linuxea:firewall简单使用笔记 FirewallD使用服务和区域的概念，而不是iptables规则和链。使用它，您可以配置应该允许或禁止与系统之间的通信。FirewallD使用firewall-cmd实用程序来管理防火墙配置。LinuxEA # firewall-cmd --list-all FirewallD is not running启动并启用LinuxEA # systemctl start firewalld LinuxEA # systemctl enable firewalld Created symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service → /usr/lib/systemd/system/firewalld.service. Created symlink /etc/systemd/system/multi-user.target.wants/firewalld.service → /usr/lib/systemd/system/firewalld.service.状态已经运行LinuxEA # firewall-cmd --state running以下是FirewallD中包含的预定义区域：这些可以使用firewall-cmd --get-zones来获取drop –丢弃所有传入连接，不作任何答复，只允许传出连接。block –与区域删除相同，但所有传入连接均使用icmp-host- prohibited或icmp6-adm-prohibited消息阻止。public -它代表不可靠的公共区域。external -防火墙用作网关的外部网络。因为它是为NAT伪装而配置的，所以内部网络将保持私有但可访问。internal –仅接受选定的传入连接，用于内部网络。dmz –非军事区，内部网络可公开访问，访问受限，并且仅接受选定的传入连接。work –用于工作机。home -使用的家用机。trusted -接受所有网络连接。使用FirewallD配置防火墙默认情况下，public域是启用防火墙服务后的默认区域。LinuxEA # firewall-cmd --get-default-zone public使用--get-zones可以看到所有区域LinuxEA # firewall-cmd --get-zones block dmz drop external home internal public trusted work--get-active-zones 查看网络接口使用了哪些区域LinuxEA # firewall-cmd --get-active-zones public interfaces: eth0可以使用--set-default-zone=""和--get-default-zone来设置和查看# firewall-cmd --set-default-zone=drop 比如更改为home域或者drop域 # firewall-cmd --get-default-zone对外开放服务打开http和https临时打开对外开放http和httpsLinuxEA # firewall-cmd --zone=drop --add-service=http success LinuxEA # firewall-cmd --zone=drop --add-service=https success永久写入： --permanentLinuxEA # firewall-cmd --zone=drop --permanent --add-service=http success LinuxEA # firewall-cmd --zone=drop --permanent --add-service=https success或者这样LinuxEA # firewall-cmd --zone=drop --permanent --add-port 80/tcp success LinuxEA # firewall-cmd --zone=drop --permanent --add-port 443/tcp success如果有多个端口，比如开启：80到100端口LinuxEA # firewall-cmd --zone=drop --permanent --add-port 80-100/tcpORLinuxEA # firewall-cmd --zone=drop --permanent --add-port={80/tcp,443/tcp,8080/tcp,9000-9086/tcp} success如果有多个服务LinuxEA # firewall-cmd --zone=drop --permanent --add-service={http,https,dns,jenkins} success如果要查看这些端口，则可以使用--info-service=NAME，这些信息预置在/usr/lib/firewalld/services目录下。如下：LinuxEA # firewall-cmd --info-service=jenkins jenkins ports: 8080/tcp protocols: source-ports: modules: destination: includes: helpers: 而后重新加载LinuxEA # firewall-cmd --reload success使用--list-all查看LinuxEA # firewall-cmd --list-all drop (active) target: DROP icmp-block-inversion: no interfaces: ens33 sources: services: dns http https jenkins ports: 80/tcp 443/tcp 8080/tcp 9000-9086/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: 删除规则LinuxEA # firewall-cmd --zone=drop --permanent --remove-service=http success LinuxEA # firewall-cmd --zone=drop --permanent --remove-service=https success或者LinuxEA # firewall-cmd --zone=drop --permanent --remove-port 80/tcp success LinuxEA # firewall-cmd --zone=drop --permanent --remove-port 443/tcp successLinuxEA # firewall-cmd --reload successLinuxEA # firewall-cmd --list-all drop (active) target: DROP icmp-block-inversion: no interfaces: ens33 sources: services: dns jenkins ports: 8080/tcp 9000-9086/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: 源ip地址管理可以将区域绑定到网络接口和地址: 对于drop区域，放行172.16.100.0/24网段LinuxEA # firewall-cmd --permanent --zone=drop --add-source=172.16.100.0/24 success LinuxEA # firewall-cmd --reload success移除--remove-sourceLinuxEA # firewall-cmd --permanent --zone=drop --remove-source=172.16.100.0/24 success LinuxEA # firewall-cmd --reload success LinuxEA # firewall-cmd --list-all drop (active) target: DROP icmp-block-inversion: no interfaces: ens33 sources: services: ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:还有修改-change-source可以对Mac地址进行管理 firewall-cmd --permanent --zone=drop --add-source=80-FA-5B-25-3B-1A丰富的Rich Rules由于rich规则所使用的语法很难记住，因此请记住man firewalld.richlanguage命令和最后的“示例”部分。