ผู้ดูแลเซิร์ฟเวอร์

ฉันมีงานที่กำหนดเวลาไว้ซึ่งเป็น CPU และ IO มากและใช้เวลาประมาณสี่ชั่วโมงในการเรียกใช้ (การสร้างซอร์สโค้ดหากคุณอยากรู้) ภารกิจคือสคริปต์ Powershell ซึ่งวางไข่กระบวนการย่อยต่าง ๆ เพื่อทำงาน เมื่อฉันเรียกใช้กระบวนการเดียวกันแบบโต้ตอบได้จากพรอมต์ Powershell เช่นเดียวกับบัญชีผู้ใช้เดียวกันมันจะทำงานในเวลาประมาณสองชั่วโมงครึ่ง งานกำลังทำงานบน Windows Server 2008 R2 สิ่งที่ฉันอยากรู้คือทำไมมันใช้เวลานานกว่าจะทำงานตามกำหนดเวลา - นานกว่าหนึ่งชั่วโมง สิ่งหนึ่งที่ฉันสังเกตเห็นคือตัวกำหนดตารางงานทำงานที่ลำดับความสำคัญต่ำกว่าปกติดังนั้นเมื่องานของฉันเริ่มทำงานจะมีลำดับความสำคัญลดลงเหมือนเดิม อย่างไรก็ตามฉันได้อัปเดตสคริปต์เพื่อตั้งค่าลำดับความสำคัญของกระบวนการ Powershell กลับเป็นปกติและยังคงใช้เวลานาน ใครมีความคิดว่าอะไรจะแตกต่างกันระหว่างสองสถานการณ์ ฉันได้พิจารณาข้อแตกต่างของตัวประมวลผลและโหลด IO - งานนี้เป็นสิ่งเดียวที่ระบบใช้สำหรับดังนั้นจึงไม่มีอะไรทำงานที่สามารถแข่งขันกับทรัพยากรได้

41 performance  windows-server-2008-r2  scheduled-task 

ระบบของฉันใช้งาน CentOS 6.4 ด้วย apache2.2.15 SElinux บังคับใช้และฉันพยายามเชื่อมต่อกับอินสแตนซ์ในพื้นที่ของ redis ผ่านแอพ python / wsgi ของฉัน ฉันได้รับข้อผิดพลาด 13 สิทธิ์ถูกปฏิเสธ ฉันสามารถแก้ไขได้ผ่านคำสั่ง: setsebool -P httpd_can_network_connect อย่างไรก็ตามฉันไม่ต้องการให้ httpd เชื่อมต่อกับพอร์ต tcp ทั้งหมดได้อย่างแน่นอน ฉันจะระบุพอร์ต http / เครือข่ายที่อนุญาตให้เชื่อมต่อได้อย่างไร ถ้าฉันสามารถสร้างโมดูลเพื่ออนุญาตให้ httpd เชื่อมต่อกับพอร์ต 6379 (redis) หรือ tcp ใด ๆ บน 127.0.0.1 นั่นจะเป็นสิ่งที่ดีกว่า ไม่แน่ใจว่าทำไมความหวาดระแวงของฉันถึงแข็งแรงมากในเรื่องนี้ แต่เฮ้ ... ใครรู้บ้าง

41 apache-2.2  redhat  selinux  redis 

การสลับร้อนระหว่างไดรฟ์ SATA / dev / sda ที่ล้มเหลวทำงานได้ดี แต่เมื่อฉันไปแลกเปลี่ยนในไดรฟ์ใหม่มันไม่ได้รับการยอมรับ: [root@fs-2 ~]# tail -18 /var/log/messages May 5 16:54:35 fs-2 kernel: ata1: exception Emask 0x10 SAct 0x0 SErr 0x50000 action 0xe frozen May 5 16:54:35 fs-2 kernel: ata1: SError: { PHYRdyChg CommWake } May 5 16:54:40 fs-2 kernel: ata1: link is slow to …

