ผู้ดูแลเซิร์ฟเวอร์

ฉันพยายามที่จะให้คำสั่งต่อไปนี้ถูกดำเนินการอัตโนมัติเมื่อฉันลงชื่อเข้าใช้เซิร์ฟเวอร์ของฉันผ่าน ssh: ssh-agent /bin/bash ssh-add ~/.ssh/id_rsa คีย์ ssh ของฉันมีข้อความรหัสผ่านและฉันไม่ต้องใส่มันอีกครั้งต่อการเข้าสู่ระบบ ฉันพยายามวางสิ่งนี้ลงในไฟล์. bashrc ของฉันอย่างไรก็ตามฉันเชื่อว่า ssh-agent เริ่มเซสชัน bash ใหม่ เมื่อฉันพยายามที่จะเข้าสู่ระบบหลังจากที่มีสิ่งนี้ใน. bashrc ของฉันมันจะติดและฉันต้องพิมพ์ 'ทางออก' เพื่อดูพรอมต์ 'ป้อนรหัสผ่านเพื่อปลดล็อคกุญแจ' ข้อเสนอแนะอื่น ๆ ? เซิร์ฟเวอร์กำลังใช้งาน Ubuntu LTS

37 ubuntu  ssh  bash  bashrc  ssh-keygen 

มีวิธีใดบ้างที่จะเห็นว่ากระบวนการใดทำให้เกิดการใช้งาน CPU มากที่สุด? ฉันมี AMAZON EC2 Linux ซึ่งการใช้งาน CPU สูงถึง 100 เปอร์เซ็นต์และทำให้ฉันรีบูตระบบ ฉันไม่สามารถเข้าสู่ระบบผ่าน SSH (ใช้ผงสำหรับอุดรู) มีวิธีใดที่จะเห็นสิ่งที่ทำให้เกิดการใช้งาน CPU สูงและกระบวนการใดทำให้เกิดปัญหาดังกล่าว ฉันรู้เกี่ยวกับsarและtopสั่งการ แต่ไม่สามารถหาประวัติการดำเนินการได้ทุกที่ นี่คือภาพจากเครื่องมือตรวจสอบ Amazon EC2 แต่ฉันอยากจะรู้ว่ากระบวนการใดที่ทำให้: ฉันได้ลองแล้วps -eo pcpu,args | sort -k 1 -r | head -100แต่ไม่มีโชคในการค้นหาการใช้งาน CPU สูง

37 linux  cpu-usage 

ฉันรันคำสั่งนี้และได้ผลลัพธ์นี้ แต่ไม่สามารถเข้าใจผลลัพธ์ที่อินสแตนซ์ของโหนดที่ฉันควรฆ่า ps ax | grep node 23308 pts/3 S+ 0:00 sudo node index.js 23310 pts/3 Sl+ 0:00 node index.js 23568 pts/1 T 0:00 sudo node index.js 23824 pts/4 S+ 0:00 sudo node index.js 23826 pts/4 Sl+ 0:00 node index.js 24202 pts/5 R+ 0:00 grep --color=auto node และ S + …

