM SystemEvents;

在数据库中查询日志

总结

在这篇文章中我们介绍了如何设置系统日志，如果轮换日志以及为了简化查询如何重定向消息到数据库。我们希望这些技巧能对你准备 RHCE 考试 和日常工作有所帮助。

正如往常，非常欢迎你的反馈。用下面的表单和我们联系吧。

via: http://www.tecmint.com/manage-linux-system-logs-using-rsyslogd-and-logrotate/

作者：Gabriel Cánepa 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

这是一篇快速指南，使用 OpenSSL 来生成 CA （ 证书授权中心 （ certificate authority ） ）、 中级 CA （ intermediate CA ） 和 末端证书 （ end certificate ） 。包括 OCSP、CRL 和 CA 颁发者 （ Issuer ） 信息、具体颁发和失效日期。

我们将设置我们自己的 根 CA （ root CA ） ，然后使用根 CA 生成一个示例的中级 CA，并使用中级 CA 签发最终用户证书。

根 CA

为根 CA 创建一个目录，并进入：

mkdir -p ~/SSLCA/root/
cd ~/SSLCA/root/

生成根 CA 的 8192 位长的 RSA 密钥：

openssl genrsa -out rootca.key 8192

输出类似如下：

Generating RSA private key, 8192 bit long modulus
.........++
....................................................................................................................++
e is 65537 (0x10001)

如果你要用密码保护这个密钥，在命令行添加选项 -aes256。

创建 SHA-256 自签名的根 CA 证书 ca.crt；你需要为你的根 CA 提供识别信息：

openssl req -sha256 -new -x509 -days 1826 -key rootca.key -out rootca.crt

输出类似如下：

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Chaoyang dist.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Linux.CN
Organizational Unit Name (eg, section) []:Linux.CN CA
Common Name (e.g. server FQDN or YOUR name) []:Linux.CN Root CA
Email Address []:[email protected]

创建几个文件， 用于该 CA 存储其序列号：

touch certindex
echo 1000 > certserial
echo 1000 > crlnumber

创建 CA 的配置文件，该文件包含 CRL 和 OCSP 终端的存根。

# vim ca.conf
[ ca ]
default_ca = myca

[ crl_ext ]
issuerAltName=issuer:copy 
authorityKeyIdentifier=keyid:always

[ myca ]
dir = ./
new_certs_dir = $dir
unique_subject = no
certificate = $dir/rootca.crt
database = $dir/certindex
private_key = $dir/rootca.key
serial = $dir/certserial
default_days = 730
default_md = sha1
policy = myca_policy
x509_extensions = myca_extensions
crlnumber = $dir/crlnumber
default_crl_days = 730

[ myca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = optional
emailAddress = optional
organizationName = supplied
organizationalUnitName = optional

[ myca_extensions ]
basicConstraints = critical,CA:TRUE
keyUsage = critical,any
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
keyUsage = digitalSignature,keyEncipherment,cRLSign,keyCertSign
extendedKeyUsage = serverAuth
crlDistributionPoints = @crl_section
subjectAltName  = @alt_names
authorityInfoAccess = @ocsp_section

[ v3_ca ]
basicConstraints = critical,CA:TRUE,pathlen:0
keyUsage = critical,any
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
keyUsage = digitalSignature,keyEncipherment,cRLSign,keyCertSign
extendedKeyUsage = serverAuth
crlDistributionPoints = @crl_section
subjectAltName  = @alt_names
authorityInfoAccess = @ocsp_section

[ alt_names ]
DNS.0 = Linux.CN Root CA
DNS.1 = Linux.CN CA Root
  
[crl_section]
URI.0 = http://pki.linux.cn/rootca.crl
URI.1 = http://pki2.linux.cn/rootca.crl

[ ocsp_section ]
caIssuers;URI.0 = http://pki.linux.cn/rootca.crt
caIssuers;URI.1 = http://pki2.linux.cn/rootca.crt
OCSP;URI.0 = http://pki.linux.cn/ocsp/
OCSP;URI.1 = http://pki2.linux.cn/ocsp/

如果你要设置一个特定的证书起止时间，添加下述内容到 [myca]。

# format: YYYYMMDDHHMMSS
default_enddate = 20191222035911
default_startdate = 20181222035911

创建1号中级 CA

生成中级 CA 的私钥

openssl genrsa -out intermediate1.key 4096

生成其 CSR：

openssl req -new -sha256 -key intermediate1.key -out intermediate1.csr

输出类似如下：

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Chaoyang dist.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Linux.CN
Organizational Unit Name (eg, section) []:Linux.CN CA
Common Name (e.g. server FQDN or YOUR name) []:Linux.CN Intermediate CA
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

请确保中级 CA 的主题名（CN，Common Name）和根 CA 的不同。

使用根 CA 为你创建的中级 CA 的 CSR 签名：

openssl ca -batch -config ca.conf -notext -in intermediate1.csr -out intermediate1.crt

