IT博客-SA Blog --系统管理员的博客生涯

关于 SSHH_config 配置文件中GSSAPIAuthentication选项的作用

David — Wed, 02 Sep 2020 01:16:00 GMT

基本上解决办法就：
1，禁用DNS反向解析

UseDNS no

2，还有系统默认有个忽略以前登录过主机的记录，将这个打开基本上就会解析登录慢的问题

IgnoreRhosts yes

重启SSH服务

service sshd reload

3、修改“GSSAPIAuthentication”的值为“no”（没有的添加该配置选项，注释掉的放开即可）；
其实用户可以自己运行“ssh -v host”进行debug的，通过debug信息就可以看到连接到什么地方被耽搁了；我的测试就是在"debug1: Unspecified GSS failure. Minor code may provide more information" 这里停顿了一会儿，所以感觉修改“GSSAPIAuthentication”的值应该会有效果，但实践证明，如果不改上面几项，该处更改在我的系统依然不起作用！

# 1. 关于 SSH Server 的整体设定，包含使用的 port 啦，以及使用的密码演算方式
Port 22　　　　　　　　　　# SSH 预设使用 22 这个 port，您也可以使用多的 port ！
　　　　　　　　　　　　　 # 亦即重复使用 port 这个设定项目即可！
Protocol 2,1　　　　　　　 # 选择的 SSH 协议版本，可以是 1 也可以是 2 ，
　　　　　　　　　　　　　 # 如果要同时支持两者，就必须要使用 2,1 这个分隔了！
#ListenAddress 0.0.0.0　　 # 监听的主机适配卡！举个例子来说，如果您有两个 IP，
　　　　　　　　　　　　　 # 分别是 192.168.0.100 及 192.168.2.20 ，那么只想要
　　　　　　　　　　　　　 # 开放 192.168.0.100 时，就可以写如同下面的样式：
ListenAddress 192.168.0.100 # 只监听来自 192.168.0.100 这个 IP 的SSH联机。
　　　　　　　　　　　　　　　　　　 # 如果不使用设定的话，则预设所有接口均接受 SSH
PidFile /var/run/sshd.pid　　　　　　# 可以放置 SSHD 这个 PID 的档案！左列为默认值
LoginGraceTime 600　　　　 # 当使用者连上 SSH server 之后，会出现输入密码的画面，
　　　　　　　　　　　　　 # 在该画面中，在多久时间内没有成功连上 SSH server ，
　　　　　　　　　　　　　 # 就断线！时间为秒！
Compression yes　　　　　　# 是否可以使用压缩指令？当然可以?！
　
# 2. 说明主机的 Private Key 放置的档案，预设使用下面的档案即可！
HostKey /etc/ssh/ssh_host_key　　　　# SSH version 1 使用的私钥
HostKey /etc/ssh/ssh_host_rsa_key　　# SSH version 2 使用的 RSA 私钥
HostKey /etc/ssh/ssh_host_dsa_key　　# SSH version 2 使用的 DSA 私钥

# 2.1 关于 version 1 的一些设定！
KeyRegenerationInterval 3600　　　　# 由前面联机的说明可以知道， version 1 会使用
　　　　　　　　　　　　　　　　　　 # server 的 Public Key ，那么如果这个 Public
　　　　　　　　　　　　　　　　　　 # Key 被偷的话，岂不完蛋？所以需要每隔一段时间
　　　　　　　　　　　　　　　　　　 # 来重新建立一次！这里的时间为秒！
ServerKeyBits 768 　　　　　　　　　 # 没错！这个就是 Server key 的长度！
# 3. 关于登录文件的讯息数据放置与 daemon 的名称！
SyslogFacility AUTH　　　　　　　　　# 当有人使用 SSH 登入系统的时候，SSH会记录资
　　　　　　　　　　　　　　　　　　 # 讯，这个信息要记录在什么 daemon name 底下？
　　　　　　　　　　　　　　　　　　 # 预设是以 AUTH 来设定的，即是 /var/log/secure
　　　　　　　　　　　　　　　　　　 # 里面！什么？忘记了！回到 Linux 基础去翻一下
　　　　　　　　　　　　　　　　　　 # 其它可用的 daemon name 为：DAEMON,USER,AUTH,
　　　　　　　　　　　　　　　　　　 # LOCAL0,LOCAL1,LOCAL2,LOCAL3,LOCAL4,LOCAL5,
LogLevel INFO　　　　　　　　　　　　# 登录记录的等级！嘿嘿！任何讯息！
　　　　　　　　　　　　　　　　　　 # 同样的，忘记了就回去参考！
# 4. 安全设定项目！极重要！
# 4.1 登入设定部分
PermitRootLogin no　　　　# 是否允许 root 登入！预设是允许的，但是建议设定成 no！
UserLogin no　　　　　　　 # 在 SSH 底下本来就不接受 login 这个程序的登入！
StrictModes yes　　　　　　# 当使用者的 host key 改变之后，Server 就不接受联机，
　　　　　　　　　　　　　 # 可以抵挡部分的木马程序！
#RSAAuthentication yes　　 # 是否使用纯的 RSA 认证！？仅针对 version 1 ！
PubkeyAuthentication yes　 # 是否允许 Public Key ？当然允许啦！只有 version 2
AuthorizedKeysFile      .ssh/authorized_keys
　　　　　　　　　　　　　 # 上面这个在设定若要使用不需要密码登入的账号时，那么那个
　　　　　　　　　　　　　 # 账号的存放档案所在档名！
# 4.2 认证部分
RhostsAuthentication no　　# 本机系统不止使用 .rhosts ，因为仅使用 .rhosts 太
　　　　　　　　　　　　　 # 不安全了，所以这里一定要设定为 no ！
IgnoreRhosts yes　　　　　 # 是否取消使用 ~/.ssh/.rhosts 来做为认证！当然是！
RhostsRSAAuthentication no # 这个选项是专门给 version 1 用的，使用 rhosts 档案在
　　　　　　　　　　　　　 # /etc/hosts.equiv配合 RSA 演算方式来进行认证！不要使用
HostbasedAuthentication no # 这个项目与上面的项目类似，不过是给 version 2 使用的！
IgnoreUserKnownHosts no　　# 是否忽略家目录内的 ~/.ssh/known_hosts 这个档案所记录
　　　　　　　　　　　　　 # 的主机内容？当然不要忽略，所以这里就是 no 啦！
PasswordAuthentication yes # 密码验证当然是需要的！所以这里写 yes ?！
PermitEmptyPasswords no　　# 若上面那一项如果设定为 yes 的话，这一项就最好设定
　　　　　　　　　　　　　 # 为 no ，这个项目在是否允许以空的密码登入！当然不许！
ChallengeResponseAuthentication yes # 挑战任何的密码认证！所以，任何 login.conf
　　　　　　　　　　　　　　　　　　 # 规定的认证方式，均可适用！
#PAMAuthenticationViaKbdInt yes      # 是否启用其它的 PAM 模块！启用这个模块将会
　　　　　　　　　　　　　　　　　　 # 导致 PasswordAuthentication 设定失效！
　
# 4.3 与 Kerberos 有关的参数设定！因为我们没有 Kerberos 主机，所以底下不用设定！
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosTgtPassing no
　
# 4.4 底下是有关在 X-Window 底下使用的相关设定！
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
# 4.5 登入后的项目：
PrintMotd no              # 登入后是否显示出一些信息呢？例如上次登入的时间、地点等
　　　　　　　　　　　　　# 等，预设是 yes ，但是，如果为了安全，可以考虑改为 no ！
PrintLastLog yes　　　　　# 显示上次登入的信息！可以啊！预设也是 yes ！
KeepAlive yes　　　　　　 # 一般而言，如果设定这项目的话，那么 SSH Server 会传送
　　　　　　　　　　　　　# KeepAlive 的讯息给 Client 端，以确保两者的联机正常！
　　　　　　　　　　　　　# 在这个情况下，任何一端死掉后， SSH 可以立刻知道！而不会
　　　　　　　　　　　　　# 有僵尸程序的发生！
UsePrivilegeSeparation yes # 使用者的权限设定项目！就设定为 yes 吧！
MaxStartups 10　　　　　　# 同时允许几个尚未登入的联机画面？当我们连上 SSH ，
　　　　　　　　　　　　　# 但是尚未输入密码时，这个时候就是我们所谓的联机画面啦！
　　　　　　　　　　　　　# 在这个联机画面中，为了保护主机，所以需要设定最大值，
　　　　　　　　　　　　　# 预设最多十个联机画面，而已经建立联机的不计算在这十个当中
# 4.6 关于使用者抵挡的设定项目：
DenyUsers *　　　　　　　 # 设定受抵挡的使用者名称，如果是全部的使用者，那就是全部
　　　　　　　　　　　　　# 挡吧！若是部分使用者，可以将该账号填入！例如下列！
DenyUsers test
DenyGroups test　　　　　 # 与 DenyUsers 相同！仅抵挡几个群组而已！
# 5. 关于 SFTP 服务的设定项目！
Subsystem       sftp    /usr/lib/ssh/sftp-server

