我正在收紧各种服务器(主要是Debian Linux)的安全性,其中一个任务是收紧/ var / log中文件的权限,以使文件不是世界上可读的。 但是这个网上似乎缺乏信息。 对于需要世界可读性的日志文件(例如/ var / log / wtmp)或者由可能改变权限的应用程序创build的日志文件,我很谨慎。 我也担心浪费我的时间在什么似乎是微不足道的风险日志,如dpkg.log或/ var / log / installer中的文件。 网上有很多关于Linux上的各种日志文件(如果不是特别的Debian系统)的权限的好的参考资料吗?
在运行Debian Wheezy amd64的本地机器(i7 9200)上,我可以通过以下方式获得一些“大数据”/ HPCtypes的重要加速: 按照这里的说明,为大页面保留一些RAM并设置hugetlbfs。 运行我的应用程序使用libhugetlbfs '(2.17)漂亮HUGETLB_MORECORE=yes将其mallocredirect到2M页。 在EC2上的Debian Wheezy(我正在使用最新的wheezy AMI )和正常的4k页面(在c3.2xlarge,c3.4xlarge和c3.8xlarge实例上尝试过的一些可伸缩性testing)上运行得也相当不错。 但是我很好奇,看看在EC2上使用大页面是否有类似的好处,如果可能的话。 我激发了一个c3.3xlarge的实例, 像往常一样设置了大量的页面。 之后/ proc / meminfo确实报告 HugePages_Total: 4096 HugePages_Free: 4095 然而在编译libhugetlbfs之后, make func自检会触发一些内核错误。 不久之后,系统似乎locking了,但在我没有时间检查dmesg之前,看到一堆带有各种xen_和hugetlb_fault符号的调用堆栈。 一旦无响应,系统需要从AWS控制台强行停止以使其停止。 我试着重新启动,然后用HUGETLB_MORECORE=yes运行我的应用程序(如果make functesting正在打破我实际上并不需要的东西),但是同样的事情再次发生了。 任何EC2上的libhugetlbfs成功的故事 (最好用Debian)或食谱获得正确的工作 ? 研究 :关于EC2(或Xen)上巨大页面的Googleable信息很less。 我确实发现了这一点 ,这似乎报告了同样的问题:/ proc / meminfo报告巨大页面可用,但试图使用它们内核恐慌。 文章早于新的C3实例,但build议cc2.8xlarge可能值得一试,因为它使用HVM而不是PVM。 更新 :找不到一个最新的Debian AMI for HVM,但在cc2.8xlarge和libhugetlbfs上尝试了一个Ubuntu(13.04“raring”),而HUGETLB_MORECORE=yes似乎在这方面工作得很好。 唯一的是,它实际上减慢了我的应用程序的一点点!
我在Amazon EC2上运行一个Ubuntu / WordPress服务器,每隔24-48小时出现一次问题:我从EC2收到一个CPU警报,login服务器,发现sshd以99.9%的CPU运行。 这是一个面向公众的WordPress服务器,所以通常情况下,我会假设服务器已经被入侵…除了端口22只对我的IP启用,根login被禁用,密码被禁用,我有唯一的钥匙,最后lastb显示我是唯一loginsshd的用户。 当我杀了违规程序或重新启动服务器,一切正常24-48小时,然后问题再次出现。 任何意见或指针将非常感激,因为我找不到问题。
在共享虚拟主机的服务器上,或者在不同的PHP应用程序之间共享PHP环境,我通常实现一个使用PHP open_basedir的安全策略来限制每个用户到他/她自己的目录(以及其他PHP指令,例如disable_functions )。 我也在SF上看到很多post,讨论使用这个function的好处。 然而,现在我偶然在Debian软件包文件README.Debian.security中发现了这个通知,明确指出它们不提供(其他的)安全支持: * Vulnerabilities involving any kind of open_basedir violation, as this feature is not considered a security model either by us or by PHP upstream. 所以我想知道,这个声明是否只是放弃任何责任,还是有更多的根本原因呢? 特别是,你将如何去保护一个没有open_basedir的多个不同用户使用的PHP服务器,同时尽量不把维护工作提高到一个高的水平? 或者你会只是build议永远不要共享主机,因为PHP开发人员在他们的安全说明中指出 ?
