サーバー管理者

パスワードで保護されたSSDディスクを持っていますが、パスワードはずっと前に失われました...そこで、「hdparm」コマンドでATAセキュリティを初期化しようとしました。 「hdparm -I」を使用すると、ディスク情報は次のように興味深いものになります。 root@ubuntu:~# hdparm -I /dev/sda /dev/sda: ATA device, with non-removable media Model Number: TX21B10400GE8001 Serial Number: FG002VTA Firmware Revision: PRO6F515 Transport: Serial, ATA8-AST, SATA 1.0a, SATA II Extensions, SATA Rev 2.5, SATA Rev 2.6, SATA Rev 3.0 Standards: ........................... Commands/features: Enabled Supported: * SMART feature set Security Mode …

12 linux  hard-drive  sata  physical-security 

皆さんの多くは、実際にGoogleの証明書の透明性に関するイニシアチブを聞いたことがあると思います。現在、イニシエーブには、何らかのCAによって発行されたすべての証明書の公開ログが含まれています。これはある程度の作業であるため、すべてのCAがまだ設定しているわけではありません。たとえば、StartComは既に、彼らの側から設定するのは難しいと言っていましたが、適切な設定には数か月かかります。それまでの間、すべてのEV証明書はChromeによって「標準の証明書」に「ダウングレード」されます。 ダウングレードを防ぐために必要な記録を提供する方法は3つあると述べられました。 x509v3拡張、CAにのみ明らかに可能 TLS拡張 OCSPステープル 現在、2番目と3番目は発行元CAからの対話を必要としています（いいえ？）。 質問： CAがサポートしていない場合、Apache Webサーバーで証明書の透過性サポートを設定できますか？また、可能な場合はどうすればよいですか？

12 debian  ssl-certificate  apache-2.4  certificate-authority 

はい。定期的なスクラブの後、MDADM RAID5は、mismatch_cnt = 16を報告しています。理解できるように、これは、読み取りエラーを報告したデバイスはないが、データとパリティが一致しないブロックが16個あることを意味します。 質問＃1：これらのブロックのリストを入手できますか？ 質問＃2：基礎となるファイルシステムがEXT4である場合、＃1が可能であると想定して、これらのブロックに関連付けられているファイルを識別する方法はありますか？ ニアラインバックアップがあり、理想的な世界では、ライブアレイをバックアップデータと比較するだけで、静かに破損したファイルを見つけることができます。しかし、現実には、6TBのバックアップデータが非常に高価で時間がかかることを思い出しています。どこを調べて何を回復するかを知っていると、物事が非常に簡単になります。 （「チェック」オプションでのみRAIDスクラブを実行することに注意する必要があります。「修復」オプションでスクラブを実行すると、データまたはパリティのどちらかが間違っていることしかMDADMで認識されないため、非常に危険です。そのため、MDADMが50％の確率で誤った推測を行い、間違ったデータを再構築する可能性があるようです。 提案は大歓迎です！

12 linux  mdadm 

私はVMにリモートでログオンし、4096ビットのPGPキーを生成しようとしていますが、エントロピーがないために永久にハングします。リモートデスクトップで作業しているため、おそらくマウスの動きをエントロピーとして検出しません。 どうすれば生成できますか？ 試しましたcat /dev/urandom > /dev/nullが、それは役に立ちません。

12 linux  pgp  cryptography 

バックグラウンド Windowsフェールオーバークラスターが中断するというインシデントが発生しました。この記事で説明されているように、事後分析により、ノードが「削除」されたことが示されました。 このクラスターをVMware環境に完全に移行したのはごく最近のことであり、上記のイベントが停止の原因であったようです。 これに関するVMware KBの関連記事Small Rx Buffersでは、Rx Ring #1設定と設定の増加について説明していますが、これらを大きくしすぎると、ホストのメモリオーバーヘッドが大幅に増加する可能性があることに注意してください。 Network Interface\Packets Received Discarded〜150台のWindows VM のパフォーマンスカウンターを監査した後、16人のゲストの22個のvNICでパケットが破棄されました。 追加のメモリ使用量でホストに負担をかけることは心配しませんが、これらの設定でメモリがどのように使用され、メモリがどこから来たのかを理解したいと思っています。 ご質問 バッファの数とリングサイズの関係は何ですか？ これらの設定の特定の値に使用されるメモリの量をどのように計算しますか？ これらの設定はゲストOS内のNIC自体にあるため、ドライバー設定であると想定しています。これにより、使用されるRAMがページプールまたは非ページプールであると思われます。 これは正しいです？ もしそうなら、私はそれを心配する必要がありますか？ ここで考慮していない懸念はありますか？ VMwareホストのメモリ使用量以外に、影響を受けるVMでこれらを最大値に設定することに欠点があるかどうかを判断しようとしています。たとえば、ゲストのプールメモリが枯渇するリスクが増加している場合、小規模から始めたいと考えています。 これらの質問の一部（おそらくすべて）は、VMwareまたは仮想化に固有のものではない場合があります。

