K .Keynes ' s 分 享 空 間(Keynes的LOHAS技術學習BLOG...)

DragonSoft Vulnerability Management (弱點掃描管理)By Keynes\

2010 年 09 月 26 日發表留言

實驗目標

於前幾篇N個月前曾介紹Nessus 這套免費弱掃軟體建構測試 http://www.nessus.org/nessus/

目前業界確實不少人用Nessus這套做弱點掃描,比較專業SI可能會用付費弱掃軟體(Retina)由於是產出為原文分析報告

SI工程師比較麻煩是,另需要翻譯成"中文"(比較熟悉語言)一份再交付給企業雇主查驗

(Keynes: 的確是蠻麻煩一件事..當弱掃主機數達百台,翻譯數份弱掃報告真的蠻要命..)

巧遇中華龍網_DVM(弱點管理): 覺得還蠻有趣..拿來小測一下(測試弱點掃描的部份主題)

產品類別：Vulnerability Management (弱點管理)

DVM產品說明摘要出處: http://www.dragonsoft.com.tw/product/dvm.php

DragonSoft Vulnerability Management 遠端安全弱點管理系統是專門為中大型企業的網路安全弱點實施網路安全

漏洞管理的最佳解決方案，包含了安全漏洞掃瞄(Security Scanner) 以及弱點風險管理(Vulnerability Risk Management) 兩大功能，

DragonSoft 遠端安全弱點管理系統是業界領先的網路型安全弱點評估與管理 (Network Vulnerability Assessment and Management) 系統。

它能協助企業快速掌握所有網路存在的安全威脅，並集中管理企業內以及外部主機所存在的安全問題，快速做出風險管理決策，

也是資安以及網管人員不可或缺的管理工具。

DragonSoft 遠端安全弱點管理系統對網路上潛在弱點及安全狀況進行分析與診斷，以找出安全上的弱點，

對 Windows 9x/NT/2000/XP/2003、Sun Solaris、BSD、Linux 及 Router、Switch 等設備提供完整的安全診斷報告，

運用圖形智慧稽核報告採取分工式的管理與修補，確認安全政策生效與執行之外，

並可以依據安全稽核審計員(Auditor) 的需求自訂全自動五十種安全診斷，每一種診斷自動配送到管理者手中與儲存到

後端資料庫，滿足安全產品整合及效率的需求

(一.) 至官網下載測試版DVM(30天試用) :http://www.dragonsoft.com.tw/FreeTool/ ,並進行INSTALL

安裝DVM Client 完成後,將自動更新弱掃資料庫與程式

初次登入DVM要求您輸入授權資訊序號或試用…我們點選[試用]

(二) 建立[安全檢測]: 檔案->新增安全檢測

弱掃對象: CentOS 5.5: 192.168.0.183 (CactiEZ)

政策: DVM定義多條既定政策 (一般檢測),並定義專案名稱為Linux_Host弱點檢測

PS: 除了"一般檢測"外,預先定義好政策

"NT_網站","木馬後門",PortScan,資料庫等弱掃政策(可透過政策->編輯修改政策定義)

接下來我們要新增弱掃的IP主機範圍

下例以新增一台主機做弱點掃描測試 -> 新增IP範圍請點選[確定]

接者我們點選功能列下方[開始] #進行改IP範圍的弱點掃描程序

產出弱掃報告…下圖列出NFS 服務可能遭受Dos攻擊的可能(我們將設想保護NFS存取權限控制)

弱掃也可能評估誤判,若以系統管理者經驗得知實為"誤判"

可於下方點選"如果您認為此弱點為誤判…." Button 排除"誤判辨識"

PS>我們可以由下圖獲得DVM,產出報告與修補建議皆為"中文"且文字敘述相當清楚

這對於工程師分析弱點報告時,減少花費翻譯英文效率

修補安全漏洞建議:

極詳細的修補建議作法分享

DVM 另外設計_分析統計圖表

您可點選主機對應表,風險分佈,弱點類型,已開起通訊Port…頁籤(tab)進階觀察弱點統計資訊

下圖顯示"弱點類型"分析圖

另外我們可以點選 [儲存] 將報告儲存*.dss 格式

(三)編輯符合企業弱掃政策

點選政策->編輯,選擇編輯"政策"也適用於自己定義"政策"

稽核: 勾選符合企業須要稽核條件

通訊Port: 勾選符合企業Server 開通Port Number

Web網站目錄弱點掃描: 將網站存取目錄Add

歸檔於弱點掃描

Norton Online Backup 雲端儲存備份服務_測試By Keynes

2010 年 09 月 22 日發表留言

Norton Online Backup，將協助宏碁用戶透過雲端技術線上備份檔案

http://www.xfastest.com/viewthread.php?tid=32396 <–資料來源

全球領先的諾頓消費性安全軟體供應商賽門鐵克(Nasdaq：SYMC)今天宣佈一項合約：

專精研發創新技術及人性化操作的電腦製造商領導者宏碁 (Acer)

將在全球精選的 Acer系列產品中包含採用雲端技術的諾頓線上備份服務 Norton Online Backup。

用戶可以免費使用30天的諾頓線上備份Norton Online Backup試用版，該試用版提供5GB的線上儲存容量，

可以備份高達5台電腦中的檔案.

諾頓線上備份Norton Online Backup在2009年3月正式發行，為一操作簡單且自動化的雲端線上服務，

可用來儲存數位相片及音樂檔案等重要的數位資料，

方便消費者將檔案儲存在單一位置，並可在任何一個連上網路的電腦中隨時隨地加以存取。

賽門鐵克是雲端線上備份服務的領導廠商，提供超過900萬用戶服務，並儲存超過38 PB的資料。

賽門鐵克諾頓線上備份Norton Online Backup副總裁暨總經理Niall Wall表示：「藉由雲端技術在線上安全地儲存資料，

諾頓線上備份Norton Online Backup可讓消費者輕鬆地保護及分享他們的重要資料，並安全地在電腦之間傳送檔案，

這在轉換到新電腦時很有幫助。宏碁是諾頓的重要夥伴，我們很榮幸可以支援Acer系列產品，藉由提供功能強大的工具，

協助其客戶更全面地保護他們重要的數位資產。」

Keynes 說 : 呦>0<~這則新聞意謂 ASUS WebStorage(全球聯迅) 有敵手囉?而且是跟敵手ACER 正面交鋒,

經KEYNES 測試過 ASUS WebStorage 跟 Norton Online Backup 兩款雲端儲存服務後

發現 ASUS WebStorage vs Norton Online Backup 功能上設計根本不堪一擊哪是Norton Online Backup 對手

(讀者可以自行比較看兩者落差),前陣子也看到新聞報Aspire ONE 受歡迎程度與銷售 > Eee PC …故不是看好ASUS未來發展.