格式如下：firewall-cmd --add-rich-rule 'rule ...'允许172.16.100.107所有的连接请求。--add-rich-rulefirewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="172.16.100.107" accept" log 可以使用log选项记录日志到 /var/log/messagesfirewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="172.16.100.107" log accept" 使用--list-allLinuxEA # firewall-cmd --list-all drop (active) target: DROP icmp-block-inversion: no interfaces: ens33 sources: services: dns jenkins ports: 8080/tcp 9000-9086/tcp protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: rule family="ipv4" source address="172.16.100.107" accept rule family="ipv4" source address="172.16.100.107" log accept或者这样添加ip段 172.16.100.0/24LinuxEA # firewall-cmd --permanent --zone=drop --add-rich-rule='rule family="ipv4" source address="172.16.100.0/24" port port="22-23" protocol="tcp" accept' success LinuxEA # firewall-cmd --reload success删除允许172.16.100.107所有的连接请求。 --remove-rich-rulefirewall-cmd --permanent --zone=drop --remove-rich-rule="rule family="ipv4" source address="172.16.100.107" accept" 允许ip和拒绝ip# 根据ip接受所有端口 firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="172.16.100.107" accept" # 根据ip拒绝所有端口 firewall-cmd --permanent --zone=drop --add-rich-rule="rule family="ipv4" source address="172.16.100.107" drop" 禁用pingfirewall-cmd --permanent --zone=drop --add-rich-rule='rule protocol value=icmp drop'删除zone删除/etc/firewalld/zones下的zone命名的xml文件而后重新加载即可Direct rulesfirewall-cmd工具中的--direct选项可以在运行时添加和删除链。直接接口模式可以让服务或者程序在运行时候添加特定的防火墙。作用于文件 /etc/firewalld/direct.xml将规则添加到INPUT链，放行8090端口LinuxEA # firewall-cmd --direct --permanent --zone=drop --add-rule ipv4 filter INPUT 0 -p tcp --dport 8090 -j ACCEPT success查看iptablesLinuxEA # iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8090用firewall查看LinuxEA # firewall-cmd --direct --get-all-rules ipv4 filter INPUT 0 -p tcp --dport 8090 -j ACCEPT请注意，此命令（该--get-rules选项）仅列出以前使用该--add-rule选项添加的规则。它没有列出通过其他方式添加的现有iptables规则。删除LinuxEA # firewall-cmd --direct --permanent --zone=drop --remove-rule ipv4 filter INPUT 0 -p tcp --dport 8090 -j ACCEPT如果你在初始化系统这条命令可以放行sshfirewall-offline-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPTip set管理firewall有ipset的功能。 ipset是一组IP地址或网络。不同的区域类别，属于hash：ip或hash：net。配置黑名单ip创建ip组：blacklist1LinuxEA # firewall-cmd --permanent --zone=drop --new-ipset=blacklist1 --type=hash:ip success LinuxEA # firewall-cmd --reload success添加ip成员注意：添加--option=family=inet6以创建IPv6 ipset。LinuxEA # firewall-cmd --permanent --ipset=blacklist1 --add-entry=172.16.100.101 success LinuxEA # firewall-cmd --permanent --ipset=blacklist1 --add-entry=172.16.100.3 success添加拒绝规则LinuxEA # firewall-cmd --permanent --add-rich-rule='rule source ipset=blacklist1 drop' success获取blacklist1成员LinuxEA # firewall-cmd --info-ipset=blacklist1 blacklist1 type: hash:ip options: entries: 172.16.100.101 172.16.100.3删除组内ip成员LinuxEA # firewall-cmd --ipset=blacklist1 --remove-entry=172.16.100.101 success LinuxEA # firewall-cmd --ipset=blacklist1 --get-entries 172.16.100.3配置黑名单ip段创建新的黑名单netblacklist，类型hash:netLinuxEA # firewall-cmd --permanent --new-ipset=netblacklist --type=hash:net --option=family=inet --option=hashsize=4096 --option=maxelem=200000 successLinuxEA # firewall-cmd --reload successLinuxEA # firewall-cmd --info-ipset=netblacklist netblacklist type: hash:net options: family=inet hashsize=4096 maxelem=200000 entries: 添加两个网段LinuxEA # firewall-cmd --permanent --ipset=netblacklist --add-entry=172.16.100.0/24 successLinuxEA # firewall-cmd --permanent --ipset=netblacklist --add-entry=192.168.2.0/24 successLinuxEA # firewall-cmd --info-ipset=netblacklist netblacklist type: hash:net options: family=inet hashsize=4096 maxelem=200000 entries: 172.16.100.0/24 192.168.2.0/24或者添加一个ip文件列表LinuxEA # cat > iplist.txt <<EOL > 10.10.1.0/23 > 192.168.0.3 > 172.16.100.0/24 > 172.16.90.0/24 > EOL--add-entries-from-file添加，改成--remove-entries-from-file就删除LinuxEA # firewall-cmd --permanent --ipset=netblacklist --add-entries-from-file=iplist.txt successfirewall-cmd --permanent --ipset=netblacklist --remove-entries-from-file=iplist.txt单个添加和单个删除LinuxEA # firewall-cmd --permanent --ipset=netblacklist --add-entry=172.16.100.118 successfirewall-cmd --permanent --ipset=netblacklist --remove-entry=172.16.100.118LinuxEA # firewall-cmd --reload successLinuxEA # firewall-cmd --info-ipset=netblacklist netblacklist type: hash:net options: family=inet hashsize=4096 maxelem=200000 entries: 172.16.100.0/24 192.168.2.0/24 10.10.1.0/23 192.168.0.3 172.16.90.0/24没有丢弃参数，没有iptables命令，也没有与IP数据包相关的内容。这是因为使用的是firewalld的源功能，当一个IP地址与源（源接口，源IP甚至源MAC地址）匹配时，上述规则会将IP地址重定向到特定区域，在这种情况下为“阻止”。作用到某个区域firewall-cmd --permanent --zone=drop --add-source=ipset:netblacklist从区域内删除firewall-cmd --permanent --zone=drop --remove-source=ipset:netblacklist管理命令查看ipsetLinuxEA # firewall-cmd --permanent --get-ipsets blacklist1 netblacklist查看ipset表LinuxEA # firewall-cmd --permanent --info-ipset=netblacklist netblacklist type: hash:net options: family=inet hashsize=4096 maxelem=200000 entries: 172.16.100.0/24 192.168.2.0/24 10.10.1.0/23 192.168.0.3 172.16.90.0/24LinuxEA # firewall-cmd --permanent --info-ipset=blacklist1 blacklist1 type: hash:ip options: entries: 端口转发sysctl -w net.ipv4.ip_forward=1如果防火墙是您的网络网关，并且不希望所有人都知道您的内部地址，则可以设置两个区域，一个称为内部区域，另一个称为外部区域，并在外部区域上配置伪装。 这样，所有数据包都将获取您的防火墙IP地址作为源地址。端口转发是一种将特定端口的入站网络流量转发到另一个内部地址或备用端口的方法端口转发需要masquerading ，因此创建LinuxEA # firewall-cmd --zone=external --add-masquerade success如果希望暂时将所有要发送给端口22的数据包转发到端口tcp 3753LinuxEA # firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=3753 success把80端口转发到后端的172.25.100.2 8080firewall-cmd --permanent --add-forward port=80:proto=tcp:toaddr=172.25.100.2:toport=8080要删除端口转发，使用-remove-forward-port选项firewall-cmd --zone=external --remove-forward-port=port=22:proto=tcp:toport=3753如果要定义目标IP地址：LinuxEA # firewall-cmd --permanent --zone=external --add-forward-port=port=22:proto=tcp:toport=3753:toaddr=172.16.100.101 success LinuxEA # firewall-cmd --reload success--permanent永久生效示例：假如现在希望通过SSH从public （10.10.1.0/24）访问dmz网络（10.8.8.0/24）上的服务器。为此，我们需要放置一些端口转发规则。以下规则配置端口转发，以便将与10.10.1.79:2271的连接转发到10.8.8.71:22，并进行SSH日志记录# firewall-cmd --permanent --zone=public --add-forward-port='port=2271:proto=tcp:toport=22:toaddr=10.8.8.71' # firewall-cmd --permanent --zone=public --add-rich-rule='rule service name=ssh log prefix="SSH_" level="debug" limit value=1/m reject' # firewall-cmd --reload普通配置示例# 创建linuxea区域 firewall-cmd --permanent --new-zone=linuxea firewall-cmd --reload删除zone只需要删除/etc/firewalld/zones下的zone命名的xml文件而后重新加载即可# 修改默认域为linuxea firewall-cmd --set-default-zone=linuxea # 放行https,http firewall-cmd --permanent --zone=linuxea --add-service={http,https} # 运行172.16.100.101登录ssh firewall-cmd --permanent --zone=linuxea --add-rich-rule='rule family="ipv4" source address="172.16.100.101" port port="22" protocol="tcp" accept' # 允许10.100.10.0/24网段访问8080端口 firewall-cmd --permanent --zone=linuxea --add-rich-rule='rule family="ipv4" source address="10.100.10.0/24" port port="8080" protocol="tcp" accept' # 拒绝10.100.100.4访问80端口 firewall-cmd --permanent --zone=linuxea --add-rich-rule='rule family="ipv4" source address="10.100.100.4" port port="80" protocol="tcp" drop'# 重载 LinuxEA # firewall-cmd --reload success # 查看规则 LinuxEA # firewall-cmd --list-all linuxea (active) target: default icmp-block-inversion: no interfaces: ens33 sources: services: http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: rule family="ipv4" source address="172.16.100.101" port port="22" protocol="tcp" accept rule family="ipv4" source address="10.100.100.4" port port="80" protocol="tcp" drop rule family="ipv4" source address="10.100.10.0/24" port port="8080" protocol="tcp" accept紧急模式firewall-cmd --panic-on 执行端口所有连接 firewall-cmd --panic-off 关闭 firewall-cmd --query-panic 查询

