久久亚洲精品专区蓝色区,综合偷自拍亚洲乱中文字幕,亚洲日本天堂在线

cglib源码学习交流

agapple — Mon, 01 Nov 2010 14:24:00 GMT

摘要: 背景前段旉��在工作中�Q�包括一些代码阅读过�E�中�Q�spring aop�l�常性的会看到cglib中的相关内容�Q�包括BeanCopier,BulkBean,Enancher�{�内容，以前虽大致知道一些内容，原理是通过bytecode�Q�但没具体深入代码研�IӞ��只知其所用不知其所以然�Q�所以就特地�׃��半天多的工作旉��研究了CGLIB的相��x��码，同时�l�合看了�?spring ... 阅读全文

agapple 2010-11-01 22:24 发表评论

agapple — Fri, 22 Oct 2010 17:01:00 GMT

最�q�在�?/span>offerdetail优化�Ӟ��替换了数据库驱动�Q�从c3p0 0.9.1 -> dbcp 1.4�Q?/span>��Z��研究了下dbcp的自动重�q�的一套机�Ӟ��也做一下分享，大家周知一下�?/span>

数据库链接　常见的问题：

1. 数据库意外重启后�Q�原先的数据库连接池能自动废弃老的无用的链接，建立新的数据库链�?/span>

2. �|�络异常中断后，原先的徏立的tcp链接�Q�应该能�q�行自动切换。比如网站演习中的交换机重启会导致网�l�瞬�?/span>

3. 分布式数据库中间�Ӟ��比如cobar会定时的��空闲链接异常关闭，客户端会出现半开的空闲链接�?/span>

大致思考解��x��\�Q?/span>

1. sql心蟩��?/span>(��d��?/span>)

2. 拉K��接尝试一下，发现处理��p�|丢弃链接�Q�探��L��h��会失败几个　(牺牲��我�Q�完成大我的�_��)

3. 讄��合理的空闲链接的��时旉��Q�避免半开链接(懒模式，解决半开链接)

下面我们来看看，�?/span>dbcp中是如何实现�?/span>

sql心蟩��?/span>

sql validate配置

"testWhileIdle">true

"testOnBorrow">false

"testOnReturn">false

"validationQuery">select sysdate from dual

"validationQueryTimeout">1

"timeBetweenEvictionRunsMillis">30000

"numTestsPerEvictionRun">16

参数说明

dbcp是采用了commons-pool做�ؓ其连接池��理�Q?/span>testOnBorrow,testOnReturn, testWhileIdle�?/span>pool是提供的几种校验机制�Q�通过外部钩子的方式回�?/span>dbcp的相��x��据库链接(validationQuery)校验, dbcp相关外部钩子�c�：PoolableConnectionFactory,�l�承�?/span>common-pool PoolableObjectFactory , dbcp通过GenericObjectPool�q�一入口�Q�进行连接池�?/span>borrow,return处理�?/span>

具体参数描述�Q?/span>

1. testOnBorrow : ��明思义�Q�就是在�q�行borrowObject�q�行处理�Ӟ��Ҏ��到的connection�q�行validateObject校验

2. testOnReturn : ��明思义�Q�就是在�q�行returnObject对返回的connection�q�行validateObject校验�Q�个��得对数据库连接池的管理意义不�?/span>

3. testWhileIdle : ��x��的重点，GenericObjectPool中针对pool��理�Q��v了一�?/span>异步Evict的TimerTask定时�U�程�q�行控制(可通过讄��参数 timeBetweenEvictionRunsMillis>0),定时对线�E�池中的链接�q�行validateObject校验�Q�对无效的链接进行关闭后�Q�会调用ensureMinIdle�Q�适当建立链接保证最��的minIdle�q�接数�?/span>

4. timeBetweenEvictionRunsMillis,讄��的Evict�U�程的时��_��单位ms�Q�大�?才会开启evict��查线�E?/span>

5. validateQuery�Q?代表��查的sql

6. validateQueryTimeout�Q?代表在执行检查时�Q�通过statement讄��Q�statement.setQueryTimeout(validationQueryTimeout)

7. numTestsPerEvictionRun�Q�代表每�ơ检查链接的数量�Q�徏议设�|�和maxActive一样大�Q�这��h��ơ可以有效检查所有的链接.

Sql心蟩��查几�Ҏ��考：

1.性能问题�?/span>

目前�|�站的应用大部分的瓶颈还是在I/O�q�一块，大部分的I/O�q�是在数据库的这一层面上，每一个请求可能会调用10来次SQL查询�Q�如果不��C��务，一个请求会重复获取链接�Q�如果每�ơ获取链�?比如在testOnBorrow都进行validateObject�Q�性能开销不是很能接受�Q�可以假定一�ơSQL操作消毫0.5~1ms(一般走了网�l�请求基本就�q�数)

2�Q�成本和收益

�|�站异常数据库重启，�|�络异常断开的频率是非常低的�Q�一般也��在数据库升�U�，演习�l�护时才会进行，而且一般也是选在晚上�Q�访问量相对比较低的��h��Q�而且一般会有�h员值班��x��Q�所以异步的validateObject是可以接受，但一个前提需要确保能保证在一个合理的旉��D�内�Q�数据库能完成自动重联�?/span>

��h��探雷

相关配置

dbcp自��n默认支持�Q�不需要配�|?/span>

原理描述

common-pools通过borrowObject , returnObject完成�q�接的获取和释放�Q�正常的情况是一�ơ请求中borrow和return是一对的�Q�有借就有还�?/span>

但在准备returnObject�Ӟ��dbcp会做一件事�Q�就是看看这个object是否已经是坏了的�Q�如果坏了就直接丢了�Q�就直接�l�丢弃了�?/span>

代码层面�Q?/span>

�Q?　在dbcp中PoolingDataSource(实现DataSource接口)调用 PoolableConnection(dbcp connnection相关的pool delegate操作)�q�行相应关闭�Ӟ��会检�?/span>_conn.isClosed()�Q�针对DataSource如果isClosed�q�回�?true的则不调用returnObject�Q�直接丢弃了链接�?/span>

