index.xml

<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Free at last</title><link>https://churchmice.github.io/</link><description>Recent content on Free at last</description><generator>Hugo -- gohugo.io</generator><language>zh-cn</language><copyright>All Rights Reserved</copyright><lastBuildDate>Sun, 19 May 2024 16:12:10 +0800</lastBuildDate><atom:link href="https://churchmice.github.io/index.xml" rel="self" type="application/rss+xml"/><item><title>SECDEC</title><link>https://churchmice.github.io/p/secdec/</link><pubDate>Sun, 19 May 2024 16:12:10 +0800</pubDate><guid>https://churchmice.github.io/p/secdec/</guid><description>&lt;h1 id="介绍">介绍
&lt;/h1>&lt;p>SECDED是single error correction, double bit detection的简称，也就是可以纠正1比特的错误，能够检测2比特的错误。&lt;/p>
&lt;h1 id="hamming-code">Hamming Code
&lt;/h1>&lt;p>原理是借助了hamming code,distance是3，也就是说任意两个codeword之间的差距起码是3，hamming distance的计算方法就是对比两个codeword不一样的地方，并进行累加&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-c" data-lang="c">&lt;span class="line">&lt;span class="cl">&lt;span class="n">uint32&lt;/span> &lt;span class="nf">hamming_distance&lt;/span>&lt;span class="p">(&lt;/span> &lt;span class="n">unint32&lt;/span> &lt;span class="n">a&lt;/span>&lt;span class="p">,&lt;/span> &lt;span class="n">unit32&lt;/span> &lt;span class="n">b&lt;/span>&lt;span class="p">)&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="n">uint32&lt;/span> &lt;span class="n">num&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="mi">0&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="n">uint32&lt;/span> &lt;span class="n">diff&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="n">diff&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="n">a&lt;/span> &lt;span class="o">^&lt;/span> &lt;span class="n">b&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="k">while&lt;/span> &lt;span class="p">(&lt;/span>&lt;span class="n">diff&lt;/span>&lt;span class="p">)&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="n">num&lt;/span> &lt;span class="o">++&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="n">diff&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="n">diff&lt;/span> &lt;span class="o">&amp;amp;&lt;/span> &lt;span class="p">(&lt;/span>&lt;span class="n">diff&lt;/span> &lt;span class="o">-&lt;/span>&lt;span class="mi">1&lt;/span> &lt;span class="p">);&lt;/span> &lt;span class="c1">//remove the leading 1
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c1">&lt;/span> &lt;span class="p">}&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="k">return&lt;/span> &lt;span class="n">num&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="p">}&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>一个典型的hamming(7,4)的意思是原始数据长度是4,parity长度是3,编码后的消息长度是7.
hamming编码有一定的规则产生生成矩阵，示意图如下，其中Pn代表parity, Dn代表的是数据
&lt;img src="Pasted%20image%2020240519162034.png" alt="" />
从这张图，我们不难发现如下规律&lt;/p>
&lt;ul>
&lt;li>Pn位于位置是2^i的地方，剩余的位置依次填充Dn&lt;/li>
&lt;li>对于Pi行，如果index的i bit是1，则填充yes,否则填充No&lt;/li>
&lt;li>从左到右, {p3,p2,p1}呈现从1到7依次递增的序列，这为后面的编码提供了基础&lt;/li>
&lt;li>p1 = d1 ^ d2 ^ d4, p2 = d1 ^ d3 ^ d4, p3 = d2 ^ d3 ^ d4&lt;/li>
&lt;li>解码的时候如果p1,p2,p3只有一个等式不成立，那出错的bit处于Pi上&lt;/li>
&lt;li>解码的时候如果p1,p2,p3有超过一个等式不成立，那出错的bit处于Di上&lt;/li>
&lt;li>如果 {p3,p2,p1} = x ( x != 0), 则依次很想查找{p3,p2,p1} =x的那一列，对应的列号就是出错的数据。例如，如果{p3,p2,p1}计算结果是6,那出错的数据就是d3,通过将d3进行flipping就可以把数据纠错回来。原因是p3=1,p2=1,所以出错的数据一定在同时可以被p2和p3 cover的行内，也就是d3和d4,如果是d4出错，那p1也会出错，所以只可能是d3.
对于hamming distance =3的纠错码，只能进行1bit的纠错，因为如果发生了2bit的错误，因为distance是3，有可能和另外一个码的distance是1从而导致误纠错。
一般的，对于distance是d的纠错码，可纠错的bit数是(d-1)/2，可以检错的bit数是d-1&lt;/li>
&lt;/ul>
&lt;p>parity bits (m)和 data bits (k)以及码长(m)的关系如下
&lt;img src="Pasted%20image%2020240519165452.png" alt="" />&lt;/p>
&lt;h1 id="secded">SECDED
&lt;/h1>&lt;p>为了能够实现检测两比特错误的功能，可以通过额外添加一比特全局parity来实现。
还是以前面的例子为例，p4 = ^ { p1,p2,p3,d1,d2,d3,d4}
解码的时候计算p1,p2,p3,p4&lt;/p>
&lt;ul>
&lt;li>^p4 == 0 : 但是p1,p2,p3有不为0的情况，这种时候就说明发生了两比特翻转的情况&lt;/li>
&lt;li>^p4 == 0 : 并且p1,p2,p3也是0，这说明没有错误发生&lt;/li>
&lt;li>^p4 == 1 : 这种时候说明发生了一比特的翻转,并且是可以纠回来的&lt;/li>
&lt;/ul>
&lt;h1 id="implementation">Implementation
&lt;/h1>&lt;h2 id="sw">SW
&lt;/h2>&lt;p>可以参见
&lt;a href="https://github.com/aa876433/SECDED_hamming_code" target="_blank">https://github.com/aa876433/SECDED_hamming_code&lt;/a>
&lt;/p>
&lt;h2 id="hw">HW
&lt;/h2>&lt;p>可以参见
&lt;a href="https://github.com/churchmice/secdec" target="_blank">https://github.com/churchmice/secdec&lt;/a>
&lt;/p></description></item><item><title>爱在记忆消逝之前(一)</title><link>https://churchmice.github.io/p/%E7%88%B1%E5%9C%A8%E8%AE%B0%E5%BF%86%E6%B6%88%E9%80%9D%E4%B9%8B%E5%89%8D%E4%B8%80/</link><pubDate>Sat, 13 Apr 2024 19:38:28 +0800</pubDate><guid>https://churchmice.github.io/p/%E7%88%B1%E5%9C%A8%E8%AE%B0%E5%BF%86%E6%B6%88%E9%80%9D%E4%B9%8B%E5%89%8D%E4%B8%80/</guid><description>&lt;p>要说我生命中的姑娘，最早我觉得可以追溯到我没上小学那会，我记得那是我还住在场口老家的时候，有次隔壁的邻居摆摊，我就过去一起凑热闹，摆摊的是个很好看的小姐姐。&lt;/p>
&lt;p>上了小学之后，我对于姑娘的喜欢标准其实就一个，那就是学习成绩好，现在想想也真是无语。所以小学时候就对成绩好的欧姑娘特别有好感，当时全班也起哄，我记得我俩一起唱过歌，最后有一个互相献哈达的场景，算是我俩最亲密的接触了。后来慢慢对欧姑娘失去了兴趣，说出来原因似乎也是很搞笑的。那个时候夏天都会午睡，一般是一个孩子睡桌子，一个孩子睡凳子。在某次午睡的时候我睡在凳子上，撇到了同样睡在凳子上的欧姑娘的红色内裤，这让我幼小的心灵受到了强烈的冲击：这么漂亮的姑娘怎么可以穿这么恶俗的红内裤？自那之后对欧姑娘慢慢就没有了感觉，或许也跟欧姑娘后来成绩慢慢变差有关。因为前面说了，我喜欢成绩好的姑娘。&lt;/p>
&lt;p>日子辗转到了小学四年级，隔壁村的孩子并到了我们班里面上学，里面就出现了我第二个喜欢的姑娘，就叫赵姑娘吧。
赵姑娘的特点是比较黑，像个假小子一样，经常会追着男生到处乱窜，毫不意外，我肯定是这些乱窜的男生中的一个。对赵姑娘更多的是暗恋，在小学毕业的那天，我和赵姑娘还有其他人一起留下来打扫卫生，我去倒垃圾，在倒垃圾回来的途中，我突然想到要去表白一下赵姑娘，路上有一些列的心理活动，至于最后为啥没表白，我已经不记得了，也算是小学时期的遗憾吧。&lt;/p>
&lt;p>我和赵姑娘上了同一个初中，但是赵姑娘和我不同班，我们都是各自班级的学习委员。那个时候和赵姑娘的交集是有时候年级会召集学习委员一起开会，所以还能见到赵姑娘。有一天晚自习的时候赵姑娘在下楼梯的时候突然摔倒了，但是傻逼一样的我居然呆呆的看着，也没有去扶一下，现在的我真想扇自己两巴掌。&lt;/p>
&lt;p>那个时候我有个好朋友小王，小王在场口也有亲戚，有一次场口过节的时候小王就说我们各自把秘密写在纸条上面，然后塞在你家的墙缝里面。我记得那个时候我写的就是&amp;rsquo;我喜欢赵xx&amp;rsquo;。可惜，现在场口的老房子早就拆掉了，一切的一切已经不知道究竟是我自己的一场梦还是真的发生过。&lt;/p>
&lt;p>我和赵姑娘再也没有关系更进一步，到了初二下半学期我就转学去了市里面，从此逐渐断了联系。在暑假的时候我也去赵家看过一些老朋友，但是心里还是希望可以偶遇赵姑娘，但是听到的却是赵姑娘如何坐在寝室的床上大谈她初恋的故事。那应该是我最后一次听到赵姑娘的消息，至此之后我和她再也没有了任何联系。&lt;/p>
&lt;p>至于欧姑娘，在我上大学的时候偶有朋友提起欧姑娘在当地的超市里面当收银员，我也试图去寻找，但是始终没有找到。我和欧姑娘也算是从此天各一方，各自安好。&lt;/p>
&lt;p>最后放一张小学同学的照片，小学现在已经彻底被夷为平地了，村子也从之前富阳垫底的贫困村包装成什么网红村，到处洋溢着各种商业气氛，然而我小时候的那些记忆全部都被掩埋了。&lt;/p>
&lt;p>拍摄地点是在梅山下面，拍摄时间的话是一年级或者二年级，所以还是本村的学生，我大概还能认出七七八八。&lt;br>
许东杰 王涛 许洁川 李超晨 许剑波 许晓杰 许凯飞 王超 李刚 张英 许玲 许安&lt;br>
朱恩德 许遒 柴玲华(班主任) 许伟 方杰轩 王银飞&lt;br>
王翔 倪小青 许婷兰 汪燕 朱杨荣 徐晓霓 许锋 许黄明 许杰 陈杰&lt;br>
之后又从其他村里面转过来一批同学&lt;br>
赵家村: 赵鸿 赵存铃 赵恩军 赵书波 赵玉琦 赵建锋&lt;br>
欧家溪: 刘正逻 欧珍芳 汪剑&lt;br>
还有一个一年级转走的插班生 胡勇亮 （永康市古丽镇干塘下村)&lt;/p>
&lt;p>&lt;img src="Pasted%20image%2020240413200758.png" alt="" />&lt;/p></description></item><item><title>Gamble</title><link>https://churchmice.github.io/p/gamble/</link><pubDate>Fri, 22 Mar 2024 09:45:55 +0800</pubDate><guid>https://churchmice.github.io/p/gamble/</guid><description>&lt;h1 id="一些原则">一些原则
&lt;/h1>&lt;ul>
&lt;li>一般来说，如果一加公司的PE只有收益增长率的一半,那这只股票赚钱的可能性就相当大。如果PE是收益增长率的两倍，那这只股票亏钱的可能新就相当大。比如一只股票的PE为20，如果收益增长率有40%,那就可以梭哈。&lt;/li>
&lt;li>美股一般10-12月会有大量的卖出&lt;/li>
&lt;/ul></description></item><item><title>Go_stock</title><link>https://churchmice.github.io/p/go_stock/</link><pubDate>Thu, 21 Mar 2024 09:07:42 +0800</pubDate><guid>https://churchmice.github.io/p/go_stock/</guid><description>&lt;h1 id="银行卡">银行卡
&lt;/h1>&lt;p>持有以下三行&lt;/p>
&lt;h2 id="汇丰">汇丰
&lt;/h2>&lt;p>推荐，一地卓越，全球卓越，同名账户不同地的账户互转没有手续费
唯一的缺点是汇丰的&lt;strong>利率&lt;/strong>不太好，这也是被很多人诟病的,另外坊间流传国外账户动不动关户的情况。
大陆可以用卓越员工计划先开大陆的卓越理财，主账户留在大陆，然后见证开户香港账户，最后是自助开户美国账户&lt;/p>
&lt;h3 id="美国账户">美国账户
&lt;/h3>&lt;p>分为checking account和saving accout, 每一个account包括9位数的ABA路由码（标识银行机构）和9位数的账号（标识银行中的不同用户）组成
checking acccout可以理解为活期账户，可以消费转账，和debit card绑定
saving accout可以理解为定期账户，只能和checking account之间进行资金的互转&lt;/p>
&lt;h2 id="root的解决方法">Root的解决方法
&lt;/h2>&lt;p>银行app会检测手机是否root,可以通过安装
&lt;a href="https://github.com/HuskyDG/magisk-files/releases" target="_blank">magisk kitsune&lt;/a>
来解决，需要注意的是magisk本身也需要隐藏，防止被app检测出来。&lt;/p>
&lt;p>&lt;img src="image/Pasted%20image%2020240307075444.png" alt="" />&lt;/p>
&lt;h2 id="n26wiseifast">N26/WISE/iFast
&lt;/h2>&lt;p>具体参考
&lt;a href="https://churchmice.github.io/p/virtual-card/" target="_blank">国外虚拟卡指南&lt;/a>
&lt;/p>
&lt;h2 id="招行香港">招行香港
&lt;/h2>&lt;p>扔1w港币买恒生指数，就算这样每个月还是需要缴纳10港币的管理费&lt;/p>
&lt;h3 id="root之后闪退">root之后闪退
&lt;/h3>&lt;p>需要去magiskhide里面把对应的app点开，然后把所有的√都打上即可，如下所示
&lt;img src="image/Pasted%20image%2020240307075530.png" alt="" />&lt;/p>
&lt;h1 id="券商">券商
&lt;/h1>&lt;h2 id="大陆">大陆
&lt;/h2>&lt;p>东方赢家，好处是万一免五，也就是佣金是万分之一，免除最小五块交易费的要求。&lt;/p>
&lt;h2 id="香港">香港
&lt;/h2>&lt;p>不外乎是长桥，富途和老虎，这三个最为人所知，都开户撸了羊毛。
