redhat7.2 centos7.2怎么配置ntp服务器

redhat版本不同ntp的版本可能也会有所变化，在安装之前需要查找ntp服务，看下是否存在：

yum search ntp

2

查找到ntpx86_64，使用yum进行安装。安装时x64_64可以不输入。

yum install -y ntp

-y：不提示，直接安装

3

进入ntp配置目录：

vi /etc/ntpconf

4

进入ntpconf配置文件，注释以server开头的配置，并添加内容：server 12712711

添加完成保存退出。

5

重启ntp服务器，并查看状态是否running。

systemctl restart ntpdservice #重启服务

systemctl status ntpdservice #查看状态

6

查看ntp服务是否能够被同步，显示为“LOCAL”，表示成功。如果没有任何显示，客户端将无法同步。

END

步骤2(Client):

1

服务器已经配置完成，现在是Client配置，测试Client能否与Server相连。

2

在Clientt上使用ntpdate来同步：ntpdate 1921681162

同步后反馈是是成功同步的。

END

注意事项

时间上不能相差过远

随着网络流量的增加，服务器开始面临繁重负载，这时就需要搭配一套HTTP负载均衡系统了，那么Linux下该如何配置HTTP负载均衡系统呢？随小编一起来学习一下吧。

如今对基于互联网的应用和服务的要求越来越大，这给广大的IT管理员施加了越来越大的压力。面对突如其来的流量猛增、自生的流量增加或者是内部挑战（比如硬件故障和紧急维护），不管怎样，你的互联网应用都必须保持随时可用。连现代化的开发运营和持续交付做法也会危及互联网服务的可靠性和一贯表现。

无法预测或缺乏一贯的表现是你所无法承受的。那么，我们如何能消除这些缺点呢？在大多数情况下，一套合适的负载均衡解决方案有望满足这个要求。今天我将为各位介绍如何使用HAProxy搭建一套HTTP负载均衡系统。

HTTP负载均衡简介

HTTP负载均衡是一种网络解决方案，负责在托管相同应用内容的几台服务器之间分配进入的HTTP或HTTPS流量。由于在多台可用服务器之间均衡了应用请求，负载均衡系统就能防止任何应用服务器变成单一故障点，因而提高了整体的应用可用性和响应能力。它还让你可以随着不断变化的工作负载，轻松地缩小/扩大部署的应用系统的规模，只需添加或删除额外的应用服务器。

哪里使用负载均衡、何时使用？

由于负载均衡系统改进了服务器的利用率，最大限度地提高了可用性，只要你的服务器开始面临繁重负载，或者正为一个较庞大的项目规划架构，就应该使用它。事先规划好负载均衡系统的用途是个好习惯。那样，未来你需要扩展环境规模时，它会证明其用途。

HAProxy是什么东东？

HAProxy是一种流行的开源负载均衡和代理系统，面向GNU/Linux平台上的TCP/HTTP服务器。HAProxy采用了单一线程的事件驱动型架构而设计，它能够轻松地处理10G网卡线路速度，现广泛应用于许多生产环境中。其功能特性包括：自动检查健康状况、可定制的负载均衡算法、支持HTTPS/SSL以及会话速率限制等。

我们在本教程中要达到什么样的目的？

在本教程中，我们将逐步介绍为HTTP网站服务器配置基于HAProxy的负载均衡系统这个过程。

前提条件

你至少需要一台（最好是两台）网站服务器来证实所搭建负载均衡系统的功能。我们假设，后端HTTP网站服务器已经搭建并运行起来。

将HAProxy安装到Linux上

就大多数发行版而言，我们可以使用你所用发行版的软件包管理器来安装HAProxy。

将HAProxy安装到Debian上

在Debian中，我们需要为Wheezy添加向后移植功能。为此，请在/etc/apt/sourceslistd中创建一个名为“backportslist”的新文件，其内容如下：

deb http://cdndebiannet/debian wheezy­backports main

更新你的软件库数据，并安装HAProxy。

# apt­ get update # apt ­get install haproxy

将HAProxy安装到Ubuntu上

# apt ­get install haproxy

将HAProxy安装到CentOS和RHEL上

# yum install haproxy

配置HAProxy

在本教程中，我们假设有两台HTTP网站服务器已搭建并运行起来，其IP地址分别为1921681002和1921681003。我们还假设，负载均衡系统将在IP地址为1921681004的那台服务器处进行配置。

