サーバー管理者

私はDebian安定版を実行しています。私の 'sftponly'グループのユーザー向けに次の環境を確立したいと考えています。 投獄された SFTPで転送できます SCPで転送できます SSHで対話的にログインできません 私の実験と研究から、sshd_configの次のスタンザで90％がそこに到達したようです： Match group sftponly ChrootDirectory /sftp/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp これにより、SFTPが投獄され、SSHは投獄されません。これは良いことです。しかし、SCPも無効にします。これは、かなりの数のクライアントがSFTPではなくSCPを使用するレガシーなスクリプトプロセスであるため、理想的ではありません（交換するサーバーは両方のプロトコルをサポートしています）。変更した場合、SCPを完全に無効にすることは実用的ではない可能性があります。 SCP接続を受信すると、sshdはユーザーのログインシェルを介してそのユーザーとして「scp」プロセスを生成するため、この構成ではSCPが無効になります。特別な 'internal-sftp'ハンドラーでない場合、SFTPでも同じことが通常当てはまるようです。 だから、私の質問は次のとおりだと思います：scponlyやrsshなどのサードパーティツールを使用せずに、「internal-sftp」と同じ効果を達成する方法はありますか？「internal-sftp」の本当に素晴らしい点は、サポートファイルを使用した刑務所のセットアップや、潜在的に悪用可能なサードパーティのsetuidバイナリ（特に、rsshにはエクスプロイトの履歴があります）を処理する必要がないことです。

16 ssh  sftp  scp  chroot  jail 

puppet 2.7.18を使用して既存のユーザーをグループに追加することはできますか？ 2つのモジュールがあり、それぞれが1つのクラスを定義します。 モジュール「user」は、ユーザーfooおよびユーザーbarを含むすべてのユーザーを作成します。 モジュール「subversion」はさまざまなconfファイルを処理し、グループsvnを作成します。 モジュール「subversion」内のグループsvnにユーザーfooを追加したいと思います。 既存の機能リクエストに記載されているメンバーシップパラメータを試しました。 group { "svn": ensure => present, gid => xxxxx; } user { "foo": group => ["svn"], membership => minimum; } しかし、私は次のエラーを受け取ります： エラー：リモートサーバーからカタログを取得できませんでした：サーバー上のエラー400：重複宣言：User [foo]は、ファイル/pathto/modules/subversion/manifests/init.ppの行xxで既に宣言されています。ノードmyserver.example.comの/pathto/modules/users/manifests/init.pp:xxxで再宣言できません この機能は既に実装されていますか？そうでない場合、良い回避策はありますか？

16 linux  redhat  puppet  user-management  user-accounts 

注：この投稿の中間地点近くの「編集」で始まる更新情報をお読みください-この問題の環境と背景が変更されました ここに沼地の標準Debian 6.0インストールがあり、Debianテストリポジトリにサイドグレードすることにしました。sources.listのSqueezeリポジトリへの参照を交換して、代わりにTestingリポジトリを使用することでこれを行いました。 パッケージをインストールして再起動した後、suを実行しようとすると次のエラーが表示されます-別のユーザーに対して： root@skaia:~# su joebloggs - bash: cannot set terminal process group (-1): Inappropriate ioctl for device bash: no job control in this shell -を省略すると、これは発生しません。 ユーザーが正しくrootになることができることに注意してください。これは、rootから他の誰かに切り替えて-を使用してそのユーザーの環境を取得する場合にのみ発生するようです。 Googleはここではほとんど役に立ちません。私が見つけることができるのは、2011年のsuxパッケージに関する参考文献だけです。これは、その間に修正されたようです。 これは、適切なパッケージを適切な方法で調整することで修正できるアップグレードエラーのように見えます。どこから始めればいいのかわからない-これを除けば、私のシステムは完全に正常に動作し、期待どおりに動作します。 編集 上記のように、Debianの安定したマシンでこれが起こっています。今回はアップグレードも何もありません。まっすぐ安定しています。 うん、一年後。一体何が問題なのかまだわかりません。 現在は次のようになっています（変更はほとんどありません）。 bash: cannot set terminal process group (-1): Inappropriate ioctl for device bash: no job control in …

