服务器 Gind.cn

我已经在VPS上安装了一个新的CentOS 7 minnimal安装的firewalld（奇怪的是，从我一直在寻找firewalld应该已经安装系统）。 我试图打开一些端口，但是当运行一个像这样的命令 firewall-cmd –zone=public –add-port=80/tcp –permanent 我得到以下错误消息： Error: INVALID_ZONE: public 。 当用firewall-cmd –get-zones查看可用区域firewall-cmd –get-zones我什么也得不到。 应该如何configuration？

默认情况下，ADFS 3响应包含“X-Frame-Options：DENY”HTTP标头。 这可以防止ADFS在iframe中运行，因为这提供了点击劫持攻击的机会。 目前我的公司正在实现一个集成，这个安全规则应该是一个例外：某个域上的页面应该能够将ADFSembedded到iframe中。 但似乎ADFS不允许改变这个开箱即用的方式。 那么修改这个HTTP头的最好方法是什么？ 例如RFC（ https://tools.ietf.org/html/rfc7034#section-2.3.2.3 ）中所build议的？ 想要在帧中呈现所请求的内容的页面将其自己的起源信息提供给提供要经由查询string参数成帧的内容的服务器。 服务器validation主机名是否符合其标准，以便允许页面被目标资源框起。 例如，这可以通过查找被允许构build页面的可信域名白名单来实现。 例如，对于Facebook的“Like”button，服务器可以检查提供的主机名是否与该“Like”button所期望的主机名匹配。 如果在步骤＃2中符合适当的条件，则服务器返回“X-Frame-Options：ALLOW-FROM”中的主机名。 浏览器强制执行“X-Frame-Options：ALLOW-FROM”标题。

我们在使用应用程序内购买来解锁可下载内容的iOS应用程序存在问题，但似乎只能从中国获得。 我们看到很多来自中国的负面评论。 我们在应用程序购买过程中涉及到在DigitalOcean上托pipe的https服务器，该服务器validation收据并发回Amazon CloudFront URL以从中下载。 我已经用greatfire.org检查了我们的服务器，并且它变回了绿色。 CloudFront或直接S3链接似乎也不被阻止。 我已经在PureVPN上build立了一个帐户，并使用了他们的中文服务器（通过它们发送所有stream量），但是我不确定这些服务器是否真的在中国，因为下载过程可以正常工作，而且我可以访问Gmail / Facebook / NYTimes 。 我能模拟在中国的最好方式是什么，在防火墙的后面？

我试图Kerberize一个Apache服务器，并允许创build的服务器主体login到Active Directory。 我已经在网上提供了众多的教程之一，它似乎工作正常。 我在项目的Linux方面，企业IT在Windows方面。 IT为我提供了一个服务帐户和一个服务负责人。 在这个例子中，我将它称为HTTP/[email protected]。 他们为我提供了一个keytab文件，用于在AD服务器上运行一个名为ktpass.exe的工具。 我已经validation了AD / KDC的KVNO和keytab文件相匹配。 一切都很好。 主机名有一个合适的DNS Alogging，IP有合适的PTRlogging。 两台服务器都在同步。 我可以通过发行的keytab文件从AD / KDC申请上述服务主体的票据，如下所示： kinit -k -t http.keytab HTTP/[email protected] 这工作。 我获得一张票，我可以使用这张票来查询AD / LDAP目录。 keytab对于运行单点loginApache站点也很有效，这是本练习的目标之一。 半个小时过去了。 尝试使用上述kinit命令login失败，并显示以下消息： Client not found in Kerberos database 我无法validation服务主体，就好像委托人在AD服务器上被删除一样。 现在它变得很奇怪，至less对我来说： 通过请求，ADpipe理员再次运行ktpass.exe工具，为我的服务构build一个新的keytab文件。 KVNO（密钥版本号）在服务器上递增，导致我们的Apachetesting服务器停止validationKerberos单点login。 这与我目前的configuration预计。 令我们惊讶的是，现在kinit命令再次运行。 我们又买了半个小时，然后又停了下来。 我们的IT部门在这里处于亏损状态，他们猜测这是AD服务器本身的一个问题。 我想这是configuration，但据他们说，在他们的设置任何地方都没有半小时的限制。 我遵循http://www.grolmsnet.de/kerbtut/ （请参阅第7节），但是在我find的所有文档中，这个方法似乎是一样的。 我没有发现任何提及服务负责人的时间限制。 编辑：这似乎是一个复制问题。 虽然在复制过程中没有报告错误，但服务帐户的SPN值是从“HTTP/[email protected]”更改（恢复？）“[email protected] “30分钟后。