输出类似如下：

Using configuration from ca.conf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :ASN.1 12:'Beijing'
localityName          :ASN.1 12:'chaoyang dist.'
organizationName      :ASN.1 12:'Linux.CN'
organizationalUnitName:ASN.1 12:'Linux.CN CA'
commonName            :ASN.1 12:'Linux.CN Intermediate CA'
Certificate is to be certified until Mar 30 15:07:43 2017 GMT (730 days)

Write out database with 1 new entries
Data Base Updated

生成 CRL （包括 PEM 和 DER 两种格式）：

openssl ca -config ca.conf -gencrl -keyfile rootca.key -cert rootca.crt -out rootca.crl.pem

openssl crl -inform PEM -in rootca.crl.pem -outform DER -out rootca.crl

每次使用该 CA 签名证书后都需要生成 CRL。

如果需要的话，你可以 撤销 （ revoke ） 这个中级证书：

openssl ca -config ca.conf -revoke intermediate1.crt -keyfile rootca.key -cert rootca.crt

配置1号中级 CA

给该中级 CA 创建新目录，并进入：

mkdir ~/SSLCA/intermediate1/
cd ~/SSLCA/intermediate1/

从根 CA 那边复制这个中级 CA 的证书和私钥：

cp ../root/intermediate1.key ./
cp ../root/intermediate1.crt ./

创建索引文件：

touch certindex
echo 1000 > certserial
echo 1000 > crlnumber

创建一个新的 ca.conf ：

# vim ca.conf

[ ca ]
default_ca = myca

[ crl_ext ]
issuerAltName=issuer:copy 
authorityKeyIdentifier=keyid:always

[ myca ]
dir = ./
new_certs_dir = $dir
unique_subject = no
certificate = $dir/intermediate1.crt
database = $dir/certindex
private_key = $dir/intermediate1.key
serial = $dir/certserial
default_days = 365
default_md = sha1
policy = myca_policy
x509_extensions = myca_extensions
crlnumber = $dir/crlnumber
default_crl_days = 365

[ myca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = optional
emailAddress = optional
organizationName = supplied
organizationalUnitName = optional

[ myca_extensions ]
basicConstraints = critical,CA:FALSE
keyUsage = critical,any
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth
crlDistributionPoints = @crl_section
subjectAltName  = @alt_names
authorityInfoAccess = @ocsp_section

[ alt_names ]
DNS.0 = Linux.CN Intermidiate CA 1
DNS.1 = Linux.CN CA Intermidiate 1

[ crl_section ]
URI.0 = http://pki.linux.cn/intermediate1.crl
URI.1 = http://pki2.linux.cn/intermediate1.crl

[ ocsp_section ]
caIssuers;URI.0 = http://pki.linux.cn/intermediate1.crt
caIssuers;URI.1 = http://pki2.linux.cn/intermediate1.crt
OCSP;URI.0 = http://pki.linux.cn/ocsp/
OCSP;URI.1 = http://pki2.linux.cn/ocsp/

修改 [alt_names] 小节为你所需的 替代主题名 （ Subject Alternative names ） 。如果不需要就删除引入它的 subjectAltName = @alt_names 行。

如果你需要指定起止时间，添加如下行到 [myca] 中。

# format: YYYYMMDDHHMMSS
default_enddate = 20191222035911
default_startdate = 20181222035911

生成一个空的 CRL （包括 PEM 和 DER 两种格式）：

openssl ca -config ca.conf -gencrl -keyfile intermediate1.key -cert intermediate1.crt -out intermediate1.crl.pem

openssl crl -inform PEM -in intermediate1.crl.pem -outform DER -out intermediate1.crl

创建最终用户证书

我们使用新的中级 CA 来生成最终用户的证书。为每个你需要用此 CA 签名的最终用户证书重复这些步骤。

mkdir ~/enduser-certs
cd ~/enduser-certs

生成最终用户的私钥：

openssl genrsa -out enduser-example.com.key 4096

生成最终用户的 CSR：

openssl req -new -sha256 -key enduser-example.com.key -out enduser-example.com.csr

输出类似如下：

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Shanghai
Locality Name (eg, city) []:Xuhui dist.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Example Inc
Organizational Unit Name (eg, section) []:IT Dept
Common Name (e.g. server FQDN or YOUR name) []:example.com
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

用1号中级 CA 签名最终用户的证书：

cd ~/SSLCA/intermediate1
openssl ca -batch -config ca.conf -notext -in ~/enduser-certs/enduser-example.com.csr -out ~/enduser-certs/enduser-example.com.crt

输出类似如下：

Using configuration from ca.conf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName           :PRINTABLE:'CN'
stateOrProvinceName   :ASN.1 12:'Shanghai'
localityName          :ASN.1 12:'Xuhui dist.'
organizationName      :ASN.1 12:'Example Inc'
organizationalUnitName:ASN.1 12:'IT Dept'
commonName            :ASN.1 12:'example.com'
Certificate is to be certified until Mar 30 15:18:26 2016 GMT (365 days)

