サーバー管理者

Centos 7のすべてのユーザーに開いているファイルの制限を永続的に設定したいのですが、Googleには多くの矛盾する情報があるようです。

15 centos  ulimit  centos7 

初期コマンドで必要なすべてのパラメーターを指定することにより、SSL証明書要求を作成する方法はありますか？CLIベースのWebサーバーコントロールパネルを作成していますが、可能であれば実行時にexpectの使用を避けたいと思いますopenssl。 これは、証明書要求を作成する一般的な方法です。 $ openssl req -new -newkey rsa:2048 -nodes -sha256 -keyout foobar.com.key -out foobar.com.csr Generating a 2048 bit RSA private key .................................................+++ ........................................+++ writing new private key to 'foobar.com.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are …

15 linux  apache-2.2  command-line-interface  openssl 

数日前、Gmailは突然メールサーバーへのメール送信を停止することにしました。私は、PostfixとDovecotを使用し、すべてが更新されたDebian 7で実行されている有料SSL証明書を使用しています。 私mail.logは次のエラーを表示します： Dec 19 11:09:11 server postfix/smtpd[19878]: initializing the server-side TLS engine Dec 19 11:09:11 server postfix/tlsmgr[19880]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache Dec 19 11:09:11 server postfix/tlsmgr[19880]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup Dec 19 11:09:11 server postfix/smtpd[19878]: connect from mail-wi0-x230.google.com[2a00:1450:400c:c05::230] Dec 19 11:09:11 server postfix/smtpd[19878]: setting up …

15 postfix  dovecot 

クライアント/サーバー/接続タイムアウトが120秒のTCPモードでHAProxyをセットアップしています。 設定のリロードが速すぎると、複数のプロセスが発生することがあります。設計上、これは想定されているため、確立されたすべての接続が排出されます。 私の問題は、すべての接続が閉じられても、決して終了しないことです。 ps aux | ハプロキシ haproxy 12483 0.0 0.1 103748 1084 ? Ss 20:45 0:00 /usr/sbin/haproxy -D -f /etc/haproxy/haproxy.cfg -p /var/run/haproxy.pid -sf 12405 haproxy 12485 0.0 0.1 103748 1088 ? Ss 20:45 0:00 /usr/sbin/haproxy -D -f /etc/haproxy/haproxy.cfg -p /var/run/haproxy.pid -sf 12405 haproxy 12487 0.0 0.1 103748 1084 ? …

15 haproxy 

PowerShellセッションを起動するためにローカルデスクトップに保存できるファイルをいくつか作成しようとしています。 Windows Server 2008とWindows Server 2012は、どちらもServer Coreインストールです。 現在、Powershellを開いて次のように入力できます。 Enter-PSSession -computername Win2012SrvCore -credential administrator これを使用して、コマンドを接続して実行でき、すべてが素晴らしいです。 私がやろうとしたことは： Win2012SrvCore1.ps1以下で呼び出されるファイルを作成します。 $passwd = convertto-securestring -AsPlainText -Force -String MYPASSWORD $cred = new-object -typename System.Management.Automation.PSCredential -argumentlist "administrator",$passwd $session = new-pssession -computername Win2012SrvCore -credential $cred Win2012SrvCore2.ps1以下で呼び出されるファイルを作成します。 PowerShell.exe -Command Enter-PSSession -computername Win2012SrvCore -credential administrator 各ps1ファイルが起動し、すぐに閉じて、読み込めない赤いテキストが表示されます。 PAUSE各スクリプトに追加しようとしましたが、ウィンドウが閉じるのを止めるようには見えません。 保存したRDPセッションと同様に、ダブルクリックしてPowerShellプロンプトを開くことができるスクリプトを作成します。 ps1ファイルを実行するように構成しました。 C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe …

15 powershell  windows-server-core 

VMwareとhyper vがCPUスケジューリングを行う方法の違いに関するいくつかのテクネット記事とこの記事を読んでいました。 これについて客観的な情報を得ることができるかどうか疑問に思っていました。VMwareが使用するギャングスケジューリングは大きなデメリットであるように思えますが、私はただクールエイドを飲みたくありません。パフォーマンスに深刻な影響を与えるのでしょうか、それともVMwareのハイパーバイザーの最新バージョンがこれを解決しますか？ 編集：私が不利を言うとき、私はHyper Vの「無料プロセッサスケジューリング」またはKVMがそれを行うに比べて意味します。私が読んでいた資料は、ギャングスケジューリングで回避される「無料プロセッサスケジューリング」に問題があるとは言いませんでした。

15 virtualization  vmware-esxi  hyper-v  vmware-server  hypervisor 

stunnelをHTTPSリバースプロキシとして使用する場合、POODLE SSLの脆弱性をどのように緩和できますか？

15 ssl  openssl  stunnel 

以下のGoogleのドキュメントへの参照は当てはまりません。 SSHを保護するために、GCEインスタンスからSSHキーを削除することをお勧めします。それは私には意味がありません。キーはセキュリティのためにありますよね？キーを削除すると、SSHDが機能しなくなります。私はおそらく彼らのポイントを見逃しています。誰かがこれによって何を意味するのか説明できますか？ SSHホストキーを削除する インスタンスでsshホストキーを使用しないでください。次のように削除します。 rm /etc/ssh/ssh_host_key rm /etc/ssh/ssh_host_rsa_key* rm /etc/ssh/ssh_host_dsa_key* rm /etc/ssh/ssh_host_ecdsa_key*

15 ssh  cloud  cloud-computing  google-compute-engine  hostkey 

ドメインにWindows 7コンピューターがあり、奇妙な動作をしています。 www.google.comにpingを送信することは可能です IPアドレスを使用して内部ホストをpingできます ホスト名とIPアドレスを使用して、そのオフィスのローカルドメインコントローラ/ DNSサーバーにpingを実行できます ホスト名またはFQDNで他の内部ホストにpingすることはできません クライアントは自身をDNSに登録していません nslookup 内部ホスト名を正しいIPアドレスに解決でき、正しいDNSサーバーを使用できます クライアントは、他のクライアントと同じDHCPを介してIP設定を取得します-正しいサブネットにアドレスがあり、正しいDNSサーバーが適用され、ホスト名を解決するために正しいサフィックスが追加されています ローカルエリア接続ネットワーク接続には、ドメイン名またはWiFiステータスの表示に使用されるスペースで以前に使用されたSSID名が表示されます-画像を参照 なぜこれが起こっているのか、本当に困惑しています。内部DNS解決が行われていないため、コンピューターはドメインと適切に通信できないため、グループポリシーを適用できず、認証が適切に機能していないと思われます。 でDNSキャッシュをクリアしようとしましたが、でキャッシュをipconfig /flushdns無効化/再起動しましたnetsh stop dnscache。WinsockとIPスタックをリセットし、何度も再起動しましたが、違いはありません。同じネットワーク内の他のクライアントは正常に動作しています。 現在の回避策は、ユーザーが使用する必要があるサービスの最も重要なホストのホストファイルにエントリを配置することです。これは正常に機能しましたが、長期的には持続可能ではなく、Active Directoryとの通信にも対応していません。 物を再構築する前に、これを修正する方法はありますか？ アップデート 影響を受けるコンピューターにWiresharkをインストールしました。するとnslookup domain.local、期待どおりにすべてのDNSトラフィックが表示されます。するとping domain.local、DNSトラフィックがまったく表示されません。リクエストも応答もありません。するとping www.google.com、DNS要求と応答の両方が表示されます。 また、これは有線LANと無線の両方を備えたラップトップです。有線LANまたはWiFiを介して内部ネットワークに接続しても、まったく同じ問題が発生します。 奇妙なことに気づいたのは、予想どおりにドメイン名を表示するのではなく、ネットワーク接続（ローカルエリアネットワーク）の名前ではなく、使用していたVLANの名前です。再度参加できない場合に備えて、ドメインからコンピューターを削除することをためらっています。Windowsの再インストールを伴う可能性のあるルートを進む前に、他のいくつかのことを試してみます。 関連 する外観を更新 更新、、を試しましたnetsh winsock reset catalogがnetsh int ip reset、sfc scannowいずれも動作を修正していません。コンピューターはドメインコントローラーと通信できないため、ドメインを離れて再参加できません。 ifconfig /registerdns同じ理由で機能しません。また、dnsクライアントサービスを無効にしようとしました。

