サーバー管理者

システムおよびネットワーク管理者向けのQ&A

8
メールホーダーの介入と教育-(Exchange環境)
私のキャリアを通じて、メールを大量に使用するユーザーがかなりいました... ユーザーが以前に100 MBのクォータと基本的なCyrus IMAP / Postfixソリューションを持っていた100ユーザー環境を管理しています。その結果、大量のローカルに保存されたメールと、PCの障害後のデータ保持とメールの損失に関連する問題が発生しました。 私はすぐにMailArchivaで Exchange 2010に移行しました(発見/アーカイブ用)、このセットアップでほぼ1年間ハミングしてきました。インバウンドとアウトバウンドはすべてアーカイブされ、コンプライアンスのために保持されます。最初にユーザーごとに3GBのメールボックス制限を設定しました。少数のユーザーは、電子メールの作業セットに余分なスペースを必要とし、正当化することができたため、いくつかの例外を設けました。ただし、現在22,000のアイテムがあり、そのうち14,000が未読である、特に悪い(しかし重要な)ユーザーがいます。おそらくメッセージの数ではなく、メールの性質です。多数のレポート、ステートメント、大きなPDF添付ファイル。これはBlackberryユーザーでもあるので、件名に基づいてメールを選択的に読んでいると思われます。ユーザーが初めて3GBの制限に達したため、メールボックスを整理することを望んでいません。メールの流れを保つために、3,000個の削除済みアイテムを処理しました。しかし、メールを整理する方法についてユーザーを教育する方法に途方に暮れています。厳格なポリシーを制定して頑固にすることもできますし、ユーザーと一緒に座ってメールのソートとパージを行うこともできます。いずれにせよ、それは教育を支援する方法の本当の問題に対処していません。 このタイプの状況に対処する方法に関するヒントはありますか?ガイドラインの例をいくつか教えてください。あなたの会社でポリシーを使用している場合、どのタイプのポリシーが人々をコントロールし続けるのに役立ちますか? メールの使い方は人によって異なりますが、メールを特定の編成方法に強制することは困難です。私は最良の例ではないかもしれませんが、何を保持し、何を削除するかを知っています。 更新 -最初の戦いは終わりました。いくつかの合理的なプルーニングにより、ユーザーをExchangeメールボックスの制限内に保つことができました。しかし、ユーザーのコンピューターを再構築して、6,500個を超えるサブフォルダーを持つ17GBのローカルPSTファイルを発見しました!ユーザーは、サブフォルダーの配列にメッセージをコピー(移動ではなく)していました。単一のメッセージが複数のフォルダにコピー/ファイルされる場合があります。ファイル内のフォルダーの表示順序を制御するために、アンダースコア(_)とプレフィックス(az)が使用されました!ユーザーは、後でローカルPSTのサブフォルダーの1つにファイルされるメッセージの受信トレイレコードを持つように、送信メールで自分自身をCCしていました。これは技術の絶対的な誤用であり、会社のデータを整理する恐ろしい方法です。現在は会社の責任であるため、状況に対処するために所有者に引き渡します。
1
サーバーハックの事後分析を行う方法