12 windows  networking  vmware-esxi  failovercluster 

VPCを作成し、その中にRDSインスタンスを作成しました。RDSインスタンスは一般公開されており、その設定は次のとおりです。 RDS設定 RDSインスタンスに接続されたセキュリティグループは、すべてのトラフィックを受け入れます。 私のネットワークACLはすべて、すべてのトラフィックを受け入れます。ただし、VPCの外部のマシンからインスタンスにアクセスすることはできません。次のエラーが表示されます。 root@vps151014:~# mysql -h mysql1.xxxxxxxxxxxx.eu-west-1.rds.amazonaws.com -P 3306 -u skullberry -p Enter password: ERROR 2003 (HY000): Can't connect to MySQL server on 'mysql1.xxxxxxxxxxxx.eu-west-1.rds.amazonaws.com' (110) VPC内のEC2から同じコマンドを実行すると、接続できます。私はいくつかのマシンから接続しようとしましたが、それらはすべてファイアウォールなし（ポート3306が開いている）でした。 私は明らかに何かが欠けていますが、すべてが正しく構成されているようです。何が問題なのでしょうか？

12 mysql  amazon-web-services  amazon-vpc  amazon-rds 

デスクトップショートカットといくつかのコマンドラインパラメーターを使用して起動する必要があるWindowsアプリケーションがあります。 私はこれを何千回も行いましたが、これは少し異なります。-e 12345またはのような通常のコマンドラインパラメータを使用する代わりに-example 12345、これは@12345（@記号で始まる）を使用します。 Windowsのショートカットは、このパラメーターが実行可能ファイル名の直後に来るのを好まず、すべてを削除します。理由はわかりません。 例えば： c:\example\example.exe @12345 -e9876「ターゲット」として、保存するとき、すべてのパラメーターを取り除きc:\example\example.exe、ターゲットのままにします。 しかし、 c:\example\example.exe -e9876 @12345うまく動作します。保存して検証し、すべてが良好です。 ただし@、コマンドの最初のパラメーターにする必要があります。コマンドをバッチファイルにラップしてバッチを呼び出すようなことをすることとは別に@、Windowsショートカットの最初のコマンドラインパラメーターとしてシンボルを使用するにはどうすればよいですか？

12 windows  shortcut 

現在、2つの信頼できないドメイン間でWindowsリモート管理（具体的にはPowershell Remoting）を有効にしようとしており、運がありません。 私のセットアップの簡単な説明： domain1-ワークステーションはこのドメインにあります domain2-接続したいサーバーはこのドメインにあります これらのドメイン間に信頼関係はありません。 ワークステーション（domain1に参加）から次のコマンドを使用して、Powershellリモート接続を作成しようとしています。 param（ [パラメータ（必須= $ True）] $ server ） $ username = "domain \ user" $ password = read-host "$ usernameのパスワードを入力してください" -AsSecureString $ credential = New-Object System.Management.Automation.PSCredential（$ username、$ password） $ session = New-PSSession "$ server" -Authentication CredSSP -Credential $ credential -UseSSL -SessionOption（New-PSSessionOption -SkipCACheck -SkipCNCheck） Enter-PSSession …

12 powershell  remote-access  winrm 

AWS Elastic Beanstalkを使用してデプロイしているサイトでHTTPSを強制する問題があります。 EmberJSを使用したフロントエンドアプリケーションです。私は、httpトラフィックをhttpsにリダイレクトする方法を見つけようとして、何日も円を巡回してきました。EC2マシンでAmazon Linux AMIを使用しています。 HTTPSを強制するのはElastic Beanstalk内ではないという結論に達しました（これが正しいかどうかはまだわかりません）。Elastic Beanstalk Load Balancerを介してHTTPとHTTPSの両方を許可し、サーバーでリダイレクトしようとしています。 ここで問題が発生します。ヘッダーにmod_rewrite基づいた書き換えルールに関する多くの答えを見つけX-Forwarded-Protoていますが、検索検索によると、そのファイルはEC2マシン上に存在しません。 また、.ebextensionsディレクトリ内に構成ファイルを作成しようとしましたが、それも機能しませんでした。 私がやろうとしている主なことは、ユーザーがhttpアドレスにアクセスしようとするとhttpsにリダイレクトされるようにすることです。ポインタや提案は大歓迎です、ありがとう！ 編集：Python 3.4を実行する64ビットDebian jessie v1.4.1を使用しています（事前構成済み-Docker）

