meisw's blog

ssh-keygen -t rsa
指定密钥路径和输入口令之后，即在/home/msa/.ssh/中生成公钥和私钥：id_rsa id_rsa.pub

4）cat id_rsa.pub >> authorized_keys
至于为什么要生成这个文件，因为sshd_config里面写的就是这个。
然后chmod 400 authorized_keys，稍微保护一下。

5）用psftp把把id_rsa拉回本地，然后把服务器上的id_rsa和id_rsa.pub干掉

6）配置/etc/ssh/sshd_config
Protocol 2
ServerKeyBits 1024
PermitRootLogin no  #禁止root登录而已，与本文无关，加上安全些

#以下三行没什么要改的，把默认的#注释去掉就行了
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile    .ssh/authorized_keys

PasswordAuthentication no
PermitEmptyPasswords no

7）重启sshd
/sbin/service sshd restart

8）转换证书格式，迁就一下putty
运行puttygen，转换id_rsa为putty的ppk证书文件

9）配置putty登录
在connection–SSH–Auth中，点击Browse,选择刚刚转换好的证书。
然后在connection-Data填写一下auto login username，例如我的是msa
在session中填写服务器的IP地址，高兴的话可以save一下

10）解决一点小麻烦
做到这一步的时候，很可能会空欢喜一场，此时就兴冲冲的登录，没准登不进去：
No supported authentication methods available

这时可以修改一下sshd_config，把
PasswordAuthentication no临时改为：
PasswordAuthentication yes 并重启sshd

在当前目录下有一个pma目录的文件夹:

1、使用tar对文件压缩加密：
# tar -zcvf - pma|openssl des3 -salt -k password | dd of=pma.des3
完成将得到一个pma.des3的打包文件，用你设置的密码替换password。

2、使用tar对加密文件解压：
# dd if=pma.des3 |openssl des3 -d -k password|tar zxf -
注意：命令最后有”-”，它将释放所有的文件。其中-k password可以不使用，这样执行完命令后会提示你输入密码，加上-k参数表示在程序中自动验证密码

附：OpenSSL加密算法详解：

OpenSSL是一个开源的用以实现SSL协议的产品，它主要包括了三个部分：密码算法库、应用程序、SSL协议库。Openssl实现了SSL协议所需要的大多数算法。
下面介绍使用Openssl进行文件的对称加密操作。

一、Openssl支持的加密算法有：

-aes-128-cbc -aes-128-cfb -aes-128-cfb1
-aes-128-cfb8 -aes-128-ecb -aes-128-ofb
-aes-192-cbc -aes-192-cfb -aes-192-cfb1
-aes-192-cfb8 -aes-192-ecb -aes-192-ofb
-aes-256-cbc -aes-256-cfb -aes-256-cfb1
-aes-256-cfb8 -aes-256-ecb -aes-256-ofb
-aes128 -aes192 -aes256
-bf -bf-cbc -bf-cfb
-bf-ecb -bf-ofb -blowfish
-cast -cast-cbc -cast5-cbc
-cast5-cfb -cast5-ecb -cast5-ofb
-des -des-cbc -des-cfb
-des-cfb1 -des-cfb8 -des-ecb
-des-ede -des-ede-cbc -des-ede-cfb
-des-ede-ofb -des-ede3 -des-ede3-cbc
-des-ede3-cfb -des-ede3-ofb -des-ofb
-des3 -desx -desx-cbc
-rc2 -rc2-40-cbc -rc2-64-cbc
-rc2-cbc -rc2-cfb -rc2-ecb
-rc2-ofb -rc4 -rc4-40


二、OpenSSL加密指令语法：

SYNOPSIS
openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e]
[-d] [-a] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-p]
[-P] [-bufsize number] [-nopad] [-debug]
说明：
-chipername选项：加密算法，Openssl支持的算法在上面已经列出了，你只需选择其中一种算法即可实现文件加密功能。
-in选项：输入文件，对于加密来说，输入的应该是明文文件；对于解密来说，输入的应该是加密的文件。该选项后面直接跟文件名。
-out选项：输出文件，对于加密来说，输出的应该是加密后的文件名；对于解密来说，输出的应该是明文文件名。
-pass选项：选择输入口令的方式，输入源可以是标准输入设备，命令行输入，文件、变量等。
-e选项：实现加密功能（不使用-d选项的话默认是加密选项）。
-d选项：实现解密功能。
-a和-A选项：对文件进行BASE64编解码操作。
-K选项：手动输入加密密钥（不使用该选项，Openssl会使用口令自动提取加密密钥）。
-IV选项：输入初始变量（不使用该选项，Openssl会使用口令自动提取初始变量）。
-salt选项：是否使用盐值，默认是使用的。
-p选项：打印出加密算法使用的加密密钥。