IIS6、SQL Server 2005、MySQL 5、PHP 4.3がインストールされたWindows Server 2003 SP2マシンがあります。これは運用マシンではありませんが、ドメイン名を介して世界に公開されます。マシンでリモートデスクトップが有効になっており、2つの管理アカウントがアクティブになっています。 今朝、私はマシンがログインテキストボックスにまだ不明なユーザーの名前でログオフされていることを発見しました。さらに調査したところ、2人のWindowsユーザーが作成され、アンチウイルスがアンインストールされ、.exeファイルのごく一部がC:ドライブにドロップされたことがわかりました。 私が知りたいのは、これが二度と起こらないようにするためにどのような措置を講じるべきか、そしてエントリーの道を決定するために集中すべき領域です。どのポートが開いているかを確認するために、すでにnetstat -aをチェックしました。MySQLのデータフォルダーで不明なファイルを見つけましたが、これがエントリポイントである可能性があると考えていますが、よくわかりません。 将来的にこれを回避できるように、サーバーハックの適切な事後分析を実行する手順を本当に感謝しています。 調査後レビュー いくつかの調査の後、私は何が起こったかを見つけたと思います。まず、マシンは08年8月から09年10月の期間中にオンラインになりませんでした。その期間中に、セキュリティの脆弱性、MS08-067の脆弱性が発見されました。「これはリモートコード実行の脆弱性です。攻撃者がこの脆弱性を悪用した場合、影響を受けるシステムをリモートで完全に制御できる可能性があります。MicrosoftWindows 2000ベース、Windows XPベース、およびWindows Server 2003ベースのシステムでは、攻撃者が悪用する可能性があります認証なしのRPCに対するこの脆弱性は、任意のコードを実行する可能性があります。」この脆弱性は、2008年10月にリリースされたKB958644セキュリティアップデートで修正されました。 マシンはその時点でオフラインであり、この更新プログラムを逃したため、'09年10月にマシンがオンラインに戻った直後にこの脆弱性が悪用されたと思います。bycnboy.exeプログラムへの参照が見つかりました。このプログラムは、感染したシステムに大混乱を引き起こすバックドアプログラムとして記述されています。マシンがオンラインになるとすぐに、自動更新によりパッチがインストールされ、システムのリモート制御ができなくなりました。バックドアが閉じられたため、攻撃者はマシン上に物理的なアカウントを作成し、何が起きているか気づくまでさらに1週間マシンを利用できたと思います。 悪意のあるコード(.exeおよび.dll)を積極的に削除し、セルフホスティングWebサイトとユーザーアカウントを削除すると、マシンは再び動作状態になります。近い将来、システムを監視し、サーバーログを確認して、インシデントの繰り返しが発生しているかどうかを判断します。 提供された情報と手順をありがとう。
3
サーバーとIPの移動は変更されます。SSL証明書を再発行してインストールする必要がありますか?
IPアドレスのブロックが異なる別の施設にサーバーを移動しています。移動が行われたら、新しいSSL証明書を発行してインストールする必要がありますか? もしそうなら、サーバーが起動するのを待つのではなく、サーバーが移動する前にこれに備えて準備をする方法はありますか?
6
ソフトウェアRAID 1の再同期のステータスを表示する方法は?
2台の500 GBディスクがあり、昨日、ソフトウェアRAID 1を使用して最初のドライブを2番目のドライブにミラーリングしました。 PCは現在30時間オンになっています。両方のディスクに「再同期中」と表示されますが、進行状況インジケータはありません。さらに、両方のディスクに小さな黄色の感嘆符があります。 私の質問は: 同期には、約150 GBのデータを持つ500 GBドライブにどれくらい時間がかかりますか?PCには4GBのRAMとAMDデュアルコア4000+が搭載されています 同期のステータスを監視する方法はありますか? 感嘆符の意味を確認するにはどうすればよいですか?
