Intro

我司本小厂，每个员工都是身兼数职，所以开发人员直接登录线上服务器改东西是常态。有些开发人员，自持水平较高（的确水平也是较高，但缺乏对系统的敬畏），所以总是越俎代庖，改一些本身应该是线上运维人员改动的配置。本文提到的 /etc/security/limits.conf 两次改错导致的事故，皆是因为于此。

Intro

环境是一台开发用（pc）服务器，具体情况如下：

• CentOS 6.5
• Subversion（svn） 1.6.11
• Kernel 2.6.32-431.17.1.el6.x86_64

Why

为什么要升级 svn？

Why（为什么）

1. 前段时间 Evernote 限制了同时保持登录状态的设备数为 2
2. 最近 WizNote（为知笔记）禁掉了免费用户的同步功能
3. 有道云笔记测试时同步有问题，而且其文件格式相对封闭

Why

开发同学在线上一台公有云的机器上调试系统环境的时候，把 /etc/security/limits.conf 给改坏了，这是第二次改坏这个文件了，具体怎么改坏的，为什么改坏了会导致不能登录我单独来说（先挖坑），我这里只讲现象，这一次改坏的情况还好，只影响 root 用户，普通用户还能登录。于是就想能不能用普通用户本地提权成 root，再去修复文件 /etc/security/limits.conf

发现问题

最近在“不务正业”，应老板需求，给我极的极 go 写一个插件，方便公司员工方便地登录 VPN。关于这个插件的事情另外单说，我这里主要讲下开发、调试这个插件期间发现的另外一个问题。

我在 OpenVPN 服务器上编写认证鉴权程序的时候，需要频繁查看 OpenVPN 的日志，我的 OpenVPN 日志文件是用参数 log 而非 log-append 指定的。

缘起(Why)

现有环境

• KVM
• CentOS 6.x
• OpenVPN 2.3.2
• Google Authenticator libPAM 1.0.1
• pam_ldap 185
• Windows AD(2008R2)

来自老板的需求

1. 希望加强登录认证，仅仅靠原来的基于 AD 的认证还不够

老板认可的方案

1. 用 Google Authenticator 来做动态的二次认证
2. 结合原有的 ldap 集中认证

写在前面的闲话

后面有篇文章，为 iOS 在 CentOS6.x 上搭建 IPSec(PSK+XAuth) VPN 服务器，说的是一样的事情，只不过平台是 CentOS 6.x。

有朋友看了本文后问，这种文章百度上不多的是吗，干嘛还要写？然后我就想这个问题也许还真有代表性，于是就把文章修改下，统一回答：

1. 网上的方案多是ipsec+l2tp或者是ipsec+xl2tp的，我觉得不需要那么复杂，有ipsec加密数据流就OK了，所以我这方案应该是满足需求的最简方案
2. 我写东西，多半是为了心理安慰。而且这也不算是完全原创，准确讲应该是实验报告，参照的是最后参考里列出的国外的那篇文档

缘起(Why)

需求还是来自于科学上网，iPhone设备的科学上网。话说自打最新的iOS中

1. 不再支持pptp方式的vpn了
2. 没有全局性的ss(Shadowsocks)可用
3. OpenVPN的客户端软件市场中都看不见(Tunnelblicck是没找到)

所以，为了iPhone的科学上网，我们只有自力更生，搭建新的服务器系统。这里，我选用的是IPsec服务器。

缘起

相比Debian系的Linux发布版(如Debian、Ubuntu)，都能很好地支持在线大版本升级，RedHat系的Linux发布版（如RedHat、CentOS），其大版本升级一直是为人所诟病的问题。

Why

为嘛？因为GoDaddy的域名续费太黑了，忽悠转进来时低价，一旦到续费的时候，马上翻番。我等忍受不了，立马用脚投票：换地方！比较了一圈儿，貌似namesilo价钱还比较厚道，于是马上动手：域名迁往namesilo！

Why

为什么要做服务器的集中认证（和统一权限管理）呢？简答之：当服务器数量呈几何级增长之后，为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务（试想下为一万台服务器上的每个用户每三个月修改一次密码），虽然现在也可以通过类似于ansible之类的工具也可以比较容易地做到，但我们有更好的解决方案—-统一认证，这样，只需要在一个地方维护用户数据即可，这样简洁可靠的方案，肯定比ansible之类的方案更胜一筹呀。