服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器
我创build了一些用户: $ useradd john 我忘了指定参数-m来创build主目录,并将骨架文件复制到每个用户。 现在我想这样做,我不想重新创build所有用户(必须有一个更简单的方法)。 那么,有没有办法创build用户目录并复制骨架文件? 我想创build目录,将它们发送给相应的用户,复制所有的骨架文件并将它们发送给相应的用户。 但是如果有一个像useradd -m这样的命令不会再创build用户,而是创build目录,那会更好。
我频繁的一个网站最终决定启用TLS到他们的服务器,而不是像在那里的很多网站那样强制它。 维护者声称TLS 必须是可选的。 为什么? 在我自己的网站上,我很早就设置了强制使用TLS和HSTS,弱密码套件也被禁用。 纯文本访问保证被HTTP 301封装到受TLS保护的版本。 这是否会对我的网站造成负面影响?
$ ps | grep django 28006 ttys004 0:01.12 /usr/bin/python bin/django celeryd –beat 51393 ttys005 0:01.45 /usr/bin/python bin/django celeryd -l INFO 51472 ttys005 0:01.29 /usr/bin/python bin/django celeryd -l INFO 51510 ttys005 0:01.89 /usr/bin/python bin/django celeryd -l INFO 51801 ttys005 0:01.83 /usr/bin/python bin/django celeryd -l INFO 53470 ttys005 0:03.97 /usr/bin/python bin/django celeryd -l INFO 53780 ttys005 0:00.00 […]
我有一台运行带有libvirt的Linux的双Opteron服务器来托pipe多个虚拟机。 虚拟机工作正常,服务器进程正常,但我注意到一个CPU总是运行大约69C(70C的节stream),另一个运行大约15C。 这对我来说不正常? 难道他们两人的体温都差一点吗? 我不知道如何进一步dianose。 也许在其中一个CPU上没有足够的导热膏? 编辑:主板是华硕KGPE-D16和双Noctua NH – U9DO风扇冷却。 请注意,我认为温度可能会高于环境温度,而不是绝对值? 当服务器闲置时,CPU温度降至2C和13C。 我从这里使用lmsensorsconfiguration
基于一年前的一个更早的问题( 多路复用的1 Gbps以太网? ),我去了一个新的机架,并在全新的地方安装了一个带有LACP链路的ISP。 我们需要这一点,因为我们有单独的服务器(一个应用程序,一个IP),在整个互联网上提供数以千计的客户端计算机,累计超过1Gbps。 这个LACP的想法是要让我们打破1Gbps的障碍,而不用花10GoE交换机和NIC的财富。 不幸的是,我遇到了与出站stream量分配有关的一些问题。 (尽pipeKevin Kuphal在上面的链接问题中提出了警告)。 ISP的路由器是某种思科。 (我从MAC地址推断出来的)。我的交换机是HP ProCurve 2510G-24。 而服务器是运行Debian Lenny的HP DL 380 G5。 一台服务器是热备份。 我们的应用程序不能被聚集。 这是一个简化的networking图,其中包括所有与IP,MAC和接口相关的相关networking节点。 虽然它具有所有的细节,但是要处理和描述我的问题有点困难。 所以,为了简单起见,下面是一个简化为节点和物理链路的networking图。 于是我离开,在新的机架上安装了我的套件,并将ISP的电缆从他们的路由器上连接起来。 两台服务器都有一个到我的交换机的LACP链路,交换机有一个到ISP路由器的LACP链路。 从一开始我就意识到我的LACPconfiguration是不正确的:testing显示,每台服务器的所有stream量都是通过服务器到交换机和交换机到路由器之间的一条物理GoE链路。 随着一些谷歌search和大量RTMF时间有关的Linux网卡绑定,我发现我可以通过修改/etc/modules来控制NIC绑定 # /etc/modules: kernel modules to load at boot time. # mode=4 is for lacp # xmit_hash_policy=1 means to use layer3+4(TCP/IP src/dst) & not default layer2 bonding mode=4 miimon=100 […]
所以我们都可能有这样的情况:你debugging一些问题,只是意识到这是由你六个月前的configuration改变引起的,你不记得你为什么这样做。 所以你撤消它并解决问题,现在还有其他一些问题。 噢,现在我记得! 然后你正确地修复它。 这是因为你没有记下适当的音符,你是个笨蛋! 但是,这样做的好方法是什么? 在工程中,我们有大量的软件可以帮助我们检测和跟踪变化。 源代码pipe理,代码评论等等。 每一个变化都被追踪,每一个变化都需要一个评论。 典型的工程部门需要很好的评论,以便在六个月内弄清楚为什么这样打破它时,可以使用历史上的“责备”特征或二分查找构build来查明问题。 这些工具是非常有效的沟通工具和历史logging。 但是在服务器端,我们有500个不同的服务,都有不同的configuration方式。 他们并不总是有一个文本格式(考虑设置一个文件夹的权限或更改页面文件的位置),虽然他们可能有文字表示。 在我们的环境中,我们检查哪些configuration文件可以join到Perforce中,但是其中很less。 不能完全检查活动目录数据库..虽然也许是一个转储可能diff'd … 在过去,我尝试过在维基上保留一个手动更改日志,但要维持这个纪律是非常困难的(我知道这不是一个好的借口,但确实很难)。 我的问题:你用什么策略和工具来解决跟踪服务器configuration变化的这个问题? – 更新 – 注意:我不是在寻找共享笔记logging工具(我熟悉OneNote等),而是专门用于帮助跟踪服务器更改的自动化工具。 有没有全面的工具来跟踪服务器configuration的变化,但也许有一些特定的应用程序,如GPO的。 另外,我对您发现有用的特定策略非常感兴趣。 “我们在Sharepoint中共享笔记”非常含糊。 你如何保持纪律? 你用什么格式来跟踪你的改变? 你如何组织你的变更数据? 我真的很喜欢例子和想法。