Write out database with 1 new entries
Data Base Updated

生成 CRL （包括 PEM 和 DER 两种格式）：

cd ~/SSLCA/intermediate1/
openssl ca -config ca.conf -gencrl -keyfile intermediate1.key -cert intermediate1.crt -out intermediate1.crl.pem

openssl crl -inform PEM -in intermediate1.crl.pem -outform DER -out intermediate1.crl

每次使用该 CA 签名证书后都需要生成 CRL。

如果需要的话，你可以撤销revoke这个最终用户证书：

cd ~/SSLCA/intermediate1/  
openssl ca -config ca.conf -revoke ~/enduser-certs/enduser-example.com.crt -keyfile intermediate1.key -cert intermediate1.crt

输出类似如下：

Using configuration from ca.conf
Revoking Certificate 1000.
Data Base Updated

将根证书和中级证书连接起来创建证书链文件：

cat ../root/rootca.crt intermediate1.crt > ~/enduser-certs/enduser-example.com.chain

将这些文件发送给最终用户：

enduser-example.com.crt
enduser-example.com.key
enduser-example.com.chain

你也可以让最终用户提供他们中级的 CSR 文件，而只发回给他们 这个 .crt 文件。不要从服务器上删除它们，否则就不能撤销了。

校验证书

你可以通过如下命令使用证书链来验证最终用户证书：

cd ~/enduser-certs
openssl verify -CAfile enduser-example.com.chain enduser-example.com.crt 
enduser-example.com.crt: OK

你也可以用 CRL 来校验它。首先将 PEM CRL 连接到证书链文件：

cd ~/SSLCA/intermediate1
cat ../root/rootca.crt intermediate1.crt intermediate1.crl.pem > ~/enduser-certs/enduser-example.com.crl.chain

校验证书：

cd ~/enduser-certs
openssl verify -crl_check -CAfile enduser-example.com.crl.chain enduser-example.com.crt

如果该证书未撤销，输出如下：

enduser-example.com.crt: OK

如果撤销了，输出如下：

enduser-example.com.crt: CN = example.com, ST = Beijing, C = CN, O = Example Inc, OU = IT Dept
error 23 at 0 depth lookup:certificate revoked

大家好。今天我们来学习一下如何将 Oracle 11g 升级到 Oracle 12c。开始吧。

在此，我使用的是 CentOS 7 64 位 Linux 发行版。我假设你已经在你的系统上安装了 Oracle 11g。

这里我会展示一下安装 Oracle 11g 时我的操作步骤。

我在 Oracle 11g 上选择 “Create and configure a database”，如下图所示。

然后我选择安装 Oracle 11g “Decktop Class”。如果是生产环境，你必须选择 “Server Class”。

然后你输入安装 Oracle 11g 的各种路径以及密码。下面是我自己的 Oracle 11g 安装配置。确保你正确输入了 Oracle 的密码。

下一步，我按照如下设置 Inventory Directory。

到这里，我已经向你展示了我安装 Oracle 11g 所做的工作，因为我们开始想升级到 12c。

让我们将 Oracle 11g 升级到 Oracle 12c 吧。

你需要从该链接上下载两个 zip 文件。下载并解压两个文件到相同目录。文件名为 linuxamd6412cdatabase\_1of2.zip & linuxamd6412cdatabase\_2of2.zip。提取或解压完后，它会创建一个名为 database 的文件夹。

注意：升级到 12c 之前，请确保在你的 CentOS 上已经安装了所有必须的软件包，并且所有的路径变量也已经正确配置，还有其它前提条件也已经满足。

下面是必须使用正确版本安装的一些软件包

• binutils
• compat-libstdc++
• gcc
• glibc
• libaio
• libgcc
• libstdc++
• make
• sysstat
• unixodbc

在因特网上搜索正确的 rpm 版本。

你也可以用一个查询处理多个软件包，然后在输出中查找正确版本。例如，在终端中输入下面的命令：

rpm -q binutils compat-libstdc++ gcc glibc libaio libgcc libstdc++ make sysstat unixodbc

你的系统中必须安装了以下软件包（版本可能或新或旧）

• binutils-2.23.52.0.1-12.el7.x86\_64
• compat-libcap1-1.10-3.el7.x86\_64
• gcc-4.8.2-3.el7.x86\_64
• gcc-c++-4.8.2-3.el7.x86\_64
• glibc-2.17-36.el7.i686
• glibc-2.17-36.el7.x86\_64
• glibc-devel-2.17-36.el7.i686
• glibc-devel-2.17-36.el7.x86\_64
• ksh
• libaio-0.3.109-9.el7.i686
• libaio-0.3.109-9.el7.x86\_64
• libaio-devel-0.3.109-9.el7.i686
• libaio-devel-0.3.109-9.el7.x86\_64
• libgcc-4.8.2-3.el7.i686
• libgcc-4.8.2-3.el7.x86\_64
• libstdc++-4.8.2-3.el7.i686
• libstdc++-4.8.2-3.el7.x86\_64
• libstdc++-devel-4.8.2-3.el7.i686
• libstdc++-devel-4.8.2-3.el7.x86\_64
• libXi-1.7.2-1.el7.i686
• libXi-1.7.2-1.el7.x86\_64
• libXtst-1.2.2-1.el7.i686
• libXtst-1.2.2-1.el7.x86\_64
• make-3.82-19.el7.x86\_64
• sysstat-10.1.5-1.el7.x86\_64