16 debian  bash  debian-squeeze  terminal  su 

少し背景を説明することから始めましょう。Linuxシステムでは、すべてのファイルを1つのハードドライブから別のハードドライブに引き継ぐことができ、ブートローダーを修正する限り、同一のブート可能な完全に残されるという事実に頻繁に依存しています機能システム。同じことが...でも、MySQLは回復可能です（特別なシステム状態のバックアップは、ファイルだけを必要としない）バックアップとリストアのために働く、時にはそれは、バックアップの時点で凍結されていなかった場合でも、 Windowsでは、ファイルレベルでシステムを作成してシステムを複製することはできませんでした。VMWare Converter、Ghost、diXMLなどのツールが常に必要です。これらは、ドライブ全体のイメージを取得することに基づいています。最初は、これは主にWindowsがレジストリを処理する特別な/魔法の方法によるものであり、私はそれを疑問視しませんでした（動作しました）。今日まで。この種の考え方は愚かであり、実際にはWindowsも単なるファイルのコレクションであることがわかりました。そのため、テストとしてオフラインのWindows 2003サーバードライブを使用して、ファイルを空のハードドライブにコピーし、ドライブをアクティブにして、完全に機能しました。 それともしましたか？Ghostで期待していたような逐語的なクローンではないという理由だけで失敗するという不合理な恐怖を抱いているのはなぜですか？怖いの？なぜそんなに簡単だったのですか？ADサーバーに違いはありますか？この方法が失敗する場合はありますか？ ファイルごとのコピーが方法である場合、VSS（シャドウコピーされたC：ドライブをS：ドライブとして公開）で同じことをしようとしたときに、同じアプローチが失敗したのはなぜですか。より具体的には、ログイン画面までブートシステムを取得しました。パスワードも受け入れましたが、GUIでエラーなしにすぐにユーザーをログオフしました。コピーする前に、停止できないサービスを除くすべてのサービスをシャットダウンしようとしましたが、同じ結果になりました。 ちなみに私はrobocopy /E /SECこれらすべてのコピー操作に使用しています これらの方法を使用してトラブルを探していますか？私はゴーストなどが証明されていることを知っています..なぜ車輪を再発明するのですか？...私はすべてを得る...しかし、専門家として、私は物事が彼らのやり方で機能する理由を知りたい。それが私がこれを理解することが重要である理由です。（言うまでもなく、システム状態のバックアップがなかったシステムでベアメタルリストアを実行する必要があることはまれです）

16 windows  clone  robocopy  vss  ghost 

Linuxマシン上で公開の再帰DNSサーバーを実行します。DNS増幅攻撃に使用されています。iptablesこれらの攻撃を軽減するのに役立つ推奨ルールはありますか？ 明らかな解決策は、アウトバウンドDNSパケットを特定のトラフィックレベルに制限することです。しかし、攻撃が被害者のIPアドレスへのトラフィックをブロックするように、もう少し巧妙なものを見つけたいと思っていました。 私はアドバイスや提案を探しましたが、それらはすべて「公開された再帰的なネームサーバーを実行しないでください」と思われます。残念ながら、そうしないと簡単に変更できないものが壊れるという状況に陥っています。これは、これらの攻撃が問題になる前に10年以上前に下された決定によるものです。