David 2020-09-02 09:16 发表评论

吐槽一下阿里系软件，就是天天的升级？？？

David — Mon, 10 Aug 2020 06:15:00 GMT

不是说你软件不好，

阿里的软件就是天天的升级，比如钉钉，淘宝，天猫，反正就是没事就给你推送一个更新，你不升级它会提醒死你。

好像他们的目标就是天天升级，好奇怪，你到底想要大家手机里面的什么信息？？？实质上没人喜欢你的新功能，特讨厌你这更新，你知道吗？

这点阿里系软件真不如憨鹅。

David 2020-08-10 14:15 发表评论

CentOS 7 安装 MySQL

David — Fri, 24 Jul 2020 04:07:00 GMT

摘要: 简介：环境 CentOS 7.1 (64-bit system)MySQL 5.6.24 CentOS 安装参考：http://www.waylau.com/centos-7-installation-and-configuration/ 依赖 MySQL 依赖 libaio，所以先要安装 libaio yu... 阅读全文

David 2020-07-24 12:07 发表评论

GitLab常用命令整理

David — Sun, 12 Jul 2020 13:13:00 GMT

GitLab常用命令整理

进入本地仓库访问位置之后执行命令

1) 远程仓库相关命令

检出仓库：$ git clone git://github.com/jquery/jquery.git

查看远程仓库：$ git remote -v

添加远程仓库：$ git remote add [name] [url]

删除远程仓库：$ git remote rm [name]

修改远程仓库：$ git remote set-url --push[name][newUrl]

拉取远程仓库：$ git pull [remoteName] [localBranchName]

推送远程仓库：$ git push [remoteName] [localBranchName]

2）分支(branch)操作相关命令

查看本地分支：$ git branch

查看远程分支：$ git branch -r

创建本地分支：$ git branch [name] ----注意新分支创建后不会自动切换为当前分支

切换分支：$ git checkout [name]

创建新分支并立即切换到新分支：$ git checkout -b [name]

删除分支：$ git branch -d [name] ---- -d选项只能删除已经参与了合并的分支，对于未有合并的分支是无法删除的。如果想强制删除一个分支，可以使用-D选项

合并分支：$ git merge [name] ----将名称为[name]的分支与当前分支合并

创建远程分支(本地分支push到远程)：$ git push origin [name]

删除远程分支：$ git push origin :heads/[name]

我从master分支创建了一个issue5560分支，做了一些修改后，使用git push origin master提交，但是显示的结果却是'Everything up-to-date'，发生问题的原因是git push origin master 在没有track远程分支的本地分支中默认提交的master分支，因为master分支默认指向了origin master 分支，这里要使用git push origin issue5560：master 就可以把issue5560推送到远程的master分支了。

    如果想把本地的某个分支test提交到远程仓库，并作为远程仓库的master分支，或者作为另外一个名叫test的分支，那么可以这么做。

$ git push origin test:master         // 提交本地test分支作为远程的master分支 //好像只写这一句，远程的github就会自动创建一个test分支
$ git push origin test:test              // 提交本地test分支作为远程的test分支

