Questions tagged «linux»

这是我想做的事情： 本质上，将文件从一个网络存储设备同步到另一网络存储设备。 解决方案是从源网络存储到本地计算机进行rsync。然后从本地计算机rsync到目标网络存储。 但这只是打击我。我需要从源网络存储中删除的文件才能在本地计算机上删除。rsync是否可以将它们镜像，删除不在目标位置的文件？还是仅减少所需的数据传输量？ 希望我能说清楚吗？

9 linux  backup  rsync 

我想使用lxc-execute隔离进程。是否可以设置带宽，CPU和内存限制？ 我看了看lxc.conf的人，但发现它并不详尽。

9 linux  lxc 

CentOS的 有没有简单的方法可以从数据流转换HTML特殊实体？我将数据传递到bash脚本，有时该数据包括特殊实体。例如： “测试”和 测试$ test！测试@＃$％^＆amp; * 我不确定为什么某些字符显示正常而其他字符却显示不正常，但是不幸的是，我无法控制传入的数据。 我想我也许可以在这里使用SED，但这似乎很麻烦，而且容易出现误报。我可以通过管道传输到专门解码此类数据的Linux命令吗？

9 linux  bash  scripting  sed  html 

我在负载均衡器后面运行了数百台Web服务器，托管了许多应用程序过多的站点（我无法控制这些站点）。大约每月一次，其中一个站点遭到黑客攻击，并上载了洪水脚本，以攻击某些银行或政治机构。过去，这些始终是UDP泛洪，通过阻止单个Web服务器上的传出UDP流量可以有效地解决这些问题。昨天，他们开始使用许多TCP连接到端口80从我们的服务器中涌入一家大型美国银行。由于这些连接类型对于我们的应用程序完全有效，因此仅阻止它们是不可接受的解决方案。 我正在考虑以下替代方案。您会推荐哪一个？您实现了这些，如何实现？ 使用源端口！= 80限制Web服务器（iptables）传出TCP数据包 相同，但有排队（tc） 速率限制每位用户每台服务器的传出流量。由于每个应用程序服务器可能有1000个不同的用户，因此管理负担非常大。也许是这样：如何限制每个用户的带宽？ 还要别的吗？ 自然，我也在寻找方法以最大程度地减少黑客进入我们托管的网站之一的可能性，但是由于该机制永远不会100％防水，因此我想严格限制入侵的影响。 更新：我目前正在使用这些规则进行测试，这将阻止这种特定的攻击。您将如何提出使它们更通用的建议？当我仅对SYN数据包进行速率限制时，是否会错过已知的TCP DoS攻击？ iptables -A OUTPUT -p tcp --syn -m limit --limit 100/min -j ACCEPT iptables -A OUTPUT -p tcp --syn -m limit --limit 1000/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4 iptables -A OUTPUT -p tcp --syn -j REJECT --reject-with tcp-reset 干杯!

9 linux  networking  debian  denial-of-service 

我在实验室中使用4台机器进行了测试设置： 2台旧的P4机器（t1，t2） 1个Xeon 5420 DP 2.5 GHz 8 GB RAM（t3）Intel e1000 1个Xeon 5420 DP 2.5 GHz 8 GB RAM（t4）Intel e1000 来测试Linux防火墙的性能，因为在过去的几个月中，我们遭受了许多次洪水攻击。所有机器都运行Ubuntu 12.04 64位。t1，t2，t3通过1GB / s的交换机互连，t4通过额外的接口连接到t3。因此，t3模拟了防火墙，t4是目标，t1，t2发挥了攻击者产生分组风暴的作用（192.168.4.199是t4）： hping3 -I eth1 --rand-source --syn --flood 192.168.4.199 -p 80 t4丢弃所有传入的数据包，以避免与网关混淆，t4的性能问题等。我在iptraf中查看数据包统计信息。我已经按照以下步骤配置了防火墙（t3）： 库存3.2.0-31-通用＃50-Ubuntu SMP内核 rhash_entries = 33554432作为内核参数 sysctl如下： net.ipv4.ip_forward = 1 net.ipv4.route.gc_elasticity = 2 net.ipv4.route.gc_timeout = 1 …

