在 Debian/Ubuntu 裡可以用 apt-cache show 來查詢套件版本,在 RHEL/CentOS 裡,可以用什麼指令呢?
第1種方法是使用
yum list <package_name>第二種方法是使用
yum info <package_name>客製化sshd的ciphers (RHEL8)
很多 Linux 系統參數檢核表都有一個項目,就是在 /etc/ssh/sshd_config 裡加入下面這兩行,以禁用 sshd 不安全的 cipher。
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
MACs hmac-sha1,hmac-ripemd160,hmac-sha2-256,hmac-sha2-512但很有趣的是,RHEL8 sshd_config 裡的 comment 是這樣寫的
# This system is following system-wide crypto policy. The changes to
# crypto properties (Ciphers, MACs, ...) will not have any effect here.
# They will be overridden by command-line options passed to the server
# on command line.
# Please, check manual pages for update-crypto-policies(8) and sshd_config(5).
他說,這系統是依照系統的 crypto 原則,所以在這個設定檔裡加 Ciphers, MACs 是沒有效果的,會被傳遞給 sshd 的 command-line 選項給覆蓋掉。
來看看 sshd.service 的內容
# ...省略...
[Service]
Type=notify
EnvironmentFile=-/etc/crypto-policies/back-ends/opensshserver.config
EnvironmentFile=-/etc/sysconfig/sshd
ExecStart=/usr/sbin/sshd -D $OPTIONS $CRYPTO_POLICY
# ...省略...首先載入 /etc/crypto-policies/back-ends/opensshserver.config 裡的環境變數,然後再載入 /etc/sysconfig/sshd 裡的環境變數,所以後者蓋掉前者。
那修改方法就很清楚了,就是修改 /etc/sysconfig/sshd 這個檔案就可以,把裏面 CRYPTO_POLICY= 前面的 # 拿掉,加入參數:
CRYPTO_POLICY="-oCiphers=aes128-ctr,aes192-ctr,aes256-ctr -oMACs=hmac-sha1,hmac-sha2-256,hmac-sha2-512"然後重新啟動 sshd 就可以。
附帶一提,OpenShift CoreOS 也是用類似的方式修改,只是需要透過 MachineConfig。
參考資料:
如何使用VLC存取網路上的UPnP/DLNA伺服器上的媒體
資料來源:How to Access Media from UPnP or DLNA using VLC
該怎麼如何使用VLC存取網路上的UPnP/DLNA伺服器上的媒體呢?打開 VLC 找半天沒找到選單在哪裡,只好求助 Google 大神。
找到的步驟如下:
- 開啟 VLC
- 在選單上選擇「察看(View)」
- 再選「播放清單 (Playlist)」
- 在左邊窗格選「通用隨插即用服務(UPnP)」
- 右邊窗格就會出現網路上的 UPnP/DLNA 伺服器,再點進去就可以看到囉。
Huge Page與Transparent Huge Page
簡單的說,都跟記憶體分頁管理有關係。要用 Huge Page ,程式需要做調整,為了簡化使用方式,Red Hat 在 RHEL6 引入 Transparent Huge Page ,預設啟用,主要是要讓程式可以不需要更動,就可以使用 Huge Page。
詳情可以參考:
- Huge Pages and Transparent Huge Pages
- 什么是透明大页(THP)以及如何在 Linux 中检查每个进程的 THP 使用情况
- CentOS / RHEL 7 : How to disable Transparent Huge pages (THP)
一般來說,若主機主要是執行資料庫,例如 Oracle, Redis, MongoDB, PostgreSQL,就不要使用 Transparent Huge Page。
在 RHEL 6 以後 Transparent Huge Page 預設是啟用,可以用以下指令檢查
cat /sys/kernel/mm/transparent_hugepage/enabled輸出是 always ,就表示有啟用。若為 never ,就沒有啟用。madvise 是什麼意思呢?