三、用法举例：

1、使用aes-128-cbc算法加密文件：
openssl enc -aes-128-cbc -in install.log -out enc.log
（注：这里install.log是你想要加密的文件，enc.log是加密后的文件，回车后系统会提示你输入密码。）
2、解密刚才加密的文件：
openssl enc -d -aes-128-cbc -in enc.log -out install.log
（注：enc.log是刚才加密的文件，install.log是解密后的文件，-d选项实现解密功能。）
3、加密文件后使用BASE64格式进行编码：
openssl enc -aes-128-cbc -in install.log -out enc.log -a
4、使用多种口令输入方式加密：
openssl enc -des-ede3-cbc -in install.log -out enc.log -pass pass:111111
（这种方法的好处是你可以把它写入到脚本中，自动完成加密功能，不使用pass选项默认系统会提示输入密码并且确认，是需要人工操作的。）

转

watchdog 通常是一段物理电路，但这里讲的是linux 内核的实现，也就是softdog ，其原理详见IBM developerworks

watchdog非常强健，是内核的一个模块，能够在系统资源耗尽之际实现系统软重启，防止硬重启带来的巨大损失。

Watchdog 默认的动作是每隔1分钟往/dev/watchdog设备执行写操作，以证明系统运行正常，发现异常就主动发出重启信号。这种功能在高负荷的系统中很有用。虽然重启系统常常是包治百病的“明智之举“，但总让管理员们无法接受。除了重启系统，watchdog真的就没有用武之地了吗？

watchdog 强大的地方在于提供了两个接口test和repair 。

test选项提供了测试机制，一旦测试失败，watchdog就会采取行动挽救，也就是repair 。

repair 选项提供了挽救系统的办法，默认是重启系统，但可以定制，通常是一个shell 脚本。这就是本文的要点。

Watchdog配置文件示例

#ping                        = 172.31.14.1
#ping                        = 172.26.1.255
#interface                = eth0
#file                        = /var/log/messages
#change                        = 1407

# Uncomment to enable test. Setting one of these values to ’0′ disables it.
# These values will hopefully never reboot your machine during normal use
# (if your machine is really hung, the loadavg will go much higher than 25)
#max-load-1                = 24
#max-load-5                = 18
#max-load-15                = 12

# Note that this is the number of pages!
# To get the real size, check how large the pagesize is on your machine.
#min-memory                = 1

#repair-binary                = /usr/sbin/repair
#test-binary                =
#test-timeout                =

#watchdog-device        = /dev/watchdog

# Defaults compiled into the binary
#temperature-device        =
#max-temperature        = 120

# Defaults compiled into the binary
#admin                        = root
#interval                = 10
#logtick                = 1

# This greatly decreases the chance that watchdog won’t be scheduled before
# your machine is really loaded
realtime                = yes
priority                = 1

# Check if syslogd is still running by enabling the following line
#pidfile                = /var/run/syslogd.pid

如果你安装并运行了watchdog，配置文件中的几个基本选项是要打开的，有益无害。
Min-memory                = 1
watchdog-device        = /dev/watchdog

从上面可以得到，watchdog的配置文件里可以监控网络、负载、内存、进程的pid号等，这不就是管理员们日常监控的内容吗？

现在我们进入智能监控主题。所谓智能监控，就是无人值守的监控行为，发现问题，自动修复，如果不能自动修复，还可以通知管理员手动修复。

以监控网络接口eth0 为例，我们开启选项 interface = eth0，接下来开启选项repair-binary= /etc/watchdog.d/repair.sh ,这里我把修复行为指向了一个脚本，repair.sh
,内容如下

#!/usr/bin/env bash

ifconfig eth0 >/dev/null

if [$? != “0”];then

ifup eth0
fi

模拟故障，手动停止eth0，过一会儿，就会看到奇迹发生了，o(∩∩)o…哈哈！！

由于把修复动作交给了脚本，那么一切变得皆有可能！只要其他条件允许，发邮件，发短信、放音乐、看CCAV，总之，完全由你自己决定。

同理，配置文件中的其他监控选项可以举一反三。

假如我有一些定制的服务，平时都是用脚本循环进行监控，用watchdog怎么监控呢？这就要靠test 选项了，watchdog默认的检测行为是每隔一分钟往/dev/watchdog 设备里执行一次写操作，这是个闲活，test选项可以让看门狗执行其他一些检测，以发现异常。