长桥的好处是佣金偏移，里面买基金有一些管理费的让利，但是也越来越少了，比如0.6%的管理费，一开始我看到是可以让利0.45%个，但是最近打开也只让利了0.2%个，不免让人有种做大了要收割的想法。另外长桥的入金和出金也没有富途来的方便。如果长桥连这个管理费的优势都没有了的话就没有必要用了。&lt;/p>
&lt;h3 id="入金">入金
&lt;/h3>&lt;table>
&lt;thead>
&lt;tr>
&lt;th>券商&lt;/th>
&lt;th>币种&lt;/th>
&lt;th>方式&lt;/th>
&lt;th>时效&lt;/th>
&lt;th>手续费&lt;/th>
&lt;th>说明&lt;/th>
&lt;/tr>
&lt;/thead>
&lt;tbody>
&lt;tr>
&lt;td>长桥&lt;/td>
&lt;td>港币&lt;/td>
&lt;td>eDDA&lt;/td>
&lt;td>秒到&lt;/td>
&lt;td>0&lt;/td>
&lt;td>&lt;/td>
&lt;/tr>
&lt;tr>
&lt;td>富途&lt;/td>
&lt;td>港币&lt;/td>
&lt;td>eDDA&lt;/td>
&lt;td>秒到&lt;/td>
&lt;td>0&lt;/td>
&lt;td>&lt;/td>
&lt;/tr>
&lt;tr>
&lt;td>长桥&lt;/td>
&lt;td>美金&lt;/td>
&lt;td>E-banking&lt;/td>
&lt;td>D0&lt;/td>
&lt;td>50HKD&lt;/td>
&lt;td>汇到的是工银亚洲，民生银证转账5分钟&lt;/td>
&lt;/tr>
&lt;tr>
&lt;td>富途&lt;/td>
&lt;td>美金&lt;/td>
&lt;td>E-bankding&lt;/td>
&lt;td>D0&lt;/td>
&lt;td>0&lt;/td>
&lt;td>直接汇到富途汇丰账号&lt;/td>
&lt;/tr>
&lt;/tbody>
&lt;/table>
&lt;h3 id="出金">出金
&lt;/h3>&lt;table>
&lt;thead>
&lt;tr>
&lt;th>券商&lt;/th>
&lt;th>币种&lt;/th>
&lt;th>方式&lt;/th>
&lt;th>时效&lt;/th>
&lt;th>手续费&lt;/th>
&lt;th>说明&lt;/th>
&lt;/tr>
&lt;/thead>
&lt;tbody>
&lt;tr>
&lt;td>长桥&lt;/td>
&lt;td>港币&lt;/td>
&lt;td>E-banking&lt;/td>
&lt;td>D1&lt;/td>
&lt;td>0&lt;/td>
&lt;td>&lt;/td>
&lt;/tr>
&lt;tr>
&lt;td>富途&lt;/td>
&lt;td>港币&lt;/td>
&lt;td>E-banking&lt;/td>
&lt;td>D1&lt;/td>
&lt;td>0&lt;/td>
&lt;td>&lt;/td>
&lt;/tr>
&lt;tr>
&lt;td>长桥&lt;/td>
&lt;td>美金&lt;/td>
&lt;td>E-banking&lt;/td>
&lt;td>D1&lt;/td>
&lt;td>0&lt;/td>
&lt;td>&lt;/td>
&lt;/tr>
&lt;tr>
&lt;td>富途&lt;/td>
&lt;td>美金&lt;/td>
&lt;td>E-banking&lt;/td>
&lt;td>D1&lt;/td>
&lt;td>0&lt;/td>
&lt;td>&lt;/td>
&lt;/tr>
&lt;/tbody>
&lt;/table>
&lt;h2 id="美国">美国
&lt;/h2>&lt;h3 id="入金-1">入金
&lt;/h3>&lt;ul>
&lt;li>汇丰环球转到HSBC US,然后用ACH入金&lt;/li>
&lt;li>参考
&lt;a href="https://www.flyert.com/forum.php?mod=viewthread&amp;amp;tid=4574717&amp;amp;extra=page%3D1&amp;amp;page=1" target="_blank">盈透入金&lt;/a>
，香港汇丰转本地银行美元，不走电汇，走的是chats，不收费。&lt;/li>
&lt;/ul>
&lt;h3 id="出金-1">出金
&lt;/h3>&lt;p>出金的话，每个月的第一笔免费，其余的需要支持25美金手续费&lt;/p>
&lt;h1 id="资金出海">资金出海
&lt;/h1>&lt;p>现在的方式是通过兴业银行购汇，其实汇率最优的是南洋商业银行，但是去办卡的时候说汇款境外要提供酒店机票等证明材料，听起来比较麻烦
兴业银行海外汇款的一些注意事项&lt;/p>
&lt;ul>
&lt;li>第一次汇款选择用港币，上传港澳通信证，联系人的香港地址找个香港酒店就行，我直接写了汇丰想干的地址也过了&lt;/li>
&lt;li>后续汇款可以直接汇美金出去，但是需要在早上9点前操作，这样才能在下午三点前完成审核并汇出，下午三点前走的中转行是香港汇丰，不会收取额外的手续费。如果是三点之后的话会走海外的花旗中转，有额外25美金的手续费。&lt;/li>
&lt;li>汇款的时候备注填 &lt;strong>interbank by HSBCHKHH&lt;/strong> ,收款人开户银行账号或清算代码填 &lt;strong>HSBCHKHH&lt;/strong>, 收款行之代理行swift代码填 &lt;strong>HSBCHKHH&lt;/strong>。这个swift代码会被兴业补全成 &lt;strong>HSBCHKHHXXX&lt;/strong>.&lt;/li>
&lt;li>汇款和非柜金额无关，我的账号非柜5w,但是我单笔1w美刀的汇款也成功了&lt;/li>
&lt;/ul>
&lt;p>以3/22为例，1w人民币为例，美元汇率7.20635,港币汇率0.921425,IBKR的港币汇率是7.82085
如果直接换成美金出境，能换成1387.665美元
如果换成港币出境，再在IBKR里面换成美金，能换成1387.670 -2 = 1385.670 美元&lt;/p></description></item><item><title>CS Wangdao</title><link>https://churchmice.github.io/p/cs-wangdao/</link><pubDate>Sun, 17 Mar 2024 22:04:36 +0800</pubDate><guid>https://churchmice.github.io/p/cs-wangdao/</guid><description>&lt;p>虽然我不是CS的，但是王道系列起源于88，也算有点渊源，贴在这里就当存档吧。&lt;/p>
&lt;h1 id="考研回忆">考研回忆
&lt;/h1>&lt;p>以前我天天都想自杀&lt;br>
有一天我在天桥默默走著犹豫要不要直接跳下去的时候&lt;/p>
&lt;p>突然眼前一个广告让我眼睛一亮&lt;br>
进入浙大CS　您将拥有全世界&lt;/p>
&lt;p>我想姑且试一试　百无赖聊活著不如找件事做&lt;br>
于是我花了一年每天没天没日的念书&lt;br>
直到考研那天　我才发现我袜子已经穿一年没换了&lt;br>
全身都是霉味&lt;/p>
&lt;p>终于如愿进入浙大CS&lt;br>
考进之后　每天校门口都有一堆美女等著我&lt;br>
说要找我出去玩　我说我要去教九自修&lt;/p>
&lt;p>结果美女门就带在教室陪我　我只有中间休息的时间才抱抱她们亲亲她们&lt;br>
现在我人生充满希望　老师跟我说　我在cell nature SCI的期刊得到全世界的赞赏&lt;br>
已经被提名诺贝尔奖&lt;/p>
&lt;p>如今　我常常回去走那个天桥　那个在我人生最低潮时看见的广告&lt;br>
我把他买下来了　放著另外的标题&lt;br>
荣耀　尊绝　不凡　浙大 CS&lt;/p>
&lt;p>很多乞丐原本想要在天桥上乞讨的现在也纷纷狂肯大学联考&lt;br>
他们的眼神全都变了&lt;br>
每个都是那么锐利　全身充满冲劲&lt;br>
她们现在每天早上六点聚在天桥前　“CS才是王道！！！”&lt;br>
声音那么的宏亮　阳光洒下来　一切的绝望终将过去&lt;/p>
&lt;h1 id="面店老板">面店老板
&lt;/h1>&lt;p>记的六年前  我还在念研究生的时候&lt;br>
有一次出门忘记带皮包~&amp;quot;~&lt;/p>
&lt;p>我就跟老板说  老板! 打个商量好不好  我真的是忘了带皮包出来&lt;br>
不是故意不付帐的@@&amp;quot;&lt;/p>
&lt;p>老板说  操  你想吃霸王餐吗?&lt;/p>
&lt;p>&lt;del>&amp;quot;&lt;/del>  我说不是这样子的  我真的是一时忘记带出来..&lt;/p>
&lt;p>就这样跟老板僵持很久&amp;hellip;&lt;br>
眼看老板就要发火揍我了&lt;br>
我刚好摸到口袋里有带学生证出来&lt;/p>
&lt;p>不然这样子好吗?&lt;br>
老板  我压我的学生证 在这边  我回去拿钱回来付? 可以吗?&lt;br>
老板抢过我的学生证  说  好! 就信你一次&lt;/p>
&lt;p>我就匆匆忙忙跨上我的老坦克直奔31舍&lt;br>
等我拿了钱回到店门口&lt;br>
老板 变了一个人似的  微笑热情的跟我打招呼&lt;/p>
&lt;p>我怀疑其中有诈  二话不说  把钱赶快想拿给他&lt;br>
顺便拿我的学生证&lt;br>
谁知  老板  的手臂很有力  不管我愿不愿意  硬拉著我到店里?&lt;/p>
&lt;p>这时候  店里已经没有客人了  我正感到奇怪&lt;/p>
&lt;p>老板往后面喊   小如 小如  你出来&lt;br>
这时候  老板的女儿  正点到爆炸  唇红齿白 又穿低胸装&lt;br>
只穿条牛仔短裤就跑出来了&lt;/p>
&lt;p>老板  哈哈一笑对我说&lt;br>
同学请见谅阿  我不知道您是浙大CS的&lt;br>
来来来   这是我的女儿小如  不知道你喜不喜欢?&lt;br>
没关系啦  如果你觉得太快的话  你们可以  从朋友先当起&lt;br>
只看到美女小如  害羞的低头在一旁腆腆的笑著&lt;/p>
&lt;h1 id="英雄救美">英雄救美
&lt;/h1>&lt;p>有一次我有事情要去延安路办点事&lt;br>
想说很久没送女友礼物了就跑到银泰一楼的饰品专柜&lt;/p>
&lt;p>这时候门口  驻足很多人&lt;br>
我好奇心驱使下  我也跑过去凑热闹&lt;br>
有一个彪形大汉  正在调戏一个美女店员&lt;/p>
&lt;p>操你妈的!  我生平最恨这种好色之徒&lt;/p>
&lt;p>我脱口而出   操！  放开那个女孩&lt;br>
这时候惨了  那个大汉  跟他的小弟大概7.8人恶狠狠&lt;br>
得朝我看过来..&lt;/p>
&lt;p>他骂到  卖比儿子  你要作啥西？&lt;/p>
&lt;p>我再说一次  放开那个女孩!&lt;/p>
&lt;p>这时候我才发现  我旁边一堆  外校的学生离我远远的&lt;br>
躲在一旁窃笑  等著看我挨凑的好戏上演&lt;br>
这时候  他的小弟  就要冲动的冲过来教训我了&lt;/p>
&lt;p>这时候调戏的大汉  怪叫一声&lt;/p>
&lt;p>操！   等一下 大家别冲动&lt;/p>
&lt;p>果然不愧是  流氓的头头&lt;br>
毕竟  看过的大风大浪比较多&lt;br>
这时候  他缓缓的朝我走过来&lt;/p>
&lt;p>你!  到底啥地方的?&lt;/p>
&lt;p>我把嘴巴里的口香糖  吐掉   二话不说  朝他肚子狠踹一脚&lt;/p>
&lt;p>操  好痛&lt;br>
他跌坐在  他小弟身上&lt;br>
卖比儿子   寻死阿！&lt;/p>
&lt;p>眼看我就要死在  乱棒之下&lt;/p>
&lt;p>等!    谁要赶冲过去  我就要谁死!&lt;/p>
&lt;p>大汉  收起痛苦的脸&lt;br>
又问了我一句&lt;br>
力!  什么来路？&lt;/p>
&lt;p>这时候  我用力撕开我的衣服  露出我的白色卫生衣&lt;br>
面对他们转过来  卫生衣写著  七个英文字母&lt;br>
ZJUCSER&lt;/p>
&lt;p>妈的&lt;br>
快闪阿&lt;br>
那堆小弟  搀扶他们大哥  落荒而逃&lt;br>
这时候那个美女跑过来想跟我道谢&lt;/p>
&lt;p>我呼了她一巴掌   骂道&lt;br>
以后自己要小心一点!&lt;/p>
&lt;p>旁边观看的美女们  直喊  好MEN!&lt;/p>
&lt;p>我就走了&lt;br>
旁边的外校学生   尿流了一地&amp;hellip;.&lt;/p>
&lt;h1 id="埃及旅行">埃及旅行
&lt;/h1>&lt;p>不然遇到不同文化是很容易闹出笑话!&lt;br>
前几年我去埃及自助旅行时&lt;br>
跟金字塔附近的摊贩买个小纪念品&lt;br>
但是埃及毕竟不是英语母语国家,而我的憋脚英文就派不上用场了.&lt;/p>
&lt;p>我跟他要买一个小法老王钥匙圈,付钱的时候这位埃及人先生却一直叽哩瓜啦不收钱.&lt;br>
他说的听起来像是&amp;quot;ten dollars&amp;quot;&lt;br>
我也跟他复颂&amp;quot;ten dollars??&amp;quot;&lt;br>
他又说&amp;quot;deal doll&amp;quot;&lt;br>
我说&amp;quot;deal?doll?&amp;quot;(十元成交吗doll是指这个钥匙圈吗?)&lt;br>
我拿出钱他却一直摇手推来推去的把钥匙圈拿给我说&amp;quot;thi&amp;rsquo;s i&amp;rsquo;s one doll&amp;quot;&lt;/p>
&lt;p>我一头雾水,不是说十元吗?怎么又说是一美圆了?&lt;br>
我怕发生误会然也不敢拿!&lt;br>
两个人就在那里僵持,那个埃及人就一直不断在那里&lt;br>
&amp;ldquo;ten dollar, deal doll,thi&amp;rsquo;s  i&amp;rsquo;s one doll!&amp;rdquo;&lt;br>
后来还好有一为当地的华裔阿伯解围,真是出外靠朋友啊!&lt;br>
阿伯说&amp;quot;哈哈,年轻人,拿去吧!埃及人送你的!&amp;quot;&lt;br>
我说&amp;quot;怎么可以!真的吗!这样没问题吗?!!&amp;quot;&lt;/p>
&lt;p>阿伯指著我的T恤说&amp;quot;埃及人说的是天道 地道 浙大CS才是王道!你放心收下吧!&amp;quot;&lt;br>
我终于了解了!原来他想说中文,我却跟他鸡同鸭讲!这趟埃及之旅收获很大!&lt;br>
后来总理还有请我到官邸作客!真是太难忘了!&lt;/p>
&lt;h1 id="我去我岳父家经历">我去我岳父家经历
&lt;/h1>&lt;p>我一直深爱著一个女孩&lt;br>
虽然女孩也深爱著我&lt;br>
不过由于他老爸  对于我个人有点意见&lt;br>
一直帮他安排对象&lt;br>
这点让我非常困扰&lt;br>
有天  他爸在他家设下晚宴托我女友跟我说今天务必赏光&lt;/p>
&lt;p>我心理知道  其中必定有诈&lt;br>
甚至招来难堪羞辱..&lt;br>
但是为了深爱的女友  我义无反顾的去了&lt;/p>
&lt;p>到了他家&lt;br>
开们的是一个高高壮壮的帅哥&lt;br>
说他帅真的一点都不夸张&lt;br>
他只穿一件黑色背心  露出扎实的肌肉&lt;br>
干  还我微笑的时候故意抖动了两下奶子&lt;/p>
&lt;p>我入座后  未来的岳父  跟我介绍那个男的&lt;br>
他跟我说  呵呵  人家他是小敏的青梅竹马&lt;br>
刚从美国加州柏克力分校拿到硕士学位回国&lt;br>
可说是  青年才俊阿&lt;/p>
&lt;p>我一脸沉默   他老爸得理不饶人开头就劈问我&lt;br>
小子  你多高?&lt;br>
我:  我只有170&amp;hellip;&lt;br>
哈哈  靠  我看你是少了号称两个字吧&lt;br>
人家mike  身高一米九  体格又棒&lt;br>
我女儿若嫁给他不知道有多么幸福喔&lt;/p>
&lt;p>这时候我看了看小敏的眼神&lt;br>
他眼神中似乎替我们的未来感到忧心&lt;br>
我知到岳父是故意找我来给我难堪的&amp;hellip;&lt;/p>
&lt;p>我越发沉默&lt;/p>
&lt;p>你动产不动产加起来多多少?&lt;br>
我: 我有一间两楼的平房  存款两万多吧&lt;br>
哈哈   一间破房子 一点点钞票&lt;br>
人家mike在欧洲有一座自己的城堡  你这个穷小子&lt;/p>
&lt;p>可悲..&lt;/p>
&lt;p>妈的  我再也受不了这种羞辱正想站起来起身离开&lt;br>
小敏拉了拉我的衣角  ..  眼中含泪求我不要走&lt;br>
不要轻易放弃他..&lt;/p>
&lt;p>这时候  岳父问了最后一个问题就要赶我走了的时候&lt;/p>
&lt;p>你念哪里毕业的?&lt;br>
我万念俱灰  人家是加州柏克力  我是zju小bb  罢了罢了&amp;hellip;&lt;br>
随便回了一句   我浙大CS本科毕业的&amp;hellip;&lt;br>
操!  突然还很大一声脏话&lt;/p>
&lt;p>岳父把桌子掀掉  冲过起来拥抱住我&lt;br>
还叫岳母赶快去买结婚证书让我签&lt;br>
嘴巴直说  我的好学弟阿好学弟&lt;br>
我推开  岳父   说了一句&lt;/p>
&lt;p>“CS才是王道！！！！！！！”&lt;/p>
&lt;p>岳父感动到哭了&lt;/p>
&lt;p>我跟小敏现在过的很幸福  三个小孩也很可爱  ^__^&lt;/p></description></item><item><title>Life Goal</title><link>https://churchmice.github.io/p/life-goal/</link><pubDate>Sun, 17 Mar 2024 20:14:21 +0800</pubDate><guid>https://churchmice.github.io/p/life-goal/</guid><description>&lt;h1 id="wish-list">wish list
&lt;/h1>&lt;ul>
&lt;li>&lt;input disabled="" type="checkbox"> 美国自驾游，从西海岸&lt;strong>一路高清无码裸奔&lt;/strong>到东海岸&lt;/li>
&lt;li>&lt;input disabled="" type="checkbox"> 西北自驾游，把各种线都走一遍&lt;/li>
&lt;li>&lt;input disabled="" type="checkbox"> 定居旧金山&lt;/li>
&lt;li>&lt;input disabled="" type="checkbox"> 有一个可爱的女儿&lt;/li>
