在不同的系统中，特别是linux和unix中显示的相关选项会有很大差别。

我们先以ubuntu为例：

一般VMSTAT工具的使用是通过两个数字参数来完成的，第一个参数是采样的时间间隔数，单位是秒，第二个参数是采样的次数。

1
2
3
4
5
6
7
8
9

ipcpu@ubuntu:~$ vmstat 5 10
procs -----------memory---------- ---swap-- -----io---- -system-- ----cpu----
r  b   swpd   free   buff  cache   si   so    bi    bo   in   cs us sy id wa
1  0      0 6797712 147668 884660    0    0     3    21  162  146  1  1 98  0
0  0      0 6797696 147668 884660    0    0     0     3   35   37  1  0 99  0
1  0      0 6797332 147668 884660    0    0     0    24   62   95  1  0 99  0
0  0      0 6811632 147668 884692    0    0     0     5   25   26  1  0 99  0
0  0      0 6818360 147668 884704    0    0     0     5   70  265  1  3 96  0
0  0      0 6817468 147668 884728    0    0     0   316  253  474  3  2 95  0

procs相关选项:
r    在运行队列中等待的进程数
b    在等待io的进程数

memoy
swapd    现时可用的交换内存（k表示）
free    空闲的内存（k表示）
buff    作为buffer cache的内存数量，一般对块设备的读写才需要缓冲。
cache    作为page cache的内存数量，一般作为文件系统的cache，

如果cache较大，说明用到cache的文件较多，如果此时IO中bi比较小，说明文件系统效率比较好。

swap
si     由内存进入内存交换区数量。
so    由内存交换区进入内存数量。
如今的大内存也让swap渐渐淡出了人们的视线，这个不好分析。

IO
bi     从块设备读入数据的总量（读磁盘）（每秒kb）。
bo     向块设备写入数据的总量（写磁盘）（每秒kb）

system 显示采集间隔内发生的中断数
in     列表示在某一时间间隔中观测到的每秒设备中断数。
cs    列表示每秒产生的上下文切换次数。

如当 cs 比磁盘 I/O 和网络信息包速率高得多，都应进行进一步调查。

cpu相关状态
cs[user]    用户进程消耗的CPU时间百分比
sy[system]    内核进程消耗的CPU时间百分比
id[idle]    cpu空闲的时间
wa[wait]    IO等待消耗的CPU时间百分比

us的值比较高时，说明用户进程消耗的cpu时间多，但是如果长期大于50%，需要考虑优化用户的程序。
us+sy 大于 80%说明可能存在CPU不足。
wa超过30%，说明IO等待严重，这可能是磁盘大量随机访问造成的，也可能磁盘或者磁盘访问控制器的带
宽瓶颈造成的(主要是块操作)。wa长期超过10% 就该考虑了。

*注意：
NFS由于是在内核里面运行的，所以NFS活动所占用的cpu时间反映在sy里面。这个数字经常很大的话，就需要注意是否某个内核进程，比如NFS任务比较繁重。如果us和sy同时都比较大的话，就需要考虑将某些用户程序分离到另外的服务器上面，以免互相影响。

CPU问题现象:
1) 如果在processes中运行的序列(process r)是连续的大于在系统中的CPU的个数表示系统现在运行比较慢，有多数的进程等待CPU。
2) 如果r的输出数大于系统中可用CPU个数的4倍的话，则系统面临着CPU短缺的问题，或者是CPU的速率过低，系统中有多数的进程在等待CPU，造成系统中进程运行过慢。
3) 如果空闲时间(cpu id)持续为0并且系统时间(cpu sy)是用户时间的两倍(cpu us) 系统则面临着CPU资源的短缺。

解决办法:
当发生以上问题的时候请先调整应用程序对CPU的占用情况。使得应用程序能够更有效的使用CPU。同时可以考虑增加更多的CPU。
关于CPU的使用情况还可以结合mpstat，   ps aux top   prstat等等一些相应的命令来综合考虑关于具体的CPU的使用情况，和那些进程在占用大量的CPU时间。一般情况下，应用程序的问题会比较大一些。比如一些SQL语句不合理等等都会造成这样的现象。

