利用RCS保障服务器配置文件安全

作者：苟姝慧_788 | 来源：互联网 | 2017-10-04 12:43

利用RCS保障服务器配置文件安全--Linux企业应用-Linux服务器应用信息，下面是详情阅读。

你是不是曾经因改动配置文件出错导致服务器故障而不知所措呢?你是不是有过服务器突然当掉，你却怎么也想不起来几个星期前你对配置文件下过什么毒手呢?你是不是有过查不出哪个管理员的哪次配置导致了服务器故障的经历呢？你是不是害怕服务器故障而不敢改动配置文件来实验服务器的新功能呢？

如果你被上面的问题所困惑，你应该试试RCS（Revision Control System，版本控制系统）。RCS与CVS功能类似，他可以追踪文件的改变，在有多人工作的情形下可控制共享存取文件，他通常被用来维护源代码。与CVS相比它仅用于单机上，十分短小精悍，比CVS更简单易用。RCS最近的Linux版本是5.7。许多发行版已经附带了他的rpm包，如果没有，或你想试一下新版本，可以到ftp://ftp.cs.purdue.edu/pub/RCS下载。下面让我们看一看怎么用RCS维护配置文件的安全。

我们以/etc/下的proftpd.conf为例介绍RCS的使用。首先在proftpd.conf所在的目录/etc下建立一个名为RCS的目录，RCS将该目录作为仓库，所有的历史修订版本都会放在这个目录下。第一次创建一个配置文件的备份时，使用ci -i proftpd.conf进行初始化，这时RCS会让你输入说明，请写一个帮助你记忆的描述以免几个月后忘掉。
root@localhost:/etc#ci -i proftpd.conf
RCS/proftpd.conf，v <-- proftpd.conf
enter description，terminated with single '.' or end of file:
>>this is the origin version of proftpd.conf
>>.
initial revision:1.1
done
root@localhost:/etc#
这之后RCS会将原来的proftpd.conf删掉，你需要用co proftpd.conf将其导出，导出后我们还不能修改他，用ls -l proftpd.conf会发现他是只读的，要修改他你需要用co -l proftpd.conf再次将其导出，这时我们用ls -l proftpd.conf会发现他的属性已经改为可写了。这两个命令的区别是后者导出文件时锁定了该文件，防止其他用户同时对其更新，这时其他用户试图导入或导出该文件的操作会被阻止。过程如下:
root@localhost:/etc#co proftpd.conf
RCS/proftpd.conf，v --> proftpd.conf
revision 1.1
done
root@localhost:/etc#ls -l proftpd.conf
-r-------- 1 root root 1732 5 28 21:00 proftpd.conf

root@localhost:/etc#co -l proftpd.conf
RCS/proftpd.conf，v --> proftpd.conf
revision 1.1 (locked)
done
root@localhost:/etc#ls -l proftpd.conf
-rw------- 1 root 1732 5 28 21:00 proftpd.conf
另一个用户下，操作被阻止:
zwz@localhost:/etc$co -l proftpd.conf
co: RCS/proftpd.conf，v: Revision 1.1 is already locked by root。
zwz@localhost:/etc$ci -u proftpd.conf
ci: RCS/proftpd.conf，v: no lock set by zwz
使用co -l proftpd.conf导出后，我们就可以编辑配置文件了，编辑好后，使用ci -u proftpd.conf导入，并写好对该新版本的描述。
root@localhost:/etc#ci -u proftpd.conf
RCS/proftpd.conf <-- proftpd.conf
new revision:1.2; previous revision:1.1
eneter log message，terminated with single '.' or end of file:
>>modified xxxxx
>>.
done
root@localhost:/etc#

导入操作完成后，文件属性又被改为只读，下次要修改时一定要先用co -l proftpd.conf导出，才能修改。经常见的一个错误是忘记了在导入时用-l选项，而是用chmod手工的将文件改为可写，这时在导入时将导致not lock by xxx(用户名)的错误。解决方法是先把改过的文件备份，然后用co -l重新导出文件，最后把备份的文件拷回来，就可以导入新的文件了，过程如下:
root@localhost:/etc#co proftpd.conf
RCS/proftpd.conf --> proftpd.conf
revision 1.1
done
root@localhost:/etc#chmod u+w proftpd.conf <--- 错误的操作
root@localhost:/etc#vi proftpd.conf
root@localhost:/etc#ci proftpd.conf
RCS/proftpd.conf，v <-- proftpd.conf
ci:RCS/proftpd.conf，v: no lock set by root

