ผู้ดูแลเซิร์ฟเวอร์

ฉันกำลังมองหาวิธีที่จะใช้ coredump ที่ไม่ล่วงล้ำของกระบวนการทำงานบน Linux ฉันคุ้นเคยกับ gdb gcoreแต่สามารถทำงานได้เมื่อgdbเชื่อมต่อกับกระบวนการและหยุดการดีบักเท่านั้น สำหรับดัมพ์หลักขนาดใหญ่ที่อาจหมายถึงหลายวินาทีหรือแม้กระทั่งสองสามนาทีของการประมวลผลที่ถูกขัดจังหวะ มีทางเลือกที่ไม่มีการบล็อกหรือไม่? ลินุกซ์สนับสนุนคัดลอกเมื่อเขียนหน่วยความจำซึ่งมันต้องอาศัยการสนับสนุนโดยไม่ต้องfork() exec()ดังนั้นฉันจึงคิดถึงสิ่งที่ระดับเคอร์เนลซึ่งเคอร์เนลใช้สแนปช็อต copy-on-write ของตารางหน้ากระบวนการของกระบวนการที่ถูกเททิ้งแล้วเขียนแกนออกในขณะที่กระบวนการดั้งเดิมยังคงทำงานอยู่ ฉันค่อนข้างมั่นใจว่าฉันสามารถใช้gdbเพื่อบังคับเด็กfork()แล้วทิ้งในขณะที่ผู้ปกครองดำเนินการอย่างมีความสุขจากนั้นwait()ในผู้ปกครองเพื่อเก็บเกี่ยวเด็กหลังจากการเลิกจ้าง แม้ว่าจะยุ่งและยังคงต้องมีการขัดจังหวะสองขั้นตอนของกระบวนการหลักแม้ว่าจะเป็นกระบวนการสั้น แน่นอนว่ามีคนต้องการสิ่งนี้มาก่อนหรือไม่

24 linux  dump  gdb 

เป้าหมายของฉันคือการรับรองความปลอดภัยที่เหมาะสมสำหรับลูกค้าที่เชื่อมต่อกับ nginx ของฉัน ฉันปฏิบัติตามคำแนะนำของ Mozilla เพื่อกำหนดค่า TLS อย่างถูกต้องในการติดตั้ง nginx ของฉัน แต่ฉันไม่มีภาพรวมของโปรโตคอล / ciphersuites จริง ๆ ที่ใช้ในทางปฏิบัติ สิ่งที่ฉันมีตอนนี้: server { listen 443; ssl on; ssl_certificate /path/to/signed_cert_plus_intermediates; ssl_certificate_key /path/to/private_key; ssl_dhparam /path/to/dhparam.pem; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'the_long_ciphersuite_listed_there'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; } ด้วยสิ่งนี้ฉันต้องการบันทึกว่าใช้โปรโตคอล SSL ใดสำหรับการเชื่อมต่อและเลือก ciphersuite หลังจากไคลเอนต์ / เซิร์ฟเวอร์เจรจา เช่น: …

24 nginx  security  logging  tls  ssl 

ฉันรู้ว่าเป็นไปได้ที่จะsshdฟังบนหลายพอร์ตโดยใช้หลายPortคำสั่ง เป็นไปได้หรือไม่ที่จะปรับการตั้งค่าต่อพอร์ตอย่างอิสระ โดยเฉพาะอย่างยิ่งเป็นไปได้หรือไม่ที่จะมีหนึ่งพอร์ตอนุญาตให้ใช้การพิสูจน์ตัวตนด้วยรหัสผ่าน แต่พอร์ตอื่นไม่อนุญาตหรือไม่

