2023-03-02Linux76

404. 抱歉，您访问的资源不存在。

可能是网址有误，或者对应的内容被删除，或者处于私有状态。

代码改变世界，联系邮箱 contact@cnblogs.com

Original: https://www.cnblogs.com/JZjuechen/p/15742721.html
Author: JZEason
Title: Linux之虚拟专用网络—VPN

Title: Linux——防火墙、SELinux规则

防火墙的作用：简单来说就是放行或者阻拦某些服务、端口

1、防火墙的简单操作

# &#x67E5;&#x770B;&#x9632;&#x706B;&#x5899;&#x72B6;&#x6001;
systemctl status firewalld

# &#x5F00;&#x542F;&#x9632;&#x706B;&#x5899;
systemctl start firewalld

# &#x5173;&#x95ED;&#x9632;&#x706B;&#x5899;
systemctl stop firewalld

# &#x8BBE;&#x7F6E;&#x9632;&#x706B;&#x5899;&#x5F00;&#x673A;&#x81EA;&#x542F;
systemctl enable firewalld

# &#x8BBE;&#x7F6E;&#x9632;&#x706B;&#x5899;&#x53D6;&#x6D88;&#x5F00;&#x673A;&#x81EA;&#x542F;
systemctl disable firewalld

2、firewall的直接规则

注意：要在防火墙开启状态下才可设置

# 1、查看防火墙放行的服务
firewall-cmd --list-all

# 2、在防火墙中放行某服务，并设为永久生效
firewall-cmd --permanent --add-service=&协议名

# 3、在防火墙中放行某端口，并设为永久生效
firewall-cmd --permanent --add-port=8088/tcp

# 4、刷新（重新加载）防火墙配置
firewall-cmd --reload

网络服务及协议名对应关系：

服务名协议名 vsftpd ftp NFS nfs SAMBA windows：cifs linux：smb、nmb APACHE http/https

3、firewall的富规则

注意：要在防火墙开启状态下才可设置

# 1&#x3001;&#x6DFB;&#x52A0;&#x4E00;&#x6761;&#x5BCC;&#x89C4;&#x5219;&#xFF08;&#x4EE5;172.25.1.0/24&#x7F51;&#x6BB5;&#xFF0C;ftp&#x670D;&#x52A1;&#x4E3A;&#x4F8B;&#xFF09;
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ftp accept'

# 2&#x3001;&#x5220;&#x9664;&#x4E00;&#x6761;&#x5BCC;&#x89C4;&#x5219;
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ftp accept'

# 3&#x3001;&#x7B3C;&#x7EDF;&#x7684;&#x8BBE;&#x7F6E;&#x4E00;&#x4E2A;&#x653B;&#x51FB;&#x57DF;
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 reject'

# 4&#x3001;&#x4E3A;&#x67D0;&#x4E2A;&#x5177;&#x4F53;&#x7684;&#x670D;&#x52A1;&#x8BBE;&#x7F6E;&#x4E00;&#x4E2A;&#x653B;&#x51FB;&#x57DF;
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ssh reject'

# 5&#x3001;&#x6DFB;&#x52A0;&#x7AEF;&#x53E3;&#x5230;&#x9632;&#x706B;&#x5899;&#x4E2D;&#xFF1A;
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 port port=80 protocol=tcp accept'

# 6&#x3001;&#x6DFB;&#x52A0;&#x7AEF;&#x53E3;&#x8F6C;&#x53D1;&#xFF1A;&#xFF08;&#x8981;&#x5148;&#x6DFB;&#x52A0;&#x7AEF;&#x53E3;&#x624D;&#x80FD;&#x7AEF;&#x53E3;&#x8F6C;&#x53D1;&#xFF09;
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 forward-port port=8080 protocol=tcp to-port=80'

tcp：有去有回，类似于打电话
udp：有去无回，类似于发传真

SElinux也是Linux操作系统的一种安全访问规则。用于确定哪个进程可以访问哪些文件、目录和端口的一组安全规则。保护的对象是服务（进程）、 服务对应的文件（目录）、 服务对应的端口。

SElinux可以被看作是与标准权限系统并行的权限系统，如果selinux开启，以root身份运行进程，访问文件不光要受 用户对文件访问权限的限制，还要受 进程对文件selinux上下文类型的限制，否则，就算是root用户运行的进程，也不一定能访问某个文件。