當有啟用 Transparent Huge Page 時,Huge Page 就被禁用,可以用以下指令檢查,若為 0,表示禁用。
cat /proc/sys/vm/nr_hugepages要禁用 Transparent Huge Page,用以下指令就可以
echo never > /sys/kernel/mm/redhat_transparent_hugepage/enabled在 RHEL8 裡,有 tuned,當使用上面設定無法生效時,有可能就是這個 tuned 在搞鬼。這時可以建立一個新的 tuned profile: /etc/tuned/nothp_profile/tuned.conf
內容是
[main]
include= throughput-performance
[vm]
transparent_hugepages=never執行以下指令就可以生效。
chmod +x /etc/tuned/nothp_profile/tuned.conf
tuned-adm profile nothp_profile若要永久禁用,可以在 /etc/default/grub 的 GRUB_CMDLINE_LINUX 加入 transparent_hugepage=never
執行 grub2-mkconfig -o 之後,重開機即可。
在 Ubuntu 開發 .Net 應用程式
這幾年微軟大力推廣 .Net core ,把 .Net runtime 鋪到每個 Linux 發行版去,所以現在 Ubuntu、Red Hat Enterprise、Debian、Fedora、CentOS、Alpine 等 Linux 發行版都可以安裝 .Net runtime 跟 .Net SDK 。
以 Ubuntu 來說,安裝方法很簡單,就是照這篇 在Ubuntu 上安裝 .NET SDK 或 .NET 執行時間 來做就可以。
我桌機安裝的是 Ubuntu 21.10 ,所以下面就只節錄 Ubuntu 21.10 的部份
wget https://packages.microsoft.com/config/ubuntu/21.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb
sudo apt-get update; \
sudo apt-get install -y apt-transport-https && \
sudo apt-get update && \
sudo apt-get install -y dotnet-sdk-6.0 aspnetcore-runtime-6.0安裝完成以後,就可以使用 dotnet 這個指令來開發應用程式了。
首先建立目錄,然後切換到此目錄下
mkdir -p ~/dotnetcore-hello
cd ~/dotnetcore-hello然後用 dotnet 指令建立範本
dotnet new webapp -n dotnetcore-hello -o .- webapp 表示建立網頁應用程式。
- -n 是表示專案名稱。
- -o . 是表示輸出到目前的目錄。
產生完畢,就可以啟動。
dotnet run啟動以後會有以下訊息
正在建置...
info: Microsoft.Hosting.Lifetime[14]
Now listening on: https://localhost:7219
info: Microsoft.Hosting.Lifetime[14]
Now listening on: http://localhost:5063
info: Microsoft.Hosting.Lifetime[0]
Application started. Press Ctrl+C to shut down.
info: Microsoft.Hosting.Lifetime[0]
Hosting environment: Development
info: Microsoft.Hosting.Lifetime[0]
Content root path: /home/user/dotnetcore-hello/從訊息可以知道,用瀏覽器開啟 http://localhost:5063 或是 https://localhost:7219 就可以開啟網站。
一般在開發時,會把 port 固定起來,以方便開發;或者是禁用 https 。那這樣該怎麼做呢?這時候可以參考 How do I disable HTTPS in ASP.NET Core 2.1 + Kestrel? ,dotnet 應用程式的 port 跟 https 設定是在 Properties/launchSettings.json 裏面去指定的,只要修改裡面的 applicationUrl 即可。
例如 applicationUrl 本來是 https://localhost:7219;http://localhost:5063,改為只有 http,port 8000 並讓網路上其他電腦都可以連進來的話,就改為 http://0.0.0.0:8000
最後,開發完畢以後,要輸出檔案去佈署,可以用 dotnet publish 來建置。
dotnet publish -c release -o out以上面的指令來說,
- -c 是指定要使用的 configuration
- -o 是指定把建置好的檔案輸出到 out 目錄下。
今天就把 QuickStart 的開發流程紀錄起來,免得以後遇到又在那邊查。
RPM解析
察看 RPM 內容,可以用下面指令,無需解開,就可以知道裏面有什麼檔案。
rpm -ql <rpm_file>需要取出裡面的檔案時,可以用 rpm2cpio + cpio 來解開。
rpm2cpio <rpm_file> | cpio -idmvcpio 的參數解說如下
- -i: 從 archive 解開檔案。
- -d: 建立必要的目錄
- -m: 保留檔案的變更時間
- -v: verbose
在安裝 rpm 時,會在安裝前、後去執行腳本,但你會發現在解壓縮後的檔案裡找不到這些腳本。那如果想看這些腳本,該怎麼做?
