本文原地址: http://feitianzhi.com/boke/index.php/archives/56/

转载请注明出处,有疑问或错误请发邮件到[email protected] 或加QQ群:869598376

背景

      linux分为很多发行版本，发行版本的内核可以升级，比如centos7可以使用kernel 4.,5.的内核（官方默认为3.*），但发行版本间确无法升级，比如centos7不能升级为ubuntu16.04，切换发行版本只能重装系统，甚至在同一发行版本间也不能升级，比如centos 8无法升级为rocky linux 9；

原因分析

      linux发行版本虽都使用同一内核，但应用层的构架没有统一标准，内存的配置文件也是千差万别，本处以ssh连接为例，在centos 8中的ssh_keys用户组号为982，而rocky linux 9中的ssh_keys用户组号为994，即使其他数据完全一样，仅这一区别，升级后直接导致ssh服务不可用；

版本不能升级的影响

1. 驱动问题，新硬件的驱动不能支持老版本，如intel的千兆wifi芯片，ax200、ax201、ax210、ax211只能支持5.2以上的内核，centos7(3.内核),centos8（4.内核）无法使用，虽然可以升级内核解决，但非官方原版，其稳定性与兼容性无法保证，使用官方原版可以共享他人成果，bug修正；
2. 生态问题，linux发行版本有其支持维护生命周期，比如centos8于2021年12月停止维护，停止维护后dnf(yum)安装软件包受限，运维成本增加，新版本的应用软件也不会再针对centos8进行测试；
3. 软件臃肿，最新的软件基于rocky linux9适配，但因项目存在centos7、centos8、ubuntu16.04等历史系统，软件不得不进行适配，增加工作量，同时需要大量的测试（开发人员需要熟悉多种发行版本，并针对调整）；
4. 持续消耗的运维成本，历史遗留的老系统需要持续维护（除非解约）或重新装机（每3年一次系统更替，远程机票出差等运维成本高昂）；

如何实现跨linux发行版本升级

期望的方案

1. 软件开发只需要考虑特定版本进行适配，如原来基于centos8开发的应用，现在换rocky linux9系统后，软件仅需要考虑rocky linux9系统，删除与centos8相关的代码，无须兼容centos8；
2. 系统可以跨发行版本直接升级，包含引导、内核、驱动、虚根、应用软件；比如原来是centos8系统(源系统为centos8集成好所有应用的一个镜像)，一键升级为rocky linux9（新系统是rocky linux9集成好所有应用的一个镜像）;
3. 系统可以跨发行版本进行降级；比如系统已升级为最新版本的系统rocky linux9，但发现某应用A工作不正常（可能A未适配好rocky linux9）,此时可以一键降级为centos8系统（应用A也降级为centos8适配过的版本），测试A的工作效果（让应用A立即恢复正常或测试A的工作效果以便在rocky linux9调整应用A，让应用A在rocky linux9中工作正常）；
4. 系统升级保证安全，允许升级过程断电，升级过程中网络故障自动校正（比如某软件包，驱动传输过程中被篡改，系统能自动识别，并拒绝升级）；
5. 故障恢复机制，应用运行过程中会产生临时文件，也可能因bug修改系统中关键文件，如不适当修改/etc中文件、修改驱动导致系统运行故障；故障恢复机制让系统具备系统故障时重启后自动恢复自初始状态（除应用指定的数据目录、网络配置、系统密码外的所有目录与文件恢复自初始状态），保证系统重启肯定可以正常运行；

小雉系统解决方案

      “小雉系统”是按以上需求的设计的一个镜像升级解决方案，适合ubuntu、centos、rocky linux、debian等linux发行版本；“小雉系统”仅是提供一个打包方案，无须重新编译原版系统的任何代码，稳定性、驱动、使用方法均与原发行版本完全一致（因“小雉系统”只提供打包方案，并不定义任何启动逻辑）；
      “小雉系统”解决方案开源，项目地址：
            github https://github.com/feitianzhi/xiaozhios
            gitee https://gitee.com/feitianzhi/xiaozhios
猜您可能喜欢
小雉系统安装: http://www.feitianzhi.com/boke/index.php/archives/11/
小雉系统安装包制作: http://www.feitianzhi.com/boke/index.php/archives/50/
小雉系统网络配置:http://www.feitianzhi.com/boke/index.php/archives/15/
小雉系统硬盘配置:http://www.feitianzhi.com/boke/index.php/archives/16/
小雉系统远程升级:http://www.feitianzhi.com/boke/index.php/archives/14/
使用Google Authenticator为小雉系统增加动态密码功能:http://www.feitianzhi.com/boke/index.php/archives/17/
小雉配置工具：http://www.feitianzhi.com/boke/index.php/fslib-config.html
资源下载：http://www.feitianzhi.com/boke/index.php/ziyuanxiazai.html

本文原地址: http://www.feitianzhi.com/boke/index.php/archives/55/

转载请注明出处,有疑问或错误请发邮件到[email protected] 或加QQ群:869598376

背景

      之前一直使用腾讯企业邮箱，最近腾讯强制绑定微信、手机验证让人不爽；

方案

      本方案是基于centos8.1进行定制，增加邮件相关的组件（大概18M），实现基础的邮件收发功能；

      本文演示以vultr的vps为例搭建邮件服务器；

步骤

1. 系统安装,配置网络，配置硬盘，参考http://www.feitianzhi.com/boke/index.php/archives/11/ 进行安装;
2. 升级，在http://www.feitianzhi.com/boke/index.php/ziyuanxiazai.html 选择 4.181.1507 以后的版本参考http://www.feitianzhi.com/boke/index.php/archives/14/ 进行升级;
3. 使用ftp把https://download.csdn.net/download/zhangrui_fslib_org/87637156的mysql初始数据库上传到ftp://admin:[email protected]的根目录，如果存在权限问题，可以ssh登录（root/12345）后chmod 777 /fs/project/data(ftp的根目录);

4. ssh登录（root/12345）主机，执行

   cd /fs/project/data;
   gzip -cd mysql-mail.cpio.gz|cpio -idvm;
   sync;
   reboot;

5. 使用浏览器访问http://ip/mailadmin/index.php 管理域名服务器（admin/admin123）,包括添加域名，添加邮箱；
6. 使用浏览器访问http://ip/maila/index.php 登录邮箱，进行邮件收发（账户密码为第5步添加的用户名密码）;

猜您可能喜欢
小雉系统安装: http://www.feitianzhi.com/boke/index.php/archives/11/
小雉系统安装包制作: http://www.feitianzhi.com/boke/index.php/archives/50/
小雉系统网络配置:http://www.feitianzhi.com/boke/index.php/archives/15/
小雉系统硬盘配置:http://www.feitianzhi.com/boke/index.php/archives/16/
小雉系统远程升级:http://www.feitianzhi.com/boke/index.php/archives/14/
使用Google Authenticator为小雉系统增加动态密码功能:http://www.feitianzhi.com/boke/index.php/archives/17/
小雉配置工具：http://www.feitianzhi.com/boke/index.php/fslib-config.html
资源下载：http://www.feitianzhi.com/boke/index.php/ziyuanxiazai.html

本文目的是为服务器配置可供多种操作系统访问的 IKEv1/IKEv2 接入，需要支持 Radius 认证;按照本文配置，没有进行流量统计的功能，如果有相关需求，请自行配置 Radius 和 StrongSwan 的 eap-radius 组件。
本文实现的 Radius 认证方式有：
EAP-MSCHAPv2（用户名+密码）、EAP-TLS（证书）、EAP-TTLS（证书）、PEAP（用户名+密码）

已知的问题
PEAP本可以支持两种认证方式：PEAP-EAP-MSCHAPv2（用户名+密码）与PEAP-EAP-TLS（证书）

但 FreeRadius 在PEAP中仅支持PEAP-EAP-MSCHAPv2与PEAP-EAP-TLS必须二选一而不能同时启用。

FreeRadius 推荐且默认为PEAP-EAP-MSCHAPv2，鉴于用户使用PEAP-EAP-MSCHAPv2是主流，且后者替代品丰富，所以放弃对PEAP-EAP-TLS的支持。但出于测试的目的，笔者尝试配置PEAP-EAP-TLS却未能成功。

系统环境
公有云上的 CentOS 7 x86_64（非 OpenVZ），双核，2 GB 内存，SELinux 不开启

配置StrongSwan
说明：不使用 yum 直接安装的原因是在库中的二进制 StrongSwan 的参数配置导致无法通过 OS X 与 iOS 连接

配置环境 & 编译
编译安装默认的配置文件路径为 /usr/local/etc，通过 yum 安装的默认为 /etc/strongswan

yum -y install pam-devel openssl-devel make gcc curl wget
wget --no-check-certificate https://download.strongswan.org/strongswan-5.3.5.tar.gz
tar zxvf strongswan-5.3.5.tar.gz
cd strongswan-5.3.5
./configure --enable-eap-identity --enable-eap-md5 \
--enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap \
--enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap \
--enable-xauth-pam --enable-dhcp --enable-openssl --enable-addrblock --enable-unity \
--enable-certexpire --enable-radattr --enable-swanctl --enable-openssl --disable-gmp
make && make install
配置证书
需要生成的证书包括根证书（CA）、服务器证书（Server）和客户端证书（Client），客户端证书可用于通过证书认证。

