タグ付けされた質問 「linux」

Linuxは、Linuxカーネルに基づくUNIXのようなオープンソースオペレーティングシステムの総称です。

2
Linux:発信TCPフラッドを防止する
ロードバランサーの背後で数百のWebサーバーを実行し、多数のアプリケーション(多数のアプリケーション)をホストしています(これらのアプリケーションは制御できません)。毎月1回程度、サイトの1つがハッキングされ、洪水スクリプトがアップロードされて銀行や政治機関を攻撃します。以前は、これらは常にUDPフラッドでしたが、個々のWebサーバーで発信UDPトラフィックをブロックすることで効果的に解決されました。昨日、彼らはポート80への多くのTCP接続を使用して私たちのサーバーから米国の大規模な銀行をあふれ始めました。これらのタイプの接続は私たちのアプリケーションにとって完全に有効であるため、単にそれらをブロックすることは許容できる解決策ではありません。 以下の代替案を検討しています。どちらをお勧めしますか?これらを実装しましたか? 送信元ポートが!= 80のWebサーバー(iptables)送信TCPパケットの制限 同じだがキューイング(tc)あり サーバーごとのユーザーごとの発信トラフィックのレート制限。アプリケーションサーバーごとに数千人のユーザーが存在する可能性があるため、かなりの管理上の負担。多分これ:ユーザーごとの帯域幅をどのように制限できますか? 他に何か? もちろん、ハッカーがホストされたサイトに侵入する可能性を最小限に抑える方法も検討していますが、そのメカニズムが100%防水になることは決してないので、侵入の影響を厳しく制限したいと思います。 更新:現在、これらのルールを使用してテストしています。この特定の攻撃を防ぐことができました。それらをより一般的にするためにどのように提案しますか?SYNパケットのレート制限のみを行っている場合、既知のTCP DoS攻撃を見逃していますか? iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPT iptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4 iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset 乾杯!

2
Linux iptables / conntrackパフォーマンスの問題
ラボで4台のマシンを使用したテスト設定があります。 2つの古いP4マシン(t1、t2) 1 Xeon 5420 DP 2.5 GHz 8 GB RAM(t3)Intel e1000 1 Xeon 5420 DP 2.5 GHz 8 GB RAM(t4)Intel e1000 過去数か月間に多数のシンフラッド攻撃に襲われて以来、Linuxファイアウォールのパフォーマンスをテストしました。すべてのマシンでUbuntu 12.04 64ビットが実行されます。t1、t2、t3は1GB / sスイッチを介して相互接続され、t4は追加のインターフェイスを介してt3に接続されます。したがって、t3はファイアウォールをシミュレートし、t4はターゲット、t1、t2は攻撃者にパケットストームを生成します(192.168.4.199はt4)。 hping3 -I eth1 --rand-source --syn --flood 192.168.4.199 -p 80 t4は、ゲートウェイとの混同、t4のパフォーマンスの問題などを回避するために、すべての着信パケットをドロップします。iptrafでパケット統計を監視します。ファイアウォール(t3)を次のように構成しました。 ストック3.2.0-31-generic#50-Ubuntu SMPカーネル rhash_entries = 33554432(カーネルパラメータとして) 次のようにsysctl: net.ipv4.ip_forward = 1 net.ipv4.route.gc_elasticity = 2 net.ipv4.route.gc_timeout …
9 linux  firewall 

3
SSHは、グループが読み取り可能な権限を持つキーの使用を許可していません
liveブランチがプッシュされたときにライブサーバーにデプロイする開発gitサーバーがあります。すべてのユーザーは独自のログインを持っているためpost-receive、ライブ展開を行うフックは自分のユーザーの下で実行されます。 ユーザーの公開鍵をリモートライブサーバーの承認済みキーとして維持する必要がないので、リモートライブサーバーに追加するgitシステムに「属している」一連のキーを作成しました(post-receive使用しているフック内でオプションで$GIT_SSH秘密鍵を設定し-iます)。 私の問題は、すべてのユーザーが展開してライブにしたいと思う可能性があるため、gitシステムの秘密鍵は少なくともグループが読み取り可能である必要があり、SSHは本当にこれを好まないということです。 エラーのサンプルは次のとおりです。 XXXX@XXXX /srv/git/identity % ssh -i id_rsa XXXXX@XXXXX @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KEY FILE! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0640 for 'id_rsa' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored. bad permissions: ignore key: …

2
GLIBCアップグレードで何が問題になるのですか?
私は最近、私のグループが来年9月からの研究プロジェクトに必要なソフトウェアをインストールしました。glibc 2.12.1で使用すると、ソフトウェアに既知のクラッシュバグがあることが判明しました。上司は、それを実行するはずのサーバーでglibcをアップグレードできるかどうか尋ねました。私の懐疑的な沈黙の手がかり... ある時点で、glibcをいじるのは空腹のピューマをいじるのと同じくらい良いアイデアだということを頭の中に入れました。しかし、私はこの信念の根源を特定することができませんでした。したがって、これを続行すると: 私はひどく愚かなことをしていますか(たとえば、問題を解決しない、サーバーをブリックする、またはゾンビの黙示録を開始するなど)? 何がうまくいかないのですか? 何がうまくいかないのでしょうか? 2と3への回答を回避するにはどうすればよいですか?
9 linux  glibc 

