タグ付けされた質問 「linux」

更新された要約 / var / wwwディレクトリの所有者root:rootは、だれも使用できないことを意味し、まったく役に立ちません。私たちは皆、実際に機能する（そして「root」としてログインするべきではない）Webサーバーが必要なので、これを修正する必要があります。 2つのエンティティのみがアクセスを必要とします。 PHP / Perl / Ruby / Pythonはすべて、フォルダーとファイルにアクセスする必要があります（多くの場合/uploads/）。これらのスクリプト言語は、nginxまたはapache（またはFastCGI for PHPなど）で実行する必要があります。 開発者 彼らはどのようにアクセスしますか？どこかで誰かがこれをやったことがあることは知っています。ただし、数十億のWebサイトが存在する場合、このトピックに関する詳細情報があると思われます。 777が所有者/グループ/その他の完全な読み取り/書き込み/実行権限であることを知っています。したがって、これはランダムなユーザーに完全な許可を与えるため、正しい必要はないようです。 次のように使用する必要があるアクセス許可/var/www： gitやsvnなどのソース管理 「websites」のようなグループのユーザー（または「www-data」に追加されることもあります） apacheやlighthttpdなどのサーバー PHP / Perl / Ruby すべてのファイル（およびディレクトリ）を読み取って作成し、実行できますか？ 私が正しい場合、RubyおよびPHPスクリプトは直接「実行」されませんが、インタープリターに渡されます。/var/www...のファイルの実行許可は必要ありませんか？したがって、正しい許可はどのようにchmod -R 1660なるでしょう これら4つのエンティティで共有可能なすべてのファイル 誤って実行できないすべてのファイル ディレクトリから他の全員を完全にブロックする 将来のすべてのファイルの許可モードを「スティッキー」に設定します これは正しいです？ 更新1：ファイルとディレクトリに異なるアクセス許可が必要な場合があることに気付きました-上記のファイルについて話していたので、ディレクトリアクセス許可が必要かどうかわかりません。 更新2：/var/www上記の4つのエンティティの1つが常にフォルダーおよびサブフォルダーを多くのレベルの深さで常に追加（および削除）するため、フォルダーの構造が大幅に変更されます。また、他の3つのエンティティが読み取り/書き込みアクセスを必要とする可能性があるファイルを作成および削除します。したがって、アクセス許可は、ファイルとディレクトリの両方に対して上記の4つのことを行う必要があります。これらのどれも実行許可を必要としないので（上記のruby / phpに関する質問を参照）rw-rw-r--、これら4つのエンティティは信頼できる人員（＃2を参照）と他のすべてのユーザーによって実行されるため、許可はすべて必要で完全に安全であると想定しますシステムには読み取りアクセスのみがあります。 更新3：これは、個人用開発マシンおよび企業のプライベートサーバー用です。共有ホストのようなランダムな「ウェブ顧客」はありません。 更新4： slicehostによるこの記事は、wwwフォルダーのアクセス許可をセットアップするために必要なものを説明するのに最も適しているようです。ただし、PHPまたはsvn / gitを使用するapache / nginxのユーザーまたはグループの実行方法と変更方法はわかりません。 更新5：私は最終的に、これらすべてを機能させる方法を見つけました（以下の回答）。しかし、これが正しい安全な方法であるかどうかはわかりません。したがって、私は賞金を開始しました。wwwディレクトリを保護および管理する最良の方法を持っている人が勝ちます。

69 linux  permissions  chmod 

Ubuntu Apacheサーバー（Apache 2）が起動すると、次の警告メッセージが表示されます。 [warn] NameVirtualHost *:80 has no VirtualHosts ただし、Webサーバーは正常に動作しています。この警告を出すためにサイトの構成に何が間違っているのでしょうか？ 問題の構成ファイル（にある/etc/apache2/sites-available）は次のようになります（簡潔にするために詳細を削除） <VirtualHost *> <Location /mysite> # Configuration details here... </Location> # Use the following for authorization. <LocationMatch "/mysite/login"> AuthType Basic AuthName "My Site" AuthUserFile /etc/sitepasswords/passwd Require valid-user </LocationMatch> </VirtualHost> 私が使用しているという事実が<Location>問題の一部になる可能性はありますか？