Windows 2012 R2，完全更新/激活angular色：ADDS，ADFS已安装Azure AD Connect最新版本（仅安装除更新以外的软件） 其他适用的服务：Office 365（Business Premium许可），Azure AD Premium 有密码回写的问题。 我能够重置本地AD上的用户密码，并将更改反映在Azure AD和Office 365中，但是，当我在Office 365上重置用户密码时，其他位置不会应用更改。 我在这个实例中使用内置的pipe理员帐户作为ADMA，并应用相应的权限：*重置密码*更改密码*写入lockoutTime *写入pwdLastSet 正在使用的Azure AD服务帐户设置为全局pipe理员，Azure AD Connect将成功validation凭据。 值得一提的是，自从Azure AD Connect初始部署以来，在Windows应用程序事件日志中没有出现令人垂涎的31005事件ID。 可能适用于此问题的事件日志错误： 事件ID：0源：目录同步 – “与Microsoft联机服务login助手发生未知错误。请与技术支持联系SetCredential（）失败联系技术支持（0x8009000B）” 事件ID：109源：目录同步 – “预取导入数据时失败”。 事件ID：6801源：ADSync – “可扩展的扩展返回一个不受支持的错误。堆栈跟踪是： “Microsoft.Online.Coexistence.ProvisionException：与Microsoft联机服务login助手发生未知错误。”联系技术支持 – > Microsoft.Online.Coexistence.Security.WindowsLiveException：SetCredential（）失败联系技术支持。在Microsoft.Online.Coexistence.ProvisionHelper.GetLiveCompactToken（string用户名，stringuserPassword）的Microsoft.Online.Coexistence.Security.LiveIdentityManager.OpenIdentity（stringfederationProviderId，string用户名，string密码）—结束内部exception堆栈跟踪 – – 位于Microsoft.Azure.ActiveDirectory.Connector.Connector.GetImportEntriesCore（）上的Microsoft.Azure.ActiveDirectory.Connector.GetImportEntriesTask.GetNextBatch（）位于Microsoft.Azure.ActiveDirectory.Connector.Connector.GetImportEntries（GetImportEntriesRunStep getImportEntriesRunStep）Azure AD Sync 1.0。 8667.0" 事件ID：6803源：ADSync – “pipe理代理程序”domain.com – AAD“运行configuration文件失败”Delta导入“，因为服务器遇到错误” 任何帮助将是伟大的。 我肯定有人会让我知道，如果我留下任何必要的东西。

使用案例 ：2FAlogin到Active Directory（例如login到AD上的公司桌面计算机） 期望的解决scheme ：Google Authenticator风格，基于RFC的MFA系统。 这个path是引人注目的，因为它是基于RFC的，并被广泛用于基于互联网的应用程序，并且用户基础已经拥有并且始终使用它。 我们认为这将被内置到服务器2016年，但似乎不是？ 终极梦想 ：以这种方式，AD以2FA提升，其他我们使用AD作为目录的应用程序（我们希望）能够神奇地获得2FA的好处。 为了清楚起见 ：我们不是试图使用谷歌（或其他）帐户login到AD。 我们正试图使用​​谷歌身份validation工具（或authy或任何其他实现该RFC的工具）将2FA添加到AD本身。 （我们使用谷歌身份validation与亚马逊AWS，和许多其他托pipe系统 – 每个系统都有自己的用户数据库。）例如，这不是面向Web面向OpenID等。 我们今天的立场 ：今天，login到桌面和个人电脑是通过简单的简洁的密码。 但是有些工具（如我们的VPN服务器），使用AD进行身份validation并支持Google身份validation器。 我们希望物理login与VPN一样紧密（并使用类似的身份validation工具）。 目前的研究已经完成 有关于如何使用谷歌身份validation与Active Directory联合服务（AD FS）的TechNet文章： https ： //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords换多因子authentication在-AD-FS-3-0 / 奇怪的是，它似乎是一个开发项目，需要一些代码和自己的SQL DB。 我们在这里不是专门针对AD FS的。 我们正在寻找2FA的解决scheme，并支持内置于AD的Google Authenticator RFC。 对于Google身份validation器，AD是否有本地支持（到现在为止，2016 …）？ 如果没有，是否在Server 2016中预期？ （如果Win Server 2016select不支持最stream行的基于RFC的2FA，请帮我理解为什么MS会做出这样的决定？）

我试图将两个挂载点聚合到一个目录中，以便将来自两个目录的文件合并到一个挂载点中。 我正在使用overlayfs做一些testing，并且已经能够创build合并的挂载点，但是当我从这个合并的目录中删除文件时，问题就出现了。 据我所知，overlayfs有一个较低和较低的文件系统，如果你从下面删除了一些东西，它会在上层文件系统上创build一个“whiteout”，基本上只是把文件从下面的文件从“shiny的”文件隐藏到合并的层。 该文件仍占用较低文件系统上的空间; 它只是没有提供可用。 我的问题是：如何从上下文件系统中删除文件并回收已删除文件使用的空间，而不是只隐藏它？ 我可以从合并的目录中手动删除文件，然后从较低的目录中删除文件（这是一件坏事吗？）但是df -ha仍然显示合并目录占用空间： none 6.8G 1.9G 4.6G 30% /var/www/merged /dev/loop0 380M 2.3M 354M 1% /mnt/lower1 /dev/loop1 380M 2.3M 354M 1% /mnt/lower2 /dev/loop2 380M 2.3M 354M 1% /mnt/upper none 380M 2.3M 354M 1% /mnt/merged 从overlayfs文件系统中删除文件并正确报告准确的磁盘使用情况的正确方法是什么？

