Questions tagged «linux»

设置Linux Web服务器时，您的清单/例程是什么？ 您建议如何获得最大的安全性？ 有什么首选的方法可以执行重复维护？

31 linux  security  web-server 

PHP应用程序以高于平均水平的安全问题而闻名。您使用什么配置技术来确保应用程序尽可能安全？ 我在寻找类似的想法： 使用强化的PHP / Suhosin 使用mod_security 在php.ini中禁用register_globals和allow_url_fopen 我通常使用Linux，但也可以建议Windows解决方案。

31 linux  apache-2.2  security  php  web-server 

find对于查找比X天前find修改后更多的文件有很好的支持，但是如何使用它来查找在特定日期之后修改过的所有文件？ 我无法在find手册页中找到任何可用于执行此操作的功能，只能与另一个文件的时间进行比较，或者检查创建的时间与现在的时间之间的差异。用所需的时间制作文件并与之进行比较是这样做的唯一方法吗？

31 linux  shell  find 

在ssh上调试Nagios警告后，我发现这gssapi-with-mic会导致身份验证出现长时间滞后。我已将其关闭，但是我到底想念什么？我认为GSSAPI是用于身份验证的工具，但是那-with-mic部分呢？

31 linux  redhat  ssh 

博客和相关新闻中遍布着Hadoop和CouchDB，什么才是真正有效的分布式容错存储（引擎）。 CouchDB实际上没有内置的任何分发功能，据我所知，用于自动分发条目甚至整个数据库的胶水简直就是缺失。 Hadoop似乎得到了广泛的应用-至少它受到了很好的关注，但仍然存在单点故障：NameNode。另外，它只能通过FUSE挂载，我知道HDFS实际上并不是Hadoop的主要目标 GlusterFS确实没有共享概念，但是最近我读了几篇文章，使我认为它不太稳定 由于使用专用的元数据服务器，Lustre也有单点故障 Ceph似乎是首选的播放器，但首页指出它仍处于Alpha阶段。 因此，问题在于哪个分布式文件系统具有以下功能集（无特定顺序）： 兼容POSIX 轻松添加/删除节点 无共享概念 在便宜的硬件上运行（AMD Geode或VIA Eden类处理器） 内置认证/授权 网络文件系统（我希望能够同时将其安装在其他主机上） 很高兴有： 本地可访问文件：我可以使用标准本地文件系统（ext3 / xfs / whatever ...）将节点挂载到该分区，并仍然访问文件 我不是在寻找托管应用程序，而是让我可以占用每个硬件盒10GB的空间，并在我们的网络中拥有可用的存储空间，可以轻松地将其安装在众多主机上。

31 linux  filesystems  storage 

我需要定期给安装了vsftp的CentOS linux服务器上的各种目录提供临时和有限的访问权限。 我已经使用创建了一个用户，useradd [user_name]并使用为其提供了密码passwd [password]。 我在中创建了一个目录/var/ftp，然后将其绑定到我希望限制访问的目录。 为了确保该用户登录FTP时，他们仅能访问该目录，我还需要特别做什么？

