问题： 我尝试着解决我 Linux 系统上的 Apache Web 服务器的错误，Apache的错误日志文件放在[XX Linux 版本]的哪个位置呢？

错误日志和访问日志文件为系统管理员提供了有用的信息，比如，为 Web 服务器排障，保护系统不受各种各样的恶意活动侵犯，或者只是进行各种各样的分析以监控 HTTP 服务器。根据你 Web 服务器配置的不同，其错误/访问日志可能放在你系统中不同位置。

本文可以帮助你找到Linux上的Apache错误日志。

Debian，Ubuntu或Linux Mint上的Apache错误日志位置

默认的错误日志

在基于Debian的Linux上，系统范围的Apache错误日志默认位置是/var/log/apache2/error.log。默认位置可以通过编辑Apache的配置文件进行修改。

自定义的错误日志

要找到自定义的错误日志位置，请用文本编辑器打开 /etc/apache2/apache2.conf，然后查找以 ErrorLog 开头的行，该行指定了自定义的 Apache 错误日志文件的位置。例如，在未经修改的 Apache 配置文件中可以找到以下行：

ErrorLog ${APACHE_LOG_DIR}/error.log

在本例中，该位置使用 APACHELOGDIR 环境变量进行配置，该变量在 /etc/apache2/envvars 中已被定义。

export APACHE_LOG_DIR=/var/log/apache2$SUFFIX

在实际情况中， ErrorLog 可能会指向你 Linux 系统中任意路径。

使用虚拟主机自定义的错误日志

如果在 Apache Web 服务器中使用了虚拟主机， ErrorLog 指令可能会在虚拟主机容器内指定，在这种情况下，上面所说的系统范围的错误日志位置将被忽略。

启用了虚拟主机后，各个虚拟主机可以定义其自身的自定义错误日志位置。要找出某个特定虚拟主机的错误日志位置，你可以打开 /etc/apache2/sites-enabled/.conf，然后查找 ErrorLog 指令，该指令会显示站点指定的错误日志文件。

CentOS，Fedora或RHEL上的Apache错误日志位置

默认的错误日志

在基于 Red Hat 的Linux中，系统范围的 Apache 错误日志文件默认被放置在/var/log/httpd/error\_log。该默认位置可以通过修改 Apache 配置文件进行自定义。

自定义的错误日志

要找出 Apache 错误日志的自定义位置，请用文本编辑器打开 /etc/httpd/conf/httpd.conf，然后查找 ServerRoot，该参数显示了 Apache Web 服务器目录树的顶层，日志文件和配置都位于该目录树中。例如：

ServerRoot "/etc/httpd"

现在，查找 ErrorLog 开头的行，该行指出了 Apache Web 服务器将错误日志写到了哪里去。注意，指定的位置是 ServerRoot 值的相对位置。例如：

ErrorLog "log/error_log"

结合上面的两个指令，可以获得完整的错误日志路径，默认情况下该路径就是 /etc/httpd/logs/errorlog。在全新安装的Apache中，这是一个到 /var/log/httpd/errorlog 的符号链接。

在实际情况中， ErrorLog 可能指向你 Linux 系统中的任意位置。

使用虚拟主机自定义的错误日志

如果你启用了虚拟主机，你可以通过检查 /etc/httpd/conf/httpd.conf（或其它任何定义了虚拟主机的文件）来找到各个虚拟主机的错误日志位置。在独立的虚拟主机部分查找 ErrorLog。如，在下面的虚拟主机部分，错误日志的位置是 /var/www/xmodulo.com/logs/error\_log。

<VirtualHost *:80>
    ServerAdmin [email protected]
    DocumentRoot /var/www/xmodulo.com/public_html
    ServerName www.xmodulo.com
    ServerAlias xmodulo.com
    ErrorLog /var/www/xmodulo.com/logs/error_log
    CustomLog /var/www/xmodulo.com/logs/access_log
<VirtualHost>

via: http://ask.xmodulo.com/apache-error-log-location-linux.html

作者：Dan Nanni 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

1、编辑/etc/vmware/firewall/service.xml

vi /etc/vmware/firewall/service.xml 

2、在该文件重中倒数第二行开始添加以下内容：

<!-- Firewall configuration information for VNC --> 
<service id='0040'>
    <id>VNC</id>
    <rule id='0000'>
      <direction>inbound</direction>
      <protocol>tcp</protocol>
      <porttype>dst</porttype>
      <port>
        <begin>40000</begin>
        <end>60000</end>
      </port>
    </rule>
    <enabled>true</enabled>
    <required>false</required>
 </service> 

