ผู้ดูแลเซิร์ฟเวอร์

ขณะนี้เรากำลังใช้งานแอพพลิเคชั่นบนคอนเทนเนอร์ docker เดียวแอพพลิเคชั่นต้องการข้อมูลที่ละเอียดอ่อนทุกประเภทเพื่อส่งผ่านเป็นตัวแปรสภาพแวดล้อม ฉันวางสิ่งเหล่านั้นบนคำสั่ง run ดังนั้นพวกเขาจึงไม่ได้อยู่ในอิมเมจแล้วบนที่เก็บ แต่ฉันท้ายด้วยคำสั่ง run ที่ไม่ปลอดภัยมาก ตอนนี้ฉันเข้าใจว่าความลับของนักเทียบท่านั้นมีอยู่แล้วฉันจะใช้งานได้อย่างไรโดยไม่ต้องปรับใช้คลัสเตอร์ หรือมีวิธีอื่นในการรักษาความปลอดภัยข้อมูลนี้หรือไม่? ด้วยความเคารพ,

29 security  docker  docker-swarm 

เมื่อฉันเปิดตัวเซิร์ฟเวอร์ที่มีกลุ่มความปลอดภัยที่อนุญาตให้ทราฟฟิกทั้งหมดเข้าสู่ซับเน็ตส่วนตัวของฉันมันจะแสดงคำเตือนว่ามันอาจเปิดให้โลกได้เห็น ถ้าเป็น subnet ส่วนตัวมันจะเป็นไปได้อย่างไร?

29 networking  amazon-web-services  amazon-vpc 

ฉันมี 4 เซิร์ฟเวอร์พร้อมกับ Debian Wheezy OS ฉันติดตั้ง Apticron แล้วซึ่งแจ้งให้ฉันทราบเกี่ยวกับการอัปเดต การปรับปรุงเดเบียนเกิดขึ้นบ่อยครั้งเมื่อฉันเสร็จสิ้นการอัปเดตเซิร์ฟเวอร์ 4 ตัวสุดท้ายฉันจะได้รับอีเมลใหม่เกี่ยวกับการอัปเดตใหม่บนเซิร์ฟเวอร์ตัวแรก ฉันพยายามอัปเดตเซิร์ฟเวอร์ทั้งหมดเมื่อฉันได้รับการแจ้งเตือน แต่ฉันไม่รู้เลยว่าจำเป็นต้องรีบูตเซิร์ฟเวอร์หรือไม่ ฉันได้อ่านแล้วว่าหากไดเรกทอรี"/var/run"มีไฟล์"reboot-required"ฉันต้องรีบูตเซิร์ฟเวอร์ แต่ฉันไม่เคยเห็นไฟล์นี้"/var/run"มา ฉันจะรู้ได้อย่างไรว่าต้องมีการรีบูตเมื่อใด ฉันไม่ต้องการรีบูตเซิร์ฟเวอร์ทุกครั้งเมื่อฉันติดตั้งการอัปเดตใหม่หากไม่จำเป็น ฉันเข้าใจว่าถ้าฉันอัปเดต PHP หรือ MySQL ฯลฯ ฉันไม่จำเป็นต้องรีบูตเซิร์ฟเวอร์ แต่การอัปเดตมักจะมี "lib ... " ด้านล่างเป็นอัปเดต 9 รายการ (ฉันได้รับในสัปดาห์นี้) krb5-locales 1.10.1+dfsg-5+deb7u3 libdbus-1-3 1.6.8-1+deb7u6 libgssapi-krb5-2 1.10.1+dfsg-5+deb7u3 libk5crypto3 1.10.1+dfsg-5+deb7u3 libkrb5-3 1.10.1+dfsg-5+deb7u3 libkrb5support0 1.10.1+dfsg-5+deb7u3 libruby1.8 1.8.7.358-7.1+deb7u2 libxml2 2.8.0+dfsg1-7+wheezy3 ruby1.8 1.8.7.358-7.1+deb7u2 …