12 amazon-web-services  elastic-beanstalk 

私はからの出力を以下しているgit status私はどのように、grep後にすべてのためにUntracked files： [alexus@wcmisdlin02 Test]$ git status # On branch master # # Initial commit # # Changes to be committed: # (use "git rm --cached <file>..." to unstage) # # new file: app/.gitignore # new file: app/app.iml # new file: app/build.gradle # new file: app/proguard-rules.pro # new file: app/src/androidTest/java/org/alexus/test/ApplicationTest.java …

12 command-line-interface  grep 

172.16.11.5および172.16.10.6からsshで接続すると、以下に示すように非対称デュアルブリッジトポロジがありますが、SynProxyが原因で接続できません。 ------- | | ---o--- 172.16.11.5 | | -----o----- 172.16.11.6 | | | | default gw 1.1.1.1 | | 1.1.1.2/30 --o----o--- 2.2.2.2/30 | | | | | | (enp10s0f0) ----o----o----- | | | XXX | | | | br1 br0 | synproxy | | ----o----o----- | | | | | …

12 linux  linux-networking  tcp  tcpdump 

Linodeでサーバーをセットアップし、サーバーの保護ガイドに従っています。 sshキーペア認証を設定することをお勧めします。私はすでにサーバーに自分の公開鍵をアップロードしているとキーペアの認証が正常に動作するようだが、どのように次の行がでコメントアウトされている場合、それは働きますsshd_config： #AuthorizedKeysFile %h/.ssh/authorized_keys

12 linux  ubuntu  ssh  ssh-keys 

1か月以上前から、Hotmail Smartscreenフィルターによって迷惑メールとして体系的にタグ付けされたサーバーの1つからの電子メールを受信して​​います。 成功せずに次のアクション/措置を講じました： 送信者IPに一致する逆DNS。 SPF、DomainKeys、およびDKIMがアクティブ化され、パスされます（check-auth@verifier.port25.comおよびHotmailメールヘッダー自体によって確認されます）。 DNSBLは、mxtoolbox.com、spamhaus、barracudaおよびTrend Microでクリーンアップされました。 毎時および毎日のメール送信制限（1時間あたり90のメール/宛先およびメールボックス）を課しています。 データセンターは、特別なスパムまたはウイルスの送信を検出すると、25の宛先ポートもブロックします。 異なるIPを試し、以前のDNSBLチェックと逆DNSで新しいフェイルオーバーを取得しました。 さまざまなメールアドレスを試し、新しいものやさまざまなドメインを作成しました。 使用したIPはMS JMRPに登録されており、ユーザーFBLからの苦情はほとんどありません（月に1〜2回）。 Hotmail Sender Information Formを介した連絡と、その後のオペレーターとの電子メールのやり取りでは、進歩はありませんでした。彼らは常に、「今日、あなたのIPに問題はない」と答えています。 SMTPサーバー（後置）ログは、Hotmailサーバーによる通常の電子メールの受け入れ（即時250応答）を示します。 私たちは、サーバーとIPアドレスで複数の顧客にウェブとメールサービスを提供する共有ホスティング会社です。クライアントからのスパムおよびウイルス感染があることは事実です（数百の正当な送信者のうち週に最大1人）が、いずれの場合も制限とデータセンターの制限は保持されます。 Gmailにこのような特定のポジティブレポートリンクがあるかどうかを知りたいと思います。これは、メール送信が合法であるということをHotmailに直接通知します。 それ以外の場合、クライアントの宛先に依存して、Hotmailスパムステータスに積極的に反対マークを付けます（彼らが知識があり、そうするように気をつけている場合）。