�Q?　_conn.isClosed()是否保险�Q�从jdk的api描述中： A connection is closed if the method close has been called on it or if certain fatal errors have occurred. 里面提供两种情况�Q�一�U�就是被调用了closed�Ҏ��Q�另一�U�就是出��C��些异常，说的比较含糊�?/span>

�I�闲链接��?/span>

相关配置

minEvictableIdleTimeMillis">18000000

removeAbandoned">true

removeAbandonedTimeout">180

参数说明

1.minEvictableIdleTimeMillis　dbcp默认�?0分，需要开启异步线�E�Evict�Q�否则不生效。原理很��单，��是通过一个异步线�E�，每次��查connnection上一�ơ��用的旉��戻I��看看是否已经��过�q�个timeout旉��讄��?/span>

2. removeAbandoned , removeAbandonedTimeout�Q�主要是用于在出现链接紧张时候，会扫描一些链接未��过removeAbandonedTimeout旉��q�未被释放，会主动的关闭该链接�?/span>

适用情况

1. 我们使用的cobar后端会有定时关闭�I�闲链接的操作，默认的空闲链接timeout旉��?��时�Q�和其他oracle , mysql各不相同�Q�所以设�|�好�q�个�I�闲链接的timeout旉��q�是挺重�?

2. 一般会是几�U�情况出现需要removeAbandoned�Q�　

* 代码未在finally释放connection ,　不过我们都用sqlmapClientTemplate�Q�底层都有链接释攄��q�程

* 遇到数据库死�?/span>。以前遇到过后端存储�q�程做了锁表操作�Q�导致前台集��中�q�接池全都被block住，后箋的业务处理因为拿不到链接所有都处理��p�|了�?/span>

聊聊c3p0配置

�q�有我们配置的c3p0所谓的自动重连的３个参敎ͼ�

1000

false

个�h觉得��是一个误�?/span>�Q�这几个配置只是在从�q�接池获取链接时�Q�获取失败多��试几次�Q�因为我们从pool从获取链接最多只会等待固定timeout旉��?/span>

如果要达到自动重�q�的效果�Q�必��要c3p0支持��h��探雷或者是sql心蟩��查功能，能自动的剔除无效的链接。　

可见c3p0官方文档描述�Q?a >http://www.mchange.com/projects/c3p0/index.html#configuring_recovery

最后：

Dbcp��是我们以后数据库驱动选择的趋势，最后我们如何选择如何自动重连�Q�这个也得根据我们的应用场景而定。比如只�ȝ��web�pȝ��Q�后��C��务系�l�，��d��pȝ��可能处理方式��׃��同�?/span>

只读Web�pȝ��Q�可采取��h��探雷的策略，也就��p�|�q�接池个数的��h��Q�失败了��面��h��一�ơ就好�?/span>

后台业务�pȝ��Q�一般业务都涉及数据库的写操作，很多数据不可重入�Q�一�ơ处理失败后��只能靠手工�q�预处理。这时候得考虑是否需要��用sql心蟩��查，比如testOnBorrow或者testWhileIdle.

agapple 2010-10-23 01:01 发表评论

事务隔离�U�别��记

agapple — Sun, 15 Feb 2009 13:47:00 GMT

摘要: 阅读全文

agapple 2009-02-15 21:47 发表评论

agapple — Wed, 14 Jan 2009 06:12:00 GMT

1. 下蝲rsync (http://rsync.samba.org/)

安装:
./configure
make
make install

2. 开启rsync服务�Q�修�?etc/xinetd.d/rsync
disable = no # replace
重启xinetd 服务
service xinetd restart

3. 配置server端，/etc/rsyncd.conf
# touch rsyncd.conf
# vi rsyncd.conf
uid = ljh #表示以什么用戯��?注意必须��保该用��h��Ҏ��块的��d��权限
gid = ljh
use chroot = false
max connectionts = 6
read only = no
pid file = /home/ljh/server/rsync/rsynnd.pid
lock file = /home/ljh/server/rsync/rsyncd.lock
log file = /home/ljh/server/rsync/rsyncd.log
[test]
comment = test
path = /home/ljh/server/rsync/data/test
ignore error
list = true
#auth users = ljh
#secrets file = /home/ljh/server/rsync/passwd/rsyncd.passwd

