ZhongZiChang's Dao

生活不能没有绿色

zhongzichang — Wed, 25 Aug 2010 05:19:40 +0000

办公室里每个人负责一盘植物，右边是我的。

Postfix on Ubuntu server 10.04

zhongzichang — Tue, 24 Aug 2010 02:36:22 +0000

Postfix 是ubuntu服务器的默认MTA。快速，容易管理，安全。与 sendmail兼容。这里解释如何安装和配置postfix。解释如何使用安全连接建立起一个SMTP服务器（为了安全发送邮件）。

注意：这个指南没有说到如何建立 Postfix Virtual Domains，关于 Virtual Domains 和其他高级配置，参考 https://help.ubuntu.com/10.04/serverguide/C/postfix.html#postfix-references

安装

安装使用下面的命令行：

sudo apt-get install postfix

基本配置

配置　postfix，运行下面的命令：

sudo dpkg-reconfigure postfix

用户界面出现，在每一屏上，选择下面的值：

Internet Site
mail.example.com
steve
mail.example.com, localhost.localdomain, localhost
No
127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24
0
+
all

使用你接收邮件的域名来替换 mail.example.com，实际的网络和类范围替换192.168.0.0/24 ，适当的用户名替换 steve。

现在，你可以确定使用哪一种mailbxo格式。缺省情况下，Postfix使用mbox作为默认的mailbox格式。无须直接编辑配置文件，你可以使用postconf命令来配置postfix参数。配置参数将保存在文件 /etc/postfix/main.cf 文件中。以后，你想重新配置 postfix，你可以运行这个命令或者手动修改配置文件。

为 Maildir 配置 mailbox格式：

sudo postconf -e ‘home_mailbox = Maildir/’
这将把新邮件保存到 /home/username/Maildir ，因此你需要配置你的 Mail Deliery Agent（MDA）使用同一个路径。

SMTP 认证

SMTP-AUTH 允许客户通过一个认证机制（SASL）来标识自己。Transport Layer Security（TLS）对认证过程进行加密。一旦认证通过，SMTP服务器将允许客户来传递邮件。

1. 配置Postfix， SMTP-AUTH 使用 SASL（Devocot SASL）

sudo postconf -e ‘smtpd_sasl_type = dovecot’
sudo postconf -e ‘smtpd_sasl_path = private/auth-client’
sudo postconf -e ‘smtpd_sasl_local_domain =’
sudo postconf -e ‘smtpd_sasl_security_options = noanonymous’
sudo postconf -e ‘broken_sasl_auth_clients = yes’
sudo postconf -e ‘smtpd_sasl_auth_enable = yes’
sudo postconf -e ‘smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination’
sudo postconf -e ‘inet_interfaces = all’

注意： smtpd_sasl_path 配置是一个相对 Postfix queue 目录的路径。

2. 下一步，为TLS获得一个数字证书。参考 https://help.ubuntu.com/10.04/serverguide/C/certificates-and-security.html 获得更详细的信息。这个例子同样使用一个Certificate Authority（CA）。生成CA证书的方法，参考 https://help.ubuntu.com/10.04/serverguide/C/certificates-and-security.html#certificate-authority 。

注意：你可以从一个certificate authority 那里获得数字证书。不像 web 客户端， SMTP 客户很少抱怨 “self-signed certificates” 因此，你可以自己创建证书。参考 https://help.ubuntu.com/10.04/serverguide/C/certificates-and-security.html#creating-a-self-signed-certificate 获得更详细的信息。

3. 一旦你拥有证书，配置Postfix给进出的邮件提供TLS加密：

sudo postconf -e ‘smtpd_tls_auth_only = no’
sudo postconf -e ‘smtp_use_tls = yes’
sudo postconf -e ‘smtpd_use_tls = yes’
sudo postconf -e ‘smtp_tls_note_starttls_offer = yes’
sudo postconf -e ‘smtpd_tls_key_file = /etc/ssl/private/server.key’
sudo postconf -e ‘smtpd_tls_cert_file = /etc/ssl/certs/server.crt’
sudo postconf -e ‘smtpd_tls_loglevel = 1′
sudo postconf -e ‘smtpd_tls_received_header = yes’
sudo postconf -e ‘smtpd_tls_session_cache_timeout = 3600s’
sudo postconf -e ‘tls_random_source = dev:/dev/urandom’
sudo postconf -e ‘myhostname = mail.example.com’