场景:我们有许多Windows客户端定期上传大文件(FTP / SVN / HTTP PUT / SCP)到Linux服务器,距离大约100-160ms。 我们在办公室拥有1Gbit / s的同步带宽,服务器可以是AWS实例,也可以物理托pipe在美国的DC中。 最初的报告是,上传到一个新的服务器实例比他们可能慢得多。 这在testing和多个地点都出现了; 客户从他们的Windows系统看到主机稳定的2-5Mbit / s。 我在AWS实例上发现了iperf -s ,然后从办公室的Windows客户端发出了: iperf -c 1.2.3.4 [ 5] local 10.169.40.14 port 5001 connected with 1.2.3.4 port 55185 [ 5] 0.0-10.0 sec 6.55 MBytes 5.48 Mbits/sec iperf -w1M -c 1.2.3.4 [ 4] local 10.169.40.14 port 5001 connected with 1.2.3.4 port […]
愚蠢的问题: 在Windows上有相当于iptables吗? 我可以通过cygwin安装吗? 真正的问题是:如何在Windows上完成通过iptables可以完成的任务? 只要寻找基本的防火墙function(例如阻止某些IP地址)
我偶尔会收到奇怪的请求,在Linux系统上提供远程支持,故障排除和/或性能优化。 较大的公司通常已经build立了完善的程序来向供应商/供应商提供远程访问,我只需要遵守这些程序。 (无论好坏。) 另一方面,小公司和个人总是要求我指导他们做什么来build立我。 通常他们的服务器直接连接到互联网,现有的安全措施包括Linux发行版的默认设置。 几乎总是我需要根级别的访问权限,谁将设置访问我不是一个专家系统pipe理员。 我不希望他们的root密码,我也很确定我的行为不会是恶意的,但是我应该给出什么合理简单的指示: build立一个帐户并安全地交换凭证 设置root(sudo)访问权限 限制访问我的帐户 提供审计跟踪 (是的,我意识到并总是警告那些客户,一旦我有pipe理员访问隐藏任何恶意行为是微不足道的,但让我们假设我没有什么可以隐藏和积极参与创build审计跟踪。) 在下面的步骤可以改进什么? 我目前的指令集: build立一个帐户并安全地交换凭证 我提供了一个密码哈希,并要求我的帐户是使用该encryption的密码设置的,所以我们不需要传输明文密码,我是唯一一个知道密码的人,而且我们不会以一个可预见的弱密码。 sudo useradd -p '$1$********' hbruijn 我提供了一个公共密钥SSH(每个客户端的特定密钥对),并要求他们使用该密钥设置我的帐户: sudo su – hbruijn mkdir -p ~/.ssh chmod 0700 ~/.ssh echo 'from="10.80.0.0/14,192.168.1.2" ssh-rsa AAAAB3NzaC1y***…***== hbruijn@serverfault' >> ~/.ssh/authorized_keys chmod 0600 ~/.ssh/authorized_keys 设置root(sudo)访问权限 我要求客户使用sudo sudoedit或使用他们最喜欢的编辑器为我设置sudo,并追加到/etc/sudoers : hbruijn ALL=(ALL) ALL 限制访问我的帐户 通常情况下,客户端仍允许使用基于密码的login,并要求他们将以下两行添加到/etc/ssh/sshd_config ,以至less将我的帐户限制为仅使用SSH密钥: Match user hbruijn […]
更新: EMC已经放弃了我们的保修和支持,所以这将是一个保险案例。 戴尔说,我们可以得到一个专业的清洁机构翻新服务器,并保持我们的保修。 思科说“也许”。 惠普仍然沉默:( 最终更新: EMC转身并批准从authentication公司进行清洁。 VNX今天运回给我们,工作得很好。 服务器机房的其他部分也正在清理,我们的损失仅限于几个磁带机。 保险公司几乎可以为其他任何事项提取账单。 原来的问题: 这是故事.. 我们租用办公室的build筑物的业主决定对外部进行翻新。 这涉及到我们服务器机房的一些相当繁重的工作,包括交换窗口,这些窗口都适合在混凝土墙内。 当我听到他们要和我们的服务器房间做同样的事情时,我的红色警报响了起来(是的,我们的服务器房间有一个窗户,我们是一个有3个架子的小商店,窗户用钢筋固定)。我明确地告诉承包商,他们需要在我们的架子和原来的墙壁之间架起一道临时墙壁,并确保临时墙壁是100%的空气和水密的。 他们答应这样做。 临时墙壁上有一扇小门,这样工作人员就可以一天到晚进出(通过我们的服务器房间,这是唯一的select)。 在晚上/晚上工作时,我可以多次find小门。 我锁上了门,并且认为他们希望尽快得到这一点,并关上门。 当我看到他没有妥善关上门的时候,我甚至给了一个电工一口。 在这一点上 – 我敢打赌,你们大多数都能看到发生的事情。 是的,他们可能在钻进混凝土时打开门。 我向您介绍我们4周的EMC VNX: 我甚至会投入一点奖金,这是距临时墙更远的APC UPS一个机架。 从我的手指看到漂亮的小落地带? 我该怎么办? 唯一想到的是要么打电话给我们所有的供应商(EMC,惠普,戴尔,思科),让他们派技术人员检查服务器机房里的所有设备,或者得到某种经过authentication的第三方顾问检查所有这一切。 你会在这个装备上运行生产系统吗? 多久? 我也应该注意到,考虑到我们小房间的性质,我们的空调不完全是企业级的。 这只是一个逆变器,在我开始工作之前曾经失败过一次(失败的逆变器通常导致水滴落)。