Just thinking more…
資料來源:Mount an NFS Share Using a Rootful Podman Volume (oracle.com)
在建立 volume 時,就可以指定 nfs 的資訊
sudo podman volume create --opt type=nfs --opt o=rw --opt device=10.0.0.150:/nfs-share nfsvol在建立完成後,podman 會去掛載 nfs 分享,這部份可以使用 mount 查看到掛載到哪個資料夾。接下來 podman 就可以使用 -v 參數,去指定要使用剛剛建立的 volume ,容器啟動後,就可以使用了。
例如
sudo podman run -v nfsvol:/foo -it --rm oraclelinux:9 ls -al /foo這就表示把建立好的 nfsvol ,掛載到容器裡面的 /foo ,應用程式就可以存取到了。
要設定讓 yum 可以使用指定的 proxy 伺服器,可以在 /etc/yum.conf 的 [main] 區段裡增加 proxy 設定即可
[main]
proxy=http://<proxy_server>:3128那如果是個別的 repository 要使用不同的 proxy 伺服器,可以怎麼做呢?
原本以為會很麻煩的,但意想不到簡單,因為有支援此設定。
就在 repository 的區段裡增加 proxy 設定就可以:
[repo]
name=baseos
baseurl=http://yumrepo.example.com/baseos
enabled=1
gpgcheck=0
proxy=http://<proxy_server>:3128在 bash script 裡,可以用 ${RANDOM} 取亂數,例如
echo "random number: ${RANDOM}"就會出現一個隨機的數字。
那如果想限制在 20~40 這個範圍內的話,可以怎麼做呢?這時候可以用 bash 的 % ,取餘數的運算子來做,例如
echo "random number(0~10): $((20 + RANDOM % 20))"說明一下為什麼會要這樣作。
因為環境關係,DNS protocol 出不去,只有 A 主機可以透過 HTTP 出去。
因此方案如下:
cloudflared 蠻好安裝的,就一個執行檔,下載以後,改個權限就可以執行了 (安裝方式)
那如果要用 systemd 來啟動,也很容易,安裝方式裡就有提供範例:
[Unit]
Description=DNS over HTTPS (DoH) proxy client
Wants=network-online.target nss-lookup.target
Before=nss-lookup.target
[Service]
Environment=http_proxy=http://<proxy>:3128
Environment=https_proxy=http://<proxy>:3128
AmbientCapabilities=CAP_NET_BIND_SERVICE
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
DynamicUser=yes
ExecStart=/usr/local/bin/cloudflared proxy-dns --port 5533
[Install]
WantedBy=multi-user.target設定好,用 firewall-cmd 設定好防火牆 (TCP 5533) 以後,就可以去調整 BIND 的設定 /etc/named.conf。
修改既有的 forwarder 設定
forwarders { 127.0.0.1 port 5533; };重新啟動 named 以後,就可以試試看了。
流程大致如下
--[DNS查詢]--> B 主機(53/UDP) ----> B 主機(5533/TCP) --[HTTP]--> A 主機(3128/TCP) --> 外部需求是要找到從昨天到現在有變更的檔案,一時也想不出來怎麼做,利用 Google 找了一下,大多都是利用 find 的 -newer 參數。
find 的 -newer 參數要帶入的是一個檔案,表示會以這個檔案為基準來進行比對。
所以假設是要找 2023-11-11 之後的檔案,就先利用 touch 來建立一個基準檔案,其修改日期為 2023-11-11:
touch --date "2023-11-11" /tmp/base然後再用
find . -newer /tmp/base -print就可以找出在 /tmp/base 之後變更的檔案了。
find 也有一個 -newerXY 的參數,這個 XY 可以是以下內容
那要找比 2023-11-11 要新的檔案,就用以下指令
find . -type f -newermt 2023-11-11要找特定一天的,就用以下指令
find . -type f -newermt 2023-11-11 ! -newermt 2023-11-12執行 git clone 以後取得的修改時間是當下執行的時間,所以其實是沒辦法去判斷哪個檔案是七天前修改的,或是十天前修改的。
Stackoverflow 上有人問了相同的問題:Git clone changes file modification time – Stack Overflow
有人就回答了,其實 git 裡面沒有保留檔案修改時間的資訊,但可以有個 tricky 的方法,就是透過 git log 的資訊來變更檔案的修改日期:
git ls-tree -r --name-only HEAD | while read filename; do
unixtime=$(git log -1 --format="%at" -- "${filename}")
touchtime=$(date -d @$unixtime +'%Y%m%d%H%M.%S')
touch -t ${touchtime} "${filename}"
done這邊主要用到幾個指令,說明如下
git ls-tree 是取出檔案名稱git log -1 --format 是取出檔案提交的日期,這邊取出的是 timestamp 值date -d 將 timestamp 值,轉換為日期時間格式。touch -t 依據指定的日期格式去設定檔案的修改日期。這邊要注意,目錄的修改時間不會被更動到。
透過以上的腳本,就可以還原git簽出檔案的修改時間,然後再搭配 find 指令來找出七天前修改的檔案了。
若是想知道指定的套件會影響哪些套件,這時候可以怎麼做呢?
