服务器管理员

我的客户使用自签名证书来使应用程序正常工作。为了能够正常工作，我必须安装用于签名证书的根证书。 是否可以配置根证书，使其仅对一个域进行验证？

28 certificate  restrictions 

我最近在上面启动了带WordPress的LAMP服务器（所有最新版本），并且尝试安装最近购买的SSL证书。当我重新启动时apachectl，error_log给了我这个： [Tue Feb 25 01:07:14.744222 2014] [mpm_prefork:notice] [pid 1744] AH00169: caught SIGTERM, shutting down [Tue Feb 25 01:07:17.135704 2014] [suexec:notice] [pid 1765] AH01232: suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Tue Feb 25 01:07:17.217424 2014] [auth_digest:notice] [pid 1766] AH01757: generating secret for digest authentication ... [Tue Feb 25 01:07:17.218686 2014] [lbmethod_heartbeat:notice] [pid …

28 linux  apache-2.2  mysql  php  amazon-ec2 

我正在做： aws iam upload-server-certificate --server-certificate-name MysiteCertificate --certificate-body Downloads/mysite/mysite.crt --private-key mysite.pem --certificate-chain Downloads/mysite/COMODOSSLCA.crt 我遇到了一个错误： A client error (MalformedCertificate) occurred when calling the UploadServerCertificate operation: Unable to parse certificate. Please ensure the certificate is in PEM format. 这是一个有效的pem，虽然=文件（

28 amazon-web-services  ssl-certificate 

我正在尝试在Windows Server 2012计算机上安装MSI，这是我的实验室域的一部分。我是本地和域管理员，但似乎无法安装此MSI。 为了澄清起见，当尝试为作为管理员组一部分的域用户登录的Visual Studio（位于此处）安装git扩展时，出现以下错误 报告错误的计算机是Windows Server 2012。 我几乎可以肯定这一定是某种组策略限制？除非它是默认的安全级别，否则将不会设置任何内容？ 为了澄清起见，我想知道是什么导致域管理员无法安装此MSI？

28 windows  group-policy  windows-server-2012 

我有一个Ubuntu 12.04服务器。我已更新OpenSSL软件包以修复令人讨厌的漏洞。但是，即使我重新启动了Web服务器，甚至整个服务器，我仍然容易受到攻击。 要检查我的漏洞，我使用了： http://www.exploit-db.com/exploits/32745/ http://filippo.io/Heartbleed dpkg给出： dpkg -l |grep openssl ii openssl 1.0.1-4ubuntu5.12 Secure Socket Layer (SSL) binary and related cryptographic tools （launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.12）

28 ubuntu  nginx  security  openssl  heartbleed 

我的haproxy实例有2个域（主要是为了避免在主站点上使用XSS）。 规则看起来像这样 bind :443 ssl crt /etc/ssl/haproxy.pem acl is_static hdr_end(Host) -i example.com acl is_api hdr_end(Host) -i api.example.com acl is_files hdr_end(Host) -i example.io redirect scheme https if !{ ssl_fc } is_static is_api 现在SSL /etc/ssl/haproxy.pem用作默认证书，example.com而不是example.io。 如何为多个域名指定证书？

28 haproxy 

如何抑制Windows Server主机关机的原因？ 具体来说，是在2008 R2上，但不失为2003年之前和2012年之前的所有版本。

28 windows-server-2003  windows-server-2008-r2  windows-server-2012  windows-server-2012-r2  shutdown 

从Amazon SES发送电子邮件时，Gmail会显示“通过amazonses.com发送”。我该如何删除？ 根据Google的说法， 我是发件人，我不希望我的收件人看到“通过”链接。我能做什么？Gmail检查电子邮件是否通过了正确的身份验证。如果您的邮件是由批量邮件供应商或第三方联属机构发送的，请发布SPF记录2，其中应包括发送您的邮件并使用与您的域相关联的DKIM3签名对您的邮件进行签名的卖方或联属机构的IP。 我已经添加了SPF和DKIM记录。在查看原始电子邮件时，它显示两个都通过了。 收到的SPF：通过身份验证结果：mx.google.com；spf = pass ...; dkim = pass ... 有任何想法吗？

28 domain-name-system  gmail  spf  dkim  amazon-ses 

任何人都可以提供命令将Ubuntu 12.04的iptables（防火墙）完全重置为其默认的“工厂”设置吗？据我了解，这样做会导致一个人被锁在linux系统之外？

