问题1：什么是 Postfix，它的默认端口是多少？

答：Postfix 是一个开源的 MTA（邮件传送代理，英文名：Mail Transfer Agent）,用于转发 email。相信很多人知道 Sendmail，而 Postfix 是它的替代品。默认端口是25。

问题2：Postfix 和 Sendmail 有什么区别？

答：Postfix 使用模块化设计，由多个独立的可执行程序组成；而 Sendmail 被设计成有一个强大的后台进程提供所有服务。

问题3：什么是 MTA，它在邮件系统中扮演什么角色？

答：MTA 是 Mail Transfer Agent （邮件传输代理）的缩写。MTA 负责接收和发送邮件、确定发送路径和地址重写（LCTT译注：address rewriting，就是完善发送地址，比如将“username”这个地址重写为“[email protected]”）。本地转发就是将邮件发送给 MDA。Qmail、Postix、Sendmail 都是 MTA。

问题4：什么是 MDA？

答：MDA 是 Mail Delivery Agent （邮件投递代理）的缩写。MDA 这个程序用于从 MTA 获取邮件并投递至本地收件人的邮箱。MDA 通常可以过滤邮件或为邮件分类。一个 MDA 也能决定一封邮件是否需要转发到另一个邮箱地址。Procmail 就是一个 MDA。

问题5：什么是 MUA？

答：MUA 是 Mail User Agent （邮件用户代理）的缩写。MUA 是一个邮件客户端软件，可以用来写邮件、发送邮件、接收邮件。发送邮件时使用的是 MTA；接收邮件时可以从邮件存储区直接收取，也可以通过 POP/IMAP 服务器间接收取。Outlook、Thunkerbird、Evolution 都是 MUA。

问题6：邮件服务器里 postmaster 的作用是什么？

答：邮件管理者一般就是 postmaster。一个 postmaster 的责任就是保证邮件系统正常工作、更新系统配置、添加/删除邮箱帐号，以及其他工作。每个域中必须存在一个 postmaster 的别名（LCTT译注：postmaster 别名用于接受一些其它服务器/用户对该邮件系统的沟通邮件，如关于垃圾邮件拒收的投诉等，通常都会直接被邮件服务器的管理员所接受。一些系统错误和提示的邮件，也往往以postmaster 作为发件人），用于将邮件发往正确的用户。

问题7：Postfix 都有些什么重要的进程？

答：以下是 Postfix 邮件系统里最重要的后台进程列表：

• master：这条进程是 Postfix 邮件系统的大脑，它产生所有其他进程。
• smtpd：作为服务器端程序处理所有外部连进来的请求。
• smtp：作为客户端程序处理所有对外发起连接的请求。
• qmgr：它是 Postfix 邮件系统的心脏，处理和控制邮件队列里面的所有消息。
• local：这是 Postfix 自有的本地投递代理MDA，就是它负责把邮件保存到邮箱里。

问题8：Postfix 服务器的配置文件是什么？

答：有两个主要配置文件：

• /etc/postfix/main.cf：这个文件保存全局配置信息，所有进程都会用到，除非这些配置在 master.cf 文件中被重新设置了。
• /etc/postfix/master.cf：这个文件保存了额外的进程运行时环境参数，在 main.cf 文件中定义的配置可能会被本文件的配置覆盖掉。

问题9：如何将 Postfix 重启以及设为开机启动？

答：使用这个命令重启：service postfix restart；使用这个命令设为开机启动：chkconfig postfix on

问题10：怎么查看 Postfix 的邮件队列？

答：Postfix 维护两个队列：未决邮件队列（pending mails queue）和等待邮件队列（deferred mail queue）。等待队列包含了暂时发送失败、需要重新发送的邮件，Postfix 会定期重发（默认5分钟，可自定义设置）。（LCTT译注：其实 Postfix 维护5个队列：输入队列，邮件进入 Postfix 系统的第一站；活动队列，qmgr 将输入队列的邮件移到活动队列；等待队列，保存暂时不能发送出去的邮件；故障队列，保存受损或无法解读的邮件；保留队列，将邮件无限期留在 Postfix 队列系统中。）