12 postfix  spam 

私は個人的なVPNを持っており、複数のデバイスを接続して、常に到達可能なネットワーク上で固定IPアドレスを使用できるようにします（インターネットに接続している限り）。私のデバイスは移動可能で、異なる予測不可能なネットワーク（4Gネットワ​​ーク携帯電話、大学のラップトップ、自宅のホームサーバー）で移動でき、それらに接続する必要のあるバックアップサーバーがあります（そして時々 、私もする必要があります）。 また、syncthingのようなものをインストールすることも考えています。これは、より低いレイテンシとより近いノードからも恩恵を受ける可能性があります。 また、私は怠け者であり、スマートフォンからホームサーバーで音楽を再生/一時停止するのが好きです。それは同じネットワーク上にない可能性があります（そうである必要がありますが、常にそうではありません）。 つまり、OpenVPNサーバーが1つあり、openvpnすべてのデバイスでクライアントが実行されています。それらはすべてサーバーに接続し、任意の2つのノードからのトラフィックはサーバーを通過する必要があります。サーバーは比較的遠くにあり、スループットは非常に限られています。これは、待ち時間と遅延を意味します。「一時停止」ボタンを押すと、実際に音楽を一時停止するのに最大10秒かかることがあります。両方のノードが実際に同じLAN上にある場合でも（VPNを介して通信するため）。えー 理想的には、ノード間の最短パスを見つけて直接接続できるVPNを作成する何らかの方法が存在する必要があります。Skypeがスーパーノードで動作する方法のようなものですか？ サーバーはここから遠く離れていますが、ノードの1つはパブリックIPアドレスを持ち、他のノードから到達できます。サーバー自体ではない場合でも、それらからサーバーとして機能する可能性がありますが、一部のノードではより良い選択になります。 クライアントとサーバーの両方を実行し、それらをそのノードでブリッジするような何かをすることができると思いますが、それはエレガントに見えません。それはハックで、PKIを複雑にし、VPNを分割します。好きじゃない。 通信が安全であることを実際に保証しないPPTPのような単純なVPNを使用できますが、ノード間の接続を暗号化するようにBaculaを設定する必要はないことを決定しました。VPNカプセル化が唯一のセキュリティであるため、脆弱ではないはずです。ただし、機密性のない「メッシュ」のようなVPNを解決するものは、すべて良いスタートです-トラフィックがSSL / TLSを通過し始めたことを確認します。 これは、他の誰かが抱えていたかもしれない問題のように見え、今では解決しています。このようなものはありますか？ これを間違った方法で見ている可能性もありますが、これまでのところ、どこにいても、どこにいても、リモートでデバイスに常に接続できるようにするための最良のアプローチのようです。

12 vpn  p2p  openvpn  distributed-computing 

Windows Embedded Standard 7を実行するシンクライアントと、それらを管理するSCCM 2012 R2サーバーが多数あります。シンクライアントは書き込みフィルターを有効にしているため（FBWF）、マシンの変更は永続的ではありません。まれに、それらの何かを更新する必要がありますが、SCCMを介して展開するだけで、変更をコミットするために書き込みフィルターを自動的にオフ/オンにします。 ここでは何べきで起こる： SCCMクライアントは、ユーザーと自分の仕事を保存し、システムをオフに取得するために30分間のカウントダウンに通知します。次に、シンクライアントが再起動し、書き込みフィルターが無効になります。ログオン画面には南京錠が表示され、ユニットがサービス中であることがわかります。また、SCCMが実行している間、通常の（非管理者）ユーザーはログオンできません。SCCMが完了すると、書き込みフィルターが再び有効になり、再起動して、ユーザーが再度ログインできるようになります。 私が抱えている問題は、近接カードリーダーを使用してシステムにログインすることです。従業員はパスワードを入力しません。バッジをタップするだけです。このシステムは優れていますが、それを実行するソフトウェアはWindows Embeddedの書き込みフィルターの自動化を壊します。 ここで何が実際に起こる： SCCMクライアントは、書き込みフィルタをオフにして再起動する前に、通常の15分の通知を行います。再起動すると、通常のログイン画面が表示されます。ユーザーは、SCCMがソフトウェアをインストールしている間にシステムにログインして使用できます。また、ユーザーセッションがアクティブであるため、書き込みフィルターをオンにして再起動する前に、再度30分間の通知が行われます。 このシナリオでは、展開時間に余分な30分を追加するだけでなく、通常のユーザーは、シンクライアント上で30-60分の無保護時間を確保できます。書き込みフィルターが再びオンになります。 この問題は、Windows Embedded 7が通常のWindows 7とは異なる資格情報プロバイダー（別名GINA）を使用しているが、SSO製品が機能するためにWindows資格情報プロバイダーを置き換える必要があるという事実に起因します。私はそれについてベンダーに連絡しましたが、彼らはそれが既知の問題であり、それに対する修正または回避策がないと言うだけです。 だからここに私の質問があります： どうすれば目的の動作を別の方法でシミュレートできますか？特定のユーザーグループへのローカルログオンを拒否できるグループポリシー設定があることを知っています。私は、インストールの前後に対応するレジストリ設定を反転できると考えていましたが、他のアイデアを受け入れています。 必要に応じて、インストールのスクリプトを記述していません。スクリプティング、PowerShell、VBScriptなどに堪能です。これを解決するための素晴らしいアイデアを誰かが持っているのでしょうか。 更新： これらのデバイスは、スタッフが患者のカルテを作成するために病院環境で使用されていることに言及していませんでした。これらは24時間利用可能でなければならないため、ログオン時間を制限したり、メンテナンスウィンドウを構成したりすることはできません。私たちはシフトの監督者に事前に通知することでダウンタイムを管理しますが、1時間以上かかるものは法的なコンプライアンスの問題になり、公式のダウンタイム手順を有効にする必要があります。

12 windows  scripting  login  sccm  embedded