15 domain-name-system  active-directory  windows-7 

STARTTLS仕様セクション5によると： 公的に参照されるSMTPサーバーは 、メールをローカルに配信するためにSTARTTLS拡張機能の使用を要求してはなりません（MUST NOT）。このルール は、STARTTLS拡張がインターネットのSMTPインフラストラクチャの相互運用性を損なうことを防ぎます。公的に参照されるSMTPサーバーは 、インターネットメールアドレスの右側のドメイン名について、MXレコード（またはMXレコードが存在しない場合はAレコード）にリストされているインターネットホストのポート25で実行されるSMTPサーバーです。。 ただし、この仕様は1999年に書かれたものであり、2014年を考えると、ほとんどのSMTPクライアント、サーバー、およびリレーにSTARTTLSの何らかの実装があると予想されます。 受信メッセージにSTARTTLSが必要な場合、どれくらいのメールが失われると予想できますか？

15 email  smtp  starttls 

AWS Cloudfrontを使用してFirefoxに静的アセットを提供する際に問題が発生しています。 Chromeは完璧に動作しますが、FirefoxはCORSエラーを返しています。 curlを実行すると、次の結果が得られます。 HTTP/1.1 200 OK Content-Type: application/x-font-opentype Content-Length: 39420 Connection: keep-alive Date: Mon, 11 Aug 2014 21:53:50 GMT Cache-Control: public, max-age=31557600 Expires: Sun, 09 Aug 2015 01:28:02 GMT Last-Modified: Fri, 08 Aug 2014 19:28:05 GMT ETag: "9df744bdf9372cf4cff87bb3e2d68fc8" Accept-Ranges: bytes Server: AmazonS3 Age: 2743 X-Cache: Hit from cloudfront Via: …

15 amazon-web-services  amazon-s3  firefox  amazon-cloudfront  cors 

Azure VMの名前を変更しようとしています。このガイドを使用して、あるサブスクリプションから別のサブスクリプションにVMをコピーしました。 http://blogs.msdn.com/b/microsoft_press/archive/2014/01/29/from-the-mvps-copying-a-virtual-machine-from-one-windows-azure-subscription-to-another- with-powershell.aspx これは正常に機能し、新しいサブスクリプションで新しく作成されたVMに満足しています。ただし、VMは元のシステムの名前を保持しているため、名前を変更したいと思います。 「名前」とは、次のスクリーンショットでAzureポータルに表示されるラベルのことです。 このリストの変更が反映されることを期待して、新しいVMのホスト名を変更しましたが、役に立ちませんでした。DNSおよび他のすべての設定は正しいです。 新しい仮想マシンを作成せずにこれを変更する方法はありますか？おそらく、この名前を変更できるコマンドレットまたはポータルの非表示オプションがありますか？

