dipplum.com » 计算机

自动连接ssh -D的launchd配置

li — Sat, 11 Sep 2010 18:05:41 +0000

背景

与Ubuntu的upstart类似，Mac OS上提供了launchd作为后台服务的管理程序。ssh -D命令可以为用户提供sock5代理，但是每次访问网络之前，都要打开Terminal手动运行ssh命令是一件很烦的事情。加上网络条件不好，ssh频繁退出，就更烦了。Linux下有autossh+upstart/init可以选择，Mac OS下就需要借助launchd了

配置Mac到远程ssh服务器的自动登录

为了将ssh -D变成launchd管理的后台服务，配置ssh自动登录是必须的。Mac下过程与Linux不太一样，首先打开Terminal，生成用户ssh证书：

sudo su
ssh-keygen
cat /var/root/.ssh/id_rsa.pub

然后把公钥上传到ssh服务器。注意：Mac OS下root的HOME被设置在了/var/root下。

ssh EXAMPLE.COM mkdir .ssh
scp id_rsa.pub EXAMPLE.com:.ssh/authorized_keys
 
# 测试公钥认证是否成功
ssh -o BatchMode=yes EXAMPLE.COM

生成launchd格式的plist文件

将下述ssh-d.plist文件放在/Library/LaunchDaemon/目录下：

 version="1.0" encoding="UTF-8"?>

 version="1.0">
  >
    >Label>
      >localdomain.localhost.ssh-d>
    >ProgramArguments>
      >
        >/usr/bin/ssh>
        >-o>
        >BatchMode=yes>
        >-o>
        >CheckHostIP=no>
        >-o>
        >StrictHostKeyChecking=no>
        >-D>
        >1080>
        >-i>
        >/var/root/.ssh/id_rsa>
        >-vvvNnT>
        >root@EXAMPLE.com>
      >
    >KeepAlive>
      />
    >RunAtLoad>
      />
    >StandardOutPath>
      >/var/log/ssh-d-out.log>
    >StandardErrorPath>
      >/var/log/ssh-d-err.log>
  >
>

然后运行下面的命令后台启动ssh -D：

launchctl load /Library/LaunchDaemon/ssh-d.plist

如果出错需要调试，ssh进程的标准输出和标准错误输出保存在/var/log目录下的ssh-d-out.log和ssh-d-err.log文件中。如果一切正常，则配置完毕，以后Mac启动后，ssh -D进程会自动启动，ssh退出后，launchd也会自动生成一个新的进程。

与autossh集成

如果通过fink和MacPorts或者其他方法安装了autossh，可以修改上述脚本中的ssh程序的路径为autossh的路径。并将autossh的参数按格式加入plist文件，这样，也能享受到autossh提供的隧道假死后自动重启功能。

autossh在Ubuntu上的配置

li — Sat, 11 Sep 2010 15:05:11 +0000

背景

ssh除了可以提供远程登录服务之外，还可以建立主机之间的网络隧道，尤其是可以提供SOCKS代理（传说中的ssh -D）。但用ssh命令建立的隧道可能会受网络的影响而中断，不能为用户提供持续的服务。autossh正好是解决上述问题的工具：为用户提供可靠的ssh隧道服务。

在使用autossh之前，我的做法是：首先，做一个shell脚本检查相应的ssh进程是否存在，如不存在，则重新启动ssh隧道；然后，将上述脚本加入系统crontab，定时执行，例如1分钟1次。但是，用shell脚本检查有一个缺点：有时候，ssh进程虽然并没有退出，但ssh隧道已经不能正常转发报文了，shell脚本难以发现这类情况。为了避免ssh进程存在、隧道假死的问题，可以采用定时重启ssh进程并重新建立ssh隧道的方法。但重启间隔不好设置：间隔过短，导致ssh隧道用户频频掉线，影响用户使用；间隔过长，一旦隧道假死，在重启ssh服务之前会有较长的服务中断间隔。

autossh对ssh隧道的监控则更加有效。首先，在开始执行时，autossh首先创建ssh子进程，建立隧道。同时autossh作为父进程，随时监控ssh进程是否退出，一旦退出则立即启动新的ssh隧道。autossh这种做法比crontab定时检查在失效恢复速度上更具有优势。其次，autossh还会定期检查ssh隧道是否能够正确传输数据，如发现隧道假死，也会强制重启ssh，建立新的ssh隧道。

Ubuntu上的autossh

autossh在Ubuntu上的安装很简单，运行下面的命令即可:

apt-get install autossh

然而，Ubuntu下的autossh并没有包含相关的后台服务脚本。用户如果希望开机自动运行autossh需要自己写daemon脚本。Ubuntu下写daemon脚本有两个选择，一种是写传统的/etc/init.d下的脚本，令一种就是Ubuntu特有的upstart脚本。

upstart是Ubuntu设计用来替换传统的SysV init的软件。upstart的daemon脚本除了更加简洁之外，还支持服务的自动唤醒（respawn）。这样autossh本身如果出错退出了，也会立即被upstart唤醒。避免autossh出错退出导致ssh隧道无法访问。

我写的autossh的upstart脚本文件如下（文件名是/etc/init/autossh.conf）：

# autossh
 
description	"autossh daemon"
 
start on runlevel [2345]
stop on runlevel [!2345]
 
respawn
respawn limit 5 60 # respawn max 5 times in 60 seconds
 
script
    export AUTOSSH_PIDFILE=/var/run/autossh.pid
    export AUTOSSH_PORT=10007:7
    export AUTOSSH_POLL=60
    export AUTOSSH_FIRST_POLL=30
    autossh -4 -N example.com -D 1080 -o BatchMode=yes -o StrictHostKeyChecking=no
end script

