我想将旧的纯iptables防火墙configuration迁移到shorewall设置。 我得到的基础知识,但我一直无法复制我现有的敲门设置: 我有一个“ tmpknock ”链,打开一些端口,例如端口22,持续30秒(如果多个人同时尝试login,则tmpknock链中同时允许多个IP)。 我有一个' permknock '链,永远打开一些端口(比如80),但是一次只能有一个IP(当下一个端口试图从另一个IP端口敲下时 ,这个端口就被replace掉了 ),这就允许我testing一些服务目前不向公众开放) /etc/knockd.conf中的设置很简单: [tmpAndPermKnock] sequence = 10000,11000,12000 seq_timeout = 9 tcpflags = syn start_command = /sbin/iptables -I tmpknock -s %IP% -j ACCEPT; /sbin/iptables -F permknock; /sbin/iptables -I permknock -s %IP% -j ACCEPT cmd_timeout = 30 stop_command = /sbin/iptables -D tmpknock -s %IP% -j ACCEPT 现在我可以很容易地从现有的链条链接到这些链条,例如: iptables -A […]
虽然不打算交叉发布,但是在将这个问题发送到SecurityFocus的OpenSSH列表之后,我注意到这个列表的stream量很低(前一个post大约是5个月前)。 这就是说,我决定在这里重新发布,因为这个问题可能会得到更多的眼球(如果得到回答,将会有更好的机会被其他人使用): 问题:我有一个从内部机器到我的DMZ中的主机的反向SSH隧道,它被设置为在系统启动时启动,并在隧道失败时重新启动。 但是,当隧道中断(例如,由于networking中断)时,由于DMZ主机上的端口正在使用而无法重新build立。 从我读的OpenSSH邮件列表档案和其他地方,这似乎是因为端口处于TIME_WAIT状态。 这很好:我可以在build立隧道的脚本中放入睡眠声明。 但是,这导致了两个问题: 1)如何确定在特定的Linux(或其他)系统上如何定义TIME_WAIT间隔? 虽然我可以睡5分钟,没问题,但最好尽可能多地刮胡子。 2)尽pipeOpenSSH似乎不支持“ClearAllForwardings”选项,但是有没有类似的function可以使auth'd连接自动拆卸并重新创build它之前build立的现有连接? 长时间睡眠可能会“足够好”,但如果可能的话,我宁愿更有效地处理TIME_WAIT条件。 我感谢任何指导或build议!
今天我注意到我的LDAP服务器(OpenDS)在每个可用内核上都占用100%的CPU。 快速诊断表明,在futexlocking期间有很多ETIMEDOUT。 我怎样才能debugging它来弄清楚发生了什么,以及如何解决它? futex(0x7f7ecf9053a4, FUTEX_WAIT_BITSET_PRIVATE|FUTEX_CLOCK_REALTIME, 1540779077, {1342114766, 309244206}, ffffffff) = -1 ETIMEDOUT (Connection timed out) futex(0x7f7ecf9053d0, FUTEX_WAKE_PRIVATE, 1) = 0 futex(0x7f7ecf9053a4, FUTEX_WAIT_BITSET_PRIVATE|FUTEX_CLOCK_REALTIME, 1540779079, {1342114766, 309528293}, ffffffff) = -1 ETIMEDOUT (Connection timed out) futex(0x7f7ecf9053d0, FUTEX_WAKE_PRIVATE, 1) = 0 futex(0x7f7ecf9053a4, FUTEX_WAIT_BITSET_PRIVATE|FUTEX_CLOCK_REALTIME, 1540