Puppet模块(五):SSH模块及ssh资源

作用:通过SSH模块管理客户端的ssh远程服务,并用key认证方式替代密码认证方式,提高安全性;


本例分两阶段,首先是ssh的安装、配置及服务管理,然后是使用如何转换成key认证方式。


#第一阶段

1、服务端配置ssh模块

(1)模块清单

[[email protected] ~]# tree /etc/puppet/modules/ssh/
/etc/puppet/modules/yum/
├── files
│   └── sshd_config
├── manifests
│   ├── config.pp
│   ├── init.pp
│   ├── install.pp
│   ├── params.pp
│   ├── key.pp
│   └── service.pp
└── templates

(2)定义参数类

[[email protected] ~]# vi /etc/puppet/modules/ssh/manifests/params.pp
class ssh::params {
  case $operatingsystem {    #条件判断,根据操作系统来定义同名参数不同的值
    Solaris: {
      $ssh_package_name = ‘openssh‘
      $ssh_service_config = ‘/etc/ssh/sshd_config‘
      $ssh_service_name = ‘sshd‘
    }
    /(RedHat|CentOS|Fedora|Ubuntu|Debian)/: {
      $ssh_package_name = ‘openssh-server‘
      $ssh_service_config = ‘/etc/ssh/sshd_config‘
      $ssh_service_name = ‘sshd‘
    }
    default: { 
      fail("Module ssh is not supported on ${::operatingsystem}")
    }
  }
}

(3)定义安装类

[[email protected] ~]# vi /etc/puppet/modules/ssh/manifests/install.pp
class ssh::install {
  package { ssh::params::ssh_package_name:
    ensure => installed,
  }
}

(4)定义配置类

[[email protected] ~]# vi /etc/puppet/modules/ssh/manifests/config.pp
class ssh::config {
  file { ssh::params::ssh_service_config:
    ensure  => present,
    owner   => ‘root‘,
    group   => ‘root‘,
    mode    => 0600,
    source  => "puppet:///modules/ssh/sshd_config",
    require => Class["ssh::install"],
    notify  => Class["ssh::service"],
  }
}

(5)定义服务类

[[email protected] ~]# vi /etc/puppet/modules/ssh/manifests/service.pp
class ssh::service {
  service { ssh::params::ssh_service_name:
    ensure     => running, 
    hasstatus  => true,
    hasrestart => true,
    enable     => true,
    require    => Class["ssh::config"],
  }
}

(7)定义ssh主类

[[email protected] ~]# vi /etc/puppet/modules/ssh/manifests/init.pp
class ssh {
  include ssh::params
  include ssh::install,ssh::config,ssh::service
}

(8)定义节点文件,调用模块

[[email protected] ~]# vi /etc/puppet/manifests/centostest.pp
node "centostest.ewin.com" {
  include ntp, yum, puppet, host, ssh
}

(9)应用节点文件

[[email protected] ~]# vi /etc/puppet/manifests/site.pp
import "centostest.pp"

(10)复制配置文件

复制一份SSH的配置文件(/etc/ssh/sshd_config)到puppet的目录下(/etc/puppet/modules/ssh/files/sshd_config),并在文件顶部插入一条注释说明:

### config  by  puppet ###

2、测试第一阶段

(1)客户端运行puppet agent -t,同时观察日志

[[email protected] ~]# tailf /var/log/messages
Nov 12 10:56:08 centostest puppet-agent[39921]: (/Stage[main]/Ssh::Config/File[/etc/ssh/sshd_config]/content) content changed ‘{md5}53ad75eb1f2269d23f6e4228353cbca3‘ to ‘{md5}a271889f546ff10b7af311ba35ed5e1c‘
Nov 12 10:56:09 centostest puppet-agent[39921]: (/Stage[main]/Ssh::Service/Service[sshd]) Triggered ‘refresh‘ from 1 events
Nov 12 10:56:09 centostest puppet-agent[39921]: Finished catalog run in 2.59 seconds

