服务器管理员

系统和网络管理员的问答

1
firewalld vs iptables-何时使用哪个[关闭]
已关闭。这个问题是基于观点的。它当前不接受答案。 想改善这个问题吗?更新问题,以便通过编辑此帖子以事实和引用的形式回答。 4年前关闭。 TL; DR在新安装的CentOS服务器上,我应该使用firewalld还是禁用它并重新使用/etc/sysconfig/iptables? Firewalld和iptables的用途相似。两者都进行数据包过滤-但据我所知,firewalld不会在每次进行更改时刷新整个规则集。 我对iptables了解很多,但对firewalld却了解很少。 在Fedora和RHEL / CentOS上,传统的iptables配置在.NET中完成/etc/sysconfig/iptables。使用firewalld,它的配置就可以使用,/etc/firewalld/并且是一组XML文件。Fedora似乎正朝着防火墙的方向发展,以替代这种传统配置。我确实了解到firewalld在幕后使用了iptables,但是它也具有如上所述的自己的命令行界面和配置文件格式,这就是我指的是使用一种还是另一种。 是否有最适合每个人的特定配置/场景?对于NetworkMangaer与网络,似乎NetworkManager可能是网络脚本的替代品,但由于缺少网桥支持和其他一些功能,许多人只是在以下位置不使用它:所有。因此,似乎有一个一般性的概念:“如果您使用的是Linux desktop/gui,则使用NetworkManager;如果您运行的是服务器,则使用网络”。这就是我从阅读各种文章中学到的东西-但至少可以为这些东西的有效用法提供指南-至少当它们处于当前状态时。 但是我一直在使用Firewalld做同样的事情,只是将其关闭并改用iptables。(我几乎总是在服务器上安装Linux,而不是用于台式机)。Firewalld是否可以有效替代iptables,我是否应该在所有新系统上使用它?
2
如何在没有集群的情况下使用Docker机密?
目前,我们在单个Docker容器上运行一个应用程序,该应用程序需要将各种敏感数据作为环境变量进行传递, 我将它们放在run命令上,这样它们就不会出现在映像中,然后再出现在存储库中,但是我最终得到了一个非常不安全的run命令, 现在,我了解到存在Docker机密,但是,如何在不部署集群的情况下使用它们呢?还是有其他方法可以保护此数据? 最好的祝福,
4
无法在Debian Jessie上安装openjdk-8-jre-headless
这个星期五,我看到我因为运行原因出于某种原因保留了2个软件包apt-get upgrade,所以自然地我做了所有没有经验的sysadmin都会做的事情,并卸载了软件包,希望我可以简单地重新安装它们并解决问题。 我不知道,我只是使情况变得更糟。当我尝试重新安装时openjdk-8-jre-headless,我得到了: $ apt-get install openjdk-8-jre-headless Reading package lists... Done Building dependency tree Reading state information... Done Some packages could not be installed. This may mean that you have requested an impossible situation or if you are using the unstable distribution that some required packages have not yet been …
3
如何知道更新后是否需要重新启动?
我有4台Debian Wheezy OS服务器。我安装了Apticron,可以通知我有关更新的信息。Debian更新的实现如此频繁,以至于当我完成更新4台服务器中的最后一台时,我会收到有关第一台服务器上新更新的新电子邮件。收到通知后,我尝试更新所有服务器,但我不知道是否需要重新启动服务器。我已经读到,如果目录中"/var/run"包含文件"reboot-required",则必须重新引导服务器。但我从未在中看到此文件"/var/run"。我怎么知道什么时候需要重启?我不需要每次安装新更新时都不需要重新启动服务器。 我了解,如果我更新PHP或MySQL等,则不需要重新启动服务器,但是更新通常包含许多“ lib ...”。 以下是9个更新(我本周已收到)。 krb5-locales 1.10.1+dfsg-5+deb7u3 libdbus-1-3 1.6.8-1+deb7u6 libgssapi-krb5-2 1.10.1+dfsg-5+deb7u3 libk5crypto3 1.10.1+dfsg-5+deb7u3 libkrb5-3 1.10.1+dfsg-5+deb7u3 libkrb5support0 1.10.1+dfsg-5+deb7u3 libruby1.8 1.8.7.358-7.1+deb7u2 libxml2 2.8.0+dfsg1-7+wheezy3 ruby1.8 1.8.7.358-7.1+deb7u2 我不知道什么是“ libkrb,libgssapi”等。如何检测是否需要重启?请不要建议安装UnattendedUpgrades来让服务器自动更新,因为如果某些更新不正确,这可能会导致网站脱机。
28 debian 
1
在2017年使用procmail安全吗?