你也需要 unixODBC-2.3.1 或更新版本的驱动。

我希望你安装 Oracle 11g 的时候已经在你的 CentOS 7 上创建了名为 oracle 的用户。让我们以用户 oracle 登录 CentOS。以用户 oracle 登录到 CentOS 之后，在你的 CentOS上打开一个终端。

使用终端更改工作目录并导航到你解压两个 zip 文件的目录。在终端中输入以下命令开始安装 12c。

./runInstaller

如果一切顺利，你会看到类似下面的截图，已经开始安装 12c。

然后你可以选择跳过更新或者下载最近更新。如果是生产服务器，建议你必须更新。我这里选择跳过。

现在，选择升级现有数据库。

对于语言，这里已经有 English。点击下一步继续，或者你可以根据你的需要添加语言。

现在，选择企业版。你可以根据你的需求选择。

然后选择软件位置路径，这些都是不言自明的。

对于第七步，像下面这样使用默认的选择继续下一步。

在第九步中，你会看到一个类似下面这样的总结报告。

如果一切正常，你可以点击第九步中的 install 开始安装，进入第十步。

其中你可能会遇到一些错误，你需要通过谷歌找到这些错误的解决方法。你可能遇到的问题会有很多，因此我没有在这里详细介绍。

要有耐心，一步一步走下来最后它会告诉你成功了。否则，在谷歌上搜索做必要的操作解决问题。再一次说明，由于你可能会遇到的错误有很多，我无法在这里提供所有详细介绍。

现在，只需要按照下面屏幕指令配置监听器。

数据库升级助手

配置完监听器之后，它会启动 数据库升级助手 （ Database Upgrade Assistant ） 。选择 Upgrade Oracle Database。

在第二步，你会发现它显示了 11g 的位置路径以及 12c 的位置路径。同时你也会发现它指示说从原来的 Oracle Home Release 11 安装 Oracle Home Release 12.点击下一步进入步骤三。

按照屏幕上的说明完成安装。

在最后一步，你会看到一个成功窗口，其中你会看到成功升级了 oracle 数据库。

一个忠告：对于你的生产服务器，在升级到 12c 之前，请确保你已经在其它平台上测试过，以便你能修复升级过程中遇到的所有错误。永远不要尝试一无所知的时候就升级生产服务器。

via: http://www.unixmen.com/upgrade-from-oracle-11g-to-oracle-12c/

作者：Mohammad Forhad Iftekher 译者：ictlyh 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在之前的文章中，我们介绍了如何使用 Quagga 将 CentOS 服务器变成一个 BGP 路由器，也介绍了 BGP 对等体和前缀交换设置。在本教程中，我们将重点放在如何使用 前缀列表 （ prefix-list ） 和 路由映射 （ route-map ） 来分别控制数据注入和数据输出。

之前的文章已经说过，BGP 的路由判定是基于前缀的收取和前缀的广播。为避免错误的路由，你需要使用一些过滤机制来控制这些前缀的收发。举个例子，如果你的一个 BGP 邻居开始广播一个本不属于它们的前缀，而你也将错就错地接收了这些不正常前缀，并且也将它转发到网络上，这个转发过程会不断进行下去，永不停止（所谓的“黑洞”就这样产生了）。所以确保这样的前缀不会被收到，或者不会转发到任何网络，要达到这个目的，你可以使用前缀列表和路由映射。前者是基于前缀的过滤机制，后者是更为常用的基于前缀的策略，可用于精调过滤机制。

本文会向你展示如何在 Quagga 中使用前缀列表和路由映射。

拓扑和需求

本教程使用下面的拓扑结构。

服务供应商A和供应商B已经将对方设置成为 eBGP 对等体，实现互相通信。他们的自治系统号和前缀分别如下所示。

• 对等区段: 192.168.1.0/24
• 服务供应商A: 自治系统号 100, 前缀 10.10.0.0/16
• 服务供应商B: 自治系统号 200, 前缀 10.20.0.0/16

在这个场景中，供应商B只想从A接收 10.10.10.0/23, 10.10.10.0/24 和 10.10.11.0/24 三个前缀。

安装 Quagga 和设置 BGP 对等体

在之前的教程中，我们已经写了安装 Quagga 和设置 BGP 对等体的方法，所以这里就不再详细说明了，只简单介绍下 BGP 配置和前缀广播：

上图说明 BGP 对等体已经开启。Router-A 在向 router-B 广播多个前缀，而 Router-B 也在向 router-A 广播一个前缀 10.20.0.0/16。两个路由器都能正确无误地收发前缀。

