タグ付けされた質問 「linux」

Linuxサーバーにログインしているユーザーは、デフォルトアカウントで特定のリモートマシンにsshできる必要があります。リモートマシンでの認証は公開鍵を使用するため、サーバーでは対応する秘密鍵が利用可能です。 サーバーユーザーが実際に秘密キーを読み取れるようにしたくありません。基本的に、彼らがサーバーにアクセスできるという事実は、彼らにsshの権利を許可し、サーバーからそれらを削除することは、リモートマシンへの接続も許可しないはずです。 ユーザーが秘密キーへの読み取りアクセスを許可せずにssh接続を開くことを許可するにはどうすればよいですか？ これまでの私の考え：明らかにssh実行可能ファイルは秘密鍵を読み取れる必要があるため、それらの権利を持つサーバー上の別のユーザーの下で実行する必要があります。ssh接続が確立されたら、ユーザーに「転送」して、ユーザーがコマンドを入力してリモートマシンと対話できるようにします。 これは良いアプローチですか？ フォワードをどのように実装すればよいですか？ ユーザーはどのようにして接続を開始できますか（つまり、キーの読み取り権限を持つユーザーによるsshの実行）？ セキュリティの抜け穴はありますか？-ユーザーが別のユーザーとしてsshを実行できる場合、他のユーザーができること（秘密鍵の読み取りなど）をすべて実行できますか？

14 linux  ssh  permissions  public-key 

次の問題があります：リモート（VPN / SSH接続）で接続できる小さなサーバー（Debianベース）があります。次に、いくつかのブートオプションを変更したい（実際、ルートファイルシステムを別のパーティションに移行したい）ため、システムを再起動する必要があります。 実際、私は何かが恐ろしくうまくいかず、SSHもVPNも起動できない可能性を恐れています。このシナリオでは、かなり遠くにあるサーバーに個人的にアクセスする必要がありました。誰かに再起動するように頼むこともできますが（カーネルパニックの場合など）、システムを修復する資格のある人はいません。したがって、私の質問： GRUB2構成にエントリを作成して、そのエントリを次回の起動時にのみデフォルトにする可能性はありますか？それで、問題がある場合、私は古いシステムでリブートして回復することができますか？ブートが問題なく実行される場合（希望する場合）、grubを変更して、デフォルトで新しいシステムからブートするようにできます。

14 linux  configuration  boot  grub 

非常に一般的でないネットワーク用にタイムサーバーを設定するためのアドバイスを探しています。時々インターネットにアクセスできる多くの閉じたネットワークをサポートしています。ネットワークは、ほとんどの場合、数時間アクセスできますが、頻繁に1〜3週間ブラックアウトします。このネットワーク上のコンピューター/サーバーは、ほとんどが* nixベースですが、すべてが同じではありません。ネットワーク全体がモバイルであるため、接続すると、インターネットタイムサーバーとのホップ/レイテンシが大きく異なります。閉じたネットワーク上のサーバーは頻繁に（少なくとも毎日）電源がオフになります。現在、私の腸はNTPを使用するように指示します（他の誰かがすでにかなりうまく機能しているすべてのものを再学習するのは嫌だからです）。しかし、私にはいくつかの問題があり、この種の奇妙な状況で経験のある人を探しています。現在のところ、解決策はありません。m単に内部クロックをドリフトさせます。これにより、大半のネットワークで最大600秒のエラーが発生します。ミスマッチは10,000を超えています。 この状況でNTPよりも「良い」ものはありますか？NTPは、ほぼ同一の回答を提供するサーバーへの非常に頻繁で一貫したアクセスを好むことを知っています。私にはありません。 インターネットの停電時に、閉じたネットワーク内で一貫した内部時間を確保するために、いくつの内部NTPサーバーを構成する必要がありますか？ 人間によるアクセスはありません。不一致がどれほど大きくても、サーバーは自身の修正を試行する必要があります。 個別の手順は非常に悪いです。ミスマッチがどれほど大きくても、補正は「ステップ」ではなく「スルー」する必要があります。これを修正するには何時間もかかることを理解しています。