28 iptables  ubuntu-12.04 

RHEL的最新版本/ CentOS的（EL6）带来的一些有趣的变化XFS文件系统，我依赖严重了十多年。去年夏天，我花了一部分时间来追查由于文档记录不良而导致的XFS稀疏文件情况。自迁移到EL6以来，其他人则遇到了不幸的性能问题或行为不一致的情况。 XFS是我用于数据和增长分区的默认文件系统，因为它提供了比默认ext3文件系统更高的稳定性，可伸缩性和良好的性能。 2012年11月出现在EL6系统上的XFS出现问题。我注意到我的服务器即使在空闲时也显示出异常高的系统负载。在一种情况下，空载系统的平均负载平均值为3+。在其他情况下，负载会增加1+。挂载的XFS文件系统的数量似乎会影响负载增加的严重性。 系统有两个活动的XFS文件系统。升级到受影响的内核后，负载为+2。 深入研究，我在XFS邮件列表中发现了一些线程，这些线程指出xfsaild处于STAT D状态的进程的频率增加。相应的CentOS Bug Tracker和Red Hat Bugzilla条目概述了该问题的细节，并得出结论，这不是性能问题。在2.6.32-279.14.1.el6以后的内核中，报告系统负载中只有一个错误。 WTF？！？ 在一次性情况下，我了解到负载报告可能并不重要。尝试使用您的NMS和成百上千的服务器进行管理！在EL6.3下的2012年11月内核2.6.32-279.14.1.el6中确定了这一点。内核2.6.32-279.19.1.el6和2.6.32-279.22.1.el6在随后的几个月（2012年12月和2013年2月）中发布，此行为没有任何变化。自从发现此问题以来，甚至还发布了新的操作系统次要版本。EL6.4已发布，现在位于内核2.6.32-358.2.1.el6上，该内核具有相同的行为。 我有一个新的系统构建队列，并且不得不解决此问题，要么在2012年11月之前的版本中锁定内核版本以用于EL6.3，要么只是不使用XFS，而是选择ext4或ZFS，这会严重影响性能。用于在顶部运行的特定自定义应用程序。有问题的应用程序严重依赖某些XFS文件系统属性来解决应用程序设计中的缺陷。 在Red Hat的付费专区知识库站点后面，出现一个条目，指出： 安装内核2.6.32-279.14.1.el6后，观察到较高的平均负载。平均负载高是由于每个XFS格式化设备的xfsaild进入D状态引起的。 当前没有解决此问题的方法。当前正在通过Bugzilla＃883905进行跟踪。解决方法将已安装的内核软件包降级到低于2.6.32-279.14.1的版本。 （除了降级内核不是RHEL 6.4上的选项...） 因此，我们已经有4个多月的时间解决此问题，并且没有针对EL6.3或EL6.4 OS版本计划任何真正的修复。有一个针对EL6.5的建议修复程序和一个内核源补丁可用...但是我的问题是： 当上游维护者破坏了重要功能时，在什么时候离开操作系统提供的内核和软件包是有意义的？ 红帽介绍了此错误。他们应该将修复程序合并到勘误内核中。使用企业操作系统的优势之一是它们提供了一致且可预测的平台目标。此错误在补丁程序周期内破坏了已经投入生产的系统，并降低了部署新系统的信心。虽然我可以将其中一个建议的补丁应用于源代码，但它的可伸缩性如何？随着操作系统的更改，需要保持警惕以保持更新。 什么是正确的举动？ 我们知道这可能是固定的，但不是固定的。 在Red Hat生态系统中支持自己的内核有其自身的警告。 对支持资格有什么影响？ 我是否应该将工作正常的EL6.3内核覆盖在新建的EL6.4服务器之上以获得适当的XFS功能？ 我应该等到这个问题正式解决吗？ 这说明我们对企业Linux发行周期缺乏控制是什么意思？ 长期以来一直依赖XFS文件系统进行计划/设计错误吗？ 编辑： 该补丁已合并到最新的CentOSPlus内核发行版中（kernel-2.6.32-358.2.1.el6.centos.plus）。我正在CentOS系统上对此进行测试，但这对基于Red Hat的服务器没有太大帮助。