3、执行以下命令以使配置文件生效：

esxcli network firewall refresh

4、查看是否已经生效：

esxcli network firewall ruleset list | grep VNC
VNC                  true

我们中有些人出于安全原因，在家里或者VPS上通过Linux统一密钥配置（LUKS）为硬盘驱动器加密，而这些驱动器的容量很快会增长到数十或数百GB。因此，虽然我们享受着LUKS设备带来的安全感，但是我们也该开始考虑一个可能的远程备份方案了。对于安全的非现场备份，我们将需要能在LUKS加密的设备上以块级别操作的东西。因此，最后我们发现这么个状况，我们每次都需要传输想要做备份的整个LUKS设备（比如说200GB大）。很明显，这是不可行的。我们该怎么来处理这个问题呢？

一个解决方案： Bdsync

这时，一个卓越的开源工具来拯救我们了，它叫Bdsync（多亏了Rolf Fokkens）。顾名思义，Bdsync可以通过网络同步“块设备”。对于快速同步，Bdsync会生成并对比本地/远程块设备的块的MD5校验和，只同步差异部分。rsync在文件系统级别可以做的，Bdsync可以在块设备级别完成。很自然，对于LUKS加密的设备它也能工作得很好。相当地灵巧！

使用Bdsync，首次备份将拷贝整个LUKS块设备到远程主机，因而会花费大量时间来完成。然而，在初始备份后，如果我们在LUKS设备新建一些文件，再次备份就会很快完成，因为我们只需拷贝修改过的块。经典的增量备份在起作用了！

安装Bdsync到Linux

Bdsync并不包含在Linux发行版的标准仓库中，因而你需要从源代码来构建它。使用以下针对特定版本的指令来安装Bdsync及其手册页到你的系统中。

Debian，Ubuntu或Linux Mint

$ sudo apt-get install git gcc libssl-dev
$ git clone https://github.com/TargetHolding/bdsync.git
$ cd bdsync
$ make
$ sudo cp bdsync /usr/local/sbin
$ sudo mkdir -p /usr/local/man/man1
$ sudo sh -c 'gzip -c bdsync.1 > /usr/local/man/man1/bdsync.1.gz'

Fedora或CentOS/RHEL

$ sudo yum install git gcc openssl-devel
$ git clone https://github.com/TargetHolding/bdsync.git
$ cd bdsync
$ make
$ sudo cp bdsync /usr/local/sbin
$ sudo mkdir -p /usr/local/man/man1
$ sudo sh -c 'gzip -c bdsync.1 > /usr/local/man/man1/bdsync.1.gz'

对LUKS加密的设备实施非现场增量备份

我假定你已经准备好了一个LUKS加密的块设备作为备份源（如，/dev/LOCDEV）。同时，我假定你也有一台远程主机，用以作为源设备的备份点（如，/dev/REMDEV）。

你需要在两台系统上具有root帐号访问权限，并且设置从本地访问远程的无密码SSH访问。最后，你需要安装Bdsync到两台主机上。

要在本地主机上初始化一个远程备份进程，我们需要以root执行以下命令：

# bdsync "ssh root@remote_host bdsync --server" /dev/LOCDEV /dev/REMDEV | gzip > /some_local_path/DEV.bdsync.gz 

这里需要进行一些说明。Bdsync客户端将以root打开一个到远程主机的SSH连接，并执行带有--server选项的Bdsync客户端。明确说明一下，/dev/LOCDEV是我们的本地主机上的源LUKS块设备，而/dev/REMDEV是远程主机上的目标块设备。它们可以是/dev/sda（作为整个磁盘），或者/dev/sda2（作为单个分区）。本地Bdsync客户端的输出结果随后被管道输送到gzip，用来在本地主机中创建DEV.bdsync.gz（所谓的二进制补丁文件）。

你第一次运行上面的命令的时候，它会花费很长一段时间，这取决于你的互联网/局域网速度，以及/dev/LOCDEV的大小。记住，你必须有两个大小相同的块设备（/dev/LOCDEV和/dev/REMDEV）。

下一步是要将补丁文件从本地主机拷贝到远程主机。一种方式是使用scp：

# scp /some_local_path/DEV.bdsync.gz root@remote_host:/remote_path 

最后一步，是要在远程主机上执行以下命令，它们会将补丁文件应用到/dev/REMDEV：

# gzip -d < /remote_path/DEV.bdsync.gz | bdsync --patch=/dev/DSTDEV 

我推荐在使用真实数据部署Bdsync前，使用一些（没有任何重要数据）小分区来做这些测试。在你完全弄懂整个设置是如何工作之后，你可以开始备份真实数据。

尾声

小结之，我们演示了如何使用Bdsync来为LUKS设备实施增量备份。和rsync一样，每次备份只有一小部分数据，而不是整个LUKS设备，需要被推送到非现场备份点，这样会节省带宽和备份时间。剩下来，需要通过SSH或SCP来保证所有数据传输的安全，事实上设备自身是由LUKS加密的。也可以通过使用可以运行bdsync的专用用户（而非root）来改进该配置。我们也可以将bdsync用于任何块设备，如LVM卷或RAID磁盘，也可以很轻易地设置Bdsync备份本地磁盘到USB驱动器上。如你所见，它有着无限可能性！

