タグ付けされた質問 「best-practices」

HTTP（S）とSSH（ポート80、443、22）を使用して基本的なWebサーバーを実行しているほとんどのサイトで機能する基本的なサーバーiptablesスクリプトを作成しようとしています。結局のところ、ほとんどのVPSはこれらの開始ポートルールのみを必要とし、後で必要に応じてメールポートまたはゲームポートを追加できます。 これまでのところ、次のルールセットがあり、より良いスクリプトや追加可能な改善点を誰かが知っているのかどうか疑問に思っていました。 *filter # Allows all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT # Accepts all established inbound connections -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Allows …

15 linux  security  firewall  iptables  best-practices 

閉じた。この質問は意見に基づいています。現在、回答を受け付けていません。 4年前に閉鎖されました。 ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答やインタラクションを受け付けていません。 これは、IT管理者に対する一般的な管理上の質問です。 私たちは、コロキャビン内に約4台のサーバーを持つ小さな会社です。フルタイムのITマネージャーはいません。しかし、私たちは毎月契約を結んでおり、私は彼にこれらの計画が実際に何であるかを分かち合うためにひどい時間を過ごしています。私は彼が計画を持っていると確信しています（そしておそらく彼の頭の中に..） どうやってこれを処理しますか？彼は長年の友人ですが、これは私たちにとって長期的には危険です。私はこれについて何度か彼に立ち向かいました。 ありがとう。

14 disaster-recovery  best-practices 

私はPuppetを使用して、パラメーター化されたクラスでMySQLをプロビジョニングしています。 class mysql::server( $password ) { package { 'mysql-server': ensure => installed } package { 'mysql': ensure => installed } service { 'mysqld': enable => true, ensure => running, require => Package['mysql-server'], } exec { 'set-mysql-password': unless => "mysqladmin -uroot -p$password status", path => ['/bin', '/usr/bin'], command => "mysqladmin -uroot …

13 linux  mysql  puppet  best-practices 

メンテナンスページが存在するときにサーバーを表示するように構成したい。私はこのコードを試してみました： location / { try_files /maintenance.html $uri $uri/ @codeigniter; } しかし、ステータスコード200で配信されることに気付き、検索エンジンに混乱を引き起こす可能性があります。ベストプラクティスは503ステータスコードを返すことだと思います。グーグルでは、このようないくつかの関連ページを見つけます。ただし、リダイレクトを行うにはifを使用し、nginxのドキュメントによると、ifsを使用するのは安全ではありません。 ifを使用せずにそれを行う方法はありますか？この場合、使用しても安全ですか？ ありがとう。

13 nginx  best-practices  maintenance 

過去には、単一の共有に部門フォルダ（Sales、Marketingなど）を配置し、必要に応じてこれらのアドホックの下にフォルダを追加する傾向がありました。 少し面倒になった-「フォルダ階層」の作成を任されました。 フォルダー構造を整理するためのベストプラクティスはありますか？ 現在のファイルサーバーでSBS2011を実行しています。