配置参数介绍
comment
�l�模块指定一个描�q�ͼ�该描�q�连同模块名在客戯��接得到模块列表时昄��l�客戗��默认没有描�q�定义�?br /> path
指定该模块的供备份的目录树�\径，该参数是必须指定的�?br /> use chroot
�?nbsp;�?use chroot"指定为true�Q�那么rsync在传输文件以前首先chroot到path参数所指定的目录下。这样做的原因是实现额外的安全防护，但是�~�点是需要以roots权限�Q��ƈ且不能备份指向外部的�W�号�q�接所指向的目录文件。默认情况下chroot��gؓtrue�?br /> uid
该选项指定当该模块传输文�g时守护进�E�应该具有的uid�Q�配合gid选项使用可以��定哪些可以讉K��怎么��L��文�g权限�Q�默认值是"nobody"�?br /> gid
该选项指定当该模块传输文�g时守护进�E�应该具有的gid。默认��gؓ"nobody"�?br /> max connections
指定该模块的最大�ƈ发连接数量以保护服务器，��过限制的连接请求将被告知随后再试。默认值是0�Q�也��是没有限制�?br /> list
该选项讑֮�当客戯��求可以��用的模块列表�Ӟ��该模块是否应该被列出。如果设�|�该选项为false�Q�可以创建隐藏的模块。默认值是true�?br /> read only
该选项讑֮�是否允许客户上蝲文�g。如果�ؓtrue那么��M��上蝲��h��都会��p�|�Q�如果�ؓfalse�q�且服务器目录读写权限允讔R��么上载是允许的。默认��gؓtrue�?br /> exclude
�?nbsp;来指定多个由�I�格隔开的多个文件或目录(相对路径)�Q��ƈ��其��d��到exclude列表中。这�{�同于在客户端命令中使用--exclude来指定模式，一�?nbsp;模块只能指定一个exclude选项。但是需要注意的一�Ҏ��该选项有一定的安全性问题，客户很有可能�l�过exclude列表�Q�如果希望确保特定的文�g不能被访问，那就最好结合uid/gid选项一起��用�?br /> exclude from [file]
指定一个包含exclude模式的定义的文�g名，服务器从该文件中��d��exclude列表定义�?br /> include
用来指定不排除符合要求的文�g或目录。这�{�同于在客户端命令中使用--include来指定模式，�l�合include和exclude可以定义复杂的exclude/include规则�?br /> include from [file]
指定一个包含include模式的定义的文�g名，服务器从该文件中��d��include列表定义�?br /> auth users
该选项指定��q��格或逗号分隔的用户名列表�Q�只有这些用��h��允许�q�接该模块。这里的用户和系�l�用��h��有�Q何关�p�R��如�?auth users"被设�|�，那么客户端发出对该模块的�q�接��h��以后会被rsync��h��challenged�q�行验证�w�䆾�q�里使用�?nbsp;challenge/response认证协议。用��L��名和密码以明文方式存攑֜�"secrets file"选项指定的文件中。默认情况下无需密码��可以连接模�?也就是匿名方�?�?br /> secrets file
该选项指定一个包含定义用户名:密码对的文�g。只有在"auth users"被定义时�Q�该文�g才有作用。文件每行包含一个username:passwd寏V��一般来说密码最好不要超�q?个字�W�。没有默认的 secures file名，需要限式指定一�?例如�Q?etc/rsyncd.passwd)。注意：该文件的权限一定要�?00�Q�否则客��L��不能连接服务器
strict modes
该选项指定是否监测密码文�g的权限，如果该选项��gؓtrue那么密码文�g只能被rsync服务器运行��n份的用户讉K��Q�其他�Q何用户不可以讉K��该文件。默认��gؓtrue�?br /> hosts allow
该选项指定哪些IP的客户允许连接该模块。客��h��式定义可以是以下形式�Q�单个IP地址�Q�例如：192.167.0.1
hosts deny
指定不允许连接rsync服务器的机器�Q�可以��用hosts allow的定义方式来�q�行定义。默认是没有hosts deny定义�?br /> ignore errors
指定rsyncd在判断是否运行传输时的删除操作时忽略server上的IO错误�Q�一般来说rsync在出现IO错误时将��蟩�q?-delete操作�Q�以防止因�ؓ暂时的资源不��x��其它IO错误��D��的严重问题�?br /> lock file
指定支持max connections参数的锁文�g�Q�默认值是/var/run/rsyncd.lock�?br /> timeout
通过该选项可以覆盖客户指定的IP��时旉��。通过该选项可以��保rsync服务器不会永�q�等待一个崩溃的客户端。超时单位�ؓ�U�钟�Q?表示没有��时定义�Q�这也是默认倹{��对于匿名rsync服务器来��_��一个理想的数字�?00�?br /> dont compress
用来指定那些不进行压�~�处理再传输的文�Ӟ��默认值是*.gz *.tgz *.zip *.z *.rpm *.deb *.iso *.bz2 *.tbz

4. 客户端配�|?br /> 讉K��remote rsync列表
rsync rsync://10.0.64.162/test
��单的执行同步命��o
sync -auv --delete --password-file=/home/admin2/soft/rsync/passwd/rsyncd.passwd ~/rysnc/* ljh@10.0.64.162::test

比较实际的例子：
echo "hello" > /tmp/password.txt ;chmod 600 /tmp/password.txt
cp /home/ewalletbops/fatrix/crm/* /home/ewalletbops/fatrix/putxml/search
rsync -azv /home/ewalletbops/bops-daemon/bin/adxml/search/ /home/ewalletbops/fatrix/putxml/search
rsync -auv --delete --password-file=/tmp/password.txt /home/ewalletbops/fatrix/putxml/search yangzhen@127.0.0.1::everest/adxml
rm /tmp/password.txt

