サーバー管理者

ほとんどのサーバーと同じように（私は推測します）、24時間年中無休でサービスをブルートフォースしようとする人々がいます。私はcpHulkのIPをブラックリストに登録していますが、そもそもそこまで届かなかった方が良いと思われます。80以外のポートでサーバーに接続するのは自分とホストだけなので、ポート80を除く米国以外のすべての国からの接続をブロックしたいと思います。ホストに連絡して設定しましたが、サーバーの負荷が非常に高くなると言っていたため、heしていました。CentOS 6.6とiptablesを実行する32GB RAMを備えた専用Xeon 1230サーバーです。 まず、これをしない理由はありますか？第二に、私のホストは私に言ったことは正しいですか？第三に、パフォーマンスに大きな影響を与えずにこれを達成する方法はありますか？

16 iptables 

したがって、まず、SSHでキー認証を使用する必要があります。それを説明する必要はありません。 ここでの問題は、サーバーの（大きな）束があり、これらの各サーバーを接続できるスクリプトが必要だということです。 できる限りキー認証を使用しますが、すべてのサーバーでキー認証を使用できるわけではありません（これを制御することはできません）。そのため、ログインまたは場合によってはtelnetを使用したSSH。 そのため、一部の人はパスワードをdbに保存しただけで、必要に応じてスクリプトが使用します。問題は、そのようにするのは本当に安全に見えないということです。少し安全にする方法はありますか？ それを保存する特定の方法が好きですか？

16 ssh  password  password-management 

EC2インスタンスを拡大するのは簡単です（たとえば、AMIを作成し、そこからインスタンスを起動してから、ストレージサイズを変更するなど）。 しかし、それを減らすことはより困難になります。Amazon Web Services（AWS）EC2インスタンスのElastic Block Store（EBS）のルートボリュームサイズを縮小したいと思います。ネット上にはいくつかの古い高レベルの手順があります。私が見つけたより詳細なバージョンは、StackOverflowの質問に対する1年前の答えです：どのようにebsボリューム容量を減らすことができますか、ステップはかなり高いレベルです： 希望するサイズの新しいEBSボリュームを作成します（例/ dev / xvdg） インスタンスを起動し、両方のEBSボリュームをそれに接続します （元のルートボリュームの）ファイルシステムを確認します。（例）e2fsck -f / dev / xvda1 元のルートボリュームを最大に縮小します（例：ext2 / 3/4）resize2fs -M -p / dev / xvda1 ddを使用してデータをコピーします。 チャンクサイズを選択します（16MBが好きです） チャンクの数を計算します（resize2fs出力のブロック数を使用）：blocks * 4 /（chunk_size_in_mb * 1024）-安全のためにビットを切り上げます データをコピーします：（例）dd if = / dev / xvda1 ibs = 16M of = / dev / xvdg …

16 ubuntu  amazon-ec2  amazon-ebs 

私たち（小さなフランスの会社）は、20年以上前にRIPE-NCCからIPv4 / 24ブロック（256アドレス）を予約していましたが、使用しませんでした。更新：この割り当ては、この近くのブロック193.57.35.0/24の割り当てと同様に、「プロバイダー非依存（PI）アドレス空間」に属します。 RIPE-NCCには3つのオプションがあります。 リソースのエンドユーザーは、選択したLIRとエンドユーザー割り当て契約に署名します。 エンドユーザーはRIPE NCCメンバーになり、リソースのスポンサーになります エンドユーザーはリソースを必要としなくなり、それらをRIPE NCCに返します そのIPv4 / 24ブロック割り当てを維持したいのですが、最も重要なことは、実際に使用を開始することです。オプション1を使用していると思います。 私たちの使用は、サーバーごとの静的IPが非常に便利であると思われる、トラフィックの少ないサーバー（M2Mサービス用、一部は開発中のWebサーバー）に関連しています。現在、SDSLボックスをレンタルしている2つのISPによって割り当てられた2つの静的IPv4（このブロックからではない）を共有しています。一部のサーバーには非標準ポートを使用しHost:、Web サーバーにはhttpヘッダーを使用して、適切なサーバーにルーティングします。標準ポートを使用し、IPレベルでWebトラフィックをルーティングできるように、サーバーごとにIPv4が必要です。また、これにより、独自のSMTP送受信サーバーのセットアップが容易になることを願っています。 私の理解では、RIPE-NCCによってLIRとして登録された地域のISPが必要であり、ブロック内の選択されたIPv4をSDSL（またはそれが借りる）リンクにルーティングすることができます。あれは正しいですか？そのような配置は一般的ですか？このようなISPを見つけるにはどうすればよいですか？これまでのところ、2つのISPへの呼び出しは基本的にそのサービスを提供しないことで終了し、フランスのLIRのリストにある他の多くのISPへのメールはそこに指定された連絡先に返されていません。 それが問題になる場合、ブロックはRIPE-NCCに割り当てられたはるかに広いブロックにあり、そこからRIPE-NCCメンバーはいくらかサブ割り当てされます。 inetnum: 193.0.0.0 - 195.255.255.255 netname: EU-ZZ-193-194-195 descr: European Regional Registry

