有什么方法可以testingyum-cron是否configuration正确? 我需要确认它会自动安装安全补丁,并且会在这样做的时候给我发邮件。 我有一个安装了yum-cron的CentOS 7 web服务器。 它已经运行了几个月,我还没有收到任何电子邮件,也没有看到/var/log/yum.log任何更新。 我想这是因为实际上没有任何安全更新影响到我。 当我运行yum –security list updates我得到的消息No packages needed for security ,而且我没有看到最新的关键补丁影响了我在centos中的公布 。 我的/etc/yum/yum-cron.conf看起来像下面这样,有一个真实的电子邮件地址,而不是[email protected] : [commands] update_cmd = security update_messages = yes download_updates = yes apply_updates = yes [emitters] emit_via = stdio,email [email] email_from = root@localhost email_to = root,[email protected] email_host = localhost
我需要帮助为LetsEncrypt设置CertBot 我在Python 2.7上运行CentOS 7 当我运行certbot时出现以下错误: [root@li86-193 frappe-bench]#certbot certonly –manual Traceback (most recent call last): File "/usr/bin/certbot", line 7, in <module> from certbot.main import main File "/usr/lib/python2.7/site-packages/certbot/main.py", line 21, in <module> from certbot import client File "/usr/lib/python2.7/site-packages/certbot/client.py", line 10, in <module> from acme import client as acme_client File "/usr/lib/python2.7/site-packages/acme/client.py", line 31, in <module> requests.packages.urllib3.contrib.pyopenssl.inject_into_urllib3() File "/usr/lib/python2.7/site-packages/requests/packages/urllib3/contrib/pyopenssl.py", […]
我使用推荐的LiveUSB Creator使用CentOS-7-x86_64-Everything-1503-01.iso创build了可启动的USB闪存驱动器。 现在正在安装摘要屏幕上,我收到错误设置基础知识库 。 当我点击在安装源代码 validation屏幕我得到这个媒体是不好安装 。 相当神秘的错误信息… 我也尝试切换到在networking上,并插入http://mirrors.kernel.org/centos/7/os/x86_x64没有成功。 其他信息:在HP EliteBook 8540w上安装
在RHEL7中挂载cifs共享失败,出现以下错误:“mount:未能分析挂载选项:数字结果超出范围” # LIBMOUNT_DEBUG=0xffff mount //fileserver/db-mysql /mnt/mysqlBackups -t cifs -o credentials=/etc/samba/fileserver.password,forceuid,uid=mysql,forcegid,gid=mysql,file_mode=0664,dir_mode=0775 -v 5561: libmount: INIT: library debug mask: 0xffff 5561: libmount: INIT: library version: 2.23.0 5561: libmount: INIT: feature: selinux 5561: libmount: INIT: feature: debug 5561: libmount: INIT: feature: assert 5561: libmount: CXT: [0x7ff506842050]: —-> allocate 5561: libmount: UTILS: mtab: /etc/mtab 5561: libmount: UTILS: /etc/mtab: irregular/non-writable […]
我试图在firewalld做这个iptables规则的等价物 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE 我怎样才能做到这一点?
我准备从CentOS 6最终升级到CentOS 7.现在,在版本6中,我们只是使用LDAP映射到AD进行身份validation。 然后使用Unix的Active Directory扩展中的UID和GID。 在我对CentOS 7的实验中,我查阅了文档(我认为它来自Red Hat),它解释了如何join到域中。 这个过程大多是直截了当的,主要是很好的。 但是,它不仅仅使用AD Unix属性中的UID和GID。 它将这些ID映射到完全不同的ID。 在AD中,用户在10000范围内。 CentOS7给每个用户在625000000范围内的UID。 到目前为止,在我的小规模testing(3盒)中,UID似乎是一致的,这很好。 但是,当我开始在生产中淘汰时,这将是一个逐步的升级。 我不会同时升级每个盒子。 我担心用户在不同的盒子上有不同的UID。 有没有办法让CentOS 7只使用AD Unix属性中的UID和GID? 这是我的smb.conf: [global] workgroup = COMPANY client signing = yes client use spnego = yes kerberos method = secrets and keytab log file = /var/log/samba/%m.log password server = ad_domaincontroller.company.net realm = COMPANY.NET security = ads […]
从2015年12月3日起,最后一次CentOS升级rpms保存了/etc/yum/yum-cron.conf文件,并将其replace为我pipe理的一组服务器上的新服务器,该服务器以前已在文件中使用以下设置进行configuration: update_messages = no apply_updates = yes 让所有系统自动升级而不发送通知消息。 不幸的是,这两个设置都被最后一次升级所颠倒,我的电子邮箱里充满了恼人的通知。 现在,在再次重新设置所有服务器之前,我想知道如何防止这种问题。 我不介意yum-cron.conf文件被升级(如果需要的话),但保留了我的自定义设置。 那么解决这个问题的最好方法是什么?
TrustWave在扫描CentOS的时候已经变得更好了 – 当我提出争议的时候,我现在至less可以select“我有后端软件”。 但是他们每个月都要花费数小时的精力指向和点击他们的网站,他们仍然提供了极好的工作保障。 现在我的问题。 CVE-2016-10009还没有被RHEL人修补 ,CentOS也没有直接的修复方法 。 在TrustWave对我最初的争议的回应中有这样一个提示: 由于这一发现影响PCI DSS合规性,因此需要确认已经以某种方式解决。 扫描报告中列出的要求是升级系统或使用所提到的补偿控制(例如从不加载可信白名单外的path(运行时可configuration)的PKCS#11模块)。 最新的OpenSSH补丁修复了OpenSSH 7.3,我不清楚这个漏洞是否会被解决。 所提到的“补偿控制” – 只允许列入白名单的模块 – 正是7.4中的修复,所以这没有什么帮助,扫描报告没有列出任何内容。 因此,我正在寻找能满足扫描仪的configuration更改,但是我找不到。 这是一个体面的解释这个问题。 有什么我可以做的吗? 禁用PKCS#11?
如何使用firewall-cmd工具(新的firewalld)创build一个防火墙规则,以便限制特定的networking只能访问一个服务,并允许一个区域中的所有服务。 例如: 我只有一个接口eno1,它关联到公共区域。 Http和https服务在该区域上启用。 我想启用该区域的SSH访问,但是我想限制ssh访问networking(例如100.0.0.0/8) 做这个的最好方式是什么?
(解决scheme发现,见下文…) 服务器(CentOS 7)具有多个公共IP,通过通常的ifcfg-eth0:0configuration文件进行设置,工作正常。 我正在尝试适应firewalld(来自iptables)。 我喜欢能够为每个IP别名指定开放端口 – 通过iptables,可以简单地通过设置目标IP来匹配所需端口的别名。 我想用firewalld我可以应用一个不同的区域,以达到相同的效果,但似乎我不能这样做。 我们从以下开始: # firewall-cmd –get-active-zones public interfaces: eth0 eth0:0 trusted interfaces: eth1 我创build了一个我想用于eth0:0的新区域public_web # firewall-cmd –permanent –new-zone=public_web success # firewall-cmd –permanent –zone=public_web –add-service=http success # firewall-cmd –permanent –zone=public_web –add-interface=eth0:0 success # firewall-cmd –reload success 但… # firewall-cmd –get-active-zones public interfaces: eth0 eth0:0 trusted interfaces: eth1 我尝试了–remove-interface ,– –change-interface和其他各种命令,但eth0:0不会改变。 […]