Category Archives: Linux

MySQL sql_mode 说明(及处理一起 sql_mode 引发的问题) | Sean’s Notes

1. MySQL莫名变成了 Strict SQL Mode最近测试组那边反应数据库部分写入失败,app层提示是插入成功,但表里面里面没有产生数据,而两个写入操作的另外一个表有数据。因为 insert 失败在数据库层面是看不出来的,于是找php的同事看下错误信息: 1[Err] 1364 – Field `f_company_id` doesn’t have a default value

Source: MySQL sql_mode 说明(及处理一起 sql_mode 引发的问题) | Sean’s Notes

慌的一批!妹子一个rm -rf把公司服务器数据删没了…

事故背景安排一个妹子在一台生产服务器上安装 Oracle,妹子边研究边安装,感觉装的不对,准备卸载重新安装。

从网上找到卸载方法,其中要执行一行命令删除 Oracle 的安装目录,命令如下:

rm -rf $ORACLE_BASE/*

如果 ORACLE_BASE 这个变量没有赋值,那命令就变成了:

rm -rf /*

等等,妹子使用的可是 Root 账户啊。就这样,把整个盘的文件全部删除了,包括应用 Tomcat、MySQL 数据库 and so on……

MySQL 数据库不是在运行吗?Linux 能删除正在执行的文件?反正是彻底删除了,最后还剩一个 Tomcat 的 Log 文件,估计是文件过大,一时没有删除成功。

看着妹子自责的眼神,又是因为这事是我安排她做的,也没有跟她讲清厉害关系,没有任何培训,责任只能一个人背了,况且怎么能让美女背负这个责任呢?

打电话到机房,将盘挂到另一台服务器上,SSH 上去查看文件全部被清,这台服务器运行的可是一个客户的生产系统啊,已经运行大半年了,得尽快恢复啊。

于是找来脱机备份的数据库,发现备份文件只有 1KB,里面只有几行熟悉的 mysqldump 注释(难道是 Crontab 执行的备份脚本有问题),最接近的备份也是 2013 年 12 月份的了,真是屋漏偏逢连夜雨啊。

想起来一位领导说过的案例:当一个生产系统挂掉以后,发现所有备份都有问题,刻录的光盘也有划痕,磁带机也坏了(一个业界前辈,估计以前还用光盘做备份了),没想到今天真的应验到我的身上了,怎么办?

部门领导知道情况后,已经做了最坏的 B 计划:领导亲自带队和产品 AA 周日赶到客户所在的地市,星期一去领导层沟通;BB 和 CC 去客户管理员那边想办法说服客户……救命稻草:ext3grep赶快到网上去查资料进行误删数据恢复,还真找到一款 ext3grep 能够恢复通过 rm -rf 删除的文件,我们磁盘也是 ext3 格式,且网上有不少的成功案例。

于是燃起了一丝希望,赶快对盘 umount,防止重新写入补删文件扇区。下载 ext3grep,安装(编译安装过程艰辛暂且不表)。先执行扫描文件名命令:

ext3grep /dev/vgdata/LogVol00 --dump-names

打印出了所有被删除文件及路径,心中狂喜,不用执行 B 计划了,文件都在呢。

这款软件不能按目录恢复文件,只能执行恢复全部命令:

ext3grep /dev/vgdata/LogVol00 --restore-all

结果当前盘空间不足,没办法只能恢复文件,尝试了几个文件,居然部分成功部分失败:

ext3grep /dev/vgdata/LogVol00 --restore-file var/lib/mysql/aqsh/tb_b_attench.MYD

心里不禁一凉,难道是删除磁盘上被写过文件了?恢复机率不大了啊,能恢复几个算几个吧,说不定重要数据文件刚好在能恢复的 MYD 文件中。于是先将所有文件名重定向到一个文件文件中:

ext3grep /dev/vgdata/LogVol00 --dump-names >/usr/allnames.txt

过滤出来所有 MySQL 数据库的文件名存成 mysqltbname.txt。

编写脚本恢复文件:

while read LINEdo    echo "begin to restore file " $LINE    ext3grep /dev/vgdata/LogVol00 --restore-file $LINE    if [ $? != 0 ]    then        echo "restore failed, exit"       # exit 1    fidone < ./mysqltbname.txt