實驗環境

Windows Server 2K8 : 先至 http://www.backup.com/ 申請使測試用帳號,並下載Norton Online Backup 安裝程式

(1.) 安裝 Norton Online Backup 安裝程式

當安裝OK完成後…將進入網頁登入界面->選擇 [ 繼續 ]

依提示申請一個 Norton Online Backup 試用帳號 ->[註冊]

利用申請帳密登入 Norton Online Backup

NOB主控台: 當初次登入NOB時, NOB將自動加入"本機電腦(MIKE)"設定為備援的來源

(在此我們可以比較彈性新增多台PC,集中控管多台PC備份與排程)

訂閱授權的部分, NOB提供註冊後5G儲存空間,30天適用期(比Asus Web Storage寬容許多AWS僅提供1G測試空間)

(2) 我們回到 [首頁] 點選 [設定]/[內容] # 在這裡我們必須設定備份來源或資料夾或檔案,我們可由下圖看到

NOB預設幫我們 "備援路徑" 定位 C:USERS

[檔案類別]: 可以看到NOB預先幫我們定義好備份之副檔名類別(Ex: WAV, JPG…..)

如不有過濾不需要備份的檔案格式,可在檔案類別打勾選項別勾

(3) 接者我們將原先定義好的"備份來源: C:USERS"移除,並自行定義新備份來源: E:AppServ

此外我們由下圖可察知

若"檔案類別"定義的"檔案格式"未存在時,我們可以自行新增需要備份檔案格式 Ex: php , html …..

[檔案類別] : 我們也可從" 檔案類別"中點開得知改類別包含哪些副檔名,以下圖為例: 視訊

[新增進階規則] 我們可以再此定義需要排除的絕對路徑與檔案名稱

以下圖為例: 排除 C:AppServMySQLdataec*.MVI

(4.) [時間] 排程備份設定 #排程分自動,每週 ,每月, 每日幾種

以下圖為例: 指定每日中午12-下午6點,進行備份工作

(5)其他 : 備份速度調整,產品更新,警訊發送..等等

(5) 手動備份測試: 指定備份來源為 E:AppServ

我們在 E:AppServer 建立一個名為 nob.html 檔案作為稍後手動備份測試

我們回到首頁->進行 [手動備份] #下圖可知備份進行中

另外我們可回到[首頁]->查看簡易備份LOG紀錄

[檔案動作] ->[下載檔案]

若我們檢視或下載已被份到Norton Online Backup 檔案備份到哪裡,可點選 [檔案動作] ->[下載檔案]

進入檔案管理中心_我們將可以於此看到已備份於NOB雲端儲存設備資料

(6) [檔案動作]-> [透過郵件傳送檔案連結]

我們可以將檔案透過E-Mail 分享給朋友,並且加上密碼

以下圖為例,我們將nob.html這檔案分享給keynes_0918@so-net.net.tw 這位使用者(指定此路徑存取有效期限)

頁面往下拉

於頁面最底下選擇分享檔案,最後點選[立即傳送電子郵件]即可

Outlook 收信

要求您透過信件網址,進行網站登入,並下載該檔案

開啟瀏覽器_點選信件網址:

要求輸入DownLoad檔案的密碼,已進行登入

列出檔案下載清單_我們可以順利下載該指定的檔案

(7.)[檔案動作] ->[還原檔案]

我們將測試將NOB儲存檔案,Dump 回"本機"桌面上

*由下圖可知:我們一樣可勾選需要還原到本機的檔案->立即還原*

查看Dump檔案_還原程序已OK

[檔案動作] ->[清除檔案]

當我們需要清除指定儲存在NOB上的檔案時可利用此選項-> [立即清除]

歸檔於雲端_Storage

Omnitty簡化大量管理Linux主機與多台主機指令同步執行測試 By Keynes

2010 年 09 月 12 日發表留言

實驗環境與目標:

CentOS 5.5(nodea): 192.168.0.199 安裝Omnitty套件

CentOS 5.5(mail): Postfix Mail主機 192.168.0.197 此LAB為測試多台主機控管之一

CentOS 4.1(cactiez): CactiEZ 流量監測主機: 192.168.0.196 此LAB為測試多台主機控管之一

使用套件:(截止目前官網最新套件)

http://omnitty.sourceforge.net/ #以下2套件可至左列官網網址進行下載

omnitty-0.3.0.tar.gz #omnitty主程式

rote-0.2.8.tar.gz #librote程式

主要為簡化系統管理員大量管理"機海"工具(集中,同步,快速切換多台主機提升管理主機效益)

———————————————————————————————————————-

[Nodea] 登入nodea 主機 , 進行 rote-0.2.8.tar.gz 與 omnitty-0.3.0.tar.gz 安裝與部署

shell> tar zxvf rote-0.2.8.tar.gz

shell> cd rote-0.2.8/

shell> ./configure

shell> make

shell> make install

shell> tar omnitty-0.3.0.tar.gz

shell> cd omnitty-0.3.0/

shell> ./configure

shell> make

shell> make install

[使用 Omnitty 登入 Omnitty 主控台]"卻產生了一長串錯誤" 找不到正確的librote函式庫

"omnitty:error while loading shared libraries.so.0:can not open shared object files: No such file or directory"

[修正找不到librote.so 方法]

以root 身分登入nodea

vi /etc/ld.so.conf

#插入以下此行

/usr/local/lib #:w 存好設定後, 使用ldconfig生效設定

[再次登入Omnitty控制台]

shell> omnitty #鍵入omnitty,快速 F1: 顯示出menu,等會將使用到[ r ]:重新命名主機辨識…等等功能

底層功能列有常用快速鍵如: [F2] [F3] 分別為切換主機上下快速鍵

[F4] 為標示特定主機

[F5] 新增主機至目錄清單

[F6] 刪除該台主機於清單中

[F7] 廣播模式,我可以先標示[F4]特定主機,隨後使用[F7]進行廣播

將可將Commad 操作同步至被標示主機(同步執行Command)

[F5]: 利用[F5] 開始新增需要控管主機於左側清單 #下圖為mail 主機192.168.0.197

當新增左方清單後,我們可以如同SSH登入主機一樣進行主機管理

*由於nodea 與 mail 已經建立 ssh 登入無須驗證密碼即可登入故登入時無須鍵入登入密碼*

利用[r] 更改主機辨識名稱由於該台主機負責mail:

我們更改為postfix(您可隨意更改,不必跟隨本人更改)

接者新增第二台主機CactiEZ(192.168.0.196) #由於CactiEZ並未設定登入時,無驗證密碼設置故新增時需要驗證密碼

#下圖可見,目前已經新增兩台主機(postfix & cactiez),讀者可以自行鍵入[F2]或[F3]切換測試操作

[廣播模式mcast: Command 同步測試]

[F4]: 接者我們利用[F4] 標記 Machine 清單中: Postfix 與 CactiEZ 兩台主機(標示完成主機名稱前方會顯示*)

接者按下[F7] 進入廣播模式 (進入廣播模式後視窗右下方彈出"!!!MULTCAST MOD !!!")