16 domain-name-system  ddos 

私は、実行ホストされた継続的インテグレーション会社を、私たちは、Linux上で、お客様のコードを実行します。コードを実行するたびに、別の仮想マシンで実行します。頻繁に発生する問題は、VMでチェックアウトされたコードのディレクトリ順序が原因で、顧客のテストが失敗する場合があることです。 より詳細に説明させてください。OSXでは、HFS +ファイルシステムにより、ディレクトリが常に同じ順序でトラバースされることが保証されます。OSXを使用するプログラマーは、OSXがマシンで動作する場合、どこでも動作する必要があると想定しています。しかし、Linuxファイルシステムはディレクトリを横断する際に順序の保証を提供しないため、Linuxではしばしば機能しません。 例として、a.rb、b.rbの2つのファイルがあるとします。a.rbはを定義しMyObject、b.rbはを使用しMyObjectます。a.rbが最初にロードされると、すべてが機能します。b.rbが最初にロードされると、未定義の変数へのアクセスが試行されMyObject、失敗します。 しかし、これよりも悪いのは、常に失敗するわけではないということです。Linuxでのファイルシステムの順序付けは順序付けられていないため、異なるマシンでは異なる順序になります。これは、テストに合格することもあれば、失敗することもあるため、さらに悪化します。これは最悪の結果です。 だから私の質問は、ファイルシステムの順序を繰り返し可能にする方法はありますか？おそらくext4へのフラグは、それは常にディレクトリをある順序でトラバースするということですか？それとも、この保証がある別のファイルシステムですか？

16 linux  filesystems  directory  ext4 

現在、私のPHPは5.3.3にありますが、どうすればアップグレードできますか？また、どうすればアップグレードできますか？たとえば、phpMyAdminもアップグレードしたい場合はどうすればよいですか？

16 php  debian  debian-squeeze 

最近、ext4ファイルシステムの1つが、more than 6mln in this case十分なスペースがあるにもかかわらず、非常に多くのファイルを処理できないように見えるという問題がありました。それ6mlnは最大数ですか、ext4ファイルシステムはすべてのデフォルト設定でフォーマットされたときに持つことができますか？Googleで試してみましたが、決定的な答えは得られませんでした。ここにいる人は誰でもこれに光を当てることができますか？乾杯！！

16 linux  filesystems  ext4  inode 

私はmoshの成長しているファンであり、信頼性の低いwifiリンクがある場合にますますそれを使用しています。私が理解しようとしているのは、DMZ（インターネットおよびファイアウォールで接続されたネットワークに接続）にあるサーバーを介してトンネルを構築する方法です。 私の現在のsshの解決策は、.ssh / configを編集して次のような行を含めることです： Host server-behind-firewall ProxyCommand ssh server-in-dmz nc %h %p また、私はsshを使用して片方の足を行い、もう片方の足をモッシュする方法を見つけました。 ssh -t server-in-dmz mosh server-behind-firewall server-in-dmzとserver-behind-firewallの間で、画面を使用してmoshセッションをリグアップしました。 しかし、モッシュをエンドツーエンドで使用したいのです。mosh-serverをリッスンさせるには、server-in-dmzをリグする必要があると思います。ただし、mosh-serverのマニュアルページには、「60秒以内にクライアントが接続していない場合は終了します」と書かれています。 要するに、問題は、複数のホストでmoshトンネルを構築する方法ですか？

16 ssh  tunneling 

オフィスでは、ハードウェアファイアウォールを取得する必要があるか、VMWareクラスターで仮想ファイアウォールを設定する必要があるかについて議論しています。 環境は、iSCSI共有ストレージアレイを備えた2つの1 GBスイッチ上の3つのサーバーノード（それぞれ16 GBのRAMを備えた16コア）で構成されています。 リソースをVMWareアプライアンス専用にする場合、仮想ファイアウォールよりもハードウェアファイアウォールを選択するメリットはありますか？ ハードウェアファイアウォールを使用することを選択した場合、ClearOSなどの専用サーバーファイアウォールは、Ciscoファイアウォールと比較してどのようになりますか？