生成根证书
ipsec pki --gen --outform pem > ca.key.pem
ipsec pki --self --in ca.key.pem --dn "C=CN, O=VisionSrv, CN=VisionSrv CA" --ca --lifetime 3650 --outform pem > ca.cert.pem
生成服务器证书
ipsec pki --gen --outform pem > server.key.pem
ipsec pki --pub --in server.key.pem --outform pem > server.pub.pem
ipsec pki --issue --lifetime 1200 --cacert ca.cert.pem --cakey ca.key.pem --in server.pub.pem --dn "C=CN, O=VisionSrv, CN=dev.panic.ml" --san="dev.panic.ml" --flag serverAuth --flag ikeIntermediate --outform pem > server.cert.pem
生成客户端证书
ipsec pki --gen --outform pem > client.key.pem
ipsec pki --pub --in client.key.pem --outform pem > client.pub.pem
ipsec pki --issue --lifetime 1200 --cacert ca.cert.pem --cakey ca.key.pem --in client.pub.pem --dn "C=CN, O=VisionSrv, CN=dev.panic.ml" --outform pem > client.cert.pem
生成 p12 证书可以设置密码，请注意：OS X 无法导入密码为空的 p12 证书
openssl pkcs12 -export -inkey client.key.pem -in client.cert.pem -name "VisionSrv Client Cert" -certfile ca.cert.pem -caname "VisionSrv CA" -out client.cert.p12
复制证书
说明：

（1）如果你希望用户通过用户名 + 密码连接 IKEv2，请将 ca.cert.pem 发送给客户并要求客户安装证书
（2）如果你希望用户直接通过证书登陆，请将 client.cert.p12 发送给客户并要求客户安装证书
（3）如果是 iOS，用户还需要安装 ca.cert.pem
（4）如果是 OS X，用户需要设置 CA 根证书为可信
cp -r ca.key.pem /usr/local/etc/ipsec.d/private/
cp -r ca.cert.pem /usr/local/etc/ipsec.d/cacerts/
cp -r server.cert.pem /usr/local/etc/ipsec.d/certs/
cp -r server.key.pem /usr/local/etc/ipsec.d/private/
cp -r client.cert.pem /usr/local/etc/ipsec.d/certs/
cp -r client.key.pem /usr/local/etc/ipsec.d/private/
配置 ipsec.conf
通过编译安装，ipsec.conf 路径为 /usr/local/etc/ipsec.conf，通过 yum 安装路径为 /etc/strongswan/ipsec.conf

config setup

uniqueids=never 

conn cisco_cert

keyexchange=ikev1
fragmentation=yes
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightauth2=xauth-radius
rightsourceip=10.31.2.0/24
auto=add

conn cisco_xauth_psk

keyexchange=ikev1
left=%defaultroute
leftauth=psk
leftsubnet=0.0.0.0/0
right=%any
rightauth=psk
rightauth2=xauth-radius
rightsourceip=10.31.2.0/24
auto=add

conn standard_ikev2

keyexchange=ikev2
ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!
esp=aes256-sha256,3des-sha1,aes256-sha1!
rekey=no
left=%defaultroute
[email protected]
leftsendcert=always
leftfirewall=yes
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=eap-radius
rightsourceip=10.31.2.0/24
eap_identity=%any
dpdaction=clear
fragmentation=yes
auto=add

配置 strongswan.conf
通过编译安装，ipsec.conf 路径为 /usr/local/etc/strongswan.conf，通过 yum 安装路径为 /etc/strongswan/strongswan.conf

charon {

load_modular = yes
duplicheck.enable = no #是为了你能同时连接多个设备，所以要把冗余检查关闭
compress = yes
plugins {
    include strongswan.d/charon/*.conf
    eap-radius {
        servers {
            server-a {
                address = YourRadiusServer
                secret = YourRadiusSecret
                # nas_identifier = ipsec-gateway
            }
        }
    }
}
dns1 = 114.114.114.114
dns2 = 8.8.8.8
# for Windows WINS Server
nbns1 = 114.114.114.114
nbns2 = 8.8.8.8

}

include strongswan.d/*.conf
配置 ipsec.secrets
通过编译安装，ipsec.conf 路径为 /usr/local/etc/ipsec.secrets，通过 yum 安装路径为 /etc/strongswan/ipsec.secrets

: RSA server.key.pem
: PSK "visionsrv"
: XAUTH "visionsrv"
test : EAP "123456"
我们在这里增加了一个测试账号，但在 Radius 认证中并不生效，如果需要使用此认证用于测试或不需要使用 Radius 进行认证，请将 ipsec.conf 中的 rightauth(或 rightauth2) 值改为 eap-mschapv2(eap-radius) 或 xauth(xauth-radius)

注意： 在停用 Radius 认证后，使用本文配置将无法通过客户端证书直接连接 VPN 服务器。如有需要，请自行研究配置方式。 下面是一些直接使用证书认证的参考资料： StrongSwan Android、Windows 身份验证（使用计算机证书）-> IKEv2 Certificate -> rightauth=pubkey StrongSwan Android、OS X、iOS -> EAP-TLS -> rightauth=eap-tls Linux 通过 NetworkManager-strongswan 支持上述所有方式

配置防火墙
本文使用的是 CentOS 7 默认的防火墙 firewalld，如需要 iptables 请查看官方文档或参阅 Google

firewall-cmd --add-port=500/tcp --permanent
firewall-cmd --add-port=500/udp --permanent
firewall-cmd --add-port=4500/tcp --permanent
firewall-cmd --add-port=4500/udp --permanent
firewall-cmd --add-masquerade --permanent
firewall-cmd --reload
启动服务
systemctl start strongswan
systemctl enable strongswan
配置 Radius
安装并配置 FreeRadius

yum install -y freeradius*
echo 'test ClearText-Password := "123456"' >> /etc/raddb/users

配置 Radius 客户端，0.0.0.0 替换为 VPN 服务器地址，123456 替换为您想设置的 Radius 连接密钥

cat >> /etc/raddb/clients.conf < <-EOF
client 0.0.0.0 {

    secret = 123456
    shortname = 0.0.0.0
    nas_type = other

}
EOF
请将 CA 根证书ca.cert.pem放置在/etc/raddb/certs/ca.pem（本项如果不需要通过客户端证书连接可以不配置）

请将服务器证书server.cert.pem放置在/etc/raddb/certs/server.pem

服务器私钥server.key.pem放置在/etc/raddb/certs/server.key

完成后，请执行命令cat /etc/raddb/certs/server.key >> /etc/raddb/certs/server.pem

2016-5-8 更新： 新版 OS X 对用户名+密码不再要求强制校验服务器身份，所以不使用证书登陆可以不配置 RADIUS 证书。

注意
不配置 Radius 服务器证书时 Windows PEAP 连接将弹出提示（提示信息为“信息不足，无法验证服务器”），OS X 将拒绝连接。

需要说明的是，这并不是一般的 Radius 服务器证书配置方法，但出于简单、实用且易于描述的考虑我们这样做以免您产生混淆。

正常的做法是通过通用的 CA 根证书、 CA 私钥、 CSR 文件以及 FreeRadius 内置的私钥为 Radius 服务器生成一个证书。

这样生成的服务器证书可以被 VPN 客户端的 PEAP 判断为合法的服务器并进行连接。

OS X 使用 PEAP-EAP-MSCHAPv2（用户名）和 EAP-TLS（证书）并强制要求校验服务器合法性。

Windows 可以选择使用 PEAP-EAP-MSCHAPv2（用户名）和 EAP-TLS（证书），但配置更自由，更具灵活性。

在本文所述的方法中，因 server.pem 中的私钥是未加密的，所以 eap 配置文件中的私钥密码是不产生作用的。

配置防火墙

Radius 认证端口

firewall-cmd --add-port=1812/udp --permanent

Radius 计费端口（本文不会使用）

firewall-cmd --add-port=1813/udp --permanent
firewall-cmd --reload
客户端配置
说明：

（1）如果你希望用户通过用户名 + 密码连接 IKEv2，请将 ca.cert.pem 发送给客户并要求客户安装证书
（2）如果你希望用户直接通过证书登陆，请将 client.cert.p12 发送给客户并要求客户安装证书
（3）如果是 iOS，用户还需要安装 ca.cert.pem
（4）如果是 OS X，用户需要设置 CA 根证书为可信
OS X
OS X 采用了严格的安全校验措施，IKEv2 连接采用 PEAP(用户名+密码)/EAP-TLS(证书) 模式并必须验证服务器身份，
对服务器校验分两步：（1）校验该服务器证书是否是合法 CA 签发的，（2）校验被连接服务器的被连接域名是否是证书允许的
OS X 要求这两部分必须均校验且通过，Windows 可以选择是否校验以及校验至哪一步。
这意味着为了保证 OS X 正常使用 IKEv2，您必须为 Radius 服务器配置证书。
iOS 与 OS X 的要求相似，本文以 OS X 为例进行说明。
IKEv1
配置位置：系统偏好设置 -> 网络 -> 新建 -> VPN -> Cisco IPsec
服务器地址：在这里输入您的服务器地址
账户名称：在这里输入用户名
密码：在这里输入密码
在鉴定设置 -> 共享的密钥中输入在 ipsec.secrets 中设置的 PSK 预共享密码
IKEv2
配置位置：系统偏好设置 -> 网络 -> 新建 -> VPN -> IKEv2
服务器地址：在这里输入您的服务器地址
远程地址：在这里输入您的服务器地址
在鉴定设置 -> 用户名中输入在 ipsec.secrets 中设置的用户名和密码（通过用户名密码登陆）
在鉴定设置 -> 证书中选择安装的客户端证书（通过客户端证书登陆）
Android
由于 Andorid 的版本众多，配置方法可能不同但大同小异。