结论:配置文件更新,服务类刷新了一次,ssh的基本管理配置成功

(2)服务端通过ssh远程客户端

[[email protected] ~]# ls /root/.ssh/              #查看密钥目录
[[email protected] ~]# ssh centostest.ewin.com     #Ssh远程连接,可以用IP地址
The authenticity of host ‘centostest.ewin.com (10.188.1.85)‘ can t be established.
RSA key fingerprint is 0d:79:7b:52:6c:8a:0c:cf:95:8e:f7:25:b4:95:98:c8.
Are you sure you want to continue connecting (yes/no)? yes      #输入yes确认连接
Warning: Permanently added ‘centostest.ewin.com,10.188.1.85‘ (RSA) to the list of known hosts.               #添加到known_hosts列表中
[email protected] s password: #输入客户端centostest的root用户的密码
Last login: Wed Nov 12 10:52:34 2014 from ywzhou-pc.ewin.com #记录的最后一次登陆记录

结论:第一次通过ssh连接客户端会创建主机密钥并记录到known_hosts,提示输入root密码,这便是最常用的密码认证方式。

[[email protected] ~]# exit                 #退出ssh连接,返回到puppet服务器
logout
Connection to centostest.ewin.com closed.
[[email protected] ~]# ls /root/.ssh/           #再次查看密钥目录,出现了生成的记录文件
known_hosts
[[email protected] ~]# ssh centostest.ewin.com  #重新远程连接客户端,不再确认密钥
[email protected]‘‘s password: 
Last login: Wed Nov 12 11:06:36 2014 from puppet.ewin.com

结论:第二次连接会读取known_hosts中记录的主机密钥,只需输入root密码后即可连接


#第二阶段

说明:sshkey认证方式可以在linux服务器上(如puppet服务器)生成密钥,通过puppet服务器ssh到客户端进行管理;也可以在windows机器上使用连接管理工具(如Xshell 4或SecureCRT)生成密钥,这也是运维人员常用的软件;sshkey认证方式可以安全的、无需密码的、快速的连接客户端进行管理;

先介绍如何在puppet服务器上生成无密码的密钥(私钥和公钥一对),将公钥分发到客户端,关闭ssh的password认证连接。

3、使用ssh-keygen命令生成认证密钥

(1)服务端生成密钥

[[email protected] ~]# ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/root/.ssh/id_dsa): #私钥保存路径
Enter passphrase (empty for no passphrase): #输入一个密语字符串,这里可以直接回车,空密码
Enter same passphrase again:            
Your identification has been saved in /root/.ssh/id_dsa. #私钥
Your public key has been saved in /root/.ssh/id_dsa.pub. #公钥
The key fingerprint is:
af:eb:5a:45:a7:91:dc:80:6e:03:75:ec:71:ae:2d:a0 [email protected]

参数说明:-t表示密钥类型,dsa或rsa,都是SSH2的,不支持SSH1;后面还可接-C "puppet test sshkey"表示注释,用来标示密钥的用途。

(3)查看生成的密钥

[[email protected] ~]# ls /root/.ssh/
id_dsa  id_dsa.pub  known_hosts

说明:三个文件分别是私钥、共钥、已连接过的SSH客户端密钥记录,下面来查看密钥文件:

[[email protected] ~]# cat /root/.ssh/id_dsa
-----BEGIN DSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,AB0A77C490AD5CE6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-----END DSA PRIVATE KEY-----
[[email protected] ~]# cat /root/.ssh/id_dsa.pub 
ssh-dss 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 [email protected]

说明:将公钥文件id_dsa.pub中的三段(类型、密钥编码、用户)定义到密钥类中

(4)定义密钥类

[[email protected] ~]# vi /etc/puppet/modules/ssh/manifests/key.pp
class ssh::key {
  ssh_authorized_key { "puppet":   #管理机的主机名,也是公钥名,不重复就行
    ensure  => present,            #基础属性,指定key是否生成,present、absent
    type    => "ssh-dss",          #key的加密类型
    key     => "AAAAB3NzaC1kc3MAAACBAJrukh4ukPZ75uQEtLdczpv9RrjJDAY15wtJtVBtl1bUNxOdUiE3hlcqBRMrU01bokdz6LZQgy7j24k11/dS5ojawzkC9J5a4q4tBu3geasmmg+sd1GcC/mAYumCg2YzVGlsrUwbzgU62m7+FZSej0ySGORoaGcHLxdrpy24A5qbAAAAFQDt4RpHlMCV2bv2/kLcCZdI416S3QAAAIEAl2P8cZgSYRbO2pGMTp4wP7jfq/1EXq/+kNa4SpEpUT/qQbfLUSNSEcKMsQKGSiDih4AzTfTPxHf4UGwfB/Cxv9WdYEALrImE3KvETsY561u7UcgBLQkqLJsJLHp/q4qCLkgLfiohzn2aQKivtgqUCrQ9wAZUhW9FUZwskVWM884AAACAclP+RlLbblUL5eTzq4DEpOtWKbX5UXXwxoOyrc5ADS6NtM9D3jyB/pJ/Oiz4uU33J810EmYJLkPTph0FKk94MiCkQLg6zaoV9Ljlbw2BS46YzdEv5bCKjqaW9jIh+o/PnfF8kGRyIImGLce6SasGhRqkm6E3z2djBMtA/u9TZok=", #生成的密钥值,一般是十六进制数字的长字符串
    target  => "/root/.ssh/authorized_keys", #存储的SSH密钥文件的路径
    user    => ‘root‘,                       #指定是哪个用户(客户端)的key
    require => Class["ssh::install"],
  }
}