28 debian 

เมื่อวันศุกร์ที่ผ่านมาฉันเห็นว่าฉันมี 2 แพคเกจสำรองด้วยเหตุผลบางอย่างเมื่อฉันวิ่งapt-get upgradeดังนั้นโดยปกติฉันทำสิ่งใด ๆ ที่ผู้ดูแลระบบไม่มีประสบการณ์จะทำและถอนการติดตั้งแพคเกจด้วยความหวังว่า ฉันรู้น้อยฉันเพิ่งทำให้สถานการณ์แย่ลง เมื่อฉันพยายามติดตั้งใหม่openjdk-8-jre-headlessฉันได้รับสิ่งนี้: $ apt-get install openjdk-8-jre-headless Reading package lists... Done Building dependency tree Reading state information... Done Some packages could not be installed. This may mean that you have requested an impossible situation or if you are using the unstable distribution that some required …

28 debian  java  apt  debian-jessie 

ฉันใช้เซิร์ฟเวอร์ Ubuntu 15.10 บนกระดาน Asrock E3C226D2I เมื่อฉันได้รับการอัพเดตเคอร์เนลหรือเรียกใช้ update-initramfs -u ฉันได้รับคำเตือนเกี่ยวกับเฟิร์มแวร์ที่หายไป: root@fileserver:~# update-initramfs -u update-initramfs: Generating /boot/initrd.img-4.2.0-27-generic W: Possible missing firmware /lib/firmware/ast_dp501_fw.bin for module ast ฉันไม่สามารถหาข้อมูลมากมายเกี่ยวกับเฟิร์มแวร์นี้โดยเฉพาะนอกเหนือจากที่เป็นไปได้สำหรับการ์ดวิดีโอ เนื่องจากฉันใช้เซิร์ฟเวอร์ฉันไม่สนใจเรื่องกราฟิก (ไม่ได้เชื่อมต่อกับจอภาพ) ทำงานได้ดีดังนั้นตอนนี้ฉันไม่สนใจเลย แต่มีวิธีแก้ไขปัญหานี้หรือไม่

28 ubuntu  ubuntu-15.10 

ฉันเพิ่งค้นพบว่าเว็บไซต์ procmail ( http://www.procmail.org/ ) หยุดทำงาน ฉันได้ทำการวิจัยเกี่ยวกับสถานะของมันและปรากฏว่าการพัฒนาของ procmail นั้นตายไปตั้งแต่ปี 2001 แม้แต่ผู้ดูแล procmail เก่าก็แนะนำให้เอามันออกจากพอร์ต openbsd เพราะรหัสนั้นไม่ปลอดภัย ( https://marc.info/? l = openbsd-ports & m = 141634350915839 & w = 2 ) นี่เป็นบิตที่น่ากลัวเพราะข้อบกพร่องที่ไม่ได้ผสมอาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล ลีนุกซ์ลีนุกซ์รุ่นล่าสุด (เช่น Ubuntu, Debian) ยังคงให้บริการอยู่ แต่มันยังปลอดภัยที่จะใช้ procmail หรือไม่?

28 email  procmail 

วิธีการติดตั้ง Docker บนอินสแตนซ์ AWS EC2 ปัจจุบันที่รัน AMI คืออะไร มีการประกาศ Docker Enterprise Editionและตอนนี้ฉันต้องการทราบว่ามีอะไรเปลี่ยนแปลงหรือไม่ จนถึงตอนนี้ฉันใช้งานมาyum install dockerแล้วและจะได้รับ Docker เวอร์ชันใน1.12.6, build 7392c3b/1.12.6ตอนนี้ (3/3/2017) อย่างไรก็ตามที่เก็บ Docker บน GitHubบอกฉันว่ามีรุ่นใหม่กว่าอยู่แล้ว ฉันจำได้ว่าที่เก็บข้อมูล Docker (package) อย่างเป็นทางการที่มีชื่อแพคเกจdocker-engineมาแทนที่dockerเมื่อไม่นานมานี้และตอนนี้พวกเขาดูเหมือนจะแบ่งแพคเกจออกเป็นdocker-ceและdocker-eeที่เช่น "Docker Community Edition (Docker CE) ไม่รองรับ Red Hat Enterprise Linux" [ ที่มา ] ดังนั้นหรือจะยังคงถูกต้องที่จะใช้ข้างต้นเพื่อรับเวอร์ชันล่าสุดของ Docker ที่เสถียรบนอินสแตนซ์ EC2 ที่รัน AMI หรือฉันจำเป็นต้องดึงแพคเกจจากที่อื่น (และถ้าเป็นอันใด CE …

