サーバー管理者

特定のパラメーターでサービスを開始するにはどうすればよいですか？で別の質問私が発見しました net start servicename blah しかし、これを試すとnet、構文エラーがスローされます。 私は何を間違えていますか？ 編集：動作を明確にするためにnet start servicenameは問題ありませんが、サービスにパラメーターを渡す必要があります。services.mscサービスを開始する前に開始パラメーターを入力することで、手動でこれを行うことができます。しかし、どのようにスクリプトからこれを行うことができますか？ 別の編集：申し訳ありませんが、私の質問は誤解を招くものでした。私のテストでは、さらに多くのパラメーターがありましたが、/blah net start不満はありません。実際、スラッシュで始まるものは何でも構いません。だから、net start servicename /blah作品は、net start servicename blah動作しません。必要なのでnet start servicename /foo bar、それbarが問題です。

17 windows  windows-service 

何度もSASL / GSSAPIという表現に出会いました。私は何度もGoogleを検索しましたが、Googleが何であり、Kerberosとどのように関係するのか、私にはわかりません。 これについて簡単な説明をしている人はいますか？

17 linux  kerberos  sasl 

DNSサーバーに追加する前にゾーンファイルを検証したい。これを可能にするアプリケーションまたはユーティリティはありますか。Googleは有用なものを明らかにしませんでした。

17 domain-name-system 

cp中止された後に再度実行し、前回終了した場所から開始することは可能ですか？（すでにコピーされたデータを上書きせず、まだ残っているもののみをコピーします）

17 linux  cp 

SLES 10.1を使用していますが、vsftpdを設定してルートログインを許可しようとしています。誰もこれを行う方法を知っていますか？ これまでのところ、私はこれを持っています： local_enable=YES chroot_local_user=NO userlist_enable=YES userlist_deny=NO userlist_file=/etc/vsftpd.users そして、/ etc / vsftpd.usersにルートを追加しました。ログインしようとすると、次のようになります。 $ ftp susebox susebox.example.comに接続しました。 220-FTPサーバー（ユーザー 'me@example.com'） 220 ユーザー（susebox.example.com:(none））：root 331-パスワード： 331 パスワード： リモートホストによって接続が閉じられました。 C：\> ところで、答えがわからない場合は、ルートログインを許可しない方法について私に迷惑をかけないでください。私は自分が何をしているかを知っており、結果として生じる可能性のある時空連続体の破裂に対する完全な責任を受け入れます。