选项说明
-v, --verbose 详细模式输出
-q, --quiet �_��输出模式
-c, --checksum 打开校验开养I��强制�Ҏ��件传输进行校�?br /> -a, --archive 归档模式�Q�表�C�Z��递归方式传输文�g�Q��ƈ保持所有文件属性，�{�于-rlptgoD
-r, --recursive 对子目录以递归模式处理
-R, --relative 使用相对路径信息
-b, --backup 创徏备䆾�Q�也��是对于目的已经存在有同��L��文�g名时�Q�将老的文�g重新命名为~filename。可以��?-suffix选项来指定不同的备䆾文�g前缀�?br /> --backup-dir ��备份文�?如~filename)存放在在目录下�?br /> -suffix=SUFFIX 定义备䆾文�g前缀
-u, --update 仅仅�q�行更新�Q�也��是跌��所有已�l�存在于DST�Q��ƈ且文件时间晚于要备䆾的文件�?不覆盖更新的文�g)
-l, --links 保留软链�l?br /> -L, --copy-links 惛_��待常规文件一样处理��Y铄��
--copy-unsafe-links 仅仅拯��指向SRC路径目录树以外的铄��
--safe-links 忽略指向SRC路径目录树以外的铄��
-H, --hard-links 保留��链�l?br /> -p, --perms 保持文�g权限
-o, --owner 保持文�g属主信息
-g, --group 保持文�g属组信息
-D, --devices 保持讑֤�文�g信息
-t, --times 保持文�g旉��信息
-S, --sparse 对稀疏文件进行特�D�处理以节省DST的空�?br /> -n, --dry-run现实哪些文�g��被传输
-W, --whole-file 拯��文�g�Q�不�q�行增量��?br /> -x, --one-file-system 不要跨越文�g�pȝ��边界
-B, --block-size=SIZE ��验算法��用的块尺寸，默认�?00字节
-e, --rsh=COMMAND 指定替代rsh的shell�E�序
--rsync-path=PATH 指定�q�程服务器上的rsync命��o所在�\径信�?br /> -C, --cvs-exclude 使用和CVS一��L��Ҏ��自动忽略文�g�Q�用来排除那些不希望传输的文�?br /> --existing 仅仅更新那些已经存在于DST的文�Ӟ��而不备䆾那些新创建的文�g
--delete 删除那些DST中SRC没有的文�?br /> --delete-excluded 同样删除接收端那些被该选项指定排除的文�?br /> --delete-after 传输�l�束以后再删�?br /> --ignore-errors 及时出现IO错误也进行删�?br /> --max-delete=NUM 最多删除NUM个文�?br /> --partial 保留那些因故没有完全传输的文�Ӟ��以是加快随后的再�ơ传�?br /> --force 强制删除目录�Q�即使不为空
--numeric-ids 不将数字的用户和�l�ID匚w��为用户名和组�?br /> --timeout=TIME IP��时旉��Q�单位�ؓ�U?br /> -I, --ignore-times 不蟩�q�那些有同样的时间和长度的文�?br /> --size-only 当决定是否要备䆾文�g�Ӟ��仅仅察看文�g大小而不考虑文�g旉��
--modify-window=NUM 军_��文�g是否旉��相同时��用的旉��戳窗口，默认�?
-T --temp-dir=DIR 在DIR中创��Z��时文�?br /> --compare-dest=DIR 同样比较DIR中的文�g来决定是否需要备�?br /> -P �{�同�?nbsp;--partial
--progress 昄��备䆾�q�程
-z, --compress 对备份的文�g在传输时�q�行压羃处理
--exclude=PATTERN 指定排除不需要传输的文�g模式
--include=PATTERN 指定不排除而需要传输的文�g模式
--exclude-from=FILE 排除FILE中指定模式的文�g
--include-from=FILE 不排除FILE指定模式匚w��的文�?br /> --version 打印版本信息
--address �l�定到特定的地址
--config=FILE 指定其他的配�|�文�Ӟ��不��用默认的rsyncd.conf文�g
--port=PORT 指定其他的rsync服务端口
--blocking-io 对远�E�shell使用��d��IO
--stats �l�出某些文�g的传输状�?br /> --progress 在传输时现实传输�q�程
--log-format=formAT 指定日志文�g格式
--password-file=FILE 从FILE中得到密�?br /> --bwlimit=KBPS 限制I/O带宽�Q�KBytes per second
-h, --help 昄��帮助信息

agapple 2009-01-14 14:12 发表评论

nginx使用��记

agapple — Fri, 07 Nov 2008 12:48:00 GMT

摘要: 阅读全文

agapple 2008-11-07 20:48 发表评论

vi 命��o��记

agapple — Mon, 03 Nov 2008 12:13:00 GMT

摘要: 阅读全文

agapple 2008-11-03 20:13 发表评论

linux下java�H�口�Q�正��显�C�Z��?

agapple — Fri, 31 Oct 2008 08:31:00 GMT

Tip1

1.�?JAVA_HOME/jre/lib/fonts/ 下徏立个目录 fallback
2.�?fallback 里弄个中文字体最��单ln一下就好了
比如�Q?/p>

ln -s /usr/share/fonts/truetype/arphic/uming.ttf  $JAVA_HOME/jre/lib/fonts/fallback/

Tip2

问题描述�Q�Java 应用�E�序的中文无法显�C�，呈现方块状�?/p>

　　原因分析�Q�Java 应用�E�序无法扑ֈ�可供昄��中文的字体�?/p>

　　解决�Ҏ��Q�首先，��保�pȝ��里安装了 JDK 1.5.0_06�Q�如果安装的�?JRE 1.5.0_06�Q�那么卸�?JRE�Q�再安装 JDK。然后下�?fireflysung 1.3.0�Q?解压后将其中�?ttf 文�g丢到�pȝ��字体目录/usr/share/fonts�Q�再�?fc-cache -f -v 跑一遍，让系�l�知道这个字体。最后，��是转到 JDK 安装目录的jre/lib/fonts 中，使用下面的命令来完成�?/p>

　　mkdir fallback
　　cd fallback
　　ln -s /usr/share/fonts/fireflysung.ttf
　　mkfontdir
　　mkfontscale

agapple 2008-10-31 16:31 发表评论

(�?suid和sgid介绍

agapple — Fri, 31 Oct 2008 08:22:00 GMT

�׃��用户在UNIX下经�怼�遇到SUID、SGID的概念，而且SUID和SGID涉及到系�l�安全，所以用户也比较兛_��q�个问题。关�?SUID、SGID的问题也�l�常有�h提问�Q�但回答的�h一般答得不够详�l�，加上曄��回答�q�两个网友的问题�Q�还查了一些资料，军_��整理成本文，以供大家参考�?限于本�h的水�q�问题，文章中如果有不当之处�Q�请�q�大�|�友指正�?

