我有用户alexus MASTER键,但每当试图通过sudo作为根和/或其他用户在盒子上,并获取错误Bad owner or permissions on /root/.ssh/config [root@wcmisdlin02 ~]# ls -ld .ssh lrwxrwxrwx. 1 root root 17 May 14 13:00 .ssh -> /home/alexus/.ssh [root@wcmisdlin02 ~]# ll .ssh/config -rw——-. 1 alexus alexus 215 Feb 4 12:47 .ssh/config [root@wcmisdlin02 ~]# ssh XXXXX Bad owner or permissions on /root/.ssh/config [root@wcmisdlin02 ~]# 这是工作之前,我最近重build我的系统,并试图让这个工作,不能找出什么是缺less的( [root@wcmisdlin02 ~]# getenforce Permissive [root@wcmisdlin02 ~]# […]
这是我的networkingconfiguration: 我的networkingconfigurationhttp://daveden.files.wordpress.com/2013/05/network-configuration.png 代理服务器在端口3128上使用Squid运行Ubuntu,在端口8080上运行DansGuardian。 我想强制所有客户端使用代理服务器 – 特别是端口8080 – 用于任何HTTP / HTTPS访问。 但是,我不想透明地redirect,因为这不适用于HTTPS。 我不介意configuration每个客户端,我不介意每个客户端都知道它使用的是代理服务器。 我只是不希望客户端能够在没有代理设置的情况下浏览网页。 我该怎么做呢? 如果客户端未configuration为在端口8080上使用代理服务器,是否可以丢弃数据包? 我尝试使用iptables丢弃具有8080以外的端口的数据包,但拒绝太多我认为我不能再访问任何东西。 编辑 我重新写了这个问题,以便它不是特定于iptables,但我并不反对使用iptables。 我只想吸引更广泛的可能的解决scheme。 编辑2 我想我可能给了一些错误的印象。 只是要清楚,我不是有兴趣过滤 HTTPSstream量(例如,在代理上查看数据包并检查内容)。 我更感兴趣的是使用DansGuardian 阻止网站,无论是通过HTTP还是HTTPS(通过查看数据包的目的地)。 编辑3 根据Alexandru-Florin Vintil的build议,下面是我现在正在做的事情: # Redirect HTTP traffic to port 8080 (DansGuardian) iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT –to-port 8080 # Check TCP and […]
这似乎是我有两个帐户我configuration的ssh代理行为之间的差异。 我写了一个简单的监控脚本来检查我们运行的一些虚拟机的可用性。 我用我的主要访问帐户做了所有的testing和debugging。 在此过程中,我生成了一个SSH密钥对,启动了ssh-agent,并将该身份添加到代理以允许脚本无需密码即可ssh。 现在,我想运行这个脚本作为服务帐户用户。 我创build了服务帐户,并生成密钥临时将loginshell设置为/ bin / bash。 我生成了我的密钥,删除了密码,并将身份添加到代理。 这种差异似乎与shell连接到代理的方式有关。 在我的用户帐户中,自从我开始testing(大约两周)以来,我不必重新启动代理。 但是,当我尝试运行服务帐户下的脚本时,我似乎不得不重新启动代理,每次添加标识,然后执行该工作。 理想情况下,我希望代理无限期地运行,并在脚本运行时自动重新连接服务帐户,这样我就不需要在脚本中pipe理进程。 我查看了每个帐户的configuration,找不到任何区别。 任何有识之士将不胜感激。 **编辑:我忘了指出,代理不断运行,但服务帐户的shell进程似乎并没有利用它,一个新的必须开始: ovmmon 14043 0.0 0.0 53916 204 ? Ss May17 0:00 ssh-agent ovmmon 14952 0.0 0.0 53916 204 ? Ss May17 0:00 ssh-agent
看来我的服务器杀了一个进程,因为它使用了太多的内存。 这可能吗? 如果可能发生,我怎么知道什么时候和什么程序被杀害?