如果想删除远程的分支呢？类似于上面，如果:左边的分支为空，那么将删除:右边的远程的分支。

$ git push origin :test              // 刚提交到远程的test将被删除，但是本地还会保存的，不用担心

3）版本(tag)操作相关命令

查看版本：$ git tag

创建版本：$ git tag [name]

删除版本：$ git tag -d [name]

查看远程版本：$ git tag -r

创建远程版本(本地版本push到远程)：$ git push origin [name]

删除远程版本：$ git push origin :refs/tags/[name]

4) 子模块(submodule)相关操作命令

添加子模块：$ git submodule add [url] [path]

如：$ git submodule add git://github.com/soberh/ui-libs.git src/main/webapp/ui-libs

初始化子模块：$ git submodule init ----只在首次检出仓库时运行一次就行

更新子模块：$ git submodule update ----每次更新或切换分支后都需要运行一下

删除子模块：（分4步走哦）

1)$ git rm --cached [path]

2) 编辑“.gitmodules”文件，将子模块的相关配置节点删除掉

3) 编辑“.git/config”文件，将子模块的相关配置节点删除掉

4) 手动删除子模块残留的目录

5）忽略一些文件、文件夹不提交

在仓库根目录下创建名称为“.gitignore”的文件，写入不需要的文件夹名或文件，每个元素占一行即可，如

target

bin

*.db

2. git pull：相当于是从远程获取最新版本并merge到本地

git pull origin master

David 2020-07-12 21:13 发表评论

centos7 firewall指定IP与端口访问（常用）

David — Sun, 12 Jul 2020 10:35:00 GMT

基本使用

启动：systemctl start firewalld

关闭：systemctl stop firewalld

查看状态：systemctl status firewalld

开机禁用：systemctl disable firewalld

开机启用：systemctl enable firewalld

配置firewalld-cmd

查看版本：firewall-cmd --version

查看帮助：firewall-cmd --help

显示状态：firewall-cmd --state

查看所有打开的端口：firewall-cmd --zone=public --list-ports

更新防火墙规则：firewall-cmd --reload

端口开放

添加：firewall-cmd --zone=public --add-port=80/tcp --permanent

重新载入：firewall-cmd --reload

删除：firewall-cmd --zone= public --remove-port=80/tcp --permanent

端口转发

添加（例如3306 -> 3336）：

firewall-cmd --permanent --zone=public --add-forward-port=port=3336:proto=tcp:toport=3306:toaddr=

删除：

firewall-cmd --permanent --remove-forward-port=port=3306:proto=tcp:toport=3336:toaddr=

查看转发的端口：firewall-cmd --list-forward-ports

查看当前开了哪些端口

其实一个服务对应一个端口，每个服务对应/usr/lib/firewalld/services下面一个xml文件。

firewall-cmd --list-services

查看还有哪些服务可以打开

firewall-cmd --get-services

查看所有打开的端口：

firewall-cmd --zone=public --list-ports

更新防火墙规则：

firewall-cmd --reload

# 添加多个端口

firewall-cmd --permanent --zone=public --add-port=8080-8083/tcp

# 删除某个端口

firewall-cmd --permanent --zone=public --remove-port=81/tcp

# 针对某个 IP开放端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="6379" accept"

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.233" accept"

# 删除某个IP

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.51" accept"

# 针对一个ip段访问

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept"

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="9200" accept"

# 添加操作后别忘了执行重载

firewall-cmd --reload

David 2020-07-12 18:35 发表评论

centos7 firewall-cmd 详解

David — Sun, 12 Jul 2020 10:23:00 GMT

防火墙

查看防火墙状态

firewall-cmd --state

停止firewall

systemctl stop firewalld.service

开启

systemctl start firewalld.service

禁止firewall开机启动

systemctl disable firewalld.service

端口

查看对外开放的端口状态

netstat -anp

对外开发端口

查看想开的端口是否已开：

firewall-cmd --query-port=80/tcp

添加指定需要开放的端口：

firewall-cmd --add-port=80/tcp --permanent

重载入添加的端口：

firewall-cmd --reload

查询指定端口是否开启成功：

firewall-cmd --query-port=80/tcp

只允许某个特定的的ip访问80端口

Linux防火墙Iptable如何设置只允许某个ip访问80端口，只允许特定ip访问某端口？参考下面命令，只允许46.166.150.22访问本机的80端口。如果要设置其他ip或端口，改改即可。 iptables -I INPUT -p TCP --dport 80 -j DROP iptables -I INPUT -s 46.166.150.22 -p TCP --dport 80 -j ACCEPT 在root用户下执行上面2行命令后，重启iptables， service iptables restart

在centos7中使用firewall-cmd指定只允许192.168.0.1的ip访问80端口

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.1/2 port port=80 protocol=tcp accept'

查看iptables是否生效：

[root@www.ctohome.com]# iptables -L Chain INPUT (policy ACCEPT) target           prot opt source               destination          ACCEPT     tcp  --  46.166.150.22    anywhere            tcp dpt:http  DROP         tcp  --  anywhere             anywhere            tcp dpt:http   Chain FORWARD (policy ACCEPT) target     prot opt source               destination           Chain OUTPUT (policy ACCEPT) target     prot opt source               destination

上面命令是针对整个服务器（全部ip）禁止80端口，如果只是需要禁止服务器上某个ip地址的80端口，怎么办？

下面的命令是只允许来自174.140.3.190的ip访问服务器上216.99.1.216的80端口

iptables -A FORWARD -s 174.140.3.190 -d 216.99.1.216 -p tcp -m tcp --dport 80 -j ACCEPT  iptables -A FORWARD -d 216.99.1.216 -p tcp -m tcp --dport 80 -j DROP