Unix中的vmstat

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

freebsd7.2中的vmstat
[ipcpu@freebsd ~]$ vmstat
procs      memory      page                   disk   faults         cpu
r b w     avm    fre   flt  re  pi  po    fr  sr ad4   in   sy   cs us sy id
0 0 0    152M  7448M   131   0   0   0   132   0   0  167  644  860  0  1 99
[ipcpu@freebsd ~]$
 
AIX 5.3中的vmstat
-bash-3.00$ vmstat
 
System configuration: lcpu=4 mem=1904MB
 
kthr    memory              page              faults        cpu   
----- ----------- ------------------------ ------------ -----------
r  b   avm   fre  re  pi  po  fr   sr  cy  in   sy  cs us sy id wa
1  1 308679 55310   0   0   0   0    1   0  94 4501 333  1  1 98  0
-bash-3.00$
 
SunOS 5.10的vmstat
 
-bash-3.00$ vmstat
kthr      memory            page            disk          faults      cpu
r b w   swap  free  re  mf pi po fr de sr s0 s1 s2 s5   in   sy   cs us sy id
0 0 0 2584720 2665344 3 10  1  0  0  0  0  0  0  0  0  495  249  235  0  0 99
-bash-3.00$

这里稍微介绍下page相关选项：
re    回收的页面
mf    非严重错误的页面
pi    进入页面数（k表示）
po    出页面数（k表示）
fr    空余的页面数（k表示）
de    提前读入的页面中的未命中数
sr    通过时钟算法扫描的页面

Tips小提示：Linux的块设备和字符设备
他们根本区别在于是否可以被随机访问——换句话说就是，能否在访问设备时随意地从一个位置跳转到另一个位置。

举个例子，键盘这种设备提供的就是一个数据流，只能按照你敲击的字母顺序进行录入，所以键盘就是一种典型的字符设备。

硬盘设备的驱动可能要求读取磁盘上任意块的内容，然后又转去读取别的块的内容，而被读取的块在磁盘上位置不一定要连续，所以说硬盘可以被随机访问，而不是以流的方式被访问，显然它是一个块设备。

参考资料：
http://qa.taobao.com/?p=2269&cpage=2
http://hi.baidu.com/loveastyy/blog/item/29bdb2fa117f1e2b4f4aeade.html
http://linux.ccidnet.com/art/9513/20070730/1160333_1.html
http://www.jb51.net/os/RedHat/2161.html
http://bbs.linuxtone.org/forum-viewthread-tid-845.html

1
2
3
4
5
6
7
8
9
10
11
12
13
14

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 2 210.34.6.89:telnet 210.34.6.96:2873 ESTABLISHED
tcp 296 0 210.34.6.89:1165 210.34.6.84:netbios-ssn ESTABLISHED
tcp 0 0 localhost.localdom:9001 localhost.localdom:1162 ESTABLISHED
tcp 0 0 localhost.localdom:1162 localhost.localdom:9001 ESTABLISHED
tcp 0 80 210.34.6.89:1161 210.34.6.10:netbios-ssn CLOSE
 
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 1 [ ] STREAM CONNECTED 16178 @000000dd
unix 1 [ ] STREAM CONNECTED 16176 @000000dc
unix 9 [ ] DGRAM 5292 /dev/log
unix 1 [ ] STREAM CONNECTED 16182 @000000df

从整体上看，netstat的输出结果可以分为两个部分，
一个是Active Internet connections，称为有源TCP连接，
另一个是Active UNIX domain sockets，称为有源Unix域套接口。

在上面的输出结果中，第一部分有5个输出结果，显示有源TCP连接的情况，而第二部分的输出结果显示的是Unix域套接口的连接情况。Proto显示连接使用的协议；RefCnt表示连接到本套接口上的进程号；Types显示套接口的类型；State显示套接口当前的状态；Path表示连接到套接口的其它进程使用的路径名。

