分类目录归档:linux

iptables 常用策略 / centos 7

1、清空存在的策略

当你开始创建新的策略,你可能想清除所有的默认策略,和存在的策略,可以这么做:

iptables -F  或者iptables --flush
iptables -L -n
iptables -L -n -v
2,设置默认策略

默认链策略是ACCEPT,改变所有的链策略为DROP:

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP

3,阻止一个指定的ip

BLOCK_THIS_IP=“x.x.x.x"

iptables -A INPUT -s ”$BLOCK_THIS_IP“ -j DROP

iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP

iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP

4,允许SSH

允许所有通过eth0接口使用ssh协议连接本机:

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ES...

继续阅读

发表在 linux | 标签为 | iptables 常用策略 / centos 7已关闭评论

Linux下高并发socket最大连接数

Linux下高并发socket最大连接数所受的限制问题

  1、修改用户进程可打开文件数限制

  在Linux平台上,无论编写客户端程序还是服务端程序,在进行高并发TCP连接处理时,最高的并发数量都要受到系统对用户单一进程同时可打开文件数量的限制(这是因为系统为每个TCP连接都要创建一个socket句柄,每个socket句柄同时也是一个文件句柄)。可使用ulimit命令查看系统允许当前用户进程打开的文件数限制:

  [speng@as4 ~]$ ulimit -n

  1024

  这表示当前用户的每个进程最多允许同时打开1024个文件,这1024个文件中还得除去每个进程必然打开的标准输入,标准输出,标...

继续阅读

发表在 linux | 标签为 | Linux下高并发socket最大连接数已关闭评论

openssl update to 1.0.1g

cd /usr/src

wget https://www.openssl.org/source/openssl-1.0.1g.tar.gz -O openssl-1.0.1g.tar.gz

tar -zxf openssl-1.0.1g.tar.gz

cd openssl-1.0.1g

./config

make

make test

make install

 

openssl version

 

mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/include/openssl /usr/include/openssl.old

ln -s /usr...

继续阅读

发表在 linux | 标签为 | openssl update to 1.0.1g已关闭评论

linux TIME_WAIT

现象:

1、外部机器不能正常连接SSH

2、内向外不能够正常的ping通过,域名也不能正常解析。

问题排查:

通过 netstat  -anp | grep TIME_WAIT | wc -l 命令查看数量,发现TIME_WAIT的连接数量超过了18000太夸张了。

1、初步怀疑是程序没有关闭连接,codereview了两遍,发现,已经正常关闭。

2、网上看TIME_WAIT产生的原因,可能是因为服务器主动关闭连接导致TIME_WAIT产生。

3、查找TIME_WAIT解决方案:

发现系统存在大量TIME_WAIT状态的连接,通过调整内核参数解决,
vi /etc/sysctl.c...

继续阅读

发表在 linux | 标签为 | linux TIME_WAIT已关闭评论

mooseFS

mfs文件系统(一)

MFS文件系统结构:
包含4种角色: 
        管理服务器managing server (master)
        元数据日志服务器Metalogger server(Metalogger)
        数据存储服务器data servers (chunkservers) 
   ...

继续阅读

发表在 linux | 标签为 | mooseFS已关闭评论

glusterfs

下载:

http://download.gluster.org/pub/gluster/glusterfs/

 

Fuse支持库安装
查看发Fuse是否已经安装:

命令:

#lsmod | grep "fuse"

如果显示:

fuse                   66285  4

系统已经安装Fuse,跳过次安装步骤,进入下个软件的安装,否则继续下面的安装

 

文件: "fuse-...

继续阅读

发表在 linux | 标签为 | glusterfs已关闭评论

linux epel

源的配置 

在CentOS中,很多软件是可以通过yum intall这样一条命令来安装的,Ubuntu中则是apt-get。他们会从软件库中找到合适的软件并安装。系统默认的软件库并不够全,还需要添加新的源来支持我的需求。

 

源的配置文件都在/etc/yum.repos.d/下。

首先第一步,我们安装yum-priorities插件。

sudo yum install yum-priorities

该插件用来设定源的优先级,可以保证官方的源优先级最高,存在相同的软件时,优先使用官方源,这样可以保证软件依赖关系正确。

接下来编辑/etc/yum.repos.d/CentOS-Base.re...