　　一、UNIX下关于文件权限的表示�Ҏ��和解�?/p>

　　SUID �?Set User ID, SGID �?Set Group ID的意思�?/p>

　　UNIX下可以用ls -l 命��o来看到文件的权限。用ls命��o所得到的表�C�法的格式是�c�M��q�样的：-rwxr-xr-x 。下面解析一下格式所表示的意思。这�U�表�C�方法一共有十位�Q?/p>

　　9 8 7 6 5 4 3 2 1 0

　　- r w x r - x r - x

　　�W?位表�C�文件类�?可以为p、d、l、s、c、b�?�Q?/p>

　　p表示命名��道文�g

　　d表示目录文�g

　　l表示�W�号�q�接文�g

　　-表示普通文�?/p>

　　s表示socket文�g

　　c表示字符讑֤�文�g

　　b表示块设备文�?/p>

　　�W?-6位�?-3位�?-0位分别表�C�文件所有者的权限�Q�同�l�用��L��权限�Q�其他用��L��权限�Q�其形式为rwx�Q?/p>

　　r表示可读�Q�可以读出文件的内容

　　w表示可写�Q�可以修�Ҏ��件的内容

　　x表示可执行，可运行这个程�?/p>

　　没有权限的位�|�用-表示

　　例子�Q?/p>

　　ls -l myfile昄��为：

　　~~rwxr-x~~-- 1 foo staff 7734 Apr 05 17:07 myfile

　　表示文�gmyfile是普通文�Ӟ��文�g的所有者是foo用户�Q�而foo用户属于staff�l�，文�g只有1个硬�q�接�Q�长度是7734个字节，最后修�Ҏ��?�?�?7:07�?/p>

　　所有者foo�Ҏ��件有��d��执行权限�Q�staff�l�的成员�Ҏ��件有��d��执行权限�Q�其他的用户对这个文件没有权限�?/p>

　　如果一个文件被讄��了SUID或SGID位，会分别表现在所有者或同组用户的权限的可执行位上。例如：

　　1�?rwsr-xr-x 表示SUID和所有者权限中可执行位被设�|?/p>

　　2�?del>rwSrr- 表示SUID被设�|�，但所有者权限中可执行位没有被设�|?/p>

　　3�?rwxr-sr-x 表示SGID和同�l�用��h��限中可执行位被设�|?/p>

　　4�?del>rw-r-Sr- 表示SGID被设�|�，但同�l�用��h��限中可执行位没有被社

　　其实在UNIX的实��C��Q�文件权限用12个二�q�制位表�C�，如果该位�|�上的值是

　　1�Q�表�C�有相应的权限：

　　11 10 9 8 7 6 5 4 3 2 1 0

　　S G T r w x r w x r w x

　　�W?1位�ؓSUID位，�W?0位�ؓSGID位，�W?位�ؓsticky位，�W?-0位对应于上面的三�l�rwx位�?/p>

　　11 10 9 8 7 6 5 4 3 2 1 0

　　上面�?rwsr-xr-x的��gؓ�Q?1 0 0 1 1 1 1 0 1 1 0 1

　　~~rw-r-Sr~~-的��gؓ�Q?0 1 0 1 1 0 1 0 0 1 0 0

　　�l�文件加SUID和SUID的命令如下：

　　chmod u+s filename 讄��SUID�?/p>

　　chmod u-s filename ��L��SUID讄��

　　chmod g+s filename 讄��SGID�?/p>

　　chmod g-s filename ��L��SGID讄��

　　另外一�U�方法是chmod命��o用八�q�制表示�Ҏ��的设�|�。如果明白了前面�?2位权限表�C�法也很��单�?/p>

　　二、SUID和SGID的详�l�解�?/p>

　　�׃��SUID和SGID是在执行�E�序�Q�程序的可执行位被设�|�）时�v作用�Q�而可执行位只�Ҏ��通文件和目录文�g有意义，所以设�|�其他种�c�L��件的SUID和SGID位是没有多大意义的�?/p>

　　首先讲普通文件的SUID和SGID的作用。例子：

　　如果普通文件myfile是属于foo用户的，是可执行的，现在没设SUID位，ls命��o昄��如下�Q?/p>

　　-rwxr-xr-x 1 foo staff 7734 Apr 05 17:07 myfile��M��用户都可以执行这个程序。UNIX的内核是�Ҏ��什么来��定一个进�E�对资源的访问权限的呢？是这个进�E�的�q�行用户的（有效�Q�ID�Q�包�?user id和group id。用户可以用id命��o来查到自��q��或其他用��L��user id和group id�?/p>

　　除了一般的user id 和group id外，�q�有两个�U�C��为effective 的id�Q�就是有效id�Q�上面的四个id表示为：uid�Q�gid�Q�euid�Q�egid。内�怸�要是�Ҏ��euid和egid来确定进�E�对资源的访问权限�?/p>

　　一个进�E�如果没有SUID或SGID位，则euid=uid egid=gid�Q�分别是�q�行�q�个�E�序的用��L��uid和gid。例如kevin用户的uid和gid分别�?04�?02�Q�foo用户的uid和gid�?200�Q?01�Q�kevin�q�行myfile�E�序形成的进�E�的euid=uid=204�Q�egid=gid=202�Q�内核根据这些值来判断�q�程对资源访�?的限�Ӟ��其实��是kevin用户对资源访问的权限�Q�和foo没关�p�R�?/p>

　　如果一个程序设�|�了SUID�Q�则euid和egid变成被运行的�E�序的所有者的uid和gid�Q�例如kevin用户�q�行myfile�Q�euid=200�Q�egid=201�Q�uid=204�Q�gid=202�Q�则�q�个�q�程��h��它的属主foo的资源访问权限�?/p>

　　SUID的作用就是这��P��让本来没有相应权限的用户�q�行�q�个�E�序�Ӟ��可以讉K��他没有权限访问的资源。passwd��是一个很鲜明的例子�?/p>

　　SUID的优先��比SGID高，当一个可执行�E�序讄��了SUID�Q�则SGID会自动变成相应的egid�?/p>

　　下面讨论一个例子：

　　UNIX�pȝ��有一�?dev/kmem的设备文�Ӟ��是一个字�W�设备文�Ӟ��里面存储了核心程序要讉K��的数据，包括用户的口令。所以这个文件不能给一般的用户��d��Q�权限设为：cr-r---- 1 root system 2, 1 May 25 1998 kmem