68 linux  apache-2.2 

私はいくつかのユーザーを作成しました： $ useradd john また-m、ホームディレクトリを作成し、各ユーザーにスケルトンファイルをコピーするパラメーターを指定するのを忘れていました。今、私はそれをしたい、と私はすべてのユーザーを再作成したくない（もっと簡単な方法がなければならない）。だから、ユーザーディレクトリを作成してスケルトンファイルをコピーする方法はありますか？ ディレクトリを作成し、対応するユーザーにディレクトリを作成し、すべてのスケルトンファイルをコピーして、対応するユーザーにチャネルを作成することを考えました。しかし、useradd -mそのようなコマンドがあれば、ユーザーを再度作成するのではなく、ディレクトリを作成する方が良いでしょう。

68 linux  user-management 

システム上の別のメディアにある他のディレクトリへのシンボリックリンクを含むディレクトリがあります。 /opt/lun1/2011 /opt/lun1/2010 /opt/lun2/2009 /opt/lun2/2008 /opt/lun3/2007 ただし、シンボリックリンクは次のように表示されます。 /files/2011 /files/2010 /files/2009 /files/2008 /files/2007 rsyncシンボリックリンクに続くを実行するにはどうすればよいですか？ 例えば： rsync -XXX /files/ user@server:/files/

67 linux  rsync  files  symbolic-link 

私は一般に構成管理を通じて自分のやり方を学び、特にそれを実装するためにパペットを使用していますが、システムのどの側面がパペットで管理されるべきではないのでしょうか？ 例として、通常、システムをpuppetの管理に貸す前に、ホスト名がすでに設定されていることを当然のことと考えています。少なくともpuppetmasterに到達するために使用されるネットワークでは、基本的なIP接続が機能している必要があります。puppetを使用してDNSゾーンファイルを自動的に作成するのは魅力的ですが、DNSリバースポインターは、Thingを起動する前に既に配置されている必要があります。証明書は面白くなります。 したがって、PuppetからIP構成を除外する必要がありますか？または、パペットを初めて起動する前に設定する必要がありますが、それでもパペットでIPアドレスを管理する必要がありますか？複数のIPを備えたシステム（WAN、LAN、SANなど）はどうですか？ 何についてのIPMI？すべてではありませんが、ほとんどをipmitoolで設定すると、コンソールアクセス（物理、シリアルオーバーLAN、リモートKVMなど）を取得せずに済むため、Puppetで自動化できます。しかし、パペットエージェントを実行するたびにその状態を再確認することは私にとってはクールではありません。システムへの基本的なライトアウトアクセスは、他に何もする前に持っておきたいものです。 もう1つのストーリーは、更新プログラムのインストールに関するものです。私はこの特定のポイントには行きません。SFに関する多くの質問と、異なるシステム管理者の間の多くの異なる哲学が既にあります。私自身は、操り人形に物事を更新させないようにし（例のみensure => installed）、既に慣れているため手動で更新を行うことにしました。ミックス）。 これらは、今思い浮かんだほんの数例です。パペットから手の届かないところに残すべきシステムの側面はありますか？または、別の言い方をすれば、プロビジョニング時に設定する必要があるものと、システムで「静的に」設定されるものと、一元化された設定管理によって処理されるものとの境界はどこにありますか？