开启选项test = /etc/watchdog.d/test.sh，以监控进程abc为例

#!/usr/bin/env bash

process_number=`pgrep abc |wc -l`

if [ $process_number  == “0” ];then
echo “process abc is not running”
exit 1
fi

按照脚本的意思，如果abc 进程数为0，那么就返回值1，检测到了异常！
相应的，watchdog会尝试修复异常。至于repair 脚本怎么写，你懂的！

你还在用while 循环吗？ out 了！

附:
最简单的安装教程(CentOS)
yum install watchdog -y
modprobe softdog
chkconfig watchdog  on
/etc/init.d/watchdog start

补充内容 (2012-6-6 21:20):
如果repair 失败的话，watchdog依然会重启系统，这个需要注意！

补充内容 (2012-6-15 16:08):
可以通过在repair 脚本中加入 exit 0 来防止watchdog 重启系统，即无论修复是否成功，都返回成功，骗过watchdog 的重启机制

硬件中断发生频繁，是件很消耗 CPU 资源的事情，在多核 CPU 条件下如果有办法把大量硬件中断分配给不同的 CPU (core) 处理显然能很好的平衡性能。现在的服务器上动不动就是多 CPU 多核、多网卡、多硬盘，如果能让网卡中断独占1个 CPU (core)、磁盘 IO 中断独占1个 CPU 的话将会大大减轻单一 CPU 的负担、提高整体处理效率。VPSee 前天收到一位网友的邮件提到了 SMP IRQ Affinity，引发了今天的话题：D，以下操作在 SUN FIre X2100 M2 服务器＋ 64位版本 CentOS 5.5 + Linux 2.6.18-194.3.1.el5 上执行。

什么是中断

中文教材上对 “中断” 的定义太生硬了，简单的说就是，每个硬件设备（如：硬盘、网卡等）都需要和 CPU 有某种形式的通信以便 CPU 及时知道发生了什么事情，这样 CPU 可能就会放下手中的事情去处理应急事件，硬件设备主动打扰 CPU 的现象就可称为硬件中断，就像你正在工作的时候受到 QQ 干扰一样，一次 QQ 摇头就可以被称为中断。

中断是一种比较好的 CPU 和硬件沟通的方式，还有一种方式叫做轮询（polling），就是让 CPU 定时对硬件状态进行查询然后做相应处理，就好像你每隔5分钟去检查一下 QQ 看看有没有人找你一样，这种方式是不是很浪费你（CPU）的时间？所以中断是硬件主动的方式，比轮询（CPU 主动）更有效一些。

好了，这里又有了一个问题，每个硬件设备都中断，那么如何区分不同硬件呢？不同设备同时中断如何知道哪个中断是来自硬盘、哪个来自网卡呢？这个很容易，不是每个 QQ 号码都不相同吗？同样的，系统上的每个硬件设备都会被分配一个 IRQ 号，通过这个唯一的 IRQ 号就能区别张三和李四了。

在计算机里，中断是一种电信号，由硬件产生，并直接送到中断控制器（如 8259A）上，然后再由中断控制器向 CPU 发送信号，CPU 检测到该信号后，就中断当前的工作转而去处理中断。然后，处理器会通知操作系统已经产生中断，这样操作系统就会对这个中断进行适当的处理。现在来看一下中断控制器，常见的中断控制器有两种：可编程中断控制器 8259A 和高级可编程中断控制器（APIC），中断控制器应该在大学的硬件接口和计算机体系结构的相关课程中都学过。传统的 8259A 只适合单 CPU 的情况，现在都是多 CPU 多核的 SMP 体系，所以为了充分利用 SMP 体系结构、把中断传递给系统上的每个 CPU 以便更好实现并行和提高性能，Intel 引入了高级可编程中断控制器（APIC）。

光有高级可编程中断控制器的硬件支持还不够，Linux 内核还必须能利用到这些硬件特质，所以只有 kernel 2.4 以后的版本才支持把不同的硬件中断请求（IRQs）分配到特定的 CPU 上，这个绑定技术被称为 SMP IRQ Affinity. 更多介绍请参看 Linux 内核源代码自带的文档：linux-2.6.31.8/Documentation/IRQ-affinity.txt