创建前缀列表

路由器可以使用 ACL 或前缀列表来过滤一个前缀。前缀列表比 ACL 更常用，因为前者处理步骤少，而且易于创建和维护。

ip prefix-list DEMO-PRFX permit 192.168.0.0/23

上面的命令创建了名为“DEMO-FRFX”的前缀列表，只允许存在 192.168.0.0/23 这个前缀。

前缀列表的另一个强大功能是支持子网掩码区间，请看下面的例子：

ip prefix-list DEMO-PRFX permit 192.168.0.0/23 le 24

这个命令创建的前缀列表包含在 192.168.0.0/23 和 /24 之间的前缀，分别是 192.168.0.0/23, 192.168.0.0/24 和 192.168.1.0/24。运算符“le”表示小于等于，你也可以使用“ge”表示大于等于。

一个前缀列表语句可以有多个允许或拒绝操作。每个语句都自动或手动地分配有一个序列号。

如果存在多个前缀列表语句，则这些语句会按序列号顺序被依次执行。在配置前缀列表的时候，我们需要注意在所有前缀列表语句之后是隐性拒绝语句，就是说凡是不被明显允许的，都会被拒绝。

如果要设置成允许所有前缀，前缀列表语句设置如下：

ip prefix-list DEMO-PRFX permit 0.0.0.0/0 le 32

我们已经知道如何创建前缀列表语句了，现在我们要创建一个名为“PRFX-LST”的前缀列表，来满足我们实验场景的需求。

router-b# conf t
router-b(config)# ip prefix-list PRFX-LST permit 10.10.10.0/23 le 24

创建路由映射

除了前缀列表和 ACL，这里还有另一种机制，叫做路由映射，也可以在 BGP 路由器中控制前缀。事实上，路由映射针对前缀匹配的微调效果比前缀列表和 ACL 都强。

与前缀列表类似，路由映射语句也可以指定允许和拒绝操作，也需要分配一个序列号。每个路由匹配可以有多个允许或拒绝操作。例如：

route-map DEMO-RMAP permit 10

上面的语句创建了名为“DEMO-RMAP”的路由映射，添加序列号为10的允许操作。现在我们在这个序列号所对应的路由映射下使用 match 命令进行匹配。

router-a(config-route-map)# match (press ? in the keyboard)

  as-path       Match BGP AS path list
  community     Match BGP community list
  extcommunity  Match BGP/VPN extended community list
  interface     match first hop interface of route
  ip            IP information
  ipv6          IPv6 information
  metric        Match metric of route
  origin        BGP origin code
  peer          Match peer address
  probability   Match portion of routes defined by percentage value
  tag           Match tag of route

如你所见，路由映射可以匹配很多属性，在本教程中匹配的是前缀。

route-map DEMO-RMAP permit 10
match ip address prefix-list DEMO-PRFX

这个 match 命令会匹配之前建好的前缀列表中允许的 IP 地址（也就是前缀 192.168.0.0/23, 192.168.0.0/24 和 192.168.1.0/24）。

接下来，我们可以使用 set 命令来修改这些属性。例子如下：

route-map DEMO-RMAP permit 10
match ip address prefix-list DEMO-PRFX
set (press ? in keyboard)

  aggregator          BGP aggregator attribute
  as-path             Transform BGP AS-path attribute
  atomic-aggregate    BGP atomic aggregate attribute
  comm-list           set BGP community list (for deletion)
  community           BGP community attribute
  extcommunity        BGP extended community attribute
  forwarding-address  Forwarding Address
  ip                  IP information
  ipv6                IPv6 information
  local-preference    BGP local preference path attribute
  metric              Metric value for destination routing protocol
  metric-type         Type of metric
  origin              BGP origin code
  originator-id       BGP originator ID attribute
  src                 src address for route
  tag                 Tag value for routing protocol
  vpnv4               VPNv4 information
  weight              BGP weight for routing table

如你所见，set 命令也可以修改很多属性。为了作个示范，我们修改一下 BGP 的 local-preference 这个属性。

route-map DEMO-RMAP permit 10
match ip address prefix-list DEMO-PRFX
set local-preference 500

如同前缀列表，路由映射语句的末尾也有隐性拒绝操作。所以我们需要添加另外一个允许语句（使用序列号20）来允许所有前缀。

route-map DEMO-RMAP permit 10
match ip address prefix-list DEMO-PRFX
set local-preference 500
!
route-map DEMO-RMAP permit 20

序列号20未指定任何匹配命令，所以默认匹配所有前缀。在这个路由映射语句中，所有的前缀都被允许。

回想一下，我们的需求是只允许或只拒绝一些前缀，所以上面的 set 命令不应该存在于这个场景中。我们只需要一个允许语句，如下如示：

router-b# conf t
router-b(config)# route-map RMAP permit 10
router-b(config-route-map)# match ip address prefix-list PRFX-LST