4. 如果你使用自己的 Certificate Authority 来做签证，输入：

sudo postconf -e ‘smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem’

更多关于证书的信息，参考 https://help.ubuntu.com/10.04/serverguide/C/certificates-and-security.html 。

注意：运行执行所有的命令后，Postfix已经为 SMTP-AUTH 配置好了，已经为 TLS 加密创建了一个self-signed certificate 。

现在，文件 /etc/postfix/main.cf 看起来内容如下：

main.cf —————————-

# See /usr/share/postfix/main.cf.dist for a commented, more complete
# version

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA’s job.
append_dot_mydomain = no

# Uncomment the next line to generate “delayed mail” warnings
#delay_warning_time = 4h

myhostname = server1.example.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = server1.example.com, localhost.example.com, localhost
relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a “$EXTENSION”
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,reject _unauth_destination
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/ssl/private/smtpd.key
smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt
smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

———————————————-

postfix 的初始配置已经完成。运行下面的命令来重启 postfix 守护：

sudo /etc/init.d/postfix restart

Postfix支持SMTP-AUTH，基于SASL。然而，在使用SMTP-AUTH之前，仍然需要设置SASL认证。

配置SASL

Postfix 支持两种SASL实现，分别是 Cyrus SASL 和 Dovecot SASL 。要让 Dovecot SASL 能够工作，需要安装 dovecot-common 包。从一个终端提示符下输入：

sudo apt-get install dovecot-common

下一步编辑 /etc/dovecot/dovecot.conf 。在 auth default 段，取消 socket listen 的注释，并且修改如下：

socket listen {
#master {
# Master socket provides access to userdb information. It’s typically
# used to give Dovecot’s local delivery agent access to userdb so it
# can find mailbox locations.
#path = /var/run/dovecot/auth-master
#mode = 0600
# Default user/group is the one who started dovecot-auth (root)
#user =
#group =
#}
client {
# The client socket is generally safe to export to everyone. Typical use
# is to export it to your SMTP server so it can do SMTP AUTH lookups
# using it.
path = /var/spool/postfix/private/auth-client
mode = 0660
user = postfix
group = postfix
}
}

为了让 Outlook 客户端使用 SMTPAUTH，在 auth default 段增加 “login” ：

mechanisms = plain login

一旦你的 Dovecot 配置完成，重启：

sudo /etc/init.d/dovecot restart

Postfix-Dovecot

使用 dovecot-postfix 包，是配置Postfix支持SMTP-AUTH的另一种方法。这个包将安装 Dovecot ，并且配置 Postfi 来用它，支持 SASL 认证和作为一个 MDA。这个同时配置 Dovecot 支持 IMAP，IMAPS，POP3和POP3S。

注意：你可能或者不可能在你的邮件服务器上运行 IMAP, IMPAS, POP3 或者 POP3S。例如，如果你配置你的服务器成为一个mail gateway，spam/virus filter等等。在这些例子中，很容易使用上面的命令来配置 Postfix 支持 SMTPAUTH。

要安装这个包，从一个终端提示符下输入：

sudo apt-get install dovecot-postfix

现在，你有个可工作的邮件服务器了，但还有一些选项，你希望更深入的自定义。例如，这个包使用来自 ssl-cert 包的 certificate 和 key ，在一个产品环境，你会使用为主机使用一个certificate和key。参考 https://help.ubuntu.com/10.04/serverguide/C/certificates-and-security.html 获得更详细的信息。

一旦你有一个主机自定义的 certificate 和 key，修改 /etc/postfix/main.cf 下面的选项：

smtpd_tls_cert_file = /etc/ssl/certs/ssl-mail.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-mail.key