進入廣播模式後,我們試者切換到cactiez 此台主機操作介面下發送 "hostname" 此commad 測試

(當下完command後即刻切換到postfix 操作介面)

接者切換到Postfix 主機操作介面來觀看, "hostname" 是否亦同步到"Postfix"同步執行

(下圖已成功廣播command到被Tag主機群並執行)

[編輯常用主機清單hostgroup.txt]

我們可以將需要長期登入管理主機群建立成 hostgroup.txt 清單

爾後當我們要利用Omnitty管理此一群主機時,無須利用[F5]一筆一筆苦力鍵入..

vi hostgroup.txt #下圖需搭配修改hostname,不然一般後方需修改成IP address

當清單建置完成後,我們利用Omnitty 再次登入Omnitty主控介面

請用[F5] ADD: @hostgroup.txt # 格式輸入為@hostgroup.txt ,此步驟可將hostgroup.txt清單主機群匯入Machine 清單

*建議各台主機預先完成彼此SSH登入時無須金鑰驗證設置*

LAB實作參考技術資料

網管人2010/56期

歸檔於 Linux_平台外掛

MRTG流量監控_"進階實務" (CPU & MEM & 網路設備監測)By Keynes

2010 年 08 月 28 日發表留言

實驗說明

Keynes (本站長),於N個月前曾組態過MRTG 流量監控運行環境(CentOS 5.3 版本),

有興趣人可以翻回去找此篇.

繼同一團隊開發Cacti 流量監控軟體推後,延展性大大勝於MRTG(雖然效能佔用不少)

本人還是習慣使用Cacti 這套監控企業內部Router Switch 或 Server (rrdtool應用發展的很優)

But 像一般知名IDC還是習慣使用MRTG做客戶機器流量監測…於是Keynes 重拾MRTG

也同時整理一份"MRTG快速架設攻略" : 有興趣人可連結以下參考(以為日後工作需要做Note備忘)

http://cid-ca40615c4610a13b.office.live.com/self.aspx/%e6%b5%81%e9%87%8f%e7%b5%b1%e8%a8%88%e5%9c%96%e8%a1%a8/MRTG%e6%b5%81%e9%87%8f/MRTG%e6%87%89%e7%94%a8%e5%a4%a7%e5%bd%99%e6%95%b4By%20Keynes.txt

實驗環境

CentOS 5.5 (nodea.shengyao.idv.tw): 擔任MRTG Monitor Server,IP:192.168.0.111(且已經初始化安裝MRTG了)

Fedora 12 (nodec.shengyao.idv.tw): 被MRTG監控的測試主機 IP:192.168.0.193

Cisco 3600 Serial: 被MRTG監控的測試設備為一台Router, e 0/0 IP:192.168.0.200

執行要點

執行主機的流量監測: 偵測局網Linux 主機: Fedora 12

執行設備的流量監測: 偵測網路設備流量: Cisco 3600 Router

最後安裝外掛模組搭配Shell Script 監控主機 CPU與RAM 使用率:

1.[ 建立本機nodea.shengyao.idv.tw and Fedora 12:nodec.shengyao.idv.tw 流量監控 ] : 下圖為Fedora 12

vi /etc/snmp/snmpd.conf #若無請安裝net-snmp套件

插入一筆,修改完成儲存後請重新啟動snmp程式 shell> service snmpd restart

view systemview included .1.3.6.1.2.1.2

[MRTG Server: nodea]

接者MRTG Server 要產生偵測本機host與局網主機fedora12 初始化設定並寫入/etc/mrtg/mrtg.cfg 此檔案中

> cfgmaker public@192.168.0.111 > /etc/mrtg/mrtg.cfg #產生MRTG Server 初始化設定檔,並寫入 /etc/mrtg/mrtg.cfg

> cfgmaker public@192.168.0.193 >> /etc/mrtg/mrtg.cfg #產生Fedora 12初始化設定檔,並寫入 /etc/mrtg/mrtg.cfg

*Attention: >> 記住增加多筆主機偵測,請記得用>>不然原先設定好檔案將被覆蓋

修改 /etc/mrtg/mrtg.cfg 設定檔

#MRTG Server 空白處加入以下幾行

WorkDir: /var/www/mrtg #產生繪圖與網頁相關檔案目錄路徑

Refresh: 300 #網頁設定每300秒更新一次

Interval: 10 #每10秒讀取設定檔

Language: big5 #語系big 5

Options[ _ ]: growright #由右邊畫起

#Fedora 12 : 找到 " public@192.168.0.193 " 相關設定區塊資訊,往下設定

##EnableIPv6: no #停用IPV6

Options[192.168.0.193]: growright #加入此行,將IP設定正確

[修改偵測網頁設定檔Title,網頁標題…etc ] :

下圖為 fedora 12 host 網頁標題,顯示資訊修改(請也將MRTG 網頁訊息更改您想show 的形式)

接者我們要另利用MRTG進行補獲本機與Fedora 12 此2台host 流量使用狀況,

並輸出網頁與繪圖資料至 /var/www/mrtg 目錄底下

> env LANG=C mrtg /etc/mrtg/mrtg.cfg #連續執行3次直到任一訊息沒有出現為止

[為各台主機建立索引頁面查詢]: 為方便Admin 利用一個頁面即可知曉哪台主機,流量狀況,與點閱

> indexmaker /etc/mrtg/mrtg.cfg –output=/var/www/mrtg/index.html

[現在登入MRTG 瀏覽介面: http://192.168.0.111/mrtg]

登入首頁後,我們可以看到左上角: MRTG_192.168.0.111(MRTG Serevr: 本機流量監測)

右下角: Fedora 12 Monitor by Keynes_192.168.0.193(局網Fedora12主機)

*已成功建立Index 索引頁面供使用者方便點選與瀏覽各台主機監控狀況*

[測試:從索引頁面點選MRTG Server 此台主機進入觀察進階流量統計訊息]

MRTG: 依每週,每月,每五分,每年…進行流量統計)