31 linux  centos  ftp  vsftpd 

如何传送出wget下载的文件？如果没有，我应该使用什么替代品？

31 linux  ubuntu  bash  wget  pipe 

我是一个* .deb家伙，在管理rpm时感觉很不舒服。 我已经习惯了跑apt-get upgrade在我的基于Debian的服务器为“正常”的升级，并apt-get dist-upgrade为使内核升级或允许新的大包版本进行升级。 在我管理的CentOS服务器中，我希望具有类似的功能，但是man yum似乎没有提供这种行为。之间的差异yum update，并yum upgrade似乎不是我要找的。 到目前为止，我最好的方法是在中添加和删除以下设置/etc/yum.conf： exclude=kernel* 必须有更好的方法。任何建议都会受到欢迎。 编辑： yum的手册页描述和--obsoletes标志对我来说有点神秘。因此，让我重述一下我从中所了解的内容：我是否必须了解yum update不会安装新内核，因为这将意味着将当前内核标记为过时？我可以假设yum upgrade与相同或几乎相同apt-get dist-upgrade吗？ 编辑2 我最喜欢的apt-get upgrade是，它告诉我哪些软件包会保留，以便我可以采取相应的措施。带有apt-get dist-upgrade或带有显式的apt-get install package。 思前想后所以有点我的最好的办法，在这一刻将是：关闭淘汰了在设定的yum.conf（如由史蒂芬普里查德描述他的答案），并在第一次运行yum update。一旦安装了所有更新，请运行第二秒yum update --obsoletes以检查保留了哪些软件包并根据其结果执行操作。 那行得通吗？

31 linux  apt  yum 

我有一台具有多个接口的机器，可以根据需要进行配置，例如： eth1：192.168.1.1 eth2：192.168.2.2 我想通过另一个接口转发所有发送到这些本地地址之一的流量。例如，到192.168.1.1处的iperf，ftp，http服务器的所有请求不仅应在内部进行路由，还应通过eth2转发（外部网络将负责将数据包重新路由到eth1）。 我尝试并查看了几个命令，例如iptables，ip route等...，但是没有任何效果。 我可以得到的最接近的行为是： ip route change to 192.168.1.1/24 dev eth2 它将在eth2上发送所有192.168.1.x，除了192.168.1.1仍在内部进行路由。可能然后我可以对eth1上定向到伪造的192.168.1.2的所有流量进行NAT转发，并在内部重新路由到192.168.1.1吗？我实际上在为iptables奋斗，但这对我来说太难了。 此设置的目的是在不使用两台PC的情况下进行接口驱动程序测试。 我正在使用Linux，但是如果您知道如何在Windows上使用它，那我就买！ 编辑： 外部网络只是eth1和eth2之间的交叉电缆。假设我的机器上有一个http服务器。现在，我想从同一台计算机访问此服务器，但是我想强制TCP / IP通信通过此eth1 / eth2电缆。我应该如何为此配置接口？

30 linux  networking  command-line-interface  ip  iptables 

我不确定是否被黑客入侵。 我试图通过SSH登录，但它不接受我的密码。根登录已禁用，因此我进行了抢救并打开了根登录，并能够以根身份登录。以root用户身份，我尝试使用与以前登录时相同的密码更改受影响帐户的密码，并passwd回答“密码不变”。然后，我将密码更改为其他密码并能够登录，然后将密码更改回原始密码，然后我再次能够登录。 我检查auth.log了密码更改，但没有发现任何有用的信息。 我还扫描了病毒和rootkit，服务器返回了以下内容： ClamAV： "/bin/busybox Unix.Trojan.Mirai-5607459-1 FOUND" RKHunter： "/usr/bin/lwp-request Warning: The command '/usr/bin/lwp-request' has been replaced by a script: /usr/bin/lwp-request: a /usr/bin/perl -w script, ASCII text executable Warning: Suspicious file types found in /dev:" 应当指出，我的服务器并不广为人知。我还更改了SSH端口并启用了两步验证。 我很担心自己被黑了，有人试图欺骗我，“一切都很好，不用担心”。

30 linux  ssh  security  hacking 

假设我们正在使用ext4（启用dir_index）来托管大约3M文件（平均大小为750KB），并且我们需要确定要使用的文件夹方案。 在第一个解决方案中，我们对文件应用哈希函数，并使用两个级别的文件夹（第一级为1个字符，第二级为2个字符）：因此，作为filex.for哈希值等于abcde1234，我们将其存储在/ path中/ a / bc /abcde1234-filex.for。 在第二个解决方案中，我们对文件应用哈希函数，并使用两个级别的文件夹（第一级为2个字符，第二级为2个字符）：因此，作为filex.for哈希值等于abcde1234，我们将其存储在/ path中/ ab / de /abcde1234-filex.for。 对于第一个解决方案，我们将采用以下方案/path/[16 folders]/[256 folders]，每个文件夹平均有732个文件（文件所在的最后一个文件夹）。 而在第二个解决方案，我们将有/path/[256 folders]/[256 folders]与平均每个文件夹45页的文件。 考虑到我们将大量（基本上是nginx缓存系统）从该方案中写入/取消链接/读取文件（但大部分是read），从性能的角度来说，如果我们选择一种或其他解决方案，它是否很重要？ 另外，我们可以使用哪些工具来检查/测试此设置？