这个路由映射才是我们需要的效果。

应用路由映射

注意，在被应用于一个接口或一个 BGP 邻居之前，ACL、前缀列表和路由映射都不会生效。与 ACL 和前缀列表一样，一条路由映射语句也能被多个接口或邻居使用。然而，一个接口或一个邻居只能有一条路由映射语句应用于输入端，以及一条路由映射语句应用于输出端。

下面我们将这条路由映射语句应用于 router-B 的 BGP 配置，为 router-B 的邻居 192.168.1.1 设置输入前缀广播。

router-b# conf terminal
router-b(config)# router bgp 200
router-b(config-router)# neighbor 192.168.1.1 route-map RMAP in

现在检查下广播路由和收取路由。

显示广播路由的命令：

show ip bgp neighbor-IP advertised-routes

显示收取路由的命令：

show ip bgp neighbor-IP routes

可以看到，router-A 有4条路由前缀到达 router-B，而 router-B 只接收3条。查看一下范围，我们就能知道只有被路由映射允许的前缀才能在 router-B 上显示出来，其他的前缀一概丢弃。

小提示：如果接收前缀内容没有刷新，试试重置下 BGP 会话，使用这个命令：clear ip bgp neighbor-IP。本教程中命令如下：

clear ip bgp 192.168.1.1

我们能看到系统已经满足我们的要求了。接下来我们可以在 router-A 和 router-B 上创建相似的前缀列表和路由映射语句来更好地控制输入输出的前缀。

这里把配置过程总结一下，方便查看。

router bgp 200
network 10.20.0.0/16
neighbor 192.168.1.1 remote-as 100
neighbor 192.168.1.1 route-map RMAP in
!
ip prefix-list PRFX-LST seq 5 permit 10.10.10.0/23 le 24
!
route-map RMAP permit 10
match ip address prefix-list PRFX-LST

总结

在本教程中我们演示了如何在 Quagga 中设置前缀列表和路由映射来过滤 BGP 路由。我们也展示了如何将前缀列表结合进路由映射来进行输入前缀的微调功能。你可以参考这些方法来设置满足自己需求的前缀列表和路由映射。这些工具是保护网络免受路由毒化和来自 bogon 路由（LCTT 译注：指不该出现在internet路由表中的地址）的广播。

希望本文对你有帮助。

via: http://xmodulo.com/filter-bgp-routes-quagga-bgp-router.html

作者：Sarmed Rahman 译者：bazz2 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

无论你以前有没有使用 RAID 阵列的经验，以及是否完成了 此 RAID 系列 的所有教程，一旦你在 Linux 中熟悉了 mdadm --manage 命令的使用，管理软件 RAID 将不是很复杂的任务。

在 Linux 中使用 mdadm 管理 RAID 设备 - 第9部分

在本教程中，我们会再介绍此工具提供的功能，这样当你需要它，就可以派上用场。

RAID 测试方案

在本系列的最后一篇文章中，我们将使用一个简单的 RAID 1（镜像）阵列，它由两个 8GB 的磁盘（/dev/sdb 和 /dev/sdc）和一个备用设备（/dev/sdd）来演示，但在此使用的方法也适用于其他类型的配置。也就是说，放心去用吧，把这个页面添加到浏览器的书签，然后让我们开始吧。

了解 mdadm 的选项和使用方法

幸运的是，mdadm 有一个内建的 --help 参数来对每个主要的选项提供说明文档。

因此，让我们开始输入：

# mdadm --manage --help

就会使我们看到 mdadm --manage 能够执行哪些任务：

使用 mdadm 工具来管理 RAID

正如我们在上面的图片看到，管理一个 RAID 阵列可以在任意时间执行以下任务：

• （重新）将设备添加到阵列中
• 把设备标记为故障
• 从阵列中删除故障设备
• 使用备用设备更换故障设备
• 先创建部分阵列
• 停止阵列
• 标记阵列为 ro（只读）或 rw（读写）

使用 mdadm 工具管理 RAID 设备

需要注意的是，如果用户忽略 --manage 选项，mdadm 默认使用管理模式。请记住这一点，以避免出现最坏的情况。

上图中的高亮文本显示了管理 RAID 的基本语法：

# mdadm --manage RAID options devices

让我们来演示几个例子。

​例1：为 RAID 阵列添加设备

你通常会添加新设备来更换故障的设备，或者使用空闲的分区以便在出现故障时能及时替换：

# mdadm --manage /dev/md0 --add /dev/sdd1

添加设备到 Raid 阵列

​例2：把一个 RAID 设备标记为故障并从阵列中移除

在从逻辑阵列中删除该设备前，这是强制性的步骤，然后才能从机器中取出它 - 注意顺序（如果弄错了这些步骤，最终可能会造成实际设备的损害）：

# mdadm --manage /dev/md0 --fail /dev/sdb1

请注意在前面的例子中，知道如何添加备用设备来自动更换出现故障的磁盘。在此之后，恢复和重建 raid 数据 就开始了：

恢复和重建 raid 数据

一旦设备已被手动标记为故障，你就可以安全地从阵列中删除它：

# mdadm --manage /dev/md0 --remove /dev/sdb1

例3：重新添加设备，来替代阵列中已经移除的设备

到现在为止，我们有一个工作的 RAID 1 阵列，它包含了2个活动的设备：/dev/sdc1 和 /dev/sdd1。现在让我们试试重新添加 /dev/sdb1 到/dev/md0：