28 amazon-ec2  amazon-web-services  installation  docker  amazon-ami 

CentOS 7ระบบไฟล์คือXFSและresize2fsไม่ทำงาน ฉันต้องการที่จะหดตัวลง/homeไป 400 กรัมและเพิ่มพื้นที่ 100G /ไป ฉันควรทำอย่างไร? # df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/centos-root 50G 50G 341M 100% / devtmpfs 7.8G 0 7.8G 0% /dev tmpfs 7.8G 84K 7.8G 1% /dev/shm tmpfs 7.8G 778M 7.0G 10% /run tmpfs 7.8G 0 7.8G 0% /sys/fs/cgroup /dev/sda1 497M …

28 centos  partition  centos7  xfs 

ฉันวางแผนที่จะลงนามโซน DNS ของฉันกับ DNSSEC โซนของฉันผู้รับจดทะเบียนและเซิร์ฟเวอร์ DNS ของฉัน (BIND9) สนับสนุน DNSSEC ทั้งหมด ผู้เดียวที่ไม่สนับสนุน DNSSEC คือผู้ให้บริการ nameserver สำรองของฉัน (คือbuddyns.com ) บนเว็บไซต์ของพวกเขาพวกเขาระบุเรื่องนี้เกี่ยวกับ DNSSEC: BuddyNS ไม่รองรับ DNSSEC เพราะจะทำให้เกิดช่องโหว่บางอย่างที่ไม่เหมาะสมกับบริการ DNS ระดับสูง ฉันคิดว่าการใช้ DNSSEC นั้นเป็นปัญหาอย่างหนึ่งเนื่องจากผู้แก้ไขส่วนใหญ่ไม่ตรวจสอบว่ามีการลงชื่อบันทึกอย่างถูกต้องหรือไม่ สิ่งที่ฉันไม่ทราบก็คือ - ตามคำแถลงของพวกเขา - ดูเหมือนว่าการให้มันจะทำให้เกิดช่องโหว่ด้านความปลอดภัยบางประเภท ช่องโหว่เหล่านั้นคืออะไร?

28 domain-name-system  security  dnssec  vulnerabilities 

ฉันสามารถเข้าถึงคอมพิวเตอร์สองเครื่อง (A และ B) บนเครือข่าย ทั้งคู่มีที่อยู่ IP แบบคงที่พร้อม subnet mask จำนวน 255.255.255.128 (ฉันตรวจสอบว่าเซิร์ฟเวอร์ DHCP ไม่ได้ถูกใช้) ฉันต้องการกำหนดค่าที่อยู่ IP หลายรายการให้กับเครื่องเดียวกันและด้วยเหตุนี้ฉันต้องการทราบว่าที่อยู่ IP ทั้งหมดที่ใช้ในซับเน็ตนั้น จากคำถามก่อนหน้านี้ฉันลองใช้nmap -sP -PR 172.16.128.*คำสั่ง แต่ฉันสงสัยเกี่ยวกับผลลัพธ์เนื่องจากคำสั่งเดียวกันให้ผลลัพธ์ที่แตกต่างกันในคอมพิวเตอร์สองเครื่องของฉัน (A และ B) บนผลแสดงให้เห็นรายชื่อของที่อยู่ IP 8 คือ (สมมุติ) แล้วถูกนำมาใช้รวมทั้งA และ B Nmap done: 256 IP addresses (8 hosts up) scanned in 1.23 seconds แต่สำหรับ B …

