サーバー管理者

現在、サーバーとアプリの一部をcoreOS環境に移行することを考えています。ここで見た問題の1つは、コンテナーを新しいマシンに移動するときにcoreOSがDockerボリュームを処理しないため、永続データの管理です。いくつかの調査の後、glusterFSを見つけました。これは、すべての問題を解決できるクラスターファイルシステムであると主張しています。 私の現在のアイデアは次のとおり/mnt/glusterです。たとえば、各coreOSマシンで特権コンテナーとして実行され、ストレージを公開するglusterFSコンテナーがあります。私の中でDockerfileの私はすべてのボリュームがこのパスにマウントする必要があることを指定します。 次に検討したのは、どのコンテナが独自のボリュームを取得し、どのコンテナがボリュームを共有するかです。たとえば、すべてのmysqlコンテナは複製を自分で処理できるため、独自のボリュームを取得します。それをいじりたくありません。同じWebサイトにサービスを提供するWebサーバーは、「ユーザーがアップロードした画像」などのデータにデータを複製できないため、同じボリュームを適切に使用します。 誰かがこのようなことを試しましたか、私が見逃したものはありますか？

24 cluster  replication  docker  glusterfs  coreos 

sshd複数のPortディレクティブを使用することで、複数のポートでリッスンできることはわかっています。ただし、ポートごとに設定を個別に調整することはできますか？特に、あるポートでパスワード認証を許可し、別のポートでパスワード認証を禁止することは可能ですか？

24 ssh 

この1週間、中国のさまざまなIPアドレスから大量のトラフィックが流れています。このトラフィックは普通の人からのもののようで、彼らのHTTPリクエストは、彼らが私だと思っていることを示しています： フェイスブック 海賊湾 さまざまなBitTorrentトラッカー、 ポルノサイト これらのすべては、人々がVPNを使用するもののように聞こえます。または万里の長城を怒らせるもの。 ユーザーエージェントには、Webブラウザー、Android、iOS、FBiOSSDK、Bittorrentが含まれます。IPアドレスは、通常の商用中国プロバイダーです。 ホストが正しくない場合、またはユーザーエージェントが明らかに間違っている場合、Nginxから444が返されます。 ## Deny illegal Host headers if ($host !~* ^({{ www_domain }})$ ) { return 444; } ## block bad agents if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) { return 444; } 負荷を処理できるようになりましたが、最大2k /分までのバーストがいくつかありました。彼らが私に来ている理由を見つけて、それを止めたいです。また、正当なCNトラフィックがあるため、惑星地球の1/6を禁止することは選択肢ではありません。 悪意のある、個人的なものでさえある可能性がありますが、あそこのDNSの設定が間違っているだけかもしれません。 私の理論では、DNSサーバーが正しく構成されていないか、人々がGreat Fire Wallを回避するために使用しているVPNサービスである可能性があります。 クライアントIPアドレスが与えられた場合： 183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 …

24 nginx  vpn  china 

Linuxで実行中のプロセスの非侵入型コアダンプを取得する方法を探しています。 私はgdbに精通していますが、それはプロセスに接続されており、デバッグのために停止しているgcore場合にのみ実行できgdbます。大きなコアダンプの場合、実行が中断されるまでに数秒、または数分かかる場合があります。 ノンブロッキングの代替手段はありますか？ Linuxはcopy-on-writeメモリをサポートしますが、これはfork()なしでのサポートに依存していexec()ます。だから私は、カーネルがダンプされるプロセスのプロセスページテーブルのコピーオンライトスナップショットを取得し、元のプロセスが実行を続けている間にコアを書き出すカーネルレベルの何かを考えています。 親が幸運に進んでいる間に子gdbを強制的fork()にダンプし、wait()終了後に子を刈り取るために親に使用できると確信しています。しかし、それは面倒であり、短いものではありますが、依然として親プロセスの2つの中断が必要です。 確かに誰かがこれを必要としているのですか？