　　但ps�{�程序要读这个文�Ӟ��而ps的权限设�|�如下：

　　-r-xr-sr-x 1 bin system 59346 Apr 05 1998 ps

　　�q�是一个设�|�了SGID的程序，而ps的用��h��bin�Q�不是root�Q�所以不能设�|�SUID来访问kmem�Q�但大家注意了，bin和root 都属于system�l�，而且ps讄��了SGID�Q�一般用��h��行ps�Q�就会获得system�l�用��L��权限�Q�而文件kmem的同�l�用��L��权限是可读，所以一�?用户执行ps��没问题了。但有些��Q��ؓ什么不把ps�E�序讄��为root用户的程序，然后讄��SUID位，不也行吗�Q�这的确可以解决问题�Q�但实际中�ؓ什�?不这样做呢？因�ؓSGID的风险比SUID��得多，所以出于系�l�安全的考虑�Q�应该尽量用SGID代替SUID的程序，如果可能的话。下面来说明一�?SGID对目录的影响。SUID对目录没有媄响。如果一个目录设�|�了SGID位，那么如果��M��一个用户对�q�个目录有写权限的话�Q�他在这个目录所建立的文�?的组都会自动转�ؓ�q�个目录的属��L��在的�l�，而文件所有者不变，�q�是属于建立�q�个文�g的用戗��?/p>

　　三、关于SUID和SGID的编�E?/p>

　　和SUID和SGID�~�程比较密切相关的有以下的头文�g和函敎ͼ�

　　#include

　　uid_t getuid(void);

　　uid_t geteuid(void);

　　gid_t getgid (void);

　　gid_t getegid (void);

　　int setuid (uid_t UID);

　　int setruid (uid_t RUID);

　　int seteuid (uid_t EUID);

　　int setreuid (uid_t RUID,uid_t EUID);

　　int setgid (gid_t GID);

　　int setrgid (gid_t RGID);

　　int setegid (git_t EGID);

　　int setregid (gid_t RGID, gid_t EGID);

　　具体�q�些函数的说明在�q�里��׃��详细列出来了,要用到的可以用man查�?/p>

　　SUID/SGID :

　　假如你有文�ga.txt

　　#ls -l a.txt

　　-rwxrwxrwx

　　#chmod 4777 a.txt

　　-rwsrwxrwx ======>注意s位置

　　#chmod 2777 a.txt

　　-rwxrwsrwx ======>注意s位置

　　#chmod 7777 a.txt

　　-rwsrwxswt ======>出现了t,t的作用在内存中尽量保存a.txt,节省�pȝ��再加载的旉��.

　　现在再看前面讄�� SUID/SGID作用:

　　#cd /sbin

　　#./lsusb

　　...

　　#su aaa(普通用�?

　　$./lsusb

　　...

　　是不是现在显�C�出错？

　　$su

　　#chmod 4755 lsusb

　　#su aaa

　　$./lsusb

　　... 现在明白了吗�Q�本来是只有root用户才能执行的命令，加了SUID�?普通用户就可以像root一��L��用，权限提升了。上面是对于文�g来说的，对于目录也差不多�Q?/p>

　　目录的S属性��得在该目录下创徏的�Q何文件及子目录属于该目录所拥有的组�Q�目录的T属性��得该目录的所有者及root才能删除该目录。还有对于s与S�Q�设�|�SUID/SGID需要有�q�行权限�Q�否则用ls -l后就会看到S,证明你所讄��的SUID/SGID没有起作用�?/p>

　　Why we need suid,how do we use suid?

　　r -- 读访�?/p>

　　w -- 写访�?/p>

　　x -- 执行许可

　　s -- SUID/SGID

　　t -- sticky�?/p>

　　那么 suid/sgid是做什么的�Q?��Z��么会有suid位呢�Q?/p>

　　要想明白�q�个�Q�先让我们看个问题：如果让每个用��h��改自��q��密码�Q?/p>

　　用户修改密码�Q�是通过�q�行命��opasswd来实现的。最�l�必��要修改/etc/passwd文�g�Q�而passwd的文件的属性是�Q?/p>

　　#ls -l /etc/passwd

　　~~rw-r~~r- 1 root root 2520 Jul 12 18:25 passwd

　　我们可以看到passwd文�g只有对于root用户是可写的�Q�而对于所有的他用��h��说都是没有写权限的�?那么一个普通的用户如何能够通过�q�行passwd命��o修改�q�个passwd文�g呢？

　　��Z��解决�q�个问题�Q�SUID/SGID便应�q�而生。而且AT&T对它甌��了专利�?呵呵�?/p>

　　SUID和SGID是如何解册��个问题呢�Q?/p>

　　首先�Q�我们要知道一点：�q�程在运行的时候，有一些属性，其中包括实际用户ID,实际�l�ID,有效用户ID,有效�l�ID�{��?实际用户ID和实际组ID标识我们是谁�Q�谁在运行这个程�?一般这2个字�D�在登陆时决定，在一个登陆会话期��_�� q�些值基本上不改变�?/p>

　　而有效用户ID和有效组ID则决定了�q�程在运行时的权限。内核在军_��q�程是否有文件存取权限时�Q�是采用了进�E�的有效用户ID来进行判断的�?/p>

　　知道了这点，我们来看看SUID的解决途径�Q?/p>

　　当一个程序设�|�了为SUID位时�Q�内核就知道了运行这个程序的时候，应该认�ؓ是文件的所有者在�q�行�q�个�E�序。即该程序运行的时候，有效用户ID是该�E�序的所有者。�D个例子：

　　[root@sgrid5 bin]# ls -l passwd

　　-r-s-s-x 1 root root 16336 Feb 14 2003 passwd

　　虽然你以test登陆�pȝ��Q�但是当你输入passwd命��o来更改密码的时候，�׃��passwd讄��了SUID位，因此虽然�q�程的实际用户ID 是test对应的ID�Q�但是进�E�的有效用户ID则是passwd文�g的所有者root的ID,因此可以修改/etc/passwd文�g�?/p>

　　让我们看另外一个例子�?/p>

　　ping命��o应用�q�泛�Q�可以测试网�l�是否连接正常。ping在运行中是采用了ICMP协议�Q�需要发送ICMP报文。但是只有root用户才能建立ICMP报文�Q�如何解册��个问题呢�Q�同��P��也是通过SUID位来解决�?/p>

