PIN the kernel to the current version in apt

create a new file under /etc/apt/preferences.d with the following content

Package: linux-server
Pin: version 3.2.0.23.25
Pin-Priority: 1001

Package: linux-image-server
Pin: version 3.2.0.23.25
Pin-Priority: 1001

Package: linux-headers-server
Pin: version 3.2.0.23.25
Pin-Priority: 1001

then run

apt-get update
apt-get dist-upgrade

you will find that you won’t get the kernel upgrade notice any more.

you can find you current kernel version with

dpkg -l|grep linux

reference: http://linux.die.net/man/5/apt_preferences

MegaCli命令速查[转]

转自http://hi.baidu.com/ytjwt/blog/item/6d2dfd108c85db70cb80c4e1.html

最近,老是磁盘error,而自己确没有迅速的定位,实在是感到杯具,看到同事们MegaCli查看raid及磁盘错误信息,我这里粘贴下网上别人用的命令,方便自己查阅(另dmesg:显示开机信息,dmidecode,硬件信息)

MegaCli用起来还是很简单的。摘抄一些比较常用的参数如下:

显示适配器个数: MegaCli -adpCount
显示适配器时间: MegaCli -AdpGetTime –aALL
显示所有适配器信息: MegaCli -AdpAllInfo -aAll
显示所有逻辑磁盘组信息: MegaCli -LDInfo -LALL -aAll
显示所有的物理信息: MegaCli -PDList -aAll
查看充电状态: MegaCli -AdpBbuCmd -GetBbuStatus -aALL |grep ‘Charger Status’
显示BBU(后备电池)状态信息: MegaCli -AdpBbuCmd -GetBbuStatus -aALL
显示BBU容量信息: MegaCli -AdpBbuCmd -GetBbuCapacityInfo -aALL
显示BBU设计参数: MegaCli -AdpBbuCmd -GetBbuDesignInfo -aALL
显示当前BBU属性: MegaCli -AdpBbuCmd -GetBbuProperties -aALL
显示Raid卡型号,Raid设置,Disk相关信息: MegaCli -cfgdsply -aALL
查看Cache 策略设置: MegaCli -cfgdsply -aALL |grep Policy
查看充电进度百分比: MegaCli -AdpBbuCmd -GetBbuStatus -aALL |grep ‘Relative State of Charge’

当挂载一磁盘到raid卡上时,是通过fdisk -l查看不了的。我们需要对其做raid,

在线创建raid:

MegaCli -CfgLdAdd -r0 [1:10] WB Direct -a0
MegaCli -CfgLdAdd -r0 [1:11] WB Direct -a0
echo "scsi add-single-device 0 2 1 0" >/proc/scsi/scsi
echo "scsi add-single-device 0 2 2 0" >/proc/scsi/scsi

这样在fdisk -l 就能看到了

RAID 5时,当磁盘坏了,备盘变为online后,如果坏的磁盘已经修好,那么我们需要把修好的盘变为备盘,命令如下:

MegaCli -PDHSP -Set [-EnclAffinity] [-nonRevertible] -PhysDrv[1:5] -a0
# MegaCli -PDHSP -set -PhysDrv[A:B] -aC
A:  it’s Enclosure Number
B: It’s Slot NUmber
C: It’s Array ID2

各种设备和磁盘的不同状态:

Device         |Normal|Damage|Rebuild|Normal
Virtual Drive     |Optimal|Degraded|Degraded|Optimal
Physical Drive     |Online|Failed –> Unconfigured|Rebuild|Online

完整的操作手册在这里:http://www.lsi.com/DistributionSystem/AssetDocument/80-00156-01_RevF.pdf

PS:
关于缓存与电池的操作

强制打开写入缓存(慎用

MegaCli -LDSetProp CachedBadBBU -LALL -aALL
MegaCli -LDSetProp ForcedWB -LALL -aALL

设定没有电池就不缓存:

MegaCli -LDSetProp WB -LALL -aALL
MegaCli -LDSetProp NoCachedBadBBU -LALL -aALL

VMware ESXi的OpenVPN的Bridge模式

参考http://www.jeremycole.com/blog/2010/03/11/openvpn-bridge-under-vmware-esxi/

前段时间在ESXi里面架了一个小防火墙,用openvpn时想使用bridge模式直接拨入内网,可是设置好之后,无论如何VPN客户端都不能与内网机器进行通讯。查了下原因,原来是ESXi的网络promiscous模式问题,ESXi虚拟交换机在默认情况下会丢失所有的promiscous包。

要解决很简单,用vSphere Client连接到ESXi,然后在”Configuration”标签中选中”Networking” ,然后再选中对应的虚拟交换机的”Properties…”。在跳出来的对话框中,选中”vSwitch”,然后点”Edit”。最后在”Security”标签中,把”Promiscuous Mode”改为”Accept”。

之后,OpenVPN的桥接模式就会生效了~~~

apache强制https

利用mod_rewrite,一段很简单的代码就搞定了。。。。

RewriteEngine on
RewriteCond %{HTTPS}   !^on$   [NC]
RewriteRule   .   https://%{HTTP_HOST}%{REQUEST_URI}    [L]

然后,不管你访问网站的的什么页面,都会自动跳转到https。

postfix 只允许指定的用户给特定的别名发送邮件

本文出自 “一个SA的工作和学习记录” 博客,请务必保留此出处http://chlotte.blog.51cto.com/318402/404764

公司需求:只有公司高层才可以向全体员工发送邮件,除此之外,均无权向全体员工发送邮件。

公司高层邮箱:

wanglujing@ourgame.com
renlina@ourgame.com
caiyanyan@ourgame.com
qinwen@ourgame.com
shiwanting@ourgame.com

全体员工邮箱:qtyg@ourgame.com

postfix相关概念如下,具体的请参考《postfix权威指南》,在第十一章 反垃圾邮件 中讲的很清楚,下面引用了其部分参数:

Smtmpd_restriction_classes

自定义规范等级的名称,列出管理员自定义的所有规范等级,每一组规范等级,都是由一系列UBE限制条件组成。

Check_client_access 客户端
Check_sender_access 发件人
Check_recipient_access 收件人

Check_recipient_access maptype:mapname
Check_recipient_access 指向一个含有邮件地址、网域名称、人名的访问表,用于对比客户端在RCPT TO命令中提供的收件地址,如果发现相符的索引键,则postfix执行相对应的值所提定的动作。

Check_sender_access maptype:mapname
Check_sender_access 指向一个含有邮件地址,网域名称,人名的访问表,用于对比客户端在MAIL FROM命令中提供的寄件人邮件地址,如果发现相符的索引键,则postfix执行相对应的值所指定的动作。

SMTP对话过程以各阶段对应的限制条件:
动作如下:
OK: 通过当前过滤规则的检查,postfix继续检查下一组过滤规则。
REJECT: 拒绝邮件.后面可以加上一段简短信息,说明拒绝的理由,这段信息会连同拒绝码一起返回给客户端,并且被记录在postfix日志文件中。

解决方法如下:
1,定义规范等级,名称分别为local_only与local_only1,修改main.cf

[root@mail postfix]# vi main.cf
#youshengtao 2010-10-12
smtpd_restriction_classes = local_only, local_only1
local_only = check_recipient_access hash:/etc/postfix/plugin/plugin.list,reject
local_only1 = check_sender_access hash:/etc/postfix/plugin/plugin.users,reject
smtpd_recipient_restrictions =
   reject_unknown_sender_domain,
   reject_unknown_recipient_domain,
   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,
   reject_unlisted_recipient,
   check_sender_access hash:/etc/postfix/plugin/plugin.users,        #new added
   check_sender_access hash:/etc/postfix/plugin/local_senders,       #new added
   check_recipient_access hash:/etc/postfix/plugin/local_recipients, #new added
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unauth_destination,
   reject_non_fqdn_helo_hostname,
   reject_invalid_helo_hostname,
   check_policy_service inet:127.0.0.1:10031