37 ubuntu  ps 

ฉันจะแนะนำ Ansible ให้กับศูนย์ข้อมูลของฉันและฉันกำลังมองหาวิธีปฏิบัติที่ดีที่สุดเกี่ยวกับความปลอดภัยเกี่ยวกับตำแหน่งที่จะค้นหาเครื่องควบคุมและวิธีจัดการกับคีย์ SSH คำถามที่ 1: เครื่องควบคุม แน่นอนเราต้องการเครื่องควบคุม เครื่องควบคุมมีการบันทึกคีย์ SSH สาธารณะไว้ หากผู้โจมตีมีการเข้าถึงเครื่องควบคุมอาจมีการเข้าถึงศูนย์ข้อมูลทั้งหมด (หรือเซิร์ฟเวอร์ที่จัดการโดย Ansible) ดังนั้นจะดีกว่าถ้ามีเครื่องควบคุมเฉพาะในศูนย์ข้อมูลหรือเครื่องควบคุมระยะไกล (เช่นแล็ปท็อปของฉันเชื่อมต่อกับศูนย์ข้อมูลจากระยะไกล) หากวิธีปฏิบัติที่ดีที่สุดคือการใช้แล็ปท็อปของฉัน (ซึ่งอาจถูกขโมยแน่นอน แต่ฉันสามารถบันทึกกุญแจสาธารณะของฉันแบบออนไลน์อย่างปลอดภัยในระบบคลาวด์หรือออฟไลน์บนอุปกรณ์ที่เข้ารหัสแบบพกพา) ถ้าฉันต้องใช้เว็บอินเตอร์เฟส Ansible เช่น Ansible Tower, Semaphore, Rundeck หรือ Foreman ที่จะต้องติดตั้งลงในเครื่องที่รวมศูนย์ไว้ในดาต้าเซ็นเตอร์? จะรักษาความปลอดภัยและหลีกเลี่ยงให้เป็น "จุดการโจมตีเพียงจุดเดียว" ได้อย่างไร? คำถามที่ 2: ปุ่ม SSH สมมติว่าฉันต้องใช้ Ansible เพื่อทำงานบางอย่างที่ต้องดำเนินการโดยรูท (เช่นการติดตั้งแพคเกจซอฟต์แวร์หรืออะไรทำนองนี้) ฉันคิดว่าแนวทางที่ดีที่สุดคือไม่ใช้ผู้ใช้รูทบนเซิร์ฟเวอร์ที่ควบคุม แต่เพื่อเพิ่มผู้ใช้ปกติสำหรับ Ansible ด้วยสิทธิ์ sudo แต่ถ้า Ansible ต้องการทำเกือบทุกงานก็ต้องเข้าถึงทุกคำสั่งผ่าน sudo ดังนั้นตัวเลือกที่ดีที่สุดคืออะไร: …

37 security  ansible  best-practices 

ฉันต้องการใช้ cls AWS S3 เพื่อคัดลอกโครงสร้างไดเรกทอรีแบบเต็มไปยังที่ฝากข้อมูล S3 ถึงตอนนี้ทุกสิ่งที่ฉันได้ลองคัดลอกไฟล์ไปยังที่ฝากข้อมูล แต่โครงสร้างไดเรกทอรีถูกยุบ (เพื่อบอกอีกวิธีหนึ่งไฟล์แต่ละไฟล์จะถูกคัดลอกไปยังไดเรกทอรีรากของที่เก็บข้อมูล) คำสั่งที่ฉันใช้คือ: aws s3 cp --recursive ./logdata/ s3://bucketname/ ฉันยังได้ลองทิ้งเครื่องหมายทับต่อท้ายที่ชื่อแหล่งที่มาของฉัน (เช่นสำเนาจากอาร์กิวเมนต์) ฉันยังใช้สัญลักษณ์แทนเพื่อกำหนดไฟล์ทั้งหมด ... แต่ละสิ่งที่ฉันลองคัดลอกไฟล์บันทึกไปยังไดเรกทอรีรากของที่เก็บข้อมูล

37 amazon-web-services  amazon-s3 

บางครั้งมีการบันทึกถูกระบุว่าเป็นและบางครั้งก็ถูกระบุว่าเป็นwww IN A 192.168.1.1www A 192.168.1.1 วัตถุประสงค์ของการคืออะไรในและมันก็เป็นเมื่อจำเป็น / ไม่จำเป็นต้อง?