linuxea: lsyncd快速配置安装 Lsyncd-实时同步相比较之前的rsync同步的方式，他可以通过ssh的方式进行同步，这也是为什么要写这篇笔记的原因。通常而言，越简单越高效的东西都有必要和价值来进行分享。rsync+ssh配置起来更加复杂，ssh操作文件和目录。通过配置文件来做自定义配置，使用shell脚本和lua语言编写。配置简单，灵活，详细查看官网手册:https://axkibe.github.io/lsyncd/lsyncd2.2.1需要在源节点和目标节点安装rsync>=3.1。这个需求通常来讲系统自带的就足够了。因此，我们要安装的依赖包就包括lua,liblua,以及cmake：yum install lua lua-devel cmake -y克隆代码[root@linuxea_node ~]# git clone https://github.com/axkibe/lsyncd.git /usr/local/lsyncd Cloning into '/usr/local/lsyncd'... remote: Enumerating objects: 4333, done. remote: Total 4333 (delta 0), reused 0 (delta 0), pack-reused 4333 Receiving objects: 100% (4333/4333), 1.76 MiB | 780.00 KiB/s, done. Resolving deltas: 100% (2577/2577), done.安装依赖包安装几个依赖包[root@linuxea_node ~]# cd /usr/local/lsyncd [root@linuxea_node /usr/local/lsyncd]# yum install lua lua-devel cmake -y编译安装安装完成后进行编译即可[root@linuxea_node /usr/local/lsyncd]# cmake . -- The C compiler identification is GNU 4.8.5 -- The CXX compiler identification is GNU 4.8.5 -- Check for working C compiler: /usr/bin/cc -- Check for working C compiler: /usr/bin/cc -- works -- Detecting C compiler ABI info -- Detecting C compiler ABI info - done -- Check for working CXX compiler: /usr/bin/c++ -- Check for working CXX compiler: /usr/bin/c++ -- works -- Detecting CXX compiler ABI info -- Detecting CXX compiler ABI info - done -- Found Lua: /usr/lib64/liblua.so;/usr/lib64/libm.so (found version "5.1.4") -- Configuring done -- Generating done -- Build files have been written to: /usr/local/lsyncd[root@linuxea_node /usr/local/lsyncd]# make [ 12%] Generating defaults.out Compiling built-in default configs [ 25%] Generating runner.out Compiling built-in runner [ 37%] Generating runner.c Generating built-in runner linkable [ 50%] Generating defaults.c Generating built-in default configs Scanning dependencies of target lsyncd [ 62%] Building C object CMakeFiles/lsyncd.dir/lsyncd.c.o [ 75%] Building C object CMakeFiles/lsyncd.dir/runner.c.o [ 87%] Building C object CMakeFiles/lsyncd.dir/defaults.c.o [100%] Building C object CMakeFiles/lsyncd.dir/inotify.c.o Linking C executable lsyncd [100%] Built target lsyncd[root@linuxea_node /usr/local/lsyncd]# make install [100%] Built target lsyncd Install the project... -- Install configuration: "" -- Installing: /usr/local/bin/lsyncd -- Installing: /usr/local/man/lsyncd.1ssh互通通常而言，我们需要打通目标节点在目标节点放行源节点的端口，假如是iptables，就如下添加iptables -I INPUT 5 -s 172.25.110.49 -p tcp -m tcp -m state --state NEW -m multiport --dports 22,2222 -m comment --comment "ssh" -j ACCEPT在源节点复制key到目标节点[root@linuxea_node /usr/local/lsyncd]# ssh-keygen -t rsa Generating public/private rsa key pair. Enter file in which to save the key (/root/.ssh/id_rsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa. Your public key has been saved in /root/.ssh/id_rsa.pub. The key fingerprint is: SHA256:0vgvn8tziq24dxuhg0yLTsVl3OGQNakxeWJUIUWNJPg root@172_30_2_44.cluster.com The key's randomart image is: +---[RSA 2048]----+ | o=OX= | | ..B*+o. | | o+*o | | . =E | | * S . | | = = . . | | o + + . | | o .o*oo. | | . ooo=X* | +----[SHA256]-----+[root@linuxea_node /usr/local/lsyncd]# ssh-copy-id 172.25.110.50 /usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub" The