1、selinux的三种模式（状态）

名称模式作用 enforcing 强制模式拒绝非法访问并录入日志 permissive 许可模式（警告模式）暂时允许非法访问并录入日志 disabled 禁用模式允许非法访问且不录入日志

如何切换selinux的状态：

#&#x83B7;&#x53D6;selinux&#x72B6;&#x6001;
[root@localhost ~]# getenforce

# &#x4E34;&#x65F6;&#x5207;&#x6362;&#xFF1A;
[root@localhost ~]# setenforce 0    #&#x4E34;&#x65F6;&#x5173;&#x95ED;selinux&#x7B56;&#x7565; enforcing  -> permissive
[root@localhost ~]# setenforce 1    #&#x4E34;&#x65F6;&#x5F00;&#x542F;selinux&#x7B56;&#x7565; permissive -> enforcing

# &#x6C38;&#x4E45;&#x5207;&#x6362;&#xFF1A;
[root@localhost ~]# vim /etc/selinux/config
SELINUX=enforcing/permissive/disabled
[root@localhost ~]# reboot

2、SELinux的上下文

在linux系统里面，每个文件、进程、端口都具有SELinux上下文，它是一种安全策略，用来判断某个进程能否访问文件、目录或端口的工具。

[root@localhost /]# ll -Z
lrwxrwxrwx. root root system_u:object_r:bin_t:s0       bin -> usr/bin
dr-xr-xr-x. root root system_u:object_r:boot_t:s0      boot
drwxr-xr-x. root root system_u:object_r:device_t:s0    dev
drwxr-xr-x. root root system_u:object_r:etc_t:s0       etc
drwxr-xr-x. root root system_u:object_r:home_root_t:s0 home
...

第四列（用户：角色：类型：敏感度）

用户 -> 系统用户（system_u）；root及普通用户组成的未指定用户（unconfined_u）
角色 -> 系统角色（system_r）；未指定角色（unconfined_r）；对象角色（object_r）
类型 -> 以_t结尾，每个服务它的三个方面的类型要一一对应，即 服务对应的文件和端口要与服务本身的SELinux上下文类型一致
敏感度 -> s0，指的是安全等级，有0、1、2三种，数值越大，灵敏度越高

# &#x67E5;&#x770B;&#x6587;&#x4EF6;&#x7684;&#x4E0A;&#x4E0B;&#x6587;
# &#x65B9;&#x6CD5;&#x4E00;&#xFF1A;ll -Z filename
[root@localhost etc]# ll -Z samba/

# &#x65B9;&#x6CD5;&#x4E8C;&#xFF1A;semanage fcontext -l | grep filename
# filename&#x8981;&#x5199;&#x7EDD;&#x5BF9;&#x8DEF;&#x5F84;&#xFF0C;&#x4E14;&#x4E0D;&#x4E00;&#x5B9A;&#x80FD;&#x67E5;&#x770B;&#x6240;&#x6709;&#x6587;&#x4EF6;
[root@localhost etc]# semanage fcontext -l | grep /etc/ssh

# &#x67E5;&#x770B;&#x8FDB;&#x7A0B;&#x7684;&#x4E0A;&#x4E0B;&#x6587;
# ps -auxZ | grep &#x8FDB;&#x7A0B;
[root@localhost ~]# ps -auxZ | grep sshd

# &#x67E5;&#x770B;&#x6240;&#x6709;&#x7AEF;&#x53E3;&#x4E0A;&#x4E0B;&#x6587;
# semamage  port -l | grep &#x7AEF;&#x53E3;&#x53F7;
[root@localhost ~]# semanage port -l | grep 22

# &#x67E5;&#x770B;&#x5DF2;&#x7ECF;&#x5F00;&#x653E;&#x7684;&#x7AEF;&#x53E3;&#x4E0A;&#x4E0B;&#x6587;
[root@localhost ~]# netstat -pantZ