常用参数

-a (all)显示所有选项，默认不显示LISTEN相关
-t (tcp)仅显示tcp相关选项
-u (udp)仅显示udp相关选项
-n 拒绝显示别名，能显示数字的全部转化成数字。
-l 仅列出有在 Listen (监听) 的服務状态

-p 显示建立相关链接的程序名
-r 显示路由信息，路由表
-e 显示扩展信息，例如uid等
-s 按各个协议进行统计
-c 每隔一个固定时间，执行该netstat命令。

提示：LISTEN和LISTENING的状态只有用-a或者-l才能看到

常见用法：

查看个服务监听状况

1
2
3
4
5

# netstat -tunlp
tcp        0      0 127.0.0.1:12221         0.0.0.0:*               LISTEN      -
tcp        0      0 127.0.0.1:8222          0.0.0.0:*               LISTEN      -
udp        0      0 0.0.0.0:787             0.0.0.0:*                           -
udp        0      0 0.0.0.0:177             0.0.0.0:*

查看连接某服务端口最多的的IP地址

1
2
3
4
5
6
7
8
9
10
11

wss8848@ubuntu:~$ netstat -nat | grep "192.168.1.15:22" |awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|sort -nr|head -20
18 221.136.168.36
3 154.74.45.242
2 78.173.31.236
2 62.183.207.98
2 192.168.1.14
2 182.48.111.215
2 124.193.219.34
2 119.145.41.2
2 114.255.41.30
1 75.102.11.99

TCP各种状态列表

1

netstat -nat |awk '{print $6}'|sort|uniq -c|sort -rn

我们进行详细的分析：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

wss8848@ubuntu:~$ netstat -nat |awk '{print $6}'
established)
Foreign
LISTEN
TIME_WAIT
ESTABLISHED
TIME_WAIT
SYN_SENT
先把状态全都取出来
wss8848@ubuntu:~$ netstat -nat |awk '{print $6}'|sort|uniq -c
143 ESTABLISHED
1 FIN_WAIT1
1 Foreign
1 LAST_ACK
36 LISTEN
6 SYN_SENT
113 TIME_WAIT
1 established)
然后使用uniq -c统计，之后再进行排序。

当然也可以使用经典的语句，但要理解什么意思哦

1
2
3
4

# netstat -na | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
TIME_WAIT 4
ESTABLISHED 6
LISTEN 12

这里在附加一个常见的Linux面试题。
分析access.log获得访问前10位的ip地址

1

awk '{print $1}' access.log |sort|uniq -c|sort -nr|head -10

其实和我们详细分析的TCP状态列表差不多的。

sed 是一种在线编辑器，它一次处理一行内容。处理时，把当前处理的行存储在临时缓冲区中，称为“模式空间”（pattern space），接着用sed命令处理缓冲区中的内容，处理完成后，把缓冲区的内容送往屏幕。接着处理下一行，这样不断重复，直到文件末尾。文件内容并没有 改变，除非你使用重定向存储输出。Sed主要用来自动编辑一个或多个文件；简化对文件的反复操作；编写转换程序等.

Centos4的sed版本sed-4.1.5-5.fc6

2. 定址

可以通过定址来定位你所希望编辑的行，该地址用数字构成，用逗号分隔的两个行数表示以这两行为起止的行的范围（包括行数表示的那两行）。如1，3表示1，2，3行，美元符号($)表示最后一行。范围可以通过数据，正则表达式或者二者结合的方式确定.

3. Sed命令

调用sed命令有两种形式：

1
2
3

* sed [options] 'command' file(s)
 
* sed [options] -f scriptfile file(s)

一种是直接写命令，一种是将命令写到文件再调用

4. 选项[options]

-e command, –expression=command
##允许多次编辑。

-n, –quiet, –silent
##取消默认输出（默认输出文件全文）

-f, –filer=script-file引导sed脚本文件名。
##调用命令文件

-i，
##直接修改文件

5.命令[command]