authenticity of host '172.25.110.50 (172.25.110.50)' can't be established. ECDSA key fingerprint is SHA256:3BVoJtcE0SnDZN3NA9tRMIoiae7d4vi0FkX6ZltAixE. ECDSA key fingerprint is MD5:e0:75:bd:aa:75:13:c7:e0:d6:2f:21:24:1a:45:42:f1. Are you sure you want to continue connecting (yes/no)? yes /usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed /usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys root@172.25.110.50's password: Number of key(s) added: 1 Now try logging into the machine, with: "ssh '172.25.110.50'" and check to make sure that only the key(s) you wanted were added.配置文件我们将nginx的配置文件实时镜像到172.25.110.50上，配置文件如下[root@DT_Node-172_25_244_4 ~]# cat /usr/local/etc/lsyncd.conf -- this file is sync from cserver settings { logfile ="/var/log/nginx_conf_lsyncd.log", statusFile ="/var/run/nginx_conf_lsyncd.status", inotifyMode = "CloseWrite", maxProcesses = 1, insist = true, } servers = { -- "主机位置" "172.25.110.50", -- server2 } for _, server in ipairs(servers) do sync { default.rsyncssh, source="/usr/local/nginx/conf", host=server, targetdir="/usr/local/nginx/conf", maxDelays=5, delay=0, delete="true", exclude={ ".*", "*.tmp" }, rsync = { binary="/usr/bin/rsync", archive = true, compress = true, verbose = true, rsh = "/usr/bin/ssh -p 22992 -o StrictHostKeyChecking=no" } } end启动[root@linuxea_node /usr/local/nginx]# lsyncd -log Exec /usr/local/etc/lsyncd.conf 03:25:20 Normal: --- Startup, daemonizing ---而后，我们清空日志，手动添加文件测试[root@linuxea_node /usr/local/nginx]# > /var/log/nginx_conf_lsyncd.log [root@linuxea_node /usr/local/nginx]# tail -f /var/log/nginx_conf_lsyncd.logtouch一个text.txtroot@linuxea_node ~]# touch /usr/local/nginx/conf/test.txt日志已经显示同步[root@linuxea_node /usr/local/nginx]# tail -f /var/log/nginx_conf_lsyncd.log Sat Mar 21 03:27:19 2020 Normal: Calling rsync with filter-list of new/modified files/dirs /test.txt / Sat Mar 21 03:27:19 2020 Exec: /usr/bin/rsync [<] [/test.txt /] [-gvzsolptD] [--rsh=/usr/bin/ssh -p 22992 -o StrictHostKeyChecking=no] [-r] [--force] [--from0] [--include-from=-] [--exclude=*] [/usr/local/nginx/conf/] [172.25.110.50:/usr/local/nginx/conf/] Sat Mar 21 03:27:19 2020 Exec: one-sweeped pipe sending incremental file list ./ test.txt sent 106 bytes received 38 bytes 288.00 bytes/sec total size is 0 speedup is 0.00 Sat Mar 21 03:27:19 2020 Normal: Finished (list): 0 可以通过远程查看[root@linuxea_node ~]# ssh 172.25.110.50 ls /usr/local/nginx/conf/te* /usr/local/nginx/conf/test.txt配置文件全局设置logfile 定义日志文件 stausFile 定义状态文件 statusInterval 将lsyncd的状态写入上面的statusFile的间隔，默认10秒 nodaemon=true 表示不启用守护模式，默认 inotifyMode 指定inotify监控的事件，默认是CloseWrite，还可以是Modify或CloseWrite or Modify maxProcesses 同步进程的最大个数。假如同时有20个文件需要同步，而maxProcesses = 8，则最大能看到有8个rysnc进程 maxDelays 累计到多少所监控的事件激活一次同步，即使后面的delay延迟时间还未到定义同步参数，可以继续使用maxDelays来重写settings的全局变量。模式运行default.rsync 本地目录间同步，使用rsync，也可以达到使用ssh形式的远程rsync效果，或daemon方式连接远程rsyncd进程； default.direct 本地目录间同步，使用cp、rm等命令完成差异文件备份； default.rsyncssh 同步到远程主机目录，rsync的ssh模式，需要使用key来认证目录设置source 同步的源目录，使用绝对路径。 target 定义目的地址.对应不同的模式有几种写法： /tmp/dest 本地目录同步，可用于direct和rsync模式 172.25.100.10:/tmp/dest 同步到远程服务器目录，可用于rsync和rsyncssh模式 excludeFrom 排除选项，后面指定排除的列表文件，如excludeFrom = "/etc/lsyncd.exclude"，如果是简单的排除，可以使用exclude = LIST。这里的排除规则写法与原生rsync有点不同，更为简单：监控路径里的任何部分匹配到一个文本，都会被排除，例如foo可以匹配/bin/foo/bar 如果规则以斜线/开头，则从头开始要匹配全部 如果规则以/结尾，则要匹配监控路径的末尾 ?匹配单个任何字符，但不包括/ *匹配0或多个字符，但不包括/ **匹配0或多个字符，可以是/delaydelay 累计事件，等待rsync同步延时时间，默认15秒（最大累计到1000个不可合并的事件）。也就是15s内监控目录下发生的改动，会累积到一次rsync同步，避免过于频繁的同步。（可合并的意思是，15s内两次修改了同一文件，最后只同步最新的文件）delete 为了保持target与souce完全同步，Lsyncd默认会delete = true来允许同步删除。它除了false，还有startup、runningtrue Lsyncd将在目标上删除任何不在源中的内容。 在启动时和正常操作中被删除的内容。 false 在lsyncd启动后将在目标上不删除任何不在源中的内容， 在启动时和正常操作中被删除的内容。 startup 启动时将执行一次完全文件同步，保证完全一致；正常运行过程中不会删除target中的文件 running 启动前，增加的会同步，删除的不同步；正常运行过程中会删除target中的文件bwlimit 限速，单位kb/s，与rsync相同 compress 压缩传输默认为true。在带宽与cpu负载之间权衡，本地目录同步可以考虑把它设为false perms 默认保留文件权限。如果你打不开官方例子，配置部分可参考中文文档,或者其他