37 domain-name-system  bind 

ฉันพยายามติดตามกิจกรรมเครือข่ายบนเครื่องที่ใช้ CentOS 7 จากบันทึก iptables ดูเหมือนว่า Google (74.125.133.108) กำลังเข้าใกล้ VPS ของฉันหลายครั้ง ฉันสามารถเห็นว่าพอร์ตต้นทางเสมอ 993 อะไรคือเหตุผลสำหรับสิ่งนั้น? 16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=60 TOS=0x00 PREC=0xA0 TTL=107 ID=4587 PROTO=TCP SPT=993 DPT=47920 WINDOW=62392 RES=0x00 ACK SYN URGP=0 16:22:11 kernel: ipt IN=eth0 OUT= MAC=... SRC=74.125.133.108 DST=... LEN=52 TOS=0x00 PREC=0xA0 TTL=107 ID=4666 PROTO=TCP SPT=993 …

36 iptables 

HP Proliant ML110 G7 ของฉันมีช่องเสียบ SD ขนาดเต็มบนเมนบอร์ด กรณีการใช้งานคืออะไร? ไฟล์ PDFกล่าวบนpage 10: item 17เพียงเพื่อแสดงตำแหน่งของตน แต่ไม่มีอะไรเพิ่มเติม ในการแก้ไขในภายหลัง (Gen 9) กล่าวกันว่าสล็อตไม่สามารถเสียบปลั๊กได้ เมนบอร์ดมีช่องเสียบ USB (รายการที่ 11)

36 hardware  storage  hp-proliant 

ฉันมักจะทำงานร่วมกับเซิร์ฟเวอร์ Ubuntu LTS ซึ่งจากสิ่งที่ฉันเข้าใจ symlink ไป/bin/sh /bin/dashจำนวนมากของ distros อื่น ๆ แม้ว่า symlink ไป/bin/sh/bin/bash จากที่ฉันเข้าใจว่าถ้าสคริปต์ใช้#!/bin/shด้านบนมันอาจไม่ทำงานแบบเดียวกันบนเซิร์ฟเวอร์ทั้งหมดหรือไม่ มีแนวทางปฏิบัติที่แนะนำให้เชลล์ใช้สำหรับสคริปต์เมื่อต้องการความสะดวกในการพกพาสูงสุดของสคริปต์เหล่านั้นระหว่างเซิร์ฟเวอร์หรือไม่?

36 linux  bash  shell  sh 

ในธุรกิจขนาดเล็กของเราเราใช้พีซีประมาณ 75 เครื่อง เซิร์ฟเวอร์และเดสก์ท็อป / แล็ปท็อปล้วนทันสมัยและปลอดภัยโดยใช้ Panda Business Endpoint Protection และ Malwarebytes Business Endpoint Security (MBAM + Ant-Exploit) อย่างไรก็ตามในสภาพแวดล้อมการผลิตของเราเรามีพีซี Windows XP ประมาณ 15 เครื่องที่ทำงานอยู่ พวกเขาเชื่อมต่อกับเครือข่ายของ บริษัท วัตถุประสงค์หลักสำหรับการเชื่อมต่อ SQL และการบันทึกข้อมูล พวกเขามีการ จำกัด การเข้าถึงเซิร์ฟเวอร์อย่าง จำกัด พีซี Windows XP ใช้สำหรับแอปพลิเคชั่นเฉพาะ (กำหนดเอง) สำหรับการผลิตเท่านั้น ไม่มีซอฟต์แวร์สำนักงาน (อีเมล, การเรียกดู, สำนักงาน, ... ) นอกจากนี้พีซี XP แต่ละเครื่องเหล่านี้ยังมีการควบคุมการเข้าใช้เว็บแพนด้าซึ่งไม่อนุญาตการเข้าถึงอินเทอร์เน็ต ข้อยกเว้นสำหรับ Windows …

36 security  windows-xp 

ฉันมักจะ อ่านว่าไม่แนะนำให้ใช้การบันทึก PTR หลายรายการในการกำหนดค่า DNS อย่างไรก็ตามเหตุผลมักคลุมเครือหรือไม่ชัดเจนดังนั้นการตั้งชื่อ: "อาจทำให้เกิดปัญหา" "สามารถทำให้เกิดข้อบกพร่องในโปรแกรมที่คาดหวังคำตอบเดียว": มันเป็นปัญหาของซอฟต์แวร์ใช่ไหม?! "สามารถทำให้แพ็กเก็ตคำตอบ DNS ใหญ่เกินไป": สิ่งนี้ไม่ได้รับการแก้ไขด้วยEDNSหรือไม่ เป็นเหตุผลที่ดีเหล่านี้หรือไม่ คุณรู้เหตุผลอื่น ๆ (ดี) หรือไม่? ทั้งหมดนี้ดูเหมือนว่าเป็น "ความกลัวแบบดั้งเดิม" ...