14 linux  centos  ntp  time-synchronization 

サーバーの1つでOpenSSH_6.6p1をコンパイルしました。アップグレードされたサーバーにSSH経由でログインできます。ただし、これからOpenSSH_6.6p1またはOpenSSH_5.8を実行している他のサーバーに接続することはできません。接続中に、次のようなエラーが表示されます。 Read from socket failed: Connection reset by peer ログの宛先サーバーで、次のように表示されます。 sshd: fatal: Read from socket failed: Connection reset by peer [preauth] ここで述べたようにcipher_spec [ssh -c aes128-ctr destination-server]を指定してみて、接続することができました。デフォルトで暗号を使用するようにsshを設定するにはどうすればよいですか？ここで暗号が必要なのはなぜですか？

14 linux  ssh  ssl 

これは用語の矛盾のように聞こえるかもしれませんが、最近、壊れたRAIDアレイを再構築しようとしてしばらく（数日！）シングルユーザーモード（別名メンテナンスモード）を使用する必要がありました。 これを行っている間、さまざまな構成ファイルの設定を確認/編集したり、メイン（および唯一の）コンソールがいくつかの回復プロセスを実行している間にシステムログを調べるなどの目的で2番目のシェルを使用したいことがわかりました。 別のttyで2番目のシェルを起動するための推奨コマンドは何ですか？ 明らかに、1つの方法はscreentty1で使用することですが、Alt-F1、Alt-F2などでセッションを切り替えるだけの簡単さはありません。

14 linux  shell 

このサーバー上のデータと構成ファイルを毎日バックアップする必要があります。私は維持する必要があります： 1週間の毎日のバックアップ 1週間の毎週のバックアップ 1年間の月次バックアップ その後の年間バックアップ これらはすべて、cronから毎日実行されるシェルスクリプトによって実現されます。 これは、10年間の実行後のバックアップファイルの外観です。 blog-20050103.tar.bz2 blog-20060102.tar.bz2 blog-20070101.tar.bz2 blog-20080107.tar.bz2 blog-20090105.tar.bz2 blog-20100104.tar.bz2 blog-20110103.tar.bz2 blog-20120102.tar.bz2 blog-20130107.tar.bz2 blog-20130902.tar.bz2 blog-20131007.tar.bz2 blog-20131104.tar.bz2 blog-20131202.tar.bz2 blog-20140106.tar.bz2 blog-20140203.tar.bz2 blog-20140303.tar.bz2 blog-20140407.tar.bz2 blog-20140505.tar.bz2 blog-20140602.tar.bz2 blog-20140707.tar.bz2 blog-20140728.tar.bz2 blog-20140804.tar.bz2 blog-20140811.tar.bz2 blog-20140816.tar.bz2 blog-20140817.tar.bz2 blog-20140818.tar.bz2 blog-20140819.tar.bz2 blog-20140820.tar.bz2 blog-20140821.tar.bz2 blog-20140822.tar.bz2

14 linux  backup  bash 

問題の主な環境は2つあります。 開発とQA 各環境には2つのサーバーがあります。 ジャンプボックス アプリケーション・サーバー アプリケーションサーバーに接続するには、最初にジャンプボックスに接続し、次にアプリケーションサーバーにSSHで接続する必要があります。 ファイアウォールのおかげでいくつかのルールがあります： ジャンプボックス経由でアプリケーションサーバーに接続する必要があります アプリケーションサーバーはどちらのジャンプボックスにも接続できません ジャンプボックスは同じサブネット上にあり、互いに通信できます。 私たちの問題 には多くのコンテンツ（670 GB）がありDEVELOPMENT APPLICATION SERVER、これをに取得する必要がありQA APPLICATION SERVERます。 このデータをジャンプボックスにコピーすることは、必要なスペースがないため、オプションではありません。 いくつかの調査を行った結果、これらのサーバーを介して一連のトンネルを作成し、トンネルを介して1つのアプリサーバーから別のアプリサーバーにデータを直接ストリーミングできることがわかった。ただし、アプリケーションサーバーからジャンプボックスに接続できないという問題。 オプションはありますか？これは絶望的な状況になりつつあり、時間が非常に重要です。データをダウンロードして再アップロードする時間はありません。サーバー上のネットワークを介したコピーは、ギガビット接続であるため、すぐに実行されます。