16 routing  ipv4 

ロードバランサーに複数のLinux Webサーバーが接続されており、これらのサーバー間でアセット（写真、ビデオ、その他のもの）を共有したいです。これを行う最良の方法は何ですか？ 現在、私はすべてのWebサーバーのファイルサーバーにマウントしていますが、トラフィックが多くなるとダウンするのではないかと心配しています。これを防ぐにはどうすればよいですか？ 前もって感謝します。

16 linux  web-server  file-sharing 

「*******。international」というドメインがあります。新しいgTLDを採用することを決めたのは、それが会社の名前によく合っているからです。 クライアントのメールにメールを送信する自動メール設定があり、いくつかの企業がメールを積極的に拒否していることに気付きました。ログを見るとき、私はこれを読みました： Remote Server returned '<[*.*.*.*] #5.0.0 smtp; 5.1.0 - Unknown address error 554-'mailfrom without country or top level domain is administratively denied' (delivery attempts: 0)>' X-IronPort-Anti-Spam-Filtered: true これは、gTLDの使用が原因ですか？これらのメールを通過させるためにできることはありますか？

16 email  spam  ironport 

ここ数日、いくつかのサーバーが未知のリクエストで攻撃されていることに気付きました。 それらのほとんどは次のようなものです。 60.246.*.* - - [03/Jan/2015:20:59:16 +0200] "GET /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1 HTTP/1.1" 200 - 少しログと検索を行った後、いくつかの中国のISP（おそらくwhatsmydns.netの結果によるとCERNET）といくつかのトルコのISP（おそらくTTNET）a.tracker.thepiratebay.orgが、piratebayとは関係のないさまざまなIP などのDNSクエリに応答することがわかりましたまたは急流。言い換えれば、彼らは何らかの奇妙な理由で何らかの種類のDNSキャッシュポイズニングを行うようです。 そのため、これらの国の数百（数千ではないにしても）のBitTorrentクライアントが私のWebサーバーに大量の「アナウンス」を行い、Apacheのすべての接続をDDoS攻撃がほぼ完全に占有します。 現時点では、私は中国とトルコを完全にブロックして仕事をしていますが、それらのリクエストをブロックするより良い方法を見つけたいと思います。 HTTP Hostヘッダーに基づいたmod_securityでこれらの要求をブロックすることを考えていました。 すべてのこれらの要求は、HTTPホストのようなヘッダが含まa.tracker.thepiratebay.org（またはthepiratebay.orgドメインの他の多くのサブドメインを）。 これは、PHPの$_SERVER変数を介したリクエストヘッダーのダンプです。 DOCUMENT_ROOT: /usr/local/apache/htdocs GATEWAY_INTERFACE: CGI/1.1 HTTP_ACCEPT_ENCODING: gzip HTTP_CONNECTION: Close HTTP_HOST: a.tracker.thepiratebay.org HTTP_USER_AGENT: uTorrent/342(109415286)(35702) PATH: /bin:/usr/bin QUERY_STRING: info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1 REDIRECT_STATUS: 200 REMOTE_ADDR: 60.246.*.* REMOTE_PORT: 3445 REQUEST_METHOD: GET REQUEST_URI: /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1 SCRIPT_FILENAME: /usr/local/apache/htdocs/announce.php SCRIPT_NAME: /announce.php …

16 apache-2.2  http  mod-security  bittorrent 

WiresharkのWebページから： ターゲットMACブロックには、ターゲットのIEEEアドレスの16の複製が含まれ、中断や中断はありません。 16の重複の特定の理由はありますか？

