存档

文章标签 ‘服务器安全’

高可靠性的秘密 解析服务器容错技术

2013年6月7日 没有评论

相对于PC来说,服务器拥有更高的可用性和可靠性。随着信息化的不断深入和关键业务平台的IT信息化进程的推进,使得服务器面临着有史以来最沉重的压力,尤其是在ISP、NCP、金融、电信、证券、能源、科研等行业和部门的应用需求,对服务器不断提出挑战。

这种挑战其实本质上就是7*24全天候稳定运行。如何确保在突发情况下服务器能够正常运转,并确保故障出现的时候不会带来业务的中断运行,成为了服务器容错技术的重中之重。

“容错”,顾名思义是服务器对于系统运行中产生的错误、故障的容纳、纠错能力,它是企业级应用中对于服务器稳定性追求的目标。人们俗称的99.999%就是对于服务器系统高稳定性诉求的直观体现。容错服务器能够允许出现一定的错误(故障),这些服务器通常都具备有自动修复和支持冗余的功能模块。当错误或者故障出现的时候,这些出错的部件可以得到及时的修复或者切换,从而确保服务器不间断运行。在目前,服务器的容错技术主要集中在服务器集群、双机冗余备份、单机容错技术三种。

服务器容错技术并不是近几年才出现,早在上世纪八十年代的时候就已经出现并得到应用。容错其实是来自国外(Fault Tolerant)的意译,该词最早来自当时著名的Stratus公司。在上世纪八十年代第一代容错技术开始进入商用领域。当时主要被应用在金融、电信、证券、航空等行业领域。

随后,服务器容错技术得到进一步发展,并先后经历了二代I860、三代HP PA-RISC、四代IA架构容错技术发展。目前谈论的服务器容错技术其实更主要的是针对单台服务器而言。这种方式相比其他方式成本较低、容错能力较高、可满足大多数用户的需求。接下来,我们会重点谈谈单机和双机(冗余)容错技术。

前面我们讲过,服务器容错技术主要由服务器集群、双机热备份和单机容错技术。在这三种服务器容错技术中,它们呈由低到高的级别递进,也就是单机容错技术级别最高,而集群技术的容错技术级别最低。

双机热备份技术是一种系统级的容错技术,也就是采用软硬一体的方式来实现容错。一般它们是在两台服务器之外额外增添一个共享磁盘阵列,或者两台服务器中的RAID阵列,并通过相应的双机热备份软件共同实现。

双机热备容错技术,主要是“双保险”的机制来确保其中任何一台服务器出现故障,及时由另外一台机器切换并保证业务的连续运行。不过,由于这种方式往往需要借助另外一台服务器时刻处于后备状态,对于硬件设施的投入和计算资源的利用来说,存在一定的浪费。

相比之下,单机容错技术则主要是通过部件冗余的方式来实现。这种单机容错技术的容错能力比服务器集群、双机热备的容错能力都要高。

容错服务器通常对CPU、内存、磁盘和网卡甚至电源实现冗余备份,在任何部件出现问题的时候都不会造成系统宕机和数据丢失。目前很多基于工业标准的x86服务器都能实现这种冗余容错机制,而且是以更具成本优势的方式来实现。

容错服务器是通过硬件部件的冗余设计和同步技术,确保故障带来的影响降至最低。目前容错服务器主要围绕处理器来展开,就目前来说,很多服务器厂商都有自己的容错服务器。

比如惠普就提供有专门面向关键业务容错技术的NonStop(包括NonStop S和Integrity NonStop)系列服务器,该系列服务器就是根据处理器的不同而被划分成两大类,也就是采用MIPS的NonStop S和采用英特尔安腾芯片的Integrity NonStop服务器。

Integrity NonStop具有很多新的设计,其产品家族分为入门级、中高端和最高端服务器。去年惠普还拓展了安腾服务器家族,推出了适用于异构环境的NS2100、NS2200。

另外还有两家比较著名的容错服务器厂商,包括NEC和Express5800/ft服务器和Stratus的ftServer服务器。后者在容错服务器技术领域拥有较为成熟的经验,前后开发出基于Motorola M68000、Intel I860芯片、HP PARISC等不同处理器,以及VOS专有操作系统的服务器产品。后来噶公司逐渐采用了基于Linux、Windows等通用平台代替专用的VOS操作系统,以降低容错服务器的应用成本。

NEC通过对Stratus进行投资控股,也获得并采用了与其类似的容错服务器的开发和推广策略。在容错技术领域,NEC早在2001年就推出了首个基于IA架构的容错服务器。其Express5800/ft系列在Windows及Linux平台上的可靠性达到了99.999%,这种实时保护技术来源于STRATUS连续处理技术(Fundamentals of Continuous Pro-cessingDesign)。