禁止ip登录

centos7用的是firewall 添加单个黑名单只需要把ip添加到 /etc/hosts.deny

格式  sshd:$IP:deny vim /etc/hosts.deny   添加你要禁止的ip就可以了 sshd:192.168.1.147:deny

这是允许的 /etc/hosts.allow

sshd:19.16.18.1:allow sshd:19.16.18.2:allow

多次失败登录即封掉IP,防止暴力破解的脚本超过5次的就加到黑名单

1、防爆破脚本

vim /usr/local/bin/secure_ssh.sh

#! /bin/bash cat /var/log/secure|awk '/Failed/{print $(NF-3)}'|sort|uniq -c|awk '{print $2"="$1;}' > /usr/local/bin/black.txt for i in `cat  /usr/local/bin/black.txt` do     IP=`echo $i |awk -F= '{print $1}'`     NUM=`echo $i|awk -F= '{print $2}'`     if [ $NUM -gt 5 ]     then         grep $IP /etc/hosts.deny > /dev/null         if [ $? -gt 0 ]         then              echo "sshd:$IP:deny" >> /etc/hosts.deny         fi     fi done

2、创建记录登录失败次数的文件

touch /usr/local/bin/black.txt

3、添加定时 5分钟执行一次

*/5 * * * *  sh /usr/local/bin/secure_ssh.sh

4、测试 ssh登录147

ssh 192.168.1.147

5、查看黑名单列表是否记录

cat /usr/local/bin/black.txt

6、查看黑名单列表看是否添加进去了
cat /etc/hosts.deny

David 2020-07-12 18:23 发表评论

Gitlab日常备份及迁移

David — Sat, 11 Jul 2020 09:27:00 GMT

Gitlab安装体验一文介绍了如何在阿里云上安装Gitlab，安装是很简单方便，但是出于数据安全的考虑，我们需要做一些备份，以防万一。

本文重点介绍Gitlab的日常备份及迁移恢复

Gitlab创建备份

使用Gitlab一键安装包安装Gitlab非常简单, 同样的备份恢复与迁移也非常简单. 使用一条命令即可创建完整的Gitlab备份:

gitlab-rake gitlab:backup:create

使用以上命令会在/var/opt/gitlab/backups目录下创建一个名称类似为1393513186_gitlab_backup.tar的压缩包, 这个压缩包就是Gitlab整个的完整部分, 其中开头的1393513186是备份创建的日期。

Gitlab修改备份文件默认目录

你也可以通过修改/etc/gitlab/gitlab.rb来修改默认存放备份文件的目录

gitlab_rails['backup_path'] = '/mnt/backups'

/mnt/backups修改为你想存放备份的目录即可，修改完成之后使用gitlab-ctl reconfigure命令重载配置文件即可。

Gitlab恢复备份

同样, Gitlab的从备份恢复也非常简单

# 停止相关数据连接服务
gitlab-ctl stop unicorn
gitlab-ctl stop sidekiq

# 从1393513186编号备份中恢复
gitlab-rake gitlab:backup:restore BACKUP=1393513186_gitlab_backup

# 启动Gitlab
sudo gitlab-ctl start

Gitlab迁移

迁移如同备份与恢复的步骤一样，只需要将老服务器/var/opt/gitlab/backups目录下的备份文件拷贝到新服务器上的/var/opt/gitlab/backups即可(如果你没修改过默认备份目录的话)。

但是需要注意的是新服务器上的Gitlab的版本必须与创建备份时的Gitlab版本号相同。

比如新服务器安装的是最新的7.60版本的Gitlab，那么迁移之前，最好将老服务器的Gitlab升级为7.60在进行备份。

Gitlab定时自动异地备份

由于Gitlab部署在了阿里云上，把Gitlab再备份在本地意义不是特别大，所以这里利用了家里的NAS做了一个简单的异地备份。

服务器备份脚本

在阿里云服务器上创建如下脚本，存储在/home/scripts/gitlab_backup.sh文件中

#!/bin/bash

# Gitlab自动备份脚本


#Gitlab 备份地址
LocalBackDir=/var/opt/gitlab/backups

#备份日志文件
LogFile=$LocalBackDir/remote_backup.log

#新建备份日志文件
touch $LogFile

echo "-------------------------------------------------------------------------" >> $LogFile

#记录本地生成gitlab备份日志
echo "Gitlab auto backup at local server, start at $(date +"%Y-%m-%d %H:%M:%S")" >>  $LogFile

#执行gitlab本地备份
gitlab-rake gitlab:backup:create >> $LogFile 2>&1

# $?符号显示上一条命令的返回值，如果为0则代表执行成功，其他表示失败
if [ $? -eq 0 ];then
   #追加日志到日志文件
   echo "Gitlab auto backup at local server successed at $(date +"%Y-%m-%d %H:%M:%S")" >> $LogFile
else
   #追加日志到日志文件
   echo "Gitlab auto backup at local server failed at $(date +"%Y-%m-%d %H:%M:%S")" >> $LogFile
fi

#查找本地备份目录修改时间为10分钟以内且后缀为.tar的Gitlab备份文件
Backfile_Send_To_Remote=`find $LocalBackDir -type f  -mmin -10 -name '*.tar' | tail -1` >> $LogFile 2>&1

echo $Backfile_Send_To_Remote

NAS免密登录阿里云

异地备份思路需要在NAS上登录到阿里云服务器上执行对应的备份命令并下载文件，所以需要让NAS可以免密登录阿里云服务器，以定时自动执行这个任务。

免密登录的配置，可以参考SSH免密登录配置

NAS服务器脚本

SSH进入NAS，然后创建脚本，自动在服务器上执行备份，并下载到NAS本地来。脚本存储在/volume1/homes/gitlab_back/scripts/gitlab_backup_download.sh文件中。

#!/bin/bash

# 远程登录gitlab服务器，执行自动备份脚本，然后传输至本地

#Gitlab服务器
RemoteServer=git.ufeng.top
RemoteServerUser=root

#Gitlab服务器备份地址
RemoteBackDir=/var/opt/gitlab/backups

#NAS本地备份地址
LocalBackDir=/volume1/homes/gitlab_back

#备份日志文件
LogFile=$LocalBackDir/remote_backup.log

#新建备份日志文件
touch $LogFile

echo "-------------------------------------------------------------------------" >> $LogFile
#记录NAS下载gitlab备份日志
echo "Gitlab backup auto download at NAS, start at $(date +"%Y-%m-%d %H:%M:%S")" >>  $LogFile

#远程登录gitlab服务器并执行备份脚本，获取备份文件的名字
result=`ssh $RemoteServerUser@$RemoteServer "sh /home/scripts/gitlab_backup.sh"`