这样重启之后，autossh就会自动启动。手动启动、停止、重启autossh服务可以通过运行start、stop、restart等命令完成。

其他

1. ssh自动登录

autossh在后台执行ssh命令建立隧道时，需要设置好配置好本机的ssh证书，以及服务器上的authorized_keys文件，以实现ssh的自动登录。否则autossh将无法登录远程主机并建立隧道。相关说明参见网络上的教程。

2. echo服务

上述autossh脚本中的AUTOSSH_PORT参数，是autossh用于判断ssh隧道健康状况专用的隧道链接，参数意义是：建立本地端口10007到远程服务器端口7的隧道，其他参数说明初次启动ssh时，在30秒后判断隧道链接情况，之后每60秒检查一次。

其中，远程服务器端口7，运行的是标准的TCP Echo服务。在Ubuntu上echo服务可以通过openbsd-inetd来实现，首先在远程服务器（注意：不是autossh所在的ssh客户端机器）上安装软件：

apt-get install openbsd-inetd

安装之后，inetd默认没有把echo服务激活，需要手动在/etc/inetd.conf配置文件中增加下面一行：

echo		stream	tcp	nowait	root	internal

重启inetd后，远程服务器的echo服务就正式上线了，可以供autossh判断网络隧道连通情况了。

用crond运行WordPress中的计划任务

li — Fri, 10 Sep 2010 13:49:05 +0000

WordPress站点运行时需要偶尔在后台定时运行一些任务，如定时发布文章，清空Cache的内容，同步别的站点的RSS Feed等。传统来说，计划任务可以通过Linux系统下的crond实现，但考虑到不是所有的网站托管服务都能让用户设定crontab，因此Wordpress中自带了一套计划任务引擎，姑且称之为WP-Cron，这是Wordpress自带的一套函数，和单独的wp-cron插件不是一回事。

WP-Cron的原理是这样的：虽然用户不能通过crond设置计划任务，但网站随时可能会有用户在点击，只要在用户点击的时候，判断当时是否有需要运行的后台任务，如果则在后台运行该任务，就可以实现类似crond的效果。WP-Cron的实现还是比较轻量级的，虽然后台任务是被用户的访问激活的，但后台任务的执行并不会影响用户的访问速度，因为Wordpress在处理用户请求时，发起单独的一个HTTP请求访问wp-cron.php页面后，并不等待wp-cron.php将后台任务执行完毕，也不继续接收由wp-cron.php返回的数据，而是立即处理用户的访问请求。相关细节可以参见wp-includes/cron.php文件。

虽然WP-Cron有着这么多优点，我还是想把它禁用，原因有2: 首先，我的可以直接使用系统的crond，而WP-Cron最多只是没有时的凑合方案(Workaround)；其次，WP-Cron最大的缺点是不能保证任务定时执行，当网站没有用户访问时，WP-Cron就不起作用了。

禁用WP-Cron很简单，编辑wp-config.php，加入一下一行:

define('DISABLE_WP_CRON', true);

然后在你后台系统的crontab文件里，增加下面的内容：

*/15 * * * * YOUR_USER /usr/bin/wget -q --post-data '' http://YOUR_SITE/wp-cron.php?doing_wp_cron -O /dev/null

上面配置指示，每15分钟，调用wget命令访问站点的wp-cron.php文件，post-data参数指示wget用POST方法，而不是GET方法，这样可以避免WP-Super-Cache这样的缓存插件影响后台任务的正确执行，但post-data传输的数据必须是空内容，否则wp-cron.php会拒绝执行。

用fail2ban监控nginx日志

li — Thu, 09 Sep 2010 08:20:26 +0000

背景

fail2ban是一款日志扫描软件, 尝试从日志中发现恶意的攻击行为, 尤其是用户名密码的失败尝试, 并可以通过iptables防火墙封禁恶意用户的IP, 以防止进一步的攻击.

最近在nginx服务器的日志中发现了很多可疑的请求, 看起来像是试图从Web服务器上发现漏洞页面:

221.204.246.105 - - [08/Sep/2010:06:45:13 +0000] "GET /dbzhedit/ewebeditor.asp HTTP/1.1" 404 5748 "-" "Mozilla/4.0"
221.204.246.105 - - [08/Sep/2010:06:45:14 +0000] "GET /edit/ewebeditor.asp HTTP/1.1" 404 5744 "-" "Mozilla/4.0"
221.204.246.105 - - [08/Sep/2010:06:45:15 +0000] "GET /ugvbadmin/edit/ewebeditor.asp HTTP/1.1" 404 5754 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:50 +0000] "GET /piqmUserReg.asp HTTP/1.1" 404 5790 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:51 +0000] "GET /UserReg.asp HTTP/1.1" 404 5786 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:52 +0000] "GET /ioifupfile_flash.asp HTTP/1.1" 404 5795 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:53 +0000] "GET /upfile_flash.asp HTTP/1.1" 404 5791 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:53 +0000] "GET /admin/zhmuupfile_flash.asp HTTP/1.1" 404 5801 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:54 +0000] "GET /admin/upfile_flash.asp HTTP/1.1" 404 5797 "-" "Mozilla/4.0"
222.189.228.42 - - [08/Sep/2010:18:10:54 +0000] "GET /admins/xvmbupfile_flash.asp HTTP/1.1" 404 5802 "-" "Mozilla/4.0"