4
DHCPサーバーに、クライアントマシンで何もせずにクライアントマシンのIPアドレスを強制的に更新させる
クライアントマシンに行かなくても、DHCPサーバーにクライアントマシンのIPアドレスを即座に更新させる方法がある場合、知りたいのですが。実際、想像してみてください。クライアントマシンにアクセスできません。 だから、これが私のシナリオです、 クライアントはまず、LANに接続されているときに、最初にDHCPサーバーからランダムIPアドレスAをDHCPサーバーから取得します。想像してみてください。誰かがクライアントをLANに接続し、dhcpd.confでIPアドレスをMACアドレスにマッピングしなかったとします。 ここで、dhcpd.confで構成されたIPアドレスからMACアドレスへのマッピングが既に設定されている同じサブネット内の他のマシンがあることを述べておきます。 次に、dhcpd.confファイルを変更して、クライアントの新しいIPアドレスBをMACアドレスにマッピングします。 しかし、今は古いIPアドレスAを即座にBに変更する必要があります。 default-lease-timeを調整したり、dhcpd.confのリース時間を変更したりしたくありません。 その1つのマシンを除いて、他のすべてのIPアドレスはすでにdhcpd.confのMACアドレスに関連付けられているため、サービスの再起動などの他の方法は問題ありません。 注:DHCPサーバーを実行しているマシンであっても、LAN内のマシンを再起動することはできません。 私は自分がかなり明確になったと思います。 ありがとう

3
auth.logの「sshd:error:connect_to…failed」とはどういう意味ですか?
/var/log/auth.logサーバーで次のエラーメッセージが繰り返し表示されることに気づきました。 Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port 25: failed. 実際のIPアドレスを変更しました。これらは、メールサーバーに属することが多い外部アドレスです。 私が理解していない部分は、正確に誰がそれらのアドレスに接続しようとしているのか、そしてsshdがそれと何をしているのかです。sshdはポート22で実行されており、そのサーバーのポート25では何も実行されていません。 この行は正確に何を意味し、誰が接続を開始しており、なぜsshdが関係しているのですか?
9 linux  ssh 

1
Apache prefork最適化-適切な `MaxRequestsPerChild`値を選択する
私はできるだけ多くの接続を処理するようにWebサーバーを最適化しようとしています。私は多くの投稿とApacheのメモを読みました。どの値を選択すればよいかを理解しようとしていますMaxRequestsPerChild。 最初は4,000に設定してみましたが、サーバーが多くのリクエストを処理するのが難しかったので、上げ始めました。現時点では、私の設定は次のとおりです。 <IfModule prefork.c> StartServers 8 MinSpareServers 5 MaxSpareServers 20 ServerLimit 256 MaxClients 256 MaxRequestsPerChild 40000 </IfModule> MaxRequestsPerChildを40,000に設定した後、サーバーは、より多くのメモリ/ CPUを使用せずに、より多くの接続を処理することができました。 この値が高すぎるのか、それとも高値でよいのかを誰かに教えてもらえますか? ありがとう! OS情報: [root@web06 ~]# uname -a Linux web 2.6.18-164.el5PAE #1 SMP Thu Sep 3 04:10:44 EDT 2009 i686 i686 i386 GNU/Linux [root@web06 ~]# free total used free shared buffers cached …

2
Active Directoryの代わりにFreeIPAを使用するVMware vCenter / ESXi?
vCenterはActive DirectoryではなくFreeIPAに対して認証できますか?その場合、どのように設定しますか? 純粋なLinux環境(CentOS)があり、vCenterとVMに同じユーザーがいる必要があります。vCenterはLinuxアプライアンスとしてデプロイされます。私たちの環境にWindowsマシンを設置したくない。

4
GNOMEのないサーバーにssconvert(gnumericの一部)をインストールします
サーバーでgnumericのファイル変換ツールssconvertを使用する必要があります。 問題は、gnumericはgnomeアプリケーションであり、デスクトップがインストールされていないとインストールできないことです。 また、ssconvertの個別のパッケージはなく、ソースコードからコンパイルできません... この特定の変換ツールが必要なのは、他のExcel変換ツールではできなかったExcel XML形式からCSVへの変換が可能なためです。 私はubuntu 12.04サーバーで作業しています。任意のアイデアをいただければ幸いです。

2
CentOSで既存および将来のすべてのカーネルのデフォルトのカーネルパラメータを設定するにはどうすればよいですか?
CentOS 6でカーネルを起動するときにデフォルトで使用されるrhgbとquietカーネルパラメータを削除したいのですが、これを現在インストールされているすべてのカーネルだけでなく、将来インストールされるカーネルにも適用したいと考えています。スクリプトからこれを行う必要があるので、手動でファイルを編集することはできません。ファイルの変更はできるだけきれいに行う必要があります。 Debian / Ubuntuでは、に切り替えGRUB_CMDLINE_LINUX_DEFAULTて/etc/default/grub実行しupdate-grubます。私はこのような設定で見つけることができない/etc/sysconfig/grubか、/etc/sysconfig/kernelしかしを、またそこにあるupdate-grubスクリプトが。