&lt;li>&lt;input disabled="" type="checkbox"> 50岁的时候可以实现&lt;strong>自由&lt;/strong>，不一定要很多钱，但是可以活的更加随性一些&lt;/li>
&lt;li>&lt;input disabled="" type="checkbox"> 未完待续&lt;/li>
&lt;/ul>
&lt;p>&lt;img src="image/Pasted%20image%2020240317214846.png" alt="" />&lt;/p>
&lt;p>&lt;img src="Pasted%20image%2020240317215256.png" alt="" />&lt;/p></description></item><item><title>Virtual Card</title><link>https://churchmice.github.io/p/virtual-card/</link><pubDate>Sun, 17 Mar 2024 19:47:06 +0800</pubDate><guid>https://churchmice.github.io/p/virtual-card/</guid><description>&lt;p>这几天把N26/wise/ifast都开户了，也都激活了，不免有点空虚，闲下来了把整个开户过程记录下吧。这三个都是虚拟账户，都有IBAN( International Bank Account Number),直接填写IBAN就可以转账了。&lt;/p>
&lt;h1 id="n26">N26
&lt;/h1>&lt;p>N26是德国的银行，可以在线开户，下载app之后地址选择德国即可。之后要进行一个视频面试，需要有一点点英文的基础，基本问题如下&lt;/p>
&lt;ul>
&lt;li>是否本人开户&lt;/li>
&lt;li>是否有人强迫你开户
接着回让你们来回挥动护照，让你把护照合上然后问你的生日，证明你是这护照的主人。
视频完了之后就一直&amp;rsquo;verify identity&amp;rsquo;，我算比较久的，大概过了一周之后才通过。
通过之后需要入金激活，每个人的要求不一样，我的是需要入金10 EUR,直接拿香港汇丰转个10 EUR就行了。
入金激活之后需要绑定设备，这样登录不用每次收短信，只有绑定设备之后才能查看卡号。按照步骤进行即可，但是我在最后的视频验证的时候总是拍出来的图像模糊，反反复复10来次，换不同的采光条件都是一样的结果。最后发现是root惹得祸，在magisk hide里面务必把这个app的所有intent都加到hide list里面，这样处理之后视频验证就过了。
这个卡如果要实体卡的话需要有国外收货地址，遂放弃。&lt;/li>
&lt;/ul>
&lt;h1 id="wise">WISE
&lt;/h1>&lt;p>wise开户的话全程中国资料，地址啥填的都是中国，开户还是蛮快的。
入金的话用N26就可以，选择debit card,然后去N26里面给的debit 卡号和ccv码填进去就可以了。
如果要实体卡的话据说把地址改成马来西亚就可以了，然后收件地址填国内的，会从新加坡平信寄送到国内，但是不少人反应过了几个月都没收到，而且改地址有被要求地址验证的风险，遂放弃。
这卡用了一次就收到了邮件调查，问我是不是PEP ( politically exposed position )，估计是跟某官员重名了，邮件如实回复就好，回复完之后账号一切正常。&lt;/p>
&lt;h1 id="ifast">iFAST
&lt;/h1>&lt;p>这个是英国公司，用护照注册即可，最后会让你录一段视频，说几句话，审核也挺快的。
可以用WISE入金。&lt;/p></description></item><item><title>FPGA Bot</title><link>https://churchmice.github.io/p/fpga-bot/</link><pubDate>Sun, 17 Mar 2024 14:00:22 +0800</pubDate><guid>https://churchmice.github.io/p/fpga-bot/</guid><description>&lt;h2 id="起因">起因
&lt;/h2>&lt;p>公司的服务器如果需要外发需要走外发申请(至安盾),需要有人审批之后才可以将文件进行放行。
FPGA编译是在服务器上进行的,而且经常需要出一些调试版本，如果编译一次就走一遍外发申请的flow，那将是相当废时间的。所以是想用一种自动的方法可以将FPGA编译完成的内容直接让用户可以下载。&lt;/p>
&lt;h1 id="原理">原理
&lt;/h1>&lt;p>这个问题其实分几步走，原理其实和trustzone都有点类似，就是提供一种类似secure monitor的机制，接受用户提交的编译请求，编译完了就自动把文件拷贝到ftp的下载路径下，这样用户就可以直接通过ftp下载编译好的文件了。&lt;/p>
&lt;h2 id="ftp">ftp
&lt;/h2>&lt;p>用的是vsftp,只允许匿名用户下载，不允许上传。请注意千万不要把其他用户的ftp权限打开，尤其是不能打开chroot功能，否则用户就可以直接下载home目录里面的内容了。ftp的下载路径对应于服务器上的/var/ftp目录，在这个下面新建一个bitfile的文件夹，只允许bot用户有写权限。&lt;/p>
&lt;h2 id="fpga-auto-build">fpga auto build
&lt;/h2>&lt;p>一开始想用setuid来做的，虽然可以通过wrapper的方式让perl脚本以setuid的形式运行(EID != UID),但是在perl脚本里面如果还要调用其他脚本（是脚本，不是binary)那么这个setuid就会失效，除非也用类似binary wrapper的方式一层层套用下去。但是问题在于很多EDA工具和用户的接口其实也是个脚本文件，这样套壳的工作量就很大。
接着想到了代理的方式，就是用户提交过来的命令通过http的形式发送给server,server运行在root模式下，可以通过一些手段确定这个命令的确是这个用户提交的，然后su到bot执行命令。这种方式的问题是bot在编译过程中产生的一些终端输出无法实时的给到用户，而且如果要给的话其实要对cmd_server做进一步的加工。
最后想到的是直接用sudo来做，这种方式的话需要在/etc/sudoers里面严格限定用户可以让bot用户sudo的命令。当然为了安全起见，限定了只有在特定组别的用户才能执行sudo命令。&lt;/p>
&lt;h1 id="接口">接口
&lt;/h1>&lt;p>最终提供给用户的是一个bot.cfg的配置文件，用户可以在这个配置文件里面进行配置，比如filelist的路径，xdc的路径等。配置完之后用户执行fpga_bot -c bot.cfg之后就会开始自动编译。&lt;/p>
&lt;h2 id="安全">安全
&lt;/h2>&lt;p>需要注意如下一些安全事项&lt;/p>
&lt;ul>
&lt;li>sudo bot只允许特定用户组调用特定命令,可以在/etc/sudoers文件里面加以限制&lt;/li>
&lt;li>要防止FPGA编译的tcl文件里面调用exec函数，在编译之前会用脚本去扫描用户提供的tcl文件里面调用的命令，现在采用的是白名单机制，只允许read_xdc和read_ip这两条。&lt;/li>
&lt;li>vsftp配置只允许anonymous登录，只允许下载，不允许上传&lt;/li>
&lt;/ul></description></item><item><title>Building EDA server from scratch</title><link>https://churchmice.github.io/p/eda-server/</link><pubDate>Sun, 03 Mar 2024 13:06:43 +0800</pubDate><guid>https://churchmice.github.io/p/eda-server/</guid><description>&lt;h1 id="前言">前言
&lt;/h1>&lt;p>在&lt;strong>老和山&lt;/strong>职业技术学院读书的时候就开始从事实验室的兼职网管，负责实验室的网络建设以及服务器的维护，也是时候写个文章把攒了这么多年的知识科普一下。&lt;/p>
&lt;h2 id="硬件">硬件
&lt;/h2>&lt;ul>
&lt;li>&lt;strong>portal&lt;/strong>: 登录服务器，也是终端用户唯一可以访问的机器&lt;/li>
&lt;li>&lt;strong>core&lt;/strong>: 核心服务器，上面部署了ipa,jenkins,gitlab,jira,sungrid等服务&lt;/li>
&lt;li>&lt;strong>grid00&lt;/strong>: 运算服务器1，用作sungrid的computing node&lt;/li>
&lt;li>&lt;strong>grid01&lt;/strong>: 运算服务器2，用作sungrid的computing node&lt;/li>
&lt;li>&lt;strong>netapp&lt;/strong>: 存储服务器，做芯片的一般就用netapp&lt;/li>
&lt;/ul>
&lt;h2 id="网络配置">网络配置
&lt;/h2>&lt;p>参考的网络拓扑如下&lt;/p>
&lt;ul>
&lt;li>一个内网段 &lt;strong>10.0.2.0/24&lt;/strong> (用于服务器之间的通信)&lt;/li>
&lt;li>一个外网IP &lt;strong>192.168.5.100&lt;/strong> 用于终端客户的访问&lt;/li>
&lt;li>自定义域名: ic.X.com&lt;/li>
&lt;/ul>
&lt;h2 id="系统安装">系统安装
&lt;/h2>&lt;p>系统推荐用centos 7.9, 当然也可以用最新的centos 8 stream。在某些最新的server上面，硬件已经不支持centos 7了，所以只能装centos 8. 8和7的系统稍微在配置上稍微有一些差别。
安装的时候把一些开发者工具都给装上可以避免后续很多问题。&lt;/p>
&lt;h3 id="portal">portal
&lt;/h3>&lt;p>对外的网卡 ext: ip 配置成 192.168.5.100&lt;br>
对内的网卡 int: ip 配置成 10.0.2.1&lt;br>
配置网卡的时候一些注意事项&lt;/p>
&lt;ul>
&lt;li>NetworkManager的影响: 如果是直接修改 /etc/sysconfig/network-scripts的方式进行配置的话，记得里面加一行 &lt;strong>NM_CONTROLLED=no&lt;/strong> ,或者干脆就把NetworkManger卸载掉得了&lt;/li>
&lt;li>网卡的名字: 默认的名字总是奇奇怪怪，早起的叫ethX,后来变成emX,如果是光口，名字可能叫做p1p2这种，这种名字可以在ifcfg-&lt;em>xx&lt;/em> 里面进行修改
可以使用以下命令对网卡名字做动态修改&lt;/li>
&lt;/ul>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-fallback" data-lang="fallback">&lt;span class="line">&lt;span class="cl">ip link set old_device_name name new_device_name
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>如果是要静态修改的话需要对ifcfg-xx做以下修改&lt;/p>
&lt;ul>
&lt;li>将ifcfg_old_name重命名为ifcfg_new_name&lt;/li>
&lt;li>将文件里面的DEVICE和NAME修改为new_name&lt;/li>
&lt;li>HWADDR需要修改成网卡的真实地址&lt;/li>
&lt;/ul>
&lt;h3 id="core">core
&lt;/h3>&lt;p>网卡 int: ip 配置成10.0.2.100
额外注意事项&lt;/p>
&lt;ul>
&lt;li>该机器最后会当做flexlm的license server,有些license daemon是挑网卡名字的，比如TSMC的一定要求网卡的名字是&lt;strong>eth&lt;/strong> 打头，所以请至少保留一块网卡地址用这个名字&lt;/li>
&lt;li>如果有改MAC地址需求的，需要再ifcfg-&lt;em>xx&lt;/em> 里面需要用&lt;strong>HWADDR&lt;/strong>指定网卡之前的MAC地址，让后用&lt;strong>MACADDR&lt;/strong>指明需要更改的MAC地址&lt;/li>
&lt;/ul>
&lt;h3 id="grid00">grid00
&lt;/h3>&lt;p>网卡 int: ip 配置成 10.0.2.10&lt;/p>
&lt;h3 id="grid01">grid01
&lt;/h3>&lt;p>网卡 int: ip 配置成 10.0.2.12&lt;/p>
&lt;h3 id="netapp">netapp
&lt;/h3>&lt;p>取决于买的型号类型，一般需要配置业务口和管理口，后者仅用于管理功能，带宽需求不大。业务口的话推荐做链路聚合。&lt;/p>
&lt;h2 id="软件安装及配置">软件安装及配置
&lt;/h2>&lt;h3 id="ssh-免密登录">ssh 免密登录
&lt;/h3>&lt;p>首先产生密钥对&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">ssh-keygen -t ed25519
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>不用RSA的原因是RSA的密钥长，计算工作量大，而且安全性也不高。题外话，RSA512现在已经可以用普通计算机进行暴力破解了。
然后将公钥复制黏贴进对方机器的 &lt;strong>.ssh/authorized_keys&lt;/strong> 即可，当然你也可以用以下命令进行自动拷贝&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">ssh-copy-id -i eda25519.pub core
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h3 id="ntp">NTP
&lt;/h3>&lt;p>使用chrony
portal作为NTP server,提供定时服务给到10.0.2.0/24网段&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;span class="lnt">11
&lt;/span>&lt;span class="lnt">12
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">root@portal:~ &lt;span class="c1">#-&amp;gt; cat /etc/chrony.conf |grep -v &amp;#39;^#&amp;#39;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">erver 0.centos.pool.ntp.org iburst
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">server 1.centos.pool.ntp.org iburst
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">server 2.centos.pool.ntp.org iburst
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">server 3.centos.pool.ntp.org iburst
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">driftfile /var/lib/chrony/drift
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">makestep 1.0 &lt;span class="m">3&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">rtcsync
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">allow 10.0.2.0/24
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">local&lt;/span> stratum &lt;span class="m">10&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">logdir /var/log/chrony
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">log measurements statistics tracking
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>其他服务器需要将upstream设置为portal&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;span class="lnt">2
&lt;/span>&lt;span class="lnt">3
&lt;/span>&lt;span class="lnt">4
&lt;/span>&lt;span class="lnt">5
&lt;/span>&lt;span class="lnt">6
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">root@grid00:~ &lt;span class="c1">#-&amp;gt;cat /etc/chrony.conf|grep -v &amp;#39;^#&amp;#39;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">server 10.0.2.1 iburst
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">driftfile /var/lib/chrony/drift