IKEv1
说明：您也可以使用 IPSec Xauth RSA 进行连接，但需要安装证书，连接时选择客户端证书，CA 和服务器证书留空

配置位置：设置 -> 其它连接方式 -> VPN -> 添加 VPN
名称：在这里填写任意名称
类型：IPSec Xauth PSK
IPsec 标识符：不更改此项内容
预共享密钥：在这里输入在 ipsec.secrets 中设置的 PSK 预共享密码
此后，在连接时输入您的用户名和密码。

IKEv2
您需要安装 StrongSwan Andorid 版本，具体配置方法详见不同版本的配置方法。

由于该 APP 为官方出品，支持认证方法众多，配置简单，推荐使用。

Windows
说明：鉴于 Windows 支持认证方式较为广泛，本文仅示例最简单的通过 EAP(MSCHAPv2) 与通过本地证书(EAP-TLS)进行认证

Windows 7 以下版本不支持 IKEv2 连接，所有版本均不支持 IKEv1 连接，如有需要请下载第三方组件。
本文配置对于 Windows 7 以上版本的 IKEv2 连接，支持通过 EAP-MSCHAPv2、EAP-TLS、PEAP(部分支持)、EAP-TTLS 认证
本文采用 Windows 10 作为操作示例，其它受支持的 Windows 版本配置与本文类似，请自行研究。
如前文所述，本文对于 PEAP 仅支持 PEAP-EAP-MSCHAPv2(用户名+密码)，不支持 PEAP-EAP-TLS(证书)。
有消息称，不同连接方式之间的性能可能存在差异，但笔者并未进行详细的性能测试。
注意：笔者测试 StrongSwan 官方的 Windows 7 配置，但 Windows 7 仍不可连接。 错误提示为 IKE 身份验证凭证不可接受，该问题通常是由于 CA 根证书未安装导致，但 CA 根实际上已经安装。 因此，错误原因不明，该问题仅在 Windows 7 （Windows Server 2008）上被发现，其他未见影响。

IKEv2
配置位置：网络与共享中心 -> 设置新的连接或网络 -> 连接到工作区 -> 使用我的 Internet 连接
Internet 地址：在这里填写服务器地址
确认后，在网络与共享中心 -> 更改适配器设置 -> 选择刚刚添加的 VPN -> 右键选择属性 -> “安全”中“VPN 类型”选择 IKEv2
在这里，我们展示两种方式：

方法一：通过 EAP-TLS 使用证书连接

（1）安装客户端证书 client.cert.p12，设置为可信
（2）在“安全”中选择“Microsoft: 智能卡或其他证书（启用加密）”，在“属性”中选择“在此计算机上使用证书”
（3）完成上述步骤后，可以勾选“通过验证证书来验证服务器身份”，在文本框中输入 VPN 服务器地址
（4）勾选“连接到这些服务器”，在证书列表中选择 CA 根证书（一般在最后一个）后确定
（5）尝试连接到 VPN 服务器即可
说明：用户可以关闭“通过验证证书来验证服务器身份”，但这将降低用户安全性。

方法二：通过 EAP-MSCHAPv2 使用用户名与密码连接

（1）安装 CA 根证书，设置为可信
（2）在“安全”中选择“Microsoft: 安全密码(EAP-MSCHAP v2)(启用加密)
（3）尝试输入账号密码进行 VPN 连接即可。

一、软件说明

    IPsec是虚拟私密网络（*）的一种，用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成，第一阶段（Phrase 1, ph1），交换密钥建立连接，使用互联网密钥交换（ike）协议; 第二阶段（Phrase 2, ph2），连接建立后对数据进行加密传输，使用封装安全载荷（esp）协议。

    其中，第一阶段和第二阶段可以使用不同的加密方法（cipher suites）。甚至，第一阶段ike协议的第一版（ikev1）有两种模式，主力模式（main mode）和积极模式（aggressive mode），主力模式进行六次加密握手，而积极模式并不加密，以实现快速建立连接的目的。

    第一阶段的 ike 协议有两个版本（ikev1/ikev2），不同的开源/闭源软件实现的版本均不同，不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法，使得 IPsec 的配置有点黑魔法的性质，要么完全懂，通吃; 要么完全不懂，照抄。

二、设备操作系统规格

这里主要介绍了设备/操作系统使用的 ike 版本及其特殊要求。

Linux

    命令行客户端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端，不使用各种移动设备也不使用 Windows，那么完全没有那么多事。

    但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接，必须使用证书或 EAP （各种加密方法都支持，包括微软的 MSCHAPv2）进行认证，不支持纯密码（PSK）认证。这并不是 strongswan 的错误，或者技术不行（开源总是走在技术最前沿的，毕竟命令行是支持的），而仅仅是体现一种选择：ikev1 被 strongswan 项目认为是该淘汰的协议，而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。

Android

    Android 和 Linux 不一样，只支持 ikev1。其它方面和 Linux 一样，甚至有好多种 IPsec * 配置模式可供选择。

IOS/Mac OS X

    它们声明使用的 IPsec 客户端为 Cisco，实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1，可以使用证书或纯密码（PSK）认证，但必须辅之 xauth 用户名/密码认证。

该修改版的 racoon 会优先使用不加密的积极模式，而积极模式是 strongSwan 所不支持的。所以要使用主力模式。

    IOS 6 还有一个「衔尾」故障：它在第一阶段握手时会把数据包拆分成小块（fragmentation），然后「加密」发送。然而这种加密仅仅是声明的，其实并未加密，这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考：Cisco * stop working after upgrading to IOS 6

所以产生了一种权宜之计，就是使用小证书（小于 1024，默认一般为 2048）,来达到不拆包的目的。但是 Mac OS X 10.7 的更新却对这种方式进行了封杀，学习微软加入了证书验证，小证书直接拒绝。

所幸 strongswan 5.0.2 已经完成了 fragmentation 的开源实现和对 iOS 那个声明加密其实未加密故障的处理：IKE message fragmentation (cisco) + IOS 6.0 Hack for encrypted flaged ike fragmentation packets，该链接中也能找到 strongswan 4 的补丁。

Windows

    微软的差劲只比 iOS 好一点。好处在于它支持了 ikev2，但是只在 Windows 7 以后支持，Vista 之前依然使用 ikev1，坏处在于它的 ikev2 支持非常诡异，指定了 Diffie Hellman group（DH，迪菲－赫尔曼密钥交换组）必须是 modp1024。这是非常少见理论上不应该由系统管理员操心的加密选项：

    在 strongswan 中，定义第一阶段（ike）和第二阶段（esp）加密方法的语法是：

ike/esp=encryption-integrity-dhgroup
第一阶段/第二阶段=加密方法-健壮性认证方法 （后面两项可选）[-DH 组] [-扩展序列号支持模式（RFC4304）]

参考：IKEv2CipherSuites

    Windows 定义了一个可选的选项，导致了我们必须去定义整个第一阶段的加密方法。这样被破解的可能性就提高了。

    其次在于它的 rekey（重连）。IPsec 的认证是有时效的，超过时间会重新认证。这种 CHILD_SA 认证可由服务器发出，也可由客户端发出，一般是由服务器发出。但是 Windows 7 的 ikev2 的表现是，如果你在路由器（NAT）后，收到这种请求会把微软内部的通知代码发出去，代码为 12345, 经过 strongswan 项目侦错后发现这个代码的意思是 ERROR_IPSEC_IKE_INVALID_SITUATION。但是处理不了，它不是 IPsec 标准协议定义过的错误。

于是有两种权宜之计：

    一种是让 Windows 7 来主动 rekey。Windows 7 rekey 的时间大约是 58 分 46 秒，所以要配置服务器 rekey 时间比它长。但是效果非常不好。因为 rekey 是由三个变量控制的，key 的生命周期，key 的边际时间（生命周期前多久进行 rekey），和边际时间误差（rekeyfuzz），误差是不可控的。参考：ExpiryRekey。

    即使能控制 strongswan 这边，Windows 依然是「大约」; 即使两边都能控制，假设服务器延后一秒 rekey，理论上如果连接持续时间足够长，依然能够撞车：58x60+46 次 rekey 后即 146 天后撞车，连一年都没有，在 Linux 服务器对 Windows 服务器这种使用实例中就明显不符合要求。

所以目前只能使用后一种方法即完全禁用服务器端 rekey。

    最后，它的 EAP 认证也非常糟糕。MSCHAPv2 的 eap 身份不是 ikev2 身份（ikev2 身份一般是 EAP 用户名），所以必须在服务器端显式定义 eap_identity 来使用 Windows 7 的 eap 身份。