我想从特定的date和转发rsync文件夹。 例如。 我想rsync我的文件夹是从3天前(当然还有2天前,一天前等)创build的。 我知道我需要使用查找和rsync,但我不知道如何。 任何想法? 谢谢! 多坦。
我正在寻找最好的方法(用于我的目的和情况)来对系统configuration文件进行版本pipe理,并且在两台机器(活动和备份,都应该被视为'生产')之间pipe理部署(所有权和模式)。 我希望能够使用此系统自动(但有select地)复制和pipe理备份机器(EC2实例)上的相关和指定的configuration。 目前,这些机器主要是networking和SMTP服务器(我们不存储用户邮箱),但是我们的项目正在增长,谁知道未来的需求可能会是什么。 例如,我们有可能在未来某个时候实施无线电和基于networking的聊天。 我更喜欢按照惯例pipe理服务器(即根据需要进入并对现场服务器进行更改),然后将这些更改(一旦安置)存储在pipe理系统中。 (好吧,如果我是诚实的,我应该有机地说:我不想失去灵活性来做需求和情况需求的东西。)我find了这种方法,而不是部署在其他地方进行调整和testing的configuration,更具可预测性,而且可能会带来更less的惊喜(除了在现场系统上搞乱configuration的可能性之外,就是!) 我从哲学的angular度认识到,这是回到前面,如果我有资源(testing基础,更重要的是人力),我可能会反过来做。 事实上,我必须要做我所做的。 我非常喜欢结构,但是过多的基础设施本身就是一种生活,在某种程度上它的价值已经丧失。 我已经做了一些家庭作业,并回顾了几个选项,但他们都没有真正做我想要他们,所以我目前试图推出我自己的解决scheme。 这个问题的目的是为了看看我没有想到的,并在我吠错了树之前进行理智检查。 选项 像Puppet这样的声明性元configuration系统可能是很好的select,因为许多服务器在这些服务器之间很less或根本没有区别,特别是在提前清楚configuration应该是什么样的情况下。 我不认为在没有基础架构的情况下使用这样的工具是明智的。 这也有点沉重,过于复杂。 我是唯一的pipe理者,我在业余时间做这个事情,如果我留下来的事情发生在我身上,对于那个走在我身后的幸运男人/女孩,我们应该是合理的。 etckeeper可能会这样做,但据我所知,它并不适用于除/ etc以外的任何其他pipe理。 也就是说,它不适合存储自定义脚本,这些自定义脚本通常位于/ usr / local / bin中。 此外,etckeeper大概pipe理所有 / etc,我认为我宁愿只版本特定的东西(如后缀,Apache,fail2ban,SSH和可能munin)。 一个简单的git或svn回购肯定不会,因为当git跟踪权限时,它不会跟踪所有权,并且svn也不跟踪。 svn在每个被跟踪的目录中保存一个.svn子目录,而.git仅存在于工作副本的根目录中。 这两种情况都有好处和坏处。 在某些地方存在一个.svn目录可能在某些地方是可以的(例如/ etc / apache2 / sites-enabled),但在其他地方打乱了大脑死亡的脚本/工具。 (我确定我读了一些东西:cron是否可以在/etc/cron.d中使用.svn目录,但是depmod不是使用/ lib / modules?) 另一方面,在/ .git中,git认为所有的事情都是跟踪的候选者,甚至(大概)其他git回购! 定制解决scheme 这是我打算做的:在主机上存储的一个颠覆回购(比如/ usr / local / sc-repo)和一个用Pysvn写的pipe理脚本,它实现了以下function: 添加(但默认情况下,不recursion),将文件的模式和owership存储为自定义属性。 另外,我喜欢在我的configuration文件$Id$标签,所以这将确保svn:keywords设置正确。 承诺 更新,写入文件后应用所有权和模式 还原,同上 烫发,像差异,但所有权和模式,修复标志如果需要更正。 […]
我在Opensuse 12和Fedora 17上试过这个,我使用下面的命令 touch file chown 777 file ls -l file -rw-r–r– 1 777 root 0 Oct 9 21:43 file grep 777 /etc/passwd echo $? 1 没有用户777 grep pippo /etc/passwd echo $? 1 chown pippo file chown: invalid user: `pippo' 但是,如果我使用不存在的用户,我得到一个错误。 为什么我可以使用数字不存在的用户与chown,但不是与名称?
我有一种情况,我想要捕获一个Linux机器上的所有networkingstream量(目前使用tcpdump),但将这些数据实时传输到另一个单独的(但连接的)networking上的Linux。 基本上我有 [network i'm curious about]—[eth0. Linux box eth1]—-[separate network]—[eth0 monitoring Linux box] 我现在正在做的是将所有内容保存到pcap中,并定期将pcap转移到监视Linux机器上。 这是有效的,但效率非常低,绝对不是实时的。 有没有办法让tcpdump保存pcap到一个数据stream,我可以代理到监控盒没有设置像NFS或SMB的东西? 我认为最好的方式是对tcpdump怀疑的Linux机器,而不想在监视器上提供一个可写的共享。 有任何想法吗?
有时我会看到基于Linux的服务器在没有必要时使用交换。 特别是当所有的免费内存用于caching。 但现在我的专用服务器与16GB RAM开始交换,虽然有足够的RAM免费: $ free -m total used free shared buffers cached Mem: 16029 10035 5994 0 421 8508 -/+ buffers/cache: 1104 14925 Swap: 19322 3 19319 服务器运行一个Web服务器,PHP和一个从未使用全部16GB的数据库。 应该不需要交换。 但是Linux仍然这样做。 在这种情况下只有3MB,但这是原则。
目前,我负责运行Ubuntu 12.04的两台真正的大型服务器(每台128GB Ram和32个8位Xeon CPU)。 学生们可以使用它们进行大数据分析。 我们希望每个用户都能够使用所有的资源,但是,事情变得有点麻烦。 用户可以在他们的主目录(例如Tomcat)上安装他们喜欢的任何东西,但是他们开始抱怨端口被别人占用的问题。 有人build议我们做一些虚拟化(例如LXC),让用户访问容器。 其他人说,我们做了像AWS一样的东西,并让用户创造他们工作所需的资源。 有什么build议么?