时间服务、日志服务、sudo；nginx模块

1搭建chrony时间服务器

安装：
yum install chrony -y
查看chrony的配置文件
rpm -ql chrony | grep "conf$"
vim /etc/chrony.conf

 使用pool.ntp.org项目中的公共服务器。以server开，理论上你想添加多少时间服务器都可以。 Please consider joining the pool (http://www.pool.ntp.org/join.html).server 0.centos.pool.ntp.org iburstserver 1.centos.pool.ntp.org iburstserver 2.centos.pool.ntp.org iburstserver 3.centos.pool.ntp.org iburst 根据实际时间计算出服务器增减时间的比率，然后记录到一个文件中，在系统重启后为系统做出最佳时间补偿调整。driftfile /var/lib/chrony/drift chronyd根据需求减慢或加速时间调整， 在某些情况下系统时钟可能漂移过快，导致时间调整用时过长。 该指令强制chronyd调整时期，大于某个阀值时步进调整系统时钟。只有在因chronyd启动时间超过指定的限制时（可使用负值来禁用限制）没有更多时钟更新时才生效。makestep 1.0 3 将启用一个内核模式，在该模式中，系统时间每11分钟会拷贝到实时时钟（RTC）。rtcsync Enable hardware timestamping on all interfaces that support it. 通过使用hwtimestamp指令启用硬件时间戳#hwtimestamp eth0#hwtimestamp eth2#hwtimestamp *Increase the minimum number of selectable sources required to adjustthe system clock.#minsources 2 指定一台主机、子网，或者网络以允许或拒绝NTP连接到扮演时钟服务器的机器#allow 192.168.0.0/16#deny 192.168/16Serve time even if not synchronized to a time source.local stratum 10 指定包含NTP验证密钥的文件。#keyfile /etc/chrony.keys 指定日志文件的目录。logdir /var/log/chronySelect which information is logged.#log measurements statistics tracking

服务器保持默认配置，关闭防火墙SELINUX
在另一台主机上，打开配置文件，注释掉其他服务器

server 192.168.159.131 iburst`重启服务systemctl restart chronyd验证是否成功chronyc sources -v

2.日志服务器的搭建,rsyslog

在服务器端的vim /etc/rsyslog.conf
添加如下，这是开启

$ModLoad imudp  #引用udp协议的模块$UDPServerRun 514  #设置udp协议使用端口$ModLoad imtcp  #引用udp协议$InputTCPServerRun 514

在客户端添加如下
*.info;mail.none;authpriv.none;cron.none @192.168.159.131

facitlity.priority 模式可在其他文档看到

3sudo

sudo:1.进行修改配置文件不建议直接在主配置文件下； 2.授权的命令必须要格式一致，多一个"/"都会出错； 3.运行时必须使用sudo为方便使用visudo 打开自定义的配置有自动加亮等特点 使用 export EDITOR=vim2.系统管理员的身份实际依据的是uid=02.visudo -f /etc/sudoers.d/xx ; 切换用户后必须使用 sudo cmd ； centos5不支持扩展配置文件3.%group 一旦某组授权了，其中的用户可以使用4.使用pssh将自定义的sudo授权文件推送给多台主机，在各自服务器上进行修改并使用，不建议使用nfs，会出现用户发生更改等诸多问题~nfsnobody!!5.将文件发往多台主机pscp.pssh -A -h ip.txt /etc/sudoers.d/file /etc/sudoers.d/