为了让HAProxy发挥功用，你需要更改/etc/haproxy/haproxycfg中的几个项目。这些变更在本章节中予以描述。万一某个配置对不同的GNU/Linux发行版而言有所不同，会在相应段落中加以注明。

1 配置日志功能

你首先要做的工作之一就是，为你的HAProxy建立合适的日志功能，这对将来进行调试大有用处。日志配置内容位于/etc/haproxy/haproxycfg的global部分。下面这些是针对特定发行版的指令，用于为HAProxy配置日志。

CentOS或RHEL：

要想在CentOS/RHEL上启用日志功能，把：

log 127001 local2

换成：

log 127001 local0

下一步，在/var/log中为HAProxy创建单独的日志文件。为此，我们需要改动当前的rsyslog配置。为了让配置简单而清楚，我们将在/etc/rsyslogd/中创建一个名为haproxyconf的新文件，其内容如下。

$ModLoad imudp $UDPServerRun 514 $template Haproxy，“%msg%/n” local0=info ­/var/log/haproxylog;Haproxy local0notice ­/var/log/haproxy­statuslog;Haproxy local0 ~

该配置将把基于$template的所有HAProxy消息隔离到/var/log中的日志文件。现在，重启rsyslog，让变更内容生效。

# service rsyslog restart

Debian或Ubuntu：

要想在Debian或Ubuntu上为HAProxy启用日志功能，把：

log /dev/log local0 log /dev/log local1 notice

换成：

log 127001 local0

下一步，为HAProxy配置单独的日志文件，编辑/etc/rsyslogd/中一个名为haproxyconf的文件（或者Debian中的49-haproxyconf），其内容如下。

$ModLoad imudp $UDPServerRun 514 $template Haproxy，“%msg%/n” local0=info ­/var/log/haproxylog;Haproxy local0notice ­/var/log/haproxy­statuslog;Haproxy local0 ~

该配置将把基于$template的所有HAProxy消息隔离到/var/log中的日志文件。现在，重启rsyslog，让变更内容生效。

# service rsyslog restart

2 设置默认值

下一步是为HAProxy设置默认变量。找到/etc/haproxy/haproxycfg中的defaults部分，把它换成下列配置。

log global mode http option httplog option dontlognull retries 3 option redispatch maxconn 20000 contimeout 5000 clitimeout 50000 srvtimeout 50000

上述配置推荐HTTP负载均衡器使用，但可能不是最适合你环境的解决方案。如果那样，请参阅HAProxy参考手册页，进行适当的改动和调整。

3 网站服务器集群的配置

网站服务器集群（Webfarm）的配置定义了可用的HTTP服务器集群。我们所建负载均衡系统的大部分设置都将放在这里。现在，我们将创建一些基本的配置，我们的节点将在这里加以定义。把从frontend部分到文件末尾的所有配置换成下列代码：

listen webfarm ：80 mode http stats enable stats uri /haproxy？stats stats realm Haproxy/ Statistics stats auth haproxy:stats balance roundrobin cookie LBN insert indirect nocache option httpclose option forwardfor server web01 1921681002:80 cookie node1 check server web02 1921681003:80 cookie node2 check

“listen webfarm ：80”这一行定义了我们的负载均衡系统将侦听哪些接口。出于本教程的需要，我将该值设为“”，这让负载均衡系统侦听我们的所有接口。在实际场景下，这可能不合意，应该换成可从互联网来访问的某个接口。

stats enable stats uri /haproxy？stats stats realm Haproxy/ Statistics stats auth haproxy:stats

上述设置声明，可以在http://《load-balancer-IP》/haproxy？stats处访问负载均衡系统的统计数字。这种访问由简单的HTTP验证以及登录名“haproxy”和密码“stats”来确保安全。这些设置应该换成你自己的登录信息。如果你不想让这些统计数字被人看到，那么可以完全禁用它们。