列出邮件队列里面所有邮件：

# postqueue -p

保存邮件队列名单：

# postqueue -p > /mnt/queue-backup.txt

让 Postfix 马上处理队列：

# postqueue -f

问题11：如何删除邮件队列里面的邮件？

答：以下命令删除所有邮件：

# postsuper -d ALL

以下命令只删除等待队列中的邮件：

# postsuper -d ALL deferred

问题12：如何通过命令来检查 Postfix 配置信息？

答：使用postconf -n命令可以查看，它会过滤掉配置文件里面被注释掉的配置信息。

问题13：实时查看邮件日志要用什么命令？

答：

tail -f /var/log/maillog 或 tailf /var/log/maillog

问题14：如何通过命令行发送测试邮件？

答：参考下面的命令：

# echo "Test mail from postfix" | mail -s "Plz ignore" [email protected]

问题15：什么是“开放邮件转发（Open Relay）”？

答：开放邮件转发是 SMTP 服务器的一项设定，允许因特网上任意的其他用户能通过该服务器转发邮件，而不是直接发送到某个帐号的服务器或只允许授权用户通过它来发送邮件。过去，这项功能在许多邮件服务器中都是默认开启的，但是现在已经不再流行了，因为邮件转发会导致大量垃圾邮件和病毒邮件在网络上肆虐。

问题16：什么是 Postfix 上的邮件转发主机？

答：转发主机是 SMTP 的地址，如果在配置文件中有配置，那么所有输入邮件都将被 SMTP 服务器转发。

问题17：什么是灰名单？

答：灰名单（LCTT译注：介于白名单和黑名单之间）是一种用于拦截垃圾邮件的技术。一个 MTA 使用灰名单时就会“暂时拒绝”未被识别的发送者发来的所有邮件。如果邮件是正当合理的，发起者会在一段时间后重新发送，然后这份邮件就能被接收。（LCTT译注：灰名单基于这样一个事实，就是大多数的垃圾邮件服务器和僵尸网络的邮件只发送一次，而会忽略要求它们在一定的时间间隔后再次发送的请求。）

问题18：邮件系统中 SPF 记录有什么重要作用？

答：SPF 是 Sender Policy Framework 的缩写，用于帮助邮件域的拥有者确认发送方是否来自他们的域，目的是其他邮件系统能够保证发送方在发送邮件时来自经过授权的来源 —— 这种方法可以减小遇到邮件地址欺骗、网络钓鱼和垃圾邮件的风险。

问题19：邮件系统中 DKIM 有什么用处？

答：域名密匙是一套电子邮件身份认证系统，用于验证邮件发送方的 DNS 域和邮件的完整性。域名密匙规范采用互联网电子邮件认证技术，建立了一套加强版协议：域名密匙识别邮件（就是 DKIM）。

问题20：邮件系统中 ASSP 的规则是什么？

答：ASSP(Anti-Spam SMTP Proxy，反垃圾代理) 是一个网关服务器，安装在你的 MTA 前面，通过自建白名单、自动学习贝叶斯算法、灰名单、DNS 黑名单（DNSBL）、DNS 白名单（DNSWL）、URI黑名单（URIBL）、SPF、SRS、Backscatter、病毒扫描功能、附件阻拦功能、基于发送方等多种方法来反垃圾邮件。

via: http://www.linuxtechi.com/postfix-interview-questions-answers/

作者：Pradeep Kumar 译者：bazz2 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

当你需要追踪某个进程产生和接收的系统调用时，首先浮现在你脑海中的是什么？你可能会想到strace，那么你是对的。你会使用什么样的命令行工具来监控原始网络通信呢？如果你想到了tcpdump，你又作出了一个极佳的选择。而如果你碰到必须追踪打开的文件（在Unix意义上：一切皆文件）的需求，可能你会使用lsof。

strace、tcpdump以及lsof，确实是些伟大的工具，它们应该成为每个系统管理员工具集之中的一部分，而这也正是你为什么应该爱上sysdig的原因。它是一个强大的开源工具，用于系统级别的勘察和排障，它的创建者在介绍它时称之为“strace+tcpdump+lsof+上面点缀着lua樱桃的绝妙酱汁”。抛开幽默不说，sysdig的最棒特性之一在于，它不仅能分析Linux系统的“现场”状态，也能将该状态保存为转储文件以供离线检查。更重要的是，你可以自定义sysdig的行为，或者甚至通过内建的（你也可以自己编写）名为凿子（chisel）的小脚本增强其功能。单独的凿子可以以脚本指定的各种风格分析sysdig捕获的事件流。

在本教程中，我们将探索sysdig的安装及其基本用法，在Linux上实施系统监控和排障。

安装Sysdig

对于本教程，由于为了简便、缩短安装流程以及版本的不可知，我们将选择使用官方网站提供的自动化安装过程。在自动化过程中，安装脚本会自动检测操作系统并安装必需的依赖包。