15 virtual-machines  azure 

ISPが管理するネットワーク機器を持っている顧客がたくさんいます。これは通常、顧客の場所に配置されたISP提供のスイッチまたはルーターの形式です。 MPLSまたは複数の場所に接続できるサイトの場合、特に環境の他のすべての側面が定期的にチェックされるため、この機器を既存の監視インフラストラクチャ（OpenNMS、Observiumなど）に接続すると非常に便利です。 残念ながら、ほとんどのプロバイダーは機器へのアクセスを制限し、構成の変更のためにそれらを通過することを強制します。それは理解できますが、どうすればより正確な情報を取得できますか？基本的に、監視フットプリントに大きなブラックホールがあります。 最近の例は、2つの施設間のMPLSリンクでVoIPトラブル（通話のドロップと品質の問題）が発生しているクライアントです。実装されたQoSのレベルに関する詳細はありません（ルーターの内部が見えないため）。ISPには、帯域幅を4Mbpsから7Mbpsに増やす以外の提案はありませんでした（アップセル -$$$）。彼らは、「あなたはリモートサイトであなたの接続を最大限にしている」と言った。したがって、当然のことながら、クライアントはこれに同意しましたが、エンジニアリングの正当性はありません。 私ができる最善の方法は、両方のサイトでISPのルーターにつながるスイッチポートを監視することであり、帯域幅の飽和の兆候は見られませんでした。遅延の大きなジャンプのみです（スイッチ間で測定）。 プライマリサイト： リモートサイト： だから、これはISPと交渉できるものですか？ プロバイダーに、より詳細な監視データを提供したり、機器のSNMP監視を許可したりしたことがありますか？ 問題がISPにあると疑われる場合、どのような手段がありますか？

15 networking  monitoring  hardware  isp  mpls 

私はいくつか調べましたが、この質問に対する満足のいく答えは見つかりませんでした。 ラックへの給電ごとに独立したUPS（独自の電源分岐回路上）を使用することが必要または推奨されるのはいつですか？詳しく説明する 冗長電源を備えたサーバーを使用する場合、通常、各「1」電源は分岐回路「A」に接続し、各「2」電源は分岐回路「B」から給電されることをお勧めしますが、両方にUPSが必要ですか？ 「A」と「B」のフィード、または1つだけですか？ 背景：内部使用サーバーへのインフラストラクチャアップグレードの計画を担当しました。私たちは製造会社であり、機器やカスタムソフトウェアの多くは、信頼できるオンラインサーバーをオフィスにローカルに配置することに依存しています。現在、2つのサーバールームがあり、それぞれに1つのラックがあり、大きな建物の反対側にあります（火災や事故などに対する冗長性のため）。それらはそれぞれ、回路「A」から給電されるUPSを持ち、複数のPSUを持っている装置には両方がこのUPSに接続されています。そのため、UPSが死ぬとしたら... ploop、サーバーがあります。 私の個人的な理論では、各サーバーのPSU1をUPSに接続し、各サーバーのPSU2を主電源から直接供給されるPDUに接続すると、信頼性とコストのバランスが良くなります。しかし、スーパーバイザーは、各フィードに1つずつ、2つのUPSユニットを実行する必要があると考えています。 この質問が曖昧すぎる場合はお知らせください。修正を試みます。

15 redundancy  electrical-power  ups 

2つの64GB産業用SSDを持つワークステーションシステムがあり、キックスタートでセットアップされた冗長性のために両方のディスクをRAID1構成にする予定です。システムはCentOS 7を実行します。これを調べると、RHELストレージ管理ガイドがSSDのRAID1を推奨していないことがわかりました。 Red Hatは、SSDでのソフトウェアRAIDレベル1、4、5、および6の使用は推奨されないことも警告しています。これらのRAIDレベルの初期化段階で、一部のRAID管理ユーティリティ（mdadmなど）は、ストレージデバイス上のすべてのブロックに書き込み、チェックサムが正しく動作することを確認します。これにより、SSDのパフォーマンスが急速に低下します。 これは私が真剣に懸念すべきものですか？使用できる冗長性の代替手段はありますか？ RHELのドキュメントによると、LVMミラーリングはMDソフトウェアRAIDを活用するようになったため、RAID警告もそれに適用されます。 詳細：SSDはSwissbit X-200シリーズ（SATA）であり、オーバープロビジョニングは40％のようです。 ハードウェアチームによると、ハードウェアRAIDは選択肢になりません。

15 centos  raid  redhat  ssd