　　[root@sgrid5 bin]# ls -l /bin/ping

　　-rwsr-sr-x 1 root root 28628 Jan 25 2003 /bin/ping

　　我们可以��试一下，如果��L��ping的SUID位，再用普通用户去�q�行命��o�Q�看会怎么栗��?/p>

　　[root@sgrid5 bin]#chmod u-s /bin/ping

　　[root@sgrid5 bin]# ls -l ping

　　-rwxr-xr-x 1 root root 28628 Jan 25 2003 ping

　　[root@sgrid5 bin]#su test

　　[test@sgrid5 bin]$ ping byhh.net

　　ping: icmp open socket: Operation not permitted

　　SUID虽然很好了解决了一些问题，但是同时也会带来一些安全隐患�?/p>

　　因�ؓ讄��?SUID 位的�E�序如果被攻�?通过�~�冲区溢出等斚w��),那么hacker��可以拿到root权限�?/p>

　　因此在安全方面特别要注意那些讄��了SUID的程序�?/p>

　　通过以下的命令可以找到系�l�上所有的讄��了suid的文�Ӟ��

　　[root@sgrid5 /]# find / -perm -04000 -type f -ls

　　对于�q�里��Z��么是4000�Q�大家可以看一下前面的st_mode的各bit的意义就明白了�?/p>

　　在这些设�|�了suid的程序里�Q�如果用不上的，��最好取消该�E�序的suid位�?/p>
�ȝ��Q?/span>
1�Q�Set UID�Q�当文�g�pȝ��?所有者权限组�?的可执行位被s(即rws------)取代�Ӟ��构成�Ҏ��权限规定Set UID�Q�简�U�SUID。仅对系�l�中的二�q�制可执行文件设�|�有效，而且不可对Shell Script施加讄��?br /> 2�Q�Set GID�Q�当所有者所在的用户�l?group)的权限组合中可执行位被s所取代�?例如--~~rws~~--)�Q�便构成Set GID的权限设�|�。SGID可以针对二进制文件或目录�q�行讄��?br /> 3�Q�Sticky Bit�Q�当文�g�pȝ��"其他(others)"的权限组合中可执行位被t所取代�?例如------rwt)�Q�便构成Sticky Bit的权限设�|�。它只对目录有效�?

SUID和SGID�Q�主要作用是用于当非某个文�g的所有�?或组)执行(或操作目�?文�g�Ӟ��可以暂时获得该文件所有者的权限�?br /> SBIT的作用在于访问控�Ӟ��当它�Ҏ��个目录设�|�此属性后�Q�该目录下的所有文�Ӟ��即��其它人有w属性，都不得对其更名、移动、删除�?/p>

讄��Ҏ��Q?br /> 如果你已�l�掌握了�?八进�?数字来表�C�权限的规则�Q�再�l�合chmod命��o�q�行讄��很��单了。以下是SUID/SGID/Sticky Bit�U�定对应的八�q�制数��|��
SUID �Q?4
SGID �Q?2
SBIT �Q?1
讄��时我们把表示�Ҏ��权限的数字放在其他三位数字权限的前面�?/p>

agapple 2008-10-31 16:22 发表评论

jar包的service Provider机制

agapple — Fri, 31 Oct 2008 03:32:00 GMT

官方描述�Q�http://java.sun.com/j2se/1.3/docs/guide/jar/jar.html

The META-INF directory

The following files/directories in the META-INF directory are recognized and interpreted by the Java 2 Platform to configure applications, extensions, class loaders and services:

MANIFEST.MF

The manifest file that is used to define extension and package related data.

INDEX.LIST

This file is generated by the new "-i" option of the jar tool, which contains location information for packages defined in an application or extension. It is part of the JarIndex implementation and used by class loaders to speed up their class loading process.

x.SF

The signature file for the JAR file. 'x' stands for the base file name.

x.DSA

The signature block file associated with the signature file with the same base file name. This file stores the digital signature of the corresponding signature file.

services/

This directory stores all the service provider configuration files.

�q�里指出了jar包的典型的目录结构。简单翻�?

META-INF目录中的下列文�g和目录获得Java 2�q�_��的认可与解释�Q�用来配�|�应用程序、扩展程序、类加蝲器和服务�Q?br /> • MANIFEST.MF�Q�清单文�Ӟ��用来定义与扩展和数据包相关的数据�?
• INDEX.LIST�Q�这个文件由JAR工具的新“-i”选项生成�Q�其中包含在一个应用程序或扩展中定义的数据包的地址信息。它是JarIndex的一部分�Q�被�c�d��载器用来加速类加蝲�q�程�?
• x.SF�Q�JAR文�g的签名文件。x代表基础文�g名�?
• x.DSA�Q�这个签名块文�g与同名基��{�֐�文�g有关。此文�g存储对应�{�֐�文�g的数字签名�?
• services/�Q�这个目录存储所有服务提供程序配�|�文件�?

Service Provider

Overview

Files in the META-INF/services directory are service provider configuration files. A service is a well-known set of interfaces and (usually abstract) classes. A service provider is a specific implementation of a service. The classes in a provider typically implement the interfaces and subclass the classes defined in the service itself. Service providers may be installed in an implementation of the Java platform in the form of extensions, that is, jar files placed into any of the usual extension directories. Providers may also be made available by adding them to the applet or application class path or by some other platform-specific means.

A service is represented by an abstract class. A provider of a given service contains one or more concrete classes that extend this service class with data and code specific to the provider. This provider class will typically not be the entire provider itself but rather a proxy that contains enough information to decide whether the provider is able to satisfy a particular request together with code that can create the actual provider on demand. The details of provider classes tend to be highly service-specific; no single class or interface could possibly unify them, so no such class has been defined. The only requirement enforced here is that provider classes must have a zero-argument constructor so that they may be instantiated during lookup.