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">makestep 1.0 &lt;span class="m">3&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">rtcsync
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">logdir /var/log/chrony
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h3 id="ipa">IPA
&lt;/h3>&lt;p>这个是一个认证服务器，大家可能听说过nis,nisplus,yellowpage,ldap其实本质都是一个东西，只不过扩展性不一样。IPA的话其实底层走的还是ldap那一套,只不过集成了管理界面，对用户更加友好。&lt;/p>
&lt;h4 id="server安装">server安装
&lt;/h4>&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">ipa-server-install -N --domain-level &lt;span class="m">0&lt;/span> --allow-zone-overlap --idstart &lt;span class="m">2000&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>注意其中的&lt;code>idstart&lt;/code> ，根据情况自己修改
安装过程中会提示admin password和directory manager的password
安装过程会提示上游DNS,填10.0.2.1&lt;/p>
&lt;h4 id="client安装">client安装
&lt;/h4>&lt;p>以grid00为例&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">ipa-client-install --server&lt;span class="o">=&lt;/span>core.ic.X.com --domain&lt;span class="o">=&lt;/span>grid00.ic.X.com -N --enable-dns-updates --hostname&lt;span class="o">=&lt;/span>grid00.ic.X.com
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h4 id="ssl-证书">SSL 证书
&lt;/h4>&lt;p>在IPA server的安装过程中，会将产生的root CA放在/root/cacert.p12下面，可以用
&lt;a href="https://hohnstaedt.de/xca/" target="_blank">xca&lt;/a>
导入进行管理，以后可以用这个root CA签名新的证书。导入过程中会提示你输入密码，这个密码就是安装过程中输入的admin password。
都已经2024年了，推荐所有的服务都上https&lt;/p>
&lt;p>IPA的管理界面默认会占用80/443/8080/8443端口，请避免和其他服务冲突
windows电脑登录的时候会跳出一个认证框，这是因为windows支持kerbose login, 可以通过在 /etc/httpd/conf.d/ipa.conf 里面添加如下配置禁用&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;span class="lnt">2
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-apacheconf" data-lang="apacheconf">&lt;span class="line">&lt;span class="cl">&lt;span class="nb">GssapiSessionKey&lt;/span> file:/etc/httpd/alias/ipasession.key
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">BrowserMatch&lt;/span> Windows gssapi-no-negotiate
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h4 id="常见操作">常见操作
&lt;/h4>&lt;h5 id="增加一个dns解析">增加一个DNS解析
&lt;/h5>&lt;p>如果你只是想增加一个DNS解析的话，可以使用下面的命令（将gitlab.ic.X.com解析成10.0.2.100）&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">ipa dnsrecord-add ic.X.com. --name gitlab --a-rec 10.0.2.100
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h5 id="缓存刷新">缓存刷新
&lt;/h5>&lt;p>刷新IPA缓存&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">sss_cache -E
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>刷新系统缓存&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">systemctl restart sssd
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h3 id="dns-解析">DNS 解析
&lt;/h3>&lt;p>在portal上面安装dnsmasq并指定上游，例如 114
修改所有机器的 /etc/resolv.conf&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;span class="lnt">2
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">search ic.X.com
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">nameserver 10.0.2.100
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>这里再次吐槽NetworkManager,默认是会去把这个文件给overwrite掉的，需要做一些额外处理。或者就像我一样，不管三七二十一，直接把NetworkManager给干了。
一个典型的查询场景如下所示，需要注意的是如果查询的域名位于ic.X.com，那直接在core就会返回查询结果。&lt;/p>
&lt;pre class="mermaid">sequenceDiagram
participant grid00
participant core
participant portal
participant public_dns
grid00 ->> core: DNS query for www.baidu.com
core ->> portal: forward the query
portal ->> public_dns: forward the query
public_dns ->> portal: query result for www.baidu.com
portal ->> core: query result for www.baidu.com
core ->> grid00: query result for www.baidu.com
&lt;/pre>
&lt;h3 id="netapp-1">netapp
&lt;/h3>&lt;p>将netapp的目录以NFS的方式挂载到各台机器上，建议挂载分区如下&lt;/p>
&lt;ul>
&lt;li>/proj: 项目相关的文件&lt;/li>
&lt;li>/tools: EDA工具&lt;/li>
&lt;li>/tmpdir: 临时目录，比如仿真文件等&lt;/li>
&lt;li>/home: 用户主目录&lt;/li>
&lt;li>/opt/sge: sungrid的共享目录，其实严格意义上来说只有SGE_CELL那个路径才需要共享，但是都共享了也没太大问题。直接用core分享也可以
需要注意的是netapp默认的nfs4版本会进行root_squash,导致root账号被映射成了nobody,解决办法是在挂载的时候选择用nfs3挂载&lt;/li>
&lt;/ul>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-apacheconf" data-lang="apacheconf">&lt;span class="line">&lt;span class="cl">&lt;span class="err">10&lt;/span>.&lt;span class="err">0&lt;/span>.&lt;span class="err">2&lt;/span>.&lt;span class="err">155:/&lt;/span>&lt;span class="nb">home&lt;/span> &lt;span class="sx">/home&lt;/span> nfs defaults,async,nosuid,nodev,hard,intr,nfsvers=3,timeo=60,retrans=5 &lt;span class="m">0&lt;/span> &lt;span class="m">0&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>netapp如果要关系，需要使用以下命令,要防止主node被backup node给take over掉&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">system node halt -node * -skip-lif-migration-before-shutdown &lt;span class="nb">true&lt;/span> -ignore-quorum-warnings &lt;span class="nb">true&lt;/span> -inhibit-takeover &lt;span class="nb">true&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h3 id="gcc">gcc
&lt;/h3>&lt;p>系统如果要安装多个gcc版本，建议下载源码解压之后用如下方式进行编译&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;span class="lnt">2
&lt;/span>&lt;span class="lnt">3
&lt;/span>&lt;span class="lnt">4
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">./contrib/download_prerequisites
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">mkdir build &lt;span class="o">&amp;amp;&amp;amp;&lt;/span> &lt;span class="nb">cd&lt;/span> build
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">../configure --prefix&lt;span class="o">=&lt;/span>/tools/misc/gcc/xx.xx.xx --enable-checking&lt;span class="o">=&lt;/span>release --enable-languages&lt;span class="o">=&lt;/span>c,c++ --enable-threads&lt;span class="o">=&lt;/span>posix --disable-multilib --with-system-zlib
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">make -j64 &lt;span class="o">&amp;amp;&amp;amp;&lt;/span> make install
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>版本之间的切换可以用
&lt;a href="https://modules.readthedocs.io/en/latest/" target="_blank">modules&lt;/a>
进行管理。&lt;/p>
&lt;h3 id="sungrid">sungrid
&lt;/h3>&lt;p>sungrid是一个开源的集群运算软件，在core上执行&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">yum install -y jemalloc gridengine gridengine-execd gridengine-guiinst gridengine-qmaster gridengine-qmon
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>然后通过如下命令启动图形安装界面&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">&lt;span class="nb">cd&lt;/span> /opt/sge &lt;span class="o">&amp;amp;&amp;amp;&lt;/span> ./start_gui_installer
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h3 id="gitlab">gitlab
&lt;/h3>&lt;p>
&lt;a href="https://about.gitlab.com/" target="_blank">gitlab&lt;/a>
是一个可以私有部署的程序员内部交友网站，主要的配置文件是/etc/gitlab/gitlab.rb。
最重要的数据文件推荐放在netapp的存储上面，备份文件建议放在core的本地存储上面，对应的配置如下&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-ruby" data-lang="ruby">&lt;span class="line">&lt;span class="cl"> &lt;span class="n">git_data_dirs&lt;/span>&lt;span class="p">({&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s2">&amp;#34;default&amp;#34;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s2">&amp;#34;path&amp;#34;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s2">&amp;#34;/proj/git&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="p">}&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="p">})&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="n">gitlab_rails&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;manage_backup_path&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="kp">true&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="n">gitlab_rails&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;backup_path&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="s2">&amp;#34;/data/backup/gitlab&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="n">gitlab_rails&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;backup_gitaly_backup_path&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="s2">&amp;#34;/opt/gitlab/embedded/bin/gitaly-backup&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="n">gitlab_rails&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;backup_keep_time&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="mi">2592000&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>对gitlab.rb的内容进行更改之后，需要通过如下命令进行配置刷新&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">gitlab-ctl reconfigure
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h4 id="ssl">ssl
&lt;/h4>&lt;p>要将CA放到 &lt;strong>/etc/gitlab/trusted-certs&lt;/strong> 下面
修改gitlab.rb,关键配置如下&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;span class="lnt">2
&lt;/span>&lt;span class="lnt">3