说明:可以使用puppet的user资源定义一个用户来分配sshkey,常用于多级系统管理员的IT部门。

(5)定义ssh主类

[[email protected] ~]# vi /etc/puppet/modules/ssh/manifests/init.pp
class ssh {
  include ssh::params
  include ssh::install, ssh::config, ssh::service, ssh::key
}

(6)定义节点文件,调用模块

[[email protected] ~]# vi /etc/puppet/manifests/centostest.pp
node "centostest.ewin.com" {
  include ntp, yum, puppet, host, ssh
}

(7)应用节点文件

[[email protected] ~]# vi /etc/puppet/manifests/site.pp
import "centostest.pp"

(8)修改ssh配置文件

[[email protected] ~]# vi /etc/puppet/modules/ssh/files/sshd_config
PasswordAuthentication no   #关闭密码认证

4、测试第二阶段

(1)客户端运行puppet agent -t,同时观察日志

[[email protected] ~]# tailf /var/log/messages
Nov 12 11:39:39 centostest puppet-agent[28301]: (/Stage[main]/Ssh::Config/File[/etc/ssh/sshd_config]/content) content changed ‘{md5}a271889f546ff10b7af311ba35ed5e1c‘ to ‘{md5}1983ed7e2956b9bd4c627e45906b193e‘
Nov 12 11:39:39 centostest puppet-agent[28301]: (/Stage[main]/Ssh::Service/Service[sshd]) Triggered ‘refresh‘ from 1 events
Nov 12 11:39:49 centostest puppet-agent[28534]: (/Stage[main]/Ssh::Key/Ssh_authorized_key[puppet]/ensure) created

结论:更新了配置文件、重启了服务、创建了密钥记录文件

(2)服务端通过ssh远程客户端

[[email protected] ~]# ssh centostest.ewin.com
Last login: Wed Nov 12 11:08:49 2014 from puppet.ewin.com
[[email protected] ~]#

结论:使用密钥认证方式连接,无需输入密码直接就连接上了

(3)查看客户端生成的密钥文件

[[email protected] ~]# cat /root/.ssh/authorized_keys 
# HEADER: This file was autogenerated at Tue Nov 12 11:39:49 +0800 2014
# HEADER: by puppet.  While it can still be managed manually, it
# HEADER: is definitely not recommended.
ssh-dss AAAAB3NzaC1kc3MAAACBAJrukh4ukPZ75uQEtLdczpv9RrjJDAY15wtJt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 puppet

结论:可以看到客户端的认证密钥文件中成功记录了前面生成的公钥;通过头部注释信息可以看到是由puppet部署的。另外如果不是指定root用户,就在/home/<user_name>/.ssh中查找。

注意:authorized_keys中只会保存由puppet的ssh_authorized_key部署的公钥,其他的自动删除。

(4)其他服务端访问测试

[[email protected] ~]# ssh 10.188.1.85
The authenticity of host ‘10.188.1.85 (10.188.1.85)‘ cant be established.
RSA key fingerprint is 0d:79:7b:52:6c:8a:0c:cf:95:8e:f7:25:b4:95:98:c8.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘10.188.1.85‘ (RSA) to the list of known hosts.
Permission denied (publickey,gssapi-keyex,gssapi-with-mic).