下面是HAProxy统计数字的一个例子。

“balance roundrobin”这一行定义了我们将使用哪种类型的负载均衡。在本教程中，我们将使用简单的轮叫调度算法，这对HTTP负载均衡来说完全绰绰有余。HAProxy还提供了其他类型的负载均衡：

•leastconn：连接数最少的服务器优先接收连接。

•source：对源IP地址进行哈希处理，用运行中服务器的总权重除以哈希值，即可决定哪台服务器将接收请求。

•uri：URI的左边部分（问号前面）经哈希处理，用运行中服务器的总权重除以哈希值。所得结果决定哪台服务器将接收请求。

•url_param：变量中指定的URL参数将在每个HTTP GET请求的查询串中进行查询。你基本上可以将使用蓄意制作的URL（crafted URL）的请求锁定于特定的负载均衡节点。

•hdr（name）：HTTP头《name》 将在每个HTTP请求中进行查询，被定向到特定节点。

“cookie LBN insert indirect nocache”这一行让我们的负载均衡系统存储持久性cookie，这让我们得以准确查明集群中的哪个节点用于某一个会话。这些节点cookie将与指定的名称一并存储起来。在我们这个例子中，我使用了“LBN”，但你可以指定自己喜欢的任意名称。节点将为该cookie把字符串作为一个值而存储起来。

server web01 1921681002:80 cookie node1 check server web02 1921681003:80 cookie node2 check

上述部分对网站服务器节点集群进行了定义。每台服务器都用内部名称（比如web01和web02）、IP地址和独特的cookie串来表示。cookie串可以定义为你需要的任何名称。我使用了简单的node1、node2 。。。 node（n）。

启动HAProxy

你完成了配置工作后，可以启动HAProxy，验证一切按预期运行。

在Centos/RHEL上启动HAProxy

使用下列指令，让HAProxy能够在系统启动后启动，并打开它：

# chkconfig haproxy on # service haproxy start

当然，别忘了启用防火墙中的端口80，如下所示。

CentOS/RHEL 7上的防火墙：

# firewall­cmd ­­permanent ­­zone=public ­­add­port=80/tcp # firewall­cmd ­­reload

CentOS/RHEL 6上的防火墙：

把下面这一行添加到/etc/sysconfig/iptables中的这部分“：OUTPUT ACCEPT”：

A INPUT ­m state ­­state NEW ­m tcp ­p tcp ­­dport 80 ­j ACCEPT

然后重启iptables：

# service iptables restart

在Debian上启动HAProxy

使用下列指令启动HAProxy：

# service haproxy start

别忘了启用防火墙中的端口80，为此把下面这一行添加到/etc/iptablesuprules：

A INPUT ­p tcp ­­dport 80 ­j ACCEPT

在Ubuntu上启动HAProxy

让HAProxy能够在系统启动后启动，只要在/etc/default/haproxy中将“ENABLED”选项设为“1”：

ENABLED=1

启动HAProxy：

# service haproxy start

然后启用防火墙中的端口80：

# ufw allow 80

测试HAProxy

为了检查HAproxy是否在正常工作，我们可以执行下列步骤：

首先，用下列内容准备好testphp文件：

《？php header（‘Content-Type： text/plain’）; echo “Server IP： ”。

该PHP文件将告诉我们哪台服务器（即负载均衡系统）转发请求，哪台后端网站服务器实际处理请求。

把该PHP文件放到这两台后端网站服务器的根目录下。现在，使用curl命令，从负载均衡系统（1921681004）提取这个PHP文件。

# chkconfig haproxy on # service haproxy start nbsp;curl http://1921681004/testphp

我们多次运行这个命令时，应该会看到下面两个输出交替出现（由于轮叫调度算法）。

Server IP： 1921681002

X-Forwarded-for： 1921681004

Server IP： 1921681003

X-Forwarded-for： 1921681004

如果我们停止这两台后端网站服务器中的其中一台，curl命令应该仍会执行，将请求定向到另一台可用的网站服务器。

结束语

至此，你应该有了一套完全实用的负载均衡系统，能够在轮叫循环模式下为你的网站节点提供请求。与往常一样，你可以随意更改配置，让它更适合自己的基础设施。希望本教程帮助你让自己的网站项目具有更强的抗压力和更高的可用性。