28 linux  centos  redhat  filesystems  xfs 

最近，我在一个本地用户组会议上，演示者注意到NTFS IO堆栈的最大吞吐量为1 GBps。他通过将两个大文件从同一逻辑卷同时复制到不同的逻辑卷（即[a]是源，[b]是目标1，[c]是目标2）来证实他的主张，并注意到传输速率徘徊在500左右MBps。他重复了几次测试，并指出底层存储子系统是闪存（以确保我们不怀疑存储速度很慢）。 我一直在尝试验证此断言，但是找不到任何记录的文件。我怀疑我在搜索错误的搜索词（“ 1GBps NTFS吞吐量”，“最大NTFS吞吐量”）。我对IO堆栈实际上是否限制为1GBps吞吐量感兴趣。 编辑 需要说明的是：我不相信演示者有意暗示NTFS受到有意限制（如果我也暗示这一点，我感到抱歉）。我认为这是暗示，这是文件系统的设计的函数。

28 windows  ntfs 

如果是多层（物理驱动器-> md-> dm-> lvm），调度程序，预读设置和其他磁盘设置如何交互？ 假设您有几个磁盘（/ dev / sda-​​/ dev / sdd），这些磁盘是用mdadm创建的软件RAID设备（/ dev / md0）的所有部分。每个设备（包括物理磁盘和/ dev / md0）都有其自己的IO调度程序设置（更改如下）和预读（使用blockdev更改）。当您放入dm（加密）和LVM之类的东西时，您可以使用自己的设置添加更多层。 例如，如果物理设备的预读为128个块，而RAID的预读为64个块，那么当我从/ dev / md0进行读取时是否可以接受？md驱动程序是否尝试读取64块，然后物理设备驱动程序将其转换为读取128块？还是RAID预读“传递”到底层设备，从而导致读取64块？ 调度程序也有同样的问题吗？我是否需要担心IO调度程序的多层以及它们如何相互作用，或者/ dev / md0是否有效地覆盖了基础调度程序？ 在回答这个问题的尝试中，我挖掘了一些有关调度程序和工具的有趣数据，这些数据可能有助于弄清楚这一点： Google的Linux Disk Scheduler基准测试 blktrace-在块设备上生成I / O流量的跟踪 相关的Linux内核邮件列表线程

28 linux  raid  lvm 

这是关于使用* AMPP堆栈的规范问题。 我最近与一些经验丰富的人进行了交谈，他们建议我不要使用WAMP堆栈，而应分别安装apache，mysql和php。 不过，我不明白他们为什么提出这个建议，所以有人可以告诉我吗？ WAMP有什么特别的缺点，还是单独安装所有WAMP的特别优点？ 由于WAMP堆栈本身由apache，mysql和php组成，那么使用WAMP堆栈和分别安装它们之间有什么区别？

28 apache-2.2  windows  mysql  php  lamp 

我正在运行一个nginx服务器，它充当上游unix套接字的代理，如下所示： upstream app_server { server unix:/tmp/app.sock fail_timeout=0; } server { listen ###.###.###.###; server_name whatever.server; root /web/root; try_files $uri @app; location @app { proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header Host $http_host; proxy_redirect off; proxy_pass http://app_server; } } 反过来，某些应用服务器进程会在请求/tmp/app.sock可用时将其拉出。这里使用的特定应用服务器是Unicorn，但是我认为这与这个问题无关。 问题是，似乎经过一定的负载后，nginx无法以足够快的速率通过套接字获取请求。我设置了多少个应用服务器进程都没有关系。 我在nginx错误日志中收到大量这些消息： connect() to unix:/tmp/app.sock failed (11: Resource temporarily unavailable) while connecting …

28 linux  nginx  socket  unicorn  tuning 

据我所知，主要区别如下： OpenTSDB不会随着时间的推移而恶化数据，这与Graphite不同，在Graphite中，数据库的大小是预先确定的。 OpenTSDB可以每秒存储指标，而Graphite的间隔是分钟（我不确定，Graphite文档显示的保留策略每分钟存储一次指标，但是我不知道这是否是我们最小的时间单位可以玩） 我想就使用哪种工具存储指标做出明智的决定，我是否错过了这两个系统中的其他差异？它们的性能/可扩展性如何？ 奖励问题：我还应该查看其他时间序列系统吗？

28 monitoring  metrics  graphite  opentsdb