3
別のNFSマウント内にマウントされたNFSマウントがランダムに消える
入れ子になったNFSマウントが時々ランダムに消えてしまうというかなり奇妙な問題があります。 fstabエントリは、次のようになります。 nfs:/home /home nfs rw,hard,intr,rsize=32768,noatime,nocto,proto=tcp 0 0 nfs:/bigdir /home/bigdir nfs rw,hard,intr,rsize=32768,noatime,nocto,proto=tcp,bg 0 0 問題は、共有がまだマウントされているとmtabが判断しても、「/ home / bigdir」フォルダが空になることがあるということです。nfsstatなど al。共有はまだマウントされていると思いますか。 機能するのは、アンマウントしてから、bigdir共有を(再)マウントすることだけです。 サーバー側はネットアップです。クライアント側はRHEL5.5、2.6.18-194カーネルです(はい、5.8がリリースされていることはわかっていますが、私が見る限り、この特定の問題に関するエラッタはありません)。 自動マウントや別のパスにマウントしてから--mount bindを使用するなど、さまざまなハックを使用できますが、根本的な問題を修正したいと思います。

2
リバースSSHチューニングポートを制限する方法
ファイアウォールの背後にある複数のクライアントからのSSH接続を受け入れるパブリックサーバーがあります。 これらの各クライアントはssh -R、ポート80のWebサーバーから公開サーバーへのコマンドを使用して、リバースSSHトンネルを作成します。 リバースSSHトンネルの宛先ポート(クライアント側)は80で、送信元ポート(パブリックサーバー側)はユーザーによって異なります。各ユーザーのポートアドレスのマップを維持することを計画しています。 たとえば、クライアントAは、ポート80のWebサーバーをポート8000​​にトンネルします。80から8001のクライアントB。80から8002のクライアントC。 Client A: ssh -R 8000:internal.webserver:80 clienta@publicserver Client B: ssh -R 8001:internal.webserver:80 clientb@publicserver Client C: ssh -R 8002:internal.webserver:80 clientc@publicserver 基本的に、私たちがやろうとしていることは、各ユーザーをポートにバインドし、他のポートへのトンネルを許可しないことです。 でSSHのフォワードトンネリング機能をssh -L使用していた場合、permitopen=host:port設定を使用することで、どのポートがトンネリングされるかを許可できます。ただし、リバースSSHトンネルに相当するものはありません。 ユーザーごとにリバーストンネリングポートを制限する方法はありますか?
9 linux  ssh  ssh-tunnel 

3
Postmasterが過剰なCPUとディスク書き込みを使用する
PostgreSQL 9.1.2の使用 CPUが過度に使用され、postmasterタスクからディスクへの大量の書き込みが発生しています。これは、アプリケーションがほとんど何も実行していないときにも発生します(1分あたり数十回の挿入)。ただし、適切な数の接続が開いています。 私は自分のアプリケーションの何がこれを引き起こしているのかを特定しようとしました。私はpostgresqlにかなり慣れていないので、今のところどこにも行きません。設定ファイルでいくつかのログオプションをオンにし、pg_stat_activityテーブルで接続を確認しましたが、それらはすべてアイドル状態です。しかし、各接続はCPUを約50%消費し、ディスクに約15M / sを書き込んでいます(何も読み取っていません)。 私は基本的には調整をほとんど加えずにpostgresql.confを使用しています。これを追跡するために何ができるかについてのアドバイスやアドバイスをいただければ幸いです。 以下は、top / iotopが表示しているサンプルです。 Cpu(s): 18.9%us, 14.4%sy, 0.0%ni, 53.4%id, 11.8%wa, 0.0%hi, 1.5%si, 0.0%st Mem: 32865916k total, 7263720k used, 25602196k free, 575608k buffers Swap: 16777208k total, 0k used, 16777208k free, 4464212k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 17057 …

1
Linux ext4「extents」属性
eext4ファイルシステムにインストールされたLinuxマシンのいくつかのファイル/ディレクトリの属性に気づきました。 [kelly@p2820887.pubip.serverbeach.com ~]$ lsattr -d /bin -------------e- /bin によるとchattr(1): 'e'属性は、ファイルがディスク上のブロックをマッピングするためにエクステントを使用していることを示します。chattr(1)を使用して削除することはできません。 これはどのように異なるのか、そしてより重要なことには、この詳細はどのように重要なのですか?具体的には、なぜこの詳細がファイル属性として報告されるのに十分重要なのですか?このファイルが「ディスク上のブロックのマッピングにエクステントを使用している」という知識に基づいて、どのような状況で動作を変更する必要がありますか?おそらくこれは私が知っておく必要があることです。そうでなければ、それほど明白にはなりませんよね?


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.