笞熊降猫|蛋糕面包熊猫店 » linux

抛弃VM converter, 从VM server迁移到ESXi

Kiever — Thu, 20 Nov 2008 09:10:12 +0000

迁移环境
VM server 1.04 ==> ESXi 3.0 update 3
guest OS： RHEL4.4 虚拟机硬盘使用的是lsi的方式

废话不说了，就说一下整个迁移步骤：

1. 打开ESXi的ssh来上传VM server的虚拟机文件
安装好ESXi后，虽然可以通过访问datastore上传下载文件，但速度实在不敢恭维，而且很容易连接超时而中断上传。
打开ssh方法如下：
登录到ESXi的console，按Alt-F1，输入unsupported，会提示password。输入root的密码就可以进入shell了。
ESXi的ssh是dropbear提供的，这个软件在嵌入式设备上用的很常见吧。
言归正传，在/etc/inetd.conf中将如下行的注释去掉
ssh stream tcp nowait root /sbin/dropbearmulti dropbear ++min=0,swap,group=shell -i
然后ps |grep inetd 将pid记下，最后kill -HUP 这样ssh就可以连上来了。

2. 将VM server的虚拟机文件上传到ESXi的vmfs卷上，只要vmdk的文件全部上传就可以了

3. 使用vmkfstools转换磁盘格式
vmkfstools -i 上传的磁盘文件要生成的新磁盘文件（必须全路径）

4. 在VIC上新建虚拟机，选custom方式，虚拟机配置最好和原来VM server上一致，在建立磁盘选项中，选择使用已存在的磁盘，然后选中你上面生成的新磁盘文件。

好了，完毕。没问题的话，你应该可以正常使用了原来的虚拟机了。

经测试，不管是windows还是linux都可以用以上方式迁移，但源虚拟机磁盘必须是scsi，不能使用ide硬盘。

kickstart 安装配置

latteye — Wed, 19 Nov 2008 03:11:24 +0000

到了新公司，按照要求做一个基于 CentOS 5.2 的最小的系统。其极致性的最小仅需要保证系统能够开机。在不考虑 rpm 关联的情况下，成功的将 rpm 包的数量控制在了 60 个（还可以更小），不过这样的系统并没有实际使用意义。

不过另外两个 kickstart 还是有实际用途的。
1. 将包控制在了 90 个不到。满足了基本的系统。但不包含 ssh 等工具。所谓基本的系统即使没有破坏其基本的依赖关系。保证了 dmraid lvm2 等包的存在。

点击下载

2. 将包控制在了 101 个。除了基本系统以外，包含了 iptables (仅 ipv4) ，ssh server & client ，snmp。默认开启了 ssh 服务，关闭了 snmp 服务。默认 iptables 规则仅开放 22 以及 icmp。

点击下载

至于 kickstart 的使用，这里就不多说了。

Vmware server console 连接故障解决一例

Kiever — Tue, 18 Nov 2008 03:36:03 +0000

今天发现vmware server无法用console连接上去，该服务器系统rhel4.4， vmware server 1.04，连接出错的提示是511 Error connecting to /usr/sbin/vmware-serverd process，查vmware-serverd.log，发现如下出错信息：

Nov 18 10:49:25: app| The vm-list file has changed! Reloading the list of registered vms
Nov 18 10:49:25: app| SSL: Unknown SSL Error
Nov 18 10:49:25: app| SSL Error: error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
Nov 18 10:49:25: app| OvlHostStartIo: errno 0
Nov 18 10:49:25: app| vmdbPipe_Streams: Couldn’t read
Nov 18 10:49:25: app| Failed to add connection to database : -32
Nov 18 10:49:25: app| Failed to accept new client vmdb connection
Nov 18 10:49:25: app| SP: Deleting user session: 0 username: tester
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get IPC connection
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get connection on vmdb port
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get IPC connection
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get connection on vmdb port
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get IPC connection
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get connection on vmdb port
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get IPC connection
Nov 18 10:49:25: app| CnxAcceptConnection: Could not send the magic marker on 20: Broken pipe
Nov 18 10:49:25: app| Failed to get connection on vmdb port

ifconfig查看网卡情况，居然连vmnet的虚拟网卡都不见了，好在虚拟机还是能正常访问和工作的。
查看secure登录，发现：

Nov 18 10:32:40 sghsrv13 vmware-authd[11053]: PAM unable to dlopen(/lib/security/pam_unix2.so)
Nov 18 10:32:40 sghsrv13 vmware-authd[11053]: PAM [dlerror: /lib/security/pam_unix2.so: cannot open shared object file: No such file or directory]

