昨天晚上,我们遇到了一个问题,即SQL 2008 R2群集实例的权限被更改了,这样实例就不能再访问安装了系统数据库的共享驱动器了。 虽然我们通过将服务帐户添加到目录并给予完全控制来纠正它,但我仍然想了解根本原因/默认设置。 当我执行群集安装时,我可以看到授予群集资源驱动器到MSSQL $帐户/组,并且该帐户/组被授予完全控制该资源中的任何内容。 我不需要添加服务帐户和群集正常工作,具有故障转移的能力。 但是,如果将LUN添加到该群集资源(装入点),或者如果有人进入并从某个群集资源中删除该MSSQL $,则无法添加相同的帐户/组并授予其权限,因为Windows将没有在任何可以添加的安全对象中find它。 那么谁能说清楚这个账户/组是什么,有没有办法在群集安装之后将其添加到文件夹? 这是Windows 2008 R2上的SQL 2008 R2 RTM。
我试图让我的Apache服务器(OS X的狮子,而不是服务器版)运行,使用Dropbox内的文件夹作为DocumentRoot。 这工作正常,只要我运行Apache作为pipe理员,这意味着:与pipe理权限。 我有时会login热点,所以在我再次这样做之前,我想知道我是否正在危及自己; 运行在服务器上的唯一东西是我创build的文件。 第二:我怎样才能使用没有pipe理员帐户的Dropbox运行Apache? 我试图在Dropbox里面修改755的Documents文件夹,但是它对apache没有任何影响 – 虽然我看到它在Finder中查看时已经改变了权限。 澄清: My Document Root = … / myuser / Dropbox /…/ htdocs 与apaches httpd.conf一起使用这些ernties: 用户[一些pipe理员] 组pipe理员 什么权限我必须适用于htdocs获得Apache运行,如_www:_www?
我有一个SuPHP和DirectAdmin的服务器。 我的许多(但不是全部)用户正在运行Joomla和Wordpress。 如果我chmod public_html和子文件夹为700会出现问题吗? 他们需要更多的权限? 怎么样的文件? 什么应该为他们最小 , 最安全和足够的默认权限? 那是400吗? 或者也许600? 换句话说,我的问题是集中关注组和世界用户的权限。 任何问题,如果只有用户有需要的权限? 我想通过使用SuPHP,一切都由业主来完成,并且不会有任何问题来限制小组和世界的用户组。 我宁愿给每个对象(文件,文件夹)至less有足够的权限工作没有任何问题。
我们正在build立一个CentOS 6.2 / Apache Web服务器,它的安全性要求比我以前要高。 我build立了一个名为“web”的用户组,我想限制它的成员只能够在/ var / www / html /和子目录中读,写和执行。 “networking”组的成员不应该能够访问服务器的任何其他部分(尽pipe个人用户主目录是好的)。 我认为这会很简单,但是在过去的半个小时里一直在绕圈。 我需要用什么bash命令来达到这个目的?
我有一台运行Debian Squeeze并带有最新更新的服务器。 我试图设置sudoers文件,以允许特定用户的特定shell脚本的用户www-data执行。 我用visudo为此添加了这一行: www-data ALL=(img) NOPASSWD: /path/to/script/imgsync.sh 然后我试图把它称为用户www-data(我从根到www数据第一): sudo -u img /path/to/script/imgsync.sh 令我惊讶的是,它仍然要求input密码: [sudo] password for www-data: 我期待NOPASSWD:照顾这个? 真让我困惑的是:我有另一台服务器使用相同的设置,在没有密码的情况下工作。 另外,我在同样的服务器上也有类似的权限,也没有密码的工作。 我甚至添加了该行 Defaults:www-data !authenticate 与visudo(只是为了testing,我不想这个)。 然后,当我再次尝试时,我得到了(矛盾的)错误消息: 对不起,用户www-data不允许执行'/path/to/script/imgsync.sh'作为img的servername。 我怎样才能让它执行,而不必提供密码(并没有更多的权利,万维网数据)?