修改文件的上下文类型

# &#x4E34;&#x65F6;&#x4FEE;&#x6539;&#xFF1A;
# chcon -t &#x4E0A;&#x4E0B;&#x6587;&#x7C7B;&#x578B; filename
# &#x5C06;selinux&#x8BBE;&#x7F6E;&#x6210;disabled&#x540E;reboot&#xFF0C;&#x7136;&#x540E;&#x518D;&#x8BBE;&#x7F6E;&#x6210;enforcing&#x540E;reboot&#xFF0C;&#x4FEE;&#x6539;&#x4F1A;&#x5931;&#x6548;&#xFF0C;&#x5C06;&#x8FD8;&#x539F;&#x6210;&#x539F;&#x59CB;&#x9ED8;&#x8BA4;&#x7C7B;&#x578B;  -> &#x4E0D;&#x63A8;&#x8350;&#x4F7F;&#x7528;
[root@localhost ~]# chcon -t httpd_sys_content_t /opt/testfile
[root@localhost ~]# sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
[root@localhost ~]# reboot
[root@localhost ~]# sed -i 's/SELINUX=disabled/SELINUX=enforcing/g' /etc/selinux/config
[root@localhost ~]# reboot
[root@localhost ~]# ll -dZ /opt/testfile

# &#x6C38;&#x4E45;&#x4FEE;&#x6539;&#xFF1A;
# semanage fcontext -a -t &#x4E0A;&#x4E0B;&#x6587;&#x7C7B;&#x578B; &#x2018;/filename(/.*)?&#x2019;  #&#x6CE8;&#x610F;&#xFF1A;&#x8FD9;&#x91CC;&#x7684;filename&#x8981;&#x5199;&#x7EDD;&#x5BF9;&#x8DEF;&#x5F84;
# restorecon -RFv /filename         #&#x5F3A;&#x5236;&#x9012;&#x5F52;&#x5237;&#x65B0;&#x4E0A;&#x4E0B;&#x6587;&#x7C7B;&#x578B;&#x5E76;&#x663E;&#x793A;&#x5237;&#x65B0;&#x8FC7;&#x7A0B;
[root@localhost ~]# semanage fcontext -a -t httpd_sys_content_t '/opt/test(/.*)?'
[root@localhost ~]# restorecon -RFv /opt/test/

修改端口的上下文类型（添加selinux上下文类型）

# semanage port -a -t &#x7AEF;&#x53E3;&#x4E0A;&#x4E0B;&#x6587;&#x7C7B;&#x578B; -p tcp/udp  &#x7AEF;&#x53E3;&#x53F7;
[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 22022
[root@localhost ~]# semanage port -l | grep ssh

3、selinux布尔值

当selinux开启时，系统默认会设置很多服务功能的开关，而且默认都是关闭的，sebool就是那个开关

getsebool -a&#xFF08;| grep &#x5E03;&#x5C14;&#x503C;&#xFF09; #&#x67E5;&#x770B;
setsebool bool&#x540D; on/off        #&#x8BBE;&#x7F6E;&#x5F00;&#x542F;&#x6216;&#x5173;&#x95ED;
semanage boolean -l&#xFF08;| grep &#x5E03;&#x5C14;&#x503C;&#xFF09;  #&#x67E5;&#x770B;&#x5E03;&#x5C14;&#x503C;&#x662F;&#x5426;&#x6C38;&#x4E45;&#x5F00;&#x542F;&#xFF08;&#x62EC;&#x53F7;&#x4E2D;&#x53F3;&#x8FB9;&#x90A3;&#x4E2A;&#x503C;&#xFF09;&#xFF0C;&#x5E76;&#x663E;&#x793A;&#x8BE5;&#x5E03;&#x5C14;&#x503C;&#x72B6;&#x6001;&#x7684;&#x7B80;&#x77ED;&#x63CF;&#x8FF0;

注意：
1、文件会默认继承父文件夹的selinux类型；
2、文件被cp到新的文件夹下，会自动继承新文件夹的selinux上下文类型，但mv不会这样，仍会保留原上下文类型；
3、如果修改了某服务的配置文件位置，则必须重新修改该文件的selinux上下文类型，以重新匹配服务，否则服务无法访问该配置文件。

声明：未经许可，不得转载

Original: https://www.cnblogs.com/wzgwzg/p/15602936.html
Author: 王智刚
Title: Linux——防火墙、SELinux规则