#远程下载备份文件到本地
scp $RemoteServerUser@$RemoteServer:$result $LocalBackDir

echo "Gitlab remote backup file is ${result}" >> $LogFile

# 备份结果追加到备份日志
if [ $? -eq 0 ];then
	echo ""
	echo "$(date +"%Y-%m-%d %H:%M:%S") Gitlab Remote download Succeed!" >> $LogFile
else
	echo "$(date +"%Y-%m-%d %H:%M:%S") Gitlab Remote download Failed!" >> $LogFile
fi

然后配置群晖的定时任务，每天自动执行。

自动清理历史备份文件

由于阿里云的存储空间有限，所以对Gitlab的历史备份文件需要定期删除，释放磁盘空间。

同样在/home/scripts/gitlab_auto_del_backup.sh文件中存储自动清理历史备份的脚本内容。

#!/bin/bash

#清理多余的历史备份

#Gitlab 备份地址
LocalBackDir=/var/opt/gitlab/backups

#备份日志文件
LogFile=$LocalBackDir/remote_clean.log

#新建备份日志文件
touch $LogFile

echo "--------------------------------------------------------------------- " >> $LogFile
echo "Gitlab auto clean local backup, start at  $(date +"%Y-%m-%d %H:%M:%S")" >>  $LogFile

# 找到3*24*60分钟前，以tar结尾的文件并删除
find $LocalBackDir -type f -mmin +4320  -name "*.tar" -exec rm -rf {} \;

# $?符号显示上一条命令的返回值，如果为0则代表执行成功，其他表示失败
if [ $? -eq 0 ];then
   #追加日志到日志文件
   echo "Gitlab auto clean local backup success at $(date +"%Y-%m-%d %H:%M:%S")" >> $LogFile
else
   #追加日志到日志文件
   echo "Gitlab auto clean local backup failed at $(date +"%Y-%m-%d %H:%M:%S")" >> $LogFile
fi

然后赋予执行权限

chmod u+x /home/scripts/gitlab_auto_del_backup.sh

配置定时任务

crontab -e

0 3 * * * /home/scripts/gitlab_auto_del_backup.sh

David 2020-07-11 17:27 发表评论

CentOS7下yum安装GitLab-CE

David — Sat, 11 Jul 2020 06:48:00 GMT

前提准备

建立git用户

useradd git passwd git

关闭防火墙

systemctl stop firewalld systemctl disabled firewalld

安装依赖库

yum install curl openssh-server postfix cronie service postfix start chkconfig postfix on

配置yum源进行安装

注意: gitlab-ce 镜像仅支持 x86-64 架构

centos中可以直接通过配置yum源然后使用yum进行一键安装
国内可以使用的清华大学的镜像源安装GitLab，相关配置及安装参照：https://mirror.tuna.tsinghua.edu.cn/help/gitlab-ce/
以下内容写入yum源配置文件：/etc/yum.repos.d/gitlab-ce.repo

# vim /etc/yum.repos.d/gitlab-ce.repo [gitlab-ce] name=Gitlab CE Repository baseurl=https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el$releasever/ gpgcheck=0 enabled=1

yum makecache yum install gitlab-ce #自动安装最新版 # yum install gitlab-ce-x.x.x    #安装指定版本

# 安装成功后的提示： Thank you for installing GitLab! GitLab was unable to detect a valid hostname for your instance. Please configure a URL for your GitLab instance by setting `external_url` configuration in /etc/gitlab/gitlab.rb file. Then, you can start your GitLab instance by running the following command:   sudo gitlab-ctl reconfigure

默认路径

一键安装后可以利用rpm -ql gitlab-ce查询其文件安装路径及相关文件路径，其默认安装路径为/opt/gitlab/、程序数据及配置文件保存路径为/var/opt/gitlab下。
代码仓库保存位置：/var/opt/gitlab/git-data/repositories/
代码仓库备份位置：/var/opt/gitlab/backups/
postgresql数据及配置目录：/var/opt/gitlab/postgresql/data/
redis默认配置目录：/var/opt/gitlab/redis
gitlab主要配置文件：/etc/gitlab/gitlab.rb

常见配置

修改gitlab运行外部URL默认的访问地址
编辑/etc/gitlab/gitlab.rb

# 未修gitlab.rb配置文件中nginx配置时这个配置默认配置gitlab自带的nginx端口 external_url 'http://172.17.17.10:81'

修改之后使用如下命令重新加载配置且同时启动gitlab所有服务：

gitlab-ctl reconfigure

浏览器访问：http://172.17.17.10:81,被重定向到密码修改界面，修改密码为root的管理员账户,修改密码后自动跳转到登录页面，用root和修改后密码登录就可以

GitLab常用命令

gitlab-ctl start    # 启动所有 gitlab 组件 gitlab-ctl stop        # 停止所有 gitlab 组件 gitlab-ctl restart        # 重启所有 gitlab 组件 gitlab-ctl status        # 查看服务状态 gitlab-ctl reconfigure        # 启动服务 vim /etc/gitlab/gitlab.rb        # 修改默认的配置文件 gitlab-rake gitlab:check SANITIZE=true --trace    # 检查gitlab sudo gitlab-ctl tail        # 查看日志 gitlab-ctl --help #查看更多命令

发送邮件配置

gitlab_rails['smtp_enable'] = true  #启用smtp服务 gitlab_rails['smtp_address'] = "mail.ultrapower.com.cn" #smtp发送服务器 gitlab_rails['smtp_port'] = 587 gitlab_rails['smtp_user_name'] = "xueming@ultrapower.com.cn" gitlab_rails['smtp_password'] = "12333lzxcl" gitlab_rails['smtp_domain'] = "ultrapower.com.cn" gitlab_rails['smtp_authentication'] = "login" gitlab_rails['smtp_enable_starttls_auto'] = true gitlab_rails['smtp_tls'] = false gitlab_rails['gitlab_email_from'] = 'xueming@ultrapower.com.cn'#与smtp_user_name一定要一样 gitlab_rails['gitlab_email_reply_to'] = 'xueming@ultrapower.com.cn'