随时分享你的想法。

via: http://xmodulo.com/remote-incremental-backup-luks-encrypted-disk-partition.html

作者：Iulian Murgulet 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

对于那些需要在因特网上提供服务或托管主机的人来说，保证您的系统在面对攻击时的安全是一个重要的事情。

mod\_security（一个开源的用于Web应用入侵检测及防护的引擎，可以无缝地集成到Web服务器）和mod\_evasive是两个在服务器端对抗暴力破解和(D)DoS攻击的非常重要的工具。

mod\_evasive，如它的名字一样，在受攻击时提供避实就虚的功能，它像一个雨伞一样保护Web服务器免受那些威胁。

安装mod\_security和mod\_evasive来保护Apache

在这篇文章中我们将讨论如何安装、配置以及在RHEL/CentOS6、7和Fedora 21-15上将它们整合到Apache。另外，我们会模拟攻击以便验证服务器做出了正确的反应。

以上以您的系统中安装有LAMP服务器为基础，所以，如果您没有安装，请先阅读下面链接的文章再开始阅读本文。

• 在RHEL/CentOS 7中安装LAMP

（LCTT 译注：本文有修改。原文为了在RHEL/CentOS 7或Fedora 21中使用同样的工具，而删除了它们自带的 firewalld，使用了旧式的iptables。译者以为这样并不恰当，因此，译文中做了相应删节，并增加了firewalld的相应脚本。）

步骤 1: 安装mod\_security和mod\_evasive

另外，在安装LAMP后，您还需要在RHEL/CentOS 7/6中开启EPEL仓库来安装这两个包。Fedora用户不需要开启这个仓库，因为epel已经是Fedora项目的一部分了。

# yum update && yum install mod_security mod_evasive

当安装结束后，您会在/etc/httpd/conf.d下找到这两个工具的配置文件。

# ls -l /etc/httpd/conf.d

mod\_security + mod\_evasive 配置文件

现在，为了整合这两个模块到Apache，并在启动时加载它们。请确保下面几行出现在mod\_evasive.conf和mod\_security.conf的顶层部分，它们分别为：

LoadModule evasive20_module modules/mod_evasive24.so
LoadModule security2_module modules/mod_security2.so

请注意modules/mod\_security2.so和modules/mod\_evasive24.so都是从/etc/httpd到模块源文件的相对路径。您可以通过列出/etc/httpd/modules的内容来验证（如果需要的话，修改它）：

# cd /etc/httpd/modules
# pwd
# ls -l | grep -Ei '(evasive|security)'

验证mod\_security + mod\_evasive模块

接下来重启Apache并且核实它已加载了mod\_evasive和mod\_security：

# service httpd restart         [在RHEL/CentOS 6和Fedora 20-18上]
# systemctl restart httpd       [在RHEL/CentOS 7和Fedora 21上]

# httpd -M | grep -Ei '(evasive|security)'     [输出已加载的静态模块和动态模块列表]

检查mod\_security + mod\_evasive模块已加载

步骤 2: 安装一个核心规则集并且配置mod\_security

简单来说，一个核心规则集（即CRS）为web服务器提供特定状况下如何反应的指令。mod\_security的开发者们提供了一个免费的CRS，叫做OWASP（[开放Web应用安全项目]）ModSecurity CRS，可以从下面的地址下载和安装。

下载OWASP CRS到为之创建的目录

# mkdir /etc/httpd/crs-tecmint
# cd /etc/httpd/crs-tecmint
# wget https://github.com/SpiderLabs/owasp-modsecurity-crs/tarball/master

下载mod\_security核心规则

解压CRS文件并修改文件夹名称

# tar xzf master
# mv SpiderLabs-owasp-modsecurity-crs-ebe8790 owasp-modsecurity-crs

解压mod\_security核心规则

现在，是时候配置mod\_security了

将示例的规则文件（owasp-modsecurity-crs/modsecuritycrs10\_setup.conf.example）拷贝为同名的配置文件。

# cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf

并通过将下面的几行插入到web服务器的主配置文件/etc/httpd/conf/httpd.conf来告诉Apache将这个文件和该模块放在一起使用。如果您选择解压打包文件到另一个文件夹，那么您需要修改Include的路径：

<IfModule security2_module>
    Include crs-tecmint/owasp-modsecurity-crs/modsecurity_crs_10_setup.conf
    Include crs-tecmint/owasp-modsecurity-crs/base_rules/*.conf
</IfModule>

最后，建议您在/etc/httpd/modsecurity.d目录下创建自己的配置文件，在那里我们可以用我们自定义的文件夹（接下来的示例中，我们会将其命名为tecmint.conf）而无需修改CRS文件的目录。这样做能够在CRS发布新版本时更加容易的升级。