目前,容错技术从原来的电信、证券、金融等传统关键应用行业逐渐过渡到基础性行业,比如制造业、能源、物流、交通等等。此外,容错服务器还将更多地会注重TCO总体拥有成本,而且将有更多的用户会放弃传统的双机热备的方式来维护复杂的集群服务器,转而采用具有容错技术的服务器平台。

关于Linux系统网卡流量Tx和Rx的意思详解

2013年6月2日 没有评论

在linux环境系统下,经常我们在用软件查看网卡流量的时候分不太清楚tx和rx的分别。
其实正常来解释:
tx是发送(transport),rx是接收(receive)。以debain系统为例子。比如你的外网网卡,wan,rx是wan接受ISP的传输数据, 即下载速度。wan的tx,是工作站经ros wan网卡向isp上传的速度,既上传速度。内网网卡lan的rx,应该是ros接受来之内网工作站的上传,既是上传速度。tx是lan网卡传给工作站的速度,即工作站经内网网卡下载的速度 (debain)。tx rx 每个版本都不一样的。而且相对于外网和内网的解释又是相反的你就记住一般RX外网指的是下载,TX指的是上传而内网相反就行了
下例是我们使用bwm-ng软件查看的相关网卡的流量情况。

tap150i0等网卡显示的 Rx和Tx 就是表示 : Rx 出流量 Tx 进流量 上面eth0相反。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 bwm-ng v0.6 (probing every 0.500s), press 'h' for help
  input: /proc/net/dev type: rate
  |         iface                   Rx                   Tx                Total
  ==============================================================================
               lo:          33.96 Kb/s           33.96 Kb/s           67.92 Kb/s
             eth0:        4734.80 Kb/s         4469.48 Kb/s         9204.28 Kb/s
            vmbr0:          37.96 Kb/s           60.48 Kb/s           98.43 Kb/s
           venet0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap150i0:           8.92 Kb/s            8.08 Kb/s           16.99 Kb/s
         tap108i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap102i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap107i0:          10.29 Kb/s           12.34 Kb/s           22.63 Kb/s
         tap101i0:         149.11 Kb/s          147.53 Kb/s          296.64 Kb/s
         tap117i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap118i0:         114.99 Kb/s          136.64 Kb/s          251.63 Kb/s
         tap155i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap120i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap121i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap116i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap113i0:        1519.50 Kb/s         1403.32 Kb/s         2922.82 Kb/s
         tap112i0:         565.15 Kb/s          566.64 Kb/s         1131.79 Kb/s
         tap149i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap119i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap160i0:           0.00 Kb/s            0.00 Kb/s            0.00 Kb/s
         tap100i0:         678.86 Kb/s          636.36 Kb/s         1315.22 Kb/s
         tap103i0:        1282.07 Kb/s         1263.13 Kb/s         2545.21 Kb/s
         tap128i0:          79.09 Kb/s           83.12 Kb/s          162.21 Kb/s
  ------------------------------------------------------------------------------
            total:        9214.69 Kb/s         8821.09 Kb/s        18035.78 Kb/s

IIS 关闭 HTTPERR

2013年5月18日 没有评论

今天客户反映说远程登录服务器后,发现服务器的C盘满了,记得已经把日志移动到D盘了,怎么C盘容量还在不断减少,不断排查,发现 C:\WINDOWS\system32\LogFiles\HTTPERR 目录下有大量log文件,占用了大量空间,C盘满的原因就是这个目录的文件引起的。

  默认情况下,Windows 2003服务器会把所有IIS访问错误的记录写入该目录下的 log 文件中,如果访问量比较大,可能一段时间后,日志文件就会占满C盘空间,导致服务器死机。

关闭HTTPERR目录日志文件的方法是:

一、关闭HTTPERR的方法:
  运行 regedit
  找到
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters]
  在右边 右键 新建dword值 EnableErrorLogging
  ”EnableErrorLogging”=dword:00000000
  重启IIS后不再写入HTTPERR日志文件.
  二、修改存储目录也不失为一个好的办法HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters
  在下面建立一个字符串值.即REG_SZ
  数值名称 命名为: ErrorLoggingDir
  数值数据 为你指定的路径 比如 D:\LogFiles

合勤 ZyXEL ES-2024A 可网管二层快速以太网络交换机

2013年5月17日 没有评论

介绍一款不错的可网管型交换机

功能特性简介:

高性能线速交换机

ZyXEL ES-2024A可网管二层快速以太网络交换机是为中小企业SMB和校园网络提供的高性能的终端网络解决方案。基于无阻塞的8.8Gbps以太网络架构,ES-2024A提供24 Port 10/100Mbps的二层交换能力,在线速上超过了现有的CAT-5到桌面计算机的应用。它的双属性 Port (RJ-45或者SFP)能够高速循环往复的传送信息,并更高效率的利用频宽。

高安全性的网络网关功能

合勤ES-2024A的特点之一是扩展了安全功能,能够阻止未经授权的数据通过。它所支持的802.1x验证限制了未经授权的用户使用频宽,同时合法的用户亦可管理其流量。通过与其它功能的同时运作,其它的网络控制可以在检查用户名和密码之后被执行,它可以为有线的和无线的用户提供集中的认证服务。

除了认证保护,ZyXEL ES-2024A支持的硬件机制(包括MAC 过滤,MAC冻结和特定MAC地址转发)允许网络管理人员根据设备的MAC设置安全策略。ES-2024A是为提高网络网关安全策略所设计,能够提供综合安全功能的设备。

 

极高的网络利用率

合勤的ES-2024A支持802.1w RSTP协议,使其能够快速修复断开的链路,并且能够帮助形成有弹性的网络,这些网络能够大大的提高运行时间和网络利用率。

另外,对802.3网络合并标准的执行能够形成一个多 Port 的网络合并,提供安全的可弹性的频宽需求。

同时,网络合并有负载分配和备援网络的优点,提高了网络的可用性。

 

IEEE 标准的网络管理功能

ES-2024A 提供 iStacking SNMP / Web / Telnet和RS-232的支持,使管理ES-2024A变得很容易。相对于传统的有限制的网络管理,ZyXEL ES-2024A通过先进的管理性能证明了自己的强大功能,例如ZyXEL独有的iStacking丛集管理技术能够使管理员通过单一的IP地址管理高达24台交换机,值得注意的是这个巧妙的功能降低了操作费用,同时增加了管理多种ZyXEL交换机的弹性。IT人员可以为操作的便利选择Web,命令列接口(CLI)或者基于文字的设定文件,甚至可以用SSHv1/v2 和SSL对指令进行加密。由于这些久经考验的功能性,IT人员有能力花最低的代价建造高度安全和有效的公司网络.

ZyXEL ES-2024A 性能规格
应用类型SOHO交换机
应用层级二层
系统内存256KB
交换方式存储-转发
背板带宽(Gbps)8.8
包转发率6.6Mpps
VLAN支持支持
MAC地址表8K
ZyXEL ES-2024A 网络特征
网络标准IEEE802.3,IEEE802.3u,IEEE802.3ab,IEEE802.3z,IEEE802.3x,IEEE802.1d,IEEE802.1w,IEEE802.1p,IEEE802.1QVLAN,IEEE802.1x,IEEE802.3ad
传输速率(Mbps)10/100/1000
端口类型10/100BASE-T,1000BASE-T,SFP
端口结构固定端口
固定端口数24
模块化插槽数2
ZyXEL ES-2024A 高级特性
是否支持全双工全、半双工
网管支持网管型
网管功能SSL/TLS,SSHv1/v2,支持合勤独特的丛集管理iStackingTM,图形化的网页管理,TelnetCLI,SNMPv2c,RS-232cLocalconsole,IP管理:静态或动态orDHCPclient,RMONfourRMONgroups1,2,3,9(历史,统计,警报,事件),端口镜像
堆叠不支持
电气参数
额定电压(V)100-240V交流,50/60Hz
额定功率(W)21
外观与环境
重量(Kg)2.1
尺寸(mm)173 × 438 × 438
工作温度(℃)0-45
工作湿度10~90%不结露
工作高度(米)3048
存储温度(℃)-25-70℃
存储湿度10~90%不结露
存储高度(米)6000

windows 给帐户添加“作为服务登录”权限

2013年5月7日 没有评论

应用到: Windows Server 2003 R2
给帐户添加“作为服务登录”权限
向本地计算机中的帐户添加“作为服务登录”权限
打开“本地安全策略”。
在控制台树中,双击“本地策略”,然后单击“用户权限分配”。
在细节窗格中,双击“作为服务登录”。
单击“添加用户或用户组”,然后添加适当的帐户到具有作为服务登录权限的帐户列表。
处于加入某个域的工作站或服务器上时,向某个组策略对象的帐户添加“作为服务登录”权限
单击“开始”,指向“运行”,键入 mmc,然后单击“确定”。
在“文件”菜单中,单击“添加/删除管理单元”。
在“添加/删除管理单元”中,单击“添加”,然后在“添加独立管理单元”中双击“组策略对象编辑器”。
在“选择组策略对象”中单击“浏览”,浏览至要修改的组策略对象 (GPO),单击“确定”,然后单击“完成”。
单击“关闭”,然后单击“确定”。
在控制台树中,单击“用户权限分配”。
位置
GroupPolicyObject [ComputerName] Policy