PV unknown device VG处理 如：WARNING: Device for PV ZKBljh-qpd7-IhOp-9pSg-1270-kOe0-HZOuYi not found or rejected by a filter PV unknown device VG MKVG lvm2 [100.00 GiB / 100.00 GiB free][root@linuxea-Node49 ~]# vgscan -P PARTIAL MODE. Incomplete logical volumes will be processed. Reading all physical volumes. This may take a while... WARNING: Device for PV ZKBljh-qpd7-IhOp-9pSg-1270-kOe0-HZOuYi not found or rejected by a filter. WARNING: Device for PV L1x9c0-sItt-Wk79-NfGN-dkE8-fl4T-46oJld not found or rejected by a filter. WARNING: Device for PV W8c11Z-bZiH-NzYf-edTw-fghk-uhiK-oKmRXE not found or rejected by a filter. Found volume group "MKVG" using metadata type lvm2查看[root@linuxea-Node49 ~]# pvscan -P PARTIAL MODE. Incomplete logical volumes will be processed. WARNING: Device for PV ZKBljh-qpd7-IhOp-9pSg-1270-kOe0-HZOuYi not found or rejected by a filter. WARNING: Device for PV L1x9c0-sItt-Wk79-NfGN-dkE8-fl4T-46oJld not found or rejected by a filter. WARNING: Device for PV W8c11Z-bZiH-NzYf-edTw-fghk-uhiK-oKmRXE not found or rejected by a filter. WARNING: Device for PV ZKBljh-qpd7-IhOp-9pSg-1270-kOe0-HZOuYi not found or rejected by a filter. WARNING: Device for PV L1x9c0-sItt-Wk79-NfGN-dkE8-fl4T-46oJld not found or rejected by a filter. WARNING: Device for PV W8c11Z-bZiH-NzYf-edTw-fghk-uhiK-oKmRXE not found or rejected by a filter. PV /dev/xvda2 VG MKVG lvm2 [14.50 GiB / 0 free] PV unknown device VG MKVG lvm2 [100.00 GiB / 100.00 GiB free] PV unknown device VG MKVG lvm2 [20.01 GiB / 20.01 GiB free] PV unknown device VG MKVG lvm2 [20.01 GiB / 20.01 GiB free] Total: 4 [154.51 GiB] / in use: 4 [154.51 GiB] / in no VG: 0 [0 ]直接--removemissing[root@linuxea-Node49 ~]# vgreduce --removemissing -v MKVG Finding volume group "MKVG" WARNING: Device for PV ZKBljh-qpd7-IhOp-9pSg-1270-kOe0-HZOuYi not found or rejected by a filter. WARNING: Device for PV L1x9c0-sItt-Wk79-NfGN-dkE8-fl4T-46oJld not found or rejected by a filter. WARNING: Device for PV W8c11Z-bZiH-NzYf-edTw-fghk-uhiK-oKmRXE not found or rejected by a filter. There are 3 physical volumes missing. There are 3 physical volumes missing. Trying to open VG MKVG for recovery... Found same device /dev/xvda2 with same pvid jIyyxh6U9R3ev3PcOApJognXuKPlWkWQ WARNING: Device for PV ZKBljh-qpd7-IhOp-9pSg-1270-kOe0-HZOuYi not found or rejected by a filter. WARNING: Device for PV L1x9c0-sItt-Wk79-NfGN-dkE8-fl4T-46oJld not found or rejected by a filter. WARNING: Device for PV W8c11Z-bZiH-NzYf-edTw-fghk-uhiK-oKmRXE not found or rejected by a filter. There are 3 physical volumes missing. There are 3 physical volumes missing. Archiving volume group "MKVG" metadata (seqno 8). Removing PV with UUID ZKBljh-qpd7-IhOp-9pSg-1270-kOe0-HZOuYi from VG MKVG Removing PV with UUID L1x9c0-sItt-Wk79-NfGN-dkE8-fl4T-46oJld from VG MKVG Removing PV with UUID W8c11Z-bZiH-NzYf-edTw-fghk-uhiK-oKmRXE from VG MKVG Creating volume group backup "/etc/lvm/backup/MKVG" (seqno 9). Wrote out consistent volume group MKVG在查看[root@linuxea-Node49 ~]# vgscan -P PARTIAL MODE. Incomplete logical volumes will be processed. Reading all physical volumes. This may take a while... Found volume group "MKVG" using metadata type lvm2