4nginx相关模块

（部分来自其他师哥的博客）

配置文件：    主配置文件：/etc/nginx/nginx.confmain配置段常见的配置指令    正常运行必备的配置      1、user                  Syntax: user user [group];                  Default: user nobody nobody;                  Context: main      2、pid /PATH/TO/PID_FILE;                  指定存储nginx主进程进程号码的文件路径；      3、include file | mask;                  指明包含进来的其它配置文件；      4、load_module file;                    指明要装载的动态模块；    优化性能相关的配置      1、worker_processes number | auto;                  worker进程的数量（小于等于主机cpu的物理核心数；）                  auto：当前主机物理CPU核心数；      2、worker_cpu_affinity cpumask ...;                  worker_cpu_affinity auto [cpumask];把nginx进程绑定到指定cpu                  CPU MASK：cpu掩码      3、worker_priority number;                  指定worker进程的nice值，设定worker进程优先级；[-20,20]      4、orker_rlimit_nofile number;                  worker进程所能够打开的文件数量上限    调试和定位问题的配置      1、daemon on|off;                  是否以守护进程方式运行Nignx；      2、master_process on|off;                  是否以master/worker模型运行nginx，默认on；      3、error_log file [level];错误日志等级    事件驱动相关的配置      1、worker_connections number;                  每个worker进程所能够打开的最大并发连接数数量      2、use method;                  指明并发连接请求的处理方法；      3、accept_mutex on | off;                  处理新的连接请求的方法（on：worker轮流处理，Off：每个新请求都通知所有的worker进程）与套接字相关的配置1、server{...}:配置一个虚拟主机server {        listen address[:PORT]|PORT;        server_name SERVER_NAME; #主机名(可使用通配符或正则表达式)        root /PATH/TO/DOCUMENT_ROOT;        proxy_pass http://ip;    #反向代理        tcp_nodelay on | off #默认on，keepalive模式下数据包不会立即发送，而是等到数据包到最大时才一次性发出去，有利于解决网络堵塞        tcp_nopush on | off  #sendfile模式下，是否等待应用层首部合并一起发送        sendfile on | off    }定义路径相关的配置1、root 资源路径映射2、location 根据url进行对应配置    =：精确匹配；    ~：正则表达式匹配，区分大小写；    ~*：正则表达式匹配，不区分大小写；    ^~：左侧匹配，不区分字符大小写；    不带符号：匹配起始于此uri的所有的url；    匹配优先级：=，^~，~/~*，不带符号3、alias 路径别名server{       listen 80;         server_name www.linux.io;location  ^~ /images/{                              root /data/pictures/;    #匹配/data/pictures/images                # alias /data/pictures/;    #匹配/data/pictures/}4、index 默认资源5、error_page 指定错误页6、try_files 定义客户端请求的相关配置      1、keepalive_timeout                   keepalive的超时时长，0表示禁止长连接（默认为75s）       2、keepalive_requests                   一次长连接上允许请求资源的最大数量（默认为100）       3、keepalive_disable none | browser ...;                  对哪种浏览器禁用长连接；       4、send_timeout ;                  向客户端发送响应报文的超时时长（两次写操作之间的间隔时长）       5、client_body_buffer_size size;               用于接收客户端请求报文的body部分的缓冲区大小（默认16k），超出大小时，其将被暂存到磁盘上的由       client_body_temp_path指令所定义的位置；       6、client_body_temp_path path [level1 [level2 [level3]]];                  设定用于存储客户端请求报文的body部分的临时存储路径及子目录结构和数量；对客户端限制的相关配置1、limit_rate rate;      限制响应给客户端的传输速率，单位是bytes/second，0表示无限制；2、limit_except method ... { ... }      限制对指定的请求方法之外的其它方法的使用客户端；文件操作优化的配置1、aio on | off | threads[=pool];      是否启用aio功能；2、directio size | off;      在Linux主机启用O_DIRECT标记，此处意味文件大于等于给定的大小时使用，例如directio 4m;3、open_file_cache off;      open_file_cache max=N [inactive=time];            nginx可以缓存以下三种信息：                 (1) 文件的描述符、文件大小和最近一次的修改时间；                 (2) 打开的目录结构；                 (3) 没有找到的或者没有权限访问的文件的相关信息；            max=N：可缓存的缓存项上限；达到上限后会使用LRU算法实现缓存管理；      inactive=time：缓存项的非活动时长，在此处指定的时长内未被命中的或命中的次数少于* * *4、open_file_cache_min_uses指令所指定的次数的缓存项即为非活动项；5、open_file_cache_valid time;      缓存项有效性的检查频率；默认为60s;6、open_file_cache_min_uses number;      在open_file_cache指令的inactive参数指定的时长内，至少应该被命中多少次方可被归类为活动项；7、open_file_cache_errors