root@localhost:/etc#cp proftpd。conf proftpd.conf.backup <--备份一下改过的文件
root@localhost:/etc#co -l proftpd.conf <--重新导出文件
RCS/proftpd.conf，v --> proftpd.conf
revision 1.1 (locked)
writable proftpd.conf exists;remove it? [ny](n):y
done
root@localhost:/etc#mv proftpd.conf.backup proftpd.conf
root@localhost:/etc#ci -u proftpd.conf
RCS/proftpd.conf，v <-- proftpd.conf
new revision:1.2;previous revision: 1.1
enter log message，terminated with single '.' or end of file:
>>the 1.2 revision
>>.
done
root@localhost:/etc#
需要记住的一个法则是:编辑配置文件前要用co -l导出，编辑后用ci -u导入，保证正常情况下文件处于只读状态。

当需要恢复到以前的配置文件时，可以使用co -1 -r1.1 proftpd.conf，其中-r1.x是要恢复的版本号，若我们在这个版本的基础上做了修改，再次导入时RCS会用诸如1.1.1.x的版本号以产生一个新的分支。
root@localhost:/etc#co -l -r1.1 proftpd.conf
RCS/proftpd.conf，v -->proftpd.conf
revision 1.1(locked)
done
root@localhost:/etc#vi proftpd.conf
root@localhost:/etc#ci -u proftpd.conf
RCS/proftpd.conf，v <-- proftpd.conf
new revision:1.1.1.1;previous revision:1.1
enter log message，terminated with single '.' or end of file:
>>new branch
>>.
done
root@localhost:/etc#

如果你修改了配置文件导致服务故障，可以使用rcsdiff查看刚刚修改的配置文件与上次正常运行的版本的差别，如下:
root@localhost:/etc#rcsdiff proftpd.conf
RCS file: RCS/proftpd.conf，v
retrieving revision 1.1
diff -r1.1 proftpd.conf
15c15
---
>part 21
很明显我们就可以定位到错误了，此外可以使用rcsdiff -r1.1 -r1.2 proftpd.conf 指定比较两个版本之间的不同。

当有多个人管理服务器时，如果系统发生异常，可以通过rlog确定哪个人什么时间进行了什么操作:
root@localhost:/etc#rlog proftpd.conf
RCS file: RCS/proftpd.conf，v
Working file: proftpd.conf
head:1.2
branch:
locks:strict
root:1.2
access list:
symbolic names:
keyword substitution: kv
total revisions:2; selected revisions:2
description:
this is the origin version of proftpd。conf
---------------------------
revision 1.2 locked by: root;
date: 2005/05/28 12:32:22; author:root; state: Exp;
lines:+1 -1
the 1.2 revision
---------------------------
revision 1.1 locked by:root;
date: 2005/05/28 12:28:45; author:root; state: Exp;
lines:+2 -0
the 1.1 revision
通过该日志，可以迅速的找到故障的责任人，查明故障原因。

通过使用RCS，我们不仅可以简单的备份配置文件，还对配置文件的更改，更改时间，更改者，及其原因作了详细严密的跟踪。在复杂的系统上，尤其是多人负责的系统上，这些信息将非常有价值，在判断和解决服务故障时，会大大减轻管理员的工作量。

推荐阅读

io
Centos7.6安装Gitlab教程及注意事项

本文介绍了在Centos7.6系统下安装Gitlab的详细教程，并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时，还强调了使用阿里云服务器时的特殊配置需求，以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]

蜡笔小新 2023-12-14 14:01:06
stream
Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍

本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容，主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ... [详细]

蜡笔小新 2023-12-14 18:16:27
io
图解redis的持久化存储机制RDB和AOF的原理和优缺点

本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件，恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘，实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点，帮助读者更好地理解redis的持久化存储策略。 ... [详细]

蜡笔小新 2023-12-13 20:24:11
io
eBPF和WebAssembly：云原生VM的比较及应用领域

本文比较了eBPF和WebAssembly作为云原生VM的特点和应用领域。eBPF作为运行在Linux内核中的轻量级代码执行沙箱，适用于网络或安全相关的任务；而WebAssembly作为图灵完备的语言，在商业应用中具有优势。同时，介绍了WebAssembly在Linux内核中运行的尝试以及基于LLVM的云原生WebAssembly编译器WasmEdge Runtime的案例，展示了WebAssembly作为原生应用程序的潜力。 ... [详细]