36 domain-name-system  query  ptr-record  fcrdns 

ฉันใช้เซิร์ฟเวอร์อีเมลซึ่งปัจจุบันตั้งค่าให้ใช้ TLS ถ้าเป็นไปได้เมื่อส่งและรับอีเมล เมื่อคุณอ่านในเอกสารเกี่ยวกับเรื่องนี้มีตัวเลือกในการบังคับใช้ TLS และไม่ยอมรับการส่งข้อความธรรมดาของอีเมล นอกจากนี้ยังเตือนคุณว่าเซิร์ฟเวอร์เมลบางตัวอาจไม่รองรับการเข้ารหัสและการบังคับใช้การเข้ารหัสอาจบล็อกเซิร์ฟเวอร์เหล่านี้ แต่นี่ยังคงเป็นปัญหาที่เราควรคำนึงถึงหรือปลอดภัยที่จะบอกว่าการบังคับใช้การเข้ารหัสจะไม่เป็นปัญหาอีกต่อไปหรือ อาจมีผู้ให้บริการรายใหญ่บางรายที่กำลังทำสิ่งนี้อยู่หรือคุณคิดว่าวิธีปฏิบัติที่ดีที่สุดในวันนี้คือ

36 encryption  tls  smtps 

ฉันพบไฟล์ serviced systemd นี้เพื่อเริ่ม autossh เพื่อติดตามอุโมงค์ ssh: https://gist.github.com/thomasfr/9707568 [Unit] Description=Keeps a tunnel to 'remote.example.com' open After=network.target [Service] User=autossh # -p [PORT] # -l [user] # -M 0 --> no monitoring # -N Just open the connection and do nothing (not interactive) # LOCALPORT:IP_ON_EXAMPLE_COM:PORT_ON_EXAMPLE_COM ExecStart=/usr/bin/autossh -M 0 -N -q -o "ServerAliveInterval …

36 daemon  systemd 

ใน Dockerfile ของฉันฉันมีคำสั่ง 'คัดลอก "ต่อไปนี้: # Copy app code COPY /srv/visitor /srv/visitor มันควรจะไปโดยไม่บอกว่าในระบบโฮสต์ของฉันภายใต้ไดเรกทอรี "/ srv / ผู้เยี่ยมชม" มีรหัสแหล่งที่มาของฉัน: [root@V12 visitor]# ls /srv/visitor/ Dockerfile package.json visitor.js ตอนนี้เมื่อฉันพยายามสร้างภาพโดยใช้ Dockerfile นี้มันค้างในขั้นตอนที่ควรจะเกิด "COPY": Step 10 : COPY /srv/visitor /srv/visitor INFO[0155] srv/visitor: no such file or directory มันบอกว่าไม่มีไดเรกทอรีดังกล่าว แต่มีอย่างชัดเจน ความคิดใด ๆ อัปเดต 1: มันชี้ให้เห็นว่าฉันเข้าใจผิดว่าฉันเข้าใจบริบทของการสร้าง ข้อเสนอแนะมีจำนวนการเปลี่ยนคำสั่ง …

36 node.js  docker 

ฉันมีเซิร์ฟเวอร์อูบุนตูที่ฉันกำลังปิดกั้น IP ufwที่บางคนที่มี ฉันเปิดใช้งานการบันทึก แต่ฉันไม่รู้ว่าจะหาบันทึกได้ที่ไหน บันทึกอาจอยู่ที่ใดหรือเหตุใดจึงufwไม่บันทึก

36 linux  ubuntu  logging  ufw