12 windows  best-practices  directory 

Hyper-Vサーバーをセットアップしましたが、ファイルのレイアウトは、複数のユーザーによってセットアップされたため、一貫性がありません。使用された2つの異なる「テンプレート」は次のとおりです。 テンプレート1 D:\Hyper-V\Virtual Machines\MACHINE_NAME_1\Virtual Hard Disks\MACHINE_NAME_1.vhdx D:\Hyper-V\Virtual Machines\MACHINE_NAME_1\Virtual Machines\GUID_1 D:\Hyper-V\Virtual Machines\MACHINE_NAME_1\Virtual Machines\GUID_1.xml D:\Hyper-V\Virtual Machines\MACHINE_NAME_2\Virtual Hard Disks\MACHINE_NAME_2.vhdx D:\Hyper-V\Virtual Machines\MACHINE_NAME_2\Virtual Machines\GUID_2 D:\Hyper-V\Virtual Machines\MACHINE_NAME_2\Virtual Machines\GUID_2.xml .... そして テンプレート2 D:\Hyper-V\Virtual Hard Disks\MACHINE_NAME_1.vhdx D:\Hyper-V\Virtual Hard Disks\MACHINE_NAME_2.vhdx D:\Hyper-V\Virtual Machines\GUID_1 D:\Hyper-V\Virtual Machines\GUID_1.xml D:\Hyper-V\Virtual Machines\GUID_2 D:\Hyper-V\Virtual Machines\GUID_2.xml テンプレート1 テンプレート1に対して行われた議論は、VMのエクスポートを行うと、エクスポートによってマシン名のフォルダーが作成され、ディスクとvmに別々のフォルダーが配置されるというものでした。インポートを実行するときに、マシンのディレクトリを簡単に指すことができます。 このテンプレートスタイルに対する引数は、ファイルが1つしかない場合、Virtual Machinesというディレクトリが存在しても意味がないということです。もう1つの議論は、Hyper-Vサーバー自体がすべてのハードディスクが1つのフォルダーにあり、すべての仮想マシンが別のフォルダーにあることを期待しているように見えることです。つまり、VMごとに個別のフォルダーを作成しません（Virtual MachinesディレクトリーのGUIDによって名前が付けられたものを除く） テンプレート2 テンプレート2の引数は、Hyper-Vがレイアウトに期待していることのように思われるということです。 引数AGAINSTテンプレート2は、xmlファイル内を確認しない限り、どの仮想マシンファイルが特定のマシンに関連付けられているかを特定できないということです。 どちらのレイアウトにも落とし穴があると聞きたいです。

11 hyper-v  best-practices  hyper-v-server-2012 

わかりやすく整理された、トラブルシューティングが容易になるようにサーバールームを再配線することを検討しています。 現在、現在4つのHPラックがあります（現時点ではモデルがわかりません）。UPSを構築していないため、UPSを各ラック（10K、5K）に配置しています。これは多くの混乱を引き起こしているが、残念ながらそれを行う別の方法はない。また、上げ床もありません。 私のラックの1つには、ファイアウォール、ネットワークスイッチ、およびファイバースイッチが含まれています。現在、メインスイッチから他のラックのすべてのサーバー/ SANに（直接）ケーブルを配線しています。他のラックには、ほとんどのサーバーが含まれており、その中にSANも含まれています。 私の質問は次のとおりです。 各ラックにパッチパネルを配置し、メインスイッチからパッチパネルまでケーブルを配線する必要がありますか？次に、各サーバーを独自のラックにあるパッチパネルに接続しますか？ 右には、ラックの前面の通路にエアコンが向けられています（拡張時のホットアイル/コールドアイルのセットアップの準備）。これを取り上げる理由は、スイッチが背面ではなくラックの前面にあるためです。スイッチとパッチパネルを背面または前面に配置する必要がありますか？ パッチパネルをラックの前面に配置する場合、サーバーの背面からパッチパネルまでケーブルを配線する最良の方法は何ですか？他のラックが接触しているため、実際にはラックの側面にアクセスできません（パネルを開きます）。 電力の状況については、現在、各ラックのHP拡張バーに接続する2つのHP PDUがあります。これらは左側にあり、LANケーブルは右側にあります。左側に電源があり、いくつかが右側にあるサーバーが混在しています。したがって、左右にエクステンションバーとPDUを配置することは素晴らしいことですが、CATケーブルと電源を分離したままにしておくべきだと読みました。これを続けるべきですか？ 私が質問を逃したと思うなら、私に知らせてください！前もって感謝します！