14 linux  ssh  ssh-tunnel  tunnel 

私のOracle DBA同僚は、本番サーバーでのルートアクセスを要求しています。 彼は、サーバーの再起動やその他のタスクなどの操作を実行するために必要であると主張しています。 彼にOracleユーザー/グループとOracleユーザーが属するdbaグループを設定したため、私は彼に同意しません。すべてが順調に実行されており、DBAが現在ルートアクセス権を持っていることはありません。 また、インフラストラクチャの相互作用の誤解に関連するあらゆる種類の問題を回避するために、スケジュールされたサーバーの再起動などのすべての管理タスクを適切な管理者（この場合はシステム管理者）が行う必要があると思います。 sysadminsとOracle DBAの両方からの入力を希望します-Oracle DBA が実稼働環境でrootアクセスできる理由はありますか？ 同僚がこのレベルのアクセスを本当に必要とする場合は提供しますが、セキュリティとシステムの整合性の懸念から、そうすることを非常に恐れています。 私は賛否両論を探しているのではなく、この状況に対処するために私がとるべき方法に関するアドバイスを探しています。

14 linux  security  redhat  oracle 

すべてのLinuxベースのデータセンターで時間ドリフトを検出するための戦略は何ですか？これは、最初に思われるよりも難しい問題です。 時間のずれは特定のアプリケーションに深刻な問題を引き起こす可能性があり、多くの場合、NTPがインストールされていても、次の（およびその他の）理由で失敗する可能性があります。 NTPは、再起動時に自動的に再起動するように正しく設定されていません。 サーバーの設定が正しくないため、サーバーが指すタイムサーバーが到達不能または不正確です。 マスタータイムサーバーに到達できず、すべてのサーバーと同期しているため、信頼できないソースに同期しています。 個々のサーバーがすべて正しいかどうかを検出する方法を教えてください。テストスクリプト/アプリケーションがインストールされているサーバーは正しくない可能性があることに注意してください。

14 linux  monitoring  ntp  time 

最初に、間違いを犯したこと、およびこのRAID上のすべてではないがほとんどのデータのバックアップがあることを認めさせてください。残りのデータを回復することを望んでいます。ドライブを復旧の専門会社に持ち込むようなお金はありません。 間違い＃0、100％のバックアップがない。知っている。 私が持っているmdadm4x3TBのRAID5システムを。/ dev / sd [be]をドライブし/dev/sd[b-e]1ます。すべて1つのパーティションがあります。非常に大きなドライブでのRAID5にはリスクがあることは承知していますが、とにかくそれを行いました。 最近のイベント 2つのドライブに障害が発生すると、RAIDは劣化します。一方のドライブ[/ dev / sdc]は実際になくなっており、もう一方の[/ dev / sde]は電源を入れ直した後に復旧しましたが、RAIDに自動的に再追加されませんでした。そのため、2つのアクティブドライブ[/ dev / sdbおよび/ dev / sdd]のみを持つ4デバイスRAIDが残っていました。 間違い＃1、RAIDの復元にドライブのddコピーを使用していない。ドライブも時間もありませんでした。間違い＃2 mdadm -E。スーパーブロックと残りのドライブのバックアップを作成していません。 回復の試み RAIDを縮退モードで再構成しました mdadm --assemble --force /dev/md0, using /dev/sd[bde]1. その後、データにアクセスできました。/dev/sdcスペアに交換しました。空の; 同一のドライブ。 /dev/sdc1RAIDから古いものを削除しました mdadm --fail /dev/md0 /dev/sdc1 間違い＃3、ドライブを交換する前にこれを行わない 次に、新しいパーティションを作成/dev/sdcし、RAIDに追加しました。 mdadm --add /dev/md0 /dev/sdc1 その後、RAIDの復元を開始しました。ETA 300分 私はプロセス/proc/mdstatを2％で実行し、他のことをしました。 結果を確認する 数時間後（ただし300分未満）、プロセスをチェックしました。の読み取りエラーにより停止しました/dev/sde1。 …