安装fail2ban

我觉得可以用fail2ban扫描日志中上述攻击, 并且封禁恶意用户. 首先安装fail2ban, 在Ubuntu/Debian下用apt-get一次搞定:

apt-get install fail2ban

配置fail2ban的nginx过滤规则

从攻击行为特征来看, 这是短时间连续导致服务器发送HTTP 404文件未找到错误码, 下面是用于发现上述攻击的fail2ban filter规则, 在/etc/fail2ban/filter.d/目录下建立nginx.conf文件保存下面的内容:

[Definition]
 
failregex = <;HOST> -.*- .*HTTP/1.* 404 .*$
ignoreregex =

测试fail2ban过滤规则

在正式激活改过滤规则之前, 可以首先用fail2ban-regex测试规则的有效性:

# fail2ban-regex /var/log/nginx/access.log /etc/fail2ban/filter.d/nginx.conf
Running tests
=============
 
Use regex file : /etc/fail2ban/filter.d/nginx.conf
Use log file   : /var/log/nginx/access.log
 
Results
=======
 
Failregex
|- Regular expressions:
|  [1] &lt;HOST&gt; -.*-.*HTTP/1.* 404 .*$
|
`- Number of matches:
   [1] 1304 match(es)
 
Ignoreregex
|- Regular expressions:
|
`- Number of matches:
 
Summary
=======
 
Addresses found:
[1]
    222.189.228.42 (Wed Sep 08 18:10:50 2010)
    222.189.228.42 (Wed Sep 08 18:10:51 2010)
    222.189.228.42 (Wed Sep 08 18:10:52 2010)
    222.189.228.42 (Wed Sep 08 18:10:52 2010)
    ...
 
Date template hits:
...
XXXX hit(s): Day/MONTH/Year:Hour:Minute:Second
...
 
Success, the total number of match is YYYY
 
However, look at the above section 'Running tests' which could contain important
information.

激活fail2ban过滤规则

从测试结果可以看出, 恶意攻击节点的IP地址和攻击时间都能够正确发现, 因此可以进一步修改fail2ban的配置文件激活上述规则. 下面是我的/etc/fail2ban/jail.local配置文件内容:

[DEFAULT]
ignoreip = 127.0.0.1
bantime  = 3600
maxretry = 6
destemail = root
action = %(action_mwl)s
 
[nginx]
enabled = true
port	= http,https
filter = nginx
logpath =  /var/log/nginx/access.log

上述配置设置fail2ban用nginx过滤规则监控nginx的access.log文件, 如果发现恶意攻击, 除了在iptables防火墙中封禁该客户端IP之外, 还将发送邮件包含该IP地址的whois信息给root. 用下面的命令激活上述配置:

fail2ban-client reload

从/var/log/fail2ban.log日志文件中可以看到上述nginx规则激活的信息:

2010-09-09 08:00:54,810 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
2010-09-09 08:00:54,810 fail2ban.jail   : INFO   Creating new jail 'nginx'
2010-09-09 08:00:54,811 fail2ban.jail   : INFO   Jail 'nginx' uses poller
2010-09-09 08:00:54,812 fail2ban.filter : INFO   Added logfile = /var/log/nginx/access.log
2010-09-09 08:00:54,813 fail2ban.filter : INFO   Set maxRetry = 50
2010-09-09 08:00:54,815 fail2ban.filter : INFO   Set findtime = 600
2010-09-09 08:00:54,815 fail2ban.actions: INFO   Set banTime = 3600
...
2010-09-09 08:00:54,970 fail2ban.jail   : INFO   Jail 'nginx' started

测试fail2ban的效果

可以用下面的命令模拟攻击者连续访问不存在的URL, 看看fail2ban的效果:

while true ; do wget http://127.0.0.10/404 ; done
# type Ctrl-C when you stuck at "Connecting to 127.0.0.10:80... "

看fail2ban的日志是否记录了上述攻击:

#   grep Ban /var/log/fail2ban.log
2010-09-09 08:06:09,338 fail2ban.actions: WARNING [nginx-fnf] Ban 127.0.0.10

用iptables命令看fail2ban添加的IP封禁规则:

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-nginx  tcp  --  anywhere             anywhere            multiport dports www,https
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain fail2ban-nginx (1 references)
target     prot opt source               destination
DROP       all  --  127.0.0.10           anywhere
RETURN     all  --  anywhere             anywhere

fail2ban发来的邮件看起来像是这样的:

Hi,
 
The IP 222.169.224.226 has just been banned by Fail2Ban after
7 attempts against ssh.
 
Here are more information about 222.169.224.226:
 
% [whois.apnic.net node-3]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html
 
inetnum:        222.168.0.0 - 222.169.255.255
netname:        CHINANET-JL
descr:          CHINANET Jilin province network
descr:          Jilin Telecom Corporation
...
 
Lines containing IP:222.169.224.226 in /var/log/auth.log
 
Sep  9 02:30:14 localhost sshd[24401]: Did not receive identification string from 222.169.224.226
Sep  9 02:34:59 localhost sshd[24511]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.169.224.226  user=root
Sep  9 02:35:01 localhost sshd[24511]: Failed password for root from 222.169.224.226 port 36724 ssh2
Sep  9 02:35:03 localhost sshd[24515]: Invalid user fluffy from 222.169.224.226
Sep  9 02:35:03 localhost sshd[24515]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.169.224.226
Sep  9 02:35:05 localhost sshd[24515]: Failed password for invalid user fluffy from 222.169.224.226 port 36927 ssh2
Sep  9 02:35:06 localhost sshd[24519]: Invalid user admin from 222.169.224.226
Sep  9 02:35:06 localhost sshd[24519]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.169.224.226
Sep  9 02:35:09 localhost sshd[24519]: Failed password for invalid user admin from 222.169.224.226 port 37140 ssh2
Sep  9 02:35:10 localhost sshd[24521]: Invalid user test from 222.169.224.226
Sep  9 02:35:10 localhost sshd[24521]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=222.169.224.226
Sep  9 02:35:12 localhost sshd[24521]: Failed password for invalid user test from 222.169.224.226 port 37391 ssh2

WP-Mobile-Pack在Multisite模式下的修正

li — Wed, 08 Sep 2010 11:46:26 +0000

WordPress Mobile Pack插件为Wordpress站点提供适合移动设备浏览的页面. WPMP支持3种检测模式:

1. 根据浏览器User-Agent决定博客输出,
2. 为博客单独设置一个Mobile域名, 根据用户访问的域名决定输出,
3. 上述基于浏览器和基于域名的结合.