9 linux  firewall 

我有一个开发git服务器，当live分支被推送到时，它会部署到实时服务器。每个用户都有自己的登录名，因此，post-receive进行实时部署的挂钩是在其自己的用户下运行的。 因为我不想在远程实时服务器上维护用户的公共密钥作为授权密钥，所以我组成了一组“属于git系统的密钥”以添加到远程实时服务器上（在post-receive钩子中，我正在使用$GIT_SSH以使用-i选项设置私钥）。 我的问题是，由于所有用户都可能想部署到现场，因此git系统的私钥必须至少是组可读的，而SSH确实不喜欢这样。 这是错误的示例： XXXX@XXXX /srv/git/identity % ssh -i id_rsa XXXXX@XXXXX @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KEY FILE! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ Permissions 0640 for 'id_rsa' are too open. It is required that your private key files are NOT accessible by others. This private key will be ignored. bad permissions: ignore key: …

9 linux  ssh  git  private-key  deployment 

我最近安装了我的小组从明年9月开始进行研究项目所需的软件。事实证明，与glibc 2.12.1一起使用时，该软件具有已知的崩溃错误。我的老板问我们是否可以在应该运行它的服务器上升级glibc。提示我怀疑的沉默。 在某个时候，我想到与glibc混在一起就像和一个饥饿的彪马一样好主意。但是，我无法确定这种信念的来源。因此，如果我继续这样做： 我是在做愚蠢的事情吗（例如，我不会解决问题，将服务器砌砖，或者将启动僵尸启示录）？ 有什么问题吗？ 可能出什么问题了？ 如何避免回答2和3？

9 linux  glibc 

我想知道，是否有一种方法可以强制DHCP服务器立即更新客户端计算机的IP地址，而无需我去客户端计算机？实际上，想象一下，我无权访问客户端计算机。 所以，这是我的情况 当客户端连接到LAN时，它首先首先从DHCP服务器获得一个随机IP地址，即A。想象一下，有人将客户端连接到LAN，但他并没有在dhcpd.conf中将任何IP地址映射到其MAC地址。 我想在这里提及，同一子网中的其他计算机已经在dhcpd.conf中配置了IP地址到MAC地址的映射。 接下来，我修改dhcpd.conf文件，以将客户端的新IP地址B映射到其MAC地址。 但是，现在我需要将旧IP地址A立即更改为B。 我不想调整默认租赁时间或在dhcpd.conf中弄乱租赁时间。 重启服务之类的任何其他方式都很好，因为除了一台机器之外，其他所有机器的IP地址都已经绑定到dhcpd.conf中的MAC地址。 注意：我无法重新启动LAN中的任何计算机，甚至无法重新启动运行dhcp服务器的计算机。 希望我说得很清楚。 谢谢

9 linux  networking  dhcp  dhcp-server 

我正在尝试优化我们的Web服务器，以处理尽可能多的连接。我读了许多帖子和Apache注释。我试图了解应该选择哪个值MaxRequestsPerChild。 最初，我尝试将其设置为4,000，但是服务器在处理许多请求时遇到了困难，因此我开始提高它。目前，我的设置是： <IfModule prefork.c> StartServers 8 MinSpareServers 5 MaxSpareServers 20 ServerLimit 256 MaxClients 256 MaxRequestsPerChild 40000 </IfModule> 将设置MaxRequestsPerChild为40,000后，服务器设法处理更多的连接，同时不使用更多的内存/ cpu。 谁能告诉我这个值是否太高还是可以得到这么高的值？ 谢谢！ 操作系统信息： [root@web06 ~]# uname -a Linux web 2.6.18-164.el5PAE #1 SMP Thu Sep 3 04:10:44 EDT 2009 i686 i686 i386 GNU/Linux [root@web06 ~]# free total used free shared buffers cached …