命令测试：gitlab-rails console

防火墙开放端口

firewall-cmd --zone=public --list-ports #查看开放端口 firewall-cmd --zone=public --add-port=8081/tcp --permanent #开放8081端口 firewall-cmd --reload   #重新加载配置 #如果不需要，也可以直接关闭防火墙 systemctl stop firewalld.service

设置中文界面

刷新界面，就是中文的了

David 2020-07-11 14:48 发表评论

gitlab的安装与管理

David — Sat, 11 Jul 2020 05:35:00 GMT

一、git的使用

1、git介绍

    git是一个分布式的版本管理系统，由linux系统的创造者Linus 于2005年开发，相对于svn git有速度快，适合大规模，跨地区多人协同开发的特点。

2、git安装

（1）yum安装

     通过yum安装的软件版本较低。

    #使用yum安装git
    ]# yum install git

（2）编译安装

    编译安装可以安装较新饿版本，新版本可以在” https://github.com/git/git/”查看

    #安装依赖软件
    ]# yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel gcc perl-ExtUtils-MakeMaker
    # 下载解压git源码包
    ]# wget https://github.com/git/git/archive/v2.18.0.zip
    ]# unzip v2.18.0.zip
    ]# cd git-2.18.0/
    # 编译安装git
    ]# make prefix=/usr/local/git all
    ]# make prefix=/usr/local/git install
    # 安装后查看git版本
    ]# git --version
    ]# git version 2.18.0

3、初始化git

    Git下载安装完成后，在使用git前需要先创建工作目录并初始化git。

    # 创建工作目录
    ]$ mkdir data
    ]$ cd data
    # 初始化工作目录
    ]$ git init
    Initialized empty Git repository in /home/dayi123/data/.git/
    ]$ git config --global user.name "dayi123"
    ]$ git config --global user.email dayi_123@126.com
    # 查看初始化后相关信息
    ]$ git config --list
    user.name=dayi123
    user.email=dayi_123@126.com
    core.repositoryformatversion=0
    core.filemode=true
    core.bare=false
    core.logallrefupdates=true

4、git工作原理与基本操作

（1）git工作原理

    对git的操作就是将本地工作目录的文件同步到索引区，再从索引去上传到本地仓库，再从本地仓库上传到远程仓库，同时还可以将远程仓库及本地仓库的文件下载到本地工作目录。

（2）git基本操作

操作命令：

    git add       加入暂存区（index区域）

    git status    查看状态

    git status -s 状态概览

    git diff      尚未暂存的文件

    git diff --staged    暂存区文件

    git commit    提交更新，试用”-m”参数可以直接在后面输入“message”，后跟-a参数可以将所有已跟踪文件中的执行修改或删除操作的文件都提交到本地仓库，即使它们没有经过git add添加到暂存区。

    git reset     回滚

    git rm        从版本库中移除

    git rm --cached README 从暂存区中移除

    git mv        相当于”mv”、”git rm”、”git add”三个命令

    git log 查看提交日志

    # 创建一个文件
    ]# echo 1213456 > git.test
    # 将文件追加到索引区
    ]# git add git.test
    # 将文件提交到本地仓库
    ]# git commit -m git.test
    # 查看当前文件操作记录，id为文件提交id
    ]# git log
    commit 43e7aa5963db3b04691a6e4ec271b7199ab14d8b (HEAD -> master)
    Author: dayi123
    Date:   Fri Aug 10 09:06:25 2018 -0400
        git.test

5、分支管理

    Git的默认所有的操作都在主分支上面，为了防止开发混乱，可以创建分支，在分支上操作，在分支上操纵执行的命令都是基于当前分支的。

    git branch 创建分支

    git branch –v 查看分支信息

    git branch –merged 查看哪些分支已经被merged到主分支

    git branch --no-merged 查看哪些分支没有被merged到主分支

    git branch -d testing 删除分支

    git checkout 分支名称切换指针

    git checkout --filename   撤销对文件的修改

    git merge 分支名称融合分支，将分支融合到主干

    git stash

    git tag   查看标签

    git rebase 变基，

    # 创建一个分支datatest1
    ]# git branch datatest1
    # 查看当前的分支状态
    ]# git status
    On branch master
    nothing to commit, working tree clean
    # 切换到datatest1分支
    ]# git checkout datatest1
    Switched to branch 'datatest1'
    # 查看当前分支时已经在datatest1分支
    ]# git status
    On branch datatest1
    nothing to commit, working tree clean
    #在当前分支创建一个文件并提交到暂存区
    ]# echo datatest1 > branch2.html
    ]# git add branch2.html
    # 将当前分支merged到主分支
    ]# git merge datatest1
    Already up to date.
    # 切换到主分支查看
    ]# git checkout master
    ]# git status
    On branch master
    Changes to be committed:
      (use "git reset HEAD ..." to unstage)

      new file:   branch2.html
    # 查看单前那些分区被merged到主分区
    ]# git branch –merged
      datatest1
    * master
    #给当前库打标签
    [root@localhost data]# git tag -a v1.0 -m ‘abc’
    [root@localhost data]# git tag
    v1.0

6、git回滚

         回滚命令：git reset [option] [commitid]

    选项

       --soft 缓存区和工作目录都不会被改变

       --mixed 默认选项。缓存区和制定的提交同步，但工作目录不受影响

       --hard 缓存区和工作目录都同步到指定的提交

    # 修改提交的文件并在此提交
    ]# echo `date` >> git.test
    ]# git commit -m "2"
    # 获取commitid
    ]# git log
    commit 24867009ea7f916dc62b3fde3d4d15582fa6258b (HEAD -> master)
    Author: dayi123
    Date:   Fri Aug 10 09:39:55 2018 -0400
        2
    commit 43e7aa5963db3b04691a6e4ec271b7199ab14d8b (–merged, datatest1)
    Author: dayi123
    Date:   Fri Aug 10 09:06:25 2018 -0400
        git.test
    # 恢复到提交前
    ]# git reset --hard 43e7aa596
    HEAD is now at 43e7aa5 git.test
    #查看提交后的状态
    ]# git log
    commit 43e7aa5963db3b04691a6e4ec271b7199ab14d8b (HEAD -> master, –merged, datatest1)
    Author: dayi123
    Date:   Fri Aug 10 09:06:25 2018 -0400
        git.test