然后重启 Postfix ：

sudo /etc/init.d/postfix restart

测试

SMTP-AUTH 配置完成，现在是时候测试了。

要查看 SMTP-AUTH 和 TLS 是否工作，运行下面的命令：

telnet mail.example.com 25

和 postfix mail server建立连接后，输入：

ehlo mail.example.com

如果你看到回显的信息中包含下面的内容，那么工作正常。输入quit退出。

250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME

发现故障并修理

这一段讲述发现问题后，进行检测的一般方法。

+ Escaping chroot

出于安全的考虑，Ubuntu 的 postfix 缺省安装到一个 chroot 环境。当出现问题时，这会增加解决问题的难度。

要关闭 chroot 操作，找到 /etc/postfix/master.cf 配置文件的这一行：

smpt inet n - - - - smtpd

修改如下：

smtp inet n - n - - smtpd

然后，你使用新的配置来重启 postfix：

sudo /etc/init.d/postfix restart

+ Log File

三个文件：

/var/log/mail.log
/var/log/mail.err
/var/log/mail.warn

可使用tail -f 命令实时查看：

tail -f /var/log/mail.err

++ 修改TLS活动日志水平，设置 smtpd_tls_loglevel 选项的值，从 1 到 4。

sudo postconf -e ‘smtpd_tls_loglevel = 4′

++ 如果你无法发送或者接收某个域名的的邮件，你可以增加域名到 debug_peer_list 参数：

sudo postconf -e ‘debug_peer_list = problem.domain’

++ 你可以增加Postfix 守护进程的 verbosity，编辑 /etc/postfix/master.cf ，在条目后增加 -v。

smtp unix – – – – – smtp -v

修改配置后，需要 Postfix来重载。执行 sudo /etc/init.d/postfix reload

++ 当SASL发生问题时，需要增加日志的信息数量，在 /etc/dovecot/dovecot.conf 文件中设置下面的选项：

auth_debug=yes
auth_debug_passwords=yes

注意：修改 dovecot 的配置后，需要重载 : sudo /etc/init.d/dovecot reload

注意：上面的改动会彻底增加发送到日志文件的信息数量。记住在调试完毕后，将配置修改回来，并且进行重载。

+ References

管理一个 Postfix 服务器是非常复杂的任务。有时需要到Ubuntu社区获得更多有经验的帮助。

freenode.net 的 #ubuntu-server IRC

The Book of Postfix

http://www.postfix.org/documentation.html

Continuum 的分布式建造

zhongzichang — Tue, 24 Aug 2010 02:27:11 +0000

介绍

对于基本的Continuum功能来讲，分布式建造是一个扩展，它让我们有能力处理多个独立的建造，超越单个服务器的处理能力。同时，让我们能够在多个不同的平台上执行建造，对所有的项目建造保持一个统一的视图。

架构

Continuum遵循一个使用XML-RPC的CS模式。然而，由于它使用 bi-directional XML-RPC 实现，我们使用Master和Build Agent来区分组件。

Master就是一个Continuum实例，它可以分配builds到已经注册的Build Agent。

Build Agent是一个Jetty-bundled webapp，监听来自Master的建造请求。

Master和Build Agents是一个一对多的关系。Master可有多个Build Agents，一个Build Agent只能有一个 Master。

行为

分布式建造发生在Continuum的项目组层次。当整个项目组在Master中建造，独立的项目被分发到单个Build Agent。

一个项目组是多个项目的混合，分布式的工作由下面几个步骤完成：

1. 在 Master，项目组的建造被触发。

2. 项目组的每一个独立项目都被标识，作为一个单独项目或者一个多模块项目。

3. 对于每一个独立项目，Master迭代已注册的Build Agent列表，查询其有效性。查询是一个 XML-RPC ping() ，跟在一个 getBuildSizeOfAgent() 调用之后。

4. 如果一个Build Agent 有效， Master 收集建造需要的信息（SCM URL ,项目ID，等等）后，在调用buildProducts()，将这些信息和它的队列中最小数值的任务传递到 Build Agent。