24 ssh 

ในช่วงสัปดาห์ที่ผ่านมาฉันได้รับปริมาณข้อมูลจำนวนมากจากที่อยู่ IP จีนจำนวนมาก การรับส่งข้อมูลนี้ดูเหมือนว่ามาจากคนปกติและคำขอ HTTP ของพวกเขาระบุว่าพวกเขาคิดว่าฉัน: Facebook อ่าวโจรสลัด เครื่องมือติดตาม BitTorrent ต่างๆ เว็บไซต์ลามก ทุกอย่างดูเหมือนสิ่งที่ผู้คนจะใช้ VPN สำหรับ หรือสิ่งต่าง ๆ ที่จะทำให้กำแพงเมืองจีนโกรธ ตัวแทนผู้ใช้รวมถึงเว็บเบราว์เซอร์, Android, iOS, FBiOSSDK, Bittorrent ที่อยู่ IP เป็นผู้ให้บริการภาษาจีนเชิงพาณิชย์ทั่วไป ฉันมี Nginx ที่ส่งคืน 444 หากโฮสต์ไม่ถูกต้องหรือตัวแทนผู้ใช้ไม่ถูกต้อง: ## Deny illegal Host headers if ($host !~* ^({{ www_domain }})$ ) { return 444; } ## block bad …

24 nginx  vpn  china 

คำถามนี้ถูกโยกย้ายจาก Super User เพราะสามารถตอบได้ใน Server Fault อพยพ 5 ปีที่ผ่านมา เราต้องไม่อนุญาตให้บัญชีผู้ดูแลระบบโดเมนเข้าถึงเซิร์ฟเวอร์โดยตรงผ่าน RDP นโยบายของเราคือการเข้าสู่ระบบในฐานะผู้ใช้ปกติแล้วใช้ Run As Admin functionallity เราจะตั้งค่านี้ได้อย่างไร เซิร์ฟเวอร์ที่สงสัยกำลังเรียกใช้ Windows Server 2012 R2 พร้อมโฮสต์เดสก์ท็อประยะไกลระยะไกลและการเก็บรวบรวม RD ตามเซสชัน กลุ่มผู้ใช้ที่ได้รับอนุญาตไม่มีผู้ใช้โดเมนผู้ดูแลระบบ แต่อย่างใดเขาก็ยังสามารถเข้าสู่ระบบ ขอขอบคุณ.

24 remote-desktop  windows-terminal-services  windows-server-2012-r2 

ฉันกำลังเล่นกับ Amazon ECS (repackaging ของ Docker) และฉันพบว่ามีความสามารถ Docker หนึ่งที่ ECS ไม่ได้ให้ กล่าวคือฉันต้องการให้มีหลายคอนเทนเนอร์ที่ทำงานในอินสแตนซ์และมีคำขอเข้ามาในที่อยู่ IP 1 แผนที่ไปยังคอนเทนเนอร์ 1 และคำขอที่มาถึงที่อยู่ IP 2 แผนที่ไปยังคอนเทนเนอร์ 2 ฯลฯ ใน Docker การผูกคอนเทนเนอร์กับที่อยู่ IP เฉพาะจะกระทำผ่าน: docker run -p myHostIPAddr:80:8080 imageName command อย่างไรก็ตามใน Amazon ECS ดูเหมือนจะไม่มีทางทำสิ่งนี้ ฉันได้ตั้งค่าอินสแตนซ์ EC2 ที่มีที่อยู่ IP หลายยืดหยุ่น เมื่อกำหนดค่าคอนเทนเนอร์เป็นส่วนหนึ่งของการกำหนดภารกิจคุณสามารถแมปพอร์ตโฮสต์กับพอร์ตคอนเทนเนอร์ได้ อย่างไรก็ตามแตกต่างจาก Docker, ECS ไม่ได้ให้วิธีการระบุที่อยู่ IP ของโฮสต์เป็นส่วนหนึ่งของการทำแผนที่ การบิดเพิ่มเติมคือฉันต้องการคำขอขาออกจากคอนเทนเนอร์ …

24 amazon-web-services  docker  amazon-ecs 

ก่อนที่ฉันจะเจาะลึกลงไปถึงวิธีการซิงโครไนซ์ UID / GID บนเครื่องลีนุกซ์ที่แตกต่างกันฉันอยากรู้ว่าอะไรคือประโยชน์จริง ๆ ? ฉันรู้ว่าวิธีนี้ทำให้การซิงโครไนซ์ไฟล์ค่อนข้างง่าย อย่างไรก็ตามเรื่องนี้สามารถทำได้เป็นอย่างอื่นขึ้นอยู่กับบริการส่ง มีอะไรอีกบ้างที่จะได้รับประโยชน์จาก UID ที่สอดคล้องกัน / GIDs?