&lt;/span>&lt;span class="lnt">4
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-ruby" data-lang="ruby">&lt;span class="line">&lt;span class="cl">&lt;span class="n">nginx&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;ssl_certificate&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="s2">&amp;#34;/etc/ssl/ic.X.com/server.crt&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="n">nginx&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;ssl_certificate_key&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="s2">&amp;#34;/etc/ssl/ic.X.com/server.key&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="n">external_url&lt;/span> &lt;span class="s1">&amp;#39;https://core.ic.X.com&amp;#39;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="n">nginx&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;listen_port&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="mi">1024&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>可以通过下面的rewrite rule将
&lt;a href="https://git.ic.X.com" target="_blank">https://git.ic.X.com&lt;/a>
重定向到
&lt;a href="https://core.ic.X.com:1024" target="_blank">https://core.ic.X.com:1024&lt;/a>
&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;span class="lnt">2
&lt;/span>&lt;span class="lnt">3
&lt;/span>&lt;span class="lnt">4
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-apacheconf" data-lang="apacheconf">&lt;span class="line">&lt;span class="cl">&lt;span class="err">root@core:~&lt;/span> &lt;span class="c">#-&amp;gt; cat /etc/httpd/conf.d/gitlab-rewrite.conf&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c"># VERSION 6 - DO NOT REMOVE THIS LINE&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">RewriteEngine&lt;/span> &lt;span class="k">on&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">RewriteRule&lt;/span> ^/gitlab https://core.ic.X.com:1024 [L,R=301]
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h4 id="ldap">ldap
&lt;/h4>&lt;p>修改gitlab.rb.关键配置如下&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;span class="lnt">11
&lt;/span>&lt;span class="lnt">12
&lt;/span>&lt;span class="lnt">13
&lt;/span>&lt;span class="lnt">14
&lt;/span>&lt;span class="lnt">15
&lt;/span>&lt;span class="lnt">16
&lt;/span>&lt;span class="lnt">17
&lt;/span>&lt;span class="lnt">18
&lt;/span>&lt;span class="lnt">19
&lt;/span>&lt;span class="lnt">20
&lt;/span>&lt;span class="lnt">21
&lt;/span>&lt;span class="lnt">22
&lt;/span>&lt;span class="lnt">23
&lt;/span>&lt;span class="lnt">24
&lt;/span>&lt;span class="lnt">25
&lt;/span>&lt;span class="lnt">26
&lt;/span>&lt;span class="lnt">27
&lt;/span>&lt;span class="lnt">28
&lt;/span>&lt;span class="lnt">29
&lt;/span>&lt;span class="lnt">30
&lt;/span>&lt;span class="lnt">31
&lt;/span>&lt;span class="lnt">32
&lt;/span>&lt;span class="lnt">33
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-ruby" data-lang="ruby">&lt;span class="line">&lt;span class="cl"> &lt;span class="n">gitlab_rails&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;ldap_enabled&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="kp">true&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="n">gitlab_rails&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;prevent_ldap_sign_in&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="kp">false&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="n">gitlab_rails&lt;/span>&lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;ldap_servers&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;main&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;label&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;LDAP&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;host&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;core.ic.X.com&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;port&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="mi">636&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;uid&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;uid&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;bind_dn&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;uid=dummy,cn=users,cn=accounts,dc=ic,dc=X,dc=com&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;base&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;dc=ic,dc=X,dc=com&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;password&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;password for dummy&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;encryption&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;simple_tls&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;verify_certificates&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="kp">true&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;smartcard_auth&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="kp">false&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;active_directory&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="kp">false&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;allow_username_or_email_login&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="kp">true&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;lowercase_usernames&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="kp">false&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;block_auto_created_users&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="kp">false&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;user_filter&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;memberOf=cn=staff,cn=groups,cn=accounts,dc=ic,dc=X,dc=com&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;attributes&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;username&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;uid&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;email&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="o">[&lt;/span>&lt;span class="s1">&amp;#39;Email&amp;#39;&lt;/span>&lt;span class="o">]&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;name&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;cn&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;first_name&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;givenName&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;last_name&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;sn&amp;#39;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="p">},&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="c1">## EE only&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;group_base&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;cn=groups,cn=accounts,dc=ic,dc=X,dc=com&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;admin_group&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="s1">&amp;#39;&amp;#39;&lt;/span>&lt;span class="p">,&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="s1">&amp;#39;sync_ssh_keys&amp;#39;&lt;/span> &lt;span class="o">=&amp;gt;&lt;/span> &lt;span class="kp">false&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="p">}&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="p">}&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>配置完之后可以用如下命令进行测试&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">gitlab-rake gitlab:ladap:check
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h4 id="migration">migration
&lt;/h4>&lt;p>可以用如下的方式进行迁移&lt;/p>
&lt;ol>
&lt;li>进入旧文件夹，git remote 解除远端reposity的绑定&lt;/li>
&lt;li>git remote 添加新远端repository&lt;/li>
&lt;li>git push&lt;/li>
&lt;/ol>
&lt;h3 id="jenkins">jenkins
&lt;/h3>&lt;h4 id="ssl-1">ssl
&lt;/h4>&lt;p>jenkins用的是java那一套，所以ssl的支持稍微麻烦一点。
CA: &lt;strong>update-ca-trust&lt;/strong> 本身就已经产生了java需要的CA,具体的路径是 &lt;strong>/etc/pki/ca-trust/extracted/java/cacerts&lt;/strong>
https证书: 用xca生成p12格式的证书(.pfx),然后用如下命令转换,其中changeit是证书导出的时候设置的密码&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-shell" data-lang="shell">&lt;span class="line">&lt;span class="cl">keytool -importkeystore -srcstorepass changeit -deststorepass changeit -srckeystore ssl.pfx -srcstoretype pkcs12 -destkeystore jenkins.jks -deststoretype JKS
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>修改配置文件 &lt;strong>/usr/lib/systemd/system/jenkins.service&lt;/strong>，关键配置如下:&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;span class="lnt">11
&lt;/span>&lt;span class="lnt">12
&lt;/span>&lt;span class="lnt">13
&lt;/span>&lt;span class="lnt">14
&lt;/span>&lt;span class="lnt">15
&lt;/span>&lt;span class="lnt">16