从3.0版本开始, WordPress支持Multisite模模式, 也就是原先的Wordpress-MU的延续. 在Multisite模式下, 可以用同一套Wordpress软件和数据库同时管理多个Blog. 通过domain_mapping插件, 还可以为每个Blog设置多个域名. domain_mapping插件可以为每个Blog设置一个主域名, 并且将其他域名的访问请求通过”Permanent Redirect”的方法重定向到主域名上, 据说这样可以提高站点的Pagerank. Anyway, 这个功能一般推荐选上, 如下图所示:

不过, domain_mapping插件的Permanent Redirect功能和WPMP的Mobile域名功能冲突, 当用户访问WPMP给站点设置的Mobile域名的时候, 会被domain_mapping插件重定向到主域名.

解决WPMP插件和domain_mapping插件之间的冲突, 需要首先修改domain_mapping.php中redirect_to_mapped_domain函数的实现, 或者下载我已经改好的文件:

Note: There is a file embedded within this post, please visit this post to download the file.

function redirect_to_mapped_domain() {
        global $current_blog, $wpdb;
        if ( !isset( $_SERVER[ 'HTTPS' ] ) )
                $_SERVER[ 'HTTPS' ] = "off";
        $protocol = ( 'on' == strtolower($_SERVER['HTTPS']) ) ? 'https://' : 'http://';
        $url = domain_mapping_siteurl( false );
        $urltmp = untrailingslashit( $protocol . $current_blog-&gt;domain . $current_blog-&gt;path );
 
        $is_alias = false;
        if (function_exists('wpmp_switcher_domains')) {
                $is_alias = ( $current_blog-&gt;domain == wpmp_switcher_domains('mobile', true) || $current_blog-&gt;domain == wpmp_switcher_domains('desktop', true) );
        }
 
        if ( $url && $url != $urltmp && !$is_alias ) {
                $redirect = get_site_option( 'dm_301_redirect' ) ? '301' : '302';
                if ( ( defined( 'VHOST' ) && constant( "VHOST" ) != 'yes' ) || ( defined( 'SUBDOMAIN_INSTALL' ) && constant( 'SUBDOMAIN_INSTALL' ) == false ) ) {
                        $_SERVER[ 'REQUEST_URI' ] = str_replace( $current_blog-&gt;path, '/', $_SERVER[ 'REQUEST_URI' ] );
                }
                header( "Location: {$url}{$_SERVER[ 'REQUEST_URI' ]}", true, $redirect );
                exit;
        }
}

除此之外, WPMP插件自身在Mobile域名模式下也有一些bug, 导致用户不能在Mobile站点和普通站点之间进行正确的切换. 下载下面的文件, 替换wordpress-mobile-pack插件子目录plugins/wpmp_switcher/下的wpmp_switcher.php文件, 可以解决上述bug. 具体修改参见如下patch：

Note: There is a file embedded within this post, please visit this post to download the file.

diff --git a/wp-content/plugins/wordpress-mobile-pack/plugins/wpmp_switcher/wpmp_switcher.php b/wp-content/plugins/wordpress-mobile-pack/plugins/wpmp_switcher/wpmp_switcher.php
index ed46c88..2949ebb 100755
--- a/wp-content/plugins/wordpress-mobile-pack/plugins/wpmp_switcher/wpmp_switcher.php
+++ b/wp-content/plugins/wordpress-mobile-pack/plugins/wpmp_switcher/wpmp_switcher.php
@@ -92,12 +92,10 @@ function wpmp_switcher_init() {
       wpmp_switcher_mobile_interstitial();
       break;
     case WPMP_SWITCHER_REDIRECT_TO_MOBILE:
-      wpmp_switcher_set_cookie('mobile');
       $target_url = "http://" . wpmp_switcher_domains('mobile', true) . wpmp_switcher_current_path_plus_cgi();
       header("Location: $target_url");
       exit;
     case WPMP_SWITCHER_REDIRECT_TO_DESKTOP:
-      wpmp_switcher_set_cookie('desktop');
       $target_url = "http://" . wpmp_switcher_domains('desktop', true) . wpmp_switcher_current_path_plus_cgi();
       header("Location: $target_url");
       exit;
@@ -373,13 +371,13 @@ function wpmp_switcher_outcome_process($switcher_mode, $desktop_domain, $mobile_
     case 'browserdomain':
       if ($desktop_domain) {
         if ($desktop_browser) {
-          if (($mobile_cookie && !$cgi) || $cgi == 'mobile') {
+          if ($mobile_cookie && !$cgi) {
             return WPMP_SWITCHER_REDIRECT_TO_MOBILE;
           } else {
             return WPMP_SWITCHER_DESKTOP_PAGE;
           }
         } else {
-          if (($desktop_cookie && !$cgi) || $cgi == 'desktop') {
+          if ($cgi || $desktop_cookie) {
             return WPMP_SWITCHER_DESKTOP_PAGE;
           } else {
             if ($mobile_cookie) {
@@ -474,7 +472,7 @@ function wpmp_switcher_is_cgi_parameter_present() {
 
 function wpmp_switcher_link($type, $label) {
   $cookie = WPMP_SWITCHER_COOKIE_VAR . "=$type;path=/;expires=Tue, 01-01-2030 00:00:00 GMT";
-  $target_url = "http://" . wpmp_switcher_domains('desktop', true) . wpmp_switcher_current_path_plus_cgi('', $type);
+  $target_url = "http://" . wpmp_switcher_domains($type, true) . wpmp_switcher_current_path_plus_cgi('', $type);
   if ($target_url) {
     return "$label";
   }