三、软件的安装

软件的安装很方便，这里我们使用epel仓库里面的yum安装

yum install strongswan 

一条命令就安装好了，下面来查看安装了哪些文件

rpm -ql strongswan

这里我就不展示有哪些内容，下面来看看我们主要使用的配置文件

rpm -qc strongswan

其中/etc/strongswan/ipsec.conf是主要的配置文件，我们也主要对他进行配置

开启转发

echo 1 > /proc/sys/net/ipv4/ip_forward

关闭防火墙

service iptables stop

iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o eth0 -j MASQUERADE

四、软件的配置

1、证书的创建，我这里不再进行演示，大家可以下面的文章

   http://wangzan18.blog.51cto.com/8021085/1676529

    假设证书都已经创建好了，我们把证书放到下面的目录，如果使用PSK认证，不需要证书可以跳过这一步。

cp -r cacert.pem /etc/strongswan/ipsec.d/cacerts/
cp -r server.crt /etc/strongswan/ipsec.d/certs/
cp -r server.key /etc/strongswan/ipsec.d/private/
cp -r client.crt /etc/strongswan/ipsec.d/certs/
cp -r client.key /etc/strongswan/ipsec.d/private/
1.
2.
3.
4.
5.
2、编辑ipsec.conf

    我主要使用的是第二个链接的与共享密钥，比较简单，文章最后有介绍各参数的意义。

vim /etc/strongswan/ipsec.conf

config setup

uniqueids=never 

conn IOS_cert #使用证书认证

keyexchange=ikev1
fragmentation=yes
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.crt
right=%any
rightauth=pubkey
rightauth2=xauth
rightsourceip=10.31.2.0/24
rightcert=client.crt
auto=add

conn android_xauth_psk #使用与共享密钥认证，不需要证书，安卓IOS都可以连接

keyexchange=ikev1
left=%defaultroute
leftauth=psk
leftsubnet=0.0.0.0/0
right=%any
rightauth=psk
rightauth2=xauth
rightsourceip=10.31.2.0/24
auto=add

conn networkmanager-strongswan

keyexchange=ikev2
left=%defaultroute
leftauth=pubkey
leftsubnet=0.0.0.0/0
leftcert=server.cert.pem
right=%any
rightauth=pubkey
rightsourceip=10.31.2.0/24
rightcert=client.crt
auto=add

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
3、ipsec.secrets配置

这个文件默认是没有的，我自己来进行创建

vim /etc/strongswan/ipsec.secrets 

: RSA server.pem
: PSK "myPSKkey"
: XAUTH "myXAUTHPass"
[用户名] %any : EAP "[密码]"
1.
2.
3.
4.
将上面的myPSKkey单词更改为你需要的PSK认证方式的密钥；

将上面的myXAUTHPass单词更改为你需要的XAUTH认证方式的密码,该认证方式的用户名是随意的；

将上面的[用户名]改为自己想要的登录名,[密码]改为自己想要的密码([]符号去掉),可以添加多行,得到多个用户,这即是使用IKEv2的用户名+密码认证方式的登录凭据。

: PSK "PSK password" 相当于：%any %any : PSK "PSK password"
1.
    遵循：“主机 对等点 : 方法 <本机证书/协议密码> <本机证书密码>”的格式。以 ：为分界，分别从左到右填充，除了各类密码缺失以 null 补位，其它都用 %any 补位（密码怎么可能是 %any）。

比如我的配置就是如下这样：

: RSA server.key
: PSK "123456a"
test %any : XAUTH "123456"
test %any : EAP "123456"
1.
2.
3.
4.
4、strongswan.conf配置

    dns可以改为你想使用的dns，可以添加两个dns1  dns2。

 vim /etc/strongswan/strongswan.conf

charon {

    load_modular = yes
    duplicheck.enable = no
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 114.114.114.114
    nbns1 = 114.114.114.114

}
include strongswan.d/*.conf
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

五、服务的启动

service strongswan start

然后我们就可以使用手机进行连接了，IOS手机我也试过，也是可以连接的。

    注意这里使用的是Xauth认真的IPSec *。

    点击进行登录，输入我们在文件ipsec.secrets设定的账号密码。

    如下显示连接成功，可以打开浏览器查看我们的地址。

    连接上去之后，我们可以在服务器上面查看*的连接状态等等，可以使用strongswan命令查看，如下：

六、ipsec.conf配置文件的详解

   其中config setup只能出现一次，而conn <连接名称> 可以有很多个。这里的名称不是预定义的，可以随意写，只要你能识别就行，主要用来定义一种连接，就是为了让你在日志里好找。

1、新版strongswan里config setup的内容不如旧版的多，许多旧版必须有的选项都被作废了。比如：

plutostart新版所有的ike协议都由原来ikev2的daemon：charon接管。根本就没有pluto了。

nat_traversal新版所有的ike协议都是可以穿越路由器（NAT）的。

virtual_private定义服务器的局域网IP地址。现在被魔术字0.0.0.0/0取代了。

pfs完美向前保密，用于rekey时。意思是你现在的密钥互换过程如果被攻破了，会不会对已经互换过的密钥产生影响。以前一般设置成no来适用于IOS这种客户端会以积极模式发出非加密的rekey请求的情况。现在这个选项完全没作用了。第一阶段永远是完美向前保密的，第二阶段（esp）如果指定了DH组那么也是完美向前保密的，但是默认加密方法就已经指定了DH组。所以该选项永远为yes。

2、而另外旧版和新版都有的选项也都定义了默认值，比如：

strictpolicy是否一定需要证书吊销列表（CRL）的URL。默认就是no。

charonstart是否启动ikev2的daemon。这是旧版加入的，因为那个时候的主力是pluto。现在默认就是yes，你改成no那你连原先pluto的连接都无法连接，因为ike协议的实现全被charon 接管了。

    所以config setup基本上占位就行了。这里我们修改了uniqueids的值来实现多设备同时在线。

3、而conn最主要要理解左右的概念。其实左右是可以不分的，它们只是用来表示一个连接的两端。只是在如果你定义的不够全面时，左侧会默认被认为是本机（你的VPS），右侧默认为他机（你的笔记本），即以左为尊。

left/right是左右id。它们用来识别服务器/客户端，可以是证书的判别名（DN），比如 "C=CN, O=strongSwan, CN=strongSwan CA"，也可以是 IP 地址，也可以是 EAP 的用户名，还可以是魔术字 %any，表示什么都行。只是在 5.0.0 之前，为本机这边定义 %any 的话，ikev1 连接即 keyexchange=ikev1 的连接是识别不了，所以要改成 %defaultroute 表示自己从 ifconfig 里取 IP。为了和 right 的 %any 区分开，我们使用这种方法。所以说到最后这两个选项似乎没有什么用。但它们是必须的。

leftauth/rightauth这是最重要的改动。新版主要是作废了之前的authby和 xauth=server/client选项而都改用这种方法。因此使得ikev1也能够出现混血认证（左右两边认证的方法不同）了。参数主要有pubkey表示用证书，psk表示用密码，eap表示用扩展验证协议。

leftauth2/rightauth2是为了应对旧版很常见的authby=xauthpsk/xauthrsasig 的。现在xauth 只能写在这里。而psk对应leftauth/rightauth里的 PSK 方法，rsasig则对应pubkey方法。

leftsubnet最重要的，引入了魔术字 0.0.0.0/0。如果你在右侧为客户端分配虚拟 IP 地址的话，那表示你之后要做iptables转发，那么左边就必须是用魔术字。

leftcert/rightcert就是指定证书名字。

rightsourceip为客户端分配的虚拟IP段。

auto定义strongswan启动时该连接的行为。start是启动; route是添加路由表，有数据通过就启动; add是添加连接类型但不启动; ignore是当它不存在。默认是ignore。看起来似乎是route比较好，但问题是我们服务器端不能预分配虚拟IP，所以服务器端一般用的都是add。而客户端文本配置可以选择start。

    另外说下旧版的 xauth=server/client 的问题。它表示在服务器端还是在客户端执行 xauth 认证。而在新版中主要通过左右方向来体现。比如你在服务器端执行认证，那认证请求是由客户端发出的，所以要写 rightauth2=xauth。如果在客户端执行认证，那认证请求是服务器发出的，所以要写 leftauth2=xauth。

    另外网上很常见的一个配置选项是 leftfirewall=yes。这是完全错误的。看上去它的唯一作用是定义你的服务器是不是在防火墙后面，但实际上它是作为 ipsec_updown 脚本的参数被开发出来，是表明你的本机 subnet 是不是用 iptables 转发/伪装出来的。如果是的话，就调用 left/rightupdown 定义的路径下的脚本，脚本的作用是对通过 ipsec 连接的数据包进行 iptables 豁免。

    之所以说它是错到离谱的（虽然没有产生影响），因为这些人完全就不懂，有公网 IP 的服务器的 subnet 很少是伪装的。另外必须写了脚本该选项才有意义，没看过一个定义了这个选项的人写过脚本。还有，leftsubnet=0.0.0.0/0 通过魔术字把 subnet 定义为了 any，你根本没法写脚本啊。所以我们这里完全就不用。

