[zz]利用RCS保障服务器配置文件安全-zzggbb-ChinaUnix博客

zhanggbzzggbb.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

zzggbb

博客访问： 478159
博文数量： 115
博客积分： 3777
博客等级：中校
技术积分： 1070
用户组：普通用户
注册时间： 2009-11-07 09:20

文章分类

全部博文（115）

pwscf（5）
Tools（46）
VASP（12）
Nonlinear（1）
Linux（45）
未分配的博文（6）

文章存档

2015年（1）

2013年（3）

2012年（26）

2011年（30）

2010年（34）

2009年（21）

我的朋友

相关博文

[zz]利用RCS保障服务器配置文件安全

分类： LINUX

2010-08-30 17:42:28

作者: 发表于：2006-02-22 17:55:45

【】【】【】【】

By:tnt_zwz

你是不是曾经因改动配置文件出错导致服务器故障而不知所措呢?你是不是有过服务器突然当掉，你却怎么也想不起来几个星期前你对配置文件下过什么毒手呢?你是不是有过查不出哪个管理员的哪次配置导致了服务器故障的经历呢？你是不是害怕服务器故障而不敢改动配置文件来实验服务器的新功能呢？

如果你被上面的问题所困惑，你应该试试RCS（Revision Control System，版本控制系统）。RCS与CVS功能类似，他可以追踪文件的改变，在有多人工作的情形下可控制共享存取文件，他通常被用来维护源代码。与CVS相比它仅用于单机上，十分短小精悍，比CVS更简单易用。RCS最近的Linux版本是5.7。许多发行版已经附带了他的rpm包，如果没有，或你想试一下新版本，可以到ftp://ftp.cs.purdue.edu /pub/RCS下载。下面让我们看一看怎么用RCS维护配置文件的安全。

我们以/etc/下的proftpd.conf为例介绍RCS的使用。首先在proftpd.conf所在的目录/etc下建立一个名为RCS的目录，RCS将该目录作为仓库，所有的历史修订版本都会放在这个目录下。第一次创建一个配置文件的备份时，使用ci -i proftpd.conf进行初始化，这时RCS会让你输入说明，请写一个帮助你记忆的描述以免几个月后忘掉。
root@localhost:/etc#ci -i proftpd.conf
RCS/proftpd.conf，v <-- proftpd.conf
enter description，terminated with single '.' or end of file:
>>this is the origin version of proftpd.conf
>>.
initial revision:1.1
done
root@localhost:/etc#
这之后RCS会将原来的proftpd.conf删掉，你需要用co proftpd.conf将其导出，导出后我们还不能修改他，用 ls -l proftpd.conf会发现他是只读的，要修改他你需要用co -l proftpd.conf再次将其导出，这时我们用 ls -l proftpd.conf会发现他的属性已经改为可写了。这两个命令的区别是后者导出文件时锁定了该文件，防止其他用户同时对其更新，这时其他用户试图导入或导出该文件的操作会被阻止。过程如下:
root@localhost:/etc#co proftpd.conf
RCS/proftpd.conf，v --> proftpd.conf
revision 1.1
done
root@localhost:/etc#ls -l proftpd.conf
-r-------- 1 root root 1732 5 28 21:00 proftpd.conf

root@localhost:/etc#co -l proftpd.conf
RCS/proftpd.conf，v --> proftpd.conf
revision 1.1 (locked)
done
root@localhost:/etc#ls -l proftpd.conf
-rw------- 1 root 1732 5 28 21:00 proftpd.conf
另一个用户下，操作被阻止:
zwz@localhost:/etc$co -l proftpd.conf
co: RCS/proftpd.conf，v: Revision 1.1 is already locked by root。
zwz@localhost:/etc$ci -u proftpd.conf
ci: RCS/proftpd.conf，v: no lock set by zwz
使用co -l proftpd.conf导出后，我们就可以编辑配置文件了，编辑好后，使用ci -u proftpd.conf导入，并写好对该新版本的描述。
root@localhost:/etc#ci -u proftpd.conf
RCS/proftpd.conf <-- proftpd.conf
new revision:1.2; previous revision:1.1
eneter log message，terminated with single '.' or end of file:
>>modified xxxxx
>>.
done
root@localhost:/etc#