删除Mac OS X上的MySQL

li — Tue, 07 Sep 2010 06:58:07 +0000

MySQL提供的Mac OS X上的安装包不能卸载，需要手动删除。到网上搜到前辈总结的过程，稍微改了改，应该可以直接运行。

#!/bin/sh
 
sudo killall /usr/local/mysql/bin/mysqld
[ -e /usr/local/mysql ] && sudo rm /usr/local/mysql
sudo rm -rf /usr/local/mysql*
sudo rm -rf /Library/StartupItems/MySQLCOM
sudo rm -rf /Library/PreferencePanes/My*
sudo rm -rf /Library/Receipts/mysql*
sudo rm -rf /Library/Receipts/MySQL*
sudo sed -i -e '/MYSQLCOM=-YES-/ d' /etc/hostconfig
echo done !

WordPress 3.0 Update Network超时

li — Wed, 01 Sep 2010 11:26:34 +0000

最近将Blog升级到Wordpress 3.0. 新版本支持multisite模式, 我正好可以把几个Blog合并管理. 激活多站点模式后, WordPress管理菜单中新出现了Super Admin菜单, 下面包含Update菜单项, 在Wordpress升级后, 可以通过Update Network功能同时更新当前站点下的所有Blog.

不过最近使用Update Network功能从来没有成功过, 猜测是超时的问题. 我服务器使用的是nginx + php5-fpm, nginx的error.log中相关错误是ms-upgrade-network.php脚本产生的upstream timed out:

2010/08/18 08:39:37 [error] 1962#0: *39882 upstream timed out (110: Connection timed out) while reading upstream, client: 192.168.1.1 server: example.com, request: "GET /wp-admin/ms-upgrade-network.php?action=upgrade HTTP/1.0", upstream: "fastcgi://127.0.0.1:9000", host: "example.com", referrer: "http://example.com/wp-admin/ms-upgrade-network.php"

解决方法包括两方面. 首先增加php脚本的时间限制, 相关参数主要有: max_execution_time, max_input_time. 默认是30还是60秒, 对于Update Network来说可能不够, 所以要修改php-fpm的配置(/etc/php5/fpm/php.ini):

max_execution_time = 300
max_input_time = 600

还有就是增加nginx等待的超时限制, 参见Nginx的文档, 主要有fastcgi_read_timeout, fastcgi_send_timeout, 可能和上面的php参数是对应的(read对应execution, send对应input):

location ~ \.php$ {
	fastcgi_pass   127.0.0.1:9000;
        ...
        fastcgi_read_timeout 300;
        fastcgi_send_timeout 600;
}

修改完成之后重启nginx和php5-fpm服务器, Update Network可以正常结束.

在Ubuntu上安装L2TP/IPsec VPN服务器

li — Mon, 30 Aug 2010 12:52:37 +0000

最近用VPN翻墙比较流行, 我也赶了一下潮流: 买了一个Linode的VPS, 安装了最新的Ubuntu Lucid (10.04), 并在上面配置了L2TP服务器.

以下虽然是在10.04上的配置过程, 但应该对其他版本的Ubuntu同样适用.

2010-09-01: Ubuntu ppa没有karmic上的openswan包, 只能自己编译了, 或是下载我预编译的版本, 参照后面说明.

1. 安装OpenSWAN

L2TP(Layer 2 Tunneling Protocol)顾名思义, 是2层隧道协议. 这个协议的认证方式不是非常安全, 因此实际使用中, 往往将L2TP和IPsec结合, 客户端和服务器之间, 首先通过IPsec生成安全信道, 之后再进行L2TP协议的交互.

因此, 安装L2TP服务器, 首先需要安装IPsec软件. 目前在Linux下, 有FreeSWAN, OpenSWAN, StrongSWAN三款IPsec协议的实现. 这里我用的是OpenSWAN.

目前Ubuntu Lucid中官方自带的OpenSWAN版本是2.6.23. 可惜的是, 这个版本的OpenSWAN有bug, 无法和L2TP服务器配合使用, 必须至少升级到2.6.24以后. 因此需要安装Ubuntu提供的非官方OpenSWAN升级版.

Ubuntu Karmic 9.10 安装过程

ppa中没有Ubuntu Karmic的openswan, 安装过程有不一样. 首先下载我预编译的openswan的deb包, 然后安装: Note: There is a file embedded within this post, please visit this post to download the file.

sudo dpkg -i openswan*i386.deb
sudo apt-get install -f

安装完成后请直接跳过到步骤2: 配置OpenSWAN.

1.1. 首先添加非官方的OpenSWAN apt源:

sudo apt-get install python-software-properties
sudo add-apt-repository ppa:openswan/ppa
sudo apt-get update

1.2. 然后检查OpenSWAN的版本, 至少应该是2.6.24

# apt-cache policy openswan
openswan:
  Installed: (none)
  Candidate: 1:2.6.28-1xelerance3
  Version table:
     1:2.6.28-1xelerance3 0
        500 http://ppa.launchpad.net/openswan/ppa/ubuntu/ lucid/main Packages

1.3. 安装

sudo apt-get install openswan

安装过程中如问到: Use an X.509 certificate for this host, 回答NO.