Title: Linux快速安装流量监控工具（实用版）

前言：

Linux流量监控工具，在此我推荐两种分别为：

1、nload（推荐）因为个人看着舒服点😂

2、iftop

以上两种任选其一即可，在此对两种都有介绍和安装教程，我写了，大家随意哈

nload安装及介绍

nload流量监控快速安装

1、下载所需依赖包环境

yum install -y gcc gcc-c++ ncurses-devel make wget

2、下载所需安装包

wget http://www.roland-riegel.de/nload/nload-0.7.4.tar.gz

3、解压安装包并进入解压文件

tar zxvf nload-0.7.4.tar.gz

cd nload-0.7.4

4、依次执行配置安装命令

./configure

make

make install

5、检查是否安装成功

nload

Linux之虚拟专用网络—VPN

至此，安装就完美收官喽

nload介绍

nload的显示信息也是支持设置显示单位的。我们可以加入-u 参数，其后可以跟h(表示自动格式化为易读的单位)、b(表示为Bit/s)、k（表示为KBit/s）、m（表示为MBit/s）,g(表示为GBit/s)。例如下面我们输入如命令"nload -u m"，就是以MB为单位。

默认上边Incoming是进入网卡的流量;
默认下边Outgoing是网卡出去的流量;
默认右边（Curr当前流量）、（Avg平均流量）、（Min最小流量）、（Max最大流量）、（Ttl流量统计）

nload 网卡名称 -u 以什么单位显示

iftop安装及介绍

iftop快速安装

1、下载所需依赖包环境

yum install libpcap libpcap-devel ncurses ncurses-devel wget -y

2、下载iftop安装包

wget http://www.ex-parrot.com/pdw/iftop/download/iftop-1.0pre4.tar.gz

3、解压安装文件并进入解压文件

tar xzf iftop-1.0pre4.tar.gz

cd iftop-1.0pre4

4、依次执行配置安装命令

./configure

make && make install

5、检查是否安装成功

iftop

这里还有一点提醒大家注意，有些服务器配置时候默认网卡没有设置为外网卡，导致了iftop后数据为空，这个时候你可以执行ip addr命令获取服务器所有的网卡名称，找到对应外网的网卡唯一识别，然后输入命令如下：

ip addr

#&#x5047;&#x8BBE;&#x5916;&#x7F51;&#x7F51;&#x5361;&#x552F;&#x4E00;ID&#x662F;eth0
iftop -i eth0

Linux之虚拟专用网络—VPN

至此，iftop就安装成功啦

iftop参数介绍

TX：发送流量
RX：接收流量
TOTAL：总流量
cumm：运行iftop以来的总流量
peak：峰值流量
rates：分别表示过去 2s 10s 40s时间内网卡总的平均流量

其他参数常用参数如下：

查看代码

iftop&#x5E38;&#x7528;&#x53C2;&#x6570;&#x6458;&#x5F55;

-i&#x8BBE;&#x5B9A;&#x76D1;&#x6D4B;&#x7684;&#x7F51;&#x5361;&#xFF0C;&#x5982;&#xFF1A;# iftop -i eth1

-B &#x4EE5;bytes&#x4E3A;&#x5355;&#x4F4D;&#x663E;&#x793A;&#x6D41;&#x91CF;(&#x9ED8;&#x8BA4;&#x662F;bits)&#xFF0C;&#x5982;&#xFF1A;# iftop -B

-n&#x4F7F;host&#x4FE1;&#x606F;&#x9ED8;&#x8BA4;&#x76F4;&#x63A5;&#x90FD;&#x663E;&#x793A;IP&#xFF0C;&#x5982;&#xFF1A;# iftop -n

-N&#x4F7F;&#x7AEF;&#x53E3;&#x4FE1;&#x606F;&#x9ED8;&#x8BA4;&#x76F4;&#x63A5;&#x90FD;&#x663E;&#x793A;&#x7AEF;&#x53E3;&#x53F7;&#xFF0C;&#x5982;: # iftop -N

-F&#x663E;&#x793A;&#x7279;&#x5B9A;&#x7F51;&#x6BB5;&#x7684;&#x8FDB;&#x51FA;&#x6D41;&#x91CF;&#xFF0C;&#x5982;# iftop -F 192.168.1.0/24&#x6216;# iftop -F 192.168.1.0/255.255.255.0