看来vmware的验证模块有些问题，将/etc/pam.d/ssh拷贝成vmware-authd后，log显示正常，但还是不能登陆。

最后索性将vmware-serverd进程kill掉，然后再/usr/sbin/vmware-serverd -s -d重启服务。
kill vmware-serverd不会影响运行中的虚拟机，这一步其实是这次解决问题的关键

此时尝试登陆，还是有出错提示，但已经可以登录console了，查看vmware-serverd日志：

Nov 18 11:10:00: app| The vm-list file has changed! Reloading the list of registered vms
Nov 18 11:10:00: app| Failed to lookup owner for: /vm/win2003/Windows Server 2003 Standard Edition.vmx. Reason: No such file or directory
Nov 18 11:10:00: app| Could not get canonical path for /vm/win2003/Windows Server 2003 Standard Edition.vmx: No such file or directory
Nov 18 11:10:00: app| Error Adding vm: /vm/win2003/Windows Server 2003 Standard Edition.vmx

看来是删除了虚拟机但vm-list没有更新造成以上错误。
手动update vm-list然后再登陆vmware server console，一切正常了。

RHCS cluster问题一例Cluster is not quorate.Refusing connection.

Kiever — Wed, 29 Oct 2008 10:34:31 +0000

公司两台服务器用RHCS做HA，最近出了问题， HA状态显示failed。无奈重启node1后发现cman起不来，报错：
Oct 29 14:14:51 ccsd[5232]: Cluster is not quorate. Refusing connection.
Oct 29 14:14:51 ccsd[5232]: Error while processing connect: Connection refused
Oct 29 14:14:51 kernel: CMAN: sending membership request
fence进程也启动不了

查阅资料无数，解决方法如下：
把node2上cluster进程全部关闭，然后依次重新启动服务，顺序如下
service rgmanager stop
service fenced stop
service cman stop
service ccsd stop
然后按相反的顺序启动service，即
node2上 service ccsd start
node1上 service ccsd start
node2上 service cman start
node1上 service cman start
………
………
总算干净了

Telnet带验证的邮件发送过程

Kiever — Tue, 28 Oct 2008 09:25:43 +0000

本文记录一次 telnet email server 发邮件的过程。邮件排错中，通常用这种方式比较直观，同时更容易看到“返回信息”，来帮助管理员工作。对 email 发送的过程也可以有了解。

telnet a.b.c.d 25
Trying a.b.c.d…
Connected to a.b.c.d.
Escape character is ‘^]’.
220 XXX SMTP System
HELO localhost // 与服务器打招呼，并告知客户端使用的机器名字，可以随便填写
250 OK
AUTH LOGIN //使用身份认证登陆指令，如果这个指令返回“Send hello first”的错误，那么需要将上面的HELO改成EHLO重试登录
334 dXNlcm5hbWU6
casDsdezMw== //输入已经base64_encode()过的用户名. base64加密字符可以google一下，输入明文就可以得到加密后的字符串
334 UGFzc3dvcmQ6
MbSddwq3NQ== //输入已经base64_encode()过的密码
235 Authentication successful
MAIL FROM: test@test.com //告诉服务器发信人的地址，这里是test@test.com
250 Mail OK
RCPT TO: yourname@test.com//告诉服务器收信人的地址，这里是yourname@test.com
250 Mail OK
DATA //正面开始传输信件的内容，且最后要以只含有 . 的特殊行结束。
354 End data with .
To:yourname@test.com
From:test@test.com
Subject:test mail
test body
． //结束传输信件
QUIT //退出服务器

Apache的几个安全设定

Kiever — Tue, 28 Oct 2008 04:30:25 +0000

turn off indexing
edit httpd.conf file and locate the following line
Options Indexes FollowSymLinks MultiViews
Add a minus sign in front of the Indexes statement it should look like this when completed
Options -Indexes FollowSymLinks MultiViews

Apache banner
edit httpd.conf and change the value of servertokens as following:
ServerTokens Prod

Trace/Track :
edit httpd.conf and set as following:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

Preventing Web-based Directory Enumeration Attacks
Customize a 404 page 404.html in documentroot directory，and add following in httpd.conf
ErrorDocument 404 /404.html
ErrorDocument 403 /404.html
ErrorDocument 500 /404.html
ErrorDocument 501 /404.html

SSL configuration
SSLEngine on
SSLProtocol -all +TLSv1 +SSLv3
SSLCipherSuite HIGH:MEDIUM:!aNULL:!ADH:+SHA1:+MD5+HIGH:MEDIUM

SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
SSLCipherSuite HIGH:MEDIUM