我第一個是想到可以用 rpm ,用 man rpm 可以查到 rpm 有以下參數
所以就試試看
rpm -q --whatrequires libweb但結果卻不如預期,上網找到這篇 centos – Why does rpm –whatrequires fail to report dependencies? – Unix & Linux Stack Exchange
才知道正確用法是這樣,要先用 rpm -q --provides libwebp 去查到 libwebp 有提供什麼capability,然後再用 rpm -q --whatrequires <capability> 去找。
例如 libwebp
[root@workstation ~]# rpm -q --provides libwebp
libwebp = 1.0.0-5.el8
libwebp(x86-64) = 1.0.0-5.el8
libwebp.so.7()(64bit)
libwebpdecoder.so.3()(64bit)
libwebpdemux.so.2()(64bit)
libwebpmux.so.3()(64bit)
[root@workstation ~]# rpm -q --whatrequires "libwebp.so.7()(64bit)"
libwebp-1.0.0-5.el8.x86_64
gd-2.2.5-7.el8.x86_64
ImageMagick-libs-6.9.12.50-2.el8.x86_64這樣就可以找到,但若是如此,就要寫腳本了。因為 libwebp 有提供多個 capability ,需要逐一去查才行。
有沒有更快的方法呢?
centos – Why does rpm –whatrequires fail to report dependencies? – Unix & Linux Stack Exchange 裡面有提到可以用 rpm -e --test ,直接模擬看看移除。
rpm -e --test libwebp 2>&1 | grep needed | awk '{print $6}' | sort | uniq這樣就可以很快找出來了。
最近想試試看 wireguard,看了文件,都會提到用 ufw/firewalld 來配置網路,就想說,自家的 archlinux 都沒用防火牆,是不是該來用一下比較好。經過找 archlinux 文件以後,發現 archlinux 其實很自由,可以自由選 firewalld 或 ufw。在公司因為用 RHEL8 ,都是用 firewalld ,為了平衡一下還有家裡的其他電腦,決定就用 debian/ubuntu 的 ufw 。
ufw 的全名是 Uncomplicated firewall ,archlinux wiki 裡就有詳細的說明文件:https://wiki.archlinux.org/title/Uncomplicated_Firewall
用 yay 或 pacman 安裝
yay -S ufw安裝好以後,先不要啟用,要先設定。
sudo ufw default allow outgoing
sudo ufw default deny incoming
sudo ufw allow ssh這幾行的意思是說,允許出去,禁止進來,只允許 ssh 服務的連線進來。
接著啟用
sudo ufw enable
sudo systemctl enable --now ufw然後可以用 sudo systemctl status ufw 跟 sudo ufw status 檢查狀態。
接下來因為自己有用 http/https/gitlab/samba/squid 服務,也有使用 docker,所以要額外設置。
先允許 http/https 連線。
sudo ufw allow http
sudo ufw allow https設置 docker 規則,docker 的部份有人寫好了,所以安裝套件以後再啟用即可。(ufw and docker),啟用以後,docker 容器有 expose 的 port 就會自動 allow。
yay -S ufw-docker
sudo ufw-docker install再來是 samba,這也是有人寫好套件
yay -S ufw-extras
sudo ufw allow from 192.168.11.0/24 to any app samba最後是 squid
sudo ufw allow from 192.168.11.0/24 to any port 3128 proto tcp到這邊就設定完了,沒遇到什麼特別狀況。
因為好奇怎麼去查,就找到這篇:How to check if an RHEL system is vulnerable to a CVE ,文章裡面提到兩個方法。
第一個方法是用 rpm -q --changelog <套件> | grep <CVE_number>
舉個例子
rpm -q --changelog openssl | grep CVE-2021-3450第二個方法是用 yum updateinfo info --cve <CVE_number>
舉個例子
yum updateinfo info --cve CVE-2021-3445最後,想調查這台 RHEL 有受到哪些 Errata 影響,可以用
yum updateinfo info --summary
yum updateinfo info --list若要帶入 CVE 資訊,可以用這兩個指令
yum updateinfo info --summary --with-cve
yum updateinfo info --list --with-cveRed Hat 也有一篇 KB ,方法相似:https://access.redhat.com/solutions/3628301
不太一樣的地方是,指令是查看 rpm 的,所以是用
rpm -qp kernel-3.10.0-862.11.6.el7.x86_64.rpm --changelog | grep CVE-2017-12190或者是用 yum list –cve <CVE_number>
yum list --cve CVE-2017-12190 | grep kernel.x86_64想找到指定位置下的目錄,但不要再深入。指定位置下的目錄是這樣的
/tmp/location
+-- dir1
+ dir11
+-- dir2
+ dir21
foo.txt我預期是只看到 dir1 跟 dir2,所以我用 find
find /tmp/location -type d -print結果我找到的是
/tmp/location
/tmp/location/dir2
/tmp/location/dir2/dir21
/tmp/location/dir1
/tmp/location/dir1/dir11find 的輸出跟我預期的不相符啊,我又不想用 ls 處理,後來找到 -maxdepth -mindepth 這兩個參數,搭配起來使用就可以了。
find /tmp/location -maxdepth 1 -mindepth 1 -type d -print這樣就會是我需要的 dir1 跟 dir2
/tmp/location/dir2
/tmp/location/dir1又學到一課,謝謝你 find 。