我刚刚发现procmail网站(http://www.procmail.org/)已关闭。我对其状态进行了一些研究,看来procmail的开发自2001年以来就已经停滞了。即使是老的procmail维护者也建议从openbsd端口中删除它,因为代码不安全(https://marc.info/? l = openbsd-ports&m = 141634350915839&w = 2)。这有点可怕,因为未修复的错误可能导致远程执行代码漏洞。最近的Linux发行版(例如Ubuntu,Debian)仍提供它,但是使用procmail是否仍然安全?
28 email  procmail 
6
拥有每90天SSH密钥过期的系统
我有一个客户,由于他们对GDPR的解释,现在要求我们每90天更改一次每个密码。对于我们为他们开发的基于Web的系统来说,这很好,因为我们可以实施这些规则。但是它们还要求我们更改用于访问服务器的SSH密钥上的密码,这不好。 是否可以更改现有SSH密钥上的密码? 如果没有,我们可以使用任何工具来处理此问题吗?我在想: 一种。创建新密钥。 b。将所有公钥分发到现有服务器。 C。删除现有的公钥。 d。存档旧的私钥。 我在这里阅读了一些有关Puppet的帖子,但是据我了解,它们的目的只是解决在服务器之间分配公钥而不是每隔n天创建新密钥的问题。我应该进一步研究Puppet吗? 关于密码保留和ssh密钥,社区标准是什么?你怎么做呢?
28 puppet  ssh-keys  gdpr 
9
如何使用Linux在网络上查找未使用的IP地址?
我可以访问网络上的两台计算机(A和B)。两者都有一个子网掩码为255.255.255.128的静态IP地址(我检查是否未使用DHCP服务器)。我想在同一台机器上配置多个IP地址,因此我想知道子网中已经使用了所有IP地址。 从一个较早的问题开始,我尝试使用nmap -sP -PR 172.16.128.*命令,但是我对它的结果表示怀疑,因为同一条命令在两台计算机(A和B)上给出的结果不同。在A上,结果显示(假设)已经使用的8个IP地址的列表,包括A和B的 IP地址。 Nmap done: 256 IP addresses (8 hosts up) scanned in 1.23 seconds 但是在B上,结果不同,即 Nmap done: 256 IP addresses (0 hosts up) scanned in 0.00 seconds B上的结果甚至没有显示其自己的IP地址以及A的IP地址! 我到底在做什么错?在Red Hat Linux(RHEL)中,有什么万无一失的方法来发现我的计算机所属的子网中正在使用的所有IP地址? RHEL: 6.5 Nmap version: 5.51
2
Ubuntu 15.10服务器; W:可能缺少模块ast的固件/lib/firmware/ast_dp501_fw.bin
我正在Asrock E3C226D2I板上运行Ubuntu 15.10服务器。当我获得内核更新或运行update-initramfs -u时,我收到有关缺少固件的警告: root@fileserver:~# update-initramfs -u update-initramfs: Generating /boot/initrd.img-4.2.0-27-generic W: Possible missing firmware /lib/firmware/ast_dp501_fw.bin for module ast 除了有关我的视频卡的信息外,我找不到关于此特定固件的太多信息。由于我正在运行服务器,因此我并不真正在乎图形(未连接显示器)。 一切正常,所以我暂时忽略它,但是有办法解决吗?