11 best-practices  cable  cable-management  wiring  networking 

ITにほとんど注力していないか、一般的な問題を処理するフルタイムのスタッフがいない企業のために、メールの移行に多くの時間を費やしました。その結果、電子メールの使用と最高のプロセスを管理するポリシーは制定されませんでした。これらの環境のエンドユーザーは技術的ではなく、変化に抵抗する傾向があります。 メールプラットフォームの変更/移動/アップグレードの仕組みを理解しています。ほとんどの場合、LinuxベースのPOP3またはIMAPからMicrosoft Exchangeへの移行を支援します。このタイプの動きは、多くのユーザーの悪い習慣を明らかにします。 私の懸念は、私が過去に遭遇した電子メールの蓄積問題に関係するディスク容量だけではありません。すべての会社に常に1つあります。特定の会社と仕事をしているときによく見られる問題や悪用についてです。 最後の移行中に、私は見た： CC:すべてのメールで自分自身を使用しているユーザー（おそらく、メッセージスレッドを追跡する方法として？） 300メガバイトのメッセージで送信されたアイテムフォルダ？！？ Outlookを送信するユーザーは、すべての送信メッセージの領収書を読みます。 対応するすべての連絡先のサブフォルダーを保持するユーザー。時々手動で。時には非常に壊れたクライアント側のルールがあります。 サブフォルダーの過剰編成。（メッセージが1つしかないフォルダもあります）。 受信トレイの下のサブフォルダー（これが悪い習慣かどうかはわかりませんが、間違っているように感じます）。 優先フラグの無償使用。すべてが 重要です!! [ 送信済みアイテム ]フォルダーにある4年以上の電子メール。 受信ボックス内の25,000以上のアイテム（それらの大部分は未読）。 15,000以上のメッセージで削除済みアイテムフォルダ。 下書きフォルダに24,000個のアイテムがあるユーザー！（クライアント側のルールを誤って適用した結果）。 自動アーカイブは制御不能になります。 これはどのように起こりますか？ メールは比較的新しく、ユーザーはそれをうまく利用する方法について教育されていないのでしょうか？ 削除済みアイテムフォルダーが単なるワンキーファイリングシステムであるUIの問題ですか？ 管理者は、正しい行動をやさしく助けるために自分の役割を果たしていませんか？ ユーザーが基本的な電子メールに問題がある場合、不在時の返信やグループカレンダー（gulp）の操作方法を教えるという課題に取り組むにはどうすればよいですか？ 私の質問は、電子メールを管理する方法に関するガイドラインの標準セットがあるかどうかです。（パンフレットでも？） ユーザー教育の問題は、さまざまな方法で人々が到達したワークフローを変更しているため、これらの展開が遅くなる傾向があります。そして、これが組織のすべてのレベル/役割の人々に影響を与える場合、標準が整っていないようです。

11 email  exchange-2010  users  best-practices 

RHEL / RHELベースのサーバーの自動更新を実行する方法に取り組んでいます。 最初のアイデア： Puppetを使用して、デフォルトのリポジトリを無効にし、独自のリポジトリを指定します。次に、ensure => latest自動的に更新するパッケージに使用します。 問題：更新後に一部のサービスが再起動することがわかりました（当たり前）。 質問： Linuxの更新を自動化する方法や、サービスの自動再起動を緩和するための戦略に関するアドバイスはありますか？Puppetを含むソリューションをお勧めしますが、別のサービスを使用する必要がある場合、それは契約違反ではありません。 編集 考えられる解決策： @ voretaq7と@ewwhiteが提案したものの多くを実装する解決策を提出しました。これが私が当分の間行っているルートであるようです。他に提案がある場合は、コメントするか回答を送信してください。

11 linux  yum  puppet  best-practices 

単一サーバーの単一データベースWebアプリケーションを、2つの物理的な場所にサーバーがある物理的に分散された高可用性構成に変換しようとしています（現時点では）。今、明らかに、私はのためにどのしまうルート要求、（よりこの場合は、リバースプロキシのように、私は簡単にするために、「ロードバランサ」と呼んでます）ロードバランサを必要とmywebsiteするいずれかnode1.mywebsiteまたはnode2.mywebsite。ただし、ロードバランサーがダウンした場合、高可用性サーバーは役に立ちません。そのため、私の考えでは、各場所に1つずつ、2つのロードバランサーが実際に必要になります。ただし、単一の外部アクセスポイントが必要なため、ロードバランサー用のロードバランサーが必要になります。ロードバランサーは、場所ごとにバランスを取る必要があります。 それで私の推論の何が問題になっていますか？物理的な場所のそれぞれが長時間電源から切断される可能性があると仮定して、実際にロードバランサーの高可用性を確保するにはどうすればよいですか？ PS：HAと負荷分散の違いについての私の理解はせいぜい平凡であるという事実を知っています。私が欲しいのは、ある場所の電源が落ちた場合でも利用可能なサーバーです。ご理解いただきありがとうございます。