结论:可以看到Permission denied权限拒绝,无法登陆,密码认证方式被关闭了,成功转换到KEY认证。


#扩展阶段

说明:添加一台管理机公钥,在windows系统下使用工具进行sshkey认证连接。

5、生成认证密钥

(1)使用Xshell创建用户密钥

说明:密码可以为空

(2)使用SecureCRT创建用户密钥

说明:进入KEY的目录,用记事本打开Identity.pub查看公钥信息

(3)将公钥注册页面上的信息添加到密钥类文件中

[[email protected] ~]# vi /etc/puppet/modules/ssh/manifests/key.pp
class ssh::key {
  ssh_authorized_key { "puppet":
    ensure => present, 
    type   => "ssh-dss",
    key    => "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",
    target => "/root/.ssh/authorized_keys",
    user   => ‘root‘,
    require => Class["ssh::install"],
  }
  
  #添加ywzhou-pc的公钥资源
  ssh_authorized_key { "ywzhou-pc":
    ensure => present,
    type   => "ssh-dss", 
    key    => "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", 
    target => "/root/.ssh/authorized_keys", 
    user   => ‘root‘, 
    require => Class["ssh::install"],
  }
}

6、测试扩展阶段

(1)客户端运行puppet agent -t,同时查看日志

[[email protected] ~]# tailf /var/log/messages
Nov 12 12:17:30 centostest puppet-agent[10082]: (/Stage[main]/Ssh::Key/Ssh_authorized_key[ywzhou-pc]/ensure) created

(2)客户端查看公钥记录文件

[[email protected] ~]# cat /root/.ssh/authorized_keys 
# HEADER: This file was autogenerated at Wed Nov 12 12:17:30 +0800 2014
# HEADER: by puppet.  While it can still be managed manually, it
# HEADER: is definitely not recommended.
ssh-dss AAAAB3NzaC1kc3MAAACBAPrbA22nnuySLeoddXjkehPkX3qUjRt8vbJPgGoWz
RW8gAN88+xU7806/nqKso5pNAxP6XsDDkG/MYhtvXXgTlOxpeAkXZQpVUtHZp/ycnTRlq
CzmDZ5uHqrChcVKEP/jT9qLcxdEkyBClHefBIKiN4SeeB6hF+X4+3ZGecb8ljvAAAAFQC
rbJQ0w24MRAFUeV3LLNRn3S4z3wAAAIAzehQUM1wtbXHhgG4PuvkCVQJEqJNFgefHlL10
Tjeb8qVCVlfV7eULbmlwVnMReUBwc3tq4e15Bfpa5SoBtRpK3Srb0z/0Nyicfp1ADl+JW
4VR0TxcsFKBLSvCwma2ch9wKg5I1AwXlRTV+ayD4RyXmLhg1Mf8i2bZblNaazdRhAAAAI
EAsFQbDzmYkd8rGRjj2MJ2bQP2vutVzCMmRp8iDEbRPSiNX0hXhPioet/uyXaqjBjY6n2
6HsIGOUl2W8CYGpjuFtZ9qw0m7gNKghFOSjqRdOYQAG9/BG9kysIH6UFMarHxSXd9CGs
2eRh4o3lXgA7LvSMzHDSRHY5dyxlYCBXPDw8= ywzhou-pc
ssh-dss AAAAB3NzaC1kc3MAAACBAMzwtzbkG9yV8C9zM3n85FzJJaZrEPJbDQ1ZFfhkp
Zm2VYPHaFxCI3M2jTvHtkBV2OKlkHg2mrZ2Xt6Tp+d3E5ophZMdZmuOApiQPhD5z0Ld0/
Wb2RJzLTwYy/BO+UNPnlorpy0kJjvjCrAACcIIVtbUMquKcdydfL8KV+shPEm3AAAAFQC
RQw1nUvCqvL8tvOM+8cc6A2/tcQAAAIAWpKoqsoHIQp6bFeY7+tNQFo11Yzl3T3UJq7HG
7CkOWQdMKwJJBXvub3Sgp9hA4415A12G8GKfxRn6JotmLLiAXeQmYYGLR9wwGTqYNNZwJ
L2JhtHe4HroGp7CuP5M71NcZ5QtvwIMqxa30kYOKf4RaV5mpf/K13VItrjcK5hxAwAAAI
EAxodCPc3l63iBkjDhAUzfZyU3KtgIa/AO6E6t/60j485w0aYl2fpam+oA2akvtgZSMIZ
1o9dkQotMCubz82wsMo6nDia8V89D3goEn0Uu1512dxpPWXN7cH8C4BC0Vu1QXHYY8ASk
SAPMsSTsD49Ir736BIFSk2oTOcIKIJYpNO0= puppet

