服务器 Gind.cn

是否有一个现有的机制，可以在线同步一个linux系统与NTP，并且在离线状态下可预测漂移RTC？ 我们操作远程“收集器”：收集传感器数据并对其进行时间标记的embedded式Linux系统。 我们需要他们的时钟错误保持合理的小，比如5秒以内。 通常我们使用NTP来同步他们的时钟，并且工作正常 – 只要系统在线。 问题是一些collections家有非常糟糕的上行链路，可能会下降数小时，数天甚至数周。 这并不能阻止本地数据收集，但是如果没有NTP，Linux系统时钟会发生严重的漂移，并且相当不可预测。 OTOH，硬件的RTC漂移也很厉害，但速度不变。 RTC漂移率因板而异，但每块板不变，可以测量。 我想我们需要的是一个机制，做到以下几点： 在部署之前测量电路板的RTC漂移率 如有可能，通过NTP定期调整系统时间 当NTP不可用时，定期从RTC调整系统时间。 考虑已知的RTC漂移率。 可选：测量并logging在线时正在进行的RTC漂移率（1） 对于“机制”，我的意思是一些维护良好，logging在案的软件和/或configuration可以处理“在线”与“离线”两种状态，确保系统时钟与正确的时间源同步（ntp vs. rtc），检测状态变化，并校正RTC漂移。 不pipe它是作为一个特殊的ntpdconfiguration/插件，作为单独的守护进程，还是作为一个cron作业来实现，都没关系。 我看了一下Chrony ，但是根据它的文档，它试图预测系统时钟的漂移，在我们的例子中漂移比RTC漂移更加不可预测。 Chrony似乎只使用RTC来保持重新启动的时间。 （1）注意ntpd激活内核的“11分钟模式”（每隔11分钟从系统时钟更新rtc）。 目前的内核和ntpd似乎没有办法阻止11分钟的模式。 因此，当ntpd正在运行（thx @billthor）时，任何rtc漂移信息都会丢失。 更新/编辑： 我们正在考虑通过USB或串行为MSF或DCF77信号（我们位于欧洲）添加一个外部无线电时钟。 但我们宁愿保持硬件精益。 我们的collections家位于室内，通常在地下室。 所以添加GPS时钟将无济于事。 我们使用Debian 7.这意味着来自util-linux-2.20.1的hwclock，来自ntp-4.2.6.p5的ntpdate-4.2.6p5，ntpd，chrony-1.24（可能是1.30）。 请注意，我们的问题不是我们不知道如何使用ntpdate(8) ， hwclock(8) ， date(1)等。请参阅斜体添加的部分关于我的意思是“机制”。 增加了关于“11分钟模式”的脚注 这是一个关于离线同步和RTC漂移的非常有趣的讨论

在Ubuntu 14.04服务器上运行。 所以我有fail2ban正确configuration为SSHlogin尝试处理/var/log/auth.log 。 在3次失败尝试中，我在fail2ban日志中看到了这一点： 2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY iptables -L显示这个链： Chain fail2ban-ssh (1 references) target prot opt source destination REJECT all — BANNED_IP_ADDY anywhere reject-with icmp-port-unreachable RETURN all — anywhere anywhere 然而，从这个IP，我仍然可以通过SSHlogin没有任何问题。 同样的故事也适用于我所有的失败监狱。 Apache例如，我可以看到fail2ban正确地检测到日志并声称它禁止一个IP。 IP最终在iptables链中，但IP实际上并未被拒绝。 我在这种情况下有一种感觉，因为SSH不在标准端口上。 它在不同的港口。 所以，如果我强制ssh jail规则使用新的端口： [ssh] enabled = true port = 32323 filter = sshd logpath = […]

当第一个文件丢失时，如何使HAProxy重写到不同的后端？ 我需要的是errorloc但重写而不是redirect，所以客户端不知道redirect。 我们已经开发了一个Nginx的应用程序，这个应用程序既是负载均衡反向代理，也是静态文件的Web服务器。 应用程序基于Opa框架，该框架需要基于cookie的粘性会话（由NginX和HAproxy支持）。 我们遇到的应用程序function是dynamic内容生成。 它可以根据需要生成图像，但生成后会保存在磁盘上，并可以通过确定性path静态访问。 Nginx很容易解决这个问题 – 只有当文件丢失（还没有生成）时，它才会尝试读取本地文件并使用负载平衡的后端。 server { server_name wkaliszu.pl; location /thumb { root /path_on_disk/to_cached_content; expires 7d; # try to access already generated content try_files $uri @wkaliszu; } location / { # reverse proxy to the application […] } location @wkaliszu { # reverse proxy to the application […] } } 服务器已迁移，现在使用HAPproxy进行负载平衡，这不是Web服务器，并且不支持此function。 […]

