サーバー管理者

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 閉じた3年前。 Googleでこのトピックについて検索しましたが、ほとんどの場合、ISPによってブロックされたWebサイトのブロックを解除する方法がわかりました。そのため、オーディエンスによる表示がブロックされているWebサイトがあり、ドメインwww.mydomain.comにアクセスするwww.mydomain.com/blocked.aspxと、すべてのユーザーがリダイレクトされ、「このサイトは国内法に違反しているためブロックされています」というメッセージが表示されます。DNSをGoogle DNSに変更すると、サイトは通常どおり表示できます。 私はこのウェブサイトをホストするためにWordPressを使用していますが、私の質問は、ISPが他の人をどのように別のディレクトリにリダイレクトできるの/blocked.aspxですか？このファイルは、ApacheサーバーではなくMicrosoft IISサーバーで実行されていると思います。 これについて技術的な理解が得られることを願っています。

16 website  isp 

ドメインのSPFレコードを設定していますが、期待した結果が得られません。何らかの間違いを犯している可能性は十分にありますが、まず質問したいのは、SPFレコードに加えた変更が反映されるまでに時間がかかるかどうかです。

16 domain-name-system  spf  latency 

サーバーに最近ログインした人を見つけるために、次のコマンドを使用しています。 非常に奇妙なIPアドレスからのログインがありました。例： username@pc:/home/user$ last username pts/16 59.224.XX.178.d Sun Aug 2 12:26 - 12:27 (00:00) （Xは数字でした）。 私の質問：接尾辞.dはどういう意味ですか？最後にオプション「-i」を使用しているときにこれらのエントリが消えてしまうのはなぜですか？

16 linux  firewall  ip  login  ip-address 

オフィスXからオフィスYのいくつかのLinuxボックスへのSSHを試みています。オフィスYのLinuxボックスはNATの背後にあり、それぞれが独自のポートで実行されます。SSHを介してそれらすべてに正常にアクセスできますが、認証できません。 私は最初のボックスにSSHで接続できましたが、2番目のボックスに到達すると次のようになりました。 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key …

16 linux  ssh  solaris  ssh-keys 

ホスティングプロバイダーとして、クライアントに代わってメールを送信するため、お客様がDNSにDKIMおよびSPFメールレコードを設定し、メール配信を適切に行えるように支援します。http://mail-tester.comを使用して、何も見逃していないことをテストするようアドバイスしてきましたが、このツールはとても気に入っています。 数回遭遇した問題の1つは、ドメイン名に基づいたSPFレコードのDNSの「制限」です。これがある場合： v=spf1 a include:aspmx.googlemail.com include:campaignmonitor.com include:authsmtp.com include:mail.zendesk.com include:salesforce.com include:_hostedspf.discourse.org ~all あなたが得る example.com ... campaignmonitor.com: Maximum DNS-interactive term limit (10) exceeded そのようです： これについていくつか質問があります。 ここでは10ではなく6つのドメイン名をカウントしているのに、なぜ「10」個のDNS要求をここでヒットするのですか？ ここで回答 この10 DNSインタラクティブ用語は、警告または実際のエラーを制限していますか？たとえば、気にする必要がありますか？顧客に少し口うるさいので、彼らはサポートのために私たちに電子メールを送ります。 ここで回答 この10のDNSインタラクティブ用語は、今日のWebでの実際の問題を制限していますか？ご覧のように、この顧客には多くのサービスがあり、彼らはメールを送信しており、すべて正当なものです。おそらく、このDNS制限は、このような電子メールサービスの委任が一般的ではなかった2000年に設定されたのでしょうか？ はい、お客様にSPFレコード内のIPへのインクルードを変​​更させることができますが、IPを変更した場合、多くのお客様のものが壊れてしまいます。そんなことしたくない これにはどのような回避策がありますか？