17 security  login  root  ftp  sles 

Fedoraをサーバーのホスティングに何度も使用しました。私は問題に直面したことがありません。それでも、すべての新しいユーザーが来て、Fedoraは安全ではないと言います。Ubuntu / CentOSまたはその他のディストリビューションを使用する必要がありますが、Fedoraは使用しないでください。Fedoraの問題が何なのか理解できません。他のディストリビューションをより安全にするもの。 いくつかのポイント：1. Fedoraには、SSHのみを許可するように構成されたiptablesが付属しています。さらに、必要に応じてiptablesを設定して、SSHをブロックすることもできます。そのため、ファイアウォールに問題はありません。 Fedoraは定期的にアップデートをリリースします（セキュリティと一般的なパッチの両方）。 ディストリビューションXは5年に1回、Fedoraは6か月に1回新しいバージョンをリリースすると言われています。5年に1度リリースすると、安全になります。5年前のものが安全だと感じた場合、5年前のOSをインストールするか、新しいバージョンが来ても5年間アップグレードしないでください。個人的には、5年間新しいバージョンを提供しなくてもセキュリティは向上しません。バグが検出されると、5年間パッチをリリースする必要があります。したがって、非常に古いOSを使用することは、より多くのパッチを意味します。最近リリースされたバージョンを使用する場合は、適用するアップデート/パッチを減らす必要があります。5年に1回リリースすることで、私が理解したことのない安全な状態になります。 すべてのOSは、Gnome、Open-Office、KDE、Open-SSH、Apacheなどの同様のパッケージを使用します。他のディストリビューション開発者は、これらのパッケージのソースコードの読み取りとセキュリティエラーの修正に時間を費やしていますか？たとえそれらの欠陥を公開しなくても、他のすべてのディストリビューションはFedoraを含むパッチをリリースします。または、彼らは彼ら自身の配布を確保し、他人に通知することを気にしません。これはすべて、apache、gcc、Open-Officeと同じ大きさのパッケージのコードの数百万行すべてを読むことを前提としています。これがすべてのディストリビューションで同じ場合、Fedoraがより脆弱になります。 FedoraにはseLinuxがプリインストールされ、適切に構成されています。 fedoraのデフォルトでは、バインドはchrootで実行されます。Fedora 11では、デフォルトでDNSSECサポートも提供されます。Fedora 11のDNSサーバーの質問を参照してください。ある人は、FedoraがDNSのホストには向いていないと指摘しました。何故かはわからない。 実際、新しい管理者の1人がテストマシンの1つにCent-OS 5.3をインストールしました。私はそこにない1つのIPをpingするためにそれを使用しました。ping応答がありました。それが不可能だったので驚いた。返信が来る場所を見つけようとしましたが、失敗しました。最後に1時間以上試した後、CentOSマシンからネットワークケーブルを取り外しました。私はまだIPをpingできました。次に、マシンのIPアドレスにpingを試みました。私もそれをpingできました。そのため、マシンが1つのIPで構成されていて、エイリアス（eth0：1など）が存在しない場合、2つのIPをpingできました（他のIPも試してみませんでした）。ifconfigの出力も確認しました。いわゆるサーバーディストリビューションの完全な信頼を失い、すべてのテストマシンにFedora 11をインストールしました。今、私はpingのような基本的なものについてそのような奇妙な問題に直面していません。 Fedoraが安全でないことを示す実際の例を入手できれば、本当に感謝します。その場合、他のディストリビューションであれば問題ありませんでした。管理者がミスを犯した場合の例を挙げないでください。そのためのディストリビューションを非難することはできません。また、非常に古いFedora 1、2、またはFedora 3の例を提供しないでください。Fedoraプロジェクトは現在、特に最後の2つのバージョン10、11で非常に成熟しています。もしそれらに特有のセキュリティ問題に直面しているなら、あなたの経験を共有してください。

17 fedora  linux 

Active Directory環境のWindows XPの場合-コマンドラインでユーザー名を指定すると、ADからユーザーのメールアドレスを照会する最も簡単な方法は何ですか。 （ツリー内の通常の場所を知っていると仮定します）。 （net user loginname / domain については知っていますが、メールアドレス要素を戻したいだけです。）

17 active-directory  email  command-line-interface  query  user-accounts 

ゾーンmywebservice.comを所有しているとしましょう。 各顧客にcustomer.mywebservice.comなどの独自のサブドメインを取得してほしい。 customer.mywebservice.comは、特定のサーバーオフサイトのCNAMEである必要があります。そのサイトは独自の機器を管理し、いつでもアドレスを変更できるため、CNAMEは必須です。 また、単純なMXレコードが必要なinbox@customer.mywebservice.comにメールを送信できる必要があります。 ただし、ここでいくつかのガイダンスが必要です。 RFC 1034によると： If a CNAME RR is present at a node, no other data should be present; this ensures that the data for a canonical name and its aliases cannot be different. また、DNSサーバーが、それらを使用するホストのCNAME以外のサービスの提供を拒否することも確認しました。 だから、私は負けているかもしれないようです。MXレコードを使用する場合は、CNAMEの代わりにAを使用する必要があります。 誰でも回避策を考えることができますか？ありがとう！

17 domain-name-system  cname-record  mx-record 

最近、基本的にIPMIシステムを実行するBMCが組み込まれたSuperMicro X8DTU-Fマザーボードを購入しました。これは、ARMプロセッサーで実行される小さなLinuxシステムであることが判明しました。 残念ながら、それはソフトウェアのボートロードを実行していますが、その多くは必要ありませんし、ファイアウォールの内側に置くこともできません。ただし、IPMI機能が必要です。これらのいずれかを使用したことがある人は、物を保護する方法についていくつかの具体的な提案を持っていますか？それは本質的にROMファイルシステムであるものから起動し、それが実行するさまざまなサーバーのいずれかをオフにするフックさえないようです... また、さまざまなサービスすべてを通じてシステムにアクセスするために使用できる名前とパスワードのリストを確認する方法にも興味があります。デフォルトはADMIN/ ですがADMIN、/ confまたは/ etc内のファイルには「ADMIN」がありません。不思議な「テスト」ID /conf/shadowを含む/conf/webshadowファイルがありますが、これは私にとっても特に快適なものではありません。

