我已经在Ubuntu上部署了一个开源的公共Web服务(elasticsearch)。 问题是 – 没有安全(只有当你付钱)。 我已经研究了一些阻塞端口的内部请求,同时只允许通过身份validation代理进行外部访问。 最简单的方法是带有基本authentication的nginx。 但在这些情况下最好的做法是什么? 我的其他select是什么?
关于使用Active Directory身份validation设置单点login到Apache托pipe网站的所有教程,都可以通过configuration具有不安全设置的Kerberos来实现。 现在最好的做法是在Active Directory中禁用Kerberos的RC4-HMACencryption ,但是很多教程都要求重写krb5.conf的默认设置,并使所有的工作都适用于RC4-HMAC。 我想尝试使用AES256encryption设置单点login,并且设法使其工作,所以我正在logging这个问题并回答任何其他谁想要更好的安全性的网站。 从RC4-HMAC开始 我们先从RC4-HMAC开始,因为这很容易。 设置SSO的标准步骤从创build具有关联SPN的域帐户开始,浏览器将使用该帐户来获得encryption凭证以发送到服务器。 对于这个例子,我的用户是REALM \ HostServiceAccount: UPN:[email protected](因此Kerberos主体名称为[email protected]) servicePrincipalName属性(也可以由setspn设置):HTTP / host.example.com; HTTP /主机(Kerberos:HTTP/[email protected]) 单独保留encryption设置; 默认情况下,这使得RC4-HMAC成为最强的encryption方式,所以来自域的票据将具有这种encryptionfunction 我们将下列条目添加到我们的目标服务器上的/etc/krb5.conf中: [libdefaults] default_realm = REALM.COM [domain_realm] .realm.com = REALM.COM realm.com = REALM.COM 我们创buildkeytab并让服务器读取它: # ktutil ktutil: add_entry -password -p HTTP/[email protected] -k 1 -e rc4-hmac Password for HTTP/[email protected]: <enter password here> ktutil: write_kt /etc/apache2/service.keytab ktutil: q […]
我是Rackspace的客户,直到2013年。当我closures我的服务器时,我让他们把它备份在硬盘上。 最近我有人在那个服务器上请求一些东西,所以我从我的保险箱中取出了硬盘驱动器,并将其插入。这是一个通过USB连接的WD Passport。 原来的服务器是RHEL。 我不完全确定什么版本,但我希望这并不重要。 我目前正试图在Mac OSX 1.9上使用FUSE for OSX和fuse-ext2来查看它。 当我挂载驱动器,我看到/启动,但它只包含约9MB的数据。 我怀疑,我只是以某种方式不正确地看这个。 以下是驱动器上的文件清单: 正如你所看到的,没有任何文件超过1.5MB。 原始服务器有超过100GB的数据。 有趣的是,我在2013年closures了服务器,而且我没有看到最近的修改date。 Rackspace的支持人员告诉我,他们不能帮我,因为我多年前closures帐户。 我怀疑驱动器上只有另一个分区,我的电脑没有看到。 这是我的磁盘工具的图像: 先谢谢你!
我不能从一个Windows 10的机器有一个邮件用户帐户访问桑巴。但是,当我login本地用户帐户,我可以访问桑巴共享。 我继续前进,捕获Wireshark的痕迹,我能够明白,我没有得到响应设置和X请求时,我使用的邮件帐户。 任何人都可以在这种情况下帮助我吗?我想我将不得不在Windows客户端做一些政策变化,以使访问。 当我使用本地用户帐户时,我能够访问共享而没有任何问题。 只有当我尝试使用邮件用户帐户的客户端访问它时才会出现问题。 Samba版本是2.2.12
背景 具有多个应用程序服务器(共享二进制文件)的RedHat 7(和6)服务器。 当使用$ HOME = appserver_root添加应用程序服务器时,我们设置了不同的用户帐户。 然而,安装要求目标目录不存在。 所以我们: 创build用户而不创build主目录 将服务器安装到(并创build)主目录中 重置主目录的权限 这个过程不会设置骨架文件,即复制/ etc / skel / 题 我们可以简单地复制/etc/skel/.*,但有没有一个方法 – 命令 – 这将做到这一点? 我宁愿使用标准工具而不是猜测,或者为正确的SKELpathparsing/ etc / default / useradd。
在将我们的机器从RHEL 6.6升级到RHEL 6.7之后,我们观察到一个问题,我们的30台机器中有4台只能在两个从机接口之一上接收组播stream量。 目前还不清楚升级是否相关,或者是否包含重新启动引发的行为 – 重新启动是罕见的。 我们希望在4个不同的端口上接收大量的239.0.10.200组播组。 如果我们在有问题的机器上检查ethtool统计数据,我们会看到以下输出: 健康的界面: # ethtool -S eth0 |grep mcast [0]: rx_mcast_packets: 294 [0]: tx_mcast_packets: 0 [1]: rx_mcast_packets: 68 [1]: tx_mcast_packets: 0 [2]: rx_mcast_packets: 2612869 [2]: tx_mcast_packets: 305 [3]: rx_mcast_packets: 0 [3]: tx_mcast_packets: 0 [4]: rx_mcast_packets: 2585571 [4]: tx_mcast_packets: 0 [5]: rx_mcast_packets: 2571341 [5]: tx_mcast_packets: 0 [6]: rx_mcast_packets: 0 [6]: […]