2.[ 建立Cisco 3600 系列Router 流量監控 ] :

Cisco Switch 需建立 Port Mirror 將VLAN所有流量導向指定Port 供 MRTG Server 捕獲流量訊息

今使用 Cisco 3600 Router 做流量監測 : 僅需啟用SNMP 功能即可讓MRTG Server 透過snmp協定採集設備上流量統計訊息

> int e 0/0

> ip add 192.168.0.200 255.255.255.0 #設定MRTG接收端口IP

> no shut

>exit

> access-list 78 permit 192.168.0.111

>snmp-server community public RO 78 #啟用snmp-server,並且設定唯讀,且遵循 access-list 78 規範

> cfgmaker public@192.168.0.200 >> /etc/mrtg/mrtg.cfg #產生Cisco 3600 路由器初始化設定檔,並寫入 /etc/mrtg/mrtg.cfg

*Attention: >> 記住增加多筆主機偵測,請記得用>>不然原先設定好檔案將被覆蓋

同前幾步修改產生Cisco 3600 路由器MRTG網頁設定

vi /etc/mrtg/mrtg.cfg

# Cisco 3600 : 找到 " public@192.168.0.200 " 相關設定區塊資訊,往下設定

##EnableIPv6: no #停用IPV6

Options[192.168.0.200]: growright #加入此行,將IP設定正確

*下圖為Title 相關訊息修改*

[接者同樣地,產生流量統計網頁資料}

> env LANG=C mrtg /etc/mrtg/mrtg.cfg #連續執行3次直到任一訊息沒有出現為止

> indexmaker /etc/mrtg/mrtg.cfg –output=/var/www/mrtg/index.html #建立網頁索引

*由下圖我們可以查得,MRTG產生網頁相關資料* /var/www/mrtg

[驗證: 登入 http://192.168.0.111/mrtg] : 驗證MRTG是否已偵測到Cisco 3600 Router 流量

PS> 我們已將上一步:監測Fedora12 相關資料刪除

請讀者觀看右下角圖表, MRTG已成功監測到路由器流量(流量有在跑)

[定期排程執行MRTG]

由於我們使用發行版MRTG (2.1.4),預設安裝MRTG完成後,已經設定好排程執行MRTG

[3.]:[MRTG整合主機型CPU使用率監測]

需安裝相關套件

yum -y install sysstat

vi /usr/local/bin/dcpu.sh #編輯scripts 內容擷取主機cpu訊息,並儲存

#!/bin/bash

     cpuusr=`/usr/bin/sar -u 1 3 | grep Average | awk ‘{print $3}’`
     cpusys=`/usr/bin/sar -u 1 3 | grep Average | awk ‘{print $5}’`
     UPtime=`/usr/bin/uptime | awk ‘{print $3 " " $4 " " $5}’`

     echo $cpuusr
     echo $cpusys
     echo $UPtime
     echo nodea.shengyao.idv.tw      #更改hostname

> chmod 755 /usr/local/bin/dcpu.sh #權限修改可執行與讀取

測試 dcpu.sh 此script 是否可行

> ./dcpu.sh #若ok應如下圖

接者編輯 /etc/mrtg/mrtg.cfg 插入以下幾筆資料,並儲存(建議Title使用英文敘述)

WorkDir: /var/www/mrtg                                          #請指定相對應路逕
Language: big5
Target[localhost]: `/usr/local/bin/dcpu.sh`                  #請指定檔案相對應路逕
MaxBytes[localhost]: 100
Options[localhost]: gauge, nopercent, growright
YLegend[localhost]: CPU loading (%)
  ShortLegend[localhost]: %
  LegendO[localhost]:   USR_Load;
LegendI[localhost]:   SYSTEM_Load;
Title[localhost]: CPU ?t???v
   PageTop[localhost]: <H1>Keyne_CPU_Status</H1>
<TABLE>
  <TR><TD>System:</TD>     <TD>CentOS 5.5 By Keynes</TD></TR>
</TABLE>

[接者同樣地,產生流量統計網頁資料]

> env LANG=C mrtg /etc/mrtg/mrtg.cfg #連續執行3次直到任一訊息沒有出現為止

> indexmaker /etc/mrtg/mrtg.cfg –output=/var/www/mrtg/index.html #建立網頁索引

[驗證:登入網頁查看CPU外掛MOD是否已順利運行]

*MRTG成功列出了,最大負載,平均負載與目前CPU負載值*

[4.]:[MRTG整合主機型Memory使用率監測]

監控MEM一樣需要搭配Script 擷取記憶體統計資料供MRTG Server 使用

vi /usr/local/bin/men.sh

#!/bin/bash

echo `free -bt | grep buffers/cache | awk ‘{print $3}’`

echo `free -bt | grep buffers/cache | awk ‘{print $4}’`

echo `/usr/bin/uptime | awk ‘{print $3 " " $4 " " $5}’`

echo nodea.shengyao.idv.tw #修改成自己hostname

> chmod 755 /usr/local/bin/dcpu.sh #權限修改可執行與讀取

然候,編輯 /etc/mrtg/mrtg.cfg

#Memory

WorkDir: /var/www/mrtg #修改網頁輸出的目錄

Language: big5

Refresh: 300

Target[mem]: `/usr/local/bin/men.sh` #修改上述的檔案路徑

MaxBytes[mem]: 665536000

Title[mem]: memory_status

PageTop[mem]: <H1>memory_status </H1>

Options[mem]: gauge,growright

YLegend[mem]: Bytes

ShortLegend[mem]: B

Legend1[mem]: Free real memory

Legend2[mem]: Free swap memory

Legend3[mem]: Maximal 5 Minute Memory In Use

Legend4[mem]: Maximal 5 Minute Active Memory

LegendI[mem]: Used:

LegendO[mem]: Buffers + Cache:

[接者同樣地,產生流量統計網頁資料]

> env LANG=C mrtg /etc/mrtg/mrtg.cfg #連續執行3次直到任一訊息沒有出現為止

> indexmaker /etc/mrtg/mrtg.cfg –output=/var/www/mrtg/index.html #建立網頁索引

[驗證:登入網頁查看MEM外掛MOD是否已順利運行]

*MRTG成功列出了,使用者&系統本身佔用MEM%與目前MEM負載值*

LAB操作參考資料:

鳥哥的網站 & Linux 網路安全與監控馬上就能用處方籤/旗標

結語: 本人還是習慣用Cacti 事半功倍….Keynes寫於2010/08/29

歸檔於 Linux_平台外掛

Cisco Layer 3 Switch VLAN, Spanning-Tree , EtherCahnnel_第一彈 By Keynes

2010 年 08 月 22 日發表留言

[實驗目標]