正如大家已经注意到的那样，本教程所含的设置适用于仅仅一套负载均衡系统。这意味着，我们把一个单一故障点换成了另一个单一故障点。在实际场景下，你应该部署至少两套或三套负载均衡系统，以防范可能出现的任何故障，但这不在本教程的讨论范围之内。

上面就是Linux系统下配置HTTP负载均衡系统的方法介绍了，这里主要使用的是HAProxy，且只介绍了配置一套负载均衡系统的方法，赶紧试试看吧。

为了在CentOS或RHEL上安装fail2ban,首先设置EPEL仓库，然后运行以下命令。$sudoyuminstallfail2ban在Fedora上安装fail2ban，简单地运行以下命令：$sudoyuminstallfail2ban在Ubuntu，Debian或LinuxMint上安装fail2ban：$sudoapt-getinstallfail2ban为SSH服务器配置Fail2ban现在你已经准备好了通过配置fail2ban来加强你的SSH服务器。你需要编辑其配置文件/etc/fail2ban/jailconf。在配置文件的“[DEFAULT]”区，你可以在此定义所有受监控的服务的默认参数，另外在特定服务的配置部分，你可以为每个服务（例如SSH，Apache等）设置特定的配置来覆盖默认的参数配置。在针对服务的监狱区（在[DEFAULT]区后面的地方），你需要定义一个[ssh-iptables]区，这里用来定义SSH相关的监狱配置。真正的禁止IP地址的操作是通过iptables完成的。下面是一个包含“ssh-iptables”监狱配置的/etc/fail2ban/jailconf的文件样例。当然根据你的需要，你也可以指定其他的应用监狱。$sudovi/etc/fail2ban/jaillocal[DEFAULT]#以空格分隔的列表，可以是IP地址、CIDR前缀或者DNS主机名#用于指定哪些地址可以忽略fail2ban防御ignoreip=1270011723100/24101000/2419216800/24#客户端主机被禁止的时长（秒）bantime=86400#客户端主机被禁止前允许失败的次数maxretry=5#查找失败次数的时长（秒）findtime=600mta=sendmail[ssh-iptables]enabled=truefilter=sshdaction=iptables[name=SSH,port=ssh,protocol=tcp]sendmail-whois[name=SSH,dest=your@emailcom,sender=fail2ban@emailcom]#Debian系的发行版logpath=/var/log/authlog#RedHat系的发行版logpath=/var/log/secure#ssh服务的最大尝试次数maxretry=3根据上述配置，fail2ban会自动禁止在最近10分钟内有超过3次访问尝试失败的任意IP地址。一旦被禁，这个IP地址将会在24小时内一直被禁止访问SSH服务。这个事件也会通过sendemail发送邮件通知。一旦配置文件准备就绪，按照以下方式重启fail2ban服务。在Debian,Ubuntu或CentOS/RHEL6:$sudoservicefail2banrestart在Fedora或CentOS/RHEL7:$sudosystemctlrestartfail2ban为了验证fail2ban成功运行，使用参数'ping'来运行fail2ban-client命令。如果fail2ban服务正常运行，你可以看到“pong（嘭）”作为响应。$sudofail2ban-clientpingServerreplied:pong测试fail2ban保护SSH免遭暴力破解攻击为了测试fail2ban是否能正常工作，尝试通过使用错误的密码来用SSH连接到服务器模拟一个暴力破解攻击。与此同时，监控/var/log/fail2banlog，该文件记录在fail2ban中发生的任何敏感事件。$sudotail-f/var/log/fail2banlog根据上述的日志文件，Fail2ban通过检测IP地址的多次失败登录尝试，禁止了一个IP地址19216818。检查fail2ban状态并解禁被锁住的IP地址由于fail2ban的“ssh-iptables”监狱使用iptables来阻塞问题IP地址，你可以通过以下方式来检测当前iptables来验证禁止规则。$sudoiptables--list-nChainINPUT(policyACCEPT)targetprotoptsourcedestinationfail2ban-SSHtcp--0000/00000/0tcpdpt:22ChainFORWARD(policyACCEPT)targetprotoptsourcedestinationChainOUTPUT(policyACCEPT)targetprotoptsourcedestinationChainfail2ban-SSH(1references)targetprotoptsourcedestinationDROPall--192168180000/0RETURNall--0000/00000/0如果你想要从fail2ban中解锁某个IP地址，你可以使用iptables命令：$sudoiptables-Dfail2ban-SSH-s19216818-jDROP当然你可以使用上述的iptables命令手动地检验和管理fail2ban的IP阻塞列表，但实际上有一个适当的方法就是使用fail2ban-client命令行工具。这个命令不仅允许你对"ssh-iptables"监狱进行管理，同时也是一个标准的命令行接口，可以管理其他类型的fail2ban监狱。为了检验fail2ban状态（会显示出当前活动的监狱列表）：$sudofail2ban-clientstatus为了检验一个特定监狱的状态（例如ssh-iptables):$sudofail2ban-clientstatusssh-iptables上面的命令会显示出被禁止IP地址列表。为了解锁特定的IP地址：$sudofail2ban-clientsetssh-iptablesunbanip19216818注意，如果你停止了Fail2ban服务，那么所有的IP地址都会被解锁。当你重启Fail2ban，它会从/etc/log/secure(或/var/log/authlog)中找到异常的IP地址列表，如果这些异常地址的发生时间仍然在禁止时间内，那么Fail2ban会重新将这些IP地址禁止。设置Fail2ban自动启动一旦你成功地测试了fail2ban之后，最后一个步骤就是在你的服务器上让其在开机时自动启动。在基于Debian的发行版中，fail2ban已经默认让自动启动生效。在基于Red-Hat的发行版中，按照下面的方式让自动启动生效。在CentOS/RHEL6中:$sudochkconfigfail2banon在Fedora或CentOS/RHEL7:$sudosystemctlenablefail2ban