&lt;/span>&lt;span class="lnt">17
&lt;/span>&lt;span class="lnt">18
&lt;/span>&lt;span class="lnt">19
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-apacheconf" data-lang="apacheconf">&lt;span class="line">&lt;span class="cl">&lt;span class="err">root@core:~&lt;/span> &lt;span class="c">#-&amp;gt; cat /usr/lib/systemd/system/jenkins.service|grep -v &amp;#39;^#&amp;#39;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c">#jenkins is picky on java version, must use version 17&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">Environment=&amp;#34;JAVA_HOME=/usr/java/jdk-17&lt;/span>.&lt;span class="err">0&lt;/span>.&lt;span class="err">5&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">Environment=&amp;#34;JENKINS_JAVA_CMD=/usr/java/jdk-17&lt;/span>.&lt;span class="err">0&lt;/span>.&lt;span class="err">5/bin/java&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c">#load the CA so we can use ldaps &lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">Environment=&amp;#34;JAVA_OPTS=-Djava&lt;/span>.&lt;span class="err">awt&lt;/span>.&lt;span class="err">headless=&lt;/span>&lt;span class="nb">true&lt;/span> -Djavax.net.ssl.trustStore=/home/jenkins/config/cacerts -Djavax.net.ssl.trustStorePassword=changeit&lt;span class="s2">&amp;#34;
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">#turn off http and enable https
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">Environment=&amp;#34;&lt;/span>JENKINS_PORT=-1&lt;span class="s2">&amp;#34;
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">Environment=&amp;#34;&lt;/span>JENKINS_HTTPS_LISTEN_ADDRESS=10.0.2.100&lt;span class="s2">&amp;#34;
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">Environment=&amp;#34;&lt;/span>JENKINS_HTTPS_PORT=8888&lt;span class="s2">&amp;#34;
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">#specify the https ceritificate
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">Environment=&amp;#34;&lt;/span>JENKINS_HTTPS_KEYSTORE=/home/jenkins/config/jenkins.jks&lt;span class="s2">&amp;#34;
&lt;/span>&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="s2">Environment=&amp;#34;&lt;/span>JENKINS_HTTPS_KEYSTORE_PASSWORD=changeit&lt;span class="err">&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">[Install]&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">WantedBy=multi-user&lt;/span>.&lt;span class="nb">target&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h4 id="ldap-1">ldap
&lt;/h4>&lt;p>需要安装ldap插件，&lt;strong>/home/jenkins/config.xml&lt;/strong> 里面的关键配置信息如下&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;span class="lnt">11
&lt;/span>&lt;span class="lnt">12
&lt;/span>&lt;span class="lnt">13
&lt;/span>&lt;span class="lnt">14
&lt;/span>&lt;span class="lnt">15
&lt;/span>&lt;span class="lnt">16
&lt;/span>&lt;span class="lnt">17
&lt;/span>&lt;span class="lnt">18
&lt;/span>&lt;span class="lnt">19
&lt;/span>&lt;span class="lnt">20
&lt;/span>&lt;span class="lnt">21
&lt;/span>&lt;span class="lnt">22
&lt;/span>&lt;span class="lnt">23
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-xml" data-lang="xml">&lt;span class="line">&lt;span class="cl">&lt;span class="nt">&amp;lt;securityRealm&lt;/span> &lt;span class="na">class=&lt;/span>&lt;span class="s">&amp;#34;hudson.security.LDAPSecurityRealm&amp;#34;&lt;/span> &lt;span class="na">plugin=&lt;/span>&lt;span class="s">&amp;#34;ldap@682.v7b_544c9d1512&amp;#34;&lt;/span>&lt;span class="nt">&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;disableMailAddressResolver&amp;gt;&lt;/span>false&lt;span class="nt">&amp;lt;/disableMailAddressResolver&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;configurations&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;jenkins.security.plugins.ldap.LDAPConfiguration&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;server&amp;gt;&lt;/span>ldaps://core.ic.X.com&lt;span class="nt">&amp;lt;/server&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;rootDN&amp;gt;&lt;/span>dc=ic,dc=X,dc=com&lt;span class="nt">&amp;lt;/rootDN&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;inhibitInferRootDN&amp;gt;&lt;/span>false&lt;span class="nt">&amp;lt;/inhibitInferRootDN&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;userSearchBase&amp;gt;&lt;/span>cn=users,cn=accounts&lt;span class="nt">&amp;lt;/userSearchBase&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;userSearch&amp;gt;&lt;/span>uid={0}&lt;span class="nt">&amp;lt;/userSearch&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;groupMembershipStrategy&lt;/span> &lt;span class="na">class=&lt;/span>&lt;span class="s">&amp;#34;jenkins.security.plugins.ldap.FromGroupSearchLDAPGroupMembershipStrategy&amp;#34;&lt;/span>&lt;span class="nt">&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;filter&amp;gt;&amp;lt;/filter&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;/groupMembershipStrategy&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;managerDN&amp;gt;&lt;/span>uid=dummy,cn=users,cn=accounts,dc=ic,dc=X,dc=com&lt;span class="nt">&amp;lt;/managerDN&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;managerPasswordSecret&amp;gt;&lt;/span>{dummy_password_hash}&lt;span class="nt">&amp;lt;/managerPasswordSecret&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;displayNameAttributeName&amp;gt;&lt;/span>displayname&lt;span class="nt">&amp;lt;/displayNameAttributeName&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;mailAddressAttributeName&amp;gt;&lt;/span>mail&lt;span class="nt">&amp;lt;/mailAddressAttributeName&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;ignoreIfUnavailable&amp;gt;&lt;/span>false&lt;span class="nt">&amp;lt;/ignoreIfUnavailable&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;/jenkins.security.plugins.ldap.LDAPConfiguration&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;/configurations&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;userIdStrategy&lt;/span> &lt;span class="na">class=&lt;/span>&lt;span class="s">&amp;#34;jenkins.model.IdStrategy$CaseInsensitive&amp;#34;&lt;/span>&lt;span class="nt">/&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;groupIdStrategy&lt;/span> &lt;span class="na">class=&lt;/span>&lt;span class="s">&amp;#34;jenkins.model.IdStrategy$CaseInsensitive&amp;#34;&lt;/span>&lt;span class="nt">/&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;disableRolePrefixing&amp;gt;&lt;/span>true&lt;span class="nt">&amp;lt;/disableRolePrefixing&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;/securityRealm&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>如果因为某些原因导致更改完了登录不了jenkins ( 比如权限忘记配置了)，只需要将下面的配置从true改为false即可&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-xml" data-lang="xml">&lt;span class="line">&lt;span class="cl"> &lt;span class="nt">&amp;lt;useSecurity&amp;gt;&lt;/span>true&lt;span class="nt">&amp;lt;/useSecurity&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h3 id="etx">ETX
&lt;/h3>&lt;p>这是一个服务器登录软件。推荐
&lt;a href="https://www.opentext.nl/products-and-solutions/products/specialty-technologies/connectivity/exceed-ondemand" target="_blank">EXT&lt;/a>
，吊打一切牛鬼蛇神，主要优势有以下几个&lt;/p>
&lt;ul>
&lt;li>只用开放一个端口即可，这样就方便进行管理。vnc这种每个用户都开一个端口的方式一是不方便管理，而是有漏洞，用户要进行脱库操作很容易。&lt;/li>
&lt;li>可以对上传下载权限进行单独管理，一般只允许上传，不允许下载&lt;/li>
&lt;li>可以限制从服务器到本地复制黏贴的字符个数，有效的防止了用户通过&lt;strong>CTRL+C&lt;/strong> &lt;strong>CTRL+V&lt;/strong> 的方式拷贝代码到本地&lt;/li>
&lt;li>集成ldap认证，可对用户登录以及可见的profile做限制
当然他的缺点也是显而易见的，那就是需要花钱购买。这公司的销售人员也是非常了解国情，默认都是提供买断的license服务，一次购买，终身可用，然后单个license的价格还是不便宜。&lt;/li>
&lt;/ul>
&lt;h4 id="server">server
&lt;/h4>&lt;p>建议安装在core上面，然后通过端口映射的方式映射到portal的8443端口&lt;/p>
&lt;h4 id="node">node
&lt;/h4>&lt;p>建议安装在portal上面，默认端口是5510
添加node的时候选择10.0.2.1,端口5510,然后再client IP里面进行重映射，比如192.168.5.100:5510&lt;/p>
&lt;h4 id="ssl-2">ssl
&lt;/h4>&lt;p>如果要增加ssl支持，需要修改 &lt;strong>$INSTALL_DIR/data/ssl&lt;/strong> 里面的 &lt;strong>server.key&lt;/strong> 和&lt;strong>server.crt&lt;/strong>. 可以用前文提到的xca工具生成，懒人的话建议生成通配符证书即可。
另外其实在linux上面做ETX的多开很容易，文件夹复制黏贴改个名字就行了。Windows node 复制黏贴比较麻烦，暂时还没有花精力去搞。至于为何要多开？那当然是解决license个数不足的问题了。&lt;/p>
&lt;h3 id="flexlm">flexlm
&lt;/h3>&lt;p>几乎所有的eda工具都是用flexlm来管理的，这个和谐方式也是各式各样。有一些注意事项&lt;/p>
&lt;ol>
&lt;li>允许在同一个端口上起多个vendor的license daemon,比如你可以把不同家的license文件里面的端口都改成一样的，然后lmgrd一起启动&lt;/li>
&lt;li>一些和谐版的license daemon会有相互打架的情况，所以1的前提就不成立了&lt;/li>
&lt;li>有些vendor daemon对网卡名字有特别要求，一定要求是 &lt;em>eth&lt;/em> 开头，比如TSMC&lt;/li>
&lt;li>license文件可以进行复制操作，比如你只买了10个正版license，如何扩展成100个，土鳖一点的方法就是用虚拟机多开，修改MAC地址。但是其实不用这么麻烦的，你在一台机器上也有办法实现开N个相同的vendor daemon的。