24 linux  synchronization  uid 

ฉันใช้ Ubuntu 12.04 บน Oracle VirtualBox สองสามเดือนที่ผ่านมาฉันติดตั้งเซิร์ฟเวอร์ PostgreSQL เวอร์ชัน 9.1 บนเครื่องของฉัน เมื่อเร็ว ๆ นี้ฉันได้เรียนรู้ว่าเซิร์ฟเวอร์ PostgreSQL 9.3 รองรับประเภทข้อมูล JSON ดังนั้นฉันจึงตัดสินใจอัพเกรด ฉันอัพเกรดเป็น 9.3 โดยทำตามคำแนะนำที่นี่: https://wiki.postgresql.org/wiki/Apt wget --quiet -O - https://www.postgresql.org/media/keys/ACCC4CF8.asc | sudo apt-key add - sudo apt-get update sudo apt-get upgrade sudo apt-get install postgresql-9.3 pgadmin3 เซิร์ฟเวอร์ที่ติดตั้งรุ่นนี้ 9.3 ในเครื่องของฉันพร้อมกับรุ่น 9.1 การรัน pg_lsclusters …

24 ubuntu  postgresql 

ความเข้าใจของฉันคือข้อมูลจำเพาะ SPF ระบุผู้รับอีเมลไม่ควรต้องทำการค้นหา DNS มากกว่า 10 รายการเพื่อรวบรวม IP ที่ได้รับอนุญาตทั้งหมดสำหรับผู้ส่ง ดังนั้นถ้าระเบียน SPF มีinclude:foo.com include:bar.com include:baz.comและสามโดเมนเหล่านั้นแต่ละรายการมีระเบียน SPF ซึ่งมี 3 includeรายการตอนนี้เรามีมากถึง 3 + 3 + 3 + 3 = 12 การค้นหา DNS ความเข้าใจของฉันถูกต้องหรือไม่ ฉันใช้บริการ 2 หรือ 3 สำหรับโดเมนของฉันและฉันผ่านพ้นขีด จำกัด นี้ไปแล้ว โดยทั่วไปแล้วข้อ จำกัด นี้ (หรือเคย) บังคับใช้โดยผู้ให้บริการอีเมลรายใหญ่ / รายย่อยหรือไม่?

24 spam  spf  email 

ฉันมีปัญหากับ MySQL ที่ทำงานอยู่ในคอนเทนเนอร์ Docker ภาพทดสอบของฉันสร้างขึ้นจาก Dockerfile ต่อไปนี้: # See: https://index.docker.io/u/brice/mysql/ FROM ubuntu:12.10 MAINTAINER Joni Kahara <joni.kahara@async.fi> # Because docker replaces /sbin/init: https://github.com/dotcloud/docker/issues/1024 RUN dpkg-divert --local --rename --add /sbin/initctl RUN ln -s /bin/true /sbin/initctl RUN apt-get update RUN apt-get upgrade -y RUN apt-get -y install mysql-server RUN sed -i -e"s/^bind-address\s*=\s*127.0.0.1/bind-address = …