24 linux  dump  gdb 

私の目標は、nginxに接続するクライアントに適切なセキュリティを確保することです。私はnginxインストールでTLSを適切に設定するためにMozillaのガイドに従いますが、実際に使用されている実際のプロトコル/暗号スイートの概要はありません。 私が今持っているもの： server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } これにより、接続に使用されたSSLプロトコルと、クライアント/サーバーのネゴシエート後に選択された暗号スイートをログに記録したいと思います。例えば： 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] "GET / HTTP/1.1" 200 1234 "-" "User agent bla" に 10.1.2.3 - - [13/Aug/2014:12:34:56 +0200] ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 …

24 nginx  security  logging  tls  ssl 

さまざまなLinuxマシン間でUID / GIDを同期する方法の詳細について説明する前に、実際にどのようなメリットがあるのか​​を知りたいのですが。 これにより、ファイルの同期が比較的簡単になります（所有権が「自然に」保持されるため）。ただし、これは、送信サービスに応じて別の方法で実現することもできます。 一貫性のあるUID / GIDの恩恵を受けるものは他にありますか？

24 linux  synchronization  uid 

Oracle VirtualBoxでUbuntu 12.04を実行しています。数か月前、PostgreSQLサーバーバージョン9.1をマシンにインストールしました。つい最近、PostgreSQLサーバー9.3がJSONデータ型をサポートしていることを知り、アップグレードすることにしました。 次の手順に従って9.3にアップグレードしました。 https://wiki.postgresql.org/wiki/Apt wget --quiet -O - https://www.postgresql.org/media/keys/ACCC4CF8.asc | sudo apt-key add - sudo apt-get update sudo apt-get upgrade sudo apt-get install postgresql-9.3 pgadmin3 これにより、バージョン9.1と共にサーバーバージョン9.3がマシンにインストールされました。新規ブート後にpg_lsclustersを実行すると、次の結果が得られます。 Ver Cluster Port Status Owner Data directory Log file 9.1 main 5433 online postgres /var/lib/postgresql/9.1/main /var/log/postgresql/postgresql-9.1-main.log 9.3 main 5432 online postgres /var/lib/postgresql/9.3/main /var/log/postgresql/postgresql-9.3-main.log …

24 ubuntu  postgresql 

この質問は、サーバー障害で回答できるため、スーパーユーザーから移行されました。 5年前に移行され ました。 ドメイン管理者アカウントがRDP経由でサーバーに直接アクセスすることを禁止する必要があります。私たちのポリシーは、通常のユーザーとしてログオンし、管理者として実行機能を使用することです。これをどのように設定できますか？ 問題のサーバーは、リモートデスクトップセッションホストとセッションベースのRDコレクションを備えたWindows Server 2012 R2を実行しています。許可されたユーザーグループには、ドメイン管理者ユーザーは含まれませんが、どういうわけかログオンできます。 ありがとうございました。

24 remote-desktop  windows-terminal-services  windows-server-2012-r2 

nginx.confサンプルをubuntu 12.04ボックスにコピーしました（他のconfファイルをどこに置くかわかりません。nginxnoobです）。nginxを起動しようとすると、次のエラーが表示されます。 abe-lens-laptop@abe:/etc$ sudo service nginx start Starting nginx: nginx: [emerg] getpwnam("www") failed in /etc/nginx/nginx.conf:1 nginx: configuration file /etc/nginx/nginx.conf test failed このエラーはどういう意味ですか？どうすれば修正できますか？この投稿を見つけましたが、ユーザーは既にwww wwwに設定されています（リンクされたファイルに表示されている場合）NGINXユーザーを変更するにはどうすればよいですか？