16 domain-name-system  spf 

Google Kubernetes Engineを使用してWebアプリをデプロイしていますが、使用するドメイン名がGoogle Cloud Platformの同じプロジェクトの一部として制御する既存の静的IPアドレスのロードバランサーを介してアクセスできるようにしたいすでにこのIPを指している。 ポッドに使用したyamlファイルは次のとおりです。 apiVersion: v1 kind: Pod metadata: name: my-pod labels: app: my-app spec: containers: - name: my-container image: gcr.io/my-project/my-app:latest 次を使用してロードバランサーを設定できます。 apiVersion: v1 kind: Service metadata: name: my-load-balancer spec: ports: - port: 80 targetPort: 80 selector: app: my-app type: LoadBalancer これにより、アプリにアクセスできる外部IPが提供されますが、必要なIPを使用するように構成する方法が見つかりません。サービスマニュアルには spec.clusterIP設定に言及したが、これは外部IPに関連していないようです。同様に、ロードバランサーが設定されると、サービスのstatus.loadBalancer.ingress.ipフィールドは外部IPアドレスに設定されますが、これは構成可能な設定ではないようです。 別の方法として、Google Compute Engineコンソールで転送ルールを手動で作成して、静的IPアドレスからKubernetesによって設定されたターゲットプールにトラフィックを転送しようとしましたが、接続しようとすると接続が拒否されます。 私が望むことをする方法はありますか？選択した静的IPアドレスのGoogle KubernetesエンジンでKubernetesポッド（またはレプリケーションコントローラー）を公開する方法はありますか？

16 docker  google-cloud-platform  google-compute-engine  kubernetes  google-kubernetes-engine 

パブリックインターネット上のSMBトラフィックを暗号化するために、Arch LinuxサーバーでOpenVPN 2.3.6-1を構成しています。Linux仮想マシンクライアントの1つでセットアップをテストすると、次のエラーが表示されますTLS Error: TLS handshake failed。 私はすぐに読んで（OpenVZ TLSエラーのOpenVPN：TLSハンドシェイクが失敗しました（グーグルが解決策を提案しませんでした））、デフォルトのUDPからTCPに切り替えようとしましたが、それはクライアントが接続がタイムアウトしたことを繰り返し報告するだけでした。また、暗号とTLS認証を無効にしようとしましたが、それによりサーバーが失敗しましたAssertion failed at crypto_openssl.c:523。どちらの場合も、クライアント構成とサーバー構成の両方に必要な変更が加えられました。 私は（https://wiki.archlinux.org/index.php/OpenVPN）の指示に従ってOpenVPNをセットアップし、（https://wiki.archlinux.org/index.php/Create_a_Public_Key_Infrastructure_Using_the_easy-rsa_Scriptsの指示に従っています。）キーと証明書を作成します。これらの手順からの唯一の逸脱は、自分のコンピューターの名前と、対応するキー/証明書ファイル名を指定することです。 インターネット上のSMBトラフィックの保護に関する私の元の質問も参照してください：（Samba共有の単純な暗号化） 誰も私がこの問題を解決する方法を説明できますか？ 詳細： サーバー：イーサネットケーブルを介してゲートウェイに直接接続されたArch Linux（最新）。iptablesはありません。 クライアント：VirtualBox 4.3.28r100309 Windows 8.1ホスト上のブリッジLinux（最新）仮想マシン、ブリッジネットワークアダプター。iptablesはありません。Windowsファイアウォールが無効です。 ゲートウェイ：ポート1194のポート転送が有効になっており、ファイアウォールの制限はありません。 サーバーとクライアントの構成ファイルはそれぞれ次のとおりです。Arch Wikiの指示に従って作成しました。 /etc/openvpn/server.conf （非コメント行のみ）： port 1194 proto udp dev tun ca /etc/openvpn/ca.crt cert /etc/openvpn/server-name.crt key /etc/openvpn/server-name.key dh /etc/openvpn/dh2048.pem server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt keepalive 10 120 tls-auth …

16 openvpn 

ハードディスクを含むラップトップを手渡す必要があります。暗号化されていないので、少なくともすぐに消去したかった。私はこれがSSDで最適ではないことを知っていますが、私は単なる読みやすいよりも良いと思いました。 現在、ライブUSBスティックのワイプを実行していますが、非常に遅いです。なぜだろうか。もちろん、そのデバイスをワイプすること以外、コンピューター上ではほとんど何も起きていないので、エントロピーが低くなる可能性があると思います（entropy_availによると、それは1220にあります）。電話をかけるだけでも同様に良いでしょうか dd if=/dev/random of=/dev/sda1 bs=1k 四回？または、ランダム性を高めるものを呼び出す方法はありますか？または、ボトルネックはどこかで完全に異なっていますか？

