サーバー管理者

システムおよびネットワーク管理者向けのQ&A

4
毎日logrotateとサイズ?
logrotate configが「size」および「daily」パラメーターで指定されている場合、どちらが優先されますか?これはどこに文書化されていますか?これらのローテーションはブールOR演算として発生するようにしたいと思います。つまり、ログが1日経過している場合はローテーションされ、特定のサイズよりも大きい場合はローテーションも行われます。ただし、logrotateは現在「size」ディレクティブのみを使用しており、「daily」ディレクティブを無視しているようです。Logrotateは、1時間ごとに実行されるように設定されています。OSはlinux、Red Hat、Debianの派生物です。 また、最初に「毎日」、次にファイルの先頭から「サイズ」を指定しています。順序が重要かどうかはわかりませんが、いずれにしても、構成ファイルの最初に来る必要があります... ありがとう!
40 logrotate 
4
DNSが機能するのはなぜですか?
これは、DNS(ドメインネームサービス)に関する正規の質問です。 DNSシステムの理解が正しい場合、.comレジストリには、ドメイン(www.example.com)をDNSサーバーにマップするテーブルが保持されます。 利点は何ですか?なぜIPアドレスに直接マッピングしないのですか? 別のIPアドレスを指すようにDNSサーバーを構成しているときに変更する必要がある唯一のレコードがDNSサーバーにある場合、プロセスがすぐに実行されないのはなぜですか? 遅延の唯一の理由がDNSキャッシュである場合、それらをバイパスすることは可能ですか?そのため、リアルタイムで何が起こっているのかを確認できますか?
9
ルートとして機能する複数のLinuxシステム管理者
私たちのチームでは、数十人のDebianサーバーを管理しなければならない3人の経験豊富なLinuxシステム管理者がいます。以前は、SSH公開キー認証を使用して、すべてrootとして作業していました。しかし、私たちはそのシナリオのベストプラクティスについて議論しましたが、何にも同意できませんでした。 全員のSSH公開キーは〜root / .ssh / authorized_keys2に配置されます 利点:使いやすく、SSHエージェント転送が簡単に機能し、オーバーヘッドが少ない 短所:監査が欠落している(どの「ルート」が変更を行ったかがわからない) パーソナライズされたアカウントとsudoを使用する この方法では、SSH公開キーを使用してパーソナライズされたアカウントでログインし、sudoを使用してルート権限で単一のタスクを実行します。さらに、ログファイルを表示できる "adm"グループを提供することもできます。 利点:優れた監査、sudoにより、ばかげたことを簡単に行えない 欠点:SSHエージェントの転送が中断します。ルート以外でほとんど何もできないため、面倒です。 複数のUID 0ユーザーを使用する これは、システム管理者の一人からの非常にユニークな提案です。彼は/ etc / passwdに3人のユーザーを作成し、それらはすべてUID 0であるがログイン名が異なることを提案しています。彼は、これは実際には禁止されておらず、すべてのユーザーがUID 0であっても監査できることを許可していると主張しています。 利点:SSHエージェント転送の作品、監査かもしれない作業(未テスト)、なしのsudo面倒 欠点:かなり汚い-許可された方法としてどこにも文書化されていない 何を提案しますか?
40 linux  root 
1
FreeBSDの自動マウンターを小さな断片に切り刻み、油で煮ます
ホームディレクトリの階層をいくつかのFreeBSD刑務所にさらそうとしています。ホームディレクトリは、それぞれが一意のZFSデータセットになるように構成されます。刑務所は開発作業に使用されるため、定期的に作成および破棄されます。 私の最初の考えは、単純にnullfsを使用し/homeてjail内にマウントすることでしたが、nullfsは下位のファイルシステムにアクセスする方法を提供しません。 2番目の考えは、NFSを介してディレクトリをエクスポートしてから、各jail内でautomounterデーモン(amd)を実行することでした。刑務所内でNFSマウントを実行できる場合は、これでうまくいきます。しかし、そうではありません。 私の3番目の考えは、ホストでamdを実行し、jailにnullfsマウントをプロビジョニングすることでした...しかしnullfsの amdサポートは存在しません。 私の4番目の考えは、NFSを使用したディレクトリのエクスポートに戻ることでした。もちろん、amdはNFSで動作します。残念ながら、ターゲットのマウントポイントにディレクトリをマウントするのではなく、amdは一時的な場所(/.amd_mnt/...)にマウントしてから、もちろん、jail環境内では役に立たないシンボリックリンクを作成します。 だから、nullfsを使用してサブディレクトリを/.amd_mntjail に公開できますか?いや!これにより、nullfsを使用して下位ファイルシステムにアクセスする方法がないことがわかった最初の試みに戻ります。 そして、私の頭が爆発した。 私がやろうとしていることに対して良い解決策はありますか?悪いソリューションは複数作成することになり、刑務所起動後にスクリプトを実行することですNULLFSの各ホームディレクトリのマウントポイントを、これはかなり不格好である-それは、アカウントに新しいディレクトリまたは削除されたディレクトリを取るために定期的に実行する必要があります。したがって、基本的には、悪いオートマウンターを作成する必要があります。 より良い方法がなければなりません。Serverfault、私を助けてください、あなたは私の唯一の希望です! 更新1:で問題の一部を解決できるかもしれないと思いましたがpam_mount、これはせいぜい不完全です。また、ドキュメントからpam_mount、ターゲットマウントポイントを自動的に作成できるかどうかも明確ではありません。マウントポイントが先験的に存在する必要がある場合、この解決策は、私がすでに提案した悪い自動マウンターよりも優れていません。 更新2:以下の回答で説明したようVFCF_JAILに、NFSファイルシステムの設定により、刑務所はNFSマウントを実行できます。残念ながら、オートマウンタは役に立たない振る舞いを続けており、刑務所で実行すると、プロセスエントリを削除するためにシステムの再起動が必要になるような方法でくさびでくぐることに非常に優れているようです。
4
ユーザーがイントラネットWebアプリに透過的にログインすることにより、Active DirectoryでのSSOはどのように機能しますか?