由于可能不是那么众所周知的原因，宝岛台湾的一些工具是不使用flexlm管理的。个人推测一方面是成本考虑，另一方面是因为他们知道flexlm的license很容易被和谐，又不像大厂可以承受被破解的代价，所以就自己开发了一套软件授权管理工具。&lt;/li>
&lt;/ol>
&lt;h3 id="mirror">mirror
&lt;/h3>&lt;p>在core上面设置centos的mirror,portal通过rsync的方式将外部的mirror同步到core上
一个简单的用perl写的同步脚本如下&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;span class="lnt">11
&lt;/span>&lt;span class="lnt">12
&lt;/span>&lt;span class="lnt">13
&lt;/span>&lt;span class="lnt">14
&lt;/span>&lt;span class="lnt">15
&lt;/span>&lt;span class="lnt">16
&lt;/span>&lt;span class="lnt">17
&lt;/span>&lt;span class="lnt">18
&lt;/span>&lt;span class="lnt">19
&lt;/span>&lt;span class="lnt">20
&lt;/span>&lt;span class="lnt">21
&lt;/span>&lt;span class="lnt">22
&lt;/span>&lt;span class="lnt">23
&lt;/span>&lt;span class="lnt">24
&lt;/span>&lt;span class="lnt">25
&lt;/span>&lt;span class="lnt">26
&lt;/span>&lt;span class="lnt">27
&lt;/span>&lt;span class="lnt">28
&lt;/span>&lt;span class="lnt">29
&lt;/span>&lt;span class="lnt">30
&lt;/span>&lt;span class="lnt">31
&lt;/span>&lt;span class="lnt">32
&lt;/span>&lt;span class="lnt">33
&lt;/span>&lt;span class="lnt">34
&lt;/span>&lt;span class="lnt">35
&lt;/span>&lt;span class="lnt">36
&lt;/span>&lt;span class="lnt">37
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-perl" data-lang="perl">&lt;span class="line">&lt;span class="cl">&lt;span class="ch">#!/usr/bin/perl&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="k">use&lt;/span> &lt;span class="nn">strict&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="k">use&lt;/span> &lt;span class="nn">warnings&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="k">my&lt;/span> &lt;span class="nv">$lock_file&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="s">&amp;#34;/run/lock/subsys/repo_rsync&amp;#34;&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">exit&lt;/span> &lt;span class="k">if&lt;/span> &lt;span class="o">-&lt;/span>&lt;span class="n">e&lt;/span> &lt;span class="nv">$lock_file&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c1">#Set the PATH&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nv">$ENV&lt;/span>&lt;span class="p">{&lt;/span>&lt;span class="s">&amp;#39;PATH&amp;#39;&lt;/span>&lt;span class="p">}&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="s">&amp;#34;/bin:/usr/bin:/sbin&amp;#34;&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">system&lt;/span>&lt;span class="p">(&lt;/span>&lt;span class="s">&amp;#34;touch $lock_file&amp;#34;&lt;/span>&lt;span class="p">);&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="k">my&lt;/span> &lt;span class="nv">$base_path&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="s">&amp;#34;/repo/centos&amp;#34;&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="k">my&lt;/span> &lt;span class="nv">$version&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="s">&amp;#34;7.9.2009&amp;#34;&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="k">my&lt;/span> &lt;span class="nv">@parts&lt;/span> &lt;span class="o">=&lt;/span> &lt;span class="sx">qw ( &lt;/span>&lt;span class="n">centosplus&lt;/span> &lt;span class="n">os&lt;/span> &lt;span class="n">updates&lt;/span> &lt;span class="n">extras&lt;/span> &lt;span class="n">contrib&lt;/span> &lt;span class="n">epel&lt;/span> &lt;span class="p">);&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c1">#my @parts = qw ( epel );&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c1">#Invoke the rsync to update the repo&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c1">#For rpmforge, use this one rsync://ftp-stud.fht-esslingen.de/dag&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="k">foreach&lt;/span> &lt;span class="p">(&lt;/span>&lt;span class="nv">@parts&lt;/span>&lt;span class="p">)&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="k">next&lt;/span> &lt;span class="k">if&lt;/span> &lt;span class="nv">$_&lt;/span> &lt;span class="ow">eq&lt;/span> &lt;span class="s">&amp;#39;contrib&amp;#39;&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="k">if&lt;/span> &lt;span class="p">(&lt;/span> &lt;span class="nv">$_&lt;/span> &lt;span class="ow">eq&lt;/span> &lt;span class="s">&amp;#39;epel&amp;#39;&lt;/span> &lt;span class="p">)&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">system&lt;/span>&lt;span class="p">(&lt;/span> &lt;span class="s">&amp;#34;rsync -avSHP --exclude &amp;#39;debug&amp;#39; --exclude &amp;#39;repodata&amp;#39; --exclude &amp;#39;repoview&amp;#39; --delete --delete-excluded rsync://mirror.sjtu.edu.cn/fedora/epel/7/x86_64/ $base_path/$version/$_/x86_64/Packages/&amp;#34;&lt;/span>&lt;span class="p">);&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="p">}&lt;/span>&lt;span class="k">else&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="c1">#system( &amp;#34;rsync -avSHP --delete rsync.mirrors.ustc.edu.cn::repo/centos/$version/$_/x86_64/Packages/ $base_path/$version/$_/x86_64/Packages/&amp;#34;);&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="c1">#update: need to remove the repo prefix&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">system&lt;/span>&lt;span class="p">(&lt;/span> &lt;span class="s">&amp;#34;rsync -avSHP --delete rsync.mirrors.ustc.edu.cn::centos/$version/$_/x86_64/Packages/ $base_path/$version/$_/x86_64/Packages/&amp;#34;&lt;/span>&lt;span class="p">);&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="p">}&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="p">}&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="c1">#Invoke createrepo&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="k">foreach&lt;/span> &lt;span class="p">(&lt;/span>&lt;span class="nv">@parts&lt;/span>&lt;span class="p">)&lt;/span> &lt;span class="p">{&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">system&lt;/span>&lt;span class="p">(&lt;/span>&lt;span class="s">&amp;#34;ssh core createrepo --workers 16 $base_path/$version/$_/x86_64&amp;#34;&lt;/span>&lt;span class="p">);&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="p">}&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">unlink&lt;/span> &lt;span class="nv">$lock_file&lt;/span>&lt;span class="p">;&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>在core上面讲mirror通过https的形式提供给其他人，具体的方法如下&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;span class="lnt">2
&lt;/span>&lt;span class="lnt">3
&lt;/span>&lt;span class="lnt">4
&lt;/span>&lt;span class="lnt">5
&lt;/span>&lt;span class="lnt">6
&lt;/span>&lt;span class="lnt">7
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-apacheconf" data-lang="apacheconf">&lt;span class="line">&lt;span class="cl">&lt;span class="err">root@core:&lt;/span> &lt;span class="c">#-&amp;gt; cat /etc/httpd/conf.d/repo.conf&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">Alias&lt;/span> &lt;span class="sx">/centos&lt;/span> &lt;span class="s2">&amp;#34;/repo/centos&amp;#34;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nt">&amp;lt;Directory&lt;/span> &lt;span class="s">/repo/centos&lt;/span>&lt;span class="nt">&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">Options&lt;/span> Indexes FollowSymLinks MultiViews
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">AllowOverride&lt;/span> &lt;span class="k">all&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">Require&lt;/span> &lt;span class="k">all&lt;/span> granted
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nt">&amp;lt;/Directory&amp;gt;&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;p>最后修改机器的更新源为core&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;span class="lnt">11
&lt;/span>&lt;span class="lnt">12
&lt;/span>&lt;span class="lnt">13
&lt;/span>&lt;span class="lnt">14
&lt;/span>&lt;span class="lnt">15
&lt;/span>&lt;span class="lnt">16
&lt;/span>&lt;span class="lnt">17
&lt;/span>&lt;span class="lnt">18
&lt;/span>&lt;span class="lnt">19
&lt;/span>&lt;span class="lnt">20
&lt;/span>&lt;span class="lnt">21
&lt;/span>&lt;span class="lnt">22
&lt;/span>&lt;span class="lnt">23
&lt;/span>&lt;span class="lnt">24
&lt;/span>&lt;span class="lnt">25
&lt;/span>&lt;span class="lnt">26
&lt;/span>&lt;span class="lnt">27
&lt;/span>&lt;span class="lnt">28
&lt;/span>&lt;span class="lnt">29
&lt;/span>&lt;span class="lnt">30
&lt;/span>&lt;span class="lnt">31
&lt;/span>&lt;span class="lnt">32
&lt;/span>&lt;span class="lnt">33
&lt;/span>&lt;span class="lnt">34
&lt;/span>&lt;span class="lnt">35
&lt;/span>&lt;span class="lnt">36