16 security  ssd  dd  secure-delete 

SSH でのLogjam関連の攻撃に対する緩和策として、次のようなものを使用してカスタムSSH Diffie-Hellmanグループを生成することをお勧めします（以下はOpenSSHの場合） ssh-keygen -G moduli-2048.candidates -b 2048 ssh-keygen -T moduli-2048 -f moduli-2048.candidates その後、システム全体のモジュライファイルを出力ファイルに置き換えますmoduli-2048。（ssh-keygen -G候補DH-GEX素数をssh-keygen -T生成し、生成された候補の安全性をテストするために使用されます。） これは、そうでなければ事前計算に役立つ有名なグループを使用するSSHサーバーで実行する合理的なことですが、カスタムSSH DHグループをクライアントのみのシステムに展開することでセキュリティ上の利点はありますか？（つまり、SSHサーバーに接続するが、SSHサーバーとしては決して機能しないシステムです。） 私は主にLinux上のOpenSSHに関連する回答に興味がありますが、より一般的な回答も歓迎します。

16 ssh  ssh-keys  logjam 

新しくインストールされたRPMパッケージがインストールされる依存関係のリストを作成する簡単な方法はありyumますか？ 例：yum install rubyそうすると、いくつかのrubygemsもインストールされます。 しかし、rubyパッケージをアンインストールするとき、インストールした依存関係も取り除きたいと思います。 ですから、私の最初のアイデアは、それらの新しいパッケージのリストを作成し、rpm -eアンインストールするときにそれらを実行することrubyでした。 質問 そのようなリストを自動化された方法で作成する方法は？ または、RPMパッケージ名でテキストファイルを管理するより簡単な方法はありますか？

16 linux  centos  bash  fedora 

デフォルトのrsyslogおよびlogrotateユーティリティを使用して、Ubuntu 14で作業しています。 デフォルトのrsyslog logrotate構成で/etc/logrotate.d/rsyslogは、次のように表示されます。 /var/log/syslog { rotate 7 daily missingok notifempty delaycompress compress postrotate reload rsyslog >/dev/null 2>&1 || true endscript } 私が理解していることから、現在のログを移動するのではなく、すべてのログローテーションシナリオでcopytruncateを使用することをお勧めしますが、開いているファイルハンドラーを持つプロセスが書き込みを続けることができるようにログを切り捨てます。 では、代わりにrsyslogのリロード機能を使用したデフォルトの構成はどうしてですか？

16 rsyslog  logrotate 

ダウンロード用のISOファイルを提供するWebサイトは、それらのファイルのmd5チェックサムを頻繁に提供します。このチェックサムを使用して、ファイルが正しくダウンロードされ、破損していないことを確認できます。 なぜこれが必要なのですか？TCPのエラー修正プロパティで十分です。パケットが正しく受信されない場合、再送信されます。TCP / IP接続の性質そのものがデータの整合性を保証しないのですか？