16 networking  firewall  vmware-esxi  cisco-asa 

EC2でホストされているTomcatの前にApache Webサーバーがあり、インスタンスタイプは34GBのメモリを備えた非常に大きなものです。 私たちのアプリケーションは多くの外部Webサービスを扱っており、ピーク時間に要求に応答するのにほぼ300秒かかる非常にひどい外部Webサービスがあります。 ピーク時には、サーバーは約300のhttpdプロセスで停止します。ps -ef | grep httpd | wc -l = 300 私はグーグルで検索し、多くの提案を見つけましたが、何も機能していないようです。以下は、オンラインリソースから直接取得したいくつかの設定です。 ApacheとTomcatの両方で最大接続と最大クライアントの制限を増やしました。構成の詳細は次のとおりです。 // apache <IfModule prefork.c> StartServers 100 MinSpareServers 10 MaxSpareServers 10 ServerLimit 50000 MaxClients 50000 MaxRequestsPerChild 2000 </IfModule> // tomcat <Connector port="8080" protocol="org.apache.coyote.http11.Http11NioProtocol" connectionTimeout="600000" redirectPort="8443" enableLookups="false" maxThreads="1500" compressableMimeType="text/html,text/xml,text/plain,text/css,application/x-javascript,text/vnd.wap.wml,text/vnd.wap.wmlscript,application/xhtml+xml,application/xml-dtd,application/xslt+xml" compression="on"/> //Sysctl.conf net.ipv4.tcp_tw_reuse=1 net.ipv4.tcp_tw_recycle=1 fs.file-max = 5049800 vm.min_free_kbytes …

16 apache-2.2  tomcat  tcp  performance-tuning 

Linux環境で、プロセスから返される終了コードが0であることを確認しながら、プロセスにkillシグナルを送信するにはどうすればよいですか？このために派手なGDBマジックを実行する必要がありますか、それとも私が知らない派手なキルシグナルがありますか？ テストケース： cat; echo $? killall cat さまざまなキルシグナルを試しても、129、137、143などの異なるリターンシグナルしか提供されません。私の目標は、スクリプトが実行するプロセスをキルすることですが、スクリプトに成功したと思わせることです。

16 linux  process  kill 

これはばかげた質問かもしれませんが、...仮想マシン用の「仮想IPMI」をサポートするハイパーバイザーや他の仮想化ソリューションはありますか？つまり、仮想マシンへの電源制御、Serial-over-LANコンソールなどのようなものへのアクセスを許可します。 これは、仮想マシンを管理するための正しい方法ではありません。システム管理にIPMIを多用しているため、VMを同じフレームワークに統合することは興味深い/有用であり、VMを開発者として使用する場合はこのようなインターフェイスが役立つので、これを探しています。システム管理ツールの環境。

16 virtualization  ipmi 

upstartを使用して起動時にWebサーバーアプリケーションを開始しました。これは、スタートアップスクリプトです。 # web app node upstart file at /etc/init/webapp.conf description "web application" start on started mongodb stop on runlevel [06] respawn respawn limit 10 100 env NODE_ENV=production pre-start script ulimit -n 2048 end script exec start-stop-daemon --start -c mainuser --exec /usr/bin/make -- -C /home/mainuser/app start-prod これは、Ubuntuサーバー10.04 LTSで問題なく動作し、非常に満足しています。 ただし、SSHを使用してmainuser（これはsudoerではありません）としてログインし、作業ディレクトリを最新の展開バージョンに更新する展開シェルスクリプトがあります。 ここでの問題は、アプリケーションが新しいソースファイルをロードするために、サービスを再起動する必要があることです。ただし、mainuser... mainuser@Saturn101:~$ …

16 deployment  upstart  permissions 

インターネットではなくイントラネットWebサイトを持っています。 http://mysite Webサイトは、IE経由でコンピューター/クライアントにログインしているユーザーの統合認証を受け入れます。 FQDNに移動した場合 http://mysite.something.com ユーザー名とパスワードの入力を求められます。 それらは同じで、サイトとWebページです。IE /ログインユーザーからの両方の資格情報を受け入れるようにするにはどうすればよいですか？

16 windows-server-2003  iis  authentication