16 networking  wake-on-lan 

現在、fail2banなどのツールを使用して、IPv4アドレスを禁止することにより、不要なトラフィックをサーバーから遠ざけることに慣れています。IPあたりの不正なログエントリが多すぎる、IPを禁止します。 しかし、世界がIPv6への移行を完了すると、「通常の」ボットネットコンピューターまたは攻撃者は非常に多くのIPv6アドレスを所有しているため、単一アドレスの禁止はおそらく機能しなくなります。 IPv6ユーザーをブロックしたい場合、これを達成する最良の方法は何ですか？特定のIPマスクなどを使用しますか？ IPv6内で複数の個別のヒットを取得し、ブロック全体を禁止する場合に「アップリンクヒューリスティック」を実行してはどうですか。 私にとっては、脅威を軽減することがより重要です。ブロックされたIPを持つ同じブロックに属する貧しい本物のユーザーがいる場合、そのネットブロックをクリアすることはそれらの人々とISPの間の問題です。

16 ipv6  fail2ban 

Bashを介したリモートコード実行のメカニズムは、昨日および今日広く報告されています（2014年9月24日）。http: //seclists.org/oss-sec/2014/q3/650 CVE-2014-7169またはCVE-2014として報告されています。-6271 公の場で説明するのがあまりにも愚かな理由で、私はRHEL 4を実行しているサーバーに責任があり、更新サブスクリプションはありません。これをテストするためにクローンを作成できますが、誰かが直接答えてくれることを願っています。 Centos 4の/ bin / bashにはパッチが適用されていますか？ 回避策として（おそらくパッチが適用された）Centos 4 / bin / bashをRHELシステムに入れて、数週間かかることがありますか？（12月10日まで必要です）

16 centos  bash  exploit  rhel4 

Windows 2008R2ファームのディスク領域を監査しているときに、一部のサーバーには非常に大きなC:\Windows\Logs\CBS\CBS.logファイル（〜1.5GB）があることに気付きました。 私は、この特定のログファイルを定期的に圧縮されるだろうという印象の下にあったCbsPersist_yyyymmddtttttt.cab（ここでy、m、d、t使用スペースを減らすためにファイルをそれぞれ年、月の日と時間です）。 これらの大きなCBS.logファイルを安全に削除できますか？ CBS.log定期的に圧縮されるという私の理解が正しい場合、なぜこれが私のサーバーで起こっていないのですか？

16 windows  windows-server-2008-r2  log-files 

open_basedirはありません。phpは/ etc / usr / proc / homeなどにアクセスできますが、/ tmpにはアクセスできません。 tmpfsは/ tmp（/ tmpタイプtmpfs（rw））にマウントされます。これも/ tmpフォルダーを使用する理由です。 私のファイルはhttp（nginxとphpのユーザー）が所有し、誰でも読み取り可能です。 sudo -u http cat /tmp/file 動作していますが、phpスクリプト内のすべては動作しません（file_exist（）やfile（）など）。 編集：ログに表示されるエラー： PHP Warning: file(/tmp/ydlw/pid): failed to open stream: No such file or directory in /srv/http/ydlw/status.php on line 267 edit2：問題を別の方法でテストしました。作った touch("/tmp/boo"); file_exist("/tmp/boo"); file_existはtrueを返すため、ファイルが作成されます。次に、/ tmp内を監視しましたが、「boo」ファイルは見つかりませんでした。それは私が恐れていたことであり、PHPはマウントポイントを「見る」ことはありません。なぜですか、どうすれば修正できますか？