17 security  ipmi  supermicro 

http://www.example.comは、サイトがホストされているサーバーのIPアドレスを正しくポイントしています。 http://example.com（wwwがないことに注意）は、異なるIPアドレスを指します。 ドメインのDNSレコードには、この外部IPアドレスへの参照がありません。これは何が原因ですか？

17 domain-name-system 

これについてオンラインで直接答えがあるようには見えません。Azureに既存の仮想マシンがあり、既存のサーバーがダウンした場合に別のリージョンにクローンを作成したいと思います。正確なレプリカである必要がありますが、見つけることができるのは、クローンではなく仮想マシンを移動することだけです。コンピューター名がVMと同じではないためか、特定の種類のクローンを作成できないと思います。 何をすべきかについての良い記事はありますか、それとも最初から始めて、既に持っているものを複製しようとして仮想マシンを再構築する必要がありますか？

17 virtual-machines  azure  cloning 

systemdの素晴らしい機能であるInstantiated Servicesを使用しています。 インスタンス化されたすべてのサービスを1回の呼び出しでリロードする簡単な方法はありますか？ 例：すべてをこのように実行したくありません： systemctl restart autossh@foo systemctl restart autossh@bar systemctl restart autossh@blu 私はこれを試しましたが、これは機能しません systemctl restart autossh@* 関連：1つのsystemdサービスファイルでNプロセスを開始する 更新 最初はInstantiated Servicesに魅了されましたが、後でAnsibleのような構成管理ツールを実行する方が理にかなっていることに気付きました。私は学んだ：ツールをシンプルに保つ。多くのツールは、条件チェック（if .. else ...）とループの実装を開始します。たとえば、ウェブサーバーまたはメールサーバーの構成。ただし、これは別の（上位）レベルで解決する必要があります：構成管理。参照：https : //github.com/guettli/programming-guidelines#dont-use-systemd-instantiated-units

17 systemd 

Ansibleを使用してリモートディレクトリからローカルディレクトリにファイルをコピーしたいのですが、フェッチモジュールでは1つのファイルしかコピーできません。ファイルが必要なサーバーが多数あり（各サーバーで同じディレクトリ）、Ansibleでこれを行う方法は今はありません。 何か案は？

17 linux  copy  ansible 

Linuxネットワークマシンでは、「パブリック」ゾーン（ファイアウォールの概念）上のアドレスのセットを制限したいので、そこに到達できます。したがって、最終結果は、明示的に許可されたものを除いて、他のマシンがポートまたはプロトコルにアクセスできないことです。 --add-rich-rule='rule family="ipv4" source not address="192.168.56.120" drop' --add-rich-rule='rule family="ipv4" source not address="192.168.56.105" drop' 上記の問題は、これが実際のリストではないことです。1つのアドレスが他のアドレスと同じではないためにブロックされ、偶発的な「すべてドロップ」効果が発生した場合、特定の非連続セット？ソースはアドレスのリストを受け入れますか？私はこれまでのところ、ドキュメントやグーグルの結果を見て何も見ていません。 編集：私はこれを作成しました： # firewall-cmd --zone=encrypt --list-all encrypt (active) interfaces: eth1 sources: 192.168.56.120 services: ssh ports: 6000/tcp masquerade: no forward-ports: icmp-blocks: rich rules: しかし.123 、ソースがリストされていない場合、どのサービスまたはポートにも到達できないはずであるという私の意図から、まだポート6000 に到達できます

17 command-line-interface  fedora  firewalld 

Debian Wheezyでは、次ulimit -aを提供します。 open files (-n) 1024 これを/etc/security/limits.confに追加します * hard nofile 64000 その後再起動します。 またulimit -a、開いているファイルの最大数は1024です。だれでもそれに光を当てることができますか？

17 debian  ulimit