我们采用案例方法来讲述这部分：

使用的案例文件为1233.txt内容如下：

ipcpu@ubuntu:~$ cat 1233.txt
first
second
third
five
ipcpu@ubuntu:~$

============打印匹配的行============
p  打印模板块的行。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

ipcpu@ubuntu:~$ cat 1233.txt
first
second
third
five
ipcpu@ubuntu:~$
 
ipcpu@ubuntu:~$ sed '/second/p' 1233.txt
first
second
second
third
five
ipcpu@ubuntu:~$ sed -n '/second/p' 1233.txt
second
ipcpu@ubuntu:~$

sed默认会把所有行打印出来，匹配上second会执行p再打印一遍

============添加和插入文本 ============

a  在行后面添加文本
i  在航前面添加文本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

ipcpu@ubuntu:~$ sed '$a \
> oo \
> last line ' 1233.txt
first
second
third
five
oo
last line
ipcpu@ubuntu:~$
注意此处的反斜线\表示回车，在反斜线后必须按下回车
 
ipcpu@ubuntu:~$ sed '3a four' 1233.txt
first
second
third
four
five
在第三行后面加入内容
ipcpu@ubuntu:~$ sed '1i zero' 1233.txt
zero
first
second
third
five
在第一行前面插入内容
ipcpu@ubuntu:~$ sed '/five/i four' 1233.txt
first
second
third
four
five
ipcpu@ubuntu:~$
在five前面插入一行，内容为four

============删除行 ============

d 删除行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

ipcpu@ubuntu:~$ sed '1,3d' 1233.txt
five
删除1到3行
ipcpu@ubuntu:~$ sed '$d' 1233.txt
first
second
third
删除最后一行
ipcpu@ubuntu:~$ sed '2d' 1233.txt
first
third
five
删除第2行
ipcpu@ubuntu:~$ sed '/^th/d' 1233.txt
first
second
five
删除th开头的行
ipcpu@ubuntu:~$ sed '/^$/d' 1233.txt
first
second
third
five
删除空行
ipcpu@ubuntu:~$ sed 's/^..//' 1233.txt
rst
cond 2nd
ird
ve
ipcpu@ubuntu:~$
删除每行的前两个字符

============替换============

s 替换

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

ipcpu@ubuntu:~$ sed 's/f/F/g' 1233.txt
First
second
third
Five
将所有的f替换成大写F
 
ipcpu@ubuntu:~$ sed '1,2 s/d$/&dd/' 1233.txt
first
seconddd
third
five
在1-2行中，所有以d结尾字段后附加一个dd
 
ipcpu@ubuntu:~$ sed '/first/ s/st/ST/' 1233.txt
firST
second
third
five
ipcpu@ubuntu:~$
在含有first的行中，把st换成大写ST
ipcpu@ubuntu:~$ cat box
it is a box.
ipcpu@ubuntu:~$ sed 's/ /\t/g' box
it      is      a       box.
将文中所有空格替换成TAB

============转换============
y 转换

1
2
3
4
5
6

ipcpu@ubuntu:~$ sed 'y/five/six1/' 1233.txt
sirst
s1cond 2nd
third
six1
通常用于大小写转换，要求长度必须一致。功能与s基本一致。

============指定行的范围============
，逗号

1
2
3
4
5
6
7
8
9
10
11
12

ipcpu@ubuntu:~$ sed -n '/second/,/five/ p' 1233.txt
second
third
five
输出second和five中间的数据，此处不加-n会出现重复
 
ipcpu@ubuntu:~$ sed '/second/,/five/ s/i/IIII/' 1233.txt
first
second
thIIIIrd
fIIIIve
修改second和five中间的数据，用III替换i

============多次编辑============
e 多次编辑

1
2
3
4
5

ipcpu@ubuntu:~$ sed -e '1d' -e 's/^sec/2nd/' 1233.txt
2ndond
third
five
ipcpu@ubuntu:~$

============读写文件============
r  读文件
w 写文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

ipcpu@ubuntu:~$ sed '/second/r box' 1233.txt
first
second
it is a box.
third
five
匹配上second后，在其后读入文件
ipcpu@ubuntu:~$ sed '/second/w write' 1233.txt
first
second
third
five
ipcpu@ubuntu:~$ cat write
second
ipcpu@ubuntu:~$
匹配上second后把该行写入到文件