<IfModule mod_security2.c>
    SecRuleEngine On
    SecRequestBodyAccess On
    SecResponseBodyAccess On 
    SecResponseBodyMimeType text/plain text/html text/xml application/octet-stream 
    SecDataDir /tmp
</IfModule>

您可以在SpiderLabs的ModSecurity GitHub仓库中参考关于mod\_security目录的更完整的解释。

步骤 3: 配置mod\_evasive

mod\_evasive被配置为使用/etc/httpd/conf.d/mod\_evasive.conf中的指令。与mod\_security不同，由于在包升级时没有规则来更新，因此我们不需要独立的文件来添加自定义指令。

默认的mod\_evasive.conf开启了下列的目录（注意这个文件被详细的注释了，因此我们剔掉了注释以重点显示配置指令）：

<IfModule mod_evasive24.c>
    DOSHashTableSize    3097
    DOSPageCount        2
    DOSSiteCount        50
    DOSPageInterval     1
    DOSSiteInterval     1
    DOSBlockingPeriod   10
</IfModule>

这些指令的解释：

• DOSHashTableSize: 这个指令指明了哈希表的大小，它用来追踪基于IP地址的活动。增加这个数字将使得站点访问历史的查询变得更快，但如果被设置的太大则会影响整体性能。
• DOSPageCount: 在DOSPageInterval间隔内可由一个用户发起的针对特定的URI（例如，一个Apache 提供服务的文件）的同一个请求的数量。
• DOSSiteCount: 类似DOSPageCount，但涉及到整个站点总共有多少的请求可以在DOSSiteInterval间隔内被发起。
• DOSBlockingPeriod: 如果一个用户超过了DOSSPageCount的限制或者DOSSiteCount，他的源IP地址将会在DOSBlockingPeriod期间内被加入黑名单。在DOSBlockingPeriod期间，任何从这个IP地址发起的请求将会遭遇一个403禁止错误。

尽可能的试验这些值，以使您的web服务器有能力处理特定大小的负载。

一个小警告: 如果这些值设置的不合适，则您会蒙受阻挡合法用户的风险。

您也许还会用到以下其它有用的指令：

DOSEmailNotify

如果您运行有一个邮件服务器，您可以通过Apache发送警告消息。注意，如果SELinux已开启，您需要授权apache用户SELinux的权限来发送email。您可以通过下面的命令来授予权限：

# setsebool -P httpd_can_sendmail 1

接下来，将这个指令和其他指令一起加入到mod\_evasive.conf文件。

DOSEmailNotify [email protected]

如果这个指令设置了合适的值，并且您的邮件服务器在正常的运行，则当一个IP地址被加入黑名单时，会有一封邮件被发送到相应的地址。

DOSSystemCommand

它需要一个有效的系统命令作为参数，

DOSSystemCommand </command>

这个指令指定当一个IP地址被加入黑名单时执行的命令。它通常结合shell脚本来使用，比如在脚本中添加一条防火墙规则来阻挡某个IP进一步的连接。

写一个shell脚本在防火墙阶段处理IP黑名单

当一个IP地址被加入黑名单，我们需要阻挡它进一步的连接。我们需要下面的shell脚本来执行这个任务。在/usr/local/bin下创建一个叫做scripts-tecmint的文件夹（或其他的名字），以及一个叫做ban\_ip.sh的文件。

用于iptables防火墙

#!/bin/sh
# 由mod_evasive检测出，将被阻挡的IP地址
IP=$1
# iptables的完整路径
IPTABLES="/sbin/iptables"
# mod_evasive锁文件夹
mod_evasive_LOGDIR=/var/log/mod_evasive
# 添加下面的防火墙规则 (阻止所有从$IP流入的流量)
$IPTABLES -I INPUT -s $IP -j DROP
# 为了未来的检测，移除锁文件
rm -f "$mod_evasive_LOGDIR"/dos-"$IP"

用于firewalld防火墙

#!/bin/sh
# 由mod_evasive检测出，将被阻挡的IP地址
IP=$1
# firewalld-cmd的完整路径
FIREWALL_CMD="/usr/bin/firewall-cmd"
# mod_evasive锁文件夹
mod_evasive_LOGDIR=/var/log/mod_evasive
# 添加下面的防火墙规则 (阻止所有从$IP流入的流量)
$FIREWALL_CMD --zone=drop --add-source $IP
# 为了未来的检测，移除锁文件
rm -f "$mod_evasive_LOGDIR"/dos-"$IP"

我们的DOSSystemCommand指令应该是这样的：

DOSSystemCommand "sudo /usr/local/bin/scripts-tecmint/ban_ip.sh %s"