67 linux  puppet  configuration-management 

同じサーバー上の特定のポートにリダイレクトするサブドメインがいくつかあります。私が持っていると言う dev.mydomain.com 私が欲しいdev.mydomain.com透過的にリダイレクトするためにmydomain.com:8080、私は、元のサブドメイン名をブラウザのURLを保存しておきたいです。 Apache 2.2でこれを行うにはどうすればよいですか？Apache 2.2をデフォルトポートで実行しています80。これを実現するための書き込み構成がわかりません。 dev.mydomain.comDNSでに解決するように設定済みmydomain.comです。 これは、ルーティングできないIPアドレスを持つイントラネット開発サーバー用であるため、公開されているサーバーを危険にさらすエクスプロイトやセキュリティについてはあまり心配していません。

67 linux  apache-2.2  apache-2.4  subdomain 

一部のLinuxサービスを非標準ポートに設定したいのですが、有効な最大ポート番号は何ですか？

67 linux  port  tcpip 

Debianをインストールしたばかりで、このメッセージを見たときにapt-get instalを使用していくつかのパッケージをインストールしていました。 debconf: delaying package configuration, since apt-utils is not installed これは何を意味するのでしょうか？そして、apt-utilsをインストールしたら、パッケージをどのように構成できますか？

66 linux  debian  apt 

完全なrootアクセス権を付与せずに、ベテランのLinux syadminを生産的にする方法はありますか？ この質問は、知的財産（IP）を保護するという観点から来ています。IPは、完全にコードおよび/または構成ファイル（つまり、簡単にコピーできる小さなデジタルファイル）です。私たちの秘密のソースは、私たちの小さなサイズが示唆するよりも私たちをより成功させました。同様に、私たちは、 IPを盗もうとした数人の元悪徳従業員（システム管理者ではない）から、一度は噛まれ、二度恥ずかしがります。トップマネジメントの立場は、基本的に「私たちは人々を信頼しますが、自己利益のために、絶対に仕事をするために必要な以上のアクセスを誰かに与えるリスクは許せません。 で、開発者の側、それは人々が生産することができるように、ワークフローやアクセスレベルを分割するだけで、彼らは見るために必要なもののみを表示することは比較的簡単です。最上の人々（実際の会社の所有者）だけが、すべての材料を組み合わせて特別なソースを作成する能力を持っています。 しかし、Linux管理者側でこのIPの機密性を維持する良い方法を思い付くことができませんでした。コードと機密テキストファイルにGPGを広範囲に使用しています...しかし、管理者が（たとえば）ユーザーにsu 'し、tmuxまたはGNU Screenセッションをホッピングして、彼らが何をしているのかを見ないようにするにはどうすればよいですか？ （また、機密情報と接触する可能性のあるすべての場所でインターネットアクセスが無効になっています。しかし、完璧なものはなく、賢いシステム管理者やネットワーク管理者側のミスに穴が開いている可能性があります。もちろん他にも数多くの対策が講じられていますが、それらはこの質問の範囲を超えています。） 私が思い付くことができる最高のは、基本的にパーソナライズされたアカウントを使用しているにsudoに記載されているものと同様に、ルートとして動作する複数のLinuxシステム管理者。具体的には、会社の所有者以外には、実際には直接ルートアクセス権はありません。他の管理者は、パーソナライズされたアカウントを持ち、root にsudoする機能を持ちます。さらに、リモートロギングが開始され、ログは会社の所有者のみがアクセスできるサーバーに送信されます。ロギングがオフになると、何らかのアラートが発生します。 賢いシステム管理者は、おそらくこのスキームにいくつかの穴を見つけることができます。そして、それはさておき、それはまだ積極的ではなく反応的です。私たちのIPの問題は、競合他社が非常に迅速にIPを利用し、非常に短い順序で多くの損害を引き起こす可能性があることです。 そのため、管理者ができることを制限するメカニズムの方が良いでしょう。しかし、これは微妙なバランスであることを認識しています（特に、今すぐ解決する必要がある生産上の問題のトラブルシューティングと修正の観点から）。 非常に機密性の高いデータを持つ他の組織がこの問題をどのように管理しているのでしょうか？たとえば、軍のシステム管理者：機密情報を見ることなく、サーバーとデータをどのように管理しますか？ 編集：最初の投稿で、私は表面化し始めている「雇用慣行」コメントに先手を打って対処するつもりでした。1つは、これは技術的な質問であると想定されており、雇用慣行はIMOが社会的な質問に向かっている傾向があります。しかし、2つ、私はこれを言います：私たちは人々を雇うために合理的であるすべてをしていると信じています：複数のインタビュー会社の人々; バックグラウンドおよび参照チェック。すべての従業員は、IPに関する詳細を記載したハンドブックを読んで理解したと言っているものを含め、多数の法的文書に署名しています。今、この質問/サイトの範囲外ですが、誰かが悪い俳優の100％を除外する「完璧な」雇用慣行を提案できるなら、私はすべて耳です。事実は次のとおりです。（1）完璧な採用プロセスがあるとは思わない。（2）人々は変わる-今日の天使は明日の悪魔になるかもしれない。（3）試行されたコード盗難は、この業界ではやや日常的なことのようです。