2. 配置OpenSWAN

2.0. 设置命令行变量

在后面的配置过程中, 有一些配置参数可能需要修改. 本文假设L2TP服务器的IP地址是192.168.1.1, VPN网络前缀是10.1.1.0/24, 用户名为user, 密码为1234. 在完成下面的配置之前, 应该首先把这些参数修改成正确的参数. 后面的命令将使用bash的变量替换规则吧配置文件中出现的参数名替换出下面设置的值:

export SERVER=192.168.1.1
export NET=10.1.1
export USER1=user
export PASS1=1234

2.1. 配置sysctl参数

sudo mv /etc/sysctl.conf /etc/sysctl.conf.bak
 
sudo bash -c "cat > /etc/sysctl.conf <

上述参数重启后生效, 如果想不重启即时生效, 需要继续完成步骤2:

2.2. 加载sysctl参数

sudo sysctl -p
 
sudo bash -c 'for each in /proc/sys/net/ipv4/conf/*
do
    echo 0 > $each/accept_redirects
    echo 0 > $each/send_redirects
done
'

2.3. 生成iptables配置

sudo mv /etc/rc.local /etc/rc.local.bak
 
sudo bash -c "cat > /etc/rc.local <$NET.0/24 -o eth0 -j MASQUERADE
exit 0
EOF
"
 
sudo chmod +x /etc/rc.local

类似的, 上述参数重启后生效. 如果想不重启即时生效, 需要继续完成步骤4:

注意: /etc/rc.local文件中引用了$NET参数的值, 检查一下文件输出是否符合预期.

2.4. 加载iptables配置

sudo /etc/rc.local

2.5. 配置ipsec.secrets

sudo mv /etc/ipsec.secrets /etc/ipsec.secrets.bak
sudo bash -c "cat > /etc/ipsec.secrets <$SERVER %any: PSK \"$PASS1\"
EOF
"

注意: /etc/ipsec.secrets文件中引用了$SERVER, $PASS1参数的值, 检查一下文件输出是否符合预期.

2.6. 配置ipsec.conf

sudo mv /etc/ipsec.conf /etc/ipsec.conf.bak
sudo bash -c "cat > /etc/ipsec.conf <$SERVER
    leftprotoport=17/1701
    right=%any
    rightprotoport=17/%any
EOF
"

注意: /etc/ipsec.conf文件中引用了$SERVER参数的值, 检查一下文件输出是否符合预期.

2.7. 激活ipsec服务

运行下面的命令, 让ipsec服务可以开机自动启动:

sudo update-rc.d ipsec defaults

3. 安装xl2tpd

L2TP服务器软件, 选择与OpenSWAN同样是xelerance公司支持的xl2tpd软件. 该软件可以直接用Ubuntu自带的版本, 安装过程相对简单:

sudo apt-get install xl2tpd

4. 配置xl2tpd

4.0. 设置命令行变量

配置xl2tpd的过程中同样需要替换配置文件中的部分参数, 参数和OpenSWAN命令行变量一样.

4.1. 配置xl2tpd.conf

sudo mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak
sudo bash -c "cat > /etc/xl2tpd/xl2tpd.conf <$NET.2-$NET.255
local ip = $NET.1
refuse chap = yes
refuse pap = yes
require authentication = yes
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
EOF
"

注意: /etc/xl2tpd/xl2tpd.conf文件中引用了$NET参数的值, 检查一下文件输出是否符合预期.

4.2. 配置options.xl2tpd

sudo mv /etc/ppp/options.xl2tpd /etc/ppp/options.xl2tpd.bak
sudo bash -c "cat > /etc/ppp/options.xl2tpd <

4.3. 配置chap-secrets

sudo mv /etc/ppp/chap-secrets /etc/ppp/chap-secrets.bak
sudo bash -c "cat > /etc/ppp/chap-secrets <$USER1       l2tpd       $PASS1       *
EOF
"

注意: /etc/ppp/chap-secrets文件中引用了$USER1, $PASS1参数的值, 检查一下文件输出是否符合预期.

5. 启动L2TP服务器

至此, L2TP/IPsec服务器配置完成. 重启之后, 就可以使用了. 如果不希望重启, 可以运行下面的命令, 手动启动服务:

sudo invoke-rc.d xl2tpd restart
sudo invoke-rc.d ipsec restart

运行ipsec verify命令, 验证IPsec服务器的运行状态. 典型的检查结果如下:

# sudo ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                             	[OK]
Linux Openswan U2.6.28/K2.6.32.16-linode28 (netkey)
Checking for IPsec support in kernel                        	[OK]
NETKEY detected, testing for disabled ICMP send_redirects   	[OK]
NETKEY detected, testing for disabled ICMP accept_redirects 	[OK]
Checking that pluto is running                              	[OK]
Pluto listening for IKE on udp 500                          	[OK]
Pluto listening for NAT-T on udp 4500                       	[OK]
Two or more interfaces found, checking IP forwarding        	[OK]
Checking NAT and MASQUERADEing                              
Checking for 'ip' command                                   	[OK]
Checking for 'iptables' command                             	[OK]
Opportunistic Encryption Support                            	[DISABLED]

6. 测试L2TP服务器

完成前面的步骤之后, 就可以用iPhone添加L2TP VPN连接, 测试L2TP服务器的有效性了. 按照本文的配置参数, 服务器的IP地址是192.168.1.1, 用户名是user, L2TP的密码和IPsec的预共享密钥都是1234.