以root身份运行以下命令来从官方apt/yum仓库安装sysdig：

# curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | bash 

安装完成后，我们可以通过以下方法调用sysdig来感受一下它：

# sysdig 

我们的屏幕将马上被系统上发生的所有事件填满，对于这些信息，不便于我们做更多操作。要进一步处理，我们可以运行：

# sysdig -cl | less 

来查看可用的凿子列表。

默认有以下类目可用，各个类目中分布有多个内建的凿子。

• CPU Usage：CPU使用量
• Errors：错误
• I/O
• Logs：日志
• Misc：混杂
• Net：网络
• Performance：性能
• Security：安全
• System State：系统状态

要显示指定凿子上的信息（包括详细的命令行用法），运行以下命令：

# sysdig -cl [凿子名称] 

例如，我们可以检查“网络”类目下关于spy\_port凿子的信息：

# sysdig -i spy_port 

凿子可以通过过滤器（可同时应用于实时数据和记录文件）组合，以获取更多有用的输出。

过滤器遵从“类.字段”结构。例如：

• fd.cip：客户端IP地址。
• evt.dir：事件方向，可以是‘>’用于进入事件，或‘<’用于退出事件。

完整的过滤器列表可以通过以下命令显示：

# sysdig -l 

在本教程剩余部分，我将演示几个sysdig的使用案例。

Sysdig实例： 服务器性能排障

假定你的服务器发生了性能问题（如，没有回应，或者重大的回应延迟）。你可以使用瓶颈凿子来显示当前10个最慢系统调用的列表。

使用以下命令在存活服务器上进行实时检查。“-c”标识，后跟凿子名称告诉sysdig运行指定的凿子。

# sysdig -c bottlenecks 

或者，你可以离线对服务器实施性能分析。在此种情况下，你可以保存完整的sysdig记录到文件，然后像下面这样针对记录运行瓶颈凿子。

首先，保存sysdige记录（使用Ctrl+c来停止收集）：

# sysdig -w trace.scap 

收集完记录后，你可以运行以下命令来检查捕获间隔中最慢的系统调用：

# sysdig -r trace.scap -c bottlenecks 

你需要关注栏#2，#3和#4，这些分别表示执行时间、进程名和PID。

Sysdig实例： 监控交互用户活动

假定你作为系统管理员想要监控系统中交互的用户活动（如，用户在命令行输入了什么命令，以及用户去了什么目录），这时spy\_user凿子就派上用场了。

让我们首先通过一些额外选项来收集一个sysdig记录。

# sysdig -s 4096 -z -w /mnt/sysdig/$(hostname).scap.gz 

• “-s 4096”告诉sysdig每个事件捕获4096字节。
• “-z” （与“-w”一起使用）为记录文件启用压缩。
• “-w ”保存sysdig记录到指定的文件。

在上面的例子中，我们自定义了基于每个主机的压缩的记录文件的名称。记住，你可以在任何时候按下Ctrl+c来打断sysdig的执行。

在我们收集到了合理数量的数据后，我们可以通过运行以下命令来查看每个用户的交互活动：

# sysdig -r /mnt/sysdig/debian.scap.gz -c spy_users 

上面输出的第一栏表示与指定用户的活动相关进程的PID。

如果你想要定位一个指定的用户，以及只监控该用户的活动又怎么样呢？你可以通过用户名对spy\_users凿子的结果进行过滤：

# sysdig -r /mnt/sysdig/debian.scap.gz -c spy_users "user.name=xmodulo" 

Sysdig实例： 监控文件I/O

我们可以使用“-p”标识来自定义sysdig记录的输出格式，并指定双引号括起来的想要的字段（如用户名、进程名，以及文件或套接口名称）。在本例中，我们将创建一个记录文件，该文件将只包含在家目录中的写入事件（我们今后可以使用“sysdig -r writetrace.scap.gz”来检测该文件）。