11 load-balancing  high-availability  best-practices 

Oracle Databaseをインストールするとき、通常はどのデフォルト以外の設定を適用しますか（または適用を検討しますか）？ ハードウェアに依存する設定（メモリ割り当てなど）やファイルの場所ではなく、より一般的な項目です。同様に、一般的に適用可能なものではなく、特定のアプリケーションの特定の要件であるものは、実際には役に立ちません。 コード/ APIスキーマ（PL / SQL所有者）をデータスキーム（テーブル所有者）から分離していますか？デフォルトまたはデフォルト以外のロールを使用しますか。後者の場合、ロールをパスワードで保護しますか？ また、デフォルトでインストールされるGRANTの取り消しを行う場所があるかどうかにも興味があります。11gはデフォルトのインストールではロックダウンされているように見えるため、バージョンに依存する可能性があります。 これらは最近のセットアップで使用したものです。私は何かを見逃したかどうか、またはあなたが同意しない場所（および理由）を知りたいです。 データベースパラメータ 監査（AUDIT_TRAILからDB、AUDIT_SYS_OPERATIONSからYES） DB_BLOCK_CHECKSUMおよびDB_BLOCK_CHECKING（両方ともFULL） GLOBAL_NAMESをtrueに OPEN_LINKSを0に設定（この環境で使用されることを期待していませんでした） 文字セット -AL32UTF8 プロファイル 単純なパスワードを防ぐための追加チェックとして、apex辞書テーブル（FLOWS_030000.wwv_flow_dictionary $）を使用する修正されたパスワード検証機能を作成しました。 開発者ログイン CREATE PROFILE profile_dev LIMIT FAILED_LOGIN_ATTEMPTS 8 PASSWORD_LIFE_TIME 32 PASSWORD_REUSE_TIME 366 PASSWORD_REUSE_MAX 12 PASSWORD_LOCK_TIME 6 PASSWORD_GRACE_TIME 8 PASSWORD_VERIFY_FUNCTION verify_function_11g SESSIONS_PER_USER unlimited CPU_PER_SESSION unlimited CPU_PER_CALL unlimited PRIVATE_SGA unlimited CONNECT_TIME 1080 IDLE_TIME 180 …

11 oracle  best-practices 

中規模のNagiosサーバーを実行しています。現在、約40のサーバーと180のサービスを監視しており、日々成長しているだけです。 非常に難解な方法で構成された古いNagiosセットアップから移行したため、すべてを最初から再構成する必要がありました。 サーバーが実行され、必要なほとんどの機能が動作するようになったので、サーバーをもう少しスケーラブルにすることを検討しています。現在、各ホストは内の独自のファイルで/etc/nagios/hosts/あり、各ホストは同じファイル内にすべてのサービスを持っています。これは明らかに最適ではありませんが、私の構成すべてを数百の異なるファイルに難読化することもありません。 だから私の質問はこれです：経験豊富なNagios管理者にとって、設定を過度に複雑にすることなくホストグループ/サービスグル​​ープを利用する最良の方法は何ですか？

10 linux  nagios  network-monitoring  best-practices 

シェフのクックブックのバージョン管理に関するアイデアを探しています。環境内の特定のバージョンを固定していることは承知していますが、どうすればよいかわかりません。 サードパーティのコミュニティブックをクックブックフォルダーにインストールするlibrarian-chefを使用します。私たちはそれらの本には触れず、時々より新しいバージョンに更新するだけです。 また、コミュニティー用のクックブック（include_recipe）も用意しています。 理論的には、カスタムブックが依存するコミュニティブックの特定のバージョンを指定して、環境設定でクックブックのバージョンを設定できますが、問題は、これらのコミュニティブックがバージョンを指定しない他のブックに依存する可能性があることです。そして、その深くネストされた依存関係は続くかもしれません。 したがって、依存するクックブックも変更される可能性があるため、クックブックをchefサーバーにアップロードしても、製品が壊れないという保証はありません。 現時点で確認できる唯一の解決策は、コミュニティやカスタムなど、環境設定で使用するすべてのクックブックバージョンを指定することです。しかし、それから私は各クックブックを調べて、それらのバージョンを理解する必要があります。 また、librarian-chefの更新を随時行っています。変更されたバージョンを追跡するのが難しくなり、環境のバージョンを更新するのを忘れないようにすることが必要になると思います。 あなたの経験とベストプラクティスを共有してください。きっと他の人にも重宝すると思います。