(3)window管理机使用Xshell工具连接客户端

说明:因为设置的是空密码,直接回车即可连接。

(4)window管理机使用SecureCRT工具连接客户端 

说明:因为没有在puppet中定义SecureCRT的公钥,因此认证失败,如何添加自己尝试。


7、ssh资源(sshkey和ssh_authorized_key)

(1)sshkey资源

说明:sshkey资源负责如何安装key到/etc/ssh/ssh_known_hosts,不能管理用户的授权密钥,因此不常用。

sshkey { ‘resource title‘:
  name         => #密钥相关的主机名
  ensure       => #基本属性,present, absent
  host_aliases => #主机别名,支持数组表示多个别名
  key          => #密钥,通常是一长串编码字符窜
  target       => #存储SSH密钥的文件
  type         => #SSH类型,ssh-dss (dsa), ssh-ed25519 (ed25519), ssh-rsa (rsa), 
                  #ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521
}

(2)ssh_authorized_key资源

说明:ssh_authorized_key资源负责管理授权密钥,大部分都使用这个资源类型

ssh_authorized_key { ‘resource title‘:
  name     => "hostname",   #主机名
  ensure   => present,      #基础属性,指定key是否生成,present、absent
  type     => "ssh-dss",    #key生成的加密类型,ssh-dsa或ssh-rsa
  key      => "密钥值",     #生成的密钥值,一般是十六进制数字的长字符串
  target   => "/home/sky/.ssh/authorized_keys", #存储的SSH密钥文件的路径
  user     => ‘sky‘,        #指定是哪个用户的key
  options  => ,             #其他选项
}

(3)官方例子

#查看密钥字符串

cat ~/.ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAy5mtOAMHwA2ZAIfW6Ap70r+I4EclYHEec5xIN59ROUjss23Skb1OtjzYpVPaPH8mSdSmsN0JHaBLiRcu7stl4O8D8zA4mz/vw32yyQ/Kqaxw8l0K76k6t2hKOGqLTY4aFbFISV6GDh7MYLn8KU7cGp96J+caO5R5TqtsStytsUhSyqH+iIDh4e4+BrwTc6V4Y0hgFxaZV5d18mLA4EPYKeG5+zyBCVu+jueYwFqM55E0tHbfiaIN9IzdLV+7NEEfdLkp6w2baLKPqWUBmuvPF1Mn3FwaFLjVsMT3GQeMue6b3FtUdTDeyAYoTxrsRo/WnDkS6Pa3YhrFwjtUqXfdaQ== [email protected]

#翻译成SSH密钥资源

ssh_authorized_key { ‘[email protected]‘:
  user => ‘nick‘,
  type => ‘ssh-rsa‘,
  key  => ‘AAAAB3NzaC1yc2EAAAABIwAAAQEAy5mtOAMHwA2ZAIfW6Ap70r+I4EclYHEec5xIN59ROUjss23Skb1OtjzYpVPaPH8mSdSmsN0JHaBLiRcu7stl4O8D8zA4mz/vw32yyQ/Kqaxw8l0K76k6t2hKOGqLTY4aFbFISV6GDh7MYLn8KU7cGp96J+caO5R5TqtsStytsUhSyqH+iIDh4e4+BrwTc6V4Y0hgFxaZV5d18mLA4EPYKeG5+zyBCVu+jueYwFqM55E0tHbfiaIN9IzdLV+7NEEfdLkp6w2baLKPqWUBmuvPF1Mn3FwaFLjVsMT3GQeMue6b3FtUdTDeyAYoTxrsRo/WnDkS6Pa3YhrFwjtUqXfdaQ==‘,
}

#应用SSH资源到USER资源中

user { ‘nick‘:
  ensure         => present,
  purge_ssh_keys => true,
}

#将会删除~/.ssh/authorized_keys中不被ssh_authorized_key管理的密钥

时间: 2024-10-06 22:25:44

Puppet模块(五):SSH模块及ssh资源的相关文章

puppet ssh模块配置

为了ssh配置文件安全性,保证配置权限不被串改,可以通过puppet统一管理. 1 . 创建ssh模块相关目录: [email protected]:ssh# pwd /etc/puppet/modules/ssh [email protected]:ssh# ll total 12 drwxr-xr-x 2 root root 4096 Nov 9 10:42 files drwxr-xr-x 2 root root 4096 Dec 16 18:15 manifests drwxr-xr-x

