//对于像Hashicorp Vault for Linux这样的密码pipe理器, 密码似乎有点“鸡与蛋”的问题。 在对一些Linux服务器进行研究时,有人聪明地问道: “如果我们把所有的秘密都存储在秘密存储服务中,那么我们在哪里存储秘密存储服务的访问秘密?在我们的秘密存储服务中? ‡ 我吃了一惊,因为如果所有的Linux服务器都存储访问令牌,那么使用单独的秘密存储服务是没有意义的。 例如,如果我将秘密移动到Vault,那么我是否仍然需要将机密信息存储在Linux服务器上的某个地方访问Hashicorp Vault? 有人谈论以某种创造性的方式来解决这个问题,至less做得比现在更好。 我们可以根据CIDR或密码混搭来做类似auth的聪明事情。 但是安全性仍然存在这种权衡。例如,如果黑客获得了访问我的机器的权限,那么如果访问权限是基于CIDR的话,他们可以访问保险库。 这个问题可能没有答案,在这种情况下,答案是“不,这没有普遍接受的银弹解决scheme,去创造性的,find你的权衡bla bla bla” 我想要回答以下具体问题: 在现代Linux服务器上,有一个被普遍接受的方式来将密码保护到远程自动化秘密存储,如Hashicorp Vault? 显然,明文是不可能的。 有没有规范的答案呢? 我甚至在正确的地方问这个吗? 我也考虑过security.stackexchange.com,但是这似乎特定于为Linux服务器存储秘密的方式 。 我知道这可能看起来太笼统了,或者是基于观点,所以我欢迎任何你可能需要避免的编辑build议。 ‡ 我们笑了,但我在这里得到的答案很可能是“跳槽”。 :/例如,一个Jenkins服务器或其他东西有一个6个月的可更新密码,它用来生成一次性使用的令牌,然后他们可以使用它来获得从保险库中生成的一个短暂的(会话有限)密码,这让他们获得了一段信息 。 像这样的东西似乎是一样的,虽然它只是解决scheme的一部分: 使用Puppetpipe理服务密码
我正尝试将自定义DSC模块上传到我们的Azure自动化帐户。 C:\Code\Epitec DSC [master ≡ +1 ~1 -1 !]> Set-AzureRmAutomationModule -Name "WindowsUpdate" -ContentLinkUri "{ContentURL}.zip" -ResourceGroupName "OI-Default-East-US" -AutomationAccountName "Epitec-Automation" -Verbose Set-AzureRmAutomationModule : The Automation account was not found. At line:1 char:1 + Set-AzureRmAutomationModule -Name "WindowsUpdate" -ContentLinkUri "ht … + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [Set-AzureRmAutomationModule], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Automation.Cmdlet.SetAzureAutomationModule 运行命令Get-AzureRmAutomationAccount我能够获得自动化帐户 C:\Code\Epitec DSC [master ≡ […]
我有一个运行Install-ADDSForest来设置实验室环境Install-ADDSForest脚本。 该脚本实际上是通过VMware工具运行的。 在Install-ADDSForest过程中,Windows服务器(2012)将重新启动,这很好。 在继续我的脚本的下一部分(安装软件等)之前,我可以等待虚拟机工具再次可用, 但是当Windows仍然处于“请稍候”状态,在login之前,vmware访客操作代理可用屏幕出现。 但脚本中的下一步依赖于实际存在的域。 我怎么知道(从PowerShell脚本)Windows是否完全运行? 特别是从Install-ADDSForest的启动更改已完成,或者至lesslogin屏幕显示?
在SQL Server中有一个生产数据库。 我们仍然有这个数据库的发展,我想每隔X天/周/月创build它的副本。 有什么工作或其他什么可以在SQL Server上做到这一点? 提前致谢..