至于某类型连接，主要是根据设备规格定义的，一些特殊选项的解释如下：

fragmentation=yes 开启对 iOS 拆包的重组支持。

ike=aes256-sha1-modp1024! Windows 指定的第一阶段加密方法。

rekey=no 服务器对 Windows 发出 rekey 请求会断开连接。

rightsendcert=never 因为这是一个混血连接。服务器对自己的身份进行认证时使用的是证书，而服务器对客户端的认证使用的只是 eap-mschapv2。如果不设置的话默认是 ifasked，意思是如果服务器向客户端请求证书，客户端就会给它，但客户端给不出，连接就会断。这里设置为客户端永远不给，实际上的意思其实是服务器不要向客户端请求证书。

eap_identity=%any 使用 Windows 的 eap 身份。不然会出现”no eap key found for host “错误。

六、客户端的设置

IOS

    把CA证书和之前做好的pkcs12（.p12）发邮件给自己。在IOS上收邮件，导入两者。然后新建 IPSec *：

服务器，都是IP或都是URL

账户和密码写ipsec.secrets 里XAUTH前后的那两个

如果要使用证书，证书选刚才的那个。否则可以不使用证书，输入ipsec.secrets 里设置的PSK密码。

Android

1、IPSec Xauth PSK

主要还是：

服务器，都是IP或都是URL

IPSec预共享密钥：写ipsec.secrets里PSK后面的那个密码。

然后登入时还是用XAUTH前后的那两个做用户名密码。

2、"strongSwan * Client" for Android 4.0 (ICS)+

    这是官方自己出的客户端，Google Play 里就有。

    把之前做好的 pkcs12 发邮件给自己。实际上 pkcs12 里就包含了CA证书，iOS是有bug才必须明确要求导入CA证书（鄙视之）。Android不用。直接在GMail里点击就会提示你导入。

    然后打开官方客户端，新建方案：

Gateway就是服务器，同上

Type 选 IKEv2 Certificate

User certificate 选你刚才导入的

取消自动选择CA证书，然后在用户证书里选你刚才从pk12导入的

Windows的客户端我还是建议使用pptp或者l2tp open*

七、问题调试

如果没有特殊需要，服务器端的日志就足够检测出绝大多数问题的来源。

日志阅读技巧

    strongswan 的 charon daemon 启动后，会初始化并加载之前你定义好的 conn，这部分 log 是没有必要去读的。当然在你配置有问题时可能就有必要了，但当配置有问题的时候，service strongswan start会失败，strongswan status就会指出你配置问题所在的行号（=。=）...

服务器端调试

/var/log/strongswan-charon.log 文件

需要在/etc/strongswan/strongswan.d/charon-logging.conf里面开启调试日志功能

IOS调试

    越狱安装iFile。编辑/etc/racoon/racoon.conf文件，找到 #log debug; 字段，改成：

log debug;
path logfile "/var/log/racoon.log";
1.
2.
Android 调试

strongSwan 官方客户端提供了日志查看功能。

android 自带的 * 调试方法如下：

打开「终端模拟器」，输入 su，会弹出超级用户，允许。

cd /storage/sdcard0
logcat -f ./log.txt
1.
2.
然后用 Airdroid 等工具把 SD 卡中的 log.txt 传到电脑上，打开搜索 * 即可。

八、总结

   经过我测试得出的结论，我目前只测试了IOS 8还有安卓手机小米Note，都是使用的xauth认证，没有使用证书，我的小米Note是可以连接的上，但是页面加载有问题，查看日志他是使用的android_xauth_psk这个连接，也没有找到问题的原因，同样的配置用IOS连接，因为我们使用的是IOS自带的IPSec *连接，也没有使用证书，参数和安卓的连接一样，因为没有使用证书，识别的也是android_xauth_psk这个连接，但是访问都是一切正常的。

    如果有什么问题欢迎大家和我一起探讨。

附：快速安装文档

环境准备

service iptables stop
setenforce 0
echo 1 > /proc/sys/net/ipv4/ip_forward
yum install strongswan -y
1.
2.
3.
4.

设置主配置文件

vim /etc/strongswan/ipsec.conf

config setup

uniqueids=never

conn mobile_xauth_psk

keyexchange=ikev1
left=%defaultroute
leftauth=psk
leftsubnet=0.0.0.0/0
right=%any
rightauth=psk
rightauth2=xauth
rightsourceip=10.31.2.0/24
auto=add

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

添加数据包伪装转发

iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o eth0 -j MASQUERADE
1.

添加账号密码等信息

vim /etc/strongswan/ipsec.secrets

: PSK "123456a"
test %any : XAUTH "123456"
test %any : EAP "123456
1.
2.
3.

配置strongswan文件

vim /etc/strongswan/strongswan.conf

charon {

    load_modular = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    dns1 = 8.8.8.8
    nbns1 = 8.8.4.4

}

include strongswan.d/*.conf
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

启动*服务连接

登录后复制
service strongswan start
chkconfig strongswan on
1.
2.

按照上面要求，账号密码如下,手机连接即可。

账号：test
密码：123456

预共享密钥：123456a

©著作权归作者所有：来自51CTO博客作者wzlinux的原创作品，请联系作者获取转载授权，否则将追究法律责任
CentOS 用Strongswan搭建IPSec *
https://blog.51cto.com/wzlinux/1683915

本文原地址: http://www.feitianzhi.com/boke/index.php/archives/50/

转载请注明出处,有疑问或错误请发邮件到[email protected] 或加QQ群:869598376

概述

      小雉系统的安装包可从线上系统中直接制作，制作的安装包包含线上系统的更新；
      小雉系统只提供升级包，对应的安装包均是客户在应用升级包后按本文自行制作；

步骤

1. root登录ssh系统;
2. 运行“cd /fs/project/data”;
3. 运行“/fs/bin/ddimg”;
4. 使用gzip压缩；
5. 使用ftp下载安装包；

猜您可能喜欢
小雉系统安装: http://www.feitianzhi.com/boke/index.php/archives/11/
小雉系统安装包制作: http://www.feitianzhi.com/boke/index.php/archives/50/
小雉系统网络配置:http://www.feitianzhi.com/boke/index.php/archives/15/
小雉系统硬盘配置:http://www.feitianzhi.com/boke/index.php/archives/16/
小雉系统远程升级:http://www.feitianzhi.com/boke/index.php/archives/14/
使用Google Authenticator为小雉系统增加动态密码功能:http://www.feitianzhi.com/boke/index.php/archives/17/
小雉配置工具：http://www.feitianzhi.com/boke/index.php/fslib-config.html
资源下载：http://www.feitianzhi.com/boke/index.php/ziyuanxiazai.html

本文原地址: http://www.feitianzhi.com/boke/index.php/archives/49/

转载请注明出处,有疑问或错误请发邮件到[email protected] 或加QQ群:869598376

参考文章:https://blog.csdn.net/yaotengjian/article/details/121803257

1、LVM简介：Logical Volume Manager

   Linux环境下对磁盘分区进行管理的一种机制。LVM是建立在硬盘和分区之上的一个逻辑层，来提高磁盘分区管理的灵活性。当系统添加了新的磁盘，通过LVM管理员就不必将磁盘的文件移动到新的磁盘上以充分利用新的存储空间，而是直接扩展文件系统跨越磁盘即可。

  LVM可以将这些底层的物理磁盘或分区整合起来，抽象成容量资源池，以划分成逻辑卷的方式供上层使用，其最主要的功能即是可以在无需关机无需重新格式化（准确地说，原来的部分无需格式化，只格式化新增的部分）的情况下弹性调整逻辑卷的大小。

优缺点：

文件系统可以跨多个磁盘，因此文件系统大小不会受物理磁盘的限制。可以在系统运行的状态下动态的扩展文件系统的大小。可以增加新的磁盘到LVM的存储池中。可以以镜像的方式冗余重要的数据到多个物理磁盘。可以方便的导出整个卷组到另外一台机器。
在从卷组中移除一个磁盘的时候必须使用reducevg命令（该命令要求root权限，且不允许在快照卷组中使用）。当卷组中的一个磁盘损坏时，整个卷组都会受到影响。因为加入了额外的操作，存贮性能受到影响。
2、LVM的工作流程：

PV：物理卷在逻辑卷管理系统最底层，可为整个物理磁盘或实际物理硬盘上的分区。

VG：卷组建立在物理卷上，一卷组中至少要包括一物理卷。

LV：逻辑卷建立在卷组基础上，卷组中未分配空间可用于建立新的逻辑卷，逻辑卷建立后可以动态扩展和缩小空间。

PE：物理区域是物理卷中可用于分配的最小存储单元，物理区域大小在建立卷组时指定，一旦确定不能更改且大小需一致。

LE：逻辑区域是逻辑卷中可用于分配的最小存储单元，逻辑区域的大小取决于逻辑卷所在卷组中的物理区域的大小。

3、LVM的写入模式：

线性模式：写完一个设备再写入另外一个设备。

条带模式：数据是被分散写入到LVM各成员设备上的。

4、LVM基本使用：

LVM挂载过程大致是，创建物理卷PV -> 创建卷组 VG -> 创建逻辑卷LV -> 格式化 -> 挂载。

1、查看主机现有磁盘情况：fdisk -l

2、对磁盘进行分区：fdisk /dev/vda

新建分区，选择类型，设置分区号，查看磁盘现有分区情况：

3、更改分区类型：Linux LVM

4、创建PV：pvcreate /dev/vdb1 pvdisplay ，同理创建vdc1,vdd1，

创建VG卷组：vgcreate volume-group1 /dev/vdb1 /dev/vdb2 /dev/vdb3

5、创建逻辑卷LV: lvcreate -Zn -n lvdata -l +100%FREE vgdata

注：本机环境采用的是单机挂载，groups方式参考第四第五点：

以上，LVM方式挂载磁盘完成，磁盘挂载前记得将原路径下的数据备份，挂载完成后在移动至当前路径下面。

本文原地址: http://www.feitianzhi.com/boke/index.php/archives/47/

转载请注明出处,有疑问或错误请发邮件到[email protected] 或加QQ群:869598376

概述

      软件的开发离不开配置，传统的软件设计包括前端、后台和数据库3部分，三者是密切配合的统一整体，在实际项目中往往遇到以下问题：

1. 因项目需求不明而增加、修改、删除参数导致配置结构调整后难以同已有数据兼容；
2. 后台参数修改后，前端需要同步修改，无法做到老版本前端与新版本后台配合（新版本后台可能修正了bug,老版本前端属于老项目），修正老项目bug需要在老版本分支上进行，代码分支多，维护困难；
3. 配置备份困难。首先后台与数据库之间有多个访问渠道，配置备份需要停机备份；其次备份的配置无法线上热还原（有差异部分相关模块重置，无修改部分持续工作，如仅1相机参数有区别，仅停掉1相机进行重连，其余相机持续工作）；最后备份的配置无法在新版本或老版本上进行还原（因为字段结构不一样）；
4. 授权困难，配置臃肿。为实现所有用户需求，软件的参数量非常庞大，而对一个具体项目可能只需要其中的很少只关联10个参数的功能，把大量的参数置于系统中会拖慢系统（一个表只有1列可以允许插入1亿行，但如有1000列，可能表就只能插入10万行了）同时软件中需要通过授权判断而限制用户在授权范围内操作，系统调试困难--授权是在做一个减法操作；