-h&#xFF08;display this message&#xFF09;&#xFF0C;&#x5E2E;&#x52A9;&#xFF0C;&#x663E;&#x793A;&#x53C2;&#x6570;&#x4FE1;&#x606F;

-p&#x4F7F;&#x7528;&#x8FD9;&#x4E2A;&#x53C2;&#x6570;&#x540E;&#xFF0C;&#x4E2D;&#x95F4;&#x7684;&#x5217;&#x8868;&#x663E;&#x793A;&#x7684;&#x672C;&#x5730;&#x4E3B;&#x673A;&#x4FE1;&#x606F;&#xFF0C;&#x51FA;&#x73B0;&#x4E86;&#x672C;&#x673A;&#x4EE5;&#x5916;&#x7684;IP&#x4FE1;&#x606F;;

-b&#x4F7F;&#x6D41;&#x91CF;&#x56FE;&#x5F62;&#x6761;&#x9ED8;&#x8BA4;&#x5C31;&#x663E;&#x793A;;

-f&#x8FD9;&#x4E2A;&#x6682;&#x65F6;&#x8FD8;&#x4E0D;&#x592A;&#x4F1A;&#x7528;&#xFF0C;&#x8FC7;&#x6EE4;&#x8BA1;&#x7B97;&#x5305;&#x7528;&#x7684;;

-P&#x4F7F;host&#x4FE1;&#x606F;&#x53CA;&#x7AEF;&#x53E3;&#x4FE1;&#x606F;&#x9ED8;&#x8BA4;&#x5C31;&#x90FD;&#x663E;&#x793A;;

-m&#x8BBE;&#x7F6E;&#x754C;&#x9762;&#x6700;&#x4E0A;&#x8FB9;&#x7684;&#x523B;&#x5EA6;&#x7684;&#x6700;&#x5927;&#x503C;&#xFF0C;&#x523B;&#x5EA6;&#x5206;&#x4E94;&#x4E2A;&#x5927;&#x6BB5;&#x663E;&#x793A;&#xFF0C;&#x4F8B;&#xFF1A;# iftop -m 100M

&#x8FDB;&#x5165;iftop&#x753B;&#x9762;&#x540E;&#x7684;&#x4E00;&#x4E9B;&#x64CD;&#x4F5C;&#x547D;&#x4EE4;(&#x6CE8;&#x610F;&#x5927;&#x5C0F;&#x5199;)

&#x6309;n&#x5207;&#x6362;&#x663E;&#x793A;&#x672C;&#x673A;&#x7684;IP&#x6216;&#x4E3B;&#x673A;&#x540D;;

&#x6309;s&#x5207;&#x6362;&#x662F;&#x5426;&#x663E;&#x793A;&#x672C;&#x673A;&#x7684;host&#x4FE1;&#x606F;;

&#x6309;d&#x5207;&#x6362;&#x662F;&#x5426;&#x663E;&#x793A;&#x8FDC;&#x7AEF;&#x76EE;&#x6807;&#x4E3B;&#x673A;&#x7684;host&#x4FE1;&#x606F;;

&#x6309;t&#x5207;&#x6362;&#x663E;&#x793A;&#x683C;&#x5F0F;&#x4E3A;2&#x884C;/1&#x884C;/&#x53EA;&#x663E;&#x793A;&#x53D1;&#x9001;&#x6D41;&#x91CF;/&#x53EA;&#x663E;&#x793A;&#x63A5;&#x6536;&#x6D41;&#x91CF;;

&#x6309;N&#x5207;&#x6362;&#x663E;&#x793A;&#x7AEF;&#x53E3;&#x53F7;&#x6216;&#x7AEF;&#x53E3;&#x670D;&#x52A1;&#x540D;&#x79F0;;

&#x6309;S&#x5207;&#x6362;&#x662F;&#x5426;&#x663E;&#x793A;&#x672C;&#x673A;&#x7684;&#x7AEF;&#x53E3;&#x4FE1;&#x606F;;

&#x6309;D&#x5207;&#x6362;&#x662F;&#x5426;&#x663E;&#x793A;&#x8FDC;&#x7AEF;&#x76EE;&#x6807;&#x4E3B;&#x673A;&#x7684;&#x7AEF;&#x53E3;&#x4FE1;&#x606F;;