导入操作完成后，文件属性又被改为只读，下次要修改时一定要先用co -l proftpd.conf导出，才能修改。经常见的一个错误是忘记了在导入时用-l选项，而是用chmod手工的将文件改为可写，这时在导入时将导致not lock by xxx(用户名)的错误。解决方法是先把改过的文件备份，然后用co -l重新导出文件，最后把备份的文件拷回来，就可以导入新的文件了，过程如下:
root@localhost:/etc#co proftpd.conf
RCS/proftpd.conf --> proftpd.conf
revision 1.1
done
root@localhost:/etc#chmod u+w proftpd.conf   <--- 错误的操作
root@localhost:/etc#vi proftpd.conf
root@localhost:/etc#ci proftpd.conf
RCS/proftpd.conf，v <-- proftpd.conf
ci:RCS/proftpd.conf，v: no lock set by root

root@localhost:/etc#cp proftpd。conf proftpd.conf.backup           <--备份一下改过的文件
root@localhost:/etc#co -l proftpd.conf             <--重新导出文件
RCS/proftpd.conf，v --> proftpd.conf
revision 1.1 (locked)
writable proftpd.conf exists;remove it? [ny](n):y
done
root@localhost:/etc#mv proftpd.conf.backup proftpd.conf
root@localhost:/etc#ci -u proftpd.conf
RCS/proftpd.conf，v <-- proftpd.conf
new revision:1.2;previous revision: 1.1
enter log message，terminated with single '.' or end of file:
>>the 1.2 revision
>>.
done
root@localhost:/etc#
需要记住的一个法则是:编辑配置文件前要用co -l导出，编辑后用ci -u导入，保证正常情况下文件处于只读状态。

当需要恢复到以前的配置文件时，可以使用co -1 -r1.1 proftpd.conf，其中-r1.x是要恢复的版本号，若我们在这个版本的基础上做了修改，再次导入时RCS会用诸如1.1.1.x的版本号以产生一个新的分支。
root@localhost:/etc#co -l -r1.1 proftpd.conf
RCS/proftpd.conf，v -->proftpd.conf
revision 1.1(locked)
done
root@localhost:/etc#vi proftpd.conf
root@localhost:/etc#ci -u proftpd.conf
RCS/proftpd.conf，v <-- proftpd.conf
new revision:1.1.1.1;previous revision:1.1
enter log message，terminated with single '.' or end of file:
>>new branch
>>.
done
root@localhost:/etc#

如果你修改了配置文件导致服务故障，可以使用rcsdiff查看刚刚修改的配置文件与上次正常运行的版本的差别，如下:
root@localhost:/etc#rcsdiff proftpd.conf
RCS file: RCS/proftpd.conf，v
retrieving revision 1.1
diff -r1.1 proftpd.conf
15c15
---
>part 21
很明显我们就可以定位到错误了，此外可以使用rcsdiff -r1.1 -r1.2 proftpd.conf 指定比较两个版本之间的不同。

当有多个人管理服务器时，如果系统发生异常，可以通过rlog确定哪个人什么时间进行了什么操作:
root@localhost:/etc#rlog proftpd.conf
RCS file: RCS/proftpd.conf，v
Working file: proftpd.conf
head:1.2
branch:
locks:strict
root:1.2
access list:
symbolic names:
keyword substitution: kv
total revisions:2; selected revisions:2
description:
this is the origin version of proftpd。conf
---------------------------
revision 1.2 locked by: root;
date: 2005/05/28 12:32:22; author:root; state: Exp;
lines:+1 -1
the 1.2 revision
---------------------------
revision 1.1 locked by:root;
date: 2005/05/28 12:28:45; author:root; state: Exp;
lines:+2 -0
the 1.1 revision
通过该日志，可以迅速的找到故障的责任人，查明故障原因。

通过使用RCS，我们不仅可以简单的备份配置文件，还对配置文件的更改，更改时间，更改者，及其原因作了详细严密的跟踪。在复杂的系统上，尤其是多人负责的系统上，这些信息将非常有价值，在判断和解决服务故障时，会大大减轻管理员的工作量。

阅读(519) | 评论(0) | 转发(0) |

上一篇：debian 改ip

下一篇：[zz] mysql 基本命令

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6