# mdadm --manage /dev/md0 --re-add /dev/sdb1

我们会碰到一个错误:

# mdadm: --re-add for /dev/sdb1 to /dev/md0 is not possible

因为阵列中的磁盘已经达到了最大的数量。因此，我们有两个选择：a）将 /dev/sdb1 添加为备用的，如例1；或 b）从阵列中删除 /dev/sdd1 然后重新添加 /dev/sdb1。

我们选择选项 b），先停止阵列然后重新启动：

# mdadm --stop /dev/md0
# mdadm --assemble /dev/md0 /dev/sdb1 /dev/sdc1

如果上面的命令不能成功添加 /dev/sdb1 到阵列中，使用例1中的命令来完成。

mdadm 能检测到新添加的设备并将其作为备用设备，当添加完成后它会开始重建数据，它也被认为是 RAID 中的活动设备：

重建 Raid 的状态

例4：使用特定磁盘更换 RAID 设备

在阵列中使用备用磁盘更换磁盘很简单：

# mdadm --manage /dev/md0 --replace /dev/sdb1 --with /dev/sdd1

更换 Raid 设备

这会导致 --replace 指定的设备被标记为故障，而 --with指定的设备添加到 RAID 中来替代它：

检查 Raid 重建状态

​例5：标记 RAID 阵列为 ro 或 rw

创建阵列后，你必须在它上面创建一个文件系统并将其挂载到一个目录下才能使用它。你可能不知道，RAID 也可以被设置为 ro，使其只读；或者设置为 rw，就可以同时写入了。

要标记该设备为 ro，首先需要将其卸载：

# umount /mnt/raid1
# mdadm --manage /dev/md0 --readonly
# mount /mnt/raid1
# touch /mnt/raid1/test1

在 RAID 阵列上设置权限

要配置阵列允许写入操作需要使用 --readwrite 选项。请注意，在设置 rw 标志前，你需要先卸载设备并停止它：

# umount /mnt/raid1
# mdadm --manage /dev/md0 --stop
# mdadm --assemble /dev/md0 /dev/sdc1 /dev/sdd1
# mdadm --manage /dev/md0 --readwrite
# touch /mnt/raid1/test2

配置 Raid 允许读写操作

总结

在本系列中，我们已经解释了如何建立一个在企业环境中使用的软件 RAID 阵列。如果你按照这些文章所提供的例子进行配置，在 Linux 中你会充分领会到软件 RAID 的价值。

如果你碰巧任何问题或有建议，请随时使用下面的方式与我们联系。

via: http://www.tecmint.com/manage-software-raid-devices-in-linux-with-mdadm/

作者：GABRIEL CÁNEPA 译者：strugglingyouth 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

正如第一部分（“设置静态网络路由”）提到的，在这篇文章（RHCE 系列第二部分），我们首先介绍红帽企业版 Linux 7（RHEL）中包过滤和网络地址转换（NAT）的原理，然后再介绍在某些条件发生变化或者需要变动时设置运行时内核参数以改变运行时内核行为。

RHCE 第二部分：网络包过滤

RHEL 7 中的网络包过滤

当我们讨论数据包过滤的时候，我们指防火墙读取每个试图通过它的数据包的包头所进行的处理。然后，根据系统管理员之前定义的规则，通过采取所要求的动作过滤数据包。

正如你可能知道的，从 RHEL 7 开始，管理防火墙的默认服务是 firewalld。类似 iptables，它和 Linux 内核的 netfilter 模块交互以便检查和操作网络数据包。但不像 iptables，Firewalld 的更新可以立即生效，而不用中断活跃的连接 - 你甚至不需要重启服务。

Firewalld 的另一个优势是它允许我们定义基于预配置服务名称的规则（之后会详细介绍）。

在第一部分，我们用了下面的场景：

静态路由网络示意图

然而，你应该记得，由于还没有介绍包过滤，为了简化例子，我们停用了2号路由器的防火墙。现在让我们来看看如何使接收的数据包发送到目的地的特定服务或端口。

首先，让我们添加一条永久规则允许从 enp0s3 (192.168.0.19) 到 enp0s8 (10.0.0.18) 的入站流量：

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

上面的命令会把规则保存到 /etc/firewalld/direct.xml 中：

# cat /etc/firewalld/direct.xml

检查 Firewalld 保存的规则

然后启用规则使其立即生效：

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

现在你可以从 RHEL 7 中通过 telnet 到 web 服务器并再次运行 tcpdump 监视两台机器之间的 TCP 流量，这次2号路由器已经启用了防火墙。