&#x6309;p&#x5207;&#x6362;&#x662F;&#x5426;&#x663E;&#x793A;&#x7AEF;&#x53E3;&#x4FE1;&#x606F;;

&#x6309;P&#x5207;&#x6362;&#x6682;&#x505C;/&#x7EE7;&#x7EED;&#x663E;&#x793A;;

&#x6309;b&#x5207;&#x6362;&#x662F;&#x5426;&#x663E;&#x793A;&#x5E73;&#x5747;&#x6D41;&#x91CF;&#x56FE;&#x5F62;&#x6761;;

&#x6309;B&#x5207;&#x6362;&#x8BA1;&#x7B97;2&#x79D2;&#x6216;10&#x79D2;&#x6216;40&#x79D2;&#x5185;&#x7684;&#x5E73;&#x5747;&#x6D41;&#x91CF;;

&#x6309;T&#x5207;&#x6362;&#x662F;&#x5426;&#x663E;&#x793A;&#x6BCF;&#x4E2A;&#x8FDE;&#x63A5;&#x7684;&#x603B;&#x6D41;&#x91CF;;

&#x6309;l&#x6253;&#x5F00;&#x5C4F;&#x5E55;&#x8FC7;&#x6EE4;&#x529F;&#x80FD;&#xFF0C;&#x8F93;&#x5165;&#x8981;&#x8FC7;&#x6EE4;&#x7684;&#x5B57;&#x7B26;&#xFF0C;&#x6BD4;&#x5982;ip,&#x6309;&#x56DE;&#x8F66;&#x540E;&#xFF0C;&#x5C4F;&#x5E55;&#x5C31;&#x53EA;&#x663E;&#x793A;&#x8FD9;&#x4E2A;IP&#x76F8;&#x5173;&#x7684;&#x6D41;&#x91CF;&#x4FE1;&#x606F;;

&#x6309;L&#x5207;&#x6362;&#x663E;&#x793A;&#x753B;&#x9762;&#x4E0A;&#x8FB9;&#x7684;&#x523B;&#x5EA6;;&#x523B;&#x5EA6;&#x4E0D;&#x540C;&#xFF0C;&#x6D41;&#x91CF;&#x56FE;&#x5F62;&#x6761;&#x4F1A;&#x6709;&#x53D8;&#x5316;;

&#x6309;j&#x6216;&#x6309;k&#x53EF;&#x4EE5;&#x5411;&#x4E0A;&#x6216;&#x5411;&#x4E0B;&#x6EDA;&#x52A8;&#x5C4F;&#x5E55;&#x663E;&#x793A;&#x7684;&#x8FDE;&#x63A5;&#x8BB0;&#x5F55;;

&#x6309;1&#x6216;2&#x6216;3&#x53EF;&#x4EE5;&#x6839;&#x636E;&#x53F3;&#x4FA7;&#x663E;&#x793A;&#x7684;&#x4E09;&#x5217;&#x6D41;&#x91CF;&#x6570;&#x636E;&#x8FDB;&#x884C;&#x6392;&#x5E8F;;

&#x6309;&#x6839;&#x636E;&#x8FDC;&#x7AEF;&#x76EE;&#x6807;&#x4E3B;&#x673A;&#x7684;&#x4E3B;&#x673A;&#x540D;&#x6216;IP&#x6392;&#x5E8F;;

&#x6309;o&#x5207;&#x6362;&#x662F;&#x5426;&#x56FA;&#x5B9A;&#x53EA;&#x663E;&#x793A;&#x5F53;&#x524D;&#x7684;&#x8FDE;&#x63A5;;

&#x6309;q&#x9000;&#x51FA;&#x76D1;&#x63A7;&#x3002;

Original: https://www.cnblogs.com/aerfazhe/p/15963096.html
Author: 阿尔法哲
Title: Linux快速安装流量监控工具（实用版）

Title: 常用的分布式锁和redis和zk两种分布式锁的对比

常用的分布式锁

一、基于数据库实现分布式锁

1. 悲观锁

利用select ... where ... for update 排他锁

注意: 其他附加功能与实现一基本一致，这里需要注意的是"where name=lock "，name字段必须要走索引，否则会锁表。有些情况下，比如表不大，mysql优化器会不走这个索引，导致锁表问题。