24 iptables  docker 

ลองนึกภาพการตั้งค่าเซิร์ฟเวอร์ของ บริษัท เว็บโฮสติ้งที่ใช้ร่วมกันซึ่งลูกค้าหลายคน (~ 100) มีการเข้าถึงเชลล์ไปยังเซิร์ฟเวอร์เดียว จำนวนมากเว็บ "ซอฟต์แวร์" แนะนำให้ไฟล์ chmod 0777 ฉันกังวลเกี่ยวกับลูกค้าของเราติดตามบทเรียนเหล่านี้อย่างไม่เต็มใจเปิดไฟล์ให้ลูกค้ารายอื่นของเรา (แน่นอนว่าฉันไม่ได้ใช้โดยไม่cmod 0777จำเป็นต้องใช้ตัวเอง!) มีวิธีการเพื่อให้แน่ใจว่าลูกค้าสามารถเข้าถึงไฟล์ของตนเองและป้องกันไม่ให้พวกเขาเข้าถึงไฟล์ที่ผู้อ่านคนอื่น ๆ ฉันมองเข้าไปในAppArmorแต่นั่นเป็นกระบวนการที่แน่นมากซึ่งดูเหมือนว่าจะล้มเหลวในสภาพแวดล้อมนั้น

24 linux  security  file-permissions  shared-hosting 

ฉันคัดลอกตัวอย่างnginx.confลงในกล่อง ubuntu 12.04 ของฉัน (ฉันไม่รู้ว่าจะใส่ไฟล์ conf อื่น ๆ ที่ไหนฉันเป็น nginx noob) เมื่อฉันพยายามเริ่ม nginx ฉันได้รับข้อผิดพลาดต่อไปนี้: abe-lens-laptop@abe:/etc$ sudo service nginx start Starting nginx: nginx: [emerg] getpwnam("www") failed in /etc/nginx/nginx.conf:1 nginx: configuration file /etc/nginx/nginx.conf test failed ข้อผิดพลาดนี้หมายความว่าอย่างไร ฉันจะแก้ไขได้อย่างไร ฉันพบโพสต์นี้ แต่ผู้ใช้ของฉันถูกตั้งค่าเป็น www www (ถ้าคุณเห็นในไฟล์ที่เชื่อมโยง) ฉันจะเปลี่ยนผู้ใช้ NGINX ได้อย่างไร?

24 linux  nginx  web-server 

ฉันใช้ webmin (ซึ่งใช้ yum) เพื่อติดตั้งการอัปเดตบนเซิร์ฟเวอร์ของฉันและบางครั้งก็อัปเดตเคอร์เนลรวมถึงเคอร์เนลเฟิร์มแวร์และเคอร์เนลส่วนหัว ฉันต้องรีสตาร์ทเซิร์ฟเวอร์หลังจากอัปเดตเคอร์เนลหรือไม่

24 linux  yum 

ฉันมีโปรแกรมที่ต้องบันทึกข้อมูลในสภาพแวดล้อมที่กลางแจ้งและฉันสนใจในความน่าเชื่อถือของ SSDs เทียบกับฮาร์ดดิสก์เมื่ออยู่ในที่มีอากาศเย็น (ลดลงถึง -20) และร้อน (50) โดยรอบสภาพแวดล้อม ปรีชาทำให้ฉันเชื่อว่า SSD จะมีความน่าเชื่อถือมากกว่ายกเว้นในกรณีที่มีอุณหภูมิสูง เปลือกเครื่องปรับอากาศไม่ได้เป็นตัวเลือก ใครบ้างมีข้อมูลเกี่ยวกับความน่าเชื่อถือของดิสก์ในสถานการณ์เหล่านี้หรือไม่

24 ssd  hard-drive 

ฉันใช้ OpenVPN และในขณะที่ฉันสามารถสร้างใบรับรองโดยใช้ easyrsa ได้ แต่ฉันไม่เข้าใจการตั้งค่าในไฟล์ easyrsa vars: export KEY_COUNTRY="" export KEY_PROVINCE="" export KEY_CITY="" export KEY_ORG export KEY_EMAIL="" export KEY_EMAIL= export KEY_CN= export KEY_NAME= export KEY_OU= export PKCS11_MODULE_PATH= export PKCS11_PIN=1234 ใครสามารถอธิบายการตั้งค่าเหล่านี้ได้บ้าง ขอบคุณล่วงหน้า.

24 openvpn  pki