蜡笔小新 2023-12-14 21:27:37
io
Nginx使用AWStats日志分析的步骤及注意事项

本文介绍了在Centos7操作系统上使用Nginx和AWStats进行日志分析的步骤和注意事项。通过AWStats可以统计网站的访问量、IP地址、操作系统、浏览器等信息，并提供精确到每月、每日、每小时的数据。在部署AWStats之前需要确认服务器上已经安装了Perl环境，并进行DNS解析。 ... [详细]

蜡笔小新 2023-12-14 19:42:01
shell
Linux服务器密码过期策略、登录次数限制、私钥登录等配置方法

本文介绍了在Linux服务器上进行密码过期策略、登录次数限制、私钥登录等配置的方法。通过修改配置文件中的参数，可以设置密码的有效期、最小间隔时间、最小长度，并在密码过期前进行提示。同时还介绍了如何进行公钥登录和修改默认账户用户名的操作。详细步骤和注意事项可参考本文内容。 ... [详细]

蜡笔小新 2023-12-14 17:57:01
io
rhel5.5搭建网关+LAMP+postfix+dhcp的步骤和配置方法

本文介绍了在rhel5.5操作系统下搭建网关+LAMP+postfix+dhcp的步骤和配置方法。通过配置dhcp自动分配ip、实现外网访问公司网站、内网收发邮件、内网上网以及SNAT转换等功能。详细介绍了安装dhcp和配置相关文件的步骤，并提供了相关的命令和配置示例。 ... [详细]

蜡笔小新 2023-12-14 17:13:20
io
【译】发送表单数据

这是原文链接：sendingformdata许多情况下，我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单，但是 ... [详细]

蜡笔小新 2023-12-14 16:19:10
io
Hibernate配置lazy=false时无法加载数据的问题解决方法

本文介绍了在Hibernate配置lazy=false时无法加载数据的问题，通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程，包括运行环境和数据库的配置信息。 ... [详细]

蜡笔小新 2023-12-14 13:59:45
io
禁止程序接收鼠标事件的工具_VNC Viewer for Mac(远程桌面工具)免费版

VNCViewerforMac是一款运行在Mac平台上的远程桌面工具，vncviewermac版可以帮助您使用Mac的键盘和鼠标来控制远程计算机，操作简 ... [详细]

蜡笔小新 2023-12-14 12:55:15
io
云服务器API接口的入门使用及功能解析

本文详细介绍了云服务器API接口的概念和作用，以及如何使用API接口管理云上资源和开发应用程序。通过创建实例API、调整实例配置API、关闭实例API和退还实例API等功能，可以实现云服务器的创建、配置修改和销毁等操作。对于想要学习云服务器API接口的人来说，本文提供了详细的入门指南和使用方法。如果想进一步了解相关知识或阅读更多相关文章，请关注编程笔记行业资讯频道。 ... [详细]

蜡笔小新 2023-12-14 12:43:39
io
阿里云物联网 .NET Core 客户端 | CZGL.AliIoTClient：4. 设备上报属性

阿,里,云,物,联网,net,core,客户端,czgl,aliiotclient, ... [详细]

蜡笔小新 2023-12-14 12:40:20
io
Thrift教程初级篇——RPC框架Thrift的安装环境变量配置与第一个实例

本文介绍了RPC框架Thrift的安装环境变量配置与第一个实例，讲解了RPC的概念以及如何解决跨语言、c++客户端、web服务端、远程调用等需求。Thrift开发方便上手快，性能和稳定性也不错，适合初学者学习和使用。 ... [详细]

蜡笔小新 2023-12-13 17:36:52
io
C#学习教程：解析CIM_DateTime为.Net DateTime

本文介绍了如何将CIM_DateTime解析为.Net DateTime，并分享了解析过程中可能遇到的问题和解决方法。通过使用DateTime.ParseExact方法和适当的格式字符串，可以成功解析CIM_DateTime字符串。同时还提供了关于WMI和字符串格式的相关信息。 ... [详细]

蜡笔小新 2023-12-14 12:19:34
select
Java String与StringBuffer的区别及其应用场景

本文主要介绍了Java中String和StringBuffer的区别，String是不可变的，而StringBuffer是可变的。StringBuffer在进行字符串处理时不生成新的对象，内存使用上要优于String类。因此，在需要频繁对字符串进行修改的情况下，使用StringBuffer更加适合。同时，文章还介绍了String和StringBuffer的应用场景。 ... [详细]

蜡笔小新 2023-12-13 19:21:06

苟姝慧_788

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章