1
HTBの最小レートおよびデフォルトクラスの問題
私が使用しているHTB構造については疑問があります。 私の目的は、ローカルネットワークのユーザーのダウンロードとアップロードの速度を制限することです。ネットワークの各ユーザーには、ドメインの個人用リストがあり、ドメインの速度は上下できません。 つまり、user1はslashdot.orgでのアクセスをダウンロードで8KB、アップロードで3KBに制限でき、user2はslashdot.orgでのアクセスを4KBから1KBに制限できます。 現時点では、うまく機能するiptables / tcカップルをセットアップしますが、非常に小さな規模で、同時に2つまたは3つの仮想ホストを使用します(残念ながら、実際のサイズテストは実行できません)。 現在の構造は次のとおりです(LANの出口にあるもののみを表示します。アップロード用のものは、単にこの「コピー」です) インターフェイスにアタッチされたHTB qdisc(ハンドル2 :)、デフォルトのトラフィッククラスはクラスFFFFです。 HTB qdiscの直下にあるルートクラス2:1は、DOWNLINKキャパシティのレートと上限を持っています。 2:1の子としてのデフォルトクラス2:FFFF。レートは1kbspで、上限はDOWNLINK容量です。 次に、特定のドメインのユーザーに新しい制限がある場合、他のクラスが動的に追加され、そのドメインからのダウンロード速度を制御するために新しいtcクラスが追加されます。 今のところ、私がやったことは次のとおりです。 一意のIDを持つ新しいtcクラスを作成します(ここではポイントではなく、データベースから取得します)。クラス2:1の親として、レート値は1bps、ceil値は制限されたダウンロード速度に設定されます。 tcコマンドは次のとおりです。 -------------- BEGIN SCRIPT -------------- DOWNLINK=800 ## Setting up the static tc qdisc and class $tc qdisc add dev $LAN_IFACE root handle 2: htb default 0xFFFF # Main class so the default class can …
6
sshキーファイルのアクセス許可チェックをバイパスする
秘密キーファイルとその他の機密データを含む暗号化されたFATボリューム(互換性のため)があります。 秘密鍵を使用してSSH経由でサーバーに接続したいのですが、もちろん、FATはファイルのアクセス許可をサポートしていないため、アクセス許可が開いているというキーを無視します。 そのため、現在、0600のアクセス許可でハードドライブの別の場所にコピーして、使用してから安全に消去していますが、それは苦痛です。 この非常にssh / scpコマンドラインでパーミッションチェックをバイパスする方法はありますか? 編集:精度:OS XではTrueCryptボリュームでした。 解決策:以下の受け入れられた答えは私の問題を解決しました(Mac OS XでTrueCryptボリュームにあるSSHキーファイルを使用)が、それは回避策です。「キーファイルのアクセス許可チェックをバイパスする」方法がないように見えます。
3
ServerLimit、MaxClients、MaxRequestsPerChildディレクティブの最適値
トラフィックが多いサイトでは、ユーザーが生成した動的コンテンツを大量に実行しています。 サーバーは専用サーバーで、合計4つのIntel(R)Xeon(R)CPU X3210 @ 2.13GHzプロセッサーを搭載しています。サーバーに4GBのRAMがあり、MySQLデータベースが別のサーバーで実行されることを考慮して、ServerLimitおよびMaxClients apacheのディレクティブの最適値を知る必要があります。パネルは、CentOSを使用したDirectAdminです。 以下は私の現在のディレクティブですが、5,000人以上のユーザーがいるピーク時に重要なラグに気づきます-ページが高速に生成されるように見えるため(ページ生成時間カウンターを実装しているため)、これは完全にMySQLの障害ではありませんが、ページが応答を開始し、ブラウザに送信されるまでの接続遅延。 <IfModule prefork.c> StartServers 800 MinSpareServers 20 MaxSpareServers 60 ServerLimit 900 MaxClients 900 MaxRequestsPerChild 2000 </IfModule> Timeout 90 KeepAlive On KeepAliveTimeout 5 topコマンドを使用してサーバーを監視すると、CPU使用率がピーク時に20%〜30%を超えることはありません。また、MySQLサーバーの使用率は30〜50%であり、遅いクエリの修正に常に取り組んでいますが、それは別の問題です。静的なページもピーク時にロードするのに時間がかかるため、DBのボトルネックではないことを知っています。 これらの値を最適化するためのヒントは大歓迎です。
7
Windows Server 2008で低ディスク領域アラートを設定する
論理ディスクパーティションの空き容量が少なくなったときに、Windows Server 2008で電子メールアラートをトリガーする簡単な方法があるかどうか疑問に思っていました。DBログファイルのためにディスク領域が不足しそうになった2つのSQLサーバーがあります。 ありがとう、ライアン
4
Windowsサーバーがスワップしているかどうかを確認するにはどうすればよいですか?