28 networking  ip  linux-networking  rhel6 

ฉันจะให้ Linux OOM killer ไม่ฆ่ากระบวนการของฉันได้อย่างไรเมื่อหน่วยความจำกายภาพต่ำ แต่มีพื้นที่สว็อปมาก? ฉันปิดใช้งานการฆ่า OOM และ overcommit ด้วย sysctl vm.overcommit_memory = 2 VM มี swap ที่ไม่มีการจัดระเบียบฟรี 3 GB และกระบวนการที่ OOM ถูกฆ่านั้นมีการใช้หน่วยความจำสูงสุดน้อยกว่า 200MB ฉันรู้ว่าการแลกเปลี่ยนในระยะยาวจะน่ากลัวสำหรับประสิทธิภาพ แต่ฉันต้องใช้ swap ในตอนนี้เพื่อทำการทดสอบการทำงานภายใต้ valgrind ที่ความต้องการหน่วยความจำยิ่งใหญ่กว่ามาก Mar 7 02:43:11 myhost kernel: memcheck-amd64- invoked oom-killer: gfp_mask=0x24002c2, order=0, oom_score_adj=0 Mar 7 02:43:11 myhost kernel: memcheck-amd64- cpuset=/ mems_allowed=0 …

28 linux  swap  oom 

ลูกค้าของฉันใช้ใบรับรองที่ลงชื่อด้วยตนเองเพื่อให้แอปพลิเคชันทำงาน เพื่อให้สามารถใช้งานได้ฉันต้องติดตั้งใบรับรองหลักที่ใช้ในการลงชื่อใบรับรอง เป็นไปได้หรือไม่ที่จะกำหนดค่าใบรับรองหลักเพื่อให้ตรวจสอบได้เพียงหนึ่งโดเมนเท่านั้น

28 certificate  restrictions 

อะไรคือข้อดีและข้อเสียของSSD สำหรับผู้บริโภคเทียบกับไดรฟ์ที่หมุนเร็ว 10-15kในสภาพแวดล้อมเซิร์ฟเวอร์? เราไม่สามารถใช้ SSD องค์กรในกรณีของเราเนื่องจากมีราคาแพง นี่คือหมายเหตุเกี่ยวกับกรณีการใช้งานเฉพาะของเรา: ไฮเปอร์ไวเซอร์ที่มีสูงสุด 5-10 VM VM แต่ละตัวจะไม่มีการใช้งาน i / o ที่เข้มข้น RAID ภายใน 10, ไม่มี SAN / NAS ... ฉันรู้ว่า SSDs ระดับองค์กร: ได้รับการจัดอันดับสำหรับอายุขัยที่ยาวนานขึ้น และดำเนินการอย่างต่อเนื่องเป็นระยะเวลานาน มากกว่า SSD สำหรับผู้บริโภค ... แต่นั่นหมายความว่า SSD สำหรับผู้บริโภคไม่เหมาะสมอย่างสมบูรณ์สำหรับสภาพแวดล้อมเซิร์ฟเวอร์หรือจะยังคงทำงานได้ดีกว่าไดรฟ์หมุนเร็ว? เนื่องจากเราได้รับการปกป้องผ่าน RAID / การสำรองข้อมูลฉันจึงกังวลเกี่ยวกับประสิทธิภาพมากกว่าอายุการใช้งาน (ตราบใดที่อายุการใช้งานไม่คาดว่าจะต่ำมาก)

28 virtualization  raid  hard-drive  hardware  ssd 

ฉันกำลังทำ: aws iam upload-server-certificate --server-certificate-name MysiteCertificate --certificate-body Downloads/mysite/mysite.crt --private-key mysite.pem --certificate-chain Downloads/mysite/COMODOSSLCA.crt ฉันได้รับข้อผิดพลาดว่า: A client error (MalformedCertificate) occurred when calling the UploadServerCertificate operation: Unable to parse certificate. Please ensure the certificate is in PEM format. มันเป็นpemไฟล์ที่ถูกต้องแม้ว่า = (

28 amazon-web-services  ssl-certificate 

ฉันมีเซิร์ฟเวอร์ Ubuntu 12.04 ฉันได้อัปเดตOpenSSLแพคเกจเพื่อแก้ไขช่องโหว่ที่รุนแรง แต่ฉันยังคงมีช่องโหว่แม้ว่าฉันจะรีสตาร์ทเว็บเซิร์ฟเวอร์และแม้กระทั่งเซิร์ฟเวอร์ทั้งหมด เพื่อตรวจสอบช่องโหว่ของฉันฉันใช้: http://www.exploit-db.com/exploits/32745/ http://filippo.io/Heartbleed dpkg ให้: dpkg -l |grep openssl ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools (launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12)

28 ubuntu  nginx  security  openssl  heartbleed