我们想要添加一个额外的网段(LAN2),并且需要LAN1上的一些机器来访问LAN2上的资源。 LAN2上的某些机器也需要访问LAN1和WAN网段上的资源。 LAN1和LAN2之间的网关称为“SRV-01”,一个双归属的Linux服务器。 我无法从LAN2访问LAN2或从LAN2访问LAN1,也不能从LAN2访问WAN。 我想知道如何使LAN1主机和LAN2一起通话,以及如何允许从LAN2机器访问WAN。 故障排除 我使用ping获得以下回复: IP(来源)—> IP(目标):Ping回复 ————————————————– ————————- 192.168.5.33(LAN1上的客户端)—> 192.168.5.8(SRV-01:eth0):OK 192.168.5.33(LAN1上的客户端)—> 10.0.2.1(SRV-01:eth1):NO 192.168.5.33(LAN1上的客户端)—> 10.0.2.2(SRV-02:eth0):NO *。*。*。*。*(SRV-01)—> 192.168.5.33(LAN1上的客户端):OK *。*。*。*。*(SRV-01) – > 10.0.2.2(SRV-02:eth0):OK 10.0.2.2(SRV-02)—> 10.0.2.1(SRV-01:eth1):OK 10.0.2.2(SRV-02) – > 192.168.5.8(SRV-01:eth0):OK 10.0.2.2(SRV-02)—> 192.168.5.33(LAN1上的客户端):NO networking拓扑结构 WAN —(ISP路由器)— LAN1 —(SRV-01)— LAN2 —(SRV-02) ISP路由器 Internet服务提供商(ISP)路由器提供NAT(两个networking适配器),并充当LAN1的DHCP服务器。 我们没有shell / admin访问这个设备。 xxx.xx.xx.xx / xx(eth0,WAN) 192.168.5.4/24(eth1,LAN1) SRV-01服务器 SRV-01是双宿主Ubuntu Server 14.04(两个networking适配器),它将充当LAN1子网和LAN2子网之间的网关。 192.168.5.8/24(eth0,LAN1) 10.0.2.1/24(eth1,LAN2) 的/ etc […]
我有gentoo(linux)主机。 其中,我安装了Virtualbox 4.3.28和vagrant 1.4.3(这些是gentoo的最新版本)。 在stream浪汉上,Ubuntu 14.04发布。 我也可以SSH到Ubuntu。 我也尝试过stream浪摧毁,然后stream浪。 但是,一旦启动,我得到以下错误。 下面是我的Vagrantfile和输出错误。 PS我从头开始创build了Ubuntu 14.04基础盒子。 Vagrantfile # -*- mode: ruby -*- # vi: set ft=ruby : Vagrant.configure(2) do |config| config.vm.box = "Ubuntu" config.vm.boot_timeout = "700" config.vm.provider :virtualbox do |vb| vb.gui = true end end 在terminal输出 Bringing machine 'default' up with 'virtualbox' provider… [default] Clearing any previously set forwarded […]
我有一个安装了Samba4并运行的NASembedded式Linux设备。 我已经configuration了一个samba共享,并且我正在尝试在客户端的samba共享中执行服务器端副本。 这是我想要做的: https : //wiki.samba.org/index.php/Server-Side_Copy 我第一次尝试在Windows7上。 我首先从我的WIN7笔记本电脑上挂载这个samba共享,然后使用robocopy命令在该共享中的两个目录之间复制一个大文件。 我可以看到这个作品。 robocpoy真的很快复制一个大文件。 我还使用wireshark分析networkingstream量。 它有这样的:Ioctl req FSCTL_SRV_COPYCHUNK_WRITE文件:…和Ioctl resp FSCTL_SRV_COPYCHUNK_WRITE文件:… 然后我尝试了ubuntu15。 我很确定ubuntu15的Linux内核支持CIFS_IOC_COPYCHUNK_FILE ioctl。 我使用mount.cifs // [host_ip] / [share_name] [mount_path] -o vers = 2.1,username = root来挂载该共享。 我很确定它必须有vers = 2.1因为使用服务器端副本它必须使用SMB2协议。 再次基于https://wiki.samba.org/index.php/Server-Side_Copy ,它说“cloner”做这个function。 这里的关键function是调用:“ioctl(dst_fd,CIFS_IOC_COPYCHUNK_FILE,src_fd)”。 所以我下载并编译“cloner”并执行这个命令,但是不起作用。 基本上,克隆人的命令永远不会停止(杀-9甚至不工作)。 我也使用wireshark监控networkingstream量。 我看到的是:它正在发送与Windows7相同的请求,即Ioctl请求FSCTL_SRV_COPYCHUNK_WRITE File:…,但出现错误:Ioctl响应,错误:status_invalid_device_request 为什么cloner在Linux不起作用,但在win7上的robocopy工程? 为什么会出现错误:status_invalid_device_request? 克隆人缺less什么? 如果在这里有什么缺失或错误如何解决这个问题? 是否有任何现有的客户端服务器端副本代码或工具,我可以使用?
我正在实施一个洪stream下载和存档系统。 我想下载一个torrent文件(其中包含几个小文件),然后将其归档。 我的磁盘性能差。 所以我想要一个有效的归档文件的方式。 我有几个select: 1.在普通磁盘/文件系统上下载文件,然后使用普通的unix tar命令打开它。 2.创build空白的TAR归档文件,然后使用archivemount将其挂载到写入模式,然后在挂载的path中开始下载torrent文件。 3.与选项2类似,但使用ZIP文件而不是tar。 4.因为我想通过Web浏览器传送文件:实现一个软件/脚本来即时打开一个文件夹。 (我几年前写了一个python脚本(uWsgi / Nginx)来做这个,但是tar需要每个文件的校验和,性能很差) 5.find一个可以直接写入TAR / Zip文件的torrent客户端。 (非常不可能) 我应该考虑哪种方式? 谢谢。