7、使用git对远程仓库管理

         使用git最终要将本地文件提交到远程git仓库中或者将远程仓库中的文件下载本地进行操作，常用的操作命令有：

    git clone 仓库地址将远程主机文件拉到本地

    git pull   认证后更新代码，合并到之前代码中去

    git fetch 认证后更新代码，不会合并到之前的代码中

    git push origin master

    git remote       获取远程库的信息

    git remote –v   获取远程库的详细名称信息

    git remote add xxx http://xxx   添加地址。默认第一个名程都为origin

    git remote show origin

    git remote rename pb paul #变更远程地址名称
二、搭建与管理git远程仓库gitlab

    Gitlab是一个基于Ruby on rails开发的源代码托管结局按方案，gitlab分为企业版和社区版两个版本。

    Gitlab集成了nginx postgreSQL redis sidekiq等组件，在安装gitlab时会自动安装配置。

1、gitlab的安装与配置

（1）安装gitlab

    # 配置gitlabyum源为国内源以方便安装
    ]# vim /etc/yum.repos.d/gitlab-ce.repo
    [gitlab-ce]
    name=Gitlab CE Repository
    baseurl=https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el$releasever/
    gpgcheck=0
    enabled=1
    # 清除并更新yum缓存
    ]# yum clean all
    ]# yum makecache
        安装gitlab，默认安装安装的为最新版本，安装时可以指定具体的版本进行安装。

    # 安装gitlab依赖软件
    ]# yum install curl policycoreutils openssh-server openssh-clients postfix
    # 如果没有关闭防火墙需要配置防火墙
    ]# firewall-cmd --permanent --add-service=http
    # 安装gitlab
    ]# yum install gitlab-ce

（2）配置启动gitlab

         修改gitlab配置文件” /etc/gitlab/gitlab.rb”，绑定自己主机ip地址。

    # 将external修改为自己主机ip地址
    external_url 'http://192.168.16.128'
    # 启动gitlab并使修改的配置生效
    ]# gitlab-ctl reconfigure

（3）登录gitlab

         安装完成后即可通过浏览器登录gitlab，第一次登录需要设置密码。

（4）gitlab的操作命令

         gitlab-ctl status：查看gitlab状态

        gitlab-ctl start：启动gitlab

        gitlab-ctl stop：停止gitlab

       gitlab-ctl restart：重启gitlab

       gitlab-ctl tail servername：查看gitlab集成的服务日志

    #查看gitlab所有组件的状态
    ]# gitlab-ctl status
    run: alertmanager: (pid 122565) 1802s; run: log: (pid 122574) 1802s
    run: gitaly: (pid 122496) 1804s; run: log: (pid 122547) 1802s
    run: gitlab-monitor: (pid 122520) 1803s; run: log: (pid 122525) 1803s
    run: gitlab-workhorse: (pid 122480) 1804s; run: log: (pid 122524) 1803s
    run: logrotate: (pid 121671) 1900s; run: log: (pid 122530) 1803s
    run: nginx: (pid 121613) 1911s; run: log: (pid 122488) 1804s
    run: node-exporter: (pid 121854) 1878s; run: log: (pid 122509) 1803s
    run: postgres-exporter: (pid 122585) 1801s; run: log: (pid 122591) 1801s
    run: postgresql: (pid 121078) 1980s; run: log: (pid 122514) 1803s
    run: prometheus: (pid 122535) 1802s; run: log: (pid 122557) 1802s
    run: redis: (pid 120945) 1986s; run: log: (pid 122513) 1803s
    run: redis-exporter: (pid 122068) 1855s; run: log: (pid 122526) 1803s
    run: sidekiq: (pid 121478) 1923s; run: log: (pid 122516) 1803s
    run: unicorn: (pid 121406) 1929s; run: log: (pid 122515) 1803s
    # 查看redis日志
    [root@localhost ~]# gitlab-ctl tail redis
    2018-08-10_16:42:14.05381 120945:M 10 Aug 12:42:14.047 * 10 changes in 300 seconds. Saving...
    2018-08-10_16:42:14.05398 120945:M 10 Aug 12:42:14.053 * Background saving started by pid 126469

（5）gitlab服务安装目录说明

         /var/opt/gitlab/git-data/repositories/：库默认存储目录

         /opt/gitlab：应用代码和相应的依赖程序

        /var/opt/gitlab：”gitlab-ctl reconfigure”命令编译后的应用数据和配置文件，不需要人为修改配置

        /etc/gitlab：配置文件目录

        /var/log/gitlab：此目录下存放了gitlab各个组件产生的日志

        /var/opt/gitlab/backups/：备份文件生成的目录

（6）变更配置文件操作

    gitlab-ctl show-config ：修改配置后验证配置文件

    gitlab-ctl reconfigure ：修改配置后重置配置文件

2、gitlab的管理与使用

    Gitlab安装完成后在登录gitlab，在gitlab创建组、用户以及项目并关联起来，用户在本地生成密钥对，并将公钥拷贝到gitlab。同时创建里程碑给用户分配任务，gitlab对客户端可以做一下操作：

    # 将gitlab上的文件下载到本地
    ]# git clone git@192.168.16.128:java/java1.git
    # 在客户端创建分支完成分配的任务并上传至gitlab
    ]# git branch index
    ]# git checkout index
    ]# echo "hello world" > index.html
    ]# git add .
    ]# git commit -m "index"
    # 提交到远程git仓库
    ]# git push origin index
    #查看远程库的详细信息
    ]# git remote -v
    origin    git@192.168.16.128:java/java1.git (fetch)
    origin    git@192.168.16.128:java/java1.git (push)

3、gitlab的备份与恢复

（1）gitlab的备份

    备份前需要修改配置文件”/etc/gitlab/gitlab.rb”中的以下内容：

    备份文件存放路径：

       gitlab_rails['backup_path'] = '/data/backup/gitlab'