思考与假设

      “小雉视频系统”是一套集所有客户需求于一体的一套视频软件，参数的修改随客户的要求变化而变化，均为不可预知的参数需求，为每位客户单独开一个分支会增加bug修正的同步成本和升级包制作成本，“小雉视频系统”迫切需要一套廉价的高效率的配置设计方案，要求方案具备如下特性：

1. 配置项在各个模块中申明（限制值的类型、范围、个数和有效条件（比如A参数必须要B参数为1时才有效可设置）），在模块中读取，把参数的管理放到各个模块中，各个模块只需要根据本模块的需要申明参数，实现参数的模块化（移除此模块也移除了此模块的参数）；
2. 各个模块申明配置项时如同全新开发一样申明参数即可，同历史参数的兼容归配置模块算法实现；
3. 各个模块如果未被授权，则不申明参数，通过减少参数增加系统的容量及并发，既功能少，并发高，让授权是一个加法操作；
4. 申明参数时指定默认值，在客户端传参时未有对应参数时读取此参数时读到的值为默认值，以此实现对历史客户端的兼容（历史客户端与新版本后台字段有差异部分使用默认值代替，保证新后台可同老客户端适配）;
5. 申明参数时同时申明中文名、注释、可选值，即把注释写入配置，在配置导出时可自动对参数注释，实现文档源码化;
6. 配置可以热导出，导出后的配置可热导入到任意版本的后台，配置模块可自动探测到变化，自动完成对象实例的增删改动作；
7. 配置可以导出xml,json等格式，并支持xml,json的导入；
8. 配置可导出非默认值部分字段，也能导入，实现瘦客户端编程（服务器可以集所有功能与一体，但针对具体的项目客户，可能只需要部分功能，可在完整客户端上正确配置对应项目需求的功能参数后导出参数，瘦客户端上只针对导出参数进行开发，减少参数可提高客户端的人性化程度）；

小雉配置解决方案

      基于假设“小雉配置”采用面向属性的配置设计方式，把配置项分为节点型、模板、字符串、整型、浮点和二进制共6种数据类型，每种数据类型可设置多个条件组，以条件组内的所有条件为真此条件组为真，任何一个条件组为真则参数有效；
      “小雉配置”采用C语言编写，可用于windows,linux,arm等平台，配置为单文件，本地可拷贝备份，远程可热导入导出xml和json,配置可承载数千参数（结构可类似xml任意层级嵌套）数十万级别的量（类比一张表有上千列，表可以容纳数十万行）；

小雉配置数据类型

1. 节点型类型
         类似于xml中的a->b->c,其中b节点包含c,则b为节点型类型，且a下面有且只能有一个b；节点型类型可以作为节点型节点和模板节点的子类型，可以设置中文名、注释、条件判断，不能设置默认值，可选值；
   fs_Config_node_node_add //添加节点型参数
   fs_Config_node_get_first //获取节点型参数
2. 模板类型
         类似于xml中的a->b->c,其中b节点包含c,如b固定且只有一个则b为节点型类型，如b可以是0到多个，则b为模板类型，申明模板实质是申明一个类，配置时在a下创建此类的多个实例（创建多少个实例，a下有多少个b,b的子节点与类的结构完全相同）；模板类型主要用于同类型数据的管理（比如添加相机）；模板类型可以作为节点型节点和模板节点的子类型，可以设置中文名、注释、条件判断、可创建实例的个数、时间控制参数（比如有两个模板实例，第一个模板实例在0-7点生效，另外一个在7-24时生效，实现参数随时间变化的控制），不能设置默认值，可选值；
   fs_Config_node_template_add //添加节点型参数
   fs_Config_node_template__IO //获取节点型参数
3. 字符串类型
         字符串类型是一个储存字符串数据的节点类型；字符串类型可以作为节点型节点和模板节点的子类型，可以设置中文名、注释、条件判断、可设置值的个数、字符串长度、默认值、可选值；
   fs_Config_node_string_add //添加字符串类型参数
   fs_Config_node_string_get_first //获取字符串类型参数
4. 整型类型
         整型类型是一个储存64位有符号整数的节点类型；整型类型可以作为节点型节点和模板节点的子类型，可以设置中文名、注释、条件判断、可设置值的个数、值的范围、默认值、可选值；
   fs_Config_node_integer_add //添加整型类型参数
   fs_Config_node_integer_get_first //获取整型类型参数
5. 浮点类型
         浮点类型是一个储存64位浮点的节点类型；浮点类型可以作为节点型节点和模板节点的子类型，可以设置中文名、注释、条件判断、可设置值的个数、值的范围、默认值、可选值；
   fs_Config_node_float_add //添加浮点类型参数
   fs_Config_node_float_get_first //获取浮点类型参数
6. 二进制类型
         二进制类型是一个储存任意数据类型的节点类型；二进制类型可以作为节点型节点和模板节点的子类型，可以设置中文名、注释、条件判断、可设置值的个数、数据长度范围、默认值、可选值；
   fs_Config_node_binary_add //添加二进制类型参数
   fs_Config_node_binary_get_first //获取二进制类型参数