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

如果你想只允许从 192.168.0.18 到 web 服务器（80 号端口）的连接而阻塞 192.168.0.0/24 网络中的其它来源呢？

在 web 服务器的防火墙中添加以下规则：

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

现在你可以从 192.168.0.18 和 192.168.0.0/24 中的其它机器发送到 web 服务器的 HTTP 请求。第一种情况连接会成功完成，但第二种情况最终会超时。

任何下面的命令可以验证这个结果：

# telnet 10.0.0.20 80
# wget 10.0.0.20

我强烈建议你看看 Fedora Project Wiki 中的 Firewalld Rich Language 文档更详细地了解关于富规则的内容。

RHEL 7 中的网络地址转换（NAT）

网络地址转换（NAT）是为专用网络中的一组计算机（也可能是其中的一台）分配一个独立的公共 IP 地址的过程。这样，在内部网络中仍然可以用它们自己的私有 IP 地址来区别，但外部“看来”它们是一样的。

另外，网络地址转换使得内部网络中的计算机发送请求到外部资源（例如因特网），然后只有源系统能接收到对应的响应成为可能。

现在让我们考虑下面的场景：

网络地址转换

在2号路由器中，我们会把 enp0s3 接口移动到外部区域（external），enp0s8 到内部区域（external），伪装（masquerading）或者说 NAT 默认是启用的：

# firewall-cmd --list-all --zone=external
# firewall-cmd --change-interface=enp0s3 --zone=external
# firewall-cmd --change-interface=enp0s3 --zone=external --permanent
# firewall-cmd --change-interface=enp0s8 --zone=internal
# firewall-cmd --change-interface=enp0s8 --zone=internal --permanent

对于我们当前的设置，内部区域（internal） - 以及和它一起启用的任何东西都是默认区域：

# firewall-cmd --set-default-zone=internal

下一步，让我们重载防火墙规则并保持状态信息：

# firewall-cmd --reload

最后，在 web 服务器中添加2号路由器为默认网关：

# ip route add default via 10.0.0.18

现在你会发现在 web 服务器中你可以 ping 1号路由器和外部网站（例如 tecmint.com）：

# ping -c 2 192.168.0.1
# ping -c 2 tecmint.com

验证网络路由

在 RHEL 7 中设置内核运行时参数

在 Linux 中，允许你更改、启用以及停用内核运行时参数，RHEL 也不例外。当操作条件发生变化时，/proc/sys 接口（sysctl）允许你实时设置运行时参数改变系统行为，而不需太多麻烦。

为了实现这个目的，会用 shell 内建的 echo 写 /proc/sys/<category> 中的文件，其中 <category> 一般是以下目录中的一个：

• dev: 连接到机器中的特定设备的参数。
• fs: 文件系统配置（例如 quotas 和 inodes）。
• kernel: 内核配置。
• net: 网络配置。
• vm: 内核的虚拟内存的使用。

要显示所有当前可用值的列表，运行

# sysctl -a | less

在第一部分中，我们通过以下命令改变了 net.ipv4.ip_forward 参数的值以允许 Linux 机器作为一个路由器。

# echo 1 > /proc/sys/net/ipv4/ip_forward

另一个你可能想要设置的运行时参数是 kernel.sysrq，它会启用你键盘上的 Sysrq 键，以使系统更好的运行一些底层功能，例如如果由于某些原因冻结了后重启系统：

# echo 1 > /proc/sys/kernel/sysrq

要显示特定参数的值，可以按照下面方式使用 sysctl：

# sysctl <parameter.name>

例如，

# sysctl net.ipv4.ip_forward
# sysctl kernel.sysrq

有些参数，例如上面提到的某个，只需要一个值，而其它一些（例如 fs.inode-state）要求多个值：

查看内核参数

不管什么情况下，做任何更改之前你都需要阅读内核文档。

请注意系统重启后这些设置会丢失。要使这些更改永久生效，我们需要添加内容到 /etc/sysctl.d 目录的 .conf 文件，像下面这样：

# echo "net.ipv4.ip_forward = 1" > /etc/sysctl.d/10-forward.conf

（其中数字 10 表示相对同一个目录中其它文件的处理顺序）。

并用下面命令启用更改：

# sysctl -p /etc/sysctl.d/10-forward.conf

总结

在这篇指南中我们解释了基本的包过滤、网络地址变换和在运行的系统中设置内核运行时参数并使重启后能持久化。我希望这些信息能对你有用，如往常一样，我们期望收到你的回复！

别犹豫，在下面的表单中和我们分享你的疑问、评论和建议吧。

via: http://www.tecmint.com/perform-packet-filtering-network-address-translation-and-set-kernel-runtime-parameters-in-rhel/

作者：Gabriel Cánepa 译者：ictlyh 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出