5. Build Agent 处理这个建造请求：这个建造被排队和执行。在执行之前，Build Agent搜先执行一个 SCM checkout 或者一个 SCM update，跟随着一个SCM 修改记录来获取最新更新的日期，然后开始正式的建造。

6. 到这一点，当建造运行，Master可以调用cancelBuild() ，返回一个临时的建造结果，调用 getBuildResult() 更新建造的输出（在Master）。

7. 建造后，Build Agent调用回调方法 returenBuildResult()，返回完整的建造结果给Master，Master集合后提供统一的项目视图。

设置

安装和配置一个或者多个Build Agent
在常规配置中，打开分布式建造的功能
将你的Build Agent添加到Continuum Master
将你的Build Agent添加到一个Build Agent 组
将你的Build Agent 组添加到一个建造环境
配置项目使用建造环境
确保项目组的本地仓库已配置好。在这个例子，它应该指向Build Agent 安装和运行的仓库的路径

警告：你需要拥有一个远程仓库来保存Build Agent创建的成品，以致其他的agents能使用新的成品。

局限

仅仅系统管理员可以打开和关闭分布式建造
如果指定的话，证件（例如svn证件）跟随一起传递，但如果服务器缓存被使用，需要在Build Agents单独完成
没有跟踪SCM的修改
Build Agent需要一个配置的web接口
项目组的所有项目被分配到同一个Build Agent

将来增强的功能

远程建造器
* 建造器在运程机器上安装，Continuum 管理者将发送动作来运行建造器。如果我们仅执行一个建造，一个动作将让所有的建造器（或者某些建造器，或者单个建造器）运行某些操作。动作将通过JMS发送，如果它们不想接收所有的动作，建造器可以应用一些过滤器。我们可以做一些并行的建造的同时，建造的顺序也需要遵从依赖树。要让依赖正确工作，每一个建造器需要使用一个中心本地仓库。可能我们能使用一个内部的Archiva。
* Continuum建造器做好了接收所有命令的配置，用户可以运行多平台的建造，每一个建造都定义了执行。
* Continuum建造器做好了接收某些项目类型的配置，用户可以根据项目组使用一个不同的建造器。在这里，项目的建造将被快速完成，因为命令被均衡到几个服务器。
*
Continuum建造器可以为它能做的事情做好配置，用户可以在几台机器上安装建造器来均衡责任。在这里，可以运行一些并行的建造。

∘ 当建造器工作完成，将发送一条信息给管理者，通知处理结束。

Continuum建造器可以为它能做的事情做好配置，用户可以在几台机器上安装建造器来均衡责任。在这里，可以运行一些并行的建造。∘ 当建造器工作完成，将发送一条信息给管理者，通知处理结束。
* 当建造器工作完成，将发送一条信息给管理者，通知处理结束。
* 通讯用的JMS，我们可以增加监听器来创建报告和统计，记录一些信息。
基于规则的分发
* 下一个有效
* 负载均衡
* 目标环境匹配

Continuum 安装升级指南

zhongzichang — Fri, 20 Aug 2010 02:48:23 +0000

系统需求

JDK > 1.5

内存没有最小需求

磁盘最少30MB，Checking out 和 building sources 时需要更多

操作系统没有最小需求。在 Windows XP, Debian, Fedora Core, Solaris 和 Mac OSX都做过测试

不同的安装环境（standalone， webapp， service）

Standalone 独立运行的安装

基本原理和原则

1.下载standalone版本

2. 解压文件

3. 设置JAVA_HOME环境变量

定义JNDI资源

邮件服务器配置

在你启动Continuum之前，你必须配置你的SMTP配置来支持邮件通知。配置在 $CONTINUUM_HOME/conf/jetty.xml中进行：

mail/Session

localhost

数据库配置

缺省情况下，Continuum使用一个嵌入的Derby数据库。如果你想使用其他的数据库，你可以修改 $CONTINUUM_HOME/conf/jetty.xml 的 JNDI 配置：

jdbc/continuum

/data/databases/continuum

create

jdbc/continuumShutdown

/data/databases/continuum

shutdown

jdbc/users

/data/databases/users

create

jdbc/usersShutdown

/data/databases/users

shutdown

安装Windows服务

1. 执行 continuum.bat install

2. 编辑 Apache continuum 服务

要查看你计算机上的服务，开始-》运行，输入 services.msc

3. 选择启动类型Startup Type

4. 打开 Log On 标签页，选择一个真实用户。真实用户需要，是因为你需要一个home目录来存放Maven仓库和其他的内容

5. 检查你的修改

安装Linux服务

• /etc/init.d 里面的基本脚本

在 /etc/init.d/ 创建一个 continuum 文件，内容如下，用你已有的帐号名取代 continuum_user:

#!/bin/sh

CONTINUUM_HOME=/opt/continuum-1.3

su – continuum_user -c “$CONTINUUM_HOME/bin/continuum console $@ &”

• 在基于Debian的系统

ln -s /usr/local/continuum-[VERSION]/bin/continuum /etc/init.d/continuum

在不同的运行级别上添加软连接，执行

update-rc.d -n continuum defaults 80

• 在基于RedHat的系统上

需要使用 chkconfig 命令来添加新的服务。需要增加一些注释到 /etc/rc.d/init.d/continuum 脚本，并且执行执行一些命令。编写一个chkconfig_install.sh 的脚本来完成上面的工作。内容如下，其中 _continuum_user_ 需要用你已有的帐号名来取代。

#! /bin/sh

# chkconfig_install.sh – install Continuum on a chkconfig-based system

# Author: Felipe Leme

# figure out what’s Continuum’s directory

CONTINUUM_HOME=`dirname $0`

cd ${CONTINUUM_HOME}

CONTINUUM_HOME=`pwd`

INITD_SCRIPT=/etc/rc.d/init.d/continuum

if [ -f ${INITD_SCRIPT} ]

then

echo “File ${INITD_SCRIPT} already exists. Please remove it and try again.”

exit 1

echo “Creating file ${INITD_SCRIPT}”

cat >> ${INITD_SCRIPT} <

#! /bin/sh

# chkconfig: 345 90 10

# description: Apache Continuum server

# uncoment to set JAVA_HOME as the value present when Continuum installed

#export JAVA_HOME=${JAVA_HOME}

if [ -z "\${JAVA_HOME}" ]

then

echo “Cannot manage Continuum without variable JAVA_HOME set”

echo ” (try to set it on file ${INITD_SCRIPT})”

exit 1

# run Continuum as root

cd ${CONTINUUM_HOME}

./bin/continuum \$*

# run Continuum as user _continuum_user_

#su – _continuum_user_ -c “cd ${CONTINUUM_HOME}; ./bin/continuum \$*”

EOF

chmod +x ${INITD_SCRIPT}

echo “Adding Continuum to chkconfig”

chkconfig –add continuum

echo “Enabling Continuum on chkconfig”

chkconfig continuum on

echo “Continuum set to start on run levels 3, 4 and 5.”

echo “To start Continuum now, run ‘service continuum start’”

Apache Archiva 的安全角色

zhongzichang — Fri, 20 Aug 2010 02:46:20 +0000

Archiva使用Redback安全框架来管理仓库的安全。当服务器第一次启动，将提示你创建管理员用户。这个用户有系统的所有权限。这个用户可以赋予权限给其他的用户。

缺省情况下，一个guest用户被创建，对缺省的仓库（internal和snapshots）赋予读访问的权限。能用guest用户访问的仓库，不需要输入用户名和密码（或者不需要登录web界面）。

当新的仓库创建，缺省没有赋予任何权限，仅仅管理员能访问。

注意 Redback 有推测角色的概念，因此一些角色的分配将指向其他的角色（在web界面有显示）。

仓库角色

Archiva对于仓库的访问，有下面几种角色：

repository observer ：有权读取指定仓库
repository manager ：有权读写指定仓库
global repository observer ：有权读取所有仓库
global repository manager ：有限读写所有仓库

一般角色

系统管理员：能使用系统的所有功能
用户管理员：对系统的其他用户，有创建、编辑和指定角色的权限。
guest 和 registered user 角色并不影响参考的访问。