上面一行的%s代表了由mod\_evasive检测到的攻击IP地址。

将apache用户添加到sudoers文件

请注意，如果您不给予apache用户以无需终端和密码的方式运行我们脚本（关键就是这个脚本）的权限，则这一切都不起作用。通常，您只需要以root权限键入visudo来存取/etc/sudoers文件，接下来添加下面的两行即可：

apache ALL=NOPASSWD: /usr/local/bin/scripts-tecmint/ban_ip.sh
Defaults:apache !requiretty

添加Apache用户到Sudoers

重要: 在默认的安全策略下您只能在终端中运行sudo。由于这个时候我们需要在没有tty的时候运行sudo，我们必须像下图中那样注释掉下面这一行：

#Defaults requiretty

为Sudo禁用tty

最后，重启web服务器：

# service httpd restart         [在RHEL/CentOS 6和Fedora 20-18上]
# systemctl restart httpd       [在RHEL/CentOS 7和Fedora 21上]

步骤4: 在Apache上模拟DDoS攻击

有许多工具可以在您的服务器上模拟外部的攻击。您可以google下“tools for simulating DDoS attacks”来找一找相关的工具。

注意，您（也只有您）将负责您模拟所造成的结果。请不要考虑向不在您自己网络中的服务器发起模拟攻击。

假如您想对一个由别人托管的VPS做这些事情，您需要向您的托管商发送适当的警告或就那样的流量通过他们的网络获得允许。Tecmint.com不会为您的行为负责！

另外，仅从一个主机发起一个DoS攻击的模拟无法代表真实的攻击。为了模拟真实的攻击，您需要使用许多客户端在同一时间将您的服务器作为目标。

我们的测试环境由一个CentOS 7服务器[IP 192.168.0.17]和一个Windows组成，在Windows[IP 192.168.0.103]上我们发起攻击：

确认主机IP地址

请播放下面的视频（YT 视频，请自备梯子： https://www.youtube.com/-U_mdet06Jk ），并跟从列出的步骤来模拟一个DoS攻击：

然后攻击者的IP将被防火墙阻挡:

阻挡攻击者的IP地址

结论

在开启mod\_security和mod\_evasive的情况下，模拟攻击会导致CPU和RAM用量在源IP地址被加入黑名单之前出现短暂几秒的使用峰值。如果没有这些模块，模拟攻击绝对会很快将服务器击溃，并使服务器在攻击期间无法提供服务。

我们很高兴听见您打算使用（或已经使用过）这些工具。我们期望得到您的反馈，所以，请在留言处留下您的评价和问题，谢谢！

参考链接

• https://www.modsecurity.org/
• http://www.zdziarski.com/blog/?page_id=442

via: http://www.tecmint.com/protect-apache-using-mod_security-and-mod_evasive-on-rhel-centos-fedora/

作者：Gabriel Cánepa 译者：wwy-hust 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

PowerDNS是一个运行在许多Linux/Unix衍生版上的DNS服务器，它可以使用不同的后端进行配置，包括BIND类型的区域文件、关系型数据库，或者负载均衡/失效转移算法。它也可以被配置成一台DNS递归器，作为服务器上的一个独立进程运行。

PowerDNS授权服务器的最新版本是3.4.4，但是当前EPEL仓库中可以获得的版本是3.4.3。我推荐安装EPEL仓库中提供的那一个，因为该版本已经在CentOS和Fedora中测试过。那样，你也可以在今后很容易地更新PowerDNS。

本文用于向你演示如何安装并配置以MariaDB作为后端的PowerDNS，以及它的界面友好的 Web 管理工具 PowerAdmin。

出于本文的写作目的，我将使用以下服务器：

主机名： centos7.localhost 
IP地址： 192.168.0.102

第一部分： 安装带有MariaDB后端的PowerDNS

1、 首先，你需要为你的系统启用EPEL仓库，只需使用：

# yum install epel-release.noarch 

启用Epel仓库

2、 下一步是安装MariaDB服务器。运行以下命令即可达成：

# yum -y install mariadb-server mariadb

安装MariaDB服务器

3、 接下来，我们将配置并启用MariaDB，并设置开机启动：

# systemctl enable mariadb.service
# systemctl start mariadb.service

启用MariaDB开机启动

4、 现在MariaDB服务运行起来了，我们将为MariaDB设置密码进行安全加固，运行以下命令：

# mysql_secure_installation

按照指示做

/bin/mysql_secure_installation: line 379: find_mysql_client: command not found

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MariaDB
      SERVERS IN PRODUCTION USE!  PLEASE READ EACH STEP CAREFULLY!

In order to log into MariaDB to secure it, we'll need the current
password for the root user.  If you've just installed MariaDB, and
you haven't set the root password yet, the password will be blank,
so you should just press enter here.

Enter current password for root (enter for none):  Press ENTER
OK, successfully used password, moving on...

Setting the root password ensures that nobody can log into the MariaDB
root user without the proper authorisation.