66 linux  security  root 

psの出力をプロセスの開始時刻でソートする方法はありますか？ Linuxでは？ SysV5で？ Macでは？

66 linux  mac-osx  unix  command-line-interface  process 

インターネットに直接接続されているDebianサーバーをインストールしています。可能な限り安全にしたいのは明らかです。あなたとあなたのアイデアを追加して、それを保護するためのアイデアとあなたがそれのために使用するプログラムをお願いします。 この質問の一部で、ファイアウォールとして何を使用していますか？手動で設定されたiptablesだけか、何らかのソフトウェアを使用して支援しますか？最善の方法は何ですか？すべてをブロックし、必要なものだけを許可しますか？このトピックの初心者向けの良いチュートリアルはありますか？ SSHポートを変更しますか？ブルートフォース攻撃を防ぐためにFail2Banなどのソフトウェアを使用していますか？

66 linux  security  debian  firewall 

一般的なサーバー障害シナリオの1つは、DRAMの不良であり、ECCメモリが使用されている場合もあります。 memtest86+DRAMの問題を診断する最も便利なツールの1つです。メモリの開始時に自動的にロードされるmemtest86+ため、memtest86+ロードされるメモリの部分をチェックするかどうか疑問に思っていました。 割り当てられたメモリはmemtest86+非常に小さいので、重要ではありませんか、それが存在memtest86+するメモリの場所をテストできないためにDRAMの欠陥を見逃す可能性がありますか？

65 linux  memory  boot 

ユーザーインターフェイスがオランダ語であるWebアプリケーションを作成しました。システムの日付と時刻のルーチンを使用して、アプリケーションの日付文字列をフォーマットします。ただし、システムがフォーマットする日付文字列は英語ですが、オランダ語で表示したいので、システムのロケールを設定する必要があります。Debianでどうすればいいですか？設定しようとLC_ALL=nl_NLしましたが、効果がないようです： $ date Sat Aug 15 14:31:31 UTC 2009 $ LC_ALL=nl_NL date Sat Aug 15 14:31:36 UTC 2009 UbuntuデスクトップシステムでLC_ALLを設定しても問題なく動作することを覚えています。この作業を行うために追加のパッケージをインストールする必要がありますか、それともまったく間違っていますか？

65 linux  debian  localization 

一般的にログをクリアする適切な方法があるかどうか疑問に思っていましたか？ 私はUbuntuが初めてで、Postfixをセットアップしようとしています。問題のログは/var/log/mail.logです。そこに行ってすべての行を削除して保存するのではなく、それをクリアする正しい方法があるかどうか疑問に思っていました。ログをクリアして保存した後、すぐにエラーが書き込まれないことがあります。 追記：Postfixの設定に問題があり、ログを最後までスクロールしなくても済むように、ログが読みやすくなるように努めています。

65 linux  ubuntu  logging 

指定したethXが物理的にアップまたはダウンしているかどうかを確認したい。コマンドラインでどのように行うのですか？

64 linux  networking  ethernet