模擬企業規劃VLAN環境設計,使用平衡樹機制(Spanning-Tree)設計出避免迴路

及替代備援方案,核心層使用Cisco Layer 3 Switch 做VLAN 轉送(建立SVI)與Routing

並且將連結核心層的兩個 fa 0/23 f0/24(Trunk Mode)界面綁成EtherChannel (聚合鏈路)

使其傳輸量可以達200MB(原預設但一FastInterface 傳輸為100 mb) 亦可達具到Trunk備援功效

接者於SWA Switch 上部署VTP 機制(Server Mode),並於SWB ,SWC設定為Client mode 接收

由Server mode 宣傳訊息(Ex:當Server端新增與修改VLAN時亦同步Client Vlan 設置)將大大節省設置各台SWITCH

建置VLAN所花費的時間

VLAN 的規劃

於SWA SWB SWC 上統一規劃如下

將 Fa 0/1 – Fa 0/5 : 配置為VLAN 10 #PC1 串接SWB 第 Fa 0/1 port

將 Fa 0/6 – Fa 0/10 : 配置為VLAN 20 #PC2 串接SWC 第 Fa 0/6 port

將 Fa 11 – Fa 0/20 : 配置為VLAN30 #PC3 串接SWA 第 Fa 0/11 port

[ 拓樸如下 ]: Keynes 設計By 2010/08/22 (2010/08/25訂正拓樸圖數據一次)

[SWA]

建立VLAN 10 , 20 , 30 ,並將相關access port 配置於相對vlan

>vlan 10

> exit

>vlan 20

>exit

>vlan 30

> exit

> int range fa 0/1 – 0/5 #將 f 0/1 – 0/5宣告回access 並加入vlan 10

> switchport mode access

> switchport access vlan 10

>int range fa 0/6 – 0/10 #將 f 0/6 – 0/10宣告回access 並加入vlan 20

>switchport mode access

>switchport access vlan 20

>int range fa 0/11 – 0/20 #將 f 0/11 – 0/20宣告回access 並加入vlan 30

>switchport mode access

>switchport access vlan 20

>show vlan #我們將可得到如下圖結果

SWA [於Trunk 上設計 EtherChnnel]

> int range fa 0/23 – 0/24

> switchport mode trunk

> channel-group 1 mode active

*以上設定ok後_我們亦將串接另一台core switch 做一樣設定* 設計ok後將產生Port-Channel 1界面

[VTP : VLAN Trunk Protocol]

SWA: (VTP Server) , 此時Swa

我們可設計如下

>vtp domain keynes

>vtp mode server password cisco

>vtp version 2

SWB & SWC #完成以下設定ok後再將網路線與SWA串接

>vtp domain keynes

>vtp mode client password cisco

>vtp version 2

> show vtp status #下圖(SWB)可以查得vtp相關訊息,若Server 端VLAN訊息有更動,Configuration Revision +1

[SWA]: VTP 環境已設定OK後,我們在SWA這台SW(VTP Server ),新增一個VLAN 80 做測試

>vlan 80 #SWA 已新增vlan 80

>show vlan

切換到SWC

>show vlan #於Server端新增vlan 80 已被swc 接受與同步

>show vtp status #Revison 已+1(變成7)

[Spanning-Tree選舉] : 手動選舉誰當要Root : 預設是32768+Mac address 總值最小為Root

本Lab 原先Root 為SWC: 32768+ 0001.43D8.9AD1

接下來我們將更動VLAN Priority 將SWA Priority 降低為 4096 成為Root 測試

> spanning-tree vlan 10,20,30,80 priority 4096

>show spanning-tree #成為Root ,且串接的Port皆為Desg,且都FWD狀態

[Spanning-Tree 備援] : 目前BLK 被Block 界面落在 SWB Fa 0/23

而目前PC1 到 SWA走向為 1. PC1 –> SWB(Fa 0/21 FWD) -> SWA

現在我們故意讓SWA Fa 0/21 (FWD) Shutdown

> show spanning-tree

# swb: 我們可以察得原本被BLK的 Fa 0/23 開始 Blocked->Listening ->Learning -> Forwording

費時五十秒..下圖為Learning

Fa 0/23 已經呈FWD 轉送狀態接替原Fa 0/21線路傳輸動作

SWA走向改走替代路徑為 1. PC1 –> SWB(Fa 0/23 FWD) -> SWA

[Core Switch Layer 3 繞送]:

Cisco 3560 為第三層SW,可替代Router 執行路由(Routing)亦兼具第二層SW(建立VLAN)功能

我們將此台Layer 3 SW 建立SVI 建立3個虛擬界面(10,20,30),可讓PC 主機將Gateway 指向相對應SVI (依據不同VLAN)

>int vlan 10 #建立SVI 10 ,20,30

>exit

>int vlan 20

>exit

>int vlan 30

>exit

>vlan 10 #建立VLAN 10 , 20, 30

>exit

>vlan 20

>exit

>vlan30

>exit

[配置EtherChannel 與 Trunk]

>int range fa 0/23 – 0/24

> channel-group 1 active

>switchport trunk encapsulation dot1q #(封裝為dot1q)

> switchport mode trunk

> show int trunk #查看TRUNK資訊,可用VTP Pruing 進行vlan 宣傳刪減,節省不必要傳輸量佔用頻寬

當上述一且配置就緒後,接者我們著手最後測試: 利用PC 1 host 去Ping 不同VLAN IP已驗證Core Switch 可為主機轉送成功?

* 在此之前請將PC1 , PC2 ,PC3 依照上述拓僕圖,將IP設定OK

PC1: 192.168.10.1/24 ping 192.168.20.1

192.168.10.1/24 ping 192.168.30.1 #正確設定無誤應如下圖Ping通各節點: 下圖為PC1

(測試 Layer 3 Core Switch 轉送不同VLAN大成功)

歸檔於 CISCO

Linux Rsync Server 同步Client 端主機設計 By Keynes

2010 年 08 月 18 日發表留言

*實驗環境*

Rsync Server (CentOS 5.5: nodea): 同步資料夾 /data

假設 Rsync Server 為遊戲企業散發新的資料檔至其他同款N台伺服器的 Primary Sync Distribute Server

Rsync Clinet (CentOS 5.5: mail): 同步資料夾 /data

Rsync Clinet : 為接收 Rsymc Server 資料同步角色(Exsample: 適用同款遊戲架構 Game Server 改版時相關檔案同步更新 )

*Rsync 是Lnux 很好同步工具,尤其是當建立Rsync Server 時可以 1對多透過rsync同步多台client 主機*

(1.) Rsync Server (nodea:192.168.0.111): [建立SSH 驗證登入無須密碼 ]