【PYTHON模块】paramiko模块与主机SSH连接

还记得前一节做的socket和socketserver吗?写了很多实现了一个小功能,但是今天的paramiko真让人有种土枪换炮的感觉! paramiko是用python语言写的一个模块,遵循SSH2协议,支持以加密和认证的方式,进行远程服务器的连接.paramiko支持Linux, Solaris, BSD, MacOS X, Windows等平台通过SSH从一个平台连接到另外一个平台.利用该模块,可以方便的进行ssh连接和sftp协议进行sftp文件传输. 本文只演示paramiko连接li

Paramiko模块基本使用,通过ssh远程连接服务器,并执行操作

Paramiko模块 通过ssh远程链接服务器并执行响应的操作,类似于XShell ps:ansible批量管理服务器工具,底层用的就是paramiko模块 安装 pip3 install paramiko 基本使用 远程链接服务器的方式 用户名和密码 公钥私钥的方式 paramiko上面两种方式都支持 执行命令 用户名和密码的方式 import paramiko # 创建SSH对象 ssh = paramiko.SSHClient() # 允许链接不在know_hosts文件中的主机 ssh.

puppet学习之四 编写模块

puppet学习之四 编写模块 这里不赘述编写的语法,只是简单记录下一个模块编写的简单流程 [[email protected] ~]# cd /etc/puppet/modules/ [[email protected] modules]# mkdir puppet [[email protected] modules]# cd puppet/ [[email protected] puppet]# mkdir files manifests templates #创建模块目录结构 [[ema

Puppet 之 模板和模块

1  概述 模板文件是在puppet模块下面templates目录中以".erb"结尾的文件,puppet模板主要用于文件,例如各种服务的配置文件,相同的服务,不同的配置就可以考虑使用模板文件. 模块是Puppet自包含的代码和数据集合.绝大多数的清单都可以放到模块中,唯一的例外是manifests下的主清单site.pp,包含站点级和节点级的代码. 本文将结合例子介绍如何使用模板和模块 2  模板 2.1 概念介绍 puppet模板是采用erb模板语言,embedded ruby来创

python爬虫主要就是五个模块:爬虫启动入口模块,URL管理器存放已经爬虫的URL和待爬虫URL列表,html下载器,html解析器,html输出器 同时可以掌握到urllib2的使用、bs4(BeautifulSoup)页面解析器、re正则表达式、urlparse、python基础知识回顾(set集合操作)等相关内容。

本次python爬虫百步百科,里面详细分析了爬虫的步骤,对每一步代码都有详细的注释说明,可通过本案例掌握python爬虫的特点: 1.爬虫调度入口(crawler_main.py) # coding:utf-8from com.wenhy.crawler_baidu_baike import url_manager, html_downloader, html_parser, html_outputer print "爬虫百度百科调度入口" # 创建爬虫类class SpiderMai

Python学习笔记五(模块与包)

一.模块 1.模块介绍 一个模块就是包含了一组功能的python文件,可以通过import导入模块使用. python中模块分为四个类别: a) 使用python编写的.py文件 b) 已被编译为共享库或DLL的C或C++扩展 c) 把一系列模块组织到一起的文件夹,文件夹内有__init__.py文件,称该文件夹为包 d) 使用C编写并链接到python解释器的内置模块 定义my_module.py模块,模块名为my_module print("from my_module.py")

Python 第五天 模块(2)

模块,用一砣代码实现了某个功能的代码集合. 有两种存在的方式 1.写到一个文件夹里面 2.py文件 类似于函数式编程和面向过程编程,函数式编程则完成一个功能,其他代码用来调用即可,提供了代码的重用性和代码间的耦合.而对于一个复杂的功能来,可能需要多个函数才能完成(函数又可以在不同的.py文件中),n个 .py 文件组成的代码集合就称为模块. 如:os 是系统相关的模块:file是文件操作相关的模块 模块分为三种: 自定义模块 内置模块 开源模块 自定义模块 1.定义模块 2.导入模块 Pytho

nginx 学习五 filter模块简介和实现一个简单的filter模块

1 nginx过滤模块简介 过滤(filter)模块是过滤响应头和内容的模块,可以对回复的头和内容进行处理.它的处理时间在获取回复内容之后, 向用户发送响应之前.它的处理过程分为两个阶段,过滤HTTP回复的头部和主体,在这两个阶段可以分别对头部和主体 进行修改. 2 过滤模块执行顺序 2.1 ngx_http_output_(head, body)_filter_pt 先看一下nginx常用的过滤模块,在ngx_moudles.c中有一下代码: ngx_module_t *ngx_modules