Links

Bash 腳本如何建立臨時檔案：mktemp 與 trap 教學

Bash 腳本如何建立臨時檔案：mktemp 與 trap 教學 mktemp 命令產生的臨時檔案名稱是隨機的，而且權限只有使用者本人可讀寫。為了確保臨時檔案建立成功，mktemp 後面最好使用 OR 運算子（||），在建立失敗時退出腳本。為了確保腳本退出時刪除臨時檔案，可以使用 trap 指定退出時的清理動作。 #!/bin/bash trap 'rm -f "$TMPFILE"' EXIT TMPFILE=$(mktemp) || exit 1 echo "Our temp file is $TMPFILE" mktemp 參數 -d 參數可以建立臨時目錄。 -p 參數可以指定臨時檔案所在的目錄。預設使用 $TMPDIR 環境變數指定的目錄；若未設定，使用 /tmp。 -t 參數可以指定臨時檔案的檔名模板，模板末尾必須至少包含三個連續的 X 字元作為隨機字元，建議至少六個 X。預設的檔名模板為 tmp. 加上十個隨機字元。 trap 命令的用法 trap 命令用來在 Bash 腳本中響應系統訊號。最常見的系統訊號是 SIGINT（中斷），也就是按下 Ctrl + C 產生的訊號。-l 參數可以列出所有系統訊號。 $ trap -l 1) SIGHUP 2) SIGINT 3) SIGQUIT 4) SIGILL 5) SIGTRAP 6) SIGABRT ... ... trap 的命令格式如下：

Monday, December 30, 2019 閱讀

GitHub Actions 入門教學

Monday, December 23, 2019 閱讀

Nginx 如何防禦 DDoS 攻擊？

Nginx 如何防禦 DDoS 攻擊？ Nginx 限制訪問速率和最大併發連線數模組–limit（防止 DDoS 攻擊） ngx_http_limit_req_module limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;

Friday, December 20, 2019 閱讀

Golang 服務的檔案句柄超出系統限制（too many open files）

Golang 服務的檔案句柄超出系統限制（too many open files）查看系統設定：ulimit -a | grep open，系統設定正常。查看服務的開啟檔案限制：cat /proc/40636/limits，服務沒有繼承系統設定，仍是預設的 1024 限制。查看服務開啟檔案數（連線數）：lsof -p 40636 | wc -l，已超過限制，因此報錯。查看開啟了哪些連線：lsof -p 40636 > openfiles.log，發現很多 HTTP 連線未關閉，IP 是告警服務的介面。沿著線索找到原因：程式解析設定時出錯，對告警服務大量連線後未關閉，導致 too many open files。至於為何服務未繼承系統最大限制，還需進一步查看。最終原因：服務由 supervisor 管理，supervisor 預設 minfds 為 1024。於設定中加入 minfds=81920，並重啟 supervisorctl reload。

Monday, December 16, 2019 閱讀

Trellis Ansible 錯誤的解譯器

Trellis Ansible Bad Interpreter Error Bad Interpreter Error 使用 Ansible 時遇到錯誤的解譯器問題。找不到 Python 2.7： zsh: /usr/local/bin/ansible-vault: bad interpreter: /usr/local/opt/python@2/bin/python2.7: no such file or directory 這是正常的，因為我們檢查 /usr/local/opt 後只看到 Python 3。安裝 Python 2 brew install python@2 Python 嚴重崩潰接著在檢查 Ansible 版本時又出現錯誤： ➜ trellis git:(master) ansible --version [1] 19153 abort ansible --version 它在 Python 2.7 上崩潰了，但理論上應該可以正常執行。我決定升級 Ansible。 sudo pip install ansible --upgrade ..... Requirement already satisfied, skipping upgrade: six>=1.4.1 in /usr/local/lib/python2.7/site-packages (from cryptography->ansible) (1.11.0) Requirement already satisfied, skipping upgrade: pycparser in /usr/local/lib/python2.7/site-packages (from cffi>=1.7; platform_python_implementation != "PyPy"->cryptography->ansible) (2.18) Installing collected packages: ansible Found existing installation: ansible 2.7.5 Uninstalling ansible-2.7.5: Successfully uninstalled ansible-2.7.5 Successfully installed ansible-2.9.1 Still I had the Python error and iTerm was showing a MacOS popup that Python was crashing unexpectedly: Python quit unexpectedly. Click Reopen to open the application again. Click Report to see more detailed information and send a report to Apple. Application Specific Information: /usr/lib/libcrypto.dylib abort() called Invalid dylib load. Clients should not load the unversioned libcrypto dylib as it does not have a stable ABI. Invalid DyLib 找到 https://stackoverflow.com/questions/58272830/python-crashing-on-macos-10-15-beta-19a582a-with-usr-lib-libcrypto-dylib 這篇，知道是動態函式庫載入錯誤，於是決定安裝 openssl。