我正在使用Ubuntu服务器12.04，无法find负载的原因，我看到过去一周服务器响应时间的变化 在阅读Linux故障排除之后，第一部分：高负载 看起来好像CPU和RAM没有问题，这个负载可能与I / O绑定的负载有关 ，使用top命令我得到了下面的输出 这里是97.6%wa ，RAM是免费的，没有交换使用。 以下是命令iostat输出，播种89% iowait有89% iowait ubuntu@ip-my-sys-ubuntu:~$ iostat Linux 3.2.0-58-virtual (ip-172-31-6-203) 02/19/2015 _x86_64_ (1 CPU) avg-cpu: %user %nice %system %iowait %steal %idle 3.05 0.01 3.64 89.50 3.76 0.03 Device: tps kB_read/s kB_wrtn/s kB_read kB_wrtn xvdap1 69.91 3.81 964.37 978925 247942876 我也用iotop修复了间隔后显示99％的I / O，磁盘写我观察者为1266 KB/s 和 是不好？ 随着响应时间的降低。 这是什么原因造成的？ EDITS是由别人问的 iftop […]

我有一个Azure文件共享，并希望从我的Azure虚拟机中使用这个 – 使用cmdkey在虚拟机上保留凭据并使用net进行安装。 这是通过在Windows Server 2012 R2的本地PowerShell会话中运行这些命令来testing的。 但是我需要将这一步添加到Azure部署脚本中。 Azure Powershell脚本从我的笔记本电脑运行，连接到Azure订阅，并使用大量variables从头开始构build虚拟机。 想通过使用Invoke-Command将variables从Azure Powershell脚本传递到新创build的VM上的远程Powershell会话。 $Session = New-PSSession -ConnectionUri $Uri -Credential $DomainCredential $ScriptBlockContent = { Param ($Arg1,$Arg2,$Arg3) cmdkey /add:$Arg1 /user:$Arg2 /pass:$Arg3} Invoke-Command -Session $Session -ScriptBlock $ScriptBlockContent -ArgumentList ($Share,$AccountName,$Key) 而错误： PS C:\> Invoke-Command -Session $Session -ScriptBlock $ScriptBlockContent -ArgumentList ($Share,$AccountName,$Key) CMDKEY: Credentials cannot be saved from this logon session. replace为cmdkey […]

我们目前正在运行Windows Server 2012 R2。 我们已经升级了电脑到Windows 10，我们希望configuration打开文件资源pipe理器从GPO设置。 我们希望文件浏览器打开到这个电脑 ins的快速访问 。 你可以看到这个图像上的最佳设置：（在一般标签上的第一个设置） http://cdn2.tekrevue.com/wp-content/uploads/2015/07/folder-options-windows-10-file-explorer.png 如何从GPOconfiguration此设置？ 编辑： 现在我们要使用组策略编辑器应用registry修改。 但是，如果可能的话，真正的GPO或GPP将会更好。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced LaunchTo DWORD 1 = This PC 2 = Quick access