============提前退出============
q提前退出

sed 默认读取整个文件，并只在到达末尾时才停止。不过，您可以使用退出命令提前停止处理。只能指定一条退出命令，而处理将一直持续直到满足调用退出命令的条件。

例如，仅在文件的前五行上执行替换，然后退出：

1
2
3
4
5
6
7
8
9
10

$ sed '
> /two/ s/1/2/
> /three/ s/1/3/
> 5q' sample_one
one 1
two 2
three 3
one 1
two 2
$

============其他命令
暂存与取用
h 和 g
暂存和互换
x

参考资料：

http://blog.csdn.net/thimin/article/details/1802738

本文仅以自己的观点对Linux安全进行一个简单的分析。以CentOS为例子解释。

对于一个刚刚装完的CentOS系统来说，需要考虑一下几个方面：

1.系统服务
对于没用的系统服务，能关掉的尽量关掉。在CentOS中有很多例如blueteeth蓝牙，nfs的很多服务，用不到的关掉可以减少系统进程。

2.使用iptables、SELinux加固系统。
SELinux很多人是不喜欢用的，但是iptables还是尽量利用起来。

3.改掉SSH端口
这个问题很无奈，如果你不换掉端口，就会有人不停的猜测你的用户名密码，然后日志就会暴增，而这些日志也毫无意义。

4.文件完整性
在部署完生产环境后，使用AIDE或者其他的审计工具，对系统的重要文件进行检测，做好指纹记录比起保存到其他地方，需要查询文件改动个时候，在调出来检测。

5.用户和密码的管理
用户和密码的管理是Linux的一大难题。这实际到了管理方式的问题。很多公司的服务器是N个人拥有root权限，一登陆上去w一下发现好几个root用户。尽量不要让root直接登陆。

用户的管理，每个用户一个账号还是公用一个帐户，员工离职后如何确保帐户完全收回，这也是管理方式上的一个大挑战。

临时用户的管理，很多人喜欢开临时帐户，这些临时账户往往过一段时间就忘记了，对于临时账户最好确保帐户的有效期限，并及时追踪使用者。
密码的管理，使用长密码还是密钥登陆还是使用其他诸如密码令牌的方式，所有的服务器使用相同的密码密钥，还是每台服务器密码密钥都不一样都要考虑，选择最合适自己的。

6.日志和软件的管理

日志最好做集中日志，本地保存一段时间的日志。日志的作用是为了查询有效信息。对于SNMP的扫描，帐户密码的猜接能关掉的直接关掉。

软件的管理，不要随意从网下下载安装乱七八糟的软件，随着Linux越来越被人们熟识，像windows那样流氓软件的出现只是早晚问题。

7.及时跟踪安全漏洞
像前段时间比较人们的gcc提权漏洞等，即使打好补丁。对于Linux软件的升级应该慎重，先做好测试，一般情况不需要及时升级。

8.及时备份
及时备份能够最大限度的减小损失，不过注意不要把鸡蛋放到同一个篮子里。

8.硬件防火墙、IDS、IPS、蜜罐
当网站初具规模，硬件防火墙就少不了了，不要迷信IDC的安全设备。所谓有备无患，防范DDOS事在必行。
其他的可以考虑，比如使用snort搭建简单的IDS，或是搭建一个蜜罐，不过对大多数人来说可能显得没太大的必要。

本文仅代表作者自己的观点，如果大家有不同的想法可以说出来一起讨论。

Lsof是遵从Unix哲学的典范，它只做一件事情，并且做的相当完美——它可以列出某个进程打开的所有文件信息。

如何使用lsof

这篇文章中我会尽力列举我能想到的所有lsof的用法，让我们先从最简单的开始（或许你已经知道了），

然后逐渐增加复杂度：

列出所有进程打开的所有文件

# lsof

不带任何参数运行lsof会列出所有进程打开的所有文件。

找出谁在使用某个文件

# lsof /path/to/file
只需要执行文件的路径，lsof就会列出所有使用这个文件的进程，你也可以列出多个文件，lsof会列出所有使用这些文件的进程。

[root@s0 ~]# lsof | grep mm.txt
vim       2406 ipcpu    4u   REG   3,3  4096   4593356 /home/wss8849/.mm.txt.swp
[root@s0 ~]#