2,建立相关的目录,也可以不建目录,直接放在postifx目录下面,不过,为了以后维护方便,我还是建了一个目录。

[root@mail ~]# mkdir -p /etc/postfix/plugin
[root@mail ~]# cd /etc/postfix/plugin/
[root@mail plugin]#cat local_recipients
qtyg@ourgame.com local_only1
[root@mail plugin]# cat local_senders
wanglujing@ourgame.com local_only
renlina@ourgame.com    local_only
caiyanyan@ourgame.com  local_only
qinwen@ourgame.com     local_only
shiwanting@ourgame.com  local_only
[root@mail plugin]# cat plugin.list
qtyg@ourgame.com OK
[root@mail plugin]# cat plugin.users
wanglujing@ourgame.com OK
renlina@ourgame.com    OK
caiyanyan@ourgame.com  OK
qinwen@ourgame.com     OK
shiwanting@ourgame.com OK

3,使用postmap将下列的文件转换成postfix可直接查询的格式。

postmap hash:/etc/postfix/plugin/plugin.list
postmap hash:/etc/postfix/plugin/plugin.users
postmap hash:/etc/postfix/plugin/local_senders
postmap hash:/etc/postfix/plugin/local_recipients

4,重载postfix后,邮件服务器正常工作,实现了我们需要的功能。

[root@mail npc]# service postfix reload
重新载入postfix:[确定]

备注:不要忘记第3步,否则服务器会不能收发任何邮件,日志中会有如下提示:

Oct 12 13:55:15 mail postfix/smtpd[875]: fatal: open database /etc/postfix/plugin/recipient_list.db: No such file or directory
Oct 12 13:55:16 mail postfix/master[2266]: warning: process /usr/libexec/postfix/smtpd pid 875 exit status 1
Oct 12 13:55:16 mail postfix/master[2266]: warning: /usr/libexec/postfix/smtpd: bad command startup -- throttling

网站启用新域名

网站今天开始正式启用新域名:http://blog.tangjianwei.com

子网计算工具–netmask

来源http://www.linuxbyte.org/zi-wang-ji-suan-gong-ju-netmask.html

netmask 命令是一个方便的子网掩码计算工具,可以计算IP段的掩码,也能根据掩码给你IP段和IP个数。

举例:

netmask 58.252.160.0:58.252.164.255
58.252.160.0/22
58.252.164.0/24
netmask 58.252.160.0/22 -r
58.252.160.0-58.252.163.255  (1024)

另外它支持以八进制,十六进制,二进制格式输出。

netmask 58.252.160.0:58.252.164.255 -b
00111010 11111100 10100000 00000000 / 11111111 11111111 11111100 00000000
00111010 11111100 10100100 00000000 / 11111111 11111111 11111111 00000000

更多使用细节请执行man netmask 吧 ^-^

利用iptables来做pptp的防火墙

嗯,今天帮朋友做了一个VPN服务器的安全规则,又了解了什么叫GRE,果然,三人行必有我师哈
具体做法如下

首先默认拒绝的策略

iptables -P INPUT DROP
iptables -P FORWARD DROP

然后针对拨入数据包做限制,在这里,除了pptp的监听端口1723之外,还要允许GRE协议,端口是47

iptables -A INPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

然后就是给拨入的地址做伪装

iptables -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE

接下来设置FORWARD,前面我们做了默认拒绝的策略,你也可以像我们一样,只允许客户访问特殊的IP或者IP段

iptables -A FORWARD -d 8.8.0.0/16 -j ACCEPT
iptables -A FORWARD -d 202.103.96.112 -j ACCEPT

当然,如果你允许VPN客户端访问所有的网站,你可以忽略上面所有关于FORWARD链的操作
或者,现在再做一次

iptables -P FORWARD ACCEPT