继续阅读

发表在 linux | 标签为 | linux epel已关闭评论

DRBD

DRBD介绍

DRBD是一个用软件实现的、无共享的、服务器之间镜像块设备内容的存储复制解决方案。 DRBD Logo数据镜像:实时、透明、同步(所有服务器都成功后返回)、异步(本地服务器成功后返回)。DBRD的核心功能通过Linux的内核实现,最接近系统的IO栈,但它不能神奇地添加上层的功能比如检测到EXT3文件系统的崩溃。DBRD的位置处于文件系统以下,比文件系统更加靠近操作系统内核及IO栈。

DRBD编译安装

安装所需依赖:

  1. yum -y install gcc kernel-devel kernel-headers flex

开始安装drbd,下载地址:http://oss.linbit.com/...

继续阅读

发表在 linux | 标签为 | DRBD已关闭评论

linux disk

linux

当前目录即以下目录空间使用情况:

#du --max-depth=1 -h 

分区空间情况

#df -lh

磁盘分区

#fdisk -l

 

 

继续阅读

发表在 linux | 标签为 , , | linux disk已关闭评论

ssh 证书登录,ssh 双机无密码互通

使用ssky-keygen和ssh-copy-id设置而无需输入密码就能登录远程Linux主机。 

1、ssh-keygen 创建公钥和密钥。 

2、ssh-copy-id 把本地主机的公钥复制到远程主机的authorized_keys文件上。

注:ssh-copy-id 也会给远程主机的用户主目录(home)和~/.ssh, 和~/.ssh/authorized_keys设置合适的权限 。



步骤1: 用 ssh-key-gen 在本地主机上创建公钥和密钥

ligh@local-host$ ssh-keygen -t  rsa

Enter file in which to s... 继续阅读

发表在 linux | 标签为 , | ssh 证书登录,ssh 双机无密码互通已关闭评论

linux user group

用户管理相关命令
useradd        添加用户
adduser        添加用户
userdel         删除用户
passwd         为用户设置密码
usermod       修改用户命令,可...

继续阅读

发表在 linux | 标签为 , | linux user group已关闭评论

linux mail

在Linux系统下mail命令的测试

1. 最简单的一个例子:

 mail -s test yangfang@fudan.edu.cn

这条命令的结果是发一封标题为test的空信给后面的邮箱,如果你有mta并且后面的邮箱不会挡这种可能莫名奇妙的信的时候,就能收到这封信了。如果你不想被这种乱七八糟的事情干扰,后面的邮箱请使用本地帐户。

2. 第二个例子:

 三种常用格式发信

mail -s test yangfang@fudan.edu.cn #第一种方法,你可以把当前shell当成编辑器来用,编辑完内容后Ctrl-D结束

echo “mail content”|mail -s test...

继续阅读

发表在 linux | 标签为 | linux mail已关闭评论

linux net status SYN_RECV

可以通过下面这个命令来统计当前连接数

netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'

这条语句返回结果如下

 

  1. TIME_WAIT 346
  2. FIN_WAIT1 85
  3. FIN_WAIT2 6
  4. ESTABLISHED 1620
  5. SYN_RECV 169
  6. LAST_ACK 8

SYN_RECV表示正在等待处理的请求数;ESTABLISHED表示正常数据传输状态;TIME_WAIT表示处理完毕,等待超时结束的请求数。

状态:描述

CLOSED:无连接是活动的或正在进行

LISTEN:服务器在等待进入呼叫

SYN_RECV:一个...

继续阅读

发表在 linux | 标签为 , | linux net status SYN_RECV已关闭评论

keepalived

八种调度算法:  
  :rr|wrr|lc|wlc|lblc|dh|sh|
  轮叫调度(Round-Robin Scheduling)
  加权轮叫调度(Weighted Round-Robin Scheduling)
  最小连接调度(Least-Connection Scheduling)
  加权最小连接调度(Weighted Least-Connection Scheduling)
  基于局部性的最少链接(Locality-Based Least Connections Scheduling)
  带复制的基于局部性最少链接(Locality-Based ...

继续阅读

发表在 linux | 标签为 | keepalived已关闭评论

linux close ipv6

创建文件/etc/modprobe.d/ipv6off.conf(名字随便起)

注:RHEL6.0之后没有了/etc/modprobe.conf这个文件

alias net-pf-10 off
options ipv6 disable=1

重启系统,然后确认:

[root@test ~]# lsmod | grep -i ipv6
[root@test ~]# ifconfig | grep -i inet6
如果上述2个命令执行的结果没...

继续阅读

发表在 linux | 标签为 , | linux close ipv6已关闭评论