升级我的路由器后,我无法从OS X客户机上的Debian服务器上挂载NFS共享。 我根据客户端的新IP地址更新了/etc/exports (以前使用旧IP的第一行,其次是MWE): /mnt/backup 192.168.3.3/255.255.255.0(ro,sync,no_subtree_check,insecure) /mnt/backup *(rw,no_subtree_check) 我已经应用了更改 exportfs -ar 并且还重启了守护进程: /etc/init.d/nfs-kernel-server restart /etc/init.d/nfs-common restart 所有没有错误。 在服务器上的showmount -e返回一个空列表,我无法从OS X客户端装载共享。 rpcinfo -p显示NFS的版本2-4,而nfsstat –s具有“Server nfs v3”的条目。 有任何想法吗?
我有一个debian的openvz VPS,我是新来的Linux和命令行环境,虽然我可以设置一个Web服务器。 我刚刚注意到有一个鬼用户,因为当我执行/usr/bin/w它显示有两个用户login: 10:55:15 up 9 days, 4:38, 2 users, load average: 0.00, 0.00, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT user1 pts/0 0.0.0.0 10:54 0.00s 0.02s 0.00sw user1是我从一个SSH会话login,所以我不知道另一个,如果这是正常的openvz或什么。 任何见解都是有用的。 谢谢。
我想知道是否有人可以帮助安装,似乎并不困难。 我刚开始使用多服务器设置。 我很抱歉,如果我的问题是愚蠢的。 我有两个不同地点的debian服务器。 其目的是为apache / mysql / filesystem创build一个故障安全和高可用性系统。 这两个服务器应该(一个域名或一个IP如果可能的话)一起提供请求。 如果一个人(电源,硬件,networking)出现故障,另一个人应该接pipe所有的请求,当第一个人再次回来时,它应该同步并重新联机。 所以问题是:1)我一直在探索pacemaker / corosync的configuration,但没有find一个好的教程,使用它在不同的位置(所有howtos是针对同一个networking)。 这是一个正确的路要走吗? 我看到的一个问题是,添加额外的服务器并不简单,许多选项取决于服务器的数量。 另外,服务器有不同的ips,如何切换? 在内部networking,你只是发送正确的ARP消息,但在不同的networking? 2)对于文件系统,我select了使用gfs2的drbd(双引擎)。 这是一个很好的解决scheme,还是我应该找别的地方? 3)负载平衡并不重要,在这种情况下,解决“分裂脑”是容易得多,因为我明白了吗? 我应该放弃负载平衡,而使用主从? 4)我可以只使用mysql内部同步或将其放置在drbd-partion是至关重要的?
核心 根据BTRFS wiki的支持,3.12内核是绿色的,而Wheezy内核是中性的。 我已经从wheezy-backports安装了3.12内核,所以我正在使用推荐的内核。 BTRFS工具 该软件包在wheezy-backports中不可用: $ apt-cache policy btrfs-tools btrfs-tools: Installed: 0.19+20120328-7.1 Candidate: 0.19+20120328-7.1 wiki对这个包的0.19 2012版本是中立的,即它不在推荐的绿色突出部分,但它也不在红色的危险区域。 所以看来我可能需要更高版本? 题 使用当前版本的工具从backports内核运行btrfs是否安全?
我无法进入3ware 3dm2网页界面。 当我尝试从命令行执行3dm2时,出现以下错误“(0x0C:0x0005):无法启动侦听套接字”。 这是多年前的工作,但现在我试图访问它为我的新RAID安装,我无法访问Web界面。 该服务似乎正在运行,我没有使用任何iptables防火墙 # netstat -tupl Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program tcp 0 0 *:888 *:* LISTEN 5191/3dm2 # nmap -sT 127.0.0.1 PORT STATE SERVICE 888/tcp open accessbuilder 我在32位Debian 6.0.9(挤压),与9650se-4lpml和7506-4LP。 3ware-3dm2-软件包使用aptitude安装,版本为9.3.0.4-1duo1。 任何帮助表示赞赏。 希望这是简单的。
我们在XenServer 6.2中的客户机中遇到文件系统损坏的问题 它只发生在Linux机器上。 随机地将文件系统重新装入为只读文件系统,并在根文件系统上开始损坏。 这里是来自dmesg的一些信息: [894425.330993] end_request: I/O error, dev xvda, sector 768272 [894425.331019] Buffer I/O error on device dm-0, logical block 33058 [894425.331035] EXT4-fs warning (device dm-0): ext4_end_bio:250: I/O error writing to inode 2999 (offset 0 size 4096 starting block 33058) [894425.331057] end_request: I/O error, dev xvda, sector 777616 [894425.331067] Buffer I/O error on […]