24 linux  nginx  web-server 

Dockerコンテナ内で実行されているMySQLに問題があります。私のテストイメージは、次のDockerfileから構築されています。 # See: https://index.docker.io/u/brice/mysql/ FROM ubuntu:12.10 MAINTAINER Joni Kahara <joni.kahara@async.fi> # Because docker replaces /sbin/init: https://github.com/dotcloud/docker/issues/1024 RUN dpkg-divert --local --rename --add /sbin/initctl RUN ln -s /bin/true /sbin/initctl RUN apt-get update RUN apt-get upgrade -y RUN apt-get -y install mysql-server RUN sed -i -e"s/^bind-address\s*=\s*127.0.0.1/bind-address = 0.0.0.0/" /etc/mysql/my.cnf RUN /usr/bin/mysqld_safe & \ …

24 iptables  docker 

私は（50）屋外環境での記録データを必要とするアプリケーションを持っている、と寒さ（-20まで）に入れ、熱いとき、私はHDD対SSDの信頼性に興味を持って 周囲の環境を。直観から、高温の可能性を除き、SSDの方が信頼性が高いと思われます。空調エンクロージャーはオプションではありません。 これらの状況で、ディスクの信頼性に関する情報はありますか？

24 ssd  hard-drive 

複数（約100人）の顧客が単一のサーバーにシェルアクセスできる共有Webホスティング会社のサーバーセットアップを想像してください。 多くのWeb "ソフトウェア"は、ファイル0777をchmodすることを推奨しています。私たちの顧客がこれらのチュートリアルに従わずに他の顧客にファイルを公開することに不安を感じています。（私は確かにcmod 0777自分で不必要に使用していません！）顧客が自分のファイルにしかアクセスできないようにし、他のユーザーからの読み取り可能なファイルにアクセスできないようにする方法はありますか？ AppArmorを調べましたが、それはプロセスと非常に密接に結びついており、その環境では失敗するようです。

24 linux  security  file-permissions  shared-hosting 

私の理解では、SPF仕様では、送信者に許可されたすべてのIPを収集するために、10を超えるDNSルックアップを行う必要がない電子メール受信者が指定されているということです。したがって、SPFレコードにinclude:foo.com include:bar.com include:baz.com3つのドメインがあり、それぞれに3つのincludeエントリがあるSPFレコードがある場合、最大3 + 3 + 3 + 3 = 12 DNSルックアップになります。 上記の私の理解は正しいですか？ 私は自分のドメインで2つまたは3つのサービスのみを使用しており、すでにこの制限をかなり超えています。この制限は、通常（またはこれまでに）メジャー/マイナーメールプロバイダーによって実施されていますか？

24 spam  spf  email 

Active Directoryでは、ユーザーがログインできないようにする場合、アカウントを無効にするか、単にパスワードをリセットできます。ただし、既にワークステーションにログインしているユーザーがいて、できるだけ早くリソースにアクセスできないようにする必要がある場合は、どうすればよいですか？私は、労働者が即座に解雇され、彼らがすぐにネットワークから締め出されない場合、彼らが大混乱を引き起こす危険がある緊急事態について話します。 数日前、私は同様のケースに直面しました。最初はどのように行動すればよいかわかりませんでした。ネットワーク共有へのユーザーアクセスを防止するのは簡単ですが、これだけでは十分ではありません。最終的に、Stop-Computer -ComputerName <name> -ForcePowerShellコマンドレットでターゲットコンピューターの電源をオフにし、私の場合、これで問題が解決しました。ただし、場合によっては、これは最善の選択ではないかもしれません。たとえば、切断する必要があるユーザーが複数のワークステーションまたは重要なサービスを提供するコンピューターにログインしていて、スイッチをオフにできない場合などです。 すべてのワークステーションからユーザーを即座に強制的にログオフさせるための最良の解決策は何ですか？これはActive Directoryでも可能ですか？

24 active-directory  security  user-management  windows-server-2012-r2 

webmin（yumを使用）を使用してサーバーに更新プログラムをインストールしていますが、カーネルファームウェアやカーネルヘッダーなどのカーネルも更新することがあります。カーネルの更新後にサーバーを再起動する必要がありますか？

24 linux  yum