Solve utf-7 vulnerability
There are several workarounds in Apache HTTP Server to dodge this particular vulnerability on your own sites, including
AddDefaultCharset ISO-8859-1
and by enabling multilanguage error docs (each translation with an explicit charset) by simply uncommenting this Include of the default httpd.conf file;
# Multi-language error messages
Include conf/extra/httpd-multilang-errordoc.conf

mod_security
Strong recommend to use mod_security to protect apache.
Please refer to this http://www.modsecurity.org/

VPNC 工具的使用

latteye — Sat, 25 Oct 2008 15:53:05 +0000

上周朋友给了一个 Cisco VPN 工具。通过导入 pcf 配置文件，连接到公司VPN服务器。用起来非常方便。而且 Cisco VPN 路由定义的非常好，有需要的地方才加路由，不像 Windows PPTP 服务器–一刀切。

但是我大多数的工作时间都呆在了 Arch Linux 下。如何在 Linux 下实现呢？VPNC 可以做到。

一、安装

pacman -S vpnc

二、配置

1. 配置文件结构

vpnc 只读取一个配置文件，第一个读取的是 /etc/vpnc/default.conf ，当此文件不可用时 /etc/vpnc.conf 成为了第二选择。

2. 配置文件内容

其基本内容如下：

IPSec gateway vpngateway.domain.org
IPSec ID group_id
IPSec secret group_password
Xauth username network_signon
Xauth password network_password

可能还会带有类似内容：

IKE Authmode psk
IKE DH Group dh2

ipsec 的加密方式之前已经讨论过了，相信这些字段不陌生。

配置描述：
IPSec gateway #VPN网关地址，可以是域名，可以是 IP。
IPSec ID ＃取个名字
IPSec secret ＃交换密钥
Xauth username ＃登录用户名
Xauth password ＃登录使用密码，如果配置文件不包含此字段，会在连接时请求输入。

3. PCF 文件的转换

Windows 环境下经常可以下载到 pcf 配置文件，vpnc 已经包含了 pcf2vpnc 工具。可以快速将 pcf 转换为 vpnc 配置文件。

pcf2vpnc pcffilename > /etc/vpnc.conf

三、 VPNC 连接

1. 模块加载

确定 tun 模块是否加载：

lsmod | grep tun

加载 tun 模块：

modprobe tun

查看 TUN 模块加载 dmesg 信息：

dmesg | grep TUN tun: Universal TUN/TAP device driver, 1.6

当然，在这之前，你要确定 TUN 被编译成了模块，或者已经编译进了内核中：

Device Drivers —>
Networking support —>
[*] Universal TUN/TAP device driver support

2. 建立链接

sudo vpnc

建立此链接需要 root 权限。

3.断开链接

sudo vpnc-disconnect

四、查看链接信息

1. tun 设备

#ip add show

6: tun0: mtu 1412 qdisc pfifo_fast state UNKNOWN qlen 500
link/[65534]
inet 1.1.1.30/32 scope global tun0

2. 路由信息

#ip route show

63.149.188.150 via 172.16.5.1 dev eth0 src 172.16.5.2 mtu 1500 advmss 1460
172.16.21.10 dev tun0 scope link
172.16.21.11 dev tun0 scope link
192.168.6.0/24 dev tun0 scope link
1.1.75.0/24 dev tun0 scope link
172.16.5.0/24 dev eth0 proto kernel scope link src 172.16.5.2
192.168.3.0/24 dev tun0 scope link
192.168.50.0/24 dev tun0 scope link
172.16.150.0/24 dev vmnet8 proto kernel scope link src 172.16.150.1
192.168.2.0/24 dev tun0 scope link
172.16.0.0/24 dev tun0 scope link
192.168.15.0/24 dev tun0 scope link
192.168.12.0/24 dev tun0 scope link
192.168.27.0/24 dev vmnet1 proto kernel scope link src 192.168.27.1
10.80.0.0/16 dev tun0 scope link
10.2.0.0/16 dev tun0 scope link
10.3.0.0/16 dev tun0 scope link
172.24.0.0/16 dev tun0 scope link
10.16.0.0/16 dev tun0 scope link
10.32.0.0/16 dev tun0 scope link
10.55.0.0/16 dev tun0 scope link
10.101.0.0/16 dev tun0 scope link
10.6.0.0/16 dev tun0 scope link
172.30.0.0/16 dev tun0 scope link
10.100.0.0/16 dev tun0 scope link
10.102.0.0/16 dev tun0 scope link
172.18.0.0/16 dev tun0 scope link
172.19.0.0/16 dev tun0 scope link
172.16.0.0/16 dev tun0 scope link
172.17.0.0/16 dev tun0 scope link
172.22.0.0/16 dev tun0 scope link
172.20.0.0/16 dev tun0 scope link
172.21.0.0/16 dev tun0 scope link
default via 172.16.5.1 dev eth0