ログインを必要としないWebアプリケーションを作成できると言われています。ユーザーはWindowsにログインし、WindowsはActive Directory(LDAP)ルックアップを介して認証します。そうすれば、彼らは私のwebappにアクセスでき、ログインプロンプトが表示されないはずです。これらの顧客は、これをシングルサインオンと呼んでいます(おそらく間違っており、私の混乱の一部です)。 しかし、Tomcat DocsからSingle Sign Onを読んだのは次のとおりです。 シングルサインオンバルブは、仮想ホストに関連付けられたWebアプリケーションのいずれかにユーザーがサインオンし、同じ仮想ホスト上の他のすべてのWebアプリケーションでそのIDを認識できるようにする場合に使用します。 これは私には完全に明らかです。ユーザーは1回ログインする必要があり、tomcatのインスタンス上のすべてのwebappにアクセスできます。しかし、私がやらなければならないことは、なんらかの形でTomcatサーバーに資格情報を提供せずにログインさせることです。 だから、これが機能するために私は想像する: ユーザーがページをリクエストします サーバーはセッショントークンを認識せず、クライアントに資格情報を要求します。 ユーザーの介入なしのクライアントブラウザは、サーバーに資格情報を提供します。 次に、クライアントブラウザによって提供されたこれらの資格情報を使用して、LDAPでルックアップを実行します。 私は、クライアント側の証明書...このような場合にあなたがいるので、私にいくつかの理にかなって、特に国防総省PKIシステムを使用いくつかの例を見てきた要求クライアント側の本命にTomcatを設定し、私はどのようにこれを見ていない窓に、ちょうどログインを動作し、ブラウザがサーバーに渡す情報など。これはNTLMの使用目的ですか?
5
WebSocketをプロキシするようにApache2を構成しますか?
WebSocketプロトコルは、HTTPプロトコルの拡張です。ただし、Apache2のプロキシモジュールはそれを認識していないようで、重要なヘッダーを破棄して、呼び出しを標準のHTTP呼び出しに変換します。 Apache2に(1)WebSocketを理解させる方法、または(2)取得したものを盲目的に単純に渡す方法はありますか?
6
アップストリームの読み取り中に許可が拒否されました
Railsアプリケーションをnginxとパッセンジャーにデプロイしました。アプリケーションのページが部分的にロードされることがあります。アプリケーションログにエラーはありませんが、nginxエラーログには次のように表示されます。 2011/02/14 05:49:34 [crit] 25389#0: *645 open() "/opt/nginx/proxy_temp/2/02/0000000022" failed (13: Permission denied) while reading upstream, client: x.x.x.x, server: y.y.y.y, request: "GET /signup/procedures?count=0 HTTP/1.1", upstream: "passenger:unix:/passenger_helper_server:", host: "y.y.y.y", referrer: "http://y.y.y.y/signup/procedures"
40 nginx 
4
RabbitMQにローカルホストのみをリッスンさせるにはどうすればよいですか?