Friday, December 6, 2019 閱讀

用 iptables 和 ip rule 做負載均衡

用 iptables 和 ip rule 做負載均衡操作這裡以一台透過有線 + 無線出口連線到網際網路的 Arch Linux 裝置為例。共有兩個出口，分別使用網卡 eth0 和 eth1。大致對應關係如下：標記 10 (0xa) - 路由表 #110 - 使用 eth0 出口標記 11 (0xb) - 路由表 #111 - 使用 eth1 出口我們會根據封包上的標記值判斷它應該走哪個出口。首先，使用 ip rule 為每個標記值指定一張路由表。通常預設路由表的權重是 32768。為了讓我們的路由表生效，需要將權重調高一些（例如 31000）。 # 讓帶標記 10 (0xa) 的封包使用 110 號路由表，權重 31000 ip rule add fwmark 10 table 110 prio 31000 # 讓帶標記 11 (0xb) 的封包使用 111 號路由表，權重 31000 ip rule add fwmark 11 table 111 prio 31000 # 如果你的連線更多，可以繼續新增標記 <-> 路由表的對應關係 # #110 路由表的路由 ip route add 10.20.0.0/24 dev eth0 table 110 ip route add default via 10.20.0.254 table 110 # #111 路由表的路由 ip route add 10.25.0.0/24 dev eth1 table 111 ip route add default via 10.25.0.254 table 111 # 如果這條連線已經被標記，將標記設定到封包上 iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark # 如果封包已經有標記，直接放行 iptables -t mangle -A OUTPUT -m mark ! --mark 0 -j ACCEPT # 如果封包沒有被標記 # 把封包標記為 10 (0xa) iptables -t mangle -A OUTPUT -j MARK --set-mark 10 # 每 2 個封包就把一個封包標記為 11 (0xb) iptables -t mangle -A OUTPUT -m statistic --mode nth --every 2 --packet 0 -j MARK --set-mark 11 # 如果你有三條出口，這裡可以類似於 # iptables -t mangle -A OUTPUT -j MARK --set-mark 10 # iptables -t mangle -A OUTPUT -m statistic --mode nth --every 3 --packet 0 -j MARK --set-mark 11 # iptables -t mangle -A OUTPUT -m statistic --mode nth --every 3 --packet 1 -j MARK --set-mark 12 # 把封包的標記儲存到整條連線上，讓整個連線使用同一個出口 iptables -t mangle -A OUTPUT -j CONNMARK --save-mark # 讓封包的出口與我們選擇的一致 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 之後可以用 iptables -L OUTPUT -t mangle 看一下規則是否正確，再用 Wireshark 驗證連線是否真的分流。

Wednesday, December 4, 2019 閱讀

htop 說明

htop explained

Thursday, November 14, 2019 閱讀

Jenkinsfile 範例

Some Jenkinsfile examples 並行 #!/usr/bin/env groovy pipeline { agent any stages { stage("Build") { steps { sh 'mvn -v' } } stage("Testing") { parallel { stage("Unit Tests") { agent { docker 'openjdk:7-jdk-alpine' } steps { sh 'java -version' } } stage("Functional Tests") { agent { docker 'openjdk:8-jdk-alpine' } steps { sh 'java -version' } } stage("Integration Tests") { steps { sh 'java -version' } } } } stage("Deploy") { steps { echo "Deploy!" } } } } When #!/usr/bin/env groovy pipeline { agent any environment { VALUE_ONE = '1' VALUE_TWO = '2' VALUE_THREE = '3' } stages { // skip a stage while creating the pipeline stage("A stage to be skipped") { when { expression { false } //skip this stage } steps { echo 'This step will never be run' } } // Execute when branch = 'master' stage("BASIC WHEN - Branch") { when { branch 'master' } steps { echo 'BASIC WHEN - Master Branch!' } } // Expression based when example with AND stage('WHEN EXPRESSION with AND') { when { expression { VALUE_ONE == '1' && VALUE_THREE == '3' } } steps { echo 'WHEN with AND expression works!' } } // Expression based when example stage('WHEN EXPRESSION with OR') { when { expression { VALUE_ONE == '1' || VALUE_THREE == '2' } } steps { echo 'WHEN with OR expression works!' } } // When - AllOf Example stage("AllOf") { when { allOf { environment name:'VALUE_ONE', value: '1' environment name:'VALUE_TWO', value: '2' } } steps { echo "AllOf Works!!" } } // When - Not AnyOf Example stage("Not AnyOf") { when { not { anyOf { branch "development" environment name:'VALUE_TWO', value: '4' } } } steps { echo "Not AnyOf - Works!" } } } }