工具/原料

Linux操作系统

Web服务器配置详解

方法/步骤

1Apache是Linux下的Web服务器，Apache用的是静态页面，需要加载模块来支持动态页面，会动态实时的调整进程来处理，最合理的使用多核CPU资源，支持虚拟主机应用，多个Web站点共享一个IP地址。

安装Web服务

先安装Web服务，通过命令yum groupinstall命令进行安装，建议用groupinstall而不用Install是因为groupinstall，会把该服务所有相关的服务包一起安装，这样不会有丢失。

2通过service httpd restart来开启服务，这里用restart而不用start的原因是restart更安全，因为不知道该服务是否已经开启，如果已经start了再次用start可能会有意外的问题产生，故这里用restart

3通过命令chkconfig httpd on来开启httpd服务在下次开机后，仍然是开启有效的，这样的好处在于通过设置自动开启服务，避免人为失误操作，也会保证计算机重启或者断电后服务还是开启的。

 4验证httpd服务是否正常开启，是否能够对外提供服务，进入/var/www/html/,这里是主站点，写一个简单的页面，然后重定向到indexhtml，这是默认的首页。通过http访问该服务，发现已经成功服务该站点。

5通过命令vim /etc/httpd/conf/httpdconf可以对httpd配置文件进行修改，也可以用配置文件里面的功能，有些功能用#号注释掉了，如果想使用该功能的话，直接删除#号，可以让内置的配置文件该功能生效。

6通过命令ll /etc/httpd可以查看到该目录下有conf和confd目录文件，再进一步查看/etc/httpd/confd下面可以看到的文件都是httpd的模块文件，用来支持动态页面的模块文件。

7Apache和Selinux之间的关系，进入/var/www/html/目录下，通过ll –Z查看目录下indexhtml Selinux属性，通过命令ps –auxZ|grep http查看httpd的进程，这些http进程都有httpd_t的Selinux上下文属性，Selinux就规定了http_t这类的进程上下文属性可以访问httpd_sys_content_t这类文件的上下文属性，从而保证了网站的内容可以被访问。

8查看Apache日志信息，日志信息存储在/var/log/httpd/目录下，可以查看http访问的日志及https的访问日志，可以查看错误的http日志及https的错误日志等信息，