41 linux  sata  linux-kernel  scsi  hotswap 

นี่คือวิธีที่ฉันป้อนค่าสำหรับคีย์ DKIM: "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwztXzIUqic95qSESmnqX U5v4W4ENbciFWyBkymsmmSNOhLlEtzp/mnyhf50ApwCTGLK9U7goo/ijX/wr5roy XhReVrvcqtIo3+63a1Et58C1J2o4xCvp0K2/lM6hla4B9jSph7QzjYdtWlOJqLRs o0nzcut7DSq/xYcVqvrFDNbutCfG//0wcRVUtGEyLX/a/7mAAkW6H8UEYMPglQ9c eEDfTT6pzIlqaK9cHGOsSCg4r0N8YxnHFMRzKaZwmudaXTorSbCs7e681g125/vJ e82VV7DE0uvKW/jquZYtgMn7+0rm+2FDYcDx/7lzoByl91rx37MAJaUx/2JHi1EA nwIDAQAB" ไม่มีบรรทัดใหม่ในค่านี้ (ฉันคัดลอกวางโดยเฉพาะและทดสอบในโปรแกรมแก้ไขข้อความ) แต่ด้วยเหตุผลบางอย่างฉันได้รับ TXT เป็นข้อผิดพลาดยาวเกินไป: TXTRDATATooLong พบใน "v = DKIM1; k = RSA; p = MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwztXzIUqic95qSESmnqX U5v4W4ENbciFWyBkymsmmSNOhLlEtzp / mnyhf50ApwCTGLK9U7goo / ijX / wr5roy XhReVrvcqtIo3 + 63a1Et58C1J2o4xCvp0K2 / lM6hla4B9jSph7QzjYdtWlOJqLRs o0nzcut7DSq / xYcVqvrFDNbutCfG // 0wcRVUtGEyLX / a / 7mAAkW6H8UEYMPglQ9c eEDfTT6pzIlqaK9cHGOsSCg4r0N8YxnHFMRzKaZwmudaXTorSbCs7e681g125 / …

41 amazon-web-services  amazon-route53 

ฉันมีปัญหาในการหาวิธีลบ systemd units ที่ไม่มีไฟล์อีกต่อไป พวกเขาดูเหมือนจะยังคงอยู่ในระบบอย่างใด หน่วยที่ชำรุดเก่าที่ฉันพยายามลบ: core@ip-172-16-32-83 ~ $ systemctl list-units --all firehose-router* UNIT LOAD ACTIVE SUB DESCRIPTION <E2><97><8F> firehose-router@02.service not-found failed failed firehose-router@02.service <E2><97><8F> firehose-router@03.service not-found failed failed firehose-router@03.service LOAD = Reflects whether the unit definition was properly loaded. ACTIVE = The high-level unit activation state, i.e. generalization of …

40 systemd  coreos 

ฉันพยายามกำหนดค่าเซิร์ฟเวอร์ Nginx เป็น reverse proxy ดังนั้นการร้องขอ https ที่ได้รับจากลูกค้าจะถูกส่งต่อไปยังเซิร์ฟเวอร์ upstream ผ่านทาง https เช่นกัน นี่คือการกำหนดค่าที่ฉันใช้: http { # enable reverse proxy proxy_redirect off; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwared-For $proxy_add_x_forwarded_for; upstream streaming_example_com { server WEBSERVER_IP:443; } server { listen 443 default ssl; server_name streaming.example.com; access_log /tmp/nginx_reverse_access.log; error_log /tmp/nginx_reverse_error.log; root /usr/local/nginx/html; …

40 nginx  ssl  reverse-proxy 

ในระหว่างการตรวจสอบล่าสุดเราถูกขอให้ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ DNS ของเราที่ใช้งาน linux (bind9) เซิร์ฟเวอร์ไม่ได้ถูกบุกรุกระหว่างการทดสอบการเจาะระบบ แต่นี่เป็นหนึ่งในคำแนะนำที่ได้รับ โดยปกติจะติดตั้งซอฟต์แวร์ป้องกันไวรัส linux เพื่อสแกนทราฟฟิกที่ผู้ใช้กำหนดดังนั้นเป้าหมายในการติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์ dns คืออะไร คุณมีความคิดเห็นอย่างไรกับข้อเสนอนี้? คุณใช้ซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ linux ของคุณหรือไม่ ถ้าเป็นเช่นนั้นคุณควรแนะนำซอฟต์แวร์ป้องกันไวรัสชนิดใดหรือกำลังใช้งานอยู่

40 linux  domain-name-system  bind  anti-virus  pci-dss 

คุณเพิ่มกฎเช่นนี้: ufw allow 22/tcp กฎจะถูกบันทึกและถูกนำไปใช้แม้หลังจากรีบูต /etc/ufwแต่มันไม่ได้เขียนทุกที่ใน มันถูกบันทึกไว้ที่ไหน? (Ubuntu ใช้ ufw เป็นตัวติดตั้งล่วงหน้า)