Process Explorerを使用して、一部のデータを再構築している間にWindowsサーバーを監視しています。これは主にCPUを集中的に使用するプロセスですが、スワッピングではないことを確認したいと思います。Process Explorerを使用しているかどうかを確認するにはどうすればよいですか?私の最初の推測は「システム情報」ウィンドウにあり、それはページングファイル書き込みデルタです。はい?いや?私はアホです? *スクリーンショットはサーバーのものではありません...単なる例です。 代替テキストhttp://www.malwareinfo.org/bootcamp/img/ProcessExplorer2.jpg
29 windows  swap  pagefile 
5
異なるネットワークインターフェイスを介して異なるトラフィックをルーティングする方法(Windows)
これを行う方法の詳細を検索しましたが、失敗しました-誰かがアドバイスを提供できるかどうか疑問に思いました。 したがって、2つのネットワークカード(私の場合はLANと3G)があり、両方に動的IPアドレスが割り当てられているとします。LANインターフェースは私の企業LANであり、他のすべてのアクセス(つまりt'internet!)に3Gインターフェースを使用したいと思います。 ネットワーキングの経験はほとんどありませんが、3Gカードをデフォルトゲートウェイにし、既知のサブネットセットのすべてのトラフィックをLANインターフェイス経由で強制できるようにすべきだと感じています。 ルート印刷 =========================================================================== Interface List 40...........................Vodafone Mobile Connect 12...00 16 cf 87 71 22 ......Dell Wireless 1500 Draft 802.11n WLAN Mini-Card 11...00 15 c5 58 47 24 ......Broadcom NetXtreme 57xx Gigabit Controller 24...00 50 56 c0 00 01 ......VMware Virtual Ethernet Adapter for VMnet1 25...00 50 56 c0 …
6
DNS-複数のAレコードまたは1つのAレコードと多数のCNAMEですか?
「www」というWebサーバーがあるとします。www.example.comは、そのマシンのIPアドレスに解決されます。次に、webmail.example.comのような仮想ホストとそれらのDNSレコードを作成します。 「ウェブメール」の場合、wwwのIPアドレスを使用してAレコードを入力する必要がありますか、それともwwwに対してCNAMEを実行する必要がありますか? よりクリーンな、より堅牢なものは何ですか?いい?
6
バックグラウンドプロセスを起動してログアウトした場合、実行は継続されますか?
同僚との長期にわたる議論の後にこれを尋ねて、私はここで明確化が本当に欲しいです。 &コマンドラインに「」を追加するか、「」CTRL-Zでバックグラウンドで停止して再開することにより、バックグラウンドプロセスを起動しますbg。その後、ログアウトします。 何が起こるのですか? これはSIGHUPによって殺されるはずだったと確信していましたが、これは起こりませんでした。再度ログインすると、プロセスは問題なく実行され、pstree「採用」されたことが示されましたinit。 これは予想される動作ですか? しかし、そうであれば、nohupコマンドの目的は何ですか?とにかく、プロセスは強制終了されないようです。 編集1 いくつかの詳細: コマンドは、物理コンソールからではなく、SSHセッションから起動されました。 コマンドが開始されたことなく、 nohupおよび/または&; その後、で中断CTRL-Zされ、でバックグラウンドで再開されましたbg。 sshセッションはドロップしませんでした。実際のログアウト( " exit"コマンド)がありました。 プロセスはscpファイルのコピー操作でした。 再度ログインすると、pstreeプロセスが実行され、の子であることを示しましたinit。 編集2 質問をより明確に述べると、プロセスをバックグラウンドで(&またはを使用してbg)配置するとSIGHUP、nohupコマンドのように無視されますか? 編集3 を手動で送信しようとSIGHUPしましたscp:終了したので、シグナルを無視しません。 その後、もう一度起動してバックグラウンドにinit戻し、ログオフしました。「採用」されて実行され続け、再度ログオンするとそこに見つかりました。 今私はかなり困惑しています。SIGHUPログオフ時に送信されなかったようです。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.