我们有几个在我们的MySQL服务器上运行相同结构的数据库。 现在我们需要一个在所有数据库上都需要INSERT权限的用户,但是在特定的表上。 可能吗? 我尝试下面的授权,但没有运气: 将* .mytable上的INSERT授予“myuser”@“%” 正如你所看到的,我试图避免为每个数据库创build一个用户。 如果上述方法不可行,还有其他办法可以达到这个目标吗? 我知道相反的情况是可能的(创build一个拥有给定数据库的所有表或所有数据库中所有表的权限的用户)。 我可以做到这一点: 授予dbname。*到'myuser'@'%' 授予*。*到'myuser'@'%' 全局权限在这里描述: http : //dev.mysql.com/doc/refman/5.1/en/grant.html#grant-global-privileges ,但我找不到这样的选项。
我不知道如何最好地问这个问题。 几年来,我发展到一个angular落,需要弄清楚一些事情。 到目前为止,我几乎可以肯定地没有遵循最佳实践,但是你去了。 我在我自己的Linux(Ubuntu)服务器上制作和托pipeDjango网站。 我用Bazaarpipe理他们的版本控制,并通过SSH + BZR上传。 他们都进入了一个名为/websites/富有想象力的父目录。 生产副本只是主BZR分支(不是出口)。 我不运行任何types的FTP服务器,只是SSH。 我的工作stream程是编辑网站的本地副本,进行更改。 因为它们都是绑定分支,所以它会自动将其提交到服务器,并有一个钩子,然后运行一个更新,从而决定是否需要重新加载Django站点。 我刚写了一些东西,所以他们为我工作。 所有网站的文件都属于我的用户帐户oli 。 目前所有的网站都在该帐户下运行 。 有时客户想访问他们的网站,这是公平的,但我不确定在目前的结构下是否可以这样做。 我想事情需要改变,以便让我实现以下目标: 我可以为客户创build一个新的用户帐户,以便他们可以login并使用他们的网站(以及他们的网站)。 我相信我的客户,但是我的其他客户不应该被强迫他们互相信任。 我仍然可以在所有网站上工作,就像我自己的帐户一样,理想情况下在一个地方,但如果在服务器上,他们根据用户分割,我会生存。 如果可能的话,强迫用户通过BZR,这样他们就不会把愚蠢的生产分支搞糊涂了,而这个分支不容易被回滚。 你知道这是如何工作的:如果我给客户端访问和“神秘”的东西停止工作,这是我的错,不pipe发生了什么。 我需要能够跟踪发生了什么,但是类似的客户端需要能够在没有我的交互的情况下进行更改(关守VCS模型不适用于我)。 所以假设我可以做任何事情来改变我目前的设置, 这样做的最好方法是什么? 我目前的想法是: 安装一个简单的FTP(等)服务器作为oli运行,以保留任何权限,并试图强制他们使用BZR,否则需要同步更新。 如果你认为这是可行的,是否有一个FTP的安全等同于系统认为是一个用户,但类似的东西,我可以任意限制某些目录(例如用户客户端 – 一个只能查看网站的子目录)。 完全摇动,使用不同的SSHlogin,保持客户的$HOME dirs网站。 如果得到您的投票,我最好的办法是阻止他们做任何事情,但访问他们的文件? 有没有一个很好的组合来限制一个chroot机制的ForceCommand internal-sftp ? 但是,我从坏习惯中学会了坏习惯。 你会怎么做?
我刚刚在我的服务器日志中发现了这个错误 May 17 14:55:07 marcus dkimproxy.out[1005]: signing error: Error: cannot read /etc/ssl/private/dkim_server/dkim_server.key: Permission denied dkimproxy以dkim用户身份运行, dkim是dkim和ssl-private组的成员。 密钥文件是chmod如下 # l /etc/ssl/private/dkim_server/ drwxr-x— 2 dkim ssl-private 4096 12 dic 2009 ./ drwxr-x— 10 root ssl-private 4096 11 apr 16.37 ../ -rw-r—– 1 dkim ssl-private 891 12 dic 2009 dkim_server.key -rw-r—– 1 dkim ssl-private 272 12 dic 2009 […]
我目前在NFSnetworking文件夹中使用以下方式的性能非常差: time find . | while read f; do test -L "$f" && f=$(readlink -m $f); grp="$(stat -c %G $f)"; perm="$(stat -c %A $f)"; done 问题1)在循环内使用variablesgrp和perm检查权限。 有没有办法降低通过networking进行这种检查的磁盘I / O数量(例如,使用find一次性读取所有元数据)? 问题2)似乎NFS没有很好地调整,通过SSHFS的类似的networking链接上的相同的操作只占三分之一的时间。 所有参数都是自动协商的。 有什么build议么?
在我的域名控制者之一,我有一个由服务创build的文件夹。 当我尝试使用pipe理员凭据访问它时,我的访问被拒绝。 pipe理员拥有父目录的所有权和其他地方的权利。 尝试应用于孩子会生成拒绝访问。 这是一个临时文件夹,需要在regulr间隔清空。 我用它来做,但最后一次清除它,我忘记重新创build它,服务也做到了。 我怎样才能回收该文件夹?