我们正在遇到一个有趣的争论，正在陷入两个阵营。 我感兴趣的任何想法或陷阱我们可能会失踪的任何特定的问题。 真的，任何能够帮助我们做出决定的东西，或者指出我们没有考虑到的事情。 我知道这个裙带着“无意见”的规则，但我希望这仍然是一个可以接受的问题。 对不起，长度也有一些微妙的差别。 1）一方（我 – 我不是没有偏见）发现云系统非常有趣的不变的服务器模型。 为此，我们将基础架构的所有组件移植到Docker中。 我们的自定义应用程序通过Jenkins直接构build到部署到本地Docker Registry的Docker镜像中。 然后，我们创build了一大组Ansibleangular色和一个能够伸手去找空服务器的剧本，安装Docker，然后告诉Docker根据需要安装所有的容器。 几分钟后，整个应用程序及其所有的支持基础架构就被连接起来并工作 – logging，监视，数据库创build/填充等。完成的机器是一个独立的QA或开发环境，具有应用。 我们计划扩大规模的计划是制作新的手册，从基础可信AMI（可能是一张非常光滑的图像）构build新的AWS服务器，对生产应用程序进行滚动部署以处理configurationpipe理和发布，而且通常不会再次编辑服务器 – 只是让他们重新。 我并不担心在实践中得到我所描述的工作 – 只要这是一个合理的模型。 2）另一个阵营希望使用Puppet来处理configurationpipe理，Ansible部署我们的自定义应用程序，这些应用程序是我们构build过程中生成的压缩包，Foreman负责处理整个stream程的触发和pipe理，Katello做一些基础图像pipe理。 发布将涉及Puppet根据需要更改configuration和Ansible部署更新的组件与一定数量的工头协调。 如果我们需要新的服务器，那么服务器的build立就会相当快，但是不要把它们作为标准stream程的一部分来处理。 尽pipe使用寿命长，但它更接近凤凰服务器模式。 所以我的问题真的归结为这个：是不是一成不变的服务器模型，我已经用上面描述的这些工具实际上是现实的了？ 我喜欢这样一个想法，即我们的暂存过程实际上可以在现场构build完整的应用程序副本，让QA锤击它，然后只是翻转数据库存储和一些DNS设置以使其生存。 还是不可变的服务器模型在实践中失败？ 我们在AWS和云环境方面拥有丰富的经验，所以这不是关注的问题 – 更重要的是如何让一个相当复杂的应用程序可靠地部署到今后。 这是我们特别感兴趣的，因为我们经常发布。 我们有Ansible，除了为我们创buildEC2服务器之外，还需要做大部分工作，这并不困难。 我很难理解为什么你真的需要木偶/工头/ Katello在这个模型中。 Docker比任何自定义的部署脚本更加清洁和简单。 Ansible似乎比Puppet简单得多，当你不必担心必须现场configuration它们，而只需使用新configuration再次构build它们。 我是KISS校长的粉丝，尤其是在墨菲法则猖獗的自动化领域。 国际海事组织越好，机械越less。 任何想法/意见或build议的方法将不胜感激！

由于我想在我的SSL证书中设置“必须主要”属性，所以我正在做一些研究，以确定我的所有服务是否支持OCSP装订。 到目前为止，我发现Apache能够使用SSLLabs.com进行确认。 但除此之外，我无法确认，如果我的两个其他服务（SMTP和IMAP）也支持OCSP订书机。 现在我的问题是，Postfix和Dovecot也支持它吗？ PS：我知道证书在邮件传输方面看起来并不重要，但是我想避免任何可能的问题，如果我添加了这个属性，客户端可能会因此而拒绝工作，而其他人可能会从中受益。

我有多个使用相同的网关IP的VPN连接（我没有能力改变这一点，因为它是我的控制之外）。 这些VPN都提供对不同networking的访问，并且networking至less有一个或两个上行链路，因此在所有情况下都需要网关IP。 有了Linux，路由到networking，我可以简单地做： ip route add $destination_1 via $gateway_ip dev $interface_1 ip route add $destination_2 via $gateway_ip dev $interface_2 ip route add $destination_3 via $gateway_ip dev $interface_3 等等 然后，Linux将把每个目标networking的stream量放到正确的接口上，然后转向正确的网关，因此每个接口的网关IP都是一样的。 我的问题是，我怎样才能在OpenBSD中实现这一点？ 我试过了，失败了。 我的发现是，对于一个特定的目的地，我可以： 指定一个接口（如果目的地是直接在该链接上 – 这是不是我的情况） 指定一个网关IP，因为目的地不是直接在链路上 但我不知道如何指定两者。

我已经启用了以下政策， “禁止TCP / IP高级连接” “禁止访问局域网连接组件的属性” “为pipe理员启用Windows 2000networking连接设置” 做完所有这些之后，运行windows xp，2000和vista的所有机器都会按照预期禁用networking设置属性button。 然而，所有运行Windows 7的机器都没有任何影响，我相信还有更多的步骤，所有的Windows 7机器都在域上，我们希望通过域控制器的GPO来控制它。 请让我知道，我需要做的是让Windows 7禁用networking连接的属性，我不是networking专家，我读了几篇关于在Windows 7的GPO中添加了什么新的文章，但我是空白的。 在Windows XP，Vista，2003 Server上一切正常。 只有Windows 7是一个问题。