16 tcp 

PCIeベースのストレージの最近の開発、特にNVMe仕様とそのハードウェアの互換性に関連して、私は少し混乱しています。 私はディスクフォームファクターのSSDとFusion-ioのようないくつかのハイエンドPCIeデバイスで広範囲に取り組んできましたが、NVMeの基本を理解できず、どのタイプのサーバーの明確化を求めていますハードウェアがサポートされています。 たとえば、Supermicroからのこのような広告コピーは紛らわしいです。 ...高性能CPU PCI-E Gen3はNVMeデバイスに直接接続します。 私が扱ってるのLinuxベースのソフトウェア定義のストレージ・ソリューションと独自のドライバ（使用スペアフュージョン・アイオーデバイス、使用していた提示は/ dev / fioX OSにデバイス名を）。 ベンダーに助けを求めたとき、応答は次のとおりでした。 「fioX」デバイスの命名は、新しいNVMeデバイスインターフェイスによって廃止されました。旧式のアダプターを購入して、他の誰も要求していないサポートを追加することを意味します。 これは少し厳しいようです。Fusion-ioアダプターは時代遅れだとは思いませんでした。 私がオンラインで見つけたわずかな情報は、NVMeが絶対に最新世代のサーバーハードウェア（Intel E5-2600v3 CPUとPCI 3.0チップセット？）でのみサポートされていることを示唆しているようです。しかし、これを確認することはできません。 これは本当ですか？ 採用率はいくらですか？これは、エンジニアが設計の決定において考慮しているものですか、それとも完全に形成されていない「標準」について話しているのですか？ NVMeが市場の最新システムにのみ適用されるものである場合、古いシステムのインストールベースはNVMeに対応できないことを（ベンダーに）提案するのは合理的ですか？したがって、私が要求したサポートを追加する価値はありますか？

16 hardware  storage  ssd  fusionio  nvme 

サービス側の設定を変更せずに、http（s）：//CompanyName.com/xyzをURLとして使用することは安全ですか？ DNSは大文字と小文字を区別しないことを知っていますが、それでも副作用がありますか？たとえば、チェーンのさまざまな部分がCompanyName.com〜companyname.comと一致しないと考えています。 一部のWebバックエンドが一致しない場合があります 一部のロードバランサー/プロキシ/キャッシュ/アプリケーションレイヤーファイアウォールが一致しない場合があります 一部のクライアントが同一生成元ポリシーを誤って適用する可能性があります 一部のクライアントは証明書チェックで一致しない場合があります DNSは一般に大文字と小文字を区別しませんが、IDNは状況を変えることができますか？ URLのホスト名部分の大文字に関する問題やその他の問題を経験した人はいますか？ [編集] @Michael Hamptonは、HTTP標準によれば、ホスト名は大文字と小文字を区別しませんが、この点に関して一部のソフトウェアは非準拠であると指摘しました。 特定のクライアントで、非準拠のソフトウェアがどの程度普及しているかを把握しようとしています。最近の主要なブラウザはすべて問題ないと思いますが、たとえばモバイルアプリについてはどうでしょうか。（これを別のSFの質問に分割した方がよいでしょうか？）[/編集]

