ผู้ดูแลเซิร์ฟเวอร์

หลายคน (รวมถึงคู่มือรักษาความปลอดภัยเดเบียน ) แนะนำให้ติดตั้ง/tmpกับnoexec,nodev,nosuidชุดตัวเลือก โดยทั่วไปแล้วจะแสดงเป็นองค์ประกอบหนึ่งของกลยุทธ์ 'การป้องกันเชิงลึก' โดยการป้องกันการเพิ่มของการโจมตีที่ให้ใครบางคนเขียนไฟล์หรือการโจมตีโดยผู้ใช้ที่มีบัญชีถูกต้องตามกฎหมาย แต่ไม่มีพื้นที่การเขียนอื่น ๆ เมื่อเวลาผ่านไปฉันได้พบข้อโต้แย้ง (ส่วนใหญ่เด่นโดย Debian / Ubuntu Developer Colin Watson) ซึ่งnoexecเป็นวิธีที่ไร้ประโยชน์ด้วยเหตุผลที่เป็นไปได้: ผู้ใช้สามารถเรียกใช้/lib/ld-linux.so <binary>ในความพยายามที่จะได้รับผลกระทบที่เหมือนกัน ผู้ใช้ยังคงสามารถเรียกใช้ล่ามที่ระบบจัดให้กับสคริปต์ที่ไม่สามารถเรียกใช้โดยตรง เมื่อพิจารณาถึงข้อโต้แย้งเหล่านี้ความต้องการที่อาจเกิดขึ้นสำหรับการกำหนดค่าเพิ่มเติม (เช่นdebconfไลค์ไดเรคทอรีชั่วคราวที่ใช้งานได้) และการสูญเสียความสะดวกสบายที่อาจเกิดขึ้นนี่เป็นมาตรการรักษาความปลอดภัยที่คุ้มค่าใช่หรือไม่ คุณรูอะไรอีกที่รู้ว่าสามารถหลบเลี่ยงได้?

39 linux  security  mount  tmp  noexec 

ฉันสามารถหาที่อยู่ IP ของฉันโดยใช้คำสั่ง ifconfig หรือ hostname -i แต่ฉันจะค้นหา IP สาธารณะของฉันได้อย่างไร (ฉันมี IP สาธารณะคงที่ แต่ฉันต้องการค้นหาโดยใช้คำสั่ง unix)

39 unix  shell 

ฉันสามารถทำให้ unzip หรือโปรแกรมที่คล้ายกันทำงานบนเอาต์พุตมาตรฐานได้หรือไม่ สถานการณ์คือฉันกำลังดาวน์โหลดไฟล์ zip ซึ่งควรจะคลายซิปทันที ปัญหาที่เกี่ยวข้อง: ฉันจะไพพ์ไฟล์ที่ดาวน์โหลดไปยังเอาต์พุตมาตรฐานใน bash ได้อย่างไร

39 linux  ubuntu  pipe  compression 

ดังนั้น - เรามีฐานข้อมูลภายใน บริษัท ซึ่งเป็นประเภทปกติ: จัดการลูกค้าโทรศัพท์ข้อเสนอการขายและข้อตกลง / รูปแบบของลูกค้า เป็น Front-End ของ Access 2000 และ SQL Server 2000 Standard back-end เซิร์ฟเวอร์เดียว, Xeon คู่สอง 3.2GHz, 2GB RAM, Windows Server 2003, รับ CPU ประมาณ 40% ตลอดทั้งวัน, แผ่กระจายไปทั่วทั้ง 4 คอร์ที่มองเห็นได้จาก OS (HT) ฐานข้อมูลส่วนหลังได้รับการออกแบบมาไม่ดีและมีการเติบโตแบบออร์แกนิกมากกว่า 10 ปีขึ้นไปดูแลโดยบุคคลที่มีทักษะน้อยกว่า มันเป็นมาตรฐานที่ไม่ดีและปัญหาที่ชัดเจนบางอย่างรวมถึงตารางที่มีจำนวนหมื่นแถวโดยไม่มีคีย์หลักหรือดัชนีซึ่งใช้อย่างมากในการรวมหลายตารางสำหรับบางส่วนที่ใช้งานหนักที่สุดของระบบ (เช่น แอปพลิเคชันตัวจัดการการโทรที่อยู่บนจอภาพที่สองของทุกคนเป็นเวลา 8 ชั่วโมงต่อวันและเรียกใช้แบบสอบถามที่ไม่มีประสิทธิภาพขนาดใหญ่ทุกสองสามวินาที) ส่วนหน้านั้นไม่ได้ดีไปกว่านี้มันเป็นระเบียบโดยทั่วไปของหลายร้อยรูปแบบแบบสอบถามที่ซ้อนกันที่บันทึกไว้ SQL ที่ฝังตัวที่เขียนได้ไม่ดีในรหัส VBA, …