Provider-Configuration File

A service provider identifies itself by placing a provider-configuration file in the resource directory META-INF/services. The file's name should consist of the fully-qualified name of the abstract service class. The file should contain a newline-separated list of unique concrete provider-class names. Space and tab characters, as well as blank lines, are ignored. The comment character is '#' (0x23); on each line all characters following the first comment character are ignored. The file must be encoded in UTF-8.

Example

Suppose we have a service class named java.io.spi.CharCodec. It has two abstract methods:

public abstract CharEncoder getEncoder(String encodingName);
public abstract CharDecoder getDecoder(String encodingName);

Each method returns an appropriate object or null if it cannot translate the given encoding. Typical CharCodec providers will support more than one encoding.

If sun.io.StandardCodec is a provider of the CharCodec service then its jar file would contain the file META-INF/services/java.io.spi.CharCodec. This file would contain the single line:

sun.io.StandardCodec # Standard codecs for the platform

To locate an encoder for a given encoding name, the internal I/O code would do something like this:

   CharEncoder getEncoder(String encodingName) {
       Iterator ps = Service.providers(CharCodec.class);
       while (ps.hasNext()) {
           CharCodec cc = (CharCodec)ps.next();
           CharEncoder ce = cc.getEncoder(encodingName);
           if (ce != null)
               return ce;
       }
       return null;
   }

The provider-lookup mechanism always executes in the security context of the caller. Trusted system code should typically invoke the methods in this class from within a privileged security context.

介绍�Q?/p>

在META-INF/services目录下保存的是service provider的配�|�文件�?服务在应用中会是一个接�?更多的是抽象�c?�?br /> 一个类服务器提供者实��C��一个服务类。这�cȝ��服务提供�c�d��以以扩展的�Ş式发布到�q�_��上。所以，jar文�g引入了扩展目录，同样你也可以��服务提供者加入classpath提供讉K��?/p>

服务都是表现��Z��个积累，而一个服务提供者通常是集成或实现了服务定义类。服务提供类通常不会像代理类一样�ؓ了正常提供服务而包含了��h��者的许多信息。服务提供类一般們֐�于高集成�?br /> 对这�c�L��务提供类的唯一强制性要求就是必��L��一个无参的构造函数�?/p>

provider 配置文�g
META-INF/services目录作�ؓprovider配置文�g的存放�\径。provider配置文�g中必��L��全类�?包含package)。配�|�文件可以存在space tab 换行�{�字�W?#作�ؓ注释�?br /> 注意�Q�provider配置文�g必须是以UTF-8�~�码�?/p>

�ȝ��Q?br /> service provider机制为程序的动态扩展提供了契机�Q�在应用中你可以针对接口�~�程�Q�通过RTTI技术可以比较完��的解决�E�序之间的耦合性。相比于spring DIP机制�Q�这也是一个不错的��试�Q�至��它不需要耦合spring包�?

agapple 2008-10-31 11:32 发表评论

fstab文�g解释 ��记

agapple — Thu, 30 Oct 2008 03:23:00 GMT

TitleLABEL=/                 /                       ext3    defaults        1 1
LABEL=/boot             /boot                   ext3    defaults        1 2
none                    /dev/pts                devpts gid=5,mode=620 0 0
LABEL=/home             /home                   ext3    defaults        1 2
none                    /proc                   proc    defaults        0 0
none                    /dev/shm                tmpfs   defaults        0 0
LABEL=/tmp              /tmp                    ext3    defaults        1 2
LABEL=/usr              /usr                    ext3    defaults        1 2
LABEL=/var              /var                    ext3    defaults        1 2
/dev/sda6               swap                    swap    defaults        0 0
/dev/cdrom              /mnt/cdrom              udf,iso9660 noauto,owner,kudzu,ro 0 0
/dev/fd0                /mnt/floppy             auto    noauto,owner,kudzu 0 0

fstab中存放了与分区有关的重要信息�Q�其中每一行�ؓ一个分��录，每一行又可分为六个部份：
1. �W�一��Ҏ��您想要mount的储存装�|�的实体位置�Q�如/dev/sda6分区 (分区或卷标名)
2. �W�二��就是您惌��其加入臛_��个目录位�|�，�?home�?, (挂蝲�?nbsp;)
3. �W�三��就是所谓的local filesystem�Q�其包含了以下格式：如ext、ext2、msdos、iso9660、nfs、swap�{�，或如ext2 (文�g�pȝ��)
4. �W�四��就是您mount�Ӟ��所要设定的状态，如ro�Q�只读）或defaults�Q�包括了其它参数如rw、suid、exec、auto、nouser、async�Q�，可以参见「mount nfs」�?�Q�读写状态）
5. �W�五��Ҏ��提供DUMP功能�Q�在�pȝ��DUMP时是否需要BACKUP的标志位�Q�其内定值是0�?span style="color: red"> �Q?font face="Times New Roman">0��Z��备䆾�Q?font face="Times New Roman">1��备䆾�Q�一般根分区要备份）
6. �W�六��Ҏ��讑֮�是否要在开机时做check的动作，除了其必要的check�?之外�Q�其它皆可视需要设定，内定值是0�?(0��Z��自检�Q?font face="Times New Roman">1或�?font face="Times New Roman">2��自检�Q�如果是根分��设�ؓ1�Q�其他分区只能是2)

agapple 2008-10-30 11:23 发表评论

久久亚洲精品专区蓝色区,综合偷自拍亚洲乱中文字幕,亚洲日本天堂在线

cglib源码学习交流

事务隔离�U�别���记

nginx使用���记

vi 命��o���记

linux下java�H�口�Q�正���显�C�Z���?

Tip1

Tip2

(�?suid和sgid介绍

jar包的service Provider机制

The META-INF directory

Service Provider

Overview

Provider-Configuration File

Example

fstab文�g解释 ���记

事务隔离�U�别��记

nginx使用��记

vi 命��o��记

linux下java�H�口�Q�正��显�C�Z��?

fstab文�g解释 ��记