16 domain  http  case-insensitive 

バックグラウンド Windows DHCPサーバー（Server 2008 R2）がいくつかのスコープのアドレスを配布しています。それらのスコープの1つは、一部のMitel IP Phone用です。電話機は、dhcpオプション125を使用して設定情報を取得するように設定されています。電話機は起動時に使用するVLANを認識しないため、接続先のポートのデフォルト（タグなし）VLANを取得するだけです。dhcpサーバーは、オプション125の情報を含む応答をサーバーに提供し、電話はこの応答から使用するVLANを読み取ることができます。その後、電話機は元のアドレスを解放し、正しいvlanタグを使用して新しいDHCPリースを要求します。また、電話機には通常、パススルーポートに接続されたコンピューターがあります。コンピューターからのパケットにはタグが付けられないため、PCはポートの元の（タグ付けされていない）VLANに残ります。これは何年もの間私たちのために働いてきました。 問題と症状 過去数週間のどこかで、何かが変わったのですが、どうなるかわかりません。電話は再起動しない限り機能し続けます。つまり、dhcp更新要求は正しく処理される必要があります。特定のスイッチに接続された電話は、再起動後も生き残ることができます。ただし、他のスイッチに接続された電話機は、リブートするとプロセスを完了できません。すべての電話は、UPSでバックアップされたPoEを使用しているため、再起動してから長い時間がかかりました。これは、問題が最初に発生した時期がわからないことを意味します。私が知っていることは、昨日再起動したときに1台の電話が故障し、今日のトラブルシューティングでそのスイッチクローゼットをリセットしたことです。現在、そのスイッチの電話はどれも機能していません（ありがたいことに、まだ少数です）。また、物事が1月の終わり近くに機能していたことも知っています。 電話が起動するのを見ると、最初のアドレスを取得できることがわかります。次に、オプション125情報を正常に読み取り、正しいvlanタグを設定し、元のIPリースを解放します。サーバーから正しいVLANでオファーを受け取り、受け入れることさえできます。しかし、それは物事が停止する場所です。電話の画面には「DHCP: Offer 2 ACC」というメッセージが表示されますが、Windows DHCPサーバーはリースを記録しておらず、電話は移動しません。DHCP REQUESTパケットがWindowsサーバーに到達することはないと推測できるので、電話はWindowsからの継続的なACKを待っています。 回避策 私はついに電話を再び使えるようになりました。そのためには、まずコンピューターを切断する必要がありました。次に、PC VLANのメンバーシップなしで、電話VLANで電話のスイッチポートをタグなしに設定します。これで、電話機は正しく再起動します。この時点で、スイッチポートの設定を元の場所に戻すことができ、ポートをリセットしているときに誰もその番号に電話をかけない限り、電話機はビートを逃しません。その後、コンピューターを再接続できます。明らかに、これは理想的なプロセスではありませんが、電話が再起動することはめったにないので、根本的な原因が見つかるまで人々を再び働かせることはできません。現在、オフィスは1週間閉鎖されているため、この問題は実際に週末に座ることができます（電話がある個々のオフィスのキーはありません）。 私が修正したこの電話は、コアスイッチに直接接続されたサーバールームのサービス電話です。問題はコアスイッチのタグのルーティングまたは処理の問題である可能性があります。そのため、パケットが他のスイッチを最初に通過する（タグ付けされる）リモートオフィスでは回避策が有効になりませんが、非常に驚​​かされますそれが発生した場合、dhcpの更新と実際の電話での会話を正しく処理する必要があることがわかっているためです。 ねじれは、ポートがPC VLANでタグ付けされたままになると、代わりに電話がメッセージ「DHCP: Offer 1 ACC」で失敗することを意味します。これを成功させるには、そのVLANを完全に削除する必要があります。 注：回避策が遠隔地の建物で効果的であることを確認しました。これにより、デバイスが何らかの形で正しいVLANに割り当てられていないのではないかと疑われます。コアスイッチで問題が発生し、ほぼ同時にネットワーク上の複数の場所で問題が発生したという事実は、コアスイッチが問題である可能性があることを示しています。特別なことは何もありませんが、週の終わり近くにスイッチをリブートするためのメンテナンスウィンドウをスケジュールしています。ファームウェアを更新することもあります。 環境 コアスイッチはHP 5406zlです。このスイッチはVLAN間ルーティングを処理します。Windows DHCPサーバーは、スイッチに直接接続されています。エンドポイントスイッチはファイバSFPを介してコアスイッチに接続され、これらのポートは両端のすべてのVLANに対してタグ付けされます。コアスイッチは、各vlanをip helper-addressDHCPサーバーを指す設定dhcp relay-option 82 replaceと、dhcpサーバーが使用するスコープを知るための行で構成します。これらの構成、およびエンドポイントスイッチのポート構成は、少なくとも16か月間変更されていません。その間に他のスイッチと電話のリセットがありました。 当社のエンドポイントスイッチのほとんどはHP 2530シリーズです。これらのスイッチは正常に動作しているようです（3つの異なる2530の電話が今日正しく再起動しました）。問題があるのは古いスイッチです。動作しない古い3Com 4200と4210があります。前述のコアスイッチに直接接続されたサービス電話も機能しません。 質問 この時点で、dhcpサーバー上のWindowsの更新により動作が変更されたと思いますが、その方法はわかりません。または、コアスイッチがそのREQUESTパケットを正しく処理していない可能性がありますが、何も変更されていないと確信しており、特定のエンドポイントスイッチのみが影響を受ける理由を説明していません。この問題を解決するにはどうすればよいですか？ 更新： 失敗した電話からのdhcpログの抜粋を次に示します。 10,03 / 06 / 15,12：40：40、Assign、10.1.2.158、、08000F197844、、3189088995,0 ,,, 11,03 / 06 / …

16 windows-server-2008-r2  dhcp  switch  vlan