运维烂笔头

一个 SA 老兵的工作日志

Why

开发同学在线上一台公有云的机器上调试系统环境的时候,把 /etc/security/limits.conf 给改坏了,这是第二次改坏这个文件了,具体怎么改坏的,为什么改坏了会导致不能登录我单独来说(先挖坑),我这里只讲现象,这一次改坏的情况还好,只影响 root 用户,普通用户还能登录。于是就想能不能用普通用户本地提权成 root,再去修复文件 /etc/security/limits.conf

阅读全文 »

发现问题

最近在“不务正业”,应老板需求,给我极的极 go 写一个插件,方便公司员工方便地登录 VPN。关于这个插件的事情另外单说,我这里主要讲下开发、调试这个插件期间发现的另外一个问题。

我在 OpenVPN 服务器上编写认证鉴权程序的时候,需要频繁查看 OpenVPN 的日志,我的 OpenVPN 日志文件是用参数 log 而非 log-append 指定的。

阅读全文 »

缘起(Why)

现有环境

  • KVM
  • CentOS 6.x
  • OpenVPN 2.3.2
  • Google Authenticator libPAM 1.0.1
  • pam_ldap 185
  • Windows AD(2008R2)

来自老板的需求

  1. 希望加强登录认证,仅仅靠原来的基于 AD 的认证还不够

老板认可的方案

  1. 用 Google Authenticator 来做动态的二次认证
  2. 结合原有的 ldap 集中认证
阅读全文 »

写在前面的闲话

后面有篇文章,为 iOS 在 CentOS6.x 上搭建 IPSec(PSK+XAuth) VPN 服务器,说的是一样的事情,只不过平台是 CentOS 6.x。

有朋友看了本文后问,这种文章百度上不多的是吗,干嘛还要写?然后我就想这个问题也许还真有代表性,于是就把文章修改下,统一回答:

  1. 网上的方案多是ipsec+l2tp或者是ipsec+xl2tp的,我觉得不需要那么复杂,有ipsec加密数据流就OK了,所以我这方案应该是满足需求的最简方案
  2. 我写东西,多半是为了心理安慰。而且这也不算是完全原创,准确讲应该是实验报告,参照的是最后参考里列出的国外的那篇文档

缘起(Why)

需求还是来自于科学上网,iPhone设备的科学上网。话说自打最新的iOS中

  1. 不再支持pptp方式的vpn了
  2. 没有全局性的ss(Shadowsocks)可用
  3. OpenVPN的客户端软件市场中都看不见(Tunnelblicck是没找到)

所以,为了iPhone的科学上网,我们只有自力更生,搭建新的服务器系统。这里,我选用的是IPsec服务器。

阅读全文 »

缘起

相比Debian系的Linux发布版(如DebianUbuntu),都能很好地支持在线大版本升级,RedHat系的Linux发布版(如RedHatCentOS),其大版本升级一直是为人所诟病的问题。

阅读全文 »

Why

为嘛?因为GoDaddy的域名续费太黑了,忽悠转进来时低价,一旦到续费的时候,马上翻番。我等忍受不了,立马用脚投票:换地方!比较了一圈儿,貌似namesilo价钱还比较厚道,于是马上动手:域名迁往namesilo

阅读全文 »

Why

为什么要做服务器的集中认证(和统一权限管理)呢?简答之:当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码),虽然现在也可以通过类似于ansible之类的工具也可以比较容易地做到,但我们有更好的解决方案—-统一认证,这样,只需要在一个地方维护用户数据即可,这样简洁可靠的方案,肯定比ansible之类的方案更胜一筹呀。

阅读全文 »

简述

这是适合小型网络(公司办公室或家庭)的”科学上网”方案之一的ipv6方案,此方案是我极同事搞的,我这里主要是学习,然后做过在路由器上封来自于公网ipv6网往小型网络内部的机器(都有正式ipv6地址)的访问。

点评下:
思路灰常灵活,非常适用于办公网、家庭网的“科学上网”方案

所用资源

  1. 路由器
    • 极一(跑openwrt)
    • ip地址(私网):10.0.0.5
    • ip地址(公网):3.3.3.3
  2. 虚机
    • IPV6
    • 2.2.2.2
    • dnscrypt-wrapper(optional)
      • 用来配合 dnscrypt-proxy 直连,破除 dns 污染
  3. DNSCrypt-proxy(optional)
    • 解决某些域名被 dns 污染的问题。
  4. HE的账号
阅读全文 »

Why

在服务器之间倒腾数据是运维工作的常见场景,这个运维的同行们应该都心有戚戚焉吧,比如要把一台服务器上的服务迁移到另外一台服务器上、比如这个服务又新上一台服务器,需要把数据从老服务器上同步过来一份,类似的需求是不是感觉经常碰到呢?

Howto

  1. scp
  2. rsync
  3. sftp
  4. nc
  5. socat
  6. ……
阅读全文 »

缘起

Linux系统下域名解析的配置文件是/etc/resolv.conf,这个大家都知道。估计一般的系统管理员、运维人员都知道在这里面配置上两个或更多的nameserver,以便一个挂掉后还能正常解析域名。但真的情况是这样吗?
我从某次故障说起吧,有一次,线上报大量的dns解析失败,上去看,发现是一台nameserver挂掉了,幸好/etc/resolv.conf中的另外一台没有挂,所以,还不是百分百的解析失败。从逻辑上来讲,这些失败的请求应该会去尝试另外一个(好的)nameserver的,但是重试的场景和策略是什么呢?不得而知。所以我就关注了下/etc/resolv.conf文件的配置问题。

阅读全文 »
0%