列出某个用户打开的所有文件

# lsof -u pkrumins

-u选项限定只列出所有被用户pkrumins打开的文件，你可以通过逗号指定多个用户：

# lsof -u rms,root

这条命令会列出所有rms和root用户打开的文件。

你也可以像下面这样使用多个-u做同样的事情：

# lsof -u rms -u root

查找某个程序打开的所有文件

# lsof -c apache

-c选项限定只列出以apache开头的进程打开的文件：

所以你可以不用像下面这样写：

# lsof | grep foo

而使用下面这个更简短的版本：

# lsof -c foo

事实上，你可以只制定进程名称的开头：

# lsof -c apa

这会列出所有以apa开头的进程打开的文件

你同样可以制定多个-c参数：

# lsof -c apache -c python

这会列出所有由apache和python打开的文件

列出所有由某个用户或某个进程打开的文件

# lsof -u pkrumins -c apache

你也可以组合使用多个选项，这些选项默认进行或关联，也就是说上面的命令会输入由pkrumins用户或是apache进程打开的文件。

列出所有由一个用户与某个进程打开的文件

# lsof -a -u pkrumins -c bash

-a参数可以将多个选项的组合条件由或变为与，上面的命令会显示所有由pkrumins用户以及bash进程打

开的文件。

列出除root用户外的所有用户打开的文件

# lsof -u ^root

注意root前面的^符号，它执行取反操作，因此lsof会列出所有root用户之外的用户打开的文件。

列出所有由某个PID对应的进程打开的文件

# lsof -p 1

-p选项让你可以使用进程id来过滤输出。

记住你也可以用都好来分离多个pid。

# lsof -p 450,980,333

列出所有进程打开的文件除了某个pid的

# lsof -p ^1

同前面的用户一样，你也可以对-p选项使用^来进行取反。

列出所有网络连接

# lsof -i

lsof的-i选项可以列出所有打开了网络套接字（TCP和UDP）的进程。

列出所有TCP网络连接

# lsof -i tcp

也可以为-i选项加上参数，比如tcp，tcp选项会强制lsof只列出打开TCP sockets的进程。

列出所有UDP网络连接

# lsof -i udp

同样udp让lsof只列出使用UDP socket的进程。

找到使用某个端口的进程
[常被用作面试题]

# lsof -i :25

:25和-i选项组合可以让lsof列出占用TCP或UDP的25端口的进程。

你也可以使用/etc/services中制定的端口名称来代替端口号，比如：

# lsof -i :smtp

找到使用某个udp端口号的进程

# lsof -i udp:53

同样的，也可以找到使用某个tcp端口的进程：

# lsof -i tcp:80

找到某个用户的所有网络连接

# lsof -a -u hacker -i

使用-a将-u和-i选项组合可以让lsof列出某个用户的所有网络行为。

列出所有NFS（网络文件系统）文件

# lsof -N

这个参数很好记，-N就对应NFS。

列出所有UNIX域Socket文件

# lsof -U

这个选项也很好记，-U就对应UNIX。

本文参考文章（基本上属于部分转载了）：

http://heikezhi.com/2011/06/19/swiss-army-knife-of-unix-debugging-lsof/

Version：1.0

Author： ipcpu

Date：    2011-6-1

Puppet是一款开源的工具，使用自有的puppet描述语言，可管理配置文件、用户、cron任务、软件包、系统服务等，实现自动化部署。

工作原理

Puppet使用C/S方式工作，开发语言ruby，中心服务器称为puppet master，用做管理安装配置功能，安装在各个节点的客户端软件称为puppetd，用于接收服务器编译过后配置文件，将配置应用于节点。

puppet的传输使用XML_RPC web service，使用https协议，监听端口8140。
默认情况下，客户端每半小时向服务端问询一次，确定服务端的配置是否更新或者改变，如果改变，服务器将重新编译配置文件，并将更新的配置应用于客户端。如果需要，配置更新也可由服务端发出，强制客户端更新。客户端与服务器端采用证书方式对通讯进行加密。