Set root password? [Y/n] y     
New password:  ← Set New Password
Re-enter new password:  ← Repeat Above Password
Password updated successfully!
Reloading privilege tables..
 ... Success!


By default, a MariaDB installation has an anonymous user, allowing anyone
to log into MariaDB without having to have a user account created for
them.  This is intended only for testing, and to make the installation
go a bit smoother.  You should remove them before moving into a
production environment.

Remove anonymous users? [Y/n] y ← Choose “y” to disable that user
 ... Success!

Normally, root should only be allowed to connect from 'localhost'.  This
ensures that someone cannot guess at the root password from the network.

Disallow root login remotely? [Y/n] n ← Choose “n” for no
 ... skipping.

By default, MariaDB comes with a database named 'test' that anyone can
access.  This is also intended only for testing, and should be removed
before moving into a production environment.

Remove test database and access to it? [Y/n] y ← Choose “y” for yes
 - Dropping test database...
 ... Success!
 - Removing privileges on test database...
 ... Success!

Reloading the privilege tables will ensure that all changes made so far
will take effect immediately.

Reload privilege tables now? [Y/n] y ← Choose “y” for yes
 ... Success!

Cleaning up...

All done!  If you've completed all of the above steps, your MariaDB
installation should now be secure.

Thanks for using MariaDB!

5、 MariaDB配置成功后，我们可以继续去安装PowerDNS。运行以下命令即可轻易完成：

# yum -y install pdns pdns-backend-mysql

安装带有MariaDB后端的PowerDNS

6、 PowerDNS的配置文件位于/etc/pdns/pdns，在编辑之前，我们将为PowerDNS服务配置一个MariaDB数据库。首先，我们将连接到MariaDB服务器并创建一个名为powerdns的数据库：

# mysql -u root -p
MariaDB [(none)]> CREATE DATABASE powerdns;

创建PowerDNS数据库

7、 接下来，我们将创建一个名为powerdns的数据库用户：

MariaDB [(none)]> GRANT ALL ON powerdns.* TO 'powerdns'@'localhost' IDENTIFIED BY ‘tecmint123’;
MariaDB [(none)]> GRANT ALL ON powerdns.* TO 'powerdns'@'centos7.localdomain' IDENTIFIED BY 'tecmint123';
MariaDB [(none)]> FLUSH PRIVILEGES;

创建PowerDNS用户

注意： 请将“tecmint123”替换为你想要设置的实际密码。

8、 我们继续创建PowerDNS要使用的数据库表。像堆积木一样执行以下这些：

MariaDB [(none)]> USE powerdns;
MariaDB [(none)]> CREATE TABLE domains (
id INT auto_increment,
name VARCHAR(255) NOT NULL,
master VARCHAR(128) DEFAULT NULL,
last_check INT DEFAULT NULL,
type VARCHAR(6) NOT NULL,
notified_serial INT DEFAULT NULL,
account VARCHAR(40) DEFAULT NULL,
primary key (id)
);

创建用于PowerDNS的表domains

MariaDB [(none)]> CREATE UNIQUE INDEX name_index ON domains(name);
MariaDB [(none)]> CREATE TABLE records (
id INT auto_increment,
domain_id INT DEFAULT NULL,
name VARCHAR(255) DEFAULT NULL,
type VARCHAR(6) DEFAULT NULL,
content VARCHAR(255) DEFAULT NULL,
ttl INT DEFAULT NULL,
prio INT DEFAULT NULL,
change_date INT DEFAULT NULL,
primary key(id)
);

创建用于PowerDNS的表 records

MariaDB [(none)]> CREATE INDEX rec_name_index ON records(name);
MariaDB [(none)]> CREATE INDEX nametype_index ON records(name,type);
MariaDB [(none)]> CREATE INDEX domain_id ON records(domain_id);

创建表索引

MariaDB [(none)]> CREATE TABLE supermasters (
ip VARCHAR(25) NOT NULL,
nameserver VARCHAR(255) NOT NULL,
account VARCHAR(40) DEFAULT NULL
);

创建表supermasters

你现在可以输入以下命令退出MariaDB控制台：

MariaDB [(none)]> quit;

9、 最后，我们可以继续配置PowerDNS了，以MariaDB作为后台。请打开PowerDNS的配置文件：

# vim /etc/pdns/pdns.conf 

在该文件中查找像下面这样的行：

#################################
# launch        Which backends to launch and order to query them in
#
# launch=

在这后面放置以下代码：

launch=gmysql
gmysql-host=localhost
gmysql-user=powerdns
gmysql-password=user-pass
gmysql-dbname=powerdns

修改“user-pass”为你先前设置的实际密码，配置如下：

配置PowerDNS

保存修改并退出。

10、 现在，我们将启动并添加PowerDNS到系统开机启动列表：

# systemctl enable pdns.service 
# systemctl start pdns.service 

启用并启动PowerDNS

到这一步，你的PowerDNS服务器已经起来并运行了。要获取更多关于PowerDNS的信息，你可以参考手册http://downloads.powerdns.com/documentation/html/index.html。