sersync2文件同步示例 10.0.1.61(分发)10.10.240.113(deam1)10.0.1.49(deam2)当10.0.1.49的/data/wwwroot目录下文件发生改变，sersync2就会同步到10.0.1.61和10.10.240.113上面，首先需要配置rsync同步配置完成，如下：deam安装分别在两台机器上部署rsync，以deam守护启动[root@linuxea ]# yum install rsync -y [root@linuxea ]# echo "rsync_backup:linuxea" >/etc/rsync.password [root@linuxea ]# chmod 600 /etc/rsync.password防火墙放行临时添加如下iptables -I INPUT 4 -p tcp -m state --state NEW,ESTABLISHED -m tcp -m multiport --dports 873 -m comment --comment "rsyncd" -j ACCEPT配置文件如下[root@linuxea ]# vim /etc/rsyncd.conf uid = root gid = root use chroot = no max connections = 2000 timeout = 600 pid file = /var/run/rsyncd.pid lock file = /var/run/rsync.lock lof file = /var/log/rsyncd.log ignore errors read only = false list = false hosts allow = 10.0.1.61,10.10.240.113,10.0.1.49 #允许的ip hosts deny = * auth users = rsync_backup #认证用户 secrets file = /etc/rsync.password \################################################### [linuxea] path=/data/wwwroot/创建目录后启动[root@linuxea ]# mkdir -p /data/wwwroot [root@linuxea ]# systecmctl start rsyncd同步机器-10.0.1.49在49机器上将本地的文件同步到两台deam中确保可以进行同步,测试安装rsync[root@linuxea ]# yum install rsync -y [root@linuxea ]# echo "rsync_backup:linuxea" >/etc/rsync.password [root@linuxea ]# chmod 600 /etc/rsync.password测试[root@linuxea ]# rsync -avz /data/wwwroot/ rsync_backup@10.10.240.113::linuxea --password-file=/etc/rsync.password sending incremental file list sent 40 bytes received 9 bytes 98.00 bytes/sec total size is 0 speedup is 0.00 [root@linuxea ]# rsync -avz /data/wwwroot/ rsync_backup@10.0.1.61::linuxea --password-file=/etc/rsync.password sending incremental file list sent 40 bytes received 9 bytes 98.00 bytes/sec total size is 0 speedup is 0.00安装sersync2在49的机器安装sersync2，如果49机器的/data/wwwroot下文件发生改变则同步到两台deam机器上我们在这里download ： http://code.google.com/p/sersync/downloads/list[root@linuxea ]# tar xf sersync2.5.4_64bit_binary_stable_final.tar.gz [root@linuxea ]# mkdir /usr/local/sersync/ [root@linuxea ]# mv GNU-Linux-x86/ /usr/local/sersync/ sersyncd启动脚本:[root@linuxea ]# cat /etc/init.d/sersyncd \#!/bin/bash . /etc/rc.d/init.d/functions case "$1" in start) cd /usr/local/sersync/GNU-Linux-x86/ ./sersync2 -r -d -o /usr/local/sersync/GNU-Linux-x86/confxml.xml if [ $? -eq 0 ] then echo -e "Staring sersyncd [ OK ]" exit 0 fi ;; stop) kill `ps -ef|awk '/[s]ersync2/{print $2}'` if [ $? -eq 0 ] then echo -e "Stopping sersyncd [ OK ]" exit 0 fi ;; status) ps -ef|awk '/[s]ersync2/{print $0}' ;; esacconfxml.xml配置1,修改sersync同步的目录 <sersync> <localpath watch="/data/wwwroot"> <remote ip="10.0.1.61" name="linuxea"/> <remote ip="10.10.240.113" name="linuxea"/> </localpath> <rsync>如下： <sersync> <localpath watch="/data/wwwroot"> 本地目录，/data/wwwroot <remote ip="10.0.1.61" name="linuxea"/> 同步到rsync的ip和rsync模块名称，我这里的是linuxea，可参考上rsyncd.conf中的配置 <remote ip="10.10.240.113" name="linuxea"/> </localpath> <rsync>2,修改rsync同步配置| <rsync> | <commonParams params="-artuz"/> | <auth start="true" users="rsync_backup" passwordfile="/etc/rsync.password"/> | <userDefinedPort start="false" port="874"/><!-- port=874 --> | <timeout start="false" time="100"/><!-- timeout=100 --> | <ssh start="false"/> | </rsync>如下：| <rsync> | <commonParams params="-artuz"/> 同步参数 | <auth start="true" users="rsync_backup" passwordfile="/etc/rsync.password"/> 同步的用户名和密码，这里需要改成true才能生效 | <userDefinedPort start="false" port="874"/><!-- port=874 --> 端口默认 | <timeout start="false" time="100"/><!-- timeout=100 --> timeout设置rsync的timeout时间(-timeout=100)。 | <ssh start="false"/> 如果true时表示ssh使用rsync –e ssh的方式进行传输 | </rsync>3,rsync_fail_log位置修改<failLog path="/usr/local/sersync/GNU-Linux-x86/logs/rsync_fail_log.sh" timeToExecute="60"/><!--default every 60mins execute once-->创建目录/usr/local/sersync/GNU-Linux-x86/logs/4,多实例的同步情况（针对多个模块同步的情况）sersync -r –d –o /usr/local/sersync/GNU-Linux-x86/confxml1.xml sersync -r –d –o /usr/local/sersync/GNU-Linux-x86/confxml2.xml-r :-r参数作用是在开启实时监控之前对主服务器目录与远程目标机目录进行一次整体同步，如果需要将sersync运行前，主服务器目录下已经存在的所有文件或目录全部同步到远端，则需要指定-r参数运行sersync，将本地与远程整体同步一次。