    本地保留多少天备份：

       gitlab_rails['backup_keep_time'] = 604800

    修改完配置文件后需要重新加载配置文件，并手动执行一次备份

    #创建备份文件存放目录并授权
    ]# mkdir /data/backup/gitlab -p
    ]# chown -R git.git /data/backup/gitlab
    #重新加载配置文件
    ]# gitlab-ctl reconfigure
    # 手动执行一次备份并查看备份
    ]# /usr/bin/gitlab-rake gitlab:backup:create
    ]# ls /data/backup/gitlab/
    1533992013_2018_08_11_11.1.4_gitlab_backup.tar
    # 将备份加入到定时任务中
    ]# crontab -l
    03 2 * * * /usr/bin/gitlab-rake gitlab:backup:create >dev/null 2>&1

（2）gitlab恢复

          在恢复前需要停止数据写入服务，需要停掉”unicorn”服务以及”sidekiq”服务。

    # 停掉数据写入服务
    ]# gitlab-ctl stop unicorn
    ok: down: unicorn: 0s, normally up
    ]# gitlab-ctl stop sidekiq
    ok: down: sidekiq: 0s, normally up
    # 执行恢复，backup后面为备份文件的时间戳及时间
    ]# gitlab-rake gitlab:backup:restore BACKUP=1533992013_2018_08_11_11.1.4
    # 恢复完成后，再次启动”unicorn”服务及”sidekiq”服务
    ]# gitlab-ctl start unicorn
    ]# gitlab-ctl start sidekiq

4、配置gitlab发送邮件功能

       在配置gitlab发送邮件前需要确保gitlab服务所在主机已安装postfix并已启动，配置发送邮件功能够将创建用户信息及分配任务时将相关信息发送相关负责人。

       配置邮件发送功能时需要在gitlab配置文件中配置一下参数：

    gitlab_rails['time_zone'] = 'Asia/Shanghai'
    gitlab_rails['gitlab_email_enabled'] = true
    gitlab_rails['gitlab_email_from'] = 'dayi_1234@126.com'
    gitlab_rails['gitlab_email_display_name'] = 'gitlab'
    gitlab_rails['smtp_enable'] = true
    gitlab_rails['smtp_address'] = "smtp.126.com"
    gitlab_rails['smtp_port'] = 25
    gitlab_rails['smtp_user_name'] = "dayi123"
    gitlab_rails['smtp_password'] = "mailsnmp_password"
    gitlab_rails['smtp_domain'] = "126.com"
    gitlab_rails['smtp_authentication'] = "login"

配置完成后重新加载配置：

    #重新加载配置文件
    ]# gitlab-ctl reconfigure

     测试时将邮箱配置为163邮箱及126邮箱（均开启了smtp）邮件不能正常发送出去，会报如下的错误（可通过” gitlab-ctl tail”命令查看日志或者登录gitlab在监控的”已停止”中查看）：

Net::SMTPFatalError: 554 DT:SPM 126 smtp1,C8mowAD3ZCIqlohbfq7kGQ--.54263S3 1535677995,please see http://mail.163.com/help/help_spam_16.htm?ip=58.37.62.187&hostid=smtp1&time=1535677995

     发送失败的原因可能是163邮箱将发送内容当做了垃圾邮件处理，导致发送不成功，当使用腾讯企业邮箱时，可以正常发送

David 2020-07-11 13:35 发表评论

gitlab 存储仓库目录设置及数据迁移

David — Sat, 11 Jul 2020 05:32:00 GMT

    注：一开始没有考虑到把gitlab划分好存储目录，占用系统磁盘，由于gitlab是默认安装的，随着公司代码越来越多，导致gitlab数据目录空间不足

磁盘空间：

    [root@gitlab ~]# df -hT
    Filesystem     Type      Size Used Avail Use% Mounted on
    /dev/vda1      ext4       40G   25G   13G 67% /

    注：因为使用的阿里云服务，所以考虑另挂载一块磁盘专用于gitlab存储。
    ······ 云盘挂载，磁盘分区就直接略过。

设置存储仓库数据

默认情况下omnibus-gitlab 将仓库数据存储在 /var/opt/gitlab/git-data目录下，仓库存放在子目录 repositories里面。以可以通过修改/etc/gitlab/gitlab.rb 的这一行来自定义 git-data 的父目录

    [root@gitlab ~]# vim /etc/gitlab/gitlab.rb
    # 把注释取消然后指定新的仓库存储位置
    git_data_dirs({ "default" => { "path" => "/home/gitlab-data" } })

    注： /home/gitlab-data 是我新挂载的目录，
    注意：目标路径和其子路径必须不能为软链接。

使设置生效

1.1 ，在没有数据的情况下

    [root@gitlab ~]# gitlab-ctl stop
    [root@gitlab ~]# gitlab-ctl reconfigure //使修改生效

1.2，如果 /var/opt/gitlab/git-data 目录已经存在Git仓库数据，你可以用下面的命令把数据迁移到新的位置:

    # 准备迁移之前要停止GitLab服务，防止用户写入数据。
    [root@gitlab ~]# gitlab-ctl stop

    # 注意 'repositories'后面不带斜杠，而
    # '/home/gitlab-data'后面是有斜杠的。
    [root@gitlab ~]# rsync -av /var/opt/gitlab/git-data/repositories /home/gitlab-data/

    # 如果需要修复权限设置，
    # 可运行下面的命令进行修复。
    [root@gitlab ~]# gitlab-ctl reconfigure

    # 再次检查下 /home/gitlab-data 的目录. 正常情况应该有下面这个子目录:
    # repositories

    [root@gitlab ~]# ls /home/gitlab-data/
    repositories
    # 完工! 启动GitLab，验证下是否能
    # 通过web访问Git仓库。
    [root@gitlab ~]# gitlab-ctl start

设置存储仓库数据的备用目录

    注意的是：自GitLab 8.10开始,可以通过在/etc/gitlab/gitlab.rb文件中添加下面的几行配置，来增加多个 git 数据存储目录。

    git_data_dirs({
      "default" => { "path" => "/var/opt/gitlab/git-data" }, //默认存储目录
      "alternative" => { "path" => " /home/gitlab-data" }     //备用存储目录

————————————————

David 2020-07-11 13:32 发表评论