39 sql-server  hardware  database-performance  microsoft-access 

แม้ว่าจะมีเครือข่ายส่วนตัวที่ไม่สามารถกำหนดเส้นทางได้หลากหลายใน 192.168 / 16 หรือแม้แต่ 10/8 แต่บางครั้งก็มีความขัดแย้งที่อาจเกิดขึ้นได้ ตัวอย่างเช่นฉันตั้งค่าการติดตั้ง OpenVPN หนึ่งครั้งด้วยเครือข่าย VPN ภายในวันที่ 192.168.27 นี่เป็นสิ่งที่ดีและน่าสนใจจนกระทั่งโรงแรมใช้เครือข่ายย่อยนั้นสำหรับชั้น 27 บน wifi ของพวกเขา ฉันใช้ IP เครือข่าย VPN เป็นเครือข่าย 172.16 อีกครั้งเนื่องจากดูเหมือนว่าจะเป็นทั้งหมด แต่ไม่ได้ใช้โดยโรงแรมและร้านอินเทอร์เน็ตคาเฟ่ แต่นั่นเป็นวิธีแก้ไขปัญหาที่เหมาะสมหรือไม่? ในขณะที่ฉันพูดถึง OpenVPN ฉันชอบที่จะได้ยินความคิดเกี่ยวกับปัญหานี้ในการปรับใช้ VPN อื่น ๆ รวมถึง IPSEC ธรรมดา ol

39 networking  security  vpn  openvpn 

ไม่เจาะจงไปที่ข้อมูลจำเพาะเนื่องจากฉันรู้ว่าไม่มีคำตอบที่แท้จริงสำหรับสิ่งนี้ แต่วันนี้ฉันทำการทดสอบโหลดด้วยabคำสั่งใน Apache และได้จำนวน 70 คำขอต่อวินาที (1,000 คำขอพร้อมผู้ใช้ 100 คนพร้อมกัน) บนหน้าเว็บที่โหลดจากตารางฐานข้อมูล 4 ตารางที่แตกต่างกันและทำการจัดการกับข้อมูล ดังนั้นจึงเป็นหน้าที่ค่อนข้างหนัก เซิร์ฟเวอร์ไม่ได้ใช้งานอย่างอื่นในตอนนี้และการโหลดมันเป็นเพียงฉันเพราะมันกำลังอยู่ในระหว่างการพัฒนา แต่แอปพลิเคชั่นจะใช้งานทุกวันโดยผู้ใช้หลายคน แต่นี่เพียงพอหรือไม่ หรือฉันควรจะกังวลด้วยซ้ำ (ตราบเท่าที่มันเกิน X ร้องขอสักวินาที) ฉันคิดว่าฉันไม่ควรกังวล แต่ฉันต้องการคำแนะนำเกี่ยวกับเรื่องนี้

39 web-server  scaling  load-testing 

ฉันใช้ชุดการทำงานร่วมกันแบบโอเพนซอร์สฉันมีความสุขกับมันฐานข้อมูลผู้ใช้ของฉันก็มีความสุขเช่นกัน ... ทั้งหมดยกเว้นปฏิทิน มันเป็นจุดที่ร้ายแรงและฉันก็ดิ้นรนเพื่อหาทางแก้ไข ฉันได้รับ Courier + Postfix + Maildrop สำหรับอีเมลและบริการ XMPP / Jabber ทั้งหมดได้รับการสนับสนุนบน OpenLDAP (ไดเรกทอรีของ บริษัท ออกมาจาก LDAP ด้วย) จุดติดเดียวของฉันคือแพ็คเกจปฏิทิน / กำหนดการที่มีคุณสมบัติเหมาะสมครึ่งหนึ่งที่มีคุณสมบัติ (ดูเรียบง่าย): การรวม LDAP รองรับหลายแพลตฟอร์ม (Windows, Linux และ Mac) การมอบหมาย (ผู้ช่วยผู้บริหารสามารถจัดการปฏิทินของผู้บริหารได้นายหน้าสามารถกำหนดเวลาการประชุมในปฏิทินของผู้จัดการการจ้างงาน) การจัดการ "ทรัพยากร" (ห้องประชุมโปรเจ็คเตอร์และอื่น ๆ ) นิสัยดี: เว็บอินเตอร์เฟส (เสียชื่อ) ว่าง / ไม่ว่าง Outlook / Palm "conduit" เพื่อซิงค์กับอุปกรณ์มือถือ …