30 linux  nginx  performance  filesystems  linux-kernel 

我尝试使用以下方法安装Apache Benchmark：是否可以在不安装apache解决方案的情况下在我的centos上安装Apache Bench（ab），但是当我运行时yumdownloader httpd，出现错误： root@local [~/httpd]# yumdownloader httpd Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: yum.phx.singlehop.com * elrepo: repos.lax-noc.com * extras: centos.tcpdiag.net * updates: mirror.stanford.edu No Match for argument httpd Nothing to download 它是什么？我该如何解决？ 编辑1：我尝试使用迈克尔·汉普顿的方式，但我得到此错误： root@local [~]# yum provides /usr/bin/ab Loaded plugins: fastestmirror, security Loading mirror …

30 linux  apache-2.2  yum  ab 

在我的组织中，我与一组NOC员工，刚起步的初级工程师和少数高级工程师一起工作。所有的重点都放在Linux上。公司培养人才的一个有趣步骤是，从NOC到高级工程师队伍之间存在一条道路。将人才库视为一个相对较新的人才，我发现技能组中的差异会随着时间的流逝而逐渐增加... 有些工程师非常了解一种或几种特定技术，并且经常沉浸其中……例如，MySQL，防火墙，SAN存储，负载均衡器... 还有其他一些通才，可以使用多种技术。 所有人都学习了足够的Linux（命令，进程）以执行他们每天需要和使用的内容。 一些员工之间的一个区别因素是他们对脚本，自动化和配置管理方法的接受程度。例如，我们有两名工程师负责大部分Amazon AWS CloudFormation工作，另一名工程师负责处理大部分Puppet基础架构。也许有四分之一的工程师精通BASH Shell脚本。 在上下文看着这个令人难以置信的高要求在就业市场上的DevOps技能，我很好奇其他组织如何培养这些技能的发展和壮大自己的内部人才。脚本似乎不是一个特别可教的概念。 系统管理员如何改善其Shell脚本？ 对于那些不/不能跟上DevOps范例的工程师，还有地方吗？ 我们是否只是简单地假设随着这些技术的发展就会有人落后？这样可以吗？

30 linux  scripting  puppet  automation  configuration-management 

我的理解是，rm在文件上运行只会取消链接，从而在文件系统中将空间标记为空闲。然后应该遵循的原则是，删除一个文件通常花费大致相同的时间（即删除速度与文件数量成正比，而不与文件大小成正比）。 那么，为什么删除一个15 GB的文件却要花一分钟多的时间rm file.tar.gz呢？

30 linux  filesystems  ext4 

我正在尝试在嵌入式设备（Synology DS212 + NAS）上运行的ARM Linux上将bash安装为默认外壳。但是确实有什么问题，我不知道这是什么。 症状： 1）根目录将/ bin / bash作为默认外壳，并且可以通过SSH正常登录： $ grep root /etc/passwd root:x:0:0:root:/root:/bin/bash $ ssh root@NAS root@NAS's password: Last login: Sun Dec 16 14:06:56 2012 from desktop # 2）joeuser将/ bin / bash作为默认外壳，并在尝试通过SSH登录时收到“权限被拒绝”： $ grep joeuser /etc/passwd joeuser:x:1029:100:Joe User:/home/joeuser:/bin/bash $ ssh joeuser@localhost joeuser@NAS's password: Last login: Sun Dec 16 …

30 linux  ssh  bash  synology