（从SO移动） 我有保护SIP服务器的iptables。 它阻止除了我专门打开的IP以外的所有IP，而且似乎几乎适用于所有人。 我已经从很多不是白名单的IP地址进行testing，他们都应该放弃。 但是，我拿起了一个似乎能够绕过iptables规则的“黑客”。 他的调查邀请通过，我不知道如何，甚至可能。 在十年之内，我还没有见过这个。 我想这一定是我所做的，但是我看不见。 这样创build的iptables（在顶部定义了MYIP – redacted）： iptables -F iptables -X iptables -N ALLOWEDSIP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -d $MYIP –dport 22 […]

我们正在为我们公司创build一个内容pipe理系统。 此CMS支持dynamic数量的服务器上的dynamic域名是非常重要的。 经过几个小时的研究之后，我们觉得亚马逊的Elastic Beanstalk是最好的select。 我们还需要的一件事是为与系统相关的域dynamic启用SSL。 所以在我们的系统中，我们可以创build一个与网域相关联的“网站”。 在创build网站时，我们也应该有能力select域是否通过SSL / TLS托pipe。 我们计划对该系统进行白色标记，并预计将有大量域名与之关联。 我一直在探索能够在服务器（或负载平衡器）上build立SSL的不同可能性，并且能够改变即时保护的域名。 这是我在哪里： 使用亚马逊的证书pipe理器 ：这将是最好的方式去做。 它与AWS集成，非常易于使用。 但是，它有几个使人虚弱的限制：1.每次申请新证书时都必须通过电子邮件validation每个域名。 没有什么大不了的，它不能申请EC2实例的证书，只有负载均衡器和负载均衡器只能分配一个证书。 这意味着，只要您希望保护其他域，就必须重新validation每个域。 不好。 使用让我们encryption负载平衡器 ：这将是下一个最好的方式（我可以看到）来保护我们的网站。 每当需要保护一个新站点时，我们都会为所有需要SSL的站点申请一个新的证书。 一旦证书被创build，我们将其推送到IAM，并通知EBS将负载均衡器与新的证书相关联。 我看到的唯一问题是， LetsEncrypt将他们的证书限制在100个域中，就像非免费但相对便宜的SSL提供商SSLMate一样。 现在可能工作，但它不能缩放。 是否有一个自动化的SSL提供者，对证书上的域数目没有限制？ 使用Passthrough SSL ：Amazon的Elastic Beanstalk允许您以这种方式进行设置，以便负载均衡器将encryptionstream量直接传递给EC2实例。 然后，您可以允许EC2实例处理证书。 然后，我可以利用LetsEncrypt并为每个域分配一个单独的证书。 当考虑自动调节时，我遇到了一个问题：我们需要跨实例复制证书。 我的解决scheme是将证书存储在安全的S3存储桶中，然后在所有EC2实例上运行一个cron，以便将新的/更新的证书导出。 有没有关于最后的想法？ 有什么更好的解决scheme，我想要做什么？ 我错过了什么吗？ 关心？ 或者，也许对我的问题超级简单的解决scheme？ 请注意，我使用泊坞窗，所以我可以在我需要的服务器上设置任何东西。

在我的研究小组中，我们最近将我们的机器上的操作系统从Red Hat 6.2升级到了Debian 8.3，并且观察到我们机器之间通过集成的Intel 1G NIC的TCP往返时间从110μs增加到220μs。 起初，我认为这是一个configuration问题，所以我将所有的sysctlconfiguration（例如tcp_low_latency=1 ）从未升级的Red Hat机器复制到Debian机器，并没有解决问题。 接下来，我认为这可能是一个Linux分发问题，并在机器上安装了Red Hat 7.2，但往返时间保持在220μs左右。 最后，我认为可能是Linux内核版本问题，因为Debian 8.3和Red Hat 7.2都使用内核3.x，而Red Hat 6.2使用内核2.6。 所以为了testing这个，我安装了Debian 6.0 Linux内核2.6和宾果！ 时间又在110微秒。 其他人也在最新版本的Linux中经历了这些更高的延迟，并且有已知的解决方法吗？ 最小工作示例 下面是一个C ++应用程序，可用于基准延迟。 它通过发送消息，等待响应，然后发送下一个消息来测量延迟。 它用100字节的消息完成了这个100,000次。 因此，我们可以将客户的执行时间除以100,000来获得往返延迟。 要使用这个首先编译程序： g++ -o socketpingpong -O3 -std=c++0x Server.cpp 接下来在主机上运行应用程序的服务器端版本（比如192.168.0.101）。 我们指定IP以确保我们在一个知名的界面上托pipe。 socketpingpong 192.168.0.101 然后使用Unix工具time来测量客户端的执行时间。 time socketpingpong 192.168.0.101 client 在两个具有相同硬件的Debian 8.3主机之间运行这个实验会得出以下结果。 real 0m22.743s user 0m0.124s sys 0m1.992s Debian 6.0的结果是 […]