其他 unix 可以用 netstat -r 查看。话说我还是很佩服 Linux 的高级路由的。
可以清楚的看到，只有特定路由被定义到了 tun 设备上。

好了，基本的功能就介绍到这里。其他高级功能，比如按需自动拨号之类，网上搜搜也能搜到很多了。

jboss cluster配置小结

Kiever — Fri, 24 Oct 2008 03:13:13 +0000

本周做了一个jboss cluster，配置过程不说了，网上多的是，讲讲容易出现问题的地方:
1 jboss的监听地址一定要写网卡绑定的ip，要跟前端apache mod_jk配置中指定的ip一致，不要偷懒写0.0.0.0，否则出现问题的时候会让你抓狂。
2 jboss cluster最好取个名字，不要使用默认的，否则同网段其他jboss的服务器也可能会加入进来，带来麻烦。
自定义名字也很简单，只需要在jboss启动脚本中加入“-Djboss.partition.name=yourcluster”, yourcluster改成你要的名字。

Linux 下 Firefox 的字体显示

latteye — Sat, 11 Oct 2008 00:46:01 +0000

很小的问题，但是之前都没花心思看。
我的 Arch 下 Linux 在很多网页上字体显示都有问题。具体表现为：显示出来的页面都是“_____”的符号。

即使将－首选项－内容－字体里面，设置了WenQuanYi，也无济于事。

最后在 about:config 里面解决了问题。

在 about:config 中，找到 font.default.zh_CN 设置为 WenQuanYi Bitmap Song
找到 font.default.x-western 设置为 WenQuanYi Bitmap Song

重启，搞定！

其问题在于，原先的默认字体无法显示很多字符。

配置 Tomcat 使用 SSL

Kiever — Thu, 25 Sep 2008 10:21:32 +0000

Use keytool to create ssl certificate – only for self-signed certificate

First, use following command to generate keystore file

keytool -genkey -alias tomcat -keyalg RSA -keystore $SavePath/KeyFile

$SavePath is the path you save the file.

Second, uncomment the “SSL HTTP/1.1 Connector” entry in server.xml;

Third, update server.xml to use the ssl configuration as above:

enableLookups=”true” disableUploadTimeout=”true”
acceptCount=”100″ maxThreads=”200″
scheme=”https” secure=”true” SSLEnabled=”true”
keystoreFile=”test.keystore” keystorePass=”123654″
clientAuth=”false” sslProtocol=”TLS”/>

The bold font is the keystore filename and password.

Here we use 443 as the ssl port.

Use openssl to make certificate and import to tomcat

Tomcat can use the Apache Portable Runtime to provide superior scalability, performance, and better integration with native server technologies.

Requirements:

APR 1.2+ development headers (libapr1-dev package)

OpenSSL 0.9.7+ development headers (libssl-dev package)

JNI headers from Java compatible JDK 1.4+

GNU development environment (gcc, make)

The wrapper library sources are located in the Tomcat binary bundle, in the bin/tomcat-native.tar.gz archive. Once the build environment is installed and the source archive is extracted, the wrapper library can be compiled using (from the folder containing the configure script, default is /usr/local/apr):

./configure && make && make install

After that,

export LD_LIBRARY_PATH = $ LD_LIBRARY_PATH:/usr/local/apr/lib

and then update Catalina.sh script file, add following line:

CATALINA_OPTS=”-Djava.library.path=/usr/local/apr/lib”

To make sure whether tomcat enabled apr, check tomcat log, if no apr enabled, the log file contains: org.apache.coyote.http11.Http11Protocol start, if apr enabled, the log should be org.apache.coyote.http11.Http11AprProtocol start.

And last, need update server.xml, add line like following:

address=”{tomcat.listen.address}” port=”443″
enableLookups=”true” disableUploadTimeout=”true”
acceptCount=”100″ maxThreads=”200″
scheme=”https” secure=”true” SSLEnabled=”true” SSLEngine=”on”
clientAuth=”false” sslProtocol=”TLS”
SSLProtocol=”-all +SSLv3 +TLSv1″
SSLCipherSuite=”HIGH:MEDIUM:!aNULL:!ADH:+SHA1:+MD5+HIGH:MEDIUM”
SSLCertificateFile=”{your certificate file}”
SSLCertificateKeyFile=”{your certificate key file}”
SSLPassword=”{your password of certificate}” />

And if we want tomcat only listen on the certen IP, then server.xml should be updated as following:

enableLookups=”true” disableUploadTimeout=”true”
acceptCount=”100″ maxThreads=”200″
scheme=”https” secure=”true” SSLEnabled=”true”
keystoreFile=”test.keystore” keystorePass=”123654″
clientAuth=”false” sslProtocol=”TLS”/>

Add address parameter, tomcat will only listen the IP you defined.