2. 乐观锁

所谓乐观锁与前边最大区别在于基于CAS思想，是不具有互斥性，不会产生锁等待而消耗资源，操作过程中认为不存在并发冲突，只有update version失败后才能觉察到。我们的抢购、秒杀就是用了这种实现以防止超卖。
通过增加递增的版本号字段实现乐观锁

二、基于jdk的实现方式

思路：另启一个服务，利用jdk并发工具来控制唯一资源，如在服务中维护一个concurrentHashMap，其他服务对某个key请求锁时，通过该服务暴露的端口，以网络通信的方式发送消息，服务端解析这个消息，将concurrentHashMap中的key对应值设为true，分布式锁请求成功，可以采用基于netty通信调用，当然你想用java的bio、nio或者整合dubbo、spring cloud feign来实现通信也没问题
缺点：这种方式的分布式锁看似简单，但是要考虑可用性、可靠性、效率、扩展性的话，编码难度会比较高。

三、基于缓存（Redis等）实现分布式锁

1、官方叫做 RedLock 算法，是 redis 官方支持的分布式锁算法。

这个分布式锁有 3 个重要的考量点：

1.互斥（只能有一个客户端获取锁）
2.不能死锁
3.容错（只要大部分 redis 节点创建了这把锁就可以）

2、下面是redis分布式锁的各种实现方式和缺点，按照时间的发展排序

1、直接setnx
直接利用setnx，执行完业务逻辑后调用del释放锁，简单粗暴
缺点：如果setnx成功，还没来得及释放，服务挂了，那么这个key永远都不会被获取到
2、setnx设置一个过期时间
为了改正第一个方法的缺陷，我们用setnx获取锁，然后用expire对其设置一个过期时间，如果服务挂了，过期时间一到自动释放
缺点：setnx和expire是两个方法，不能保证原子性，如果在setnx之后，还没来得及expire，服务挂了，还是会出现锁不释放的问题
3、set nx px
redis官方为了解决第二种方式存在的缺点，在2.8版本为set指令添加了扩展参数nx和ex，保证了setnx+expire的原子性，使用方法：
set key value ex 5 nx
缺点：
①如果在过期时间内，事务还没有执行完，锁提前被自动释放，其他的线程还是可以拿到锁
②上面所说的那个缺点还会导致当前的线程释放其他线程占有的锁
4、加一个事务id
上面所说的第一个缺点，没有特别好的解决方法，只能把过期时间尽量设置的长一点，并且最好不要执行耗时任务
第二个缺点，可以理解为当前线程有可能会释放其他线程的锁，那么问题就转换为保证线程只能释放当前线程持有的锁，即setnx的时候将value设为任务的唯一id，释放的时候先get key比较一下value是否与当前的id相同，是则释放，否则抛异常回滚，其实也是变相地解决了第一个问题
缺点：get key和将value与id比较是两个步骤，不能保证原子性
5、set nx px + 事务id + lua
我们可以用lua来写一个getkey并比较的脚本，jedis/luttce/redisson对lua脚本都有很好的支持
缺点：集群环境下，对master节点申请了分布式锁，由于redis的主从同步是异步进行的，master在内存中写入了nx之后直接返回，客户端获取锁成功，此时master节点挂了，并且数据还没来得及同步，另一个节点被升级为master，这样其他的线程依然可以获取锁
6、redlock
为了解决上面提到的redis集群中的分布式锁问题，redis的作者antirez的提出了red lock的概念，假设集群中所有的n个master节点完全独立，并且没有主从同步，此时对所有的节点都去setnx，并且设置一个请求过期时间re和锁的过期时间le，同时re必须小于le（可以理解，不然请求3秒才拿到锁，而锁的过期时间只有1秒也太蠢了），此时如果有n / 2 + 1个节点成功拿到锁，此次分布式锁就算申请成功
缺点：可靠性还没有被广泛验证，并且严重依赖时间，好的分布式系统应该是异步的，并不能以时间为担保，程序暂停、系统延迟等都可能会导致时间错误（网上还有很多人都对这个方法提出了质疑，比如full gc发生的锁的正确性问题，但是antirez都一一作出了解答，感兴趣的同学可以参考一下这位同学的文章）

