我是新手到Linux防火墙,并试图为面向公众的计算机设置我的系统防火墙。 这是我的要求: 端口80和22应该打开HTTP请求和SSHlogin 由于我的应用程序服务器将在8080端口上以非root用户身份运行。我想将所有数据包redirect到端口8080.在某些情况下,我的应用程序本身向服务器发出请求。 问题:我的防火墙有没有漏洞? 我可以使这个更安全的方法。 这是我的防火墙设置: *filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :RH-Firewall-1-INPUT – [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp –icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -m […]
我有以下硬件: 2个SuperMicro服务器(128GB RAM,2个8核心AMD) 2个/服务器LSI SAS2008 PCIe MPT-Fusion2 HBA(每个卡2个SAS端口) 1x LSI CTS2600 DAS,配有24x WD 15.7k RPM 600GB SAS驱动器。 服务器运行的是OpenSuSE 11.4,具有从上游构build的多path工具的自定义构build,并且包含OpenSuSE 11.3补丁集。 每个服务器上的所有4个SAS端口连接到DAS,每个DAS RAID控制器连接2个端口。 DAS设置了RAID10中的22个驱动器,128k条带。 我在arrays上创build了一个500GB的卷组,并将其导出到其中一台服务器上。 多path设置为对输出到服务器的500GB LUN进行多pathI / O。 这是multipath.conf文件: defaults { path_checker "directio" path_selector "queue-length 0" path_grouping_policy "multibus" prio "random" features "1 queue_if_no_path" #queue IO if all paths are lost } multipath -l输出: pg (360080e50001b658a000005104df8c650) […]
我有一个有多个磁盘和分区的服务器。 对于特定的磁盘,我想知道它是本地还是SAN。 我跑了一些命令: [root@server]# ls -l /sys/block/*/device lrwxrwxrwx 1 root root 0 Jul 22 12:15 /sys/block/hda/device -> ../../devices/pci0000:00/0000:00:1f.1/ide0/0.0 lrwxrwxrwx 1 root root 0 Jul 22 12:15 /sys/block/sda/device -> ../../devices/pci0000:00/0000:00:03.0/0000:01:00.0/0000:02:0e.0/host0/target0:2:0/0:2:0:0 lrwxrwxrwx 1 root root 0 Jul 22 12:15 /sys/block/sdb/device -> ../../devices/pci0000:00/0000:00:03.0/0000:01:00.0/0000:02:0e.0/host0/target0:2:1/0:2:1:0 lrwxrwxrwx 1 root root 0 Jul 22 12:15 /sys/block/sdc/device -> ../../devices/platform/host3/target3:0:0/3:0:0:0 我怎样才能知道哪个设备是本地的,哪个是连接到SAN的?
我有一个SUSE Linux(SLES)系统,在停电之后,其中一个目录似乎已经过期。 它有各种逻辑卷的一些挂载点,例如 /dir -> lv1 /dir/db -> lv2 /dir/log -> lv3 数据库目录似乎几个月没有更新,而日志显示整个时间段内的数据。 lv1显示为80%已满,我只能占该空间的20%。 我假设由于某种原因停电之前,/ dir / db目录没有挂载,所以写入/ dir / db只是进入lv1目录。 重新启动后,挂载已经安装,所以我看到上一次挂载点工作的旧数据。 有没有办法检查挂载点下的“下”,看看数据是否存在,而不卸载文件系统?
在Linux / Unix世界中,每个用户都被分配一个具有相同名称的默认组,并且用户是该组的唯一成员,这是一种习惯。 最初的理由是允许设置sgid标志的组共享目录。 对于用户专用的默认组,用户的umask默认情况下可以允许组写入,而写入这样的组共享目录会默认使新文件成组写入。 但是,使用POSIX ACL时,不再需要这样的安排,因为目录可以具有用于新文件的默认ACL。 是否有任何理由继续分配用户私人组?
我安装了nginx来处理和apache一起的请求。 之前,apache在80端口上收听,现在我已经切换到nginx监听端口80和apache在一些模糊的端口,并有nginx proxy_pass到Apache,如果请求是非静态内容。 我的nginxconfiguration包含以下内容: server { listen 80; server_name static.test.domain.com; location / { root /home/test/www/static; index index.html index.htm; } } server { listen 80; server_name domain.com *.domain.com; location / { proxy_set_header Server "testserver"; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://localhost:8800; } error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } […]
我有一个由root和group git拥有的目录/applications 。 问题是当我在/应用程序中创build一个新的目录时,它由root和group root拥有,而不是group git。 如何在应用程序中创build新的目录inheritance组git而不是root?
我正在使用iptables的速率限制模块来防止DoS攻击(我知道它不能阻止全面的DDoS攻击,但至less可以帮助更小的攻击)。 在我的规则中,我有这样的东西: /sbin/iptables -A INPUT -p TCP -m state –state NEW -d xx.xxx.xxx.xx –dport 80 -m limit –limit 20/minute –limit-burst 20 -j ACCEPT 它运作良好,直到昨晚有人不停地打我的80港口。 连接按规则丢弃(如日志所示)。 但是,这也使服务器对其他合法用户不可用。 我不明白为什么会这样。 我认为除了淹没服务器之外,不会影响任何其他用户。 是否因为iptables不堪重负? 任何反馈将不胜感激。 谢谢!
我有兴趣在CentOS Linux 5.4主机上安装Git。 Pro Git在线书籍中的安装说明提供了两个途径:从源代码安装或使用主机的包pipe理系统(在本例中为yum)。 但是,也没有为我工作。 从yum安装 当我尝试百胜,我得到这个结果… $ sudo yum install git-core Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: mirror.team-cymru.org * extras: centos.mirrors.tds.net * updates: ftp.osuosl.org Setting up Install Process No package git-core available. Nothing to do (为什么yum不能find这样一个普通的包?它是否与Kernel.orgclosures?) 从源代码安装 另一种select是下载源代码。 在Git 主要网站上提供的Git v1.7.6.1最新稳定版本的位置是http://kernel.org/pub/software/scm/git/git-1.7.6.1.tar.bz2 。 但是,该链接导致页面显示为“维护”。 看起来kernel.org由于攻击已经数周了。 有什么build议么? 谢谢!
为了使我的web服务器最简单,我build议做类似以下的事情: sudo chown www-data:www-data /var/www -R cd /var/www sudo find . -type f -exec chmod 664 {} \; sudo find . -type d -exec chmod 775 {} \; 我也将我的日常用户添加到www-data组中。 我的问题是:这是一个愚蠢的/有风险的权限集? 给www-data组的那些权限打开我的服务器? 感谢Alex