我们正在设置HAProxy来平衡我们的应用程序(在IIS上运行的ASP.NET MVC 3)。 我们希望我们的stream程不需要定期维护以进行部署。 我试图找出正确的方法来做一个“跷跷板”的方法,只在一次为新的请求提供一个版本的应用程序。 以下是我到目前为止所做的: 通过重新加载configuration从HAProxy删除前半部分的服务器: $ sed -i 's/web01.*/& disabled/' /etc/haproxy/haproxy.cfg $ sed -i 's/web02.*/& disabled/' /etc/haproxy/haproxy.cfg $ /etc/init.d/haproxy reload 更新每个向下实例的应用程序,并用curl戳它们来加热它们。 把上半场带回去,把下半场拿下来: $ sed -i 's/\(web01.*\) disabled$/\1/' /etc/haproxy/haproxy.cfg $ sed -i 's/\(web02.*\) disabled$/\1/' /etc/haproxy/haproxy.cfg $ sed -i 's/web03.*/& disabled/' /etc/haproxy/haproxy.cfg $ sed -i 's/web04.*/& disabled/' /etc/haproxy/haproxy.cfg $ /etc/init.d/haproxy reload 下半场重复第2步。 带回下半场 : $ […]
这可能是一个愚蠢的问题,但我通常不是一个networkingpipe理员,但情况让我在那里。 我试图禁用交换机上的端口,但有一个小船,我想configuration它们为禁用,并与来宾VLAN(万一需要启用)。 我意识到我可以手动执行此操作,但是我想要执行此操作的交换机数量很多,并且每个交换机的端口数在5-15个之间。 基本上有一种方法可以自动禁用交换机端口的closures(不能插入任何东西)。 或者是有什么我失踪? 我发现很难相信世界上所有的networking工程师都被困在一起,每次都是手工完成类似的任务。 如果发生重大的networking变化(就像我的情况那样),看起来这将是很多单调的浪费时间,禁用随机端口。
在SFU和IdMU被微软认为不被使用的情况下,如何在Active Directory中以可扩展和可靠的方式实现RFC2307属性的自动化和pipe理?而在Server 2016中将不可用? 我的目标是在Active Directory中创build用户或组时自动设置uidNumber,gidNumber,unixHomeDirectory和loginShell。 将用户添加到组时,还应将该用户添加到该组的memberUid属性中。 我已经考虑过使用自制的Powershell或者VB脚本,但是当多个pipe理员使用高可靠性要求的生产系统中的数以千计的用户使用它时,感觉并不是非常可扩展的。 我觉得这应该是一个普遍的问题,应该有好的解决办法,但是我找不到。
我有一套定期(大约每天一次)为具有相关文件夹结构的站点生成一组静态HTML页面的工具。 然后,我需要将这些文件放到生产服务器上,我的问题是服务器运行IIS(6我认为),我只有普通的FTP访问。 我需要一种方法来自动化发布新网站的过程,并且每次发布文件时都需要全部更换这些文件,例如删除整个文件夹和内容,然后放置新的文件。 我的源服务器是一个Ubuntu机器,我已经完全控制了这一点,我已经尝试使用CurlFTpFS,但它似乎太慢,我想要做什么,并locking。
有时我需要将registry项放入batch file,以便在login脚本,无人参与的安装程序等中使用。虽然使用reg.exe将一个或两个registry命令添加到batch file相当容易,但是当存在大量的registry数据,它变得乏味。 在这种情况下,我通常最终会合并一个外部的reg文件,我想避免这种情况,因为这会破坏batch file的独立性。 有谁知道任何可以自动将.reg文件转换为一系列REG ADD和REG DELETE命令的工具吗? 这会让生活变得更容易! 谢谢。
我有一个从我的网站上的相对urlredirect到其他绝对url的dynamic列表: my_website_url_1 –> other_website_url_1 … my_website_url_N –> other_website_url_N 该列表由数百个条目组成,每天更改数次。 (实际列表在数据库中,但可以在文本文件或任何forms的舒适。) “我的网站”是一个nginx服务器。 我正在寻找一个强大的解决scheme,将redirect列表更改部署到nginx服务器而不中断服务。 有什么build议? 用别的东西replacenginx是一个选项。