第二部分： 安装PowerAdmin来管理PowerDNS

11、 现在，我们将安装PowerAdmin——一个界面友好的PowerDNS服务器的 Web 管理器。由于它是用PHP写的，我们将需要安装PHP和一台网络服务器（Apache）：

# yum install httpd php php-devel php-gd php-imap php-ldap php-mysql php-odbc php-pear php-xml php-xmlrpc php-mbstring php-mcrypt php-mhash gettext

安装Apache 和 PHP

PowerAdmin也需要两个PEAR包：

# yum -y install php-pear-DB php-pear-MDB2-Driver-mysql 

安装Pear

你也可以参考一下文章了解CentOS 7中安装LAMP堆栈的完整指南：

• CentOS 7中安装LAMP

安装完成后，我们将需要启动并设置Apache开机启动：

# systemctl enable httpd.service
# systemctl start httpd.service

启用Apache开机启动

12、 由于已经满足PowerAdmin的所有系统要求，我们可以继续下载软件包。因为Apache默认的网页目录位于/var/www/html/，我们将下载软件包到这里。

# cd /var/www/html/
# wget http://downloads.sourceforge.net/project/poweradmin/poweradmin-2.1.7.tgz 
# tar xfv poweradmin-2.1.7.tgz

下载PowerAdmin

13、 现在，我们可以启动PowerAdmin的网页安装器了，只需打开：

http://192.168.0.102/poweradmin-2.1.7/install/

这会进入安装过程的第一步：

选择安装语言

上面的页面会要求你为PowerAdmin选择语言，请选择你想要使用的那一个，然后点击“进入步骤 2”按钮。

14、 安装器需要PowerDNS数据库：

PowerDNS数据库

15、 因为我们已经创建了一个数据库，所以我们可以继续进入下一步。你会被要求提供先前配置的数据库详情，你也需要为Poweradmin设置管理员密码：

输入PowerDNS数据库配置

16、 输入这些信息后，进入步骤 4。你将创建为Poweradmin创建一个受限用户。这里你需要输入的字段是：

• 用户名（Username） - PowerAdmin用户名。
• 密码（Password） – 上述用户的密码。
• 主机管理员（Hostmaster） - 当创建SOA记录而你没有指定主机管理员时，该值会被用作默认值。
• 主域名服务器 - 该值在创建新的DNS区域时会被用于作为主域名服务器。
• 辅域名服务器 – 该值在创建新的DNS区域时会被用于作为辅域名服务器。

PowerDNS配置设置

17、 在下一步中，Poweradmin会要求你在数据库表中创建一个新的受限数据库用户，它会提供你需要在MariaDB控制台输入的代码：

创建新的数据库用户

18、 现在打开终端并运行：

# mysql -u root -p

提供你的密码并执行由PowerAdmin提供的代码：

MariaDB [(none)]> GRANT SELECT, INSERT, UPDATE, DELETE
ON powerdns.*
TO 'powermarin'@'localhost'
IDENTIFIED BY '123qweasd';

为用户授予Mysql权限

19、 现在，回到浏览器中并继续下一步。安装器将尝试创建配置文件到/var/www/html/poweradmin-2.1.7/inc。

文件名是config.inc.php。为防止该脚本没有写权限，你可以手动复制这些内容到上述文件中：

配置PowerDNS设置

20、 现在，进入最后页面，该页面会告知你安装已经完成以及如何访问安装好的PowerAdmin：

PowerDNS安装完成

你可以通过运行以下命令来启用用于其他动态DNS提供商的URL：

# cp install/htaccess.dist .htaccess 

出于该目的，你将需要在Apache的配置中启用mod\_rewrite。

21、 现在，需要移除从PowerAdmin的根目录中移除“install”文件夹，这一点很重要。使用以下命令：

# rm -fr /var/www/html/poweradmin/install/

在此之后，你可以通过以下方式访问PowerAdmin：

http://192.168.0.102/poweradmin-2.1.7/

PowerDNS登录

在登录后，你应该会看到PowerAdmin的主页：

PowerDNS仪表盘

到这里，安装已经完成了，你也可以开始管理你的DNS区域了。

第三部分： PowerDNS中添加、编辑和删除DNS区域

22、 要添加新的主区域，只需点击“添加主区域”：

添加主区域

在下一页中，你需要填写一些东西：

• 域（Domain） – 你要添加区域的域。
• 所有者（Owner） – 设置DNS区域的所有者。
• 模板（Template）– DNS模板 – 留空。
• DNSSEC – 域名系统安全扩展（可选——看看你是否需要）。