*主要為了讓client 主機於進行rsync同步時無須詢問nodea 系統帳號登入密碼*

shll> ssh-keygen -t rsa #切勿輸入密碼,利用rsa加密方式

接者我們將上一步產生於 /root/.ssh/id_rsa.pub 此檔利用scp 將該檔案傳輸自 mail(192.168.0.197) 主機的 /root/.ssh/ 目錄下

並更名為authorized_keys

利用nodea(Rsync Server) SSH 登入 mail(Rsync Client)驗證是否已可無密碼登入mail 此台主機(下圖已測試OK)

(2.) 編輯/etc/rsyncd.conf(Rsync Server 主要設定檔): 加入以下

[server_update] #module name

comment = sync data to mail #註解

auth user = keynes # Rsync Server 採用帳號密碼驗證client 同步,定義一rsync 帳號

path = /data #定義 Rsync Server 使用哪個資料夾藉此與client 端進行同步,填入資料夾路徑

secrets file = /etc/rsyncd.secrets #指定 Rsync Server 驗證帳號與密碼

vi /etc/rsyncd.secrets #編輯rsync server 驗證密碼檔案格式: acount:passwd

keynes:12345 #修改完成後存檔

shell> chmod 600 /etc/rsyncd.secrets #對明碼之密碼檔案做保護

接者請利用scp 將 /etc/rsyncd.secrets copy傳輸至 root@192.168.0.197:/etc/

shell>scp /etc/rsyncd.secrets root@192.168.0.197:/etc/ #此step 貼圖省略

修改完成後請_重新啟動xinetd

/etc/init.d/xinetd restart

(3.) [ mail(Rsync Client)]測試同步

登入 Rsync Client : 初步測試同步

shell> rsync -avz root@192.168.0.111:server_update /data

#:server_update : 為我們在rsyncd.conf 中定義module name ,藉此區隔多組同步組態

參數 a: –archive archive mode, equivalent to -rlptgoD

v: 顯示同步執行過程

z: –compress compress file data

我們轉換至nodea(Rsync Server) /data 建立名為keynes 檔案

shell> echo ‘hello’ > /data/keynes

切換 mail : 手動再進行同步一次(下圖已同步成功)

寫入crontab 排程執行rsync

vi /usr/local/bin/update.sh

#下圖參數多了–delete : 若rsync server 刪除某同步資料夾檔案,當rsync 下次同步時將同步刪除該檔案

開機自動啟動rsync

shell> chkconfig rsync on

crontab -e #Client 端掛入排程定期執行與Rsync 每隔三十分鐘同步一次

下圖圍測試 –delete 參數,測試OK展示

歸檔於 Linux_平台外掛

Windows Server 2008 AD 整合Linux VSFTP 異質平台服務測試 By Keynes

2010 年 08 月 07 日發表留言

實驗環境

Windows Server 2008 AD : mike.lohas.com , IP: 192.168.0.199

CentOS 5.5(winbind) : 利用samba,winbind向Windows Server 2008 AD 帳號驗證Kerbros

實驗目標

將 CentOS 5.5(主機名稱:winbind) 加入AD網域,並安裝VSFTP套件,我們將利用網域帳號

測試登入與存取VSFTPD是否可能(若OK,日後僅需在AD上建立統一帳號管理異質平台服務)

益處: 減少網路架構中分散帳號管理不易,統一集中由AD管理Server服務帳號即可

(1.) vi /etc/hosts

寫入 winbind 對應IP & mike.lohas.com 對應IP #AD Domain & IP

(1.) vi /etc/samba/smb.conf

       workgroup = lohas                 # lohas.com 最左邊"lohas"
      server string = Samba Server Version %v
      netbios name = winbind                   #填入centos 5.5 這台 netbios
      security = ads                                  #填入ads 網域驗證
      password server = mike.lohas.com  #填入AD Server FQDN
      winbind separator = +
      idmap uid = 10000-20000               #填入網域帳戶uid & gid 起與終範圍
      idmap gid = 10000-20000
      winbind enum users = yes
      winbind enum groups = yes
      nt acl support = yes                         #nt acl support
      winbind cache time = 0
      template shell = /bin/bash
      template homedir = /home/%U      #網域的home目錄路徑
      winbind use default domain = yes

(2.) vi /etc/krb5.conf #修改的部分,請參照反綠字體,注意大小寫

[logging]

default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

   [libdefaults]
    default_realm = LOHAS.COM       #修改為LOHAS.COM
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    forwardable = yes

    [realms]                                                 #修改為LOHAS.COM
    LOHAS.COM = {
    kdc = mike.lohas.com:88                       #kdc=mike.lohas.com:88
    admin_server = mike.lohas.com:749     #admin_server=mike.lohas.com:88
    default_domain = lohas.com                  #default_domain = lohas.com
   }

   [domain_realm]
   .example.com = EXAMPLE.COM
   example.com = LOHAS.COM

……..

(3.) vi /var/kerberos/krb5kdc/kdc.conf #修改的部分請參照綠色字體

[realms]

      LOHAS.COM = {
      #master_key_type = des3-hmac-sha1
     acl_file = /var/kerberos/krb5kdc/kadm5.acl
      ……………..

}

(4.) 測試samba與kdc溝通是否OK

shell> kinit administrator@LOHAS.COM #驗證AD登入,若無出現錯誤訊息,恭喜您已往前一步

(5.) 讓CentOS 5.5 加入 AD

shell> service smb restart

shell> net rpc join -U administrator #加入AD已OK

我們回到Windows AD使用者與電腦來檢視: 下圖可看出Winbind (CentOS 5.5成功加入Windosw Server 2008 AD)

(6.) vi /etc/nsswitch.conf #修改Linux 驗證使用者帳號與密碼方式為winbind

passwd: files winbind

shadow: files winbind

group: files winbind

(7.) 於 CentOS 5.5 利用wbinfo -u 檢視是否已成功截取到AD 帳號資料(已成功截取)

我們也可以利用 getent passwd 查看比較符合linux 帳號呈現方式(網域帳號UID建立皆是從10000 開始建立)

shell> getent passwd

(8.) 執行 authconfig-tui 並將 Use Winbind 與 Use Winbind Authentication 勾選即可

(9.) 測試VSFTPD 服務測試是否可由VSFTPD 帳號經過AD 帳戶與密碼驗證,最後並可存取VSFTPD服務

vi /etc/pam.d/vsftpd

加入以下兩行

        auth       sufficient   pam_winbind.so

        account    sufficient   pam_winbind.so

修改 vsftpd.conf 讓網域使用者僅可在自家目錄存取

vi /etc/vsftpd/vsftpd.conf

插入以下此行,修改完成請重啟

chroot_local_user=YES

編寫 mkhome.awk , 自動擷取網域帳戶,並建立相對應目錄(許多Linux Server 服務使用到/home目錄vsftpd亦不例外)