10 chef  best-practices  dependencies  versioning 

何ヶ月も放置された後、電子メールの炎と管理の戦いが発生し、現在のシステム管理者が解雇され、「サーバー資格情報」を私に手渡されました。このような資格情報は、ルートパスワードのみで構成されています。手順、ドキュメント、ヒント、何もありません。 私の質問は次のとおりです。彼がブービートラップを残したと仮定して、ダウンタイムを最小限に抑えてサーバーを適切に引き継ぐにはどうすればよいですか。 詳細は次のとおりです。 地下のサーバーファームにある1つの運用サーバー。ubuntuサーバー9.x、おそらくgrsecパッチ（前回管理者に聞いたときの噂） すべての内部ドキュメント、ファイルリポジトリ、wikiなどを含む1つの内部サーバー。繰り返しますが、ubuntuサーバー、数年前のものです。 両方のサーバーにパッチが適用され、最新の状態になっていると仮定します。そのため、正当な理由がない限り（つまり、上層部に説明できる場合を除き）、ハッキングを試みたくないと思います。 本番サーバーには、ホストされているいくつかのWebサイト（標準のapache-php-mysql）、LDAPサーバー、ZIMBRA電子メールスイート/サーバーがあり、稼働しているいくつかのvmwareワークステーションを知ることができます。何が起こっているのかわかりません。おそらく1つはLDAPマスターですが、それは大まかな推測です。 内部サーバーには、内部wiki / cms、本番サーバーから認証情報を複製するLDAPスレーブ、さらにいくつかのVMwareワークステーション、および実行中のバックアップがあります。 私はサーバーファームの管理者に移動し、サーバーをポイントして、「sudoそのサーバーをシャットダウンしてください」と伝え、シングルユーザーモードでログインして、自分のやり方で進むことができます。内部サーバーについても同様です。それでも、それはダウンタイム、上層部の混乱、古いシステム管理者が私を攻撃して「参照してください？あなたは私の仕事をすることはできません」と他の迷惑です、そして最も重要なこととして私は潜在的に数週間の無給の時間を失う必要があります。 スペクトルの反対側では、何が起こっているのかを理解するために、サーバーにrootとしてログインしてサーバーを介してログインできます。サプライズを引き起こすリスクはすべて残されています。 私は真ん中の解決策を探しています：何が起こっているのか、そしてどのようにしているかを理解しながら、すべてをそのままの状態で実行し続けることを試み、最も重要なのは、残されたブービートラップのトリガーを回避することです。 あなたの提案は何ですか？ これまでのところ、内部サーバーで「練習」し、ネットワークを切断し、ライブCDで再起動し、ルートファイルシステムをUSBドライブにダンプし、切断された分離された仮想マシンにロードして、以前のsysadminの方法を理解することを考えました考えている（a-la「あなたの敵を知る」）。本番サーバーで同じ偉業を引き出すことはできますが、完全なダンプは誰かに気付かれます。おそらく、rootとしてログインし、crontabを確認し、.profileで起動されたコマンドを確認し、最後のログをダンプするなど、思いついたすべてのことを実行できます。 そして、それが私がここにいる理由です。どんなに小さなヒントでも、どんなものでも大歓迎です。 時間も問題です。数時間または数週間でトリガーが発生する可能性があります。悪いハリウッド映画の1つに感じますね。

10 ubuntu  security  best-practices 

運用gracefulサーバーでApacheの再起動を実行しても安全ですか？グレースフルリスタートはどのような影響を及ぼし、どのような影響がありますか（ある場合）？有害な影響はありますか（例：短時間であっても、ダウンタイム）？ 私は以下のリソースを検討しましたが、ユーザーへの影響がどのようになるかはまだ不明です。 「apache2」の稼働時間を見つける http://httpd.apache.org/docs/2.2/stopping.html#graceful http://www.cyberciti.biz/faq/apache-making-changes-config-file-without-restarting/

10 apache-2.2  web-server  best-practices  user-experience