Bambook内测体验

li — Thu, 19 Aug 2010 06:27:57 +0000

前几天在起点的官方网站上看到Bambook的内测消息, 看看自己的帐号好像还符合盛大对内测用户的资质要求: "注册一年以上, 余额至少50元", 于是就申请了Bambook的内测.

据说这次Bambook的内测只发3500个内测邀请, 因此申请了以后我也没在意, 总认为人会很多, 肯定抽不上. 8月6号申请之后, 也一直关注邮箱和Bambook的官方网站, 看到盛大9号已经开始发送邀请码了, 而我直到12号也没收到, 因此更加放弃了.

阴差阳错, 我12号中午整理Gmail的垃圾邮件箱时, 翻出了Bambook的邀请码. 怎么就进垃圾邮件箱了呢, 也不知道多少Gmail用户没有收到邀请码. 根据盛大后来修改的规定, 邀请码24小时有效, 但是我的邀请信是9号发出的, 貌似已经过期了.

不过, 我抱着试一试的心态, 用"过期"的邀请码竟然还可以下单, 就这样上了贼船.

1. 网上的评价

下单之后关注了一下Bambook官方论坛的内容, 结果有一点失望. 另一方面, 一些内测用户在官方论坛对Bambook的产品质量和宣传手法提出质疑; 另一方面正赶上Bambook论坛改版, 把用户意见全隐藏了, 给人感觉很不好.

对Bambook大部分的质疑都可以从这里看到: 主要是怀疑Bambook内测时间过于仓促, 似乎是在比着Amazon的Kindle 3发布, 而产品功能还没有完善; 而Bambook的广告词却给人相当的误导, 例如太阳能充电模块、3G模块, 内测时并不随机附送, 对电子书格式(ePub, PDF)的支持相当初级等等.

无论如何, 既然下单了, 那就眼见为实好了.

2. 物流

Bambook的配送过程比较让人失望, 我12号中午下单, 17号早上才收到: "订单审核"1天, "个性化配置"1天, "配送"花了1天, 就连到了小区也要等1天半快2天. 对比淘宝商家的发货速度, 这样的Case最多2天就能搞定.

3. 包装和外观

Bambook的盒子设计很典雅, 并没有因为内测就随便整一个包装盒. Bambook的整体造型很像Kindle 2, 大小也差不多, 这两款产品的皮套都可以通用. 不过新的Kindle 3又要比Kindle 2小不少, 比Bambook有一定优势.

Bambook键盘是像手机那样的数字小键盘, 不是用Kindle那样的全键盘. 窃以为这个设计很中国很合理, 符合中文用户的要求: 如果是输入中文, 按键大且手感好的小键盘输入速度不一定比按键都挤在一起的全键盘慢.

不过Bambook的按键手感还是不佳, 涩涩的, 还不如大部分手机的键盘手感好. 前几天有幸摸了一下Kindle 2, 除了按键超级小之外, 手感也是不咋地. 键盘手感差不知道是不是电子阅读器的通病.

4. E-ink屏幕

Bambook用的是6吋的E-ink屏幕, 和Kindle 1/2/3一般大. 看多了背光屏, 再看自然光照明的屏幕反而有虚幻的感觉. 虽然屏幕看起来确实很柔和, 不刺眼, 但Bambook的手感和纸质书差的还是很远的. 总之, 在使用过程中, 你绝不会忘了手上拿的是一台计算机, 而不是一本书. 一方面是前面提到的键盘和外壳的手感, 没有拿书、翻书那样举重若轻的感觉; 另一方面则是E-ink翻页的感觉.

相比背光屏, E-ink屏有一个缺点: 屏幕刷新很慢, 翻页需要约1秒钟来刷新屏幕, 期间还可能会有闪屏(全黑/全白闪烁). Bambook自然也有这个问题, 但也有不小的改进. Bambook提供两种阅读模式: 质量优先、速度优先. 顾名思义, "速度优先"模式下牺牲了阅读质量, 据我观察, 主要是关闭了字体抗锯齿效果, 增加了笔画的颗粒感, 其提速效果也是很明显的.

虽然Bambook的翻页速度经过优化有不少的提升, 应该说也不弱于其他的电子书阅读器. 但遗憾的是, 以我自己的观感, 即使在"速度优先"模式下, 翻页等待时间依然会影响阅读的流畅性.

另外, 6吋屏还是太小, 只有32开纸的一半不到. 所以Bambook只适合看些纯文本的小说. 图文混排的书, 或是预先排版好的文档, 用Bambook看不太适合. 毕竟Bambook的屏幕分辨率只有800×600. 如果要看教材或是论文这种类型的电子书, 尤其是大量扫描的PDF, 至少也要用9.7吋的Kindle DX, 其实9.7吋屏也就才将将32开纸那么大, 看那些16开的书也挺费劲的.

5. Bambook软件

Bambook中的操作系统基于Google Android手机操作系统, 而Anroid内核是基于Linux的. 因此, Bambook用到了一部分开源的代码, 包括使用GPL协议的Linux内核及相关GNU软件的开源代码. 不过目前Bambook暂时还没有公布这部分GPL代码, 据说最近将会公布.

Bambook软件部分还比较简陋, 除了最核心的看书、买书功能之外, 啥功能都缺: 字典、笔记、浏览器, 等等. 这点还是与Kindle有比较大的差距. 不过好在还比较稳定, 用了两天没有遇到死机和显而易见的Bug.

软件的易用性也有较大的改善空间. 例如:

1. 如果长时间不访问网络, Bambook会自动关闭Wifi模块以降低耗电量. 这本来是很好的设计, 但Bambook可以软件关闭Wifi模块, 却不能软件开启, 必须用户手动开关一次面板上的Wifi开关, 才能重新激活无线, 这就有点傻了.