14 linux  debian-squeeze  mdadm  raid5 

現在、MariaDBインスタンスを実行するために、RAIDミラーに2つの256GB SSDを搭載した新しいUbuntu 13.04サーバーを構築しています。通常、LVMはmd raid 1アレイの上にあるdm-crypt暗号化の上に配置しますが、以前はこのセットアップでSSDを使用していません。 私の質問は、新しい（3.8）カーネルを使用するため、fstrimをRAIDボリュームに直接適用できるようにする必要があることです。fstrim -v /RAIDが適所になかった場合と同じように、cronジョブを介して適切に動作するために、これに単純に依存できますか？RAIDボリュームの上にLVMがあってもこれは本当ですか？ドライブにあるハードウェア暗号化を使用する予定なので、ここではdm-cryptは必要ありません。 注：更新されたカーネルバージョンのバックポートとmdボリュームでの廃棄の実装に関連するいくつかの同様の質問があることを認識しています- fstrim新しいカーネルでさらに変更することなくmd-raidに対して動作するかどうかを具体的に尋ねています。 更新：これがうまくいったことをフォローアップして投稿したかっただけです。そこジョブが実行されますが、上fstrim cron.dailyがあることで、今だ/と/boot、それが完璧に働いています。また、SSD（Samsung 840 Pro）のハードウェア暗号化にはTPMサポートが必要であることが判明しましたが、TPMサポートはないため、リンクに示すようにソフトウェア暗号化を構成しました。追加することによりdiscard中のオプションに/etc/crypttab（ないと/etc/fstab）とissue_discards = 1のデバイスセクションに/etc/lvm/lvm.confも、LVM、暗号化、およびRAID層によって罰金、fstrim作品。 LVMおよび暗号化を使用したSSDでのトリム/廃棄の構成に関する詳細情報は、こちらから入手できます。

14 linux  software-raid  ssd 

Locateとそのデータベースのすべてのエントリをパージして削除したいと思います。 私は試した apt-get purge locate そして rm /etc/updatedb* しかし、データベースもなくなっていますか？ updatedbデータベースはdebian squeezeのどこにありますか？ 手動で削除したいので、きれいに再インストールできます

14 linux 

libboost-develをCentOS 6.3にインストールする方法は？ 次のコマンドを試しました。 yum install libboost-devel 出力： Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: mirror.ellogroup.com * extras: mirror.ellogroup.com * updates: mirror.ellogroup.com Setting up Install Process No package libboost-devel available. Error: Nothing to do

14 linux  centos  yum  rpm  boost 

サイトの更新後、週に1回訪問者が急増する比較的トラフィ​​ックの少ないサイトを運営しています。このスパイクの間、サイトのパフォーマンスは週の残りの期間に比べて非常に低くなります。サーバーの実際の負荷は非常に低く、CPU 10％未満、RAM 30％未満で確実に維持されます（ハードウェアは実際に行っていることに対して完全に過剰である必要があります）が、何らかの理由でApacheはその量に対処できないようですリクエストの。RHEL 5.7、カーネル2.6.18-274.7.1.el5、x86_64でapache 2.2.3を実行しています。 abを使用して営業時間外にこの動作を再現しようとすると、約256人のユーザーを超えると、パフォーマンスが大幅に低下します。私が思いつく可能性のある最小のユースケースでテストを実行すると（静的テキストファイルが取得され、合計223バイト）、245の同時リクエストで一貫してパフォーマンスが正常になります。 Connection Times (ms) min mean[+/-sd] median max Connect: 15 25 5.8 24 37 Processing: 15 65 22.9 76 96 Waiting: 15 64 23.0 76 96 Total: 30 90 27.4 100 125 Percentage of the requests served within a certain time (ms) 50% 100 66% …

14 linux  apache-2.2  performance  mpm-prefork 

私たちが持っているいくつかのUbuntuボックスの1つで、今まで見たことのないネットワークアラートを受け取りました。 The following monitoring trigger has been fired: /vmlinuz has been changed on server XXXXX: PROBLEM 2012.09.19 06:24:33 Trigger key: vfs.file.cksum[/vmlinuz] Value: 3397367448 Host: XXXXX vmlinuz変更されたチェックサム。ウィキペディアから、これはカーネルと関係があることがわかります。 チェックサムが変更されたことに注意する必要がありますか？この特定のサーバーは、サードパーティのプラグインの脆弱性で知られているWordpressを実行しているため、アラートを非常に真剣に受けとめる傾向があります。 このサーバーが危険にさらされているという結論を下しています。/var/log/apache2/access.log0バイトのように、申し訳ありませんが安全です。そこには少し（多くではなく、少し）のデータが含まれているはずで、明らかにトラックを覆っている何か（おそらくボット）のように見えます。昨晩のバックアップを引き出す時間:)

14 linux  ubuntu  alerts  vmlinuz