這時候可以用下面指令來察看
rpm -qp --scripts <rpm_file>裡面的 %preun、%postun …等等的區段是什麼意思呢?
這部份可以參考 Packaging Guidelines > Scriptlets 裡的說明。
參考資料:
ArchLinux 的 Reflector
Reflector 是一個用來更新 mirrorlist 的程式,前幾年看到的時候就用了,挺不錯的。最近想起來,但怎麼樣也找不到筆記,我想應該是沒有紀錄到吧,特別寫這篇來記著。
ArchLinux 維基的 Reflector 頁面寫的蠻清楚的,就不再贅述,下面主要紀錄我做的設定。
安裝
yay -S reflector新增檔案:$HOME/bin/renew_mirrorlist ,這主要是方便手動更新用的。
#!/bin/bash
sudo /bin/sh -c "reflector @/etc/xdg/reflector/reflector.conf && rm -f /etc/pacman.d/mirrorlist.pacnew"編輯檔案:/etc/xdg/reflector/reflector.conf ,這個檔案會被 reflector.service 跟 reflector.timer 使用到。
# 存到 /etc/pacman.d/mirrorlist
--save /etc/pacman.d/mirrorlist
# 只用 http 跟 https 的來源
--protocol http,https
# 從台灣、日本的伺服器來挑
--country Taiwan,Japan
# 挑最近更新的 10 個伺服器
--latest 10
# 用分數來排序
--sort score
# 最近 24 小時內同步完的伺服器
--age 24新增檔案:/etc/pacman.d/hooks/mirrorupgrade.hook,這會在 pacman 更新 mirrorlist 時去執行。這同時也要修改 /etc/pacman.conf,把裏面 HookDir 那行的註解拿掉。
[Trigger]
Operation = Upgrade
Type = Package
Target = pacman-mirrorlist
[Action]
Description = Updating pacman-mirrorlist with reflector and removing pacnew...
When = PostTransaction
Depends = reflector
Exec = /bin/sh -c "/usr/bin/reflector @/etc/xdg/reflector/reflector.conf && rm -f /etc/pacman.d/mirrorlist.pacnew"最後再啟用定時更新
systemctl enable reflector.timer
systemctl start reflector.timersudoers 檔案改壞了
昨天不小心在 /etc/sudoers.d 目錄下加了個檔案,格式有問題,導致之後下 sudo 指令都會出現這樣的錯誤:
sudo: unable to initialize policy plugin本想說要來重開機,進 single 模式來修改了,還好,找到這篇:https://unix.stackexchange.com/questions/677591/how-to-restore-a-broken-sudoers-file-without-being-able-to-use-sudo
照這篇的方法來處理,就免於重開機的命運。
方法是這樣的,先開兩個終端機視窗,都登入需要處理 sudoers 的主機,在第一個終端機視窗輸入下面指令取得當前 bash 的 pid
echo $$在第二個終端機視窗輸入
pkttyagent --process <pid>這個 <pid> 就是前面取得的 bash 的 pid。
再回到第一個終端機視窗,因為我是在 /etc/sudoers.d 目錄下加了一個格式錯誤的檔案,所以就刪掉就可以。
pkexec rm -f /etc/sudoers.d/user1文章裡,是提問者把檔案擁有者改錯了,導致有問題,所以他用的是 chown 來改擁有者。
文章裡有說明為什麼可以用 pkexec 來處理,這指令其實跟 sudo 差不多,主要是用 polkit 在處理,解答的人說的很仔細。
可喜可賀,學到一個有趣的指令,也解決了一個手殘改錯的問題。
ArchLinux更新出現signature is unknown trust
今天在更新 ArchLinux 時,出現了類似這樣的錯誤,導致後續沒辦法繼續更新。
