サーバー管理者

ssh経由でログインすると-v、sshが次の方法で認証していることがわかります debug1: Authentications that can continue: publickey,gssapi-with-mic,password,hostbased 順序を変更したいのですが... 私のより大きな問題は、ロックされたアカウントを持つユーザーが、公開鍵を介してログインできることです。「ssh-locked」グループにユーザーを追加して、そのグループのスッシングを拒否できることがわかりましたが、ssh'dに伝える方法があるかどうかはまだ疑問です： キーの前にパスワードを確認してください...

22 ssh  password  public-key 

Ubuntu 10.04 LTSでストックrsyslogd（4.2.0-2ubuntu8.1）を使用して、シンプルな集中型syslogサーバーを実装しようとしています。この時点で、すべてのクライアントノードが中央サーバーにログを送信していますが、クライアントはFQDNではなく短いホスト名を含むログメッセージを送信しています。 Ubuntu rsyslogdマンページごと： リモートホストがホストと同じドメインにあり、rsyslogdが実行されている場合、fqdn全体ではなく単純なホスト名のみがログに記録されます。 環境間で短い名前を再利用しているため、これは問題です。たとえば、core1.example.comとcore1.stg.example.comはどちらもメッセージをcore1として記録します。 クライアントとサーバーの両方に同じ/ etc / default / rsyslogがあります。 RSYSLOGD_OPTIONS="-c4" および同じ/etc/rsyslogd.confファイル： $ModLoad imuxsock $ModLoad imklog $PreserveFQDN on $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat $FileOwner root $FileGroup adm $FileCreateMode 0640 $IncludeConfig /etc/rsyslog.d/*.conf クライアントにはこの/etc/rsyslog.d/remote.confファイルがあり、リモートサーバーに送信するように指示しています。 *.* @@syslog.example.com サーバーはこの/etc/rsyslog.d/server.confファイルを使用します。 $ModLoad imtcp $InputTCPServerRun 514 $DirGroup root $DirCreateMode 0755 $FileGroup root $template PerHostAuth,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/auth.log" $template PerHostCron,"/srv/rsyslog/%$YEAR%/%$MONTH%/%$DAY%/%HOSTNAME%/cron.log" $template …

22 ubuntu  logging  rsyslog 

サーバーフォールトで回答できるため、 この質問はStack Overflowから移行されました。 7年前に移行され ました。 cron.dailyには、毎朝特定の時間に実行されるスクリプトがあります。実行する時間を変更する必要があります。 cron.dailyがスクリプトを実行する時間を変更するにはどうすればよいですか？

22 linux  cron  redhat 

皆さん、ログファイルを循環バッファーとして機能させる* nixソリューションはありますか？たとえば、最大1Gbのデータをログファイルに保存し、制限に達すると古いエントリを破棄するようにします。 まったく可能ですか？ログファイルを何らかの特別なデバイスに変換する必要があることを実現するために、私は信じています... PS私はその他のログローテーションツールを知っていますが、これは私が必要とするものではありません。ログローテーションには大量のIOが必要で、通常は「ランタイム」ソリューションが必要なときに1日に1回発生します。

22 logging 

サイトのリバースプロキシとして機能するNGINXがあり、非常にうまく機能しています。サイトの必要性のSSLは、私が続くことraymii.orgを SSLLabsの強いが、可能な限りスコアとして持っていることを確認します。サイトの1つはPCI DSSに準拠する必要がありますが、TLS 1.0が有効になっているため、最新のTrustWaveスキャンに基づいて失敗しています。 私が持っているnginx.confのhttpレベルで： ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 特定のサーバーについて： ssl_protocols TLSv1.1 TLSv1.2; 私は暗号を変更し、httpレベルから各sslサイトサーバーに物事を移動しましたが、実行するときは何に関係なく： openssl s_client -connect www.example.com:443 -tls1 TLS 1.0の有効な接続を取得します。SSLLabsはサイトのnginxセットアップをAとして設定しますが、TLS 1.0を使用するため、残りのセットアップは正しいと考えています。TLS1.0はオフになりません。 私が行方不明になる可能性についての考え？ openssl version -a OpenSSL 1.0.1f 6 Jan 2014 built on: Thu Jun 11 15:28:12 UTC 2015 platform: debian-amd64 nginx -v nginx version: nginx/1.8.0

22 nginx  tls  pci-dss 

スクリプトから次のコマンドを実行しています。 echo '{"hostUp": true}' | sudo /usr/local/bin/netcat localhost 8001 ただし、netcatクライアントは無期限に開いたままになります。このデータが送信されたら、どうすれば接続を閉じることができますか？