39 openldap  ical 

ฉันมีเครือข่ายภายในที่มีเซิร์ฟเวอร์ DNS ที่ใช้ BIND เชื่อมต่อกับอินเทอร์เน็ตผ่านเกตเวย์เดียว โดเมนของฉัน "example.com" ได้รับการจัดการโดยผู้ให้บริการ DNS ภายนอก บางรายการในโดเมนนั้นพูดว่า "host1.example.com" และ "host2.example.com" รวมถึงรายการระดับบนสุด "example.com" ชี้ไปที่ที่อยู่ IP สาธารณะของเกตเวย์ ฉันต้องการให้โฮสต์ที่อยู่ในเครือข่ายภายในสามารถแก้ไข "host1.example.com", "host2.example.com" และ "example.com" เป็นที่อยู่ IP ภายในแทนที่จะเป็นเกตเวย์ โฮสต์อื่น ๆ เช่น "otherhost.example.com" ควรได้รับการแก้ไขโดยผู้ให้บริการ DNS ภายนอก ฉันประสบความสำเร็จในการทำเช่นนั้นสำหรับรายการ host1 และ host2 โดยกำหนดสองรายการโซนเดี่ยวใน BIND สำหรับ "host1.example.com" และ "host2.example.com" อย่างไรก็ตามหากฉันเพิ่มโซนสำหรับ "example.com" การค้นหาทั้งหมดสำหรับโดเมนนั้นจะได้รับการแก้ไขโดยเซิร์ฟเวอร์ DNS ในพื้นที่ของฉันและเช่นการค้นหา "otherhost.example.com" …

39 domain-name-system  bind 

ฉันมีกล่อง Linux ประมาณโหลที่บางครั้งฉันจำเป็นต้องเรียกใช้คำสั่งเดียวกัน มีวิธีที่ง่ายกว่า (หรือวิธีอัตโนมัติ) ในการทำสิ่งนี้นอกเหนือจากการล็อกออนเข้าสู่เครื่องแต่ละเครื่องและรันคำสั่งทีละรายการหรือไม่? cronมันไม่ได้เป็นคำสั่งเดียวตลอดเวลาและก็ไม่ได้ในเวลาที่กำหนดไว้ล่วงหน้าเพื่อให้มันไม่ใช่สิ่งที่เหมาะสำหรับเครื่องมือเช่น

39 linux  remote-access 

คุณจะถามคำถามแบบใดและสถานการณ์แบบใดที่คุณจะอธิบายคำตอบแบบไหนที่คุณต้องการ ฉันไม่ถามคำถามเฉพาะ ฉันต้องการทราบว่ากลยุทธ์การสัมภาษณ์แบบใดที่เหมาะสำหรับการเลือกผู้สมัครที่มีคุณสมบัติเหมาะสมสำหรับงาน

39 untagged 

ฉันต้องการเรียกใช้แอปพลิเคชันจากไดเรกทอรีที่ระบุ $ sudo docker run -P ubuntu/decomposer 'cd /local/deploy/decomposer; ./decomposer-4-15-2014' 2014/10/09 21:30:03 exec: "cd /local/deploy/decomposer; ./decomposer-4-15-2014": stat cd /local/deploy/decomposer; ./decomposer-4-15-2014: no such file or directory ไดเรกทอรีนั้นมีอยู่จริงและถ้าฉันเชื่อมต่อกับนักเทียบท่าโดยใช้ bash แบบโต้ตอบฉันสามารถเรียกใช้คำสั่งด้านบนได้ $ sudo docker run -i -t ubuntu/decomposer /bin/bash # cd /local/deploy/decomposer; ./decomposer-4-15-2014 ฉันสามารถเรียกใช้โปรแกรมของฉันโดยการระบุเส้นทางแบบเต็ม แต่ก็ล้มเหลวตามที่คาดว่าจะเปิดตัวจากไดเรกทอรีปัจจุบัน ฉันจะทำอย่างไร