#!/bin/awk

BEGIN{

FS=":"

uidmin=10000
uidmax=20000

}

{

if ( $3 >= uidmin && $3 <= uidmax) {

print "nmake directory " $6 "nchown " $3 "." $4 " " $6

system( "mkdir -p " $6 "; chown " $3 "." $4 " " $6 )

}
}

編寫mkhome.awk 後執行以下Command

shell> getent password | awk -f mkhome.awk #下圖已可詳見建立目錄動作

shell> ls -al /home #網域帳戶對應加目錄已建設OK

最後利用網域帳戶keynes 登入VSFTPD ,並測試檔案上傳

測試上傳 topoto.vsd 檔案已成功,Windows Server 2008 AD 帳號驗證整合Linux 服務已大成功

LAB 參考資料

恆逸資訊Linux 部分上課筆記

Linux 與windows 共舞異質平台整合方案/旗標/施威銘工作室

歸檔於 Windows Server 2008

Linux-HA_HeartBeat 建立Web Site 叢集容錯移轉服務測試By Keynes

2010 年 08 月 01 日發表留言

實驗目標

在網路架構中,我們建立兩台WEB Server nodea(master httpd ) , mail(slave httpd)

#當nodea 掛點後偵測數秒(確定本端主機Dead)將httpd 服務自動移轉到mail此台主機接管作業

httpd 叢集資源IP定為: 192.168.0.180

nodea.shengyao.idv.tw:

網卡配置

eth1: 192.168.248.28

eth0:192.168.0.111(HeartBeat)

eth2:192.168.8.10(Connect NFS Server interface)

mail.shengyao.idv.tw:

網卡配置

eth1: 192.168.248.29

eth0:192.168.0.197(HeartBeat)

eth2:192.168.8.11(Connect NFS Server interface)

openfiler.shengyao.idv.tw:

NFS Server: 網卡位址: 192.168.8.183

分享出一網路磁碟區(NFS)供上述兩台Server 存取

先將兩台Server 掛載此NFS網路磁區到本地端/web目錄上,並建立子目錄html

,並將彼此網頁資料(請修改httpd.conf 中 Document root 對應路徑為/web/html)

且設定集中存放於此NFS網路磁區(此磁區已做Raid10)

——————————————-(Start)————————————————

(1.) openfiler(192.168.8.183): 已規劃15G空間供兩台Web Site 存取測試用

(2.) 修改/etc/hosts 對應檔: 下圖以 nodea.shengyao.idv.tw 修改為例

添加兩筆資料 #修改完成後到mail 主機下的 /etc/hosts 也加入以下兩筆資料並存檔

192.168.0.111 nodea.shengyao.idv.tw

192.168.0.197 mail.shengyao.idv.tw

(3.) 掛載NFS 磁區:( 192.168.8.183): 下圖以 nodea.shengyao.idv.tw 修改為例

#修改完成後轉換到mail 主機下也進行同樣掛載NFS動作

mount -t nfs 192.168.8.183:/mnt/keynes/website/nfs /web

於/web 目錄下建立一個名為html 資料夾(供網頁存放), 並將存取權限修改為apache身份可存取的權限

[編輯 Apache設定檔 ]

vi /etc/httpd/config/httpd.conf #將Document Root 路徑修改為 /web/html ,修改完成請重新啟動httpd 使設定生效

(4.) 安裝HeartBeat: 本範例使用前篇blog 介紹過的EPEL Repo 中套件進行網路下載INSTALL(mail 主機也請記得安裝heartbeat)

SHELL> yum -y install heartbeat

尋找安裝後的範例設定檔路徑

預設位於

/usr/share/doc/heartbeat-2.1.4/

cp /usr/share/doc/heartbeat-2.1.4/ * /etc/ha.d/ #將底下相關範例檔copy 到 /etc/ha.d 目錄下

(5.) 編輯HeartBeat 設定檔 ha.cf:

vi /etc/ha.d/ha.cf

respawn hacluster /usr/lib/heartbeat/ipfail #ipfail 會偵測叢集Group成員是否網路運行正常,若不正常則命令s

lave node 接管master node 服務繼續運作

ping 192.168.x.x #設定ping ip ,hearbeat 利用此ip 做ping 測試

node nodea.shengyao.idv.tw

node mail.shengyao.idv.tw #將群組成員hostname對應名稱加入,需注意符合 /etc/hosts 內對應設定解析名稱

auto fileback on # 是否設定當master node 恢復正常運作時是否將 slave node服務運作交回 master node 接管運作

udpport 694 #預設heartbeat 使用port號

bcast eth0 #設定發收廣播封包網路卡Device,可指定多張網卡

deadtime 30 #設定偵測對方網卡網路連線無效秒數,建議不要設定太短

debugfile /var/log/ha-debug # 啟用ha-debug 記錄

logfile /var/log/ha-log # 啟用ha-log記錄

keepalive 2 #偵測對方是否正常每了秒發送一次

apiauth ipfail gid=haclient uid=hacluster #最後請將此行前方註解除去

(6.) 編輯認證設定檔authkeys:

vi /etc/ha.d/authkeys #將crc 前方註解除掉並存檔,並將auth 參數指定為1

[修改 authkeys 權限]

chmod 600 /etc/ha.d/autheys # owner: wr- — —

(7.) 編輯叢集資源設定檔haresources:

vi /etc/ha.d/haresources #加入叢集資源

nodea.shengyao.idv.tw 192.168.0.180 httpd #設定 master node ,叢集IP ,叢集服務

(8.) 將nodea 已經設定好的檔案利用scp 傳送到mail /etc/ 底下 (這樣就無需另外在設定mail 相關heartneat檔案)

scp -r /etc/ha.d/ root@192.168.0.197:/etc/

(9.) heartbeat 組態檔案皆設定就位:

依序啟動heartbeat 服務 1. nodea -> 2. mail

> service heartbeat start

> chkconfig heartbeat on

於nodea.shengyao.idv.tw 此Web Server 上我們下 ifconfig 查看網卡組態

下圖中可得知 eth0 底下多出一張網卡 eth 0:0 叢集IP為192.168.0.180

#當Web Site 運作正常時,此虛擬IP會掛載Master node

而當Master Dead 後, 此IP將會轉移附掛在SLAVE node 繼續叢集運作

tail -f /var/log/ha-log #當heartbeat啟動服務後我們也可查驗log檔案查看是否heartbeat 運作正常

HeartBeat 網頁Website 叢集IP運行測試

vi /web/html/index.html

This Nodea_TEST Heartbeat! By Keynes! #編輯index.html 加入任意文字測試

Shell> service httpd restart

接著打開瀏覽器: http://192.168.0.180/ #測試叢集IP是否正常(下圖可見叢集IP已正常運作)