22 linux  command-line-interface  netcat  echo 

Nginxは、誰でも自分のWebサイトを提供するサービスでApacheのリバースプロキシとして使用しています。アカウントの作成時に、システムは2つのエントリを持つドメインの新しいnginx confファイルを作成します。1つはポート80用で、もう1つは443用です。 Restarting nginx: nginx: [emerg] could not build the server_names_hash, you should increase either server_names_hash_max_size: 256 or server_names_hash_bucket_size: 64. 約200のドメインがあり、成長しているため、server_names_hash_maxのサイズを4112に増やす必要があり、これがうまくスケールしないことを懸念しています。これらの構成がどのように機能し、この方法を使用して数千のドメインに成長できるようにするための最適な設定がどのようになるかを理解したいと思っています。 また、そのハッシュサイズでnginxがリロードするのに数秒かかり始めているため、再起動中はシステムが使用できなくなります。 全体的な設定は次のとおりです（Ubuntuサーバー10.10 nginx / 1.0.4で実行）： user www-data; worker_processes 4; pid /var/run/nginx.pid; events { worker_connections 4096; # multi_accept on; } http { ## # Basic Settings ## sendfile on; tcp_nopush …

22 nginx 

私の会社が発行したラップトップは、Windows 7 Professionalを実行しているDell Latitude E7450です。システムを休止状態にすると、ブート時に空白の画面が表示され、入力に応答しません。後続の再起動では、異なる結果は生じません。私のIT部門は、Windowsの休止状態はDellでは問題があり、休止状態ではブートパーティションが破壊されると言っています。彼らはブートローダーを再構築し、システムが再び休止状態にならないように非常に注意するように言った。 私はソフトウェアエンジニアであり、システム管理者ではありませんが、これに関する何かは私には正しく聞こえません。 私のIT部門は正しいですか？ユーザーが休止状態でシステムをブロックすることはよくある問題ですか？それとも、彼らが作成した画像に関するものですか？UEFIとの相互作用？解決策はありますか？

21 windows-7  dell  hibernate 

サードパーティのサービスプロバイダーを使用して、トランザクションメールを送信しています。私は最近、特定の受信ドメインの障害率の増加に気付きました。 「498 No MX for example.com」というエラーで送信が失敗します。 送信は、指定された遅延後に再試行され、通常は数回の再試行後に成功します。しかし、場合によっては、再試行の制限を超えて永久にドロップされます。 私はプロバイダーのサポートに連絡しましたが、これは受信ドメインが異なるプロバイダーからのMXを宣言しているためだと彼らは私に言いました。 $ dig mx example.com ;; ANSWER SECTION: example.com. 859 IN MX 25 mail05.example.com. example.com. 859 IN MX 20 mail11.example.net. それらは、1つのMXが使用してexample.comおり、もう1つのMXが使用しているという事実に言及しexample.netています。 そのようなことを聞​​いたのはこれが初めてで、すぐにBSに電話しますが、私は彼らに疑いの利益を与え、他の人がトピックについて何を言っているのか聞いたと思いました。

21 domain-name-system  mx-record  best-practices 

私たちは、Debianサーバー上のすべてのバックアップを取りたいです。Debianサーバーはシャットダウンせずに、世界の反対側（Linodeがホスト）でリモートで実行されています。 このシステムは、シェル、電子メール、XMPP /韻律、Webを実行しており、いくつかの簡単なnginxセットアップがあります。 安全のために、これらのものに関連するファイルをバックアップしたいと思います。たとえば、ユーザーが自分のホームディレクトリに保存したファイル。 / etcファイルごとに既存のセットアップを正確にコピーする必要はありません。代わりに、そもそもバックアップを行っている理由は、すべてを新しいセットアップに移動できるようにするためです（Linode上にある新しいバージョンのDebian）。 Linodeはバックアップサービスを提供しています。しかし、長期的には、ここでバックアップが行われたり、何か他の奇妙なことが発生した場合に備えて、独自のバックアップも必要です。 この質問が存在する理由は、過去にバックアップを作成しようとしたときに、次の2つの間違いのいずれかを繰り返したためです。 「OK、/その下のすべてをコピーします」に行った後、コピー先のドライブが/ media / backupの下にマウントされ、再帰的にコピーされていたため、奇妙な無限ループで立ち往生しました[obv rsyncなどでバックアップするため、ここでは当てはまらない特定の問題]または/ procや/ varなどの「生きている」ものをコピーしようとして動けなくなってしまった。または 「OK、必要なものを必要最小限にとどめます。うーん、全員のホームディレクトリ、Webサーバーのディレクトリ（すべて下/var）を取得/etcし、/ var /の下にあるすべての古いメールのコピーを取得します。vmail」を使用して、ファイルのアクセス許可またはタイムスタンプを常にめちゃくちゃにしました（今回はUNIXファイルをFATドライブにバックアップしないようにします）または何かを忘れました（「ああ、シュート、/ usr /にカスタムスクリプトがありました他の場所に保存したことのないローカル/ビン、それらを取得するのを忘れてしまった、今はなくなっていると思います」）。 したがって、ドライブ全体をまっすぐにコピーすると落とし穴が生じ、ディレクトリを選択的にコピーすると落とし穴が生じます。私はそれを正しく行う方法を知りたいです。 サーバー障害の質問完全なバックアップシステムには何が必要ですか？哲学とグッドプラクティスをカバーしていますが、私はこれらのより具体的な詳細を探しています： コピーする必要があるディレクトリと除外するディレクトリ タイムスタンプ、所有者、グループなど、どのファイル属性を提示する必要がありますか？←質問のこの半分に自分で答えることができるrsync -HXazと思います。-z本当に「私は何を守るか」で、質問に関連していないOBV を使用するなどdd、私が見る多くのバックアップのアドバイスは、ドライブがマウントされておらず、使用されていないことを前提としているようです。しかし、/ procのような「生きている」ディレクトリと、/ varの下のサブディレクトリ（ただし、/ varの下にあるもののいくつかは間違いなく保持する必要があるとわかっています）および/ mount を除外することは想定されていませんか？この状況で考えなければならないことは他にありますか？それから、rsyncでたくさんの--excludeフラグを使ってそれを切り取ることができると思います。 または、より良いアイデア、特にFOSSフレンドリーなアイデアはありますか？