2. 书架的查书功能也不太实用, 100多本书只能按照更新的先后顺序一页一页翻着找, 实在是不太方便. 不过在起点订阅VIP章节的用户或许有这种排序方法就足够了.

3. 还有就是字体的设置. Bambook可以更换字体, 这个设计对于不喜欢Bambook默认自带的黑体字的人来说是一个福音. 我还是比较习惯黑体的. 字体可以调整大小, 不过对我来说, 最小的字体都嫌大, 一页没几个字, 需要频繁翻页. 与Kindle不同, Bambook目前没有公布平台的SDK, 也没有公布的计划, 因此不会有什么第三方扩展可以用.

6. 盛大云梯

Bambook本身自带Wifi模块, 其实接不接电脑完全没关系. 不过盛大还是提供了Bambook的PC端软件: 盛大云梯. 盛大云梯包含两个部分: Bambook格式的电子书制作工具, 和Bambook书籍管理.

Bambook的电子书格式的后缀名是snb, 估计是盛大自己设计的一种格式, 除此之外, Bambook不支持其他任何电子书格式. 是的, 包括TXT, PDF, Bambook都不能直接阅读. 云梯中自带的制作工具可以将常用的电子书格式转换成snb格式, 但是除了txt之外, 其他格式的转换还不尽如人意. 其实, 像pdf, epub这种格式的电子书, 就Bambook就应该直接支持, 而不是转一道手再支持.

Bambook的PC客户端的书籍管理功能还比较简单, 基本上所有的管理功能在Bambook上都可以直接完成, 除了一项: 自制书籍上传. 自制书籍就是用前面提到的制作工具生成的snb格式的电子书, 这些文件不能够直接拷贝到Bambook上, 因为Bambook接上电脑以后, 并不会认成一个USB磁盘, 所以只能通过云梯客户端上传到Bambook.

7. 与起点的集成

与起点中文网的集成, 是Bambook最值得称道的特点. 应该说Bambook对盈利模式还是有所考虑, 并能贯彻始终且体现在产品的功能上的. 前面提到Bambook一切多余功能都欠奉, 但与起点的集成度确实非常高.

Bambook在下单购买的时候, 就可以绑定盛大的帐号. 一旦绑定了盛大帐号, Bambook就会自动将用户书架中所有的书, 包括已经购买了的VIP章节的内容, 都同步到Bambook上. 用户可以在起点上完成的所有互动, 几乎都能用Bambook完成: 比如投月票, 推荐票, 比如写书评, 看书评等等. 为此, Bambook面板上甚至专门设置了一个"互动"键.

据我的观察, Bambook上保存的应该是VIP章节的文本信息, 而不是图片, 否则占用的空间不会这么小, 也不应该能能在不连网的时候更换字体和调节字体大小. 因此, 如果Bambook与服务器的通信方式一旦被破解, 或者Bambook的存储卡内容被破解, 用户将有可能直接获取VIP章节的文字, 给盗版造成极大的便利. 不知道盛大在这方面加密的力度有多大, 有没有采用Amazon在azw格式中使用的DRM机制. 不过我猜测是没有, 不然Bambook上的闪存设备不会羞羞答答的不让用户访问.

总结

罗嗦了这么多, 下面总结下我的大体感受.

首先, 作为一款"内测"产品, Bambook的质量还算过得去, 不太让人失望, 却也并没有给人耳目一新的感觉.

我认为从产品设计来看, Bambook最大的优点的目标用户群定位非常明确的: 就是起点VIP订阅的死忠用户. Bambook的核心功能也都是针对这一用户群的. 因此Bambook的盈利模式和市场份额也是不用担心的: 只要起点VIP用户有使用电子阅读器的需求, Bambook就会是他的最佳选择, 没有之一. 短期内不会有其他公司能够在盈利模式和目标用户群上能够威胁Bambook.

对于没有在起点上看书消费习惯和意愿的用户来说, 买Bambook就纯属多余了. Bambook对其他电子书格式的支持不完善, 看自制书籍也不是很方便. 唯一的优点就是价格. 不算税的话, 只比不带3G模块的Kindle 3/3G版略贵. 只是不知道正式发行的时候, 还能不能保持998元的价位.

Python调用搜狗云输入法的小例子

li — Thu, 21 Jan 2010 17:52:20 +0000

写了个Python的小例子，调用搜狗云输入法获取汉字。感谢xzap在搜狗论坛发布的bash脚本，但觉得bash还是略微晦涩了点，用python说明搜狗云输入法的API更加清晰一点。

#!/usr/bin/python                                                                                                                                           
from urllib import urlopen
from cgi import parse_qs
 
url = 'http://web.pinyin.sogou.com/web_ime/get_ajax/%s.key'
 
py = raw_input('input pinyin: ')
res = urlopen(url % py).read()
dic = parse_qs(res)
lst = eval(dic['ime_query_res'][0]).split('\t ')
words = map(lambda x: x.split('\xef\xbc\x9a')[0], lst)
counts = map(lambda x: x.split('\xef\xbc\x9a')[1], lst)
 
for i in range(len(words)):
    print words[i], counts[i]
 
exit

运行该脚本的输出结果如下，每行前面是候选词/句，后面是该候选词/句消耗的英文单词字母个数：

$ ./sogou.py
input pinyin: nihaosgysrf
你好搜狗云输入法 11
你好是 6
倪豪士 6
你好 5
拟好 5
倪浩 5
泥蒿 5
倪昊 5
倪皓 5
匿号 5
你 2
拟 2
呢 2
尼 2
泥 2
逆 2
妮 2
腻 2
倪 2
伱 2