40 iptables  firewall  ufw 

ฉันดึงใบรับรองโดยใช้คำสั่ง SSL / ส่งออกของ Chrome จากนั้นให้มันเป็นอินพุตสำหรับ openvpn - ใน config สำหรับ openvpn: pkcs12 "path/to/pkcs12_container" เมื่อโทรopenvpn ~/openvp_configมันจะถามรหัสผ่านสำหรับกุญแจส่วนตัว (ที่ฉันป้อนเมื่อส่งออกโดยใช้ Chrome): Enter Private Key Password:... ฉันต้องการลบคำขอรหัสผ่านนี้ คำถาม: วิธีการลบรหัสผ่านสำหรับคีย์ส่วนตัวจาก pkcs12? นั่นคือสร้างไฟล์ pkcs12 ซึ่งไม่ต้องการรหัสผ่าน (ดูเหมือนว่าฉันทำไปแล้วเมื่อปีที่แล้วและตอนนี้ก็ลืมไปเลย)

40 ssl-certificate  openssl 

นี่เป็นครั้งแรกที่ฉันตั้งค่าหรือแม้กระทั่งการใช้ไดเรกทอรีที่ใช้งานอยู่ ฉันตั้งค่าและเพิ่มคอมพิวเตอร์ (จริง VMs ใน Hyper V) ไปยังไดเรกทอรีที่ใช้งานและถ้าฉันใช้ Hyper-V เพื่อเชื่อมต่อกับ VMs ฉันสามารถใช้ผู้ใช้จากโดเมนไดเรกทอรีที่ใช้งานเพื่อเข้าสู่ระบบ VMs อย่างไรก็ตามหากฉันพยายามเข้าสู่ระบบผ่านเดสก์ท็อประยะไกลฉันได้รับข้อผิดพลาดนี้ The connection was denied because the user account is not authorized for remote login. ฉันได้ลอง: - จากภายในไดเรกทอรีที่ใช้งานอยู่ฉันได้เพิ่มกลุ่มที่ผู้ใช้ของฉันอยู่ในผู้ใช้เดสก์ท็อประยะไกล - บน VM เองให้เพิ่มกลุ่มไดเรกทอรีที่ใช้งานอยู่ (ซึ่งมีผู้ใช้ที่ฉันพยายามเข้าสู่ระบบด้วย) เพื่ออนุญาตให้เข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกลในนโยบายความปลอดภัยท้องถิ่น ฉันยังคงมีข้อผิดพลาดการอนุญาตเดียวกันที่ถูกปฏิเสธ ฉันจะตั้งค่ากลุ่มในไดเรกทอรีที่ใช้งานอย่างถูกต้องเพื่อให้สามารถเข้าสู่ระบบด้วยเดสก์ท็อประยะไกลบนเครื่องเสมือนทั้งหมดของฉันได้อย่างไร ขอบคุณ!

40 active-directory  remote-desktop  rdp 

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับการตั้งค่า DNS ของ Active Directory ที่เกี่ยวข้อง: บริการโดเมน Active Directory คืออะไรและทำงานอย่างไร สมมติว่าสภาพแวดล้อมที่มีหลายโดเมนคอนโทรลเลอร์ (สมมติว่าพวกเขาทั้งหมดใช้ DNS เช่นกัน): เซิร์ฟเวอร์ DNS ควรจะแสดงรายการอะไรในอะแดปเตอร์เครือข่ายสำหรับแต่ละโดเมนคอนโทรลเลอร์ ควรใช้ 127.0.0.1 เป็นเซิร์ฟเวอร์ DNS หลักสำหรับแต่ละโดเมนคอนโทรลเลอร์หรือไม่ มันสร้างความแตกต่างหรือไม่หากเป็นเช่นนั้นเวอร์ชันใดที่ได้รับผลกระทบและจะเป็นอย่างไร