(10.) heartbeat 容錯轉移服務測試:

故意先將 node.shengyao.idv.tw 此台網卡服務全斷掉

SHELL> service network stop

過數秒後,我們登入 mail.shengyao.idv.tw (slave node)

shell> ifconfig

下圖可得知原來附掛在 master node 的 eth0:0 192.168.0.180 現在已成功移轉至slave node 運作

而由於我們先前在網路架構設計上,位nodea與mail 兩台website 加上了外掛NFS 網路磁碟(供Apache存取),無疑多了一層保障

mail.shengyao.idv.tw: 底下查看log

shell> tail -f /var/log/ha-log #下圖訊息可以查看到偵測nodea.shengyao.idv.tw已死,並交由mail.shengyao.idv.tw 接管運作

(11.) 測試hearbeat standby 與 takover 兩隻好用的程式

shell> service network start #登入nodea,並將network 服務ENABLE,使其重新接管Master Node 位址

由下圖可得知nodea 已成功接管了slave 繼續運作

在各節點正常運作情況下若是企業遊戲服務商,需要更新線上遊戲程式或停機維護(假設是nodea.shengyao.idv.tw)

我們可以利用hb_standby這隻指令讓 master node 暫居 slave 角色方便停機維護 , 讓mail.shengyao.idv.tw 接續日常運作

shell> /use/lib/heartbeat/hb_standby #於master node 下此COMMOND,轉換成備援角色

shell> /use/lib/heartbeat/hb_takover #當停機維護結束時於master node 下此command,取回主要接管slave運作

歸檔於 Linux_平台外掛

Windows AD System State 備份與授權還原 By KEYNES

2010 年 07 月 24 日發表留言

實驗目標

使用Windows Server Backup 工具wbadmin 工具進行AD目錄備份,

當需還原網域控制站時需重新開機按F8->進入"目錄還原模式"以進行後續AD還原步驟

當AD 網域架構內設計存在N台網域控制台,欲進行AD目錄的還原時,需使用"授權還原"

此動作是為防止已還原網域控制台被具較新版本的網域站台被覆蓋過去(還原失效)

*Windows Server 2003 系統內仍可使用GUI界面進行System State 備份 , 當

Windows Server 2008 推出後,僅能使用command進行system state備份,而取消以往習慣使用的GUI界面來備份system state*

{ 實驗環境}

DC1: mike.lohas.com #Windows Server 2008

DC2: dc2.lohas.com #Windows Server 2008

——————————————————————————–

(1.) 登入Windows Server 2008 : 新增功能:

選取: Windows Server Backup 功能 #進行備份工具的安裝

(2.) : 利用wbadmin 工具將 sysetem state 備份至第二顆HD : G #預設2008系統規範: 備份選擇點不可與AD資料庫位於同一顆分割區

故將其備份至 G

執行: wbadmin start systemstate -backuptarget:g: #關於參數使用法可打"?"做使用查詢

(3.) : 於上一步,我們已成功將Sysetm State備份到 : G

接下來我們將故意砍除某一AD物件(主要為測後續授權還原): 砍除 CN=hope,OU=IT,DC=lohas,DC=com此物件

(4) : 接者我們將mike.lohas.com 此網域站Reboot 並按下F8 進入目錄還原模式 : 當入目錄還原模式帳號格式 .Administrator

進入命令模式(先進行一次非授權還原):

wbadmin get versions -backuptarget:g: #利用 get version 查尋位於g: 備份檔案名稱(請記起來)

格式: 24/07/2010-18:15

接者利用 systemstaterecovery 搭配-version 參數進行System State 非授權還原

wbadmin start systemstaterecovery -versions:24/07/2010-18:15 -backuptarget:g:

*如下圖所示非授權還原已OK,請勿重開機,接下來要繼續進行"授權還原"*

(4) :[授權還原] :

>ntdsutil

>activate instance ntds #將AD資料庫設定為使用中

> authoritative restore #授權還原

>restore object cn=hope ,ou=IT,dc=lohas,dc=com #授權還原某物件 Ex: user: hope,亦可針對某一OU授權還原

系統授權整個AD 資料庫可下

> restore database

*下圖詢問是否執行此一授權還原: YES*

授權還原已OK後,其物件屬性值將加100000,就不必擔心版本過低,被較新的網域控制站覆寫過去了

接者請Reboot 進入正式模式登入lohas.com(mike.lohas.com)

敲開cmd 指令界面,利用以下commad,將還原結果同步至其他網域站台即可

>repadmin /syncall dc2.lohas.com /e /d /A /P

歸檔於 Windows Server 2008

Linux_YUM_Repository 外掛Resource 安裝與測試 By Keynes

2010 年 07 月 19 日發表留言

實驗環境

CentOS 5.5:(nodea: 192.168.0.111) _增加外掛以下幾個載點

義守大學FTP: 本地端穩定載點,隨發行版更新

EPEL Repository: 套件數不少,更新套件率低

remi: 持續更新軟件或許是發行版未更新套件: Ex: PHP 5.3 ….等

將Repo 設置為本地端(Taiwan)載點,將可增加軟件安裝與更新(UPDATE)速度

(1.) 編輯義守大學Repo

mkdir /yumtemp

mv /etc/yum.repos.d/CentOS5-*.repo /yumtemp #將預設安裝的repo備份至/yumtemp資料夾

vi /etc/yum.repos.d/centos55 #編輯ok後請存檔

[centos55] #centos55 為repo定義名稱可以更改

name=yum labs.

baseurl=ftp://ftp.isu.edu.tw/pub/Linux/CentOS/$releasever/os/$basearch/

enable=1

gpcheck=1

gpgkey=ftp://ftp.isu.edu.tw/pub/Linux/CentOS/RPM-GPG-KEY-CentOS-5

      [centos55-updates]        #centos55 為repo定義名稱可以更改
      name=yum labs updates.
      baseurl=ftp://ftp.isu.edu.tw/pub/Linux/CentOS/$releasever/updates/$basearch/
      enable=1
      gpcheck=1
      gpgkey=ftp://ftp.isu.edu.tw/pub/Linux/CentOS/RPM-GPG-KEY-CentOS-5