小雉配置的简单演示

int main() {
// 创建配置
FsConfig * const pConfig = fs_Config_new__IO();
// 创建一个节点型节点
void *const node = fs_Config_node_node_add(pConfig, pConfig, "node", "节点", "测试节点", 0, 0x7);
{
    /* 在node下创建一个字符串节点,节点可以设置2个值,长度为0到10个字节 */
    void *const testString = fs_Config_node_string_add(pConfig, node, "testString", "测试字符串", "测试字符串", 0, 0x7, 0, 10, 2);
    /* 为testString添加一个default1的默认值 */
    fs_Config_node_string_add_value(pConfig, testString, FsConfig_nodeValue_default, "default1", "默认值1", "默认值1");
    /* 为testString添加一个optiona1的可选值 */
    fs_Config_node_string_add_value(pConfig, testString, FsConfig_nodeValue_optional, "optiona1", "可选值1", "可选值1");
    /* 在node下创建一个整型节点,节点可以设置2个值,取值范围为0到666666 */
    void *const testInt = fs_Config_node_integer_add(pConfig, node, "testInt", "测试整数", "测试整数", FsConfig_nodeShowType_default, 0, 0x7, 0, 666666, 2);
    /* 为testInt添加一个0的默认值 */
    fs_Config_node_integer_add_value(pConfig, testInt, FsConfig_nodeValue_default, 0, "0", "0");
    /* 为testInt添加一个100的可选值 */
    fs_Config_node_integer_add_value(pConfig, testInt, FsConfig_nodeValue_optional, 100, "100", "100");
    /* 在node下创建一个浮点节点,节点可以设置3个值,取值范围为0.0到1.0 */
    void *const testFloat = fs_Config_node_float_add(pConfig, node, "testFloat", "测试浮点", "测试浮点", 0, 0x7, 0.0, 1.0, 3);
    /* 为testFloat添加一个0.0的默认值 */
    fs_Config_node_float_add_value(pConfig, testFloat, FsConfig_nodeValue_default, 0.0, "0.0", "0.0");
    /* 为testFloat添加一个1.0的可选值 */
    fs_Config_node_float_add_value(pConfig, testFloat, FsConfig_nodeValue_optional, 1.0, "1.0", "1.0");
    /* 在node下创建一个二进制节点,节点可以设置2个值,长度为0到100个字节 */
    void *const testBinary = fs_Config_node_binary_add(pConfig, node, "testBinary", "测试二进制", "测试二进制", 0, 0x7, 1, 100, 2);
    /* 为testBinary创建一个条件组 */
    void *const condition_testBinary = fs_Config_condition_group_add(pConfig, testBinary);
    /* 向condition_testBinary添加一个条件,相对于testBinary节点向上一级的父节点中查找testInt节点,在testInt的值为0时此值有效 */
    fs_Config_condition_add_static(pConfig, condition_testBinary, 1, "testInt", FsConfig_Condition_equal, "0");
}
// 创建一个可以创建100个实例的模板
void *const template = fs_Config_node_template_add(pConfig, pConfig, "testTemplate", "测试模板", NULL, NULL, "测试模板", NULL, NULL, NULL, 0, 0x7, 100);
{
    /* 在template下创建一个字符串节点,节点可以设置2个值,长度为0到10个字节 */
    void *const testString1 = fs_Config_node_string_add(pConfig, template, "testString1", "测试字符串1", "测试字符串1", 0, 0x7, 0, 10, 2);
    /* 为testString1添加一个默认值 */
    fs_Config_node_string_add_value(pConfig, testString1, FsConfig_nodeValue_default, "default1", "默认值1", "默认值1");
    /* 为testString1添加一个可选值 */
    fs_Config_node_string_add_value(pConfig, testString1, FsConfig_nodeValue_optional, "optiona1", "可选值1", "可选值1");
    /* 在template下创建一个字符串节点,节点可以设置2个值,长度为0到10个字节 */
    void *const testString2 = fs_Config_node_string_add(pConfig, template, "testString2", "测试字符串2", "测试字符串2", 0, 0x7, 0, 10, 2);
    /* 为testString2创建一个条件组 */
    void *const condition_testString2 = fs_Config_condition_group_add(pConfig, testString2);
    /* 向condition_testString2添加一个条件,相对于testString2节点向上两级的父节点中查找node节点,再在node节点中查找testInt节电,在testInt的值为0时此值有效 */
    fs_Config_condition_add_static(pConfig, condition_testString2, 2, "node testInt", FsConfig_Condition_equal, "0");
}
// 把配置保存到文件,可使用小雉配置工具打开编辑
// 项目中可把配置发送给客户端
fs_Config_save_to_file_direct(pConfig, "test.cfg");
/* 定义一个xml模拟历史数据导入 */
{
    const char *str = "<testTemplate><testString1>sss1</testString1></testTemplate>"
            "<testTemplate><testString2>ssss2</testString2></testTemplate>"
            "<node><testInt>30</testInt><testFloat>0.5</testFloat></node>";
    FsXml *pXml = fs_Xml_new_from_string__IO(str, NULL);
    fs_Xml_analyzeAll(pXml, (struct FsXml_node*) pXml, NULL);
    FsEbml *pEbml1 = fs_Ebml_new_from_Xml__IO(pXml);
    fs_Xml_delete__OI(pXml, NULL);
    fs_Config_import_onlyData((FsEbml*) pConfig, (struct FsEbml_node*) pConfig, (struct FsEbml_node*) pConfig, (FsEbml*) pEbml1, (struct FsEbml_node*) pEbml1, NULL);
    fs_Ebml_delete__OI(pEbml1, NULL);
}
// 当前pConfig已包含导入的数据,可存盘
fs_Config_save_to_file_direct(pConfig, "test1.cfg");
// 读取历史的配置文件"test1.cfg",按目前在申明导入到pConfig中
{
    FsConfig * const pConfig1 = fs_Config_new_from_file__IO("test1.cfg", NULL);
    fs_Config_import_onlyData((FsEbml*) pConfig, (struct FsEbml_node*) pConfig, (struct FsEbml_node*) pConfig, (FsEbml*) pConfig1, (struct FsEbml_node*) pConfig1, NULL);
    fs_Config_delete__OI(pConfig1, NULL);
}
/* 把pConfig导出为json */
FsObjectBase * const pObjectBase = fs_Config_export_objectBase__IO(pConfig, FsConfig_ExportType_json_export, sizeof (FsObjectBase), 0, NULL);
printf("%s\n", pObjectBase->data);
/* 打印数据为:
 * {
 *     "node":{
 *         "testString":"default1",
 *         "testInt":"30",
 *         "testFloat":"0.500000",
 *         "testBinary":""
 *     },
 *     "testTemplate":[{
 *         "testString1":"sss1",
 *         "testString2":""
 *     },{
 *         "testString1":"default1",
 *         "testString2":"ssss2"
 *     }]
 * }
 */
/* 读取node testInt的值,打印结果为testInt=30 */
printf("testInt=%lld\n", fs_Config_node_integer_get_first(pConfig, pConfig, pConfig, "node testInt", 0, NULL));
/* 读取node testFloat的值,打印结果为testFloat=0.500000 */
printf("testFloat=%lf\n", fs_Config_node_float_get_first(pConfig, pConfig, pConfig, "node testFloat", 0, NULL));
pObjectBase->_delete(pObjectBase);
fs_Config_delete__OI(pConfig, NULL);
return 0;
}

      源码下载地址
      github:https://github.com/feitianzhi/fslib-config
      gitee:https://gitee.com/feitianzhi/fslib-config
      配置工具demo: http://www.feitianzhi.com/boke/index.php/fslib-config.html

本文原地址: http://feitianzhi.com/boke/index.php/archives/46/

转载请注明出处,有疑问或错误请发邮件到[email protected] 或加QQ群:869598376

参考文章:https://www.cnblogs.com/sealin/p/13948629.html

前言:以下将会唠叨一大堆内容，建议不要读直接进入正文。现已安装了一个debian xfce的操作系统,分区表是MBR(l传统模式引导),

通过写盘工具烧录,能在烧录大多x86的板子上面运行.现有遇到一种奇葩的终端-z8350, 只支持UFFI引导, 看了bios的设置,只有寥寥

几个选项.最终判断它真的只能是UEFI引导, 不知道是bios被去掉的原因,还是这个板子或芯片原因. 由于对bios又不熟,只能从系统引导

层入手了(其实这个也不熟).那为什么不直接在8350。这款终端上面直接安装UEFI引导呢．主要两方面原因：１原本已经稍好的系统，

做了大量的系统更改，编译安装不少软件，前后升级软件依赖库的，再重新安装巨麻烦，容易漏掉哪个细节而留下bug．2 另一原因

是Debian使用UEFI安装，无法烧录到其他板子上，即使是相同型号的板子也不行。但在一些Ubuntu和fedoras的UEFI可以，发现有一

个地方不一样，fedoras的UEFI的分区表是MBR，而debian的分区表是gpt的，也许是这个原因，以前刚开始做这个debian系统时，

尝试过安装debian转换MBR分区表，要么安装失败，要么安装完又变回gpt分区表，所以就放弃这个想法了。

正文：

 1、新建一个EFI分区 (好在之前保留了一个vfat分区，可以直接拿来用，不然就只能缩容了，我的全部分挂载在/

       目录，而且还是非lvm，要对这里动刀十分麻烦。)

         (1)新建efi分区，这里使用 fdisk /dev/sdx 命令新建，然后mkfs.vfat格式化。

            还有需要将分区标记为efi分区，fdisk这个命令应该可以修改，但我没折腾，直接装gparted图像化工具改（apt install gparted）。

         (2)创建/boot/efi,目录然后将刚新建的efi分区挂载上去。

             在/etc/fstab编辑增加, （使用blkid查看分区uuid）

                UUID=xxxx-xxxx  /boot/efi vfat rw 0 0  

             # mount -a   （挂载/etc/fstab刚填写的）

        

 2、安装grub-efi

 　　sudo apt install grub-efi

　 3、使用grub-install 生成efi引导信息 (如果不安装grub-efi会报错缺少modinfo.sh)

       # grub-install --boot-directory=/boot/efi --target=x86_64-efi --efi-directory=/boot/efi --removable

       会在/boot/efi/生成 EFI/BOOT/BOOTX64.EFI

       # grub-install --target=x86_64-efi --boot-directory=/boot/efi  --efi-directory=/boot/efi

　　　会在/boot/efi/生成 EFI/debian/grubx64.efi

       --boot-directory加不加也不影响最后结果，不加--boot-directory这里执行会可能报错，提示啥未注册或者环境不支持类似（记不太清），

       报错没太大关系，只要/boot/efi 目录下 生成对应的efi文件，有就可以了

4、重启进入BIOS

         进入BIOS后，找到引导项将会看到一个硬盘名字，一个是UEFI+硬盘名字， 还有一个是 写着Debian。

        （1）硬盘名字：原先的mbr传统引导

        （2）UEFI+硬盘名字:  这个是加了 --removable 用于移动设备，比如U盘

        （3）Debian：这个是没加--removable 参数，个人理解是对于非移动设备

          结果3个都可以引导进去。搞那么一个--removable，只是为了兼容性好一点，将做好这个系统，烧录到z8350也可以通过UEFI成功引导。

拓展记录：

     1，grub-pc 的-pc是指MBR分区传统引导的对应/usr/lib/grub/i386-pc

     2，grub-efi 的是指uefi引导的，安装了才会有/usr/lib/grub/i386-efi

     3，grub-pc和grub-efi这两个包冲突，只能存在一个，grub-install --target 参数依赖用到

     4，网上提到bios是否支持UEFI，查看 /sys/firmware/efi 这个目录是否存在，其实并不是很正确。

     按我实验所得出的结果是，使用传统引导就不存在/sys/firmware/efi， 而使用UEFI 引导进去

     则才会有这个目录/sys/firmware/efi ，所以并不能说明bios是否支持UEFI。

　　　linux使用UEFI引导可能需要把secury boot 选项关掉，由于UEFI签名的问题。

     5，由于grub-install 误操作生成一些其他的文件在/boot/efi/, 那先把这个目录所有文件清除

     6，进入grub>命令行，手动引导方法：

         （1）用 ls 查看文件 ，我的机器是列出(hd0) (hd0,msdos1) (hd0,msdos2) 

                 grub> ls (hd0,msdos2)/   查看哪个是root分区，我这里就是（hd0,msdos2）

                 grub> set root=(hd0,msdos2)