5
如何在CentOS7上缩小/ home并添加更多空间
CentOS 7文件系统为XFS,并且resize2fs不起作用。我需要缩小/home到400G并为添加100G空间/。我该怎么办? # df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/centos-root 50G 50G 341M 100% / devtmpfs 7.8G 0 7.8G 0% /dev tmpfs 7.8G 84K 7.8G 1% /dev/shm tmpfs 7.8G 778M 7.0G 10% /run tmpfs 7.8G 0 7.8G 0% /sys/fs/cgroup /dev/sda1 497M 241M 257M 49% /boot tmpfs 1.6G …
4
如何在具有AMI的AWS EC2实例上安装Docker(CE / EE Update)
在运行AMI的AWS EC2实例上安装Docker的当前方法是什么?已经发布了Docker企业版,现在我想知道是否有任何更改。直到现在,我一直在使用yum install docker并确实获得了Docker版本1.12.6, build 7392c3b/1.12.6(即现在(2017/3/3))。但是,GitHub上的Docker仓库告诉我已经有较新的版本。 我记得有官方多克尔(包)库名为包docker-engine更换docker前一段时间,现在他们似乎分成了包成docker-ce和docker-ee,其中如“不支持红帽企业Linux泊坞社区版(CE泊坞窗)。” [ 来源 ] 因此,使用上述方法在运行AMI的EC2实例上获取最新的稳定Docker版本是否仍然正确,还是我需要从其他地方拉出软件包(如果是,则从CE或EE中取出)?
3
提供DNSSEC会暴露哪些类型的安全漏洞?
我打算用DNSSEC签名我的DNS区域。我的区域,注册商和我的DNS服务器(BIND9)都支持DNSSEC。唯一不支持DNSSEC的人是我的辅助名称服务器提供商(即buddyns.com)。 他们在其网站上声明有关DNSSEC的信息: BuddyNS不支持DNSSEC,因为它暴露了一些不适用于高容量DNS服务的漏洞。 好吧,我认为DNSSEC的使用目前存在某种问题,因为大多数解析器不会检查记录是否正确签名。我不知道的是-根据他们的说法-似乎提供它会暴露某种安全漏洞。 那些“脆弱生物”是什么?
6
如何使Linux OOM杀手不杀死我的进程?
当物理内存不足但有足够的交换空间时,如何使Linux OOM杀手程序不杀死我的进程? 我已禁用OOM杀死功能并使用sysctl vm.overcommit_memory = 2来过量使用。 VM具有3 GB的绝对免费的无碎片交换,并且被OOM杀死的进程的最大内存使用量小于200MB。 我知道长期交换对于性能而言将是可怕的,但是我现在需要使用交换来在内存需求更大的valgrind下进行功能测试。 Mar 7 02:43:11 myhost kernel: memcheck-amd64- invoked oom-killer: gfp_mask=0x24002c2, order=0, oom_score_adj=0 Mar 7 02:43:11 myhost kernel: memcheck-amd64- cpuset=/ mems_allowed=0 Mar 7 02:43:11 myhost kernel: CPU: 0 PID: 3841 Comm: memcheck-amd64- Not tainted 4.4.0-x86_64-linode63 #2 Mar 7 02:43:11 myhost kernel: Hardware name: …
28 linux  swap  oom 
8
服务器环境中的消费者(或生产者)SSD与快速HDD
在服务器环境中,消费类SSD与快速10-15k旋转驱动器的优缺点是什么?我们无法使用企业级固态硬盘,因为它们的价格过高。以下是有关我们特定用例的一些说明: 虚拟机监控程序,最大5-10 VM。没有任何单个VM会疯狂地进行I / O密集操作。 内部RAID 10,无SAN / NAS ... 我知道企业级SSD: 额定寿命更长 并在长期内表现更稳定 而不是消费级SSD ...但这是否意味着消费级SSD完全不适合服务器环境,还是比快速旋转驱动器还要好? 由于我们通过RAID /备份受到保护,因此我更加关注整个生命周期内的性能(只要预期生命周期不会太低)。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.