# sysdig -p "%user.name %proc.name %fd.name" "evt.type=write and fd.name contains /home/" -z -w writetrace.scap.gz 

Sysdig实例： 监控网络I/O

作为服务器排障的一部分，你可能想要监听网络通信，此工作通常由tcpdump做。对于sysdig，可以很容易进行通信嗅探，其风格更为对用户友好。

例如，你可以检查由特定IP地址，特定进程（如apache2）提供的数据（ASCII编码格式）：

# sysdig -s 4096 -A -c echo_fds fd.cip=192.168.0.100 -r /mnt/sysdig/debian.scap.gz proc.name=apache2 

如果你想要监控原生数据传输（二进制格式），请把“-A”替换为“-X”：

# sysdig -s 4096 -X -c echo_fds fd.cip=192.168.0.100 -r /mnt/sysdig/debian.scap.gz proc.name=apache2 

要获取更多信息、实例以及案例分析，你可以查阅项目网站。相信我，会有着无限可能，但请不要仅仅局限于我所写的这些。安装sysdig，请从今天开始深入挖掘吧！

via: http://xmodulo.com/monitor-troubleshoot-linux-server-sysdig.html

作者：Gabriel Cánepa 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Docker 是一个开源工具，它可以让创建和管理 Linux 容器变得简单。容器就像是轻量级的虚拟机，并且可以以毫秒级的速度来启动或停止。Docker 帮助系统管理员和程序员在容器中开发应用程序，并且可以扩展到成千上万的节点。

容器和 VM（虚拟机）的主要区别是，容器提供了基于进程的隔离，而虚拟机提供了资源的完全隔离。虚拟机可能需要一分钟来启动，而容器只需要一秒钟或更短。容器使用宿主操作系统的内核，而虚拟机使用独立的内核。

Docker 的局限性之一是，它只能用在 64 位的操作系统上。

在这篇文章中我们将讨论如何在 CentOS 7.x 中安装 docker。

CentOS 7 中 Docker 的安装

Docker 软件包已经包括在默认的 CentOS-Extras 软件源里。因此想要安装 docker，只需要运行下面的 yum 命令：

[root@localhost ~]# yum install docker

启动 Docker 服务

安装完成后，使用下面的命令来启动 docker 服务，并将其设置为开机启动：

[root@localhost ~]# service docker start
[root@localhost ~]# chkconfig docker on

（LCTT 译注：此处采用了旧式的 sysv 语法，如采用CentOS 7中支持的新式 systemd 语法，如下：

[root@localhost ~]# systemctl  start docker.service
[root@localhost ~]# systemctl  enable docker.service

）

下载官方的 CentOS 镜像到本地 （LCTT 译注：由于 Docker 被墙 :-< ，所以请使用 http://docker.cn 的镜像，感谢 @马全一 的镜像。 ）

[root@localhost ~]# docker pull centos
Pulling repository centos
192178b11d36: Download complete 
70441cac1ed5: Download complete 
ae0c2d0bdc10: Download complete 
511136ea3c5a: Download complete 
5b12ef8fd570: Download complete

确认 CentOS 镜像已经被获取：

[root@localhost ~]# docker images centos
REPOSITORY    TAG          IMAGE ID      CREATED       VIRTUAL SIZE
centos        centos5      192178b11d36  2 weeks ago   466.9 MB
centos        centos6      70441cac1ed5  2 weeks ago   215.8 MB
centos        centos7      ae0c2d0bdc10  2 weeks ago   224 MB
centos        latest       ae0c2d0bdc10  2 weeks ago   224 MB

运行一个 Docker 容器：

[root@localhost ~]# docker run -i -t centos /bin/bash
[root@dbf66395436d /]#

我们可以看到，CentOS 容器已经被启动，并且我们得到了 bash 提示符。在 docker 命令中我们使用了 “-i 捕获标准输入输出”和 “-t 分配一个终端或控制台”选项。若要断开与容器的连接，输入 exit。

[root@cd05639b3f5c /]# cat /etc/redhat-release 
CentOS Linux release 7.0.1406 (Core) 
[root@cd05639b3f5c /]# exit
exit
[root@localhost ~]#

我们还可以搜索基于 Fedora 和 Ubuntu 操作系统的容器。

[root@localhost ~]# docker search ubuntu
[root@localhost ~]# docker search fedora

显示当前正在运行容器的列表

via: http://www.linuxtechi.com/install-docker-on-centos-7/

作者：Pradeep Kumar 译者：felixonmars 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

LEMP 组合包是一款日益流行的网站服务组合软件包，在许多生产环境中的核心网站服务上起着强有力的作用。正如其名称所暗示的， LEMP 包是由 Linux、nginx、MariaDB/MySQL 和 PHP 组成的。在传统的 LAMP 包中使用的 Apache HTTP 协议服务器性能低下而且难于大规模集群，相比来说 nginx 的高性能及轻量级等特性，正是其的替代方案。 MariaDB 是一款社区支持驱动的 MySQL 数据库的分支，其功能更多性能更佳。PHP，服务端编程语言，具体是由 PHP FastCGI 的增强版 PHP-FPM 组件来处理，生成网页动态内容。