39 docker 

แม้ว่าฉันจะเข้าใจพื้นฐานของรูปแบบการจัดเก็บสองรูปแบบ (1 ไฟล์ต่ออีเมลภายใต้ Maildir เทียบกับ 1 ไฟล์เดียวต่อกล่องจดหมายภายใต้ mbox) แต่ฉันสงสัยว่าสิ่งที่เกี่ยวข้องกับการปฏิบัติคืออะไร - รูปแบบการจัดเก็บแบบหนึ่งสามารถปรับขนาดได้มากกว่าแบบอื่นหรือไม่? ความกังวล / ความแตกต่างของข้อมูลมีความสมบูรณ์หรือไม่? มีสถานการณ์ที่กำหนดไว้อย่างชัดเจนว่าคุณควรใช้รูปแบบหนึ่งกับอีกรูปแบบหนึ่งหรือไม่?

39 postfix  maildir  mbox 

เราใช้งานเว็บไซต์สองแห่งจากโครงสร้างพื้นฐาน Amazons AWS เป็นเวลาประมาณสองปีแล้วและเมื่อประมาณสองวันที่ผ่านมาเว็บเซิร์ฟเวอร์เริ่มลงหนึ่งครั้งหรือสองครั้งต่อวันโดยมีข้อผิดพลาดเพียงอย่างเดียวที่ฉันสามารถทำได้: HTTP/1.1 503 Service Unavailable: Back-end server is at capacity ไม่มีสัญญาณเตือน (CPU / ดิสก์ IO / DB Conn) ถูกเรียกโดย CloudWatch ฉันพยายามไปที่ไซต์ผ่านทาง IP ที่ยืดหยุ่นเพื่อข้าม ELB และรับสิ่งนี้: HTTP request sent, awaiting response... Read error (Connection reset by peer) in headers. Retrying. ฉันไม่เห็นอะไรผิดปกติในบันทึก apache และตรวจสอบว่ามีการหมุนอย่างถูกต้อง ฉันไม่มีปัญหาในการเข้าถึงเครื่องเมื่อ "ลง" ผ่าน SSH และดูรายการกระบวนการที่ฉันเห็นกระบวนการ …

39 apache-2.2  503-error 

เว็บเซิร์ฟเวอร์ของฉัน (Ubuntu, Nginx) มีทั้งที่อยู่ IPv4 และ IPv6 ที่กำหนดโดยโฮสต์ สำหรับเว็บไซต์ของฉันฉันจะผูกไว้กับที่อยู่ IPv6 เท่านั้นหรือไม่ เป็นวิธีที่แนะนำมาตรฐานหรือไม่ หรือฉันจะใช้ทั้งที่อยู่ IPv4 และ IPv6

39 ipv6 

ที่สำนักงานของเราลูกค้า Windows 7 ทั้งหมดของเราได้รับข้อความแสดงข้อผิดพลาดนี้เมื่อเราลองและ RDP ไปยังเซิร์ฟเวอร์ Windows 2008 ระยะไกลนอกสำนักงาน: ผู้ดูแลระบบของคุณไม่อนุญาตให้ผู้ใช้ข้อมูลประจำตัวที่บันทึกไว้เข้าสู่ระบบคอมพิวเตอร์ระยะไกล XXX เนื่องจากข้อมูลประจำตัวไม่ได้รับการตรวจสอบอย่างสมบูรณ์ โปรดป้อนข้อมูลรับรองใหม่ การค้นหา google อย่างรวดเร็วนำไปสู่การโพสต์พวกเขาทั้งหมดแนะนำให้ฉันแก้ไขนโยบายกลุ่ม ฯลฯ ฉันตกอยู่ภายใต้ความประทับใจที่การแก้ไขทั่วไปสำหรับเรื่องนี้คือการทำตามคำแนะนำเหล่านั้นในทุกเครื่องของ Windows 7 มีวิธีใดบ้างที่ฉันสามารถทำบางสิ่งผ่าน Active Directory ซึ่งสามารถอัปเดตไคลเอนต์ Windows 7 ทั้งหมดใน LAN สำนักงาน

39 windows-server-2008  active-directory  remote-desktop  rdp  credentials