&lt;/span>&lt;span class="lnt">37
&lt;/span>&lt;span class="lnt">38
&lt;/span>&lt;span class="lnt">39
&lt;/span>&lt;span class="lnt">40
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-apacheconf" data-lang="apacheconf">&lt;span class="line">&lt;span class="cl">&lt;span class="err">root@core:&lt;/span> &lt;span class="c">#-&amp;gt; cat /etc/yum.repos.d/local.repo&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">[local-base]&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">name=local-$&lt;/span>&lt;span class="nb">releasever&lt;/span> - Base
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">baseurl=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/os/$basearch/&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgkey=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/RPM-GPG-CentOS-7&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgcheck=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">enabled=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">[local-updates]&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">name=local-$&lt;/span>&lt;span class="nb">releasever&lt;/span> - Updates
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">baseurl=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/updates/$basearch/&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgkey=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/RPM-GPG-CentOS-7&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgcheck=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">enabled=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">[local-extras]&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">name=local-$&lt;/span>&lt;span class="nb">releasever&lt;/span> - Extras
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">baseurl=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/extras/$basearch/&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgkey=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/RPM-GPG-CentOS-7&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgcheck=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">enabled=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">[local-centosplus]&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">name=local-$&lt;/span>&lt;span class="nb">releasever&lt;/span> - Plus
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">baseurl=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/centosplus/$basearch/&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgkey=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/RPM-GPG-CentOS-7&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgcheck=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">enabled=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">[local-contrib]&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">name=local-$&lt;/span>&lt;span class="nb">releasever&lt;/span> - Contrib
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">baseurl=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/contrib/$basearch/&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgcheck=0&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">enabled=1&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">[local-epel]&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">name=local-$&lt;/span>&lt;span class="nb">releasever&lt;/span> - Epel
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">baseurl=https://core&lt;/span>.&lt;span class="err">ic&lt;/span>.&lt;span class="err">X&lt;/span>.&lt;span class="err">com/centos/$releasever/epel/$basearch/&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">gpgcheck=0&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">enabled=1&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h2 id="安全设置">安全设置
&lt;/h2>&lt;h3 id="selinux">selinux
&lt;/h3>&lt;p>这个东西很好，但是也很麻烦，如果不是很会折腾，建议关闭:&lt;/p>
&lt;blockquote>
&lt;p>编辑 /etc/sysconfig/selinux, 将里面的SELINUX更改成disabled，然后重启&lt;/p>&lt;/blockquote>
&lt;h3 id="ssh限制">ssh限制
&lt;/h3>&lt;p>需要在/etc/ssh/sshd_config里面做如下配置&lt;/p>
&lt;ul>
&lt;li>普通用户关闭ssh登录权限&lt;/li>
&lt;li>打开core上的git登录权限，这是为了使用ssh进行git的checkout&lt;/li>
&lt;li>只允许基于ssh key的登录方式，这是为了防止MTIM攻击&lt;/li>
&lt;/ul>
&lt;h3 id="防火墙配置">防火墙配置
&lt;/h3>&lt;p>内网的机器可以把防火墙都关掉&lt;br>
portal上面的防火墙只开放必要的端口，INPUT/OUTPUT/FORWARD的policy都设置成DROP&lt;br>
portal作为登录机器是不允许跑EDA软件的，所以在core的防火墙上面要阻止来自portal的license请求&lt;br>
另外需要注意虚拟机的网络是不受iptables控制的，所以在portal上绝对绝对不要装虚拟机软件，不让网络无法管控&lt;/p>
&lt;h3 id="etx-配置">ETX 配置
&lt;/h3>&lt;h4 id="限制最大拷贝数">限制最大拷贝数
&lt;/h4>&lt;p>profile -&amp;gt; general -&amp;gt; optional settings 里面添加如下配置（最大只允许拷贝512个字符)&lt;/p>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt">1
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-apacheconf" data-lang="apacheconf">&lt;span class="line">&lt;span class="cl">&lt;span class="err">proxy&lt;/span>.&lt;span class="err">AllowCopyFromX=512&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h4 id="限制用户编辑profile">限制用户编辑profile
&lt;/h4>&lt;p>如果允许用户自己编辑profile,他就可以设置一个profile允许上传和下载，这无疑是有问题的&lt;/p>
&lt;h3 id="邮件发送">邮件发送
&lt;/h3>&lt;p>jenkins/gitlab等都有发送邮件的需求，但是core本身是无法连接外网的，解决方法就是要借助core
需要有一个专门的邮件账号用来发邮件（&lt;em>jarvis&lt;/em>)，这个账号只能开放smtp功能，不能开放 imap功能，这主要是为了防止有用户发完邮件又通过imap将发送邮件删除，从而销毁证据&lt;br>
具体步骤如下&lt;/p>
&lt;ol>
&lt;li>在portal上面开一个邮件代理，只允许特定IP连接本地的465端口&lt;/li>
&lt;li>在core上，只有特定用户才可以连接到core的465端口,包括以下用户
&lt;ol>
&lt;li>ETX 服务: root&lt;/li>
&lt;li>jenkins服务: jenkins&lt;/li>
&lt;/ol>
&lt;/li>
&lt;li>上面两个步骤是确保用户无法使用自己的邮箱发送邮件，而只能通过jarvis账号发送&lt;/li>
&lt;li>jarvis账号会将所有内容存档，便于安全审计
邮件代理可以用nginx处理,关键配置如下&lt;/li>
&lt;/ol>
&lt;div class="highlight">&lt;div class="chroma">
&lt;table class="lntable">&lt;tr>&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code>&lt;span class="lnt"> 1
&lt;/span>&lt;span class="lnt"> 2
&lt;/span>&lt;span class="lnt"> 3
&lt;/span>&lt;span class="lnt"> 4
&lt;/span>&lt;span class="lnt"> 5
&lt;/span>&lt;span class="lnt"> 6
&lt;/span>&lt;span class="lnt"> 7
&lt;/span>&lt;span class="lnt"> 8
&lt;/span>&lt;span class="lnt"> 9
&lt;/span>&lt;span class="lnt">10
&lt;/span>&lt;span class="lnt">11
&lt;/span>&lt;/code>&lt;/pre>&lt;/td>
&lt;td class="lntd">
&lt;pre tabindex="0" class="chroma">&lt;code class="language-apacheconf" data-lang="apacheconf">&lt;span class="line">&lt;span class="cl">&lt;span class="err">root@portal0:~&lt;/span> &lt;span class="c">#-&amp;gt; cat /etc/nginx/stream/mail_pro.conf&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">upstream&lt;/span> mailsmtp_pro {
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">server&lt;/span> smtp.qiye.aliyun.com:465;
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">}&lt;/span>
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="nb">server&lt;/span> {
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">listen&lt;/span> &lt;span class="m">465&lt;/span>;
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">proxy_connect_timeout&lt;/span> &lt;span class="m">5&lt;/span>s;
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">proxy_timeout&lt;/span> &lt;span class="m">5&lt;/span>s;
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl"> &lt;span class="nb">proxy_pass&lt;/span> mailsmtp_pro;
&lt;/span>&lt;/span>&lt;span class="line">&lt;span class="cl">&lt;span class="err">}&lt;/span>
&lt;/span>&lt;/span>&lt;/code>&lt;/pre>&lt;/td>&lt;/tr>&lt;/table>
&lt;/div>
&lt;/div>&lt;h3 id="目录夹权限">目录夹权限
&lt;/h3>&lt;p>下面这些文件夹需要设置合适的权限保证普通用户无法看到&lt;/p>
&lt;ul>
&lt;li>/proj/git: 里面存放了git的database&lt;/li>
&lt;li>/proj/xxx: 只有处于项目组xxx里面的人才能进入&lt;/li>
&lt;li>/data/backup: 需要保证普通用户无法访问备份文件夹&lt;/li>
&lt;/ul></description></item><item><title>About</title><link>https://churchmice.github.io/about/</link><pubDate>Wed, 28 Feb 2024 00:00:00 +0000</pubDate><guid>https://churchmice.github.io/about/</guid><description>&lt;p>Free at last&lt;/p></description></item><item><title>Archives</title><link>https://churchmice.github.io/archives/</link><pubDate>Tue, 28 May 2019 00:00:00 +0000</pubDate><guid>https://churchmice.github.io/archives/</guid><description/></item><item><title>Links</title><link>https://churchmice.github.io/links/</link><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><guid>https://churchmice.github.io/links/</guid><description/></item><item><title>Search</title><link>https://churchmice.github.io/search/</link><pubDate>Mon, 01 Jan 0001 00:00:00 +0000</pubDate><guid>https://churchmice.github.io/search/</guid><description/></item></channel></rss>