过去,我们倾向于在单个共享上设置部门文件夹(销售,市场营销等),然后在需要时在这些临时文件下面添加文件夹。 这有点麻烦 – 我一直负责创build一个“文件夹层次结构”。 有没有人有如何组织文件夹结构的最佳做法? 我们在当前文件服务器上运行SBS2011。
我意识到这是非常主观的,并依赖于一些variables,但是我想知道当他们需要诊断给定系统上的数据包丢失时,大多数人会经历什么样的步骤?
我将把Ansible引入到我的数据中心,并且正在寻找一些安全的最佳实践,以find控制机器的位置以及如何pipe理SSH密钥。 问题1:控制机器 我们当然需要一台控制机器。 控制机器上保存有公用的SSH密钥。 如果攻击者能够访问控制机器,则可能访问整个数据中心(或由Ansiblepipe理的服务器)。 那么,在数据中心还是远程控制机器(例如,远程连接到数据中心的笔记本电脑)中安装专用控制器会更好吗? 如果最好的做法是使用我的笔记本电脑(当然可能会被盗,但是我可以将我的公钥安全地保存在云端,或者在便携式encryption设备上离线保存),如果我需要使用某些networking接口Ansible和Ansible Tower,Semaphore,Rundeck或Foreman一样,需要在集中式机器上安装到数据中心? 如何保护它,避免它成为“单一攻击点”? 问题2:SSH密钥 假设我需要使用Ansible来完成一些需要由root执行的任务(比如安装软件包或类似的东西)。 我认为最好的做法是不要在受控服务器上使用root用户,而要使用sudo权限为Ansible添加普通用户。 但是,如果Ansible几乎需要完成所有任务,则需要通过sudo访问每个命令。 那么,什么是最好的select: 让Ansible使用root用户(将其公钥保存在~/.ssh/authorized_keys 使用sudo访问创build专用于Ansible的非特权用户 让Ansible用户通过sudo指定一个密码来运行每个命令(这是唯一的需要被每个使用Ansible来控制该服务器的系统pipe理员所知) 让Ansible用户通过sudo运行每个命令而不指定任何密码 任何其他提示?
软件开发人员有“dogfooding”的概念,这是他们经常定期使用他们正在开发的软件的地方。 对于某些项目,它提供的直接交互在debugging系统时可能是非常有价值的。 所以我问社区: 什么是系统pipe理相当于dogfooding?
也许有点愚蠢的问题,但是 有时(很less发生,但是发生)我需要将一个服务器放在一个1-2U的机架上。 你怎么看,哪种方式是最正确和最有用的,为什么? 从导轨上卸下服务器,拆下导轨,将它们重新安装到新位置,然后将服务器放回导轨上 仔细地,逐个孔(或者如果可能的话,一步到2-3步)将轨道与服务器一起移动 以其他方式做一切事情(解释) 请不要写“组装前你必须安排一个机架”等。这是计划一切的好主意,但不幸的是现实生活并不理想:)
希望我们都知道 命名Active Directory林的build议是什么,它们非常简单。 也就是说,它可以用一句话来概括。 使用现有注册域名的子域名,并select一个不会在外部使用的域名。 例如,如果我要合并并注册hopelessn00b.com域,我的内部AD林应命名为internal.hopelessn00b.com或ad.hopelessn00b.com或corp.hopelessn00b.com 。 避免使用“虚假” 域名或单标签域名是非常有说服力的理由,但是我很难find同样令人信服的理由来避免使用根域( hopelessn00b.com )作为我的域名并使用子域名如corp.hopelessn00b.com代替。 真的,我似乎可以find的唯一理由是从内部访问外部网站需要一个A name DNSlogging和inputwww. 在浏览器的网站名称前面,就问题而言,这是相当“唔”的。 那么,我错过了什么? 为什么使用ad.hopelessn00b.com作为我的活动目录森林名称而不是hopelessn00b.com ? 只是为了纪录,这真的是我的雇主需要说服力 – 老板的人回来了,在给我开始创build一个名叫corp.hopelessn00b'semployer.com的新的AD森林给我们的内部networking之后,他想要坚持一个名为hopelessn00b'semployer.com的AD林(与我们的外部注册域相同)。 我希望能得到一些令人信服的理由或理由,认为最好的做法是更好的select,所以我可以说服他…因为看起来比放弃和/或find新工作更容易,至less此时此刻。 现在,“微软最佳实践”和内部访问公司网站似乎并没有削减,我真的 真的希望这里的某个人更有说服力。
我正在尝试为每个物理内核(CPU的)configurationvCPU查找虚拟化的一些文档或最佳实践指南。 如果重要的话,我正在看vmware的虚拟化实现。 例如,一个Intel Xeon CPU可能有4,8个内核。 我有兴趣了解更多有关每个物理内核只有一个vCPU的configuration。 我所说的供应商肯定认为可以将单个核心configuration到多个vCPU中。 目前为止,我在研究中普遍看到的是,“这取决于你的应用”。 在这种情况下,我的应用程序正在编辑代码,编译/链接,testing和configurationpipe理。 当然,并不是所有的虚拟机都需要configuration多个vCPU,但是在一般情况下。
pipe理员制作自动备份系统并忘记时,这是常见的情况。 只有在系统pipe理员通知失败之后,备份系统才会崩溃,或者由于某些故障导致备份不可恢复,并且没有当前的备份来恢复。因此,避免这种情况的最佳做法是什么?
我们最近为我们的域名购买了通配符SSL证书。 我们将所有的证书都转换成Java密钥库,但现在我们正在问自己应该在哪里存储这些证书以备后用。 人们使用像BitBucket这样的源代码控制来处理这些types的文件,或者只是在每次需要的时候生成,或者其他的东西? 我们想知道是否有一个标准的解决scheme或任何有关存储这些证书以供将来使用的“最佳实践”。
我的公司正在与另一家公司合作,作为合同的一部分,他们要求提供我公司的书面IT安全政策的副本。 我没有书面的IT安全政策,我也不确定我想给他们什么。 我们是一家微软商店。 我们有更新计划,有限的访问帐户来pipe理服务器,防火墙,SSL证书,我们不时地运行Microsoft基准安全分析器。 我们configuration服务和用户帐户,因为我们觉得这些服务和用户帐户大部分是安全和安全的(当你不能完全控制你运行什么软件的时候,这是很困难的),但是我不能深入每一个细节,每个服务和服务器都是不同的。 我得到更多关于他们想要的信息,但我觉得他们正在进行一次捕鱼活动。 我的问题是,这是一个标准的做法,要求这些信息? (我并没有诚实地反对,但是从来没有发生过。)如果这是标准的,是否有标准的格式和预期的细节水平?