编译安装

1. 安装ruby

Puppet使用ruby开发，所以先装好ruby。RDoc是用来使用puppet的帮助文件。

#yum install ruby rdoc

2． 安装facter

它的作用是收集主机的一些资料，比如CPU，主机IP等，facter把收集到值发送给puppet服务器端,服务器端就可以根据不同的条件来对不同的节点机器生成不同的puppet配置文件。

1
2
3
4
5
6
7

#wget http://puppetlabs.com/downloads/facter/facter-latest.tgz

# tar zxvf facter-latest.tgz

# cd facter-1.5.8

# /usr/local/bin/ruby install.rb

2． 下载安装puppet主程序

1
2
3
4
5
6
7

# wget http://puppetlabs.com/downloads/puppet/puppet-latest.tar.gz

# tar zxvf puppet-2.6.3.tar.gz

# cd puppet-2.6.3

# /usr/local/bin/ruby install.rb

假如我们的构架如下图所示：

接下来我们分成两部分，一部分是服务端的设定，一部分是客户端的设定。

4. 服务端的设定

a)         修改/etc/hosts文件

加入

116.61.61.2    s07.ipcpu.com

不加可不可以？可以。只要这个域名DNS解析到客户端即可。

b)        拷贝源文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

#mkdir /etc/puppet

#cp conf/auth.conf /etc/puppet/

#cp conf/redhat/fileserver.conf /etc/puppet/

#cp conf/redhat/puppet.conf /etc/puppet/

#cp conf/redhat/server.init /etc/init.d/puppetmaster

#chmod +x /etc/init.d/puppetmaster

#chkconfig --add puppetmaster

#chkconfig puppetmaster on

#mkdir -p /etc/puppet/manifests

c)        创建puppet帐号

# puppetmasterd –mkusers（执行中可能会出一些错误，基本上以前安装或创建过puppet用户的原因，执行就是让它自动去 /var/lib/puppet下创建一些目录）

#cat /etc/passwd  #确认系统生成puppet用户

保证/var/lib/puppet/rrd目录存在且属主是puppet，如果没有则这行以下语句

#mkdir /var/lib/puppet/rrd && chown puppet.puppet /var/lib/puppet/rrd

d)        启动服务

加入site.pp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#cd /etc/puppet/manifests

#vim site.pp            //启动时必须要有

file { "/tmp/testfile":
 
ensure => present,
 
owner => "root",
 
group => "root",
 
mode => 644,
 
}

第一次启动时puppet会自动创建所需的文件，包括一系列证书文件等

#service puppetmaster start

服务端会占用8140端口。

5. 客户端的设定

a)         修改/etc/hosts文件

加入

116.61.61.1    server.ipcpu.com

b)        复制配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#mkdir /etc/puppet

#cp conf/auth.conf /etc/puppet/

#cp conf/namespaceauth.conf /etc/puppet/

#cp conf/redhat/puppet.conf /etc/puppet/

#cp conf/redhat/client.init /etc/init.d/puppet

#chmod +x /etc/init.d/puppet

#chkconfig --add puppet

#chkconfig puppet on

c)        创建puppet帐号

# puppetd –mkusers

如果报错也可以使用puppetmasterd –mkusers来生成用户，但会出现常见错误1，后面有解决办法

确认存在puppet账户和下面目录权限

#mkdir –r /var/lib/puppet/rrd &&chown puppet.puppet /var/lib/puppet/rrd

d)        编辑配置文件

#vim  /etc/puppet/puppet.conf

加入：

1
2
3

server=server.ipcpu.com
 
listen = true

#vim /etc/puppet/namespaceauth.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

[fileserver]
 
allow *
 
[puppetmaster]
 
allow *
 
[puppetrunner]
 
allow *
 
[puppetbucket]
 
allow *
 
[puppetreports]
 
allow *
 
[resource]
 
allow *

e)         启动客户端服务

#service puppet start

客户端会占用8139端口。

本文还有后半截：Puppet的安装（二）