GNUer's Blog

qugga配置ospf 这两年ospf这个内部网关协议在互联网公司的链路负载均衡上出现的频率越来越高，BAT公司都是用OSPF+LVS做负载均衡。连小米这样的公司也开始这样玩了。ospf的配置实际是比较简单的，主要是一般就网工比较了解这个，其他部门的人都这些都没有任何概念，觉得很生疏。简单贴2个配置文件。 quagga实际是个套件，里面有zebra，ospfd，ripd，bgpd等等。其 …

多网卡服务器配置多个默认网关 一般我们在服务涉及多个网段的时候是直接配置一下策略路由，达到哪个口进哪个口出的目的。最近手上又批机器，因为各种原因。机器上2个网卡各上联到不通的交换机，每个网卡配置的IP也是不同的。考虑到单个交换机挂掉的情况，我就直接配置了2个默认的网关，设置不同的优先级。配置相对简单，单个交换机挂掉的时候还能工作。 <br />#cat route-eth0 …

ssh登录的时候不读取任何bash配置文件 今天有同学不小心在/etc/profile.d/下的一个脚本里加了一个exit。然后就杯具了，无论如何都登录不进去，试过了ssh，rsync，sftp都不行。 /etc/profile.d/下的配置文件会在/etc/profile生效的时候顺便被执行了一遍，其实bash是可以指定不读取配置文件，直接进去把对应的文件有sed修改好就行了。 sudo ssh …

DNS防攻击 无论是权威还是递归DNS，防攻击都是特别需要的。但是现在一般开源的bind在这方面又总是有些欠缺。最近一段时间一直在查看相关的文档。 对于普通的ISP的递归DNS，一方面只允许自己的客户IP段来递归，另外可以配合使用rrl限流模块。rrl限流模块在有大量请求的时候还是可以起到不少作用的。只是这个限流的值需要把握好。 对于自己单独搞的递归DNS。类似114的这种，一般使用anycast …

sshd接受内存里的KeysFile 线上经常因为系统盘的故障或者是SAS卡驱动的问题使得/或者/home掉了，那么ssh信任登录的时候就会因为找不到AuthorizedKeysFile里面指定的文件而造成无法登录服务器。 解决的思路就是可以设置多个authorized_keys,比如放一份到内存里面（可能会存在一些安全问题，不过内部系统应该可控）。openssh到5.8版本以上，可 …

time-wait的烦恼 time-wait其实本来没有啥，但是经常成为让大家恐惧的东西。比如大家一直在试图降低web服务器、代理服务器上的time-wait数量。 time-wait本身的作用是提供全双工关闭、过时重复报文段失效，其实也没有什么。唯独是在做反向代理的时候需要特别注意time-wait过多的情况， 主要是做代理的时候容易出现tw状态过多把本地端口耗完的情况。一般缓解的方法： 改成使 …

使用debootstrap在Centos上chroot到debian环境 前几天在国内的某VPS上充了点钱，拿来做测试机器。发现其openssl rsa2048的速度还比较快，说明CPU性能比较好。相比之前我自己的测试服务器理论上直接是物理机测试，单个core的性能却差很多。想了下可能是和openssl、glibc、gcc之类的版本有点关系。但是自己的测试服务器上又不能直接重装其他发行版。想到一起 …

某云主机上的简单测试 先测试了下CPU 跑openssl rsa2048的测试 因为都是单核的机器，我就直创建了5个测试了下不同版本的openssl的rsa2048性能 openssl speed rsa2048 -multi 1 OS | |sign/s | verify/s ubuntu 12.04 | OpenSSL 1.0.1 | 514.464 | 16570.7 Ubuntu …

从linode的FAQ想到的 传统的VPS厂商对外的时候都会比较忌讳谈超卖的比例。不过linode的FAQ上直接说名的平均的情况，到是挺不错的。 How many Linodes share a host? Linodes of the same plan are grouped together onto a host. We adjust the number of slots on each …

在线升级驱动的思路 线上有的服务器停机应用比较大，单身如果又遇到网络驱动之类的有bug那就麻烦了，徘徊于等死与找死之间。想着所有的机器都是双上联做了bond的，可不可以一次升级一个网卡呢？做了bond单次挂1个网卡应该是无损的。 上周把我的这个想法给内核组的同学说了，没有想到这周就给出了具体的方案。我自己稍微测试了下，把脚本的一些细节地方修改了下昨天测试2个网卡连续切换驱动10次无丢包。 不过有实 …