执行,大概运行了 20 分钟,恢复了 40 多个文件,但不够啊,我们将近 100 张表,每张表 frm,myd,myi 三个文件,怎么说也有 300 多个左右啊!将找回来的文件附到现有数据库上,更要文件权限为 777 后,重启 MySQL,也算是找回一部分数据了,但客户重要的考勤签到数据、手机端上报数据(据说客户按这些数据做员工绩效的)还没找回来啊。咋办?中间又试了另一款工具 extundelete,跟 ext3grep 语法基本一致,原理应该也一样了,但是据说能按目录恢复。好吧,试一试:

extundelete /dev/vgdata/LogVol00 --restore-directory var/lib/mysql/aqsh

果然不出所料,恢复不出来!!!!!!!!那些文件已被破坏了。跟领导汇报,执行 B 计划吧……无奈之下下班回家。(周末了,回去休息一下,想想办法吧)

灵机一动:Binlog

第二天早晨一早就醒了(心里有事啊),背上电脑,去公司(这个周末算是报销了,不挨批,通报,罚款,开除就不错了,还过什么周末啊)。

依旧运行 ext3grep,extundelete,也就那几招啊,把系统架到测试服务器上,看看数据能不能想办法补一补吧。

在测试服务器上进行 mysqldump,恢复文件,覆盖恢复回来的文件,给文件加权限,重启 MySQL。

Wait,Wait,不是有 Binlog 吗?我们服务都要求开启 Binlog,说不定能通过 Binlog 里恢复数据呢?于是从 Dump 出来的文件名里找到 Binlog 的文件,一共三个:

  • mysql-binlog0001
  • mysql-bin.000009
  • mysql-bin.000010

恢复一下 0001:

ext3grep /dev/vgdata/LogVol00 --restore-file var/lib/mysql/mysql-bin.000001

居然失败了……再看另两个文件,mysql-bin.000010 大概几百 MB,应该靠谱一点,执行还原命令,居然成功了!

赶快 SCP 到测试服务器。执行 Binlog 还原:

mysqlbinlog /usr/mysql-bin.000010 | mysql -uroot -p

输入密码,卡住了(好现象),经过漫长的等待,终于结束了。打开应用,哦,感谢 CCTV,MTV,数据回来了!

后记

经过此次事故,虽然数据很幸运找回来了,但是过程却是惊心动魄。也为自己的错误所带来的后果,给同事和领导带来的连带责任而后怕。也希望谨记此次事故,以后不再犯同样的错误。事故反思如下:

  • 本次安排 MM 进行服务器维护时没有提前对她进行说明厉害情况,自己也未重视,管理混乱,流程混乱。一个在线的生产系统,任何一个改动一定要先谋而后动。
  • 自动备份出现问题,没有任何人检查。脱机备份人员每次从服务器上下载 1K 的文件却从未重视。需要明确大家在工作岗位上的责任。
  • 事故发生后,没有及时发现,造成部分数据写入磁盘,造成不可恢复问题。需要编写应用监控程序,服务一旦有异常,短信告警相关责任人。
  • 根据评论提醒,再加一条:不能使用 Root 用户来操作。应该在服务器上开设不同权限级别的用户。

通过本次事故,几位跟这个项目和事故没有任何关系的同事,主动前来帮忙,查资料,帮测试,有一位同事还帮忙到晚上 1 点多钟进行数据恢复测试。同时产品经理在想到面向客户的巨大压力的情况下,没有慌乱而责怪开发人员和具体操作人,而让大家能静下心来想解决方案。

部门领导也积极主动的帮忙想办法,陪我们加班测试,实时跟踪事情进程。通过大家的共同努力,终于事情相对圆满结束,接下来,周一上午进行集体反思,总结经验教训,这类事故一定尽最大努力进行避免。本文所用到的工具链接:① ext3grep:https://code.google.com/p/ext3grep/编译安装依赖包比较多,可以到网上搜索如何安装。可惜的是作者给出的 howto 被墙了,我 FQ 将 howto 的 pdf 文档下载下来了,读完后你将会对 Linux 的文件系统有进一步的认识。这个工具有一个 Bug,出错后不会向下执行:

ext3grep: init_directories.cc:534: void init_directories(): Assertion `lost_plus_found_directory_iter != all_directories.end()' failed.

从而造成恢复失败,作者放出了一个补丁,下载地址:补丁下载。不明白为什么作者新版没有把这个补丁加进去。② extundelete:http://extundelete.sourceforge.net/功能跟 ext3grep 差不多,原理应该也差不多。只是号称可以还原目录,我这里没有试验成功。

Error 403 No valid crumb was included in the request

....
<title>Error 403 No valid crumb was included in the request</title>
....