          (2) 加载/boot/grub/grub.cfg 文件，这个命令需要在set root=(hd0,msdos2)之后，不然找不到这个文件

                grub> source /boot/grub/grub.cfg   不知这条命令后面会提示no suitable video mode found

          (3) 装载内核：linux /boot/vmlinuz-xxxx root=/dev/sdx  (这里的xxxx根据你系统内核版本，按tab就可以补全， sdx 这里是根分区，根据实际情况，不能直接(hd0,msdos2)格式)

               grub> linux /boot/vmlinuz-4.9.0-9  root=/dev/sda2 

               grub> initrd /initrd.img  

         （4）启动m 看能否引导到桌面系统，反正我是成功了，如果报其他错就自行解决了。

                 grub> boot

本文原地址: http://feitianzhi.com/boke/index.php/archives/45/

转载请注明出处,有疑问或错误请发邮件到[email protected] 或加QQ群:869598376

参考文章:https://blog.csdn.net/JustDoIt_201603/article/details/106629059

一、cat /proc/meminfo 各字段详解

/ $ cat /proc/meminfo
MemTotal:         877368 kB  ：所有可用RAM大小（即物理内存减去一些预留位和内核的二进制代码大小）（HighTotal + LowTotal）,系统从加电开始到引导完成，BIOS等要保留一些内存，内核要保留一些内存，最后剩下可供系统支配的内存就是MemTotal。这个值在系统运行期间一般是固定不变的。
MemFree:           22516 kB  ：LowFree与HighFree的总和，被系统留着未使用的内存,MemFree是说的系统层面
MemAvailable:     470244 kB  ：应用程序可用内存数。系统中有些内存虽然已被使用但是可以回收的，比如cache/buffer、slab都有一部分可以回收，所以MemFree不能代表全部可用的内存，这部分可回收的内存加上MemFree才是系统可用的内存，即：MemAvailable≈MemFree+Buffers+Cached，它是内核使用特定的算法计算出来的，是一个估计,MemAvailable是说的应用程序层面
Buffers:            1772 kB  ：用来给文件做缓冲大小
Cached:           459224 kB  ：被高速缓冲存储器（cache memory）用的内存的大小（等于 diskcache minus SwapCache ）
SwapCached:           16 kB  ：被高速缓冲存储器（cache memory）用的交换空间的大小，已经被交换出来的内存，但仍然被存放在swapfile中。用来在需要的时候很快的被替换而不需要再次打开I/O端口
Active:           333148 kB  ：在活跃使用中的缓冲或高速缓冲存储器页面文件的大小，除非非常必要否则不会被移作他用. (Active(anon) + Active(file))
Inactive:         330384 kB  ：在不经常使用中的缓冲或高速缓冲存储器页面文件的大小，可能被用于其他途径. (Inactive(anon) + Inactive(file))
Active(anon):     104368 kB  ：活跃的与文件无关的内存（比如进程的堆栈，用malloc申请的内存）(anonymous pages),anonymous pages在发生换页时，是对交换区进行读/写操作
Inactive(anon):   104508 kB  ：非活跃的与文件无关的内存（比如进程的堆栈，用malloc申请的内存）
Active(file):     228780 kB  ：活跃的与文件关联的内存（比如程序文件、数据文件所对应的内存页）(file-backed pages) File-backed pages在发生换页(page-in或page-out)时，是从它对应的文件读入或写出
Inactive(file):   225876 kB  ：非活跃的与文件关联的内存（比如程序文件、数据文件所对应的内存页）
Unevictable:        6708 kB  ：
Mlocked:            1428 kB  ：
HighTotal:        261888 kB  ：高位内存总大小（Highmem是指所有内存高于860MB的物理内存,Highmem区域供用户程序使用，或用于页面缓存。该区域不是直接映射到内核空间。内核必须使用不同的手法使用该段内存）
HighFree:           5680 kB  ：未被使用的高位内存大小
LowTotal:         615480 kB  ：低位内存总大小,低位可以达到高位内存一样的作用，而且它还能够被内核用来记录一些自己的数据结构
LowFree:           16836 kB  ：未被使用的低位大小
SwapTotal:        614396 kB  ：交换空间的总大小
SwapFree:         611044 kB  ：未被使用交换空间的大小
Dirty:                40 kB  ：等待被写回到磁盘的内存大小
Writeback:             0 kB  ：正在被写回到磁盘的内存大小
AnonPages:        209224 kB  ：未映射页的内存大小
Mapped:           280668 kB  ：设备和文件等映射的大小
Shmem:              1084 kB  ：
Slab:              59840 kB  ：内核数据结构缓存的大小，可以减少申请和释放内存带来的消耗
SReclaimable:      34196 kB  ：可收回Slab的大小
SUnreclaim:        25644 kB  ：不可收回Slab的大小（SUnreclaim+SReclaimable＝Slab）
KernelStack:        7504 kB  ：常驻内存,每一个用户线程都会分配一个kernel stack(内核栈)
PageTables:        15508 kB  ：管理内存分页页面的索引表的大小
NFS_Unstable:          0 kB  ：不稳定页表的大小
Bounce:                0 kB  ：
WritebackTmp:          0 kB  ：
CommitLimit:     1053080 kB  ：根据超额分配比率（'vm.overcommit_ratio'），这是当前在系统上分配可用的内存总量，这个限制只是在模式2('vm.overcommit_memory')时启用。CommitLimit用以下公式计算：CommitLimit =（'vm.overcommit_ratio'*物理内存）+交换例如，在具有1G物理RAM和7G swap的系统上，当`vm.overcommit_ratio` = 30时 CommitLimit =7.3G
Committed_AS:   16368536 kB  ：目前在系统上分配的内存量。是所有进程申请的内存的总和，即时所有申请的内存没有被完全使用，例如一个进程申请了1G内存，仅仅使用了300M，但是这1G内存的申请已经被 "committed"给了VM虚拟机，进程可以在任何时间使用。如果限制在模式2('vm.overcommit_memory')时启用，分配超出CommitLimit内存将不被允许
VmallocTotal:     245760 kB  ：可以vmalloc虚拟内存大小
VmallocUsed:           0 kB  ：vmalloc已使用的虚拟内存大小
VmallocChunk:          0 kB  ：最大的连续未被使用的vmalloc区域

1、Inactive(anon) 和 Inactive(file)，分别表示anonymous pages和mapped pages。

用户进程的内存页分为两种：与文件关联的内存（比如程序文件、数据文件所对应的内存页）和与文件无关的内存（比如进程的堆栈，用malloc申请的内存），前者称为file pages或mapped pages，后者称为anonymous pages；其中LRU lists包括如下几种，在/proc/meminfo中都有对应的统计值：

　　LRU_INACTIVE_ANON  –  对应 Inactive(anon)
　　LRU_ACTIVE_ANON  –  对应 Active(anon)
　　LRU_INACTIVE_FILE  –  对应 Inactive(file)
　　LRU_ACTIVE_FILE  –  对应 Active(file)
　　LRU_UNEVICTABLE  –  对应 Unevictable

Inactive list里的是长时间未被访问过的内存页，Active list里的是最近被访问过的内存页，LRU算法利用Inactive list和Active list可以判断哪些内存页可以被优先回收。

2、MemAvailable

应用程序可用内存数。系统中有些内存虽然已被使用但是可以回收的，比如cache/buffer、slab都有一部分可以回收，所以MemFree不能代表全部可用的内存，这部分可回收的内存加上MemFree才是系统可用的内存，即：MemAvailable≈MemFree+Buffers+Cached，它是内核使用特定的算法计算出来的，是一个估计值。

3、VmallocUsed

通过vmalloc分配的内存都统计在/proc/meminfo的 VmallocUsed 值中，但是要注意这个值不止包括了分配的物理内存，还统计了VM_IOREMAP、VM_MAP等操作的值，譬如VM_IOREMAP是把IO地址映射到内核空间、并未消耗物理内存，所以我们要把它们排除在外。从物理内存分配的角度，我们只关心VM_ALLOC操作，这可以从/proc/vmallocinfo中的vmalloc记录看到。

4、KernelStack：

Kernel stack（内核栈）是常驻内存的，既不包括在LRU lists里，也不包括在进程的RSS/PSS内存里，所以我们认为它是kernel消耗的内存。统计值是/proc/meminfo的KernelStack。64bit 系统的 task_struct size 是16KB,  32bit的系统task_struct size为 8KB，每一个用户线程都会分配一个kernel stack（内核栈），内核栈虽然属于线程，但用户态的代码不能访问，只有通过系统调用(syscall)、自陷(trap)或异常(exception)进入内核态的时候才会用到，也就是说内核栈是给kernel code使用的。
 

内存黑洞：

进程通过将memoryinfo中的内存大小相加起来，发现总是比真实内存小，那是因为有内存黑洞的存在，我们知道，Kernel的动态内存分配通过以下几种接口：

alloc_pages/__get_free_page: 以页为单位分配

vmalloc: 以字节为单位分配虚拟地址连续的内存块

slab allocator

vmalloc和slab分配的内存都会被记录在meminfo中，但通过alloc_pages/__get_free_page分配的内存，没有在/proc/meminfo中统计，不知道有多少，就像个黑洞。

参考博客《android cat /proc/meminfo 字段分析》