说明：如果设置了过滤器，即在xml配置文件中，filter为true，则暂时不能使用-r参数进行整体同步。–o : 不指定-o参数时，sersync可执行文件目录下的默认配置文件confxml.xml，如果需要使用其他的配置文件，可以使用-o参数指定其他配置文件，通过-o参数，我们可以指定多个不同的配置文件，从而实现sersync多进行多实例的数据同步。–n : -n参数为指定默认的线程池的现充总数。-d ：后台运行-m ：不同步，只允许插件5,调试模式： <debug start="false"/> 设置为true值时，开启debug模式，会在sersync正在运行的控制台，打印inotify时间与rsync的同步命令。6,filter文件过滤： <filter start="false"> | <exclude expression="(.*)\.svn"></exclude> | <exclude expression="(.*)\.gz"></exclude> | <exclude expression="^info/*"></exclude> | <exclude expression="^static/*"></exclude> </filter>如下：系统默认提供了以*.gz和.svn以及info，static这些过滤的文件不会被监控，也就意味着不会被同步7,inotify文件监控： <inotify> <delete start="true"/> <createFolder start="true"/> <createFile start="true"/> <closeWrite start="true"/> <moveFrom start="true"/> <moveTo start="true"/> <attrib start="false"/> <modify start="false"/> </inotify>如下： <inotify> <delete start="true"/> 差异同步 <createFolder start="true"/> 目录监控，包括文件，目录，子目录 <createFile start="true"/> 关闭createFile为false可提供性能，减少rsync通讯，因为拷贝文件到监控目录会产生create事件与close_write事件，所以如果关闭create事件，只监控文件拷贝结束时的事件close_write,同样可以实现文件的完整同步。 <closeWrite start="true"/> <moveFrom start="true"/> <moveTo start="true"/> <attrib start="false"/> <modify start="false"/> </inotify>8,定期同步：| <crontab start="false" schedule="600"><!--600mins--> | <crontabfilter start="false"> | | <exclude expression="*.php"></exclude> | | <exclude expression="info/*"></exclude> | </crontabfilter> | </crontab>如下：默认600分钟定期同步一次，这里需要说明，如果开启了文件过滤，那么这里也需要同样的文件过滤配置9,文件系统<fileSystem xfs="true"/> <filter start="false"> <exclude expression="(.*)\.svn"></exclude> <exclude expression="(.*)\.gz"></exclude> <exclude expression="^info/*"></exclude> <exclude expression="^static/*"></exclude> </filter>如下： 对于XFS文件系统的用户，需要将这个选项开启，才能使sersync正常工作对于sersync监控的文件，会默认过滤系统的临时文件（以“.”开头，以“~”结尾），除了这些文件外，在6-11行中，我们还可以自定义其它需要过滤的文件。通过将 start 设置为 true 后可开启过滤功能，在exclude标签中可使用正则表达式。默认给出的两个例子分别是过滤以“.gz”结尾的文件与过滤监控目录下的info路径（监控路径/info/*），可以根据需求自己添加。但在开启的时候，自己一定要测试下，如果正则表达式出现错误，控制台会有相应提示。相比较使用 Rsync 的 exclude 功能，被过滤的路径，不会加入监控，大大减少 Rsync 同步的通讯量配置文件如下：

shell中/dev/null 2>&1是什么 高级用法重定向绑定好了，在有了以上知识的基础上，我们再来看开头提到的>/dev/null 2>&1。这条命令其实分为两命令，一个是>/dev/null，另一个是2>&1。/dev/null这条命令的作用是将标准输出1重定向到/dev/null中。/dev/null代表linux的空设备文件，所有往这个文件里面写入的内容都会丢失，俗称“黑洞”。那么执行了>/dev/null之后，标准输出就会不再存在，没有任何地方能够找到输出的内容。2>&1这条命令用到了重定向绑定，采用&可以将两个输出绑定在一起。这条命令的作用是错误输出将和标准输出同用一个文件描述符，说人话就是错误输出将会和标准输出输出到同一个地方。linux在执行shell命令之前，就会确定好所有的输入输出位置，并且从左到右依次执行重定向的命令，所以>/dev/null 2>&1的作用就是让标准输出重定向到/dev/null中（丢弃标准输出），然后错误输出由于重用了标准输出的描述符，所以错误输出也被定向到了/dev/null中，错误输出同样也被丢弃了。执行了这条命令之后，该条shell命令将不会输出任何信息到控制台，也不会有任何信息输出到文件中。/dev/null 2>&1 VS 2>&1 >/dev/null弄反了>/dev/null和2>&1拼装的顺序，导致出了一点小问题。乍眼看这两条命令貌似是等同的，但其实大为不同。刚才提到了，linux在执行shell命令之前，就会确定好所有的输入输出位置，并且从左到右依次执行重定向的命令。那么我们同样从左到右地来分析2>&1 >/dev/null：2>&1，将错误输出绑定到标准输出上。由于此时的标准输出是默认值，也就是输出到屏幕，所以错误输出会输出到屏幕。/dev/null，将标准输出1重定向到/dev/null中。我们用一个表格来更好地说明这两条命令的区别：命令 标准输出 错误输出/dev/null 2>&1 丢弃 丢弃2>&1 >/dev/null 丢弃 屏幕/dev/null 2>&1 VS >/dev/null 2>/dev/null那么可能会有些同学会疑问，为什么要用重定向绑定，而不是像>/dev/null 2>/dev/null这样子重复一遍呢。为了回答这个问题，我们回到刚才介绍输出重定向的场景。我们尝试将标准输出和错误输出都定向到out文件中：# ls a.txt b.txt >out 2>out # cat out a.txt�法访问b.txt: 没有那个文件或目录WTF？竟然出现了乱码，这是为啥呢？这是因为采用这种写法，标准输出和错误输出会抢占往out文件的管道，所以可能会导致输出内容的时候出现缺失、覆盖等情况。现在是出现了乱码，有时候也有可能出现只有error信息或者只有正常信息的情况。不管怎么说，采用这种写法，最后的情况是无法预估的。而且，由于out文件被打开了两次，两个文件描述符会抢占性的往文件中输出内容，所以整体IO效率不如>/dev/null 2>&1来得高。nohup结合我们经常使用nohup command &命令形式来启动一些后台程序，比如一些java服务：# nohup java -jar xxxx.jar &为了不让一些执行信息输出到前台（控制台），我们还会加上刚才提到的>/dev/null 2>&1命令来丢弃所有的输出：# nohup java -jar xxxx.jar >/dev/null 2>&1 &总结本文主要介绍了linux重定向的原理以及一些基本命令，并且详细地分析了>/dev/null 2>&1这个命令以及一些注意点。总而言之，在工作中用到最多的就是nohup command >/dev/null 2>&1 &命令，希望大家能够好好掌握。