weixin_40455124的博客

ubuntu 虚拟机复制后需要修改的内容简单记录1、网卡配置 vim /etc/netplan/00-installer-config.yaml2、主机名：vi /etc/hostname 及vi /etc/hosts

在使用epbf的时候发现自己编译的flow 不能load，出现如下错误：root@ubuntu:~/ebpf/echo-bpftool-main# bpftool prog loadall ./bpf_flow.o /sys/fs/bpf/flow type flow_dissectorlibbpf: BTF is required, but is missing or corrupted.Error: failed to open object file但impish test的可以loadro

tcp_window_scaling 打开的时候tcp windows size是双方协商的，但各方是怎么算size的没有明确的算法，参考：https://access.redhat.com/solutions/29455可以得到redhat的算法，但这不代表所有的linux（还有windows）都是这样的。以下是上文提到的主要参数net.ipv4.tcp_timestampsnet.core.rmem_maxnet.ipv4.tcp_rmemnet.ipv4.tcp_adv_win_sca

Dockerfile如下：#docker build -t bcc:impish .#apt-cache show bpfcc-tools 查看版本#docker build -t bcc:impish-0.24 .# docker run --rm -it --cap-add=ALL --privileged --pid=host -v /sys/kernel/debug:/sys/kernel/debug --net=host bcc:impish-0.24 bash FROM ubu

LINUX TC与iptables结合，在L4实现网络流量分配及控制可以对ingress（通过policing）及egress 进行限速，具体可以参考如下链接：https://download.youkuaiyun.com/download/zgangz/8363599?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164652534216780366514968%2522%252C%2522scm%2522%253A%252220140713.1

今天遇到nginx NSS error -12263 (SSL_ERROR_RX_RECORD_TOO_LONG) 处理，简单记录一下：端口要配置为支持ssl不能同时ssl on及 listen port ssl可以参考https://stackoverflow.com/questions/20262186/error-code-ssl-error-rx-record-too-long-for-https-in-nginx-on-ruby-on-rails-appYou can’t have b

若要将所有标准输出及标准错误都输出至文件，可用&表示全部1和2的信息，eg：find /etc -name passwd &>find.all 或 find /etc -name passwd >find.all 2>&1find 不包含内容的文件find . -name ‘lsprocess.sh.*’ | xargs grep -L ‘cap_dac_override,cap_dac_read_search,cap_sys_ptrace’...

capability原理不多说，使用cap_net_bind_service就可以80端口占用，测试结果如下[xiehq@140 nginx]$ ps -ef|grep nginx;getcap sbin/nginxxiehq 59599 59325 0 01:32 pts/1 00:00:00 grep --color=auto nginxsbin/nginx = cap_net_bind_service+eip[xiehq@140 nginx]$ sbin/nginx -p /

可以给普通用户capsh 赋予capability 实现特殊操作，避免使用sudo权限，如使用setuser，当然这样也有一定安全风险，赋予的用户应该是原计划给予sudo的用户。如下为测试netstat 的代码，如果要更安全，可以是golang等语言开发定制user列表等的控制，比如禁止set为root用户。[xiehq@140 ~]$ getcap ./capsh./capsh = cap_chown,cap_dac_override,cap_dac_read_search,cap_fowner,

sshpass也可以执行sudo,但需要时-S模式接收密码，不是非常安全sshpass -e ssh xiehq@192.168.157.140 "echo $SSHPASS| sudo -S setcap cap_dac_override,cap_sys_ptrace+eip /home/xiehq/x"如果要对子process进行授权，一定要给主进程赋予cap_setpcap权限，cap_setfcap能否使用，没有测试，同时个人认为如果需要cap_setfcap，不如直接对相关文件授予对

通过linux capability 赋予，可以避免使用sudo执行一些应用，比如读取/proc下其它用户的信息。如通过sudo setcap cap_dac_override,cap_sys_ptrace+eip ./process-exporter取消capability : sudo setcap “” ./process-exporter但在如下环境：Linux 140.localdomain 3.10.0-957.21.3.el7.x86_64 #1 SMP Tue Jun 18 16:3

密码含有特殊字符：使用-e 或者加单引号，测试前注意已经保存了证书，否则无反应sshpass -p ‘!QAZ1qaz’ ssh app@192.168.138.11 ‘ls -ltr’nohup 写法 ： >nohup.out 2>&1#!/bin/bashcd /data/app/prometheus/processnohup ./process-exporter -network -threads=false -gather-smaps=false -config.pa