Wednesday, November 6, 2019 閱讀

Jinja docx 樣板：在巢狀 for 中避免換行

Tuesday, October 29, 2019 閱讀

What the f*ck Python! 🐍 中文版

What the f*ck Python! 🐍

Friday, October 11, 2019 閱讀

再戰營運商快取：使用 iptables 對付快取劫持

再戰營運商快取：使用 iptables 對付快取劫持起因與移動的快取問題進行鬥爭要追溯到兩年前，那時因為移動竟然連 cnpm 的資料都進行快取。更離譜的是：移動的快取伺服器不但速度慢到堪比萬年王八跑馬拉松，還經常當機，導致我只想安安靜靜寫程式卻不得不面對一片鮮紅的報錯。解決 iptables -I FORWARD -p tcp -m tcp -m ttl --ttl-gt 20 -m ttl --ttl-lt 30 -j DROP 考慮到可能還真的有其他伺服器送來的正常封包 TTL 也在 20-30 的區間，應該再加一層判斷。對比移動的 302 劫持封包和正常的 302 跳轉封包後，發現移動的劫持封包狀態位包含 FIN、PSH、ACK，而正常的 302 跳轉封包通常不會這三個都有。因此在 iptables 規則中加入是否包含 FIN、PSH、ACK 的判斷： iptables -I FORWARD -p tcp -m tcp -m ttl --ttl-gt 20 -m ttl --ttl-lt 30 --tcp-flags ALL FIN,PSH,ACK -j DROP 這樣應能在丟棄劫持封包的同時，盡可能降低誤傷正常封包的可能性。

Monday, October 7, 2019 閱讀

使用 Nginx 和 mod_pagespeed 自動將圖片轉換為 WebP 並輸出

使用 Nginx 和 mod_pagespeed 自動將圖片轉換為 WebP 並輸出編譯 ngx_pagespeed 首先確保 Nginx 有 --with-compat 編譯參數，這樣就不需要按照一些奇怪的教學讓大家從頭開始編譯 Nginx incubator: https://github.com/apache/incubator-pagespeed-ngx.git # 切換到 nginx 原始碼目錄下開始設定編譯環境 ./configure --with-compat --add-dynamic-module=../incubator-pagespeed-ngx # 編譯 modules make modules # 將編譯好的 module 放到 nginx 目錄下 sudo cp objs/ngx_pagespeed.so /etc/nginx/modules/ # 建立快取資料夾以存放自動轉換的圖片 sudo mkdir -p /var/ngx_pagespeed_cache sudo chown -R www-data:www-data /var/ngx_pagespeed_cache load_module modules/ngx_pagespeed.so; # enable pagespeed module on this server block pagespeed on; # Needs to exist and be writable by nginx. Use tmpfs for best performance. pagespeed FileCachePath /var/ngx_pagespeed_cache; # Ensure requests for pagespeed optimized resources go to the pagespeed handler # and no extraneous headers get set. location ~ "\.pagespeed\.([a-z]\.)?[a-z]{2}\.[^.]{10}\.[^.]+" { add_header "" ""; } location ~ "^/pagespeed_static/" { } location ~ "^/ngx_pagespeed_beacon$" { } pagespeed RewriteLevel CoreFilters; 其中最後一段（pagespeed RewriteLevel CoreFilters;）表示啟用的最佳化方式，包含一些基礎的最佳化，例如：

Monday, October 7, 2019 閱讀