RabbitMQをDebian Linux Squeezeマシンにインストールしましたが、localhostインターフェイスのみをリッスンしたいです。私が追加しました RABBITMQ_NODE_IP_ADDRESS=127.0.0.1 私の/etc/rabbitmq/rabbitmq.confファイルにamqp追加すると、ポート(5672)でリッスンするときにローカルホストインターフェイスのみにバインドされます。ただし、ポートepmd(4369)および43380でリッスンする場合は、引き続きすべてのインターフェイスにバインドされます。 # lsof -n -a -i -urabbitmq COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME epmd 7353 rabbitmq 3u IPv4 1177662 0t0 TCP *:epmd (LISTEN) epmd 7353 rabbitmq 5u IPv4 1177714 0t0 TCP 127.0.0.1:epmd->127.0.0.1:50877 (ESTABLISHED) beam.smp 7365 rabbitmq 10u IPv4 1177711 0t0 TCP *:43380 (LISTEN) …
40 rabbitmq 
4
SQL Server 2008のセットアップブートストラップフォルダーを削除して空き容量を確保する
C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\ドライブからサブフォルダーを削除してスペースを解放しても「安全」ですか? または、アップグレード/アンインストールおよびその他のパッチに必要ですか?現在、Update CacheフォルダーにはKB968369(sp1)が含まれていますが、これは416MBを占有し、スペースを解放する候補のようです。
11
ハッキングされました。方法を理解したい
誰かが、私が実行するのに役立つサイトにjavascriptのチャンクを2回目に追加しました。このjavascriptはGoogle adsenseをハイジャックし、独自のアカウント番号を挿入し、広告を全面的に貼り付けます。 コードは常に1つの特定のディレクトリ(サードパーティの広告プログラムで使用されるディレクトリ)に常に追加され、この1つの広告ディレクトリ(20程度)内の多数のディレクトリ内の多数のファイルに影響し、ほぼ同じ夜間に挿入されます時間。AdSenseアカウントは中国のウェブサイトに属します(来月、中国に来る1時間前の町にあります。たぶん頭を悩ませる必要があります...冗談です)。サイト:http : //serversiders.com/fhr.com.cn では、これらのファイルにテキストをどのように追加できますか?ファイルに設定されている権限(755から644まで)に関連していますか?Webサーバーユーザー(MediaTemple上にあるため、安全である必要がありますか?)つまり、アクセス許可が777に設定されているファイルがある場合、コードを自由に追加することはできません。 ここに、あなたの閲覧の喜びのための実際のコードのサンプルがあります(そして、あなたが見ることができるように...それにたいしたことはありません。本当のトリックは、彼らがそこにそれを入れた方法です): <script type="text/javascript"><!-- google_ad_client = "pub-5465156513898836"; /* 728x90_as */ google_ad_slot = "4840387765"; google_ad_width = 728; google_ad_height = 90; //--> </script> <script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script> 多くの人がそれを言及しているので、ここに私がチェックしたものがあります(チェックされたということは、ファイルが何らかの奇妙さのために変更された時間を見回したことを意味し、POSTステートメントとディレクトリトラバーサルのためにファイルをグレップしました: access_log(通常の(つまり、過剰な)msnボットトラフィック以外は何もありません) error_log(無害なファイルの場合、通常のファイルは存在しませんが、エラーはありません) ssl_log(通常のもののみ) messages_log(私以外のFTPアクセスはありません) *更新:** OK、解決しました。中国のハッカーは、サイトに物理的にファイルを配置して、あらゆる種類の管理(データベースへのアクセス、ファイルとディレクトリの削除と作成、名前を付けて、アクセスできる)を行えるようにしました。彼らはもっと破壊的なことをしなかったのは幸運でした。通常のApacheのログファイルには何もありませんでしたが、Webサーバーのログアナライザーで別のログファイルのセットを見つけ、証拠がそこにありました。彼らは自分の管理者ユーザー名とパスワードでこのファイルにアクセスし、サーバー上で必要なものを編集していました。これらのファイルにはユーザーとして「apache」が設定されていますが、サイト上の他のすべてのファイルには異なるユーザー名が付けられています。次に、このファイルをシステムに物理的にどのように取得したかを把握する必要があります。これに対する責任は最終的にはウェブホスト(Media Temple)にあると思われますが、
40 security  php  hacking 
15
元雇用者のデータを保持する必要がありますか?[閉まっている]
System Monkeyとしての短い統治の後、私は今、ジレンマに直面しています。 職場のコンピューターに十分な空きディスク領域がないため、ラップトップでバックアップとテストVMの両方を正常に作成しました。私はまだバックアップを削除しませんでした。会社の歴史上、このバックアップはまだ唯一のものだからです。オリジナルは2006年から継続的に使用されているハードドライブで実行されています。現在、会社に残っているのは1人だけで、バックアップとは何かを知っています。 。 前回、バックアップの重要性について彼らに話をしようとしたとき、彼らは私が彼らを脅していると思った。 保管すべきですか? 長所: 私は人々を自分の愚かさから救うことができます(私が知る限り、非公式のシステム管理者のモットー) 彼らが助けを懇願するとき、私は「そう言った」と言うようになり、それについて気分が良い すてきな良心 適切な神とのボーナス担当者 短所: 法的問題:私がそれを手伝っても、彼らはそれを維持するために私を訴えるかもしれませんが、私は良いケースを持っていると思いますが 法的問題:仕事の性質とそのセキュリティを考えると、何かが漏れた場合、私は報復の標的になる可能性が高い 法的問題:他に考えなかったことは何でも ポルノのためにもっとスペースが必要です。 法的問題。 あなたならどうしますか? 更新: すべての返信をありがとう、あなたはすべて本当に役に立ちました。結局、彼らはバックアップを望まないこと、私にそれを保持させたくないこと、彼らが私にそれを持っていることを知っていること、そして今後バックアップを持たない責任を負うことを確認する録音された会話で終わった。コピーを細断しました。
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.