（LCTT 译注：为何采用 LEMP 而不是 LNMP 的缩写？据 https://lemp.io/ 的解释：Nginx 的发音是 Engine-X，重要的发音而不是首字母，而且 LEMP 实际上是可读的，而 LNMP 看起来只是字母表。）

这篇文章里，我们示范如何在 CentOS 操作平台上安装 LEMP 包。我们安装的目标是 CentOS 6 和 CentOS 7 两个操作平台，如有必要会指出它们的不同。

第一步: Nginx

让我们在 CentOS 上安装 nginx 作为第一步，然后对它作些基本的配置，比如使其能引导时启动和对防火墙做个性化设置。

安装 Nginx

让我们从它的官方的 RPM 源来安装一个预构建的稳定版本的 nginx 包。

在 CentOS 7 系统上:

$ sudo rpm --import http://nginx.org/keys/nginx_signing.key
$ sudo rpm -ivh http://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm
$ sudo yum install nginx 

在 CentOS 6 系统上:

$ sudo rpm --import http://nginx.org/keys/nginx_signing.key
$ sudo rpm -ivh http://nginx.org/packages/centos/6/noarch/RPMS/nginx-release-centos-6-0.el6.ngx.noarch.rpm
$ sudo yum install nginx 

注意在安装 nginx RPM 包之前，如果您没有导入 nginx 的官方 GPG 密钥的话，会出一如下所示的警告:

warning: /var/tmp/rpm-tmp.KttVHD: Header V4 RSA/SHA1 Signature, key ID 7bd9bf62: NOKEY

启动 Nginx

安装完成后，nginx 是不会自动启动的。现在让我们来启动它吧，还要做些配置让其可以随着操作系统启动而启动。我们也需要在防火墙里打开 TCP/80 端口，以使得可以远程访问 nginx 的 web 服务。所有这些操作、设置都只需要输入如下命令就可实现。

在 CentOS 7 系统上:

$ sudo systemctl start nginx
$ sudo systemctl enable nginx
$ sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
$ sudo firewall-cmd --reload 

在 CentOS 6 系统上:

$ sudo service nginx start
$ sudo chkconfig nginx on
$ sudo iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$ sudo service iptables save 

测试 Nginx

nginx 的默认文档要目录是 /usr/share/nginx/html。默认的 index.html 文件一定已经在这目录下了。让我们检测下是否可以访问到这个测试 web 页，输入 http://nginx的ip地址/ 访问。

如果您看到的是如上所示的页面的话，说明 nginx 已经正常启动。继续往下。

第二步: MariaDB/MySQL

下一步就是安装 LEMP 包的数据库组件。CentOS/RHEL 6 或早期的版本中提供的是 MySQL 的服务器/客户端安装包，但 CentOS/RHEL 7 已使用了 MariaDB 替代了默认的 MySQL。作为 MySQL 的简单替代品，MariaDB 保证了与 MySQL 的 API 和命令行用法方面最大的兼容性。下面是关于怎么在 CentOS 上安装和配置 MaraDB/MySQL 的操作示例。

在 CentOS 7 系统上:

如下所示操作来安装 MariaDB 服务/客户端包以及启动 MariaDB 服务。

$ sudo yum install mariadb-server
$ sudo systemctl start mariadb
$ sudo systemctl enable mariadb 

在 CentOS 6 系统上:

如下示，安装 MySQL 服务/客户端包并且启动 MySQL 服务。

$ sudo yum install mysql-server
$ sudo service mysqld start
$ sudo chkconfig mysqld on 

在成功启动 MariaDB/MySQL 服务后，执行在 MariaDB/MySQL 服务包中的脚本。这一次的运行会为为数据库服务器进行一些安全强化措施，如设置（非空）的 root 密码、删除匿名用户、锁定远程访问。

 $ sudo mysql_secure_installation

这就是数据库的设置。现在进行下一步。

第三步: PHP

PHP 是 LEMP 包中一个重要的组件，它负责把存储在 MariaDB/MySQL 服务器的数据取出生成动态内容。为了 LEMP 需要，您至少需要安装上 PHP-FPM 和 PHP-MySQL 两个模块。PHP-FPM（FastCGI 进程管理器）实现的是 nginx 服务器和生成动态内容的 PHP 应用程序的访问接口。PHP-MySQL 模块使 PHP 程序能访问 MariaDB/MySQL 数据库。

安装 PHP 模块

在 CentOS 7 系统上:

$ sudo yum install php php-fpm php-mysql 

在 CentOS 6 系统上:

首先，您需要从仓库中安装 REMI 库（参见本指南），并安装软件包。

$ sudo yum --enablerepo=remi install php php-fpm php-mysql 

在安装 PHP 时，得注意两个地方:

在 CentOS 6 系统中，安装 REMI仓库中最新的 php-mysql 模块时，MySQL 的服务端包和客户端包会被当做一部分依赖包而自动的更新。

在 CentOS 6 和 CentOS 7 中，在安装 PHP 包的同时会把 Apache web 服务器（即 httpd）当做它的依赖包一起安装。这会跟 nginx web 服务器起冲突。这个问题会在下一节来讨论。

取决于您的使用情况，可以使用 yum 命令来定制您的 PHP 引擎，也许会想安装下面的任意一个扩展 PHP 模块包。

• php-cli: PHP 的命令行界面。从命令行里测试 PHP 时非常有用。
• php-gd: PHP 的图像处理支持。
• php-bcmath: PHP 的数学支持。
• php-mcrypt: PHP 的加密算法支持 (例如 DES、Blowfish、CBC、 CFB、ECB ciphers 等)。
• php-xml: PHP 的 XML 解析和处理支持。
• php-dba: PHP 的数据抽象层支持。
• php-pecl-apc: PHP 加速器/缓存支持。

安装时，要查看可用的 PHP 模块的完整列表的话，可以运行：

$ sudo yum search php- (CentOS 7)
$ sudo yum --enablerepo=remi search php- (CentOS 6)

启动 PHP-FPM

您需要启动 PHP-FPM ，然后把它放到自动启动服务列表。

在 CentOS 7 系统上:

$ sudo systemctl start php-fpm
$ sudo systemctl enable php-fpm

在 CentOS 6 系统上:

$ sudo chkconfig php-fpm on
$ sudo service php-fpm start 

第四步: 配置 LEMP 组合包

本教程的最后一步是调整 LEMP 组合包的配置。

使 Httpd 不可用

首先，让我们把早先随 PHP 包安装的 httpd 服务给禁用掉。

在 CentOS 7 系统上:

$ sudo systemctl disable httpd

在 CentOS 6 系统上:

$ sudo chkconfig httpd off 

配置 Nginx

接下来，让我们配置 nginx 虚拟主机，使得 nginx 可以通过 PHP-FPM 来处理 PHP 的任务。用文本编辑器打开 /etc/nginx/conf.d/default.conf ，然后按如下所示修改。

 $ sudo vi /etc/nginx/conf.d/default.conf 

server {
    listen       80;
    server_name  www.server_domain.com;
    root   /usr/share/nginx/html;
    index  index.php index.html index.htm;

    location / {
    }

    # redirect server error pages to the static page /50x.html
    error_page   500 502 503 504  /50x.html;
    location = /50x.html {
    }

    # nginx passes PHP scripts to FastCGI server via a TCP/9000 socket
    # this setting much be consistent with /etc/php-fpm.d/www.conf
    # try_files prevents nginx from passing bad scripts to FastCGI server
    location ~ \.php$ {
        try_files $uri =404;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }
}

nginx 的默认工作线程数（在 /etc/nginx/nginx.conf 文件中指定的）是 1，让我们也来调整一下这个数字。通常来说我们创建的工作线程数应该和 CPU 核数相同。要确信您的 CPU 的核数，请运行下面这命令：

$ grep processor /proc/cpuinfo | wc -l

如果您的 CPU 是 4 核的，就如下所示修改 /etc/nginx/nginx.conf 文件。

$ sudo vi /etc/nginx/nginx.conf 

worker_processes  4;

配置 PHP

接下来，让我们对 PHP 的配置文件 /etc/php.ini 做自定义设置。更具体的就是在 /etc/php.ini 文件中增加以下两行。

cgi.fix_pathinfo=0
date.timezone = "PRC"

为了安全起见，我们希望的是 PHP 解释器只是处理指定文件路径的文件任务，而不是预测搜索一些并不存在的文件任务。上面的第一行起的就是这个作用。（LCTT 译注：原文用的时区是“America/New York”，根据国内情况，应该用 PRC或 Asia 下的中国城市。）

第二行定义的是 PHP 中日期/时间相关函数使用相关的默认时区。使用本指南，找出您所在的时区，并设置相应 date.timezone 的值。

测试 PHP

最后，让我们来测试下 nginx 是否能处理 PHP 页面。在测试之前，请确保重启 nginx 和 PHP-FPM。

在 CentOS 7 系统上:

$ sudo systemctl restart nginx
$ sudo systemctl restart php-fpm 

在 CentOS 6 系统上:

$ sudo service nginx restart
$ sudo service php-fpm restart 

创建一个叫名叫 test.php 的文件，然后写入如下内容，并放入 /usr/share/nginx/html 目录。

<?php phpinfo(); ?>

打开浏览器，输入 http://nginx的IP地址/test.php 。

如果您能看到如上所示的页面，说明设置的 LEMP 完全成功！

via: http://xmodulo.com/install-lemp-stack-centos.html

作者：Dan Nanni 译者：runningwater 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

你可能已经知道如何将你的 Ubuntu 桌面升级到最新版本了，不过如果你用的 Ubuntu Server，而且也正好又希望升级一下的话（前提是，不会影响你的应用。一般来说，对于服务器操作系统，应该采用保守态度。如果不是必须升级才能解决的安全问题，最好不要升级，而是采用各种外部手段来解决。）

如果想从Ubuntu14.04/13.10/13.04/12.10/12.04或者更老的版本升级到14.10，只要遵循下面给出的步骤。注意，你不能直接从13.10升级到14.10。你应该先将13.10升级到14.04在从14.04升级到14.10。下面是详细步骤。

下面的步骤不仅能用于14.10，也兼容于一些像Lubuntu14.10，Kubuntu14.10和Xubuntu14.10等的Ubuntu衍生版本

重要：在升级之前，保险起见，不要忘了将你的数据在U盘或外部硬盘上保存一下。

服务器升级

从ubuntu14.04的服务器升级到14.10的服务器，采用下面的步骤。

安装update-manager-core 这个包如果之前没唷安装的话：

sudo apt-get install update-manager-core

编辑 /etc/update-manager/release-upgrades这个文件。

sudo nano /etc/update-manager/release-upgrades

像下面那样设置Prompt=normal或者Prompt=lts

# Default behavior for the release upgrader.

[DEFAULT]
# Default prompting behavior, valid options:
#
#  never  - Never check for a new release.
#  normal - Check to see if a new release is available.  If more than one new
#           release is found, the release upgrader will attempt to upgrade to
#           the release that immediately succeeds the currently-running
#           release.
#  lts    - Check to see if a new LTS release is available.  The upgrader
#           will attempt to upgrade to the first LTS release available after
#           the currently-running one.  Note that this option should not be
#           used if the currently-running release is not itself an LTS
#           release, since in that case the upgrader won't be able to
#           determine if a newer release is available.
Prompt=normal

现在可以通过下面的命令来更新你的服务系统了。

sudo do-release-upgrade -d

直到屏幕提示你已完成。

via: http://www.unixmen.com/upgrade-ubuntu-14-04-trusty-ubuntu-14-10-utopic/

作者：SK 译者：johnhoow 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

虽然Puppet是一个真正独特的有用工具，但在有些情况下你可以使用一点不同的方法来用它。比如，你要修改几个服务器上已有的配置文件，而且它们彼此稍有不同。Puppet实验室的人也意识到了这一点，他们在 Puppet 中集成了一个叫做Augeas的伟大的工具，它是专为这种使用情况而设计的。

Augeas可被认为填补了Puppet能力的空白，比如在其中一个指定对象的资源类型（例如用于维护/etc/hosts中的条目的主机资源）还不可用时。在这个文档中，您将学习如何使用Augeas来减轻你管理配置文件的负担。

Augeas是什么?

Augeas基本上就是一个配置编辑工具。它以他们原生的格式解析配置文件并且将它们转换成树。配置的更改可以通过操作树来完成，并可以以原生配置文件格式保存配置。

这篇教程要达成什么目的？

我们会针对我们之前构建的Puppet服务器安装并配置Augeas。我们会使用这个工具创建并测试几个不同的配置文件，并学习如何适当地使用它来管理我们的系统配置。

前置阅读

我们需要一台工作的Puppet服务器和客户端。如果你还没有，请先按照我先前的教程来。

Augeas安装包可以在标准CentOS/RHEL仓库中找到。不幸的是，Puppet用到的Augeas的ruby封装只在puppetlabs仓库中（或者EPEL）中才有。如果你系统中还没有这个仓库，请使用下面的命令：

在CentOS/RHEL 6.5上:

 # rpm -­ivh https://yum.puppetlabs.com/el/6.5/products/x86_64/puppetlabs­release­6­10.noarch.rpm 

在CentOS/RHEL 7上:

 # rpm -­ivh https://yum.puppetlabs.com/el/7/products/x86_64/puppetlabs­release­7­10.noarch.rpm 

在你成功地安装了这个仓库后，在你的系统中安装Ruby­Augeas：

 # yum install ruby­augeas 

或者如果你是从我的上一篇教程中继续的，使用puppet的方法安装这个包。在/etc/puppet/manifests/site.pp中修改你的custom\_utils类，在packages这行中加入“ruby­augeas”。

class custom_utils {
        package { ["nmap","telnet","vim­enhanced","traceroute","ruby­augeas"]:
                ensure => latest,
                allow_virtual => false,
        }
} 

不带Puppet的Augeas

如我先前所说，最初Augeas并不是来自Puppet实验室，这意味着即使没有Puppet本身我们仍然可以使用它。这种方法可在你将它们部署到Puppet环境之前，验证你的修改和想法是否是正确的。要做到这一点，你需要在你的系统中安装一个额外的软件包。请执行以下命令：

# yum install augeas 

Puppet Augeas 示例

用于演示，这里有几个Augeas使用案例。

管理 /etc/sudoers 文件

1. 给wheel组加上sudo权限。

这个例子会向你展示如何在你的GNU/Linux系统中为%wheel组加上sudo权限。

# 安装sudo包
package { 'sudo':
    ensure => installed, # 确保sudo包已安装
}

# 允许用户属于wheel组来使用sudo
augeas { 'sudo_wheel':
    context => '/files/etc/sudoers', # 目标文件是 /etc/sudoers
    changes => [
        # 允许wheel用户使用sudo
        'set spec[user = "%wheel"]/user %wheel',
        'set spec[user = "%wheel"]/host_group/host ALL',
        'set spec[user = "%wheel"]/host_group/command ALL',
        'set spec[user = "%wheel"]/host_group/command/runas_user ALL',
    ]
} 

现在来解释这些代码做了什么：spec定义了/etc/sudoers中的用户段，[user]定义了数组中给定的用户，所有的定义放在该用户的斜杠( / ) 后那部分。因此在典型的配置中这个可以这么表达：

user host_group/host host_group/command host_group/command/runas_user

这个将被转换成/etc/sudoers下的这一行：

%wheel ALL = (ALL) ALL 

1. 添加命令别称

下面这部分会向你展示如何定义命令别名，它可以在你的sudoer文件中使用。

# 创建新的SERVICE别名，包含了一些基本的特权命令。
augeas { 'sudo_cmdalias':
    context => '/files/etc/sudoers', # 目标文件是 /etc/sudoers
    changes => [
      "set Cmnd_Alias[alias/name = 'SERVICES']/alias/name SERVICES",
      "set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[1] /sbin/service",
      "set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[2] /sbin/chkconfig",
      "set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[3] /bin/hostname",
      "set Cmnd_Alias[alias/name = 'SERVICES']/alias/command[4] /sbin/shutdown",
    ]
} 

sudo命令别名的语法很简单：Cmnd\_Alias定义了命令别名字段，[alias/name]绑定所有给定的别名，/alias/name SERVICES 定义真实的别名，alias/command 是属于该别名的所有命令的数组。以上将被转换如下：

Cmnd_Alias SERVICES = /sbin/service , /sbin/chkconfig , /bin/hostname , /sbin/shutdown

关于/etc/sudoers的更多信息，请访问官方文档。

向一个组中加入用户

要使用Augeas向组中添加用户，你也许要添加一个新用户，不管是排在 gid 字段还是最后的用户 uid 之后。我们在这个例子中使用SVN组。这可以通过下面的命令达成：

在Puppet中:

augeas { 'augeas_mod_group:
    context => '/files/etc/group', #目标文件是 /etc/group
    changes => [
        "ins user after svn/*[self::gid or self::user][last()]",
        "set svn/user[last()] john",
    ]
}

使用 augtool:

 augtool> ins user after /files/etc/group/svn/*[self::gid or self::user][last()] augtool> set /files/etc/group/svn/user[last()] john 

总结

目前为止，你应该对如何在Puppet项目中使用Augeas有点明白了。随意地试一下，你肯定需要浏览官方的Augeas文档。这会帮助你了解如何在你的个人项目中正确地使用Augeas，并且它会让你知道可以用它节省多少时间。

如有任何问题，欢迎在下面的评论中发布，我会尽力解答和向你建议。

有用的链接

• http://www.watzmann.net/categories/augeas.html: 包含许多关于 Augeas 使用的教程。
• http://projects.puppetlabs.com/projects/1/wiki/puppet_augeas: Puppet wiki 带有许多实例。

via: http://xmodulo.com/2014/09/manage-configurations-linux-puppet-augeas.html

作者：Jaroslav Štěpánek 译者：geekpi 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出