on | off;      是否缓存查找时发生错误的文件一类的信息；ngx_http_access_module模块：实现基于ip的访问控制功能      1、allow address | CIDR | unix: | all;      2、deny address | CIDR | unix: | all;            http, server, location, limit_exceptngx_http_auth_basic_module模块            实现基于用户的访问控制，使用basic机制进行用户认证；      1、auth_basic string | off;      2、auth_basic_user_file file;ngx_http_stub_status_module模块 用于输出nginx的基本状态信息      1、stub_status ；    Active connections: 活动状态的连接数；    accepts：已经接受的客户端请求的总数；    handled：已经处理完成的客户端请求的总数；    requests：客户端发来的总的请求数；    Reading：处于读取客户端请求报文首部的连接的连接数；    Writing：处于向客户端发送响应报文过程中的连接数；    Waiting：处于等待客户端发出请求的空闲连接数；ngx_http_log_module模块以指定的格式写入请求日志（1）log_format name string ...;            string可以使用nginx核心模块及其它模块内嵌的变量；（2）access_log path [format [buffer=size] [gzip[=level]] [flush=time] [if=condition]];            access_log off;#关闭日志记录（3）open_log_file_cache max=N [inactive=time] [min_uses=N] [valid=time];ngx_http_gzip_module：压缩传输模块（1）gzip on | off;                  启用或禁用压缩响应（2）gzip_comp_level level;                     设置响应的GZIP压缩级别。可接受的值在1到9的范围内。（3）gzip_disable regex ...;                     禁用与"用户代理"标题字段匹配的任何指定正则表达式的请求响应的GZIPIP。（4）gzip_min_length length;                     启用压缩功能的响应报文大小阈值；（5）gzip_buffers number size;                    支持实现压缩功能时为其配置的缓冲区数量及每个缓存区的大小；（6）gzip_proxied off | expired | no-cache | no-store | private | no_last_modified | no_etag | auth | any ...;    nginx作为代理服务器接收到从被代理服务器发送的响应报文后，在何种条件下启用压缩功能的；    off：对代理的请求不启用    no-cache, no-store，private：表示从被代理服务器收到的响应报文首部的Cache-Control的值为此三者中任何一个，则启用压缩功能；（7）gzip_types mime-type ...;                     压缩过滤器，仅对此处设定的MIME类型的内容启用压缩功能；ngx_http_ssl_module（1） ssl on | off;                     是否启用ssl（2）ssl_certificate file;                     当前虚拟主机使用PEM格式的证书文件；（3）ssl_certificate_key file;                     当前虚拟主机上与其证书匹配的私钥文件；           （4）ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];                    支持ssl协议版本，默认为后三个；           （5）ssl_session_cache off | none | [builtin[:size]] [shared:name:size];    builtin[:size]：使用OpenSSL内建的缓存，此缓存为每worker进程私有；    [shared:name:size]：在各worker之间使用一个共享的缓存；（6）ssl_session_timeout time;                     客户端一侧的连接可以复用ssl session cache中缓存 的ssl参数的有效时长；ngx_http_rewrite_moduleURL重定向，URL重写查找替换。将用户请求的URI基于regex所描述的模式进行检查，而后完成替换；（1）rewrite regex replacement [flag]                    将用户请求的URI基于regex所描述的模式进行检查，匹配到时将其替换为replacement指定的新的URI；                  【注意】如果在同一级配置块中存在多个rewrite规则，那么会自下而下逐个检查；被某条件规则替换完成后，会重新一轮的替换检查，因此，隐含有循环机制；[flag]所表示的标志位用于控制此循环机制；    last（循环）：重写完成后停止对当前URI在当前location中后续的其它重写操作，而后对新的URI启动新一轮重写检查；提前重启新一轮循环；    break（跳出循环）：重写完成后停止对当前URI在当前location中后续的其它重写操作，而后直接跳转至重写规则配置块之后的其它配置；结束循环；    redirect：重写完成后以临时重定向方式直接返回重写后生成的新URI给客户端，由客户端重新发起请求；不能以http://或https://开头；    permanent:重写完成后以永久重定向方式直接返回重写后生成的新URI给客户端，由客户端重新发起请求；（2）return返回                     return code [text];                     return code URL;                     return URL;                     停止处理并将指定的代码返回给客户端。（3） rewrite_log on | off;                      是否开启重写日志；（4） if (condition) { ... }条件判断                      引入一个新的配置上下文 ；条件满足时，执行配置块中的配置指令；server, location；（5）set $variable value;                      用户自定义变量 ；ngx_http_referer_module网站的合法引用，防止盗链格式：valid_referers none | blocked | server_names | string ...;定义referer首部的合法可用值；    none：请求报文首部没有referer首部；    blocked：请求报文的referer首部没有值；    server_names：参数，其可以有值作为主机名或主机名模式；    arbitrary_string：直接字符串，但可使用作通配符；    regular expression：被指定的正则表达式模式匹配到的字符串；要使用~打头，例如 ~..magedu.com；