21 linux  backup  upgrade  debian-jessie  linode 

10.0.0.0/8、などのプライベートアドレスはルーティング可能172.16.0.0/12で192.168.0.0/16はないことを理解しています。しかし、これらのアドレスがルーティングできないようにする正確な理由は何ですか？ISPは、これらのネットワークのルーティングを防ぐACLを実装していますか、それとも上位のものですか？ また、このデザインを作成したのはIANAですか？

21 networking  routing  ipv4 

FreeBSDとSSHを実行する組み込みデバイスで作業しています。 ご存じのとおり、sshdは最初の起動時にサーバーキーのセットをランダムに生成することを好みます。問題は、読み取り専用のsdカードファイルシステム（交渉不可）で製品を出荷することです。 私が見るように私の2つのオプションは次のとおりです。 すべてのデバイスで同じsshdサーバーキーを出荷する メモリファイルシステムをマウントし、各起動時にサーバーキーを生成します（遅い...） すべてのデバイスに同じサーバーキーを出荷することは重大なセキュリティ上の問題ですか？これらのアイテムはインターネット上に直接ありません。同じ人が同じネットワーク上に所有する複数のデバイスが存在する場合があります。 ほとんどの場合、デバイスはインターネットに接続されません。 SSHを使用したログインは、通常の操作の一部ではありません。それは主にプログラマーと技術者の便宜のためです。お客様は、SSHを使用してデバイスにログインすることはありません。 複数のハードウェアデバイスで同じサーバーキーを使用することの影響は何ですか？ PS誰かがモノのインターネットタグを作成してください。 編集：私はすべてのサーバー（デバイス）に同じホスト秘密鍵をインストールすることについて話している。ユーザーの公開鍵/秘密鍵に関しては、現在、鍵ベースのログインを使用する予定はありません-パスワードログインになります。繰り返しますが、すべてのサーバー（デバイス）で同じパスワードを使用します。 これはおそらく悪い考えであることを知っています。トレードオフを理解できるように、なぜそれが悪いアイデアなのかを正確に知りたいのですが。

21 ssh  freebsd  embedded  internet-of-things 

192.112.36.4（g.root-servers.net.）リクエストに応答せず、pingにも応答しないことがわかりました。 . 3600000 NS G.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4 http://www.internic.net/domain/named.rootをチェックしました。これは、ルートサーバーの最新のリストであり、IPアドレスは正しいです。私は常に、これらのルートサーバーはダウンタイムが発生しないほど冗長であるという印象を受けていました。http://root-servers.orgによると、サーバーが配置されている場所は世界中に6か所あるため、私はその仮定に間違いないと思います。 私の質問はg.root-servers.net.、他のすべてのものと何らかの形で異なるのか、特別なのか、 そして何らかの理由でそれからDNS応答を受け取らないことになっているのかどうかです。

21 domain-name-system 

誰かがこれらの証明書の違いを簡単に説明できますか？私はいくつかの記事を読みましたが、同じ仕事をしているようです。つまり、1つの証明書で多くのドメインを暗号化します。

21 ssl  sni  subject-alternative-names 

XFSファイルシステムにサイズが約200 GBのファイルがありました。これは、KVM駆動の仮想マシンの仮想ディスクを含むQCOW2イメージでした。何かがうまくいかなかったかもしれません（おそらくqemu-kvmの不具合だったかもしれませんが、私にはわかりません）、仮想マシンがクラッシュし、今では次のようなファイルがあります： 191090708 -rwxr--r--. 1 root root 737571587400425984 Oct 10 10:03 973d10e0-a5e3-4a59-9f98-4b9b9f072ade そのため、まだ191090708ブロックを占有していlsますが、656ペタバイトと表示されています。 さらに、同じ前史を持つ別のファイルがありますが、別のファイルシステム（XFSではなくGFS2）にあります。 410855320 -rwxr--r--. 1 root root 7493992262336241664 Dec 13 2014 ac2cb28f-09ac-4ca0-bde1-471e0c7276a0 410855320ブロックを占有しますが、ls約6.6エクサバイトとして表示されます。 これらのファイルを削除しても安全ですか？ありがとうございました！ PS定期的にスナップショットを撮ることはとても良いことです！:)私は彼らなしで何をするかわかりません。

21 linux  kvm-virtualization  xfs  ls  gfs2