计算机配置

Windows 设置

安全设置

本地策略

用户权限分配

在细节窗格中,双击“作为服务登录”。
如果尚未定义该安全设置,请选中“定义这些策略设置”复选框。
单击“添加用户或用户组”,然后将适当的帐户添加到具有作为服务登录权限的帐户列表。
处于已安装 Windows Server 2003 Administration Tools Pack 的域控制器或计算机中时,向某个组策略对象的帐户添加“作为服务登录”权限
打开“Active Directory 用户和计算机”。
在控制台树中,右键单击要编辑安全设置的域或组织单位 (OU)。
单击“属性”,然后单击“组策略”选项卡。
在“组策略对象链接”中,单击域的组策略对象或要编辑安全设置的 OU,然后单击“编辑”。
在控制台树中,单击“用户权限分配”。
位置
GroupPolicyObject [ComputerName] Policy

计算机配置

Windows 设置

安全设置

本地策略

用户权限分配

在细节窗格中,双击“作为服务登录”。
如果尚未定义此安全设置,请选中“定义这些策略设置”复选框。
单击“添加用户或用户组”,然后将适当的帐户添加到具有作为服务登录权限的帐户列表。
处于域控制器中时,仅向域控制器的帐户添加“作为服务登录”权限
打开“域控制器安全策略”。
在控制台树中,单击“用户权限分配”。
位置
安全设置

本地策略

用户权限分配

在细节窗格中,双击“作为服务登录”。
如果尚未定义此安全设置,请选中“定义这些策略设置”复选框。
单击“添加用户或用户组”,然后将适当的帐户添加到具有作为服务登录权限的帐户列表。
注意
要打开“本地安全策略”,请单击“开始”,依次指向“控制面板”、“管理工具”,然后双击“本地安全策略”。

要打开“域控制器安全策略”,请单击“开始”,依次指向“所有程序”、“管理工具”,然后单击“域控制器安全策略”。

更改了安全设置后,该设置将在下一次刷新设置时生效。

在工作站或服务器上,每 90 分钟刷新一次安全设置;在域控制器上,每 5 分钟刷新一次安全设置。不管是否进行更改,安全设置都会每 16 小时刷新一次。

PHP在64位Win2003和IIS下运行设置方法

2013年5月7日 没有评论

环境是windows 2003 sp2 企业版 64位
iis配置好PHP之后居然出现错误信息:

%1 不是有效的 Win32 应用程序。
说这不是一个有效的win32程序…

解决办法:
由于系统是64位的..只好将IIS改为32位的工作模式。
于是找到了这条命令,详情参见微软官方的帮助文档:
Configuring IIS to Run 32-bit Applications on 64-bit Windows (IIS 6.0):
cscript.exe adsutil.vbs set W3SVC/AppPools/Enable32BitAppOnWin64 “true”
或者
cscript %SYSTEMDRIVE%\inetpub\adminscripts\adsutil.vbs SET W3SVC/AppPools/Enable32bitAppOnWin64 1 //这是一行命令!!切勿当成2条语句执行上面的命令是将将IIS由64位模式修改为32位模式。
更改完模式之后然后按照32位系统配置php即可

操作完成后支行 iisreset 重启iis 生效

如果你要从32位改为64位的.也只需要一个命令

cscript %SYSTEMDRIVE%\inetpub\adminscripts\adsutil.vbs
SET W3SVC/AppPools/Enable32bitAppOnWin64 0 //这是一行命令..切勿当成2条语句执行
当然,在更改完之后,PHP是无法运行的了,.NET运行的的话,就需要重新注册一次
32位:%SYSTEMROOT%\Microsoft.NET\Framework\v2.0.40607\aspnet_regiis.exe -i
64位:%SYSTEMROOT%\Microsoft.NET\Framework64\v2.0.40607\aspnet_regiis.exe -i

linux(centos)绑定ARP的方法

2013年4月16日 没有评论

ARP协议是“Address Resolution Protocol”(地址解析协议) 的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主 机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标 MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

而ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。

在工作中经常遇到有服务器受到ARP欺骗攻击,严重影响了网络的正常运营,于是想到将网关的ARP条目进行绑定。

本文是关于linux服务器下arp网关的绑定

1、查看网关的arp信息
[root@Vtest ~]# arp
Address HWtype HWaddress Flags Mask Iface
192.168.1.103 ether 00:16:ea:27:7b:04 C eth0
192.168.1.1 ether 40:16:9f:6c:39:1e C eth0

说明:
Address: 主机的IP地址
Hwtype: 主机的硬件类型
Hwaddress:主机的硬件地址
Flags Mask:记录标志,”C”表示arp高速缓存中的动态条目,”CM”表示静态的arp条目。

我们需要绑定的就是192.168.1.1所在的一行。

2、建立一个静态IP –>>mac对应的文件
[root@Vtest ~]#echo ’192.168.1.1 40:16:9f:6c:39:1e’>>/etc/ip-mac

3、设置开机自动绑定

arp信息重启后会清空,所以需要开机的时候自动绑定。服务器启动过程最后运行的脚本是rc.local,我们把绑定的命令就加到这个文件的最后一行。

[root@Vtest ~]#echo ‘arp -f /etc/ip-mac’ /etc/rc.local

4、手动绑定一下
[root@Vtest ~]#echo arp -f /etc/ip-mac

[root@Vtest ~]#arp -s 192.168.1.1 40:16:9f:6c:39:1e
5、验证
[root@Vtest ~]# arp -a
(192.168.1.103) at 00:16:ea:27:7b:04 [ether] on eth0
(192.168.1.1) at 40:16:9f:6c:39:1e [ether] PERM on eth0
[root@Vtest ~]# arp
Address HWtype HWaddress Flags Mask Iface
192.168.1.103 ether 00:16:ea:27:7b:04 C eth0
192.168.1.1 ether 40:16:9f:6c:39:1e CM eth0

从以上显示的信息来看,已经绑定成功了,第一个命令结果中的”PERM”表示Permanent,永久的意思,即绑定成永久arp条目。到这里绑定就完成了,你的网关arp绑定了么,为了稳定运行,赶快绑定吧。

6、这只能防住一些arp攻击,如果将网内所有ip mac导入ethers文件,能有效的防止arp攻击
安装nmap:

rpm -vhU http://nmap.org/dist/nmap-6.25-1.i386.rpm
rpm -vhU http://nmap.org/dist/zenmap-6.25-1.noarch.rpm
rpm -vhU http://nmap.org/dist/ncat-6.25-1.i386.rpm
rpm -vhU http://nmap.org/dist/nping-0.6.25-1.i386.rpm
扫描同网段所有ip
nmap -sP 192.168.1.0/24 2>&1 | tee ip.log
扫描,结果我的arp表里就有那个网段所有机器的mac,将所有信息复制至/etc/ip-mac文件

解决mysql数据库Forcing close of thread 的错误提示

2013年4月8日 没有评论

今天发现客户的网站老出现打不开的情况,发现连接数有超出的现象,但观察系统事件日志,都是下面的错误:

MySQL: Forcing close of thread **** user:”

事件类型: 警告
事件来源: MySQL
事件种类: 无
事件 ID: 100
日期: 2013-4-8
事件: 12:21:01
用户: N/A
计算机: vps12com0630
描述:
MySQL: Forcing close of thread 123756 user: ”

For more information, see Help and Support Center at http://www.mysql.com.

检查系统资源和连接数都是正常的情况下,没有找到解决办法。

在mysql配置文件my.ini 的 [mysql] 下面加上这个解决问题了!

skip-locking
skip-name-resolve

其他的同类错误要注意查看日志。新版本mysql的写法应该是:

skip-external-locking
skip-name-resolve

cactiEZ服务器重启后,显示黑条并获取不到图形的解决办法

2013年2月26日 没有评论

如图,cactiEZ服务器重启后,显示黑条并获取不到图形的解决办法!

网上有朋友说:在root下输入两条命令:自动修复下数据库

1
2
3
mysqlcheck --auto-repair --databases syslog
 
mysqlcheck --auto-repair --databases cacti

ps:其实直接用phpmyadmin进入数据库修复下全部的表!然后过一会,就可以恢复取到数据了。

ubuntu服务管理器sysv-rc-conf

2013年2月15日 没有评论

Linux的各大发行版,都有些不必要的服务被默认开启了,针对ubuntu,我们可以采用选择性关闭的方法加速起动,提高系统性能。

centos使用ntsys那么ubuntu我们这样:

我们安装一个软件:

1
sudo apt-get install sysv-rc-conf

然后运行:

1
sudo sysv-rc-conf