9 linux  apache-2.2  optimization  mpm-prefork 

我注意到/var/log/auth.log服务器上多次重复以下错误消息： Aug 10 09:10:16 hostname sshd[661]: error: connect_to 1.1.1.1 port 25: failed. 我更改了实际的IP地址，它们是通常属于邮件服务器的外部地址。 我不了解的部分是谁确实试图连接到这些地址，以及sshd与它有什么关系。sshd在端口22上运行，该服务器上的端口25上没有任何运行。 这条线到底是什么意思，谁在发起连接，为什么要使用sshd？

9 linux  ssh 

vCenter可以针对FreeIPA而非Active Directory进行身份验证吗？如果是这样，您将如何设置？ 我们有一个纯Linux环境（CentOS），需要具有vCenter，并且我们的VM具有相同的用户。vCenter被部署为Linux设备。不想在我们的环境中安装Windows机器。

9 linux  centos  vmware-esxi  vmware-vcenter  freeipa 

我需要在服务器上使用gnumeric的文件转换工具ssconvert。 问题在于，gnumeric是一个gnome应用程序，如果没有安装桌面就无法安装。 ssconvert也没有单独的软件包，我无法从源代码进行编译... 我需要这个特定的转换工具，因为它可以从Excel XML格式转换为CSV，而我无法使用其他excel转换工具。 我正在使用ubuntu 12.04服务器。我将不胜感激。

9 linux  microsoft-excel  csv  conversion 

我想删除在CentOS 6中启动内核时默认使用的rhgb和quiet内核参数，但是我希望它适用于所有当前安装的内核以及将来安装的所有内核。我需要通过脚本执行此操作，因此手动编辑文件不是一种选择，任何文件更改都应尽可能干净。 在是Debian / Ubuntu的我会改变GRUB_CMDLINE_LINUX_DEFAULT的/etc/default/grub，然后运行update-grub。我无法找到这样的设置/etc/sysconfig/grub或/etc/sysconfig/kernel然而，也没有一个update-grub脚本。

9 linux  centos  redhat  grub  linux-kernel 

我有一个奇怪的问题，我的嵌套NFS坐骑有时会不时消失。 fstab条目看起来像这样： nfs:/home /home nfs rw,hard,intr,rsize=32768,noatime,nocto,proto=tcp 0 0 nfs:/bigdir /home/bigdir nfs rw,hard,intr,rsize=32768,noatime,nocto,proto=tcp,bg 0 0 问题是，即使mtab认为共享仍在挂载中，“ / home / bigdir”文件夹仍会为空。nfsstat等。等 确实也认为份额还在增加。 唯一有效的方法是先卸载，然后再（重新）安装bigdir共享。 服务器端是NetApp。客户端是RHEL5.5，2.6.18-194内核（是的，我知道5.8已发布，但据我所知，此特定问题没有勘误表）。 我可以使用各种技巧，例如自动挂载，或将其挂载到其他路径，然后使用--mount绑定，但是我想解决潜在的问题。

9 linux  networking  redhat  nfs  rhel5 

我们有一个公共服务器，它接受来自防火墙后面的多个客户端的SSH连接。 这些客户端中的每一个都使用ssh -R从Web服务器在端口80到我们的公共服务器的命令来创建反向SSH隧道。 反向SSH隧道的目标端口（客户端）为80，源端口（公共服务器端）取决于用户。我们正在计划维护每个用户的端口地址图。 例如，客户端A会将其Web服务器从端口80传输到我们的端口8000；客户B从80到8001；客户C从80到8002。 Client A: ssh -R 8000:internal.webserver:80 clienta@publicserver Client B: ssh -R 8001:internal.webserver:80 clientb@publicserver Client C: ssh -R 8002:internal.webserver:80 clientc@publicserver 基本上，我们试图做的是将每个用户绑定到一个端口，并且不允许他们通过隧道连接到任何其他端口。 如果我们通过结合使用SSH的正向隧道功能ssh -L，则可以通过使用permitopen=host:port配置来允许哪个端口被隧道传输。但是，反向SSH隧道没有等效功能。 有没有一种方法可以限制每个用户的反向隧道端口？

9 linux  ssh  ssh-tunnel