四、基于zookeeper实现的分布式锁

1. 实现方式

ZooKeeper是一个为分布式应用提供一致性服务的开源组件，它内部是一个分层的文件系统目录树结构，规定同一个目录下只能有一个唯一文件名。基于ZooKeeper实现分布式锁的步骤如下：

（1）创建一个目录mylock；
（2）线程A想获取锁就在mylock目录下创建临时顺序节点；
（3）获取mylock目录下所有的子节点，然后获取比自己小的兄弟节点，如果不存在，则说明当前线程顺序号最小，获得锁；
（4）线程B获取所有节点，判断自己不是最小节点，设置监听比自己次小的节点；
（5）线程A处理完，删除自己的节点，线程B监听到变更事件，判断自己是不是最小的节点，如果是则获得锁。

这里推荐一个Apache的开源库Curator，它是一个ZooKeeper客户端，Curator提供的InterProcessMutex是分布式锁的实现，acquire方法用于获取锁，release方法用于释放锁。

优点：具备高可用、可重入、阻塞锁特性，可解决失效死锁问题。

缺点：因为需要频繁的创建和删除节点，性能上不如Redis方式。

2. 两种利用特性实现原理：

1、利用临时节点特性
zookeeper的临时节点有两个特性，一是节点名称不能重复，二是会随着客户端退出而销毁，因此直接将key作为节点名称，能够成功创建的客户端则获取成功，失败的客户端监听成功的节点的删除事件
缺点：所有客户端监听同一个节点，但是同时只有一个节点的事件触发是有效的，造成资源的无效调度
2、利用顺序临时节点特性
zookeeper的顺序临时节点拥有临时节点的特性，同时，在一个父节点下创建创建的子临时顺序节点，会根据节点创建的先后顺序，用一个32位的数字作为后缀，我们可以用key创建一个根节点，然后每次申请锁的时候在其下创建顺序节点，接着获取根节点下所有的顺序节点并排序，获取顺序最小的节点，如果该节点的名称与当前添加的名称相同，则表示能够获取锁，否则监听根节点下面的处于当前节点之前的节点的删除事件，如果监听生效，则回到上一步重新判断顺序，直到获取锁。

总结

基于数据库分布式锁实现

优点：直接使用数据库，实现方式简单。
缺点：

db操作性能较差，并且有锁表的风险
非阻塞操作失败后，需要轮询，占用cpu资源;
长时间不commit或者长时间轮询，可能会占用较多连接资源

基于jdk的并发工具自己实现的锁

优点：不需要引入中间件，架构简单
缺点：编写一个可靠、高可用、高效率的分布式锁服务，难度较大

基于redis缓存

redis set px nx + 唯一id + lua脚本
优点：redis本身的读写性能很高，因此基于redis的分布式锁效率比较高
缺点：依赖中间件，分布式环境下可能会有节点数据同步问题，可靠性有一定的影响，如果发生则需要人工介入
基于redis的redlock
优点：可以解决redis集群的同步可用性问题
缺点：
依赖中间件，并没有被广泛验证，维护成本高，需要多个独立的master节点；需要同时对多个节点申请锁，降低了一些效率
锁删除失败过期时间不好控制
非阻塞，操作失败后，需要轮询，占用cpu资源;

基于zookeeper的分布式锁

优点：不存在redis的超时、数据同步（zookeeper是同步完以后才返回）、主从切换（zookeeper主从切换的过程中服务是不可用的）的问题，可靠性很高

缺点：依赖中间件，保证了可靠性的同时牺牲了一部分效率（但是依然很高）。性能不如redis。

jdk的方式不太推荐。

从理解的难易程度角度（从低到高）数据库 > 缓存 > Zookeeper
从实现的复杂性角度（从低到高）Zookeeper >= 缓存 > 数据库
从性能角度（从高到低）缓存 > Zookeeper >= 数据库
从可靠性角度（从高到低）Zookeeper > 缓存 > 数据库

没有绝对完美的实现方式，具体要选择哪一种分布式锁，需要结合每一种锁的优缺点和业务特点而定。

作者：
森林木马

出处：
https://www.cnblogs.com/owenma/

Original: https://www.cnblogs.com/owenma/p/12355262.html
Author: 森林木马
Title: 常用的分布式锁和redis和zk两种分布式锁的对比

2024 年 4 月
一	二	三	四	五	六	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

相关阅读1