如何使用

先看看系统上的中断是怎么分配在 CPU 上的，很显然 CPU0 上处理的中断多一些：

# cat /proc/interrupts
           CPU0       CPU1      
  0:  918926335          0    IO-APIC-edge  timer
  1:          2          0    IO-APIC-edge  i8042
  8:          0          0    IO-APIC-edge  rtc
  9:          0          0   IO-APIC-level  acpi
 12:          4          0    IO-APIC-edge  i8042
 14:    8248017          0    IO-APIC-edge  ide0
 50:        194          0   IO-APIC-level  ohci_hcd:usb2
 58:      31673          0   IO-APIC-level  sata_nv
 90:    1070374          0         PCI-MSI  eth0
233:         10          0   IO-APIC-level  ehci_hcd:usb1
NMI:       5077       2032
LOC:  918809969  918809894
ERR:          0
MIS:          0
为了不让 CPU0 很累怎么把部分中断转移到 CPU1 上呢？或者说如何把 eth0 网卡的中断转到 CPU1 上呢？先查看一下 IRQ 90 中断的 smp affinity，看看当前中断是怎么分配在不同 CPU 上的（ffffffff 意味着分配在所有可用 CPU 上）：

# cat /proc/irq/90/smp_affinity
7fffffff,ffffffff,ffffffff,ffffffff,ffffffff,ffffffff,ffffffff,ffffffff
在进一步动手之前我们需要先停掉 IRQ 自动调节的服务进程，这样才能手动绑定 IRQ 到不同 CPU，否则自己手动绑定做的更改将会被自动调节进程给覆盖掉。如果想修改 IRQ 90 的中断处理，绑定到第2个 CPU（CPU1）：

# /etc/init.d/irqbalance stop

# echo "2" > /proc/irq/90/smp_affinity
（上面的 echo “2″ 是怎么来的？为什么是 ”2“？请参考这篇：计算 SMP IRQ Affinity）过段时间在看 /proc/interrupts，是不是 90:eth0 在 CPU1 上的中断增加了（145）、在 CPU0 上的中断没变？不断打印 /proc/interrupts 就会发现 eth0 在 CPU0 上的中断数始终保持不变，而在 CPU1 上的中断数是持续增加的，这正是我们想要的结果：

# cat /proc/interrupts
           CPU0       CPU1      
  0:  922506515          0    IO-APIC-edge  timer
  1:          2          0    IO-APIC-edge  i8042
  8:          0          0    IO-APIC-edge  rtc
  9:          0          0   IO-APIC-level  acpi
 12:          4          0    IO-APIC-edge  i8042
 14:    8280147          0    IO-APIC-edge  ide0
 50:        194          0   IO-APIC-level  ohci_hcd:usb2
 58:      31907          0   IO-APIC-level  sata_nv
 90:    1073399        145         PCI-MSI  eth0
233:         10          0   IO-APIC-level  ehci_hcd:usb1
NMI:       5093       2043
LOC:  922389696  922389621
ERR:          0
MIS:          0
有什么用

在网络非常 heavy 的情况下，对于文件服务器、高流量 Web 服务器这样的应用来说，把不同的网卡 IRQ 均衡绑定到不同的 CPU 上将会减轻某个 CPU 的负担，提高多个 CPU 整体处理中断的能力；对于数据库服务器这样的应用来说，把磁盘控制器绑到一个 CPU、把网卡绑定到另一个 CPU 将会提高数据库的响应时间、优化性能。合理的根据自己的生产环境和应用的特点来平衡 IRQ 中断有助于提高系统的整体吞吐能力和性能

vsftp 本身不支持虚拟目录，软链接失效。但可以通过linux mount 命令来实现。
例如：
ftp 用户 panmanni根目录为
/var/www/pages/flashgame/
panmanni 需要访问/var/www/flashupload目录
ln -s /var/www/flashupload /var/www/pages/flashgame/flashupload这样做无效
正确使用:
mkdir -p /var/www/pages/flashgame/flashupload
mount --bind /var/www/flashupload /var/www/pages/flashgame/flashupload

在使用mount --bind olderdir newerdir命令来挂载一个目录到另一个目录后，newerdir的权限和所有者等所有信息会发生变化。如下所示：
挂载前：
drwxr-xr-x 2 root root 4096 Mar 12 12:01 pub
drwx------ 3 staffs staffs 4096 Mar 15 14:08 staffs
挂载：
# mount --bind staffs/ pub/
挂载后：
drwx------ 3 staffs staffs 4096 Mar 15 14:08 pub
drwx------ 3 staffs staffs 4096 Mar 15 14:08 staffs
从上可以看出，挂载后的目录继承了被挂载目录的所有属性，除了名称

在CentOS 6.2的64位系统里,xcache 3用不了,不生效

xcache 2.0.1可以用,但不与zend op3.3不兼容,无法同是使用

http://www.ibm.com/developerworks/cn/linux/l-cn-network-pt/index.html