就代表你有啟動比較安全的機制 CSRF Protection( 預設是啟動的 )。

要如何解決呢? 請繼續往下看😊

CSRF Protection

主要是防止 CSRF 攻擊,

如果不知道什麼是 CSRF ,可參考我之前寫的 CSRF-tutorial 📝

管理 Jenkins -> 設定全域安全性

防範 CSRF 入侵預設有被打勾

把打勾取消,就可以用剛剛的方法了。

但是,如果我還是希望打勾防範 CSRF 入侵,那我該怎麼辦呢😬

這時候,必須先得到 Jenkins-Crumb

curl -s -u twtrubiks:8d3215553ca9623300f4967827c61291  http://localhost:8080/crumbIssuer/api/json

-s 參數說明

-s/–silent Silent mode. Don’t output anything

然後再將 Jenkins-Crumb 的值帶進去,如下( 假設 job 為 demo )

curl -X POST http://localhost:8080/job/demo/build --user twtrubiks:8d3215553ca9623300f4967827c61291  -H "Jenkins-Crumb:6fbe69cd42a261330cb37e74af1ed1d1"

-H 參數說明

-H/–header Custom header

如果沒跳出任何資訊 ( 有跳訊息通常是有錯誤 ),就代表成功了👍

你可以回到你的 Jenkins ,你會發現他自動開始 build 了 😆

 

 

 

ref from: https://github.com/twtrubiks/docker-jenkins-django-tutorial/blob/master/README.md

Git 佈署小小小小筆記

SDpower 提到了 git checkout -f 的用意。其實跟 git checkout HEAD . 的作用一樣,強制將最後一次做的修改(Commit)給 Pull 下來更新,如果遇到本地端的更新,則會將現有修改全部恢復成上次的修改(Commit),然後將檔案全部抓下來,既有(非 git 系統內的檔案,如系統產生的 log)不會受到影響。

這樣做的好處是:

  • 我們已經將 worktree 指向特定目錄,這個目錄也許是網站的 Document Root 之類的。
  • 不希望有人直接去更動主機端的檔案,強制以 Git 更新為最主要的目標。
  • Git 更新之後,Staging 這類測試用主機,檔案會直接在 Web Server 上面生效。
  • 可以利用 Shell Script 補完對 Production 主機的佈署。
  • 其實也是因為我比較喜歡寫 shell-script 的關係(被揍飛

首先是我們找一台機器來當 Git Server!我這邊用 192.168.2.100 來當例子。

$ cd ~
$ mkdir git
$ cd git/
$ mkdir staging.git
$ cd staging.git/
$ git init --bare
$ git --bare update-server-info
$ git config core.worktree /home/hinablue/staging
$ git config core.bare false
$ git config receive.denycurrentbranch ignore
$ echo "git checkout -f" >> hooks/post-receive
$ chmod +x hooks/post-receive
$ chmod g+rwx -R .

然後我們從本地端來 Clone 這個 Git!

git clone hinablue@192.168.2.100:/home/hinablue/git/staging.git
$ cd staging/
$ git add .
$ git commit -m "commit 當然要用中文"
$ git push origin master

伺服器端的 core.worktree 就是我們 Commit 上去之後,利用 post-receive 來執行 git checkout -f 的指令。所以,我們在本地端 Push 資料上去的時候,他就會自動 Pull 一份到我們設定的 worktree 裡面。如果你有開 branch 的話,再你還沒有合併到 master 之前,你在 branch 的 Push 並不會影響到遠端上面的資料的。

當然,post-receive 是可以自己修改的。你可以利用你習慣的 shell-script 來去對這個指令檔案做其他的動作。不過,執行 post-receive 這個指令的目錄,以這個例子來說,他是在 /home/hinablue/git/staging.git/ 底下,所以,當你要對其他的資料夾做動作的時候,請格外小心。

老實說,對於 Git 的 Hook 著墨的文章不多,不知道是不是因為他是 shell-script 的關係?

暫時先這樣,改天有更多的心得或是地雷再來分享!

關於 Git 文章可參考:

Debian Linux 架設使用 SSH 存取 的 Git Server

ihower 系列文章,必看!

Pro Git(英文書)

Deploying a Site With Git Hooks

Deploying Websites With a Tiny Git Hook