40 windows  domain-name-system  active-directory  domain-controller 

หากมีการระบุการกำหนดค่า logrotate ด้วยพารามิเตอร์ "ขนาด" และ "รายวัน" สิ่งใดที่จะมาก่อน เอกสารนี้อยู่ที่ไหน ฉันต้องการให้การหมุนเหล่านี้เกิดขึ้นเป็นการดำเนินการแบบบูลหรือเช่นถ้าบันทึกมีอายุหนึ่งวันพวกเขาจะถูกหมุนหรือถ้าพวกเขามีขนาดใหญ่กว่าขนาดที่กำหนดพวกเขาก็จะได้รับการหมุนด้วย อย่างไรก็ตามขณะนี้ logrotate ใช้คำสั่ง "ขนาด" เท่านั้นและดูเหมือนจะไม่สนใจคำสั่ง "รายวัน" มีการตั้งค่า Logrotate ให้ทำงานทุก ๆ ชั่วโมง ระบบปฏิบัติการคือ linux, Red Hat และ Debian Derivatives นอกจากนี้ฉันกำลังระบุ "รายวัน" ก่อนจากนั้น "ขนาด" จากจุดเริ่มต้นของไฟล์ ไม่แน่ใจว่าคำสั่งซื้อมีความสำคัญหรือไม่ แต่ไม่ว่าในกรณีใดต้องมีลำดับมาก่อนในไฟล์ config ขอบคุณ!

40 logrotate 

หากเป็นไปได้ที่จะค้นหาว่าเซิร์ฟเวอร์ชื่อใดที่โดเมนเคยชี้ด้วยก่อนหน้านี้ ฉันต้องลองค้นหาว่าโดเมนใดโฮสต์อยู่ก่อนหน้านี้เพื่อให้ฉันสามารถลองและเข้าถึงบัญชีอีเมลที่โฮสต์เก่า ความคิดใด ๆ

40 domain-name-system  nameserver  mx-record 

นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับ DNS (บริการชื่อโดเมน) หากความเข้าใจของฉันเกี่ยวกับระบบ DNS นั้นถูกต้องรีจิสทรีของ. com จะเก็บตารางที่จับคู่โดเมน (www.example.com) กับเซิร์ฟเวอร์ DNS ข้อดีคืออะไร ทำไมไม่แมปโดยตรงไปยังที่อยู่ IP หากระเบียนเดียวที่ต้องเปลี่ยนเมื่อฉันกำหนดค่าเซิร์ฟเวอร์ DNS ให้ชี้ไปยังที่อยู่ IP อื่นตั้งอยู่ที่เซิร์ฟเวอร์ DNS เหตุใดกระบวนการจึงไม่ประมวลผลทันที หากเหตุผลเดียวสำหรับความล่าช้าคือแคช DNS เป็นไปได้หรือไม่ที่จะเลี่ยงผ่านดังนั้นฉันสามารถดูว่าเกิดอะไรขึ้นในเวลาจริง

40 domain-name-system 

ในทีมของเราเรามี Linux sysadmins สามรุ่นที่ต้องดูแลเซิร์ฟเวอร์ Debian ไม่กี่โหล ก่อนหน้านี้เราทำงานเป็นรูทโดยใช้การตรวจสอบสิทธิ์กุญแจสาธารณะของ SSH แต่เรามีการสนทนากันว่าอะไรคือวิธีปฏิบัติที่ดีที่สุดสำหรับสถานการณ์นั้นและไม่เห็นด้วยกับสิ่งใด คีย์สาธารณะ SSH ของทุกคนจะถูกใส่ใน ~ root / .ssh / authorized_keys2 ข้อได้เปรียบ: ใช้งานง่ายการส่งต่อตัวแทน SSH ทำงานได้ง่ายค่าใช้จ่ายเล็กน้อย ข้อเสีย: การตรวจสอบที่ขาดหายไป (คุณไม่เคยรู้เลยว่า "ราก" ใดทำการเปลี่ยนแปลง) อุบัติเหตุมีแนวโน้มมากขึ้น ใช้บัญชีส่วนตัวและsudo ด้วยวิธีนี้เราจะเข้าสู่ระบบด้วยบัญชีส่วนบุคคลโดยใช้กุญแจสาธารณะของ SSH และใช้sudoเพื่อทำงานเดี่ยวด้วยสิทธิ์ระดับรูท นอกจากนี้เราสามารถให้กลุ่ม "adm" ที่ทำให้เราสามารถดูไฟล์บันทึกได้ ข้อได้เปรียบ: การตรวจสอบที่ดีsudoทำให้เราไม่สามารถทำสิ่งที่งี่เง่าได้ง่ายเกินไป ข้อเสีย: ตัวแบ่งการส่งต่อตัวแทน SSH มันเป็นเรื่องยุ่งยากเพราะแทบจะทุกสิ่งสามารถทำได้โดยไม่ต้องรูท ใช้ผู้ใช้ UID 0 หลายคน นี่เป็นข้อเสนอที่ไม่เหมือนใครจากหนึ่งใน sysadmins เขาแนะนำให้สร้างผู้ใช้สามคนใน / etc …

40 linux  root