signature from "Andreas Radke andyrtr@archlinux.org" is unknown trust本以為會像 Ubuntu 一樣,需要去 gpg server 找金鑰匯入,不過搜尋以後找到這篇:Update / pacman / keyring problem ,發現很容易就可以解決。
只要先執行下面這行,先去更新 keyring 套件即可
sudo pacman -S archlinux-keyringRHEL8 iSCSI
target 主要提供 iSCSI 裝置,客戶端要使用這個裝置,就需要設置 iSCSI initiator。
我設置 iSCSI target 的方式主要是參考:How to Share Storage via iSCSI Target in RHEL 7/CentOS 7 還有 RHEL8 的管理存儲設備手冊裡的第七章。
客戶端的設置,則是參考:How to Configure iSCSI initiator in RHEL 7/CentOS 7
iSCSI target
首先安裝 targetcli
yum install targetcli
systemctl start target
systemctl enable target
firewall-cmd --permanent --add-port=3260/tcp
firewall-cmd --reload然後執行 targetcli ,targetcli 指令跟 bash 操作很接近,有 ls ,每個資源則用 cd 進入,操作可以用 create, delete 等,很直覺。
第一步是進入 iscsi 去建立 target
iscsi/
create若需要使用指定的名稱,則是用
create iqn.2006-04.com.example:444第二步是建立 backstore,這邊只建立 block storage,是告知 backstore 名稱是 block1,使用的實體裝置是 /dev/sdb
cd /backstores
block/ create name=block1 dev=/dev/sdb第三步是建立 portal,這邊會先把預設的刪除,再重新建立。這主要是設定要 listen 的 位址跟 port。把預設的刪除掉的原因是,0.0.0.0 範圍太大。
cd /iscsi/iqn.2006-04.example:444/tpg1
delete ip_address=0.0.0.0 ip_port=3260
create 192.168.11.147第四步是建立 lun
/iscsi/iqn.2006-04.example:444/tpg1/luns/ create /backstores/block/block1
第五步是建立 ACL
/iscsi/iqn.2006-04.example:444/tpg1/acls/ create iqn.2006-04.com.example.foo:888
最後,要重新啟動 target.service
systemctl restart targetiSCSI 客戶端
首先是安裝套件
yum install iscsi-initiator-utils -y再來是修改設定,主要的設定檔是在 /etc/iscsi/initiatorname.iscsi
內容要填入前面所建立的 acl
InitiatorName=iqn.2006-04.com.example.foo:888填寫完成後,重新啟動 iscsi.service
systemctl enable iscsi.service
systemctl start iscsi.service然後去做 discovery,這個步驟會去試探指定的 IP 是否有 iscsi target,然後取得資訊存起來。
iscsiadm -m discovery -t st -p 192.168.11.147 –discover
192.168.11.147:3260,1 iqn.2006-04.com.example:444這步驟若沒問題,可以在 /var/lib/iscsi/nodes 下找到檔案,這檔案裏面就是連線的資訊。
接下來就是登入
iscsiadm -m node -T iqn.2006-04.com.example:444 -l這行若成功,就可以用 dmesg 查到 “Attached” 的字樣,表示已經掛載上來了。
這邊有個關鍵,就是有更動 /etc/iscsi/initiatorname.iscsi 內容的話,一定要重新啟動 iscsi.service ,否則會使用到之前的設定,導致失敗。