16 php  file-permissions  centos7  tmp  tmpfs 

ユーザーと特権のペアが与えられた場合、ユーザーがサーバーに対する特権を持っているかどうかを判断する必要があります。私のセットアップでは次のことが当てはまります。 サーバーはドメインの一部ですが、ドメインコントローラーではありません インフラストラクチャに信頼関係を持つドメインがいくつかあります ユーザー（ローカル、ドメイン、または別のドメイン）は、グループに直接所属するのではなく、ローカルグループに属する他のグループ（ドメインまたはローカル）にいるというメリットにより、ローカルグループに所属できる場合があります。 最後のポイントのシナリオ例： User1はDomainAのグループTeamAに属します DomaimA \ TeamAはDomainB \ SpecialAccessのメンバーです DomainB \ SpecialAccessはDomainB \ DomainAdminsのメンバーです 最後に、DomainB \ DomainAdminsはローカル管理者グループに属します ローカル管理者グループにはSeRemoteInteractiveLogonRight特権があります 入力DomainA \ User1およびSeRemoteInteractiveLogonRightにある場合、はいまたはいいえの回答に到達する必要があります。そのため、マシンでローカルポリシーを開き、興味のある権利に対してどのグループがリストされているかに注意し、サーバーマネージャーに移動してグループメンバーの内容を確認し、これらのグループのグループのメンバーを確認する必要があります等々。 私はそれが簡単になることができるという直感を持っています。AccessChkユーティリティを見つけたとき、私は本当に興奮しました。それは3分間続き、直接関係をリストするだけであるため、グループ内のユーザーはリストされません。 今、私はユーザーがAccessChkが返すグループのいずれかに属しているかどうかを確認できるように、AccessChkからの結果を何らかの方法で組み合わせることができると推測していますが、それは単一のドメインではなく、それらのいくつかですこれにアプローチする方法がわからない。また、AccessChkの出力はグループとユーザーを区別していないようです。 編集：XY問題トラップに陥らないという精神で、IISアプリケーションプールIDとして使用される特定のユーザーアカウントがサーバーグループでSeInteractiveLogonRightまたはSeRemoteInteractiveLogonRight特権を持たないようにする必要があります。IISの部分には問題はありませんが、特権に対してアカウントをチェックする最後のステップは、簡単なチェック方法を見つけるのに苦労しています。これも定期的に行う必要があるため、チェックを自動化したいと思います。

16 windows  windows-server-2008-r2  users  permissions 

インストールされているWindows Management Framework（WMF）のバージョンを確認するにはどうすればよいですか？見つけるのは簡単なことのように思えますが、私はできません。さまざまなバージョンの質問をグーグルで検索しても、ほとんど何も起こりません。 appwiz.cplにはなく、regeditは「Windows Management Framework」に対応するものを何も見つけません。また、「wmf」には余分なものを見つけすぎます。 妥当な方法でそれをチェックする方法を知りたいだけです。レジストリキーはありますか？チェックできるファイルはありますか？何でも？ 私が見つけることができた最も近いものは、serverfaultでここにありました：Windows Management Frameworkのバージョンを検出する方法。その質問は同じことから始まりますが、GPOで使用される特定のチェック方法を求めているようです。おそらくそれが答えを得られなかった理由です。 これを確認したいコンピューターが複数あります。私が始めているのは、Windows Server 2008 R2 Standardです。他のWindows Serverオペレーティングシステムもあります。 私が持っているものよりもうまく機能するタグを知っている場合は、コメントまたはタグを付け直してください。この質問をうまく説明できるものは見つかりませんでした。 更新：一部の人々は、「$PSVersionTable」（および/またはそのさまざまな特性）が答えだと考えているようです。私はついに、これがPowerShell変数であることに最近気づきました（おそらく「PS」接頭辞はそれを与えてくれるはずでしたが、そうではありませんでした）、さらに掘り下げようとしました。これにより、別の質問が生じました。PowerShellの$ PSVersionTableの内容は何を表しているのでしょうか？。 Update2：私が今収集したすべての情報とより良い理解に基づいて、PowerShellの組み込み変数$PSVersionTable.PSVersionが技術的にこれに対する答えではないことはかなり確信していますが、多くの場合（時々？常に？同じように、バージョンのように手をつないで行くかもしれません。$PSVersionTable.WSManStackVersion変数は、それがWS-Managementのスタックを表すものとして、私が欲しいものでもよいが、そのプロパティのショーの公式の簡単な説明があります。WS-ManagementスタックはWMFと同じものですか？グーグルはそれらが密接に関連していることを示唆していますが、その答えがイエスかどうかはわかりません。

16 windows  powershell  scripting 

CentOSでApache 2.2.15を使用して、TomCatアプリケーションにSSLを提供しています。 ProxyPass / http://127.0.0.1:8090/ connectiontimeout=300 timeout=300 ProxyPassReverse / http://127.0.0.1:8090 これはうまく機能し、すべてが素晴らしいです。ただし、次の行を追加します。 Redirect permanent /broken/page.html https://www.servername.com/correct/page.html 上記の前に、TomCatアプリケーション自体のエラーを処理します。ただし、期待どおりに動作しないようです（つまり、何もせず、何も変更しないようです）。この方法でリダイレクトを使用することはできますか？残念ながら、アプリケーションを編集する機能はありません。

16 apache-2.2  tomcat  redirect  proxypass