点击“添加区域”按钮来添加DNS区域。

主DNS区域

现在，你可以点击“首页”链接回到PowerAdmin的首页。要查看所有现存的DNS区域，只需转到“列出区域（List Zones）”：

查看区域列表

你现在应该看到一个可用DNS区域列表：

检查DNS区域列表

23、 要编辑现存DNS区域或者添加新的记录，点击编辑图标：

编辑DNS区域

在接下来的页面，你会看到你选择的DNS区域的条目：

域名的DNS区域条目

24、 在此处添加新的DNS条目，你需要设置以下信息：

• 名称（Name） – 条目名称。只需添加域/子域的第一部分，PowerAdmin会添加剩下的。
• 类型（Type） – 选择记录类型。
• 优先级（Priority） – 记录优先级。
• TTL – 存活时间，以秒计算。

出于本文目的，我将为子域new.example.com添加一个A记录用于解析IP地址192.168.0.102，设置存活时间为14400秒：

添加新DNS记录

最后，点击“添加记录”按钮。

25、 如果你想要删除DNS区域，你可以回到“列出区域”页面，然后点击你想要删除的DNS区域旁边“垃圾桶”图标：

删除DNS区域

Poweradmin将问你是否确定想要删除DNS区域。只需点击“是”来完成删除。

如要获取更多关于怎样创建、编辑和删除区域的说明，你可以参与Poweradmin的文档：https://github.com/poweradmin/poweradmin/wiki/Documentation

我希望你已经发现本文很有趣，也很有用。一如既往，如果你有问题或要发表评论，请别犹豫，在下面评论区提交你的评论吧。

via: http://www.tecmint.com/install-powerdns-poweradmin-mariadb-in-centos-rhel/

作者：Marin Todorov 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

我们如何在Linux中杀掉一个资源/进程？很明显我们会找出资源的pid然后用kill命令。

说的更明白一点，我们可以找到某个资源（比如terminal）的PID：

$ ps -A | grep -i terminal

6228 ?        00:00:00 gnome-terminal

上面的输出中，‘6288’就是进程（gnome-terminal）的pid， 使用下面的命令来杀掉进程。

$ kill 6228

kill命令会发送一个信号给该pid的进程。

另外一个方法是我们可以使用pkill命令，它可以基于进程的名字或者其他的属性来杀掉进程。同样我们要杀掉一个叫terminal的进程可以这么做：

$ pkill terminal

注意: pkill命令后面进程名的长度不大于15个字符

pkill看上去更加容易上手，因为你你不用找出进程的pid。但是如果你要对系统做更好的控制，那么没有什么可以打败'kill'。使用kill命令可以更好地审视你要杀掉的进程。

我们已经有一篇覆盖了kill、pkill和killall命令细节的指导了。

对于那些运行X Server的人而言，有另外一个工具称为xkill可以将进程从X Window中杀掉而不必传递它的名字或者pid。

xkill工具强制X server关闭与它的客户程序之间的联系，其结果就是X resource关闭了这个客户程序。xkill是X11工具集中一个非常容易上手的杀掉无用窗口的工具。

它支持的选项如在同时运行多个X Server时使用-display选项后面跟上显示号连接到指定的X server，使用-all(并不建议)杀掉所有在屏幕上的所有顶层窗口，以及帧（-frame）参数。

要列出所有的客户程序你可以运行：

$ xlsclients

示例输出

'  ' /usr/lib/libreoffice/program/soffice
deb  gnome-shell
deb  Docky
deb  google-chrome-stable
deb  soffice
deb  gnome-settings-daemon
deb  gnome-terminal-server

如果后面没有跟上资源id，xkill会将鼠标指针变成一个特殊符号，类似于“X”。只需在你要杀掉的窗口上点击，它就会杀掉它与server端的通信，这个程序就被杀掉了。

$ xkill

使用xkill杀掉进程

需要注意的是xkill并不能保证它的通信会被成功杀掉/退出。大多数程序会在与服务端的通信被关闭后杀掉。然而仍有少部分会继续运行。

需要指出的点是：

• 这个工具只能在X11 server运行的时候才能使用，因为这是X11工具的一部分。
• 不要在你杀掉一个资源而它没有完全退出时而困惑。
• 这不是kill的替代品

我需要在linux命令行中使用xkill么

不是，你不必非在命令行中运行xkill。你可以设置一个快捷键，并用它来调用xkill。

下面是如何在典型的gnome3桌面中设置键盘快捷键。

进入设置-> 选择键盘。点击'+'并添加一个名字和命令。点击点击新条目并按下你想要的组合键。我的是Ctrl+Alt+Shift+x。

Gnome 设置

添加快捷键

下次你要杀掉一个X资源只要用组合键就行了（Ctrl+Alt+Shift+x），你看到你的鼠标变成x了。点击想要杀掉的x资源就行了。

via: http://www.tecmint.com/kill-processes-unresponsive-programs-in-ubuntu/

作者：Avishek Kumar 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出