服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器
我不想限制特定服务的速度。 我的目标是仅仅根据传入的IP地址来限制速率。 例如使用伪规则: john.domain.local (192.168.1.100) can only download from our httpd/ftp servers at "10KB/s" (instead of 1MB/s) 我怎样才能使用IPTables基于传入的IP地址速率限制?
当有人在关于备份的对话中提到RAID时,总会有人声称“RAID不是备份”。 当然,对于条纹,这是真的。 但冗余和备份有什么区别?
这是关于网站容量规划的一个典型问题 。 有关: 你能帮我做我的容量计划吗? 你如何做数据库负载testing和容量规划? 什么是推荐的网站和networking应用程序容量规划的工具和方法? 请随意为不同的Web服务器,框架等描述不同的工具和技术,以及一般适用于Web服务器的最佳实践。
这是关于Linux,MacOSX和FreeBSD上的OpenSSH客户端的问题。 通常情况下,我使用SSH密钥login系统。 偶尔,我希望我的SSH客户端忽略我的SSH密钥,而不是使用密码。 如果我的主机名是'ssh,我的客户端会提示我input密码给我的SSH密钥,这是一个烦恼。 相反,我希望客户端简单地忽略我的SSH密钥,以便服务器将要求我input密码。 我尝试了以下,但仍然提示我的SSH密钥的密码。 在此之后,我被提示input密码。 ssh -o PreferredAuthentications=password host.example.org 我想在客户端执行此操作,而不需要对远程主机进行任何修改。
如何在命令和下一个命令之间的Windowsbatch file中暂停执行一段时间?
这是一个关于在同一个IP上托pipe多个SSL网站的典型问题 。 我的印象是,每个SSL证书都要求它拥有自己独特的IP地址/端口组合。 但是, 我发布的前一个问题的答案与这个说法不一致。 使用这个问题的信息,我能够获得多个SSL证书在同一个IP地址和端口443上工作。我很困惑,为什么这个工作给了上面的假设,并被别人强化,每个SSL域名网站相同的服务器需要自己的IP /端口。 我怀疑我做错了什么。 可以使用多个SSL证书吗?
我们正在伦敦的一座老build筑里(即英格兰)搬入新的办公室,正在隔离一个2米x 1.3米的区域,路由器和电话设备现在终止用作服务器。 壁橱将包含: 2个24端口交换机 1路由器 1个VSDL调制解调器 1戴尔桌面 1个4-bay NAS 1个惠普微型服务器 1个UPS 其他小型电话盒。 办公室没有中央空调,从来没有。 我们可以很容易地把pipe道安装到外面 – 只有几米到面向庭院的窗户。 我的问题是安装带风pipe的排风扇是否足够冷却? 是否需要一个进气风扇和进气pipe道(从窗口)? 我们不想在柜门上留下空隙,因为这会让噪音进入办公室。 如果我们不必把便携式空调机组放入衣柜里,那就完美了。 办公室大约有12人; 伦敦是温带地区,八月份的平均最高温度是31摄氏度,25摄氏度是比较典型的。 我们现在的办公室同样的设备运行良好(与新办公楼同样的build筑,也没有空调),但是它不在封闭的空间里。 我可以看到我们把一台戴尔2950塔式服务器放进衣柜里,但是没有更多。 所以,壁橱里持续的电力消耗现在大约是800瓦(我猜测); 可能在未来2KW。 衣柜将有一个天花板,没有窗户,绝缘良好。 我们不在乎设备是否发热,只要运行,我们听不到。
SSH支持密钥对的两个签名algorithm:RSA和DSA。 哪一个是首选的,如果有的话? 对于RSA,最小可接受的密钥长度是多less?
请注意:我没有兴趣把它变成一场火焰战争! 我知道很多人对这个问题持有强烈的信念,其中很大一部分是因为他们在防火墙解决scheme上付出了很多的努力,也因为他们已经灌输了相信他们的必要性。 但是,我正在寻找安全专家的答案。 我相信这是一个重要的问题,答案不仅仅是我自己和我工作的公司。 我一直在运行我们的服务器networking几年没有妥协,没有任何防火墙。 我们所拥有的安全妥协都不能通过防火墙来防止。 我想我在这里工作太久了,因为当我说“服务器”时,我一直是指“提供给公众的服务”,而不是“秘密的内部计费数据库”。 因此,任何防火墙的规则都必须允许访问整个互联网。 另外,我们的公共访问服务器都在独立于我们办公室的专用数据中心。 其他人问了一个类似的问题,我的答案被投入负数。 这使我相信,投票的人不是真正理解我的答案,或者我不了解安全性,足以做我现在正在做的事情。 这是我的服务器安全方法: 在将我的服务器连接到Internet 之前,请遵循我的操作系统的安全指南 。 使用TCP包装器将对SSH(和其他pipe理服务)的访问限制为less量的IP地址。 用Munin监视这个服务器的状态。 并修复默认configuration中Munin-node固有的极端安全问题。 Nmap我的新服务器(也将我的服务器连接到Internet之前)。 如果我要防火墙这个服务器,这应该是传入连接应该限制到的端口的确切集合。 在服务器房间安装服务器,并给它一个公共IP地址。 使用我的操作系统的安全更新function保证系统的安全。 我的哲学(和问题的基础)是强大的基于主机的安全性消除了防火墙的必要性。 总体安全理念指出,即使您有防火墙,仍然需要强大的基于主机的安全性(请参阅安全指导原则 )。 这样做的原因是,将公共服务转发到服务器的防火墙使攻击者可以根本就没有防火墙。 服务本身是脆弱的,而且由于向整个互联网提供服务是其运营的一个要求,限制访问它并不是重点。 如果服务器上有不需要整个Internet访问的端口,则需要在步骤1中closures该软件,并通过步骤4进行validation。如果攻击者通过易受攻击的软件成功入侵服务器并自己打开一个端口,攻击者可以(也可以)通过在一个随机端口上build立一个出站连接来轻松击败任何防火墙。 安全的关键不是在成功的攻击之后为自己辩护 – 这已经被certificate是不可能的 – 那就是把攻击者放在首位。 有人build议,除开放端口之外,还有其他的安全考虑 – 但对我来说,这听起来像是捍卫自己的信仰。 无论是否存在防火墙,任何操作系统/ TCP堆栈漏洞都应该同样易受攻击 – 基于端口直接转发到该操作系统/ TCP堆栈的事实。 同样,在服务器本身上运行防火墙,而不是在路由器上(或者更糟糕的是,在两个地方)运行防火墙似乎会增加不必要的复杂层次。 我了解“安全层出不穷”的理念,但是有一个问题就像build造一个屋顶,把多个胶合板层叠在一起,然后在它们上面钻一个洞。 另一层胶合板不会阻止你故意制造的漏洞。 说实话,我认为防火墙只能用于服务器,如果它有dynamic的规则阻止所有服务器连接到已知的攻击者 – 比如垃圾邮件的RBL(这恰好与我们的邮件服务器差不多) 。 不幸的是,我找不到任何防火墙。 第二好的是IDS服务器,但是假设攻击者不首先攻击你的真实服务器,而攻击者在攻击之前费力地探测你的整个networking。 此外,这些已知会产生大量的误报。
我正在把各种文件放在/ tmp中,我想知道删除它们的规则是什么? 我正在想象不同的发行版,我对Ubuntu和Fedora桌面版本特别感兴趣。 但是,一个很好的普遍的发现方式将是一件好事。 更好的办法是控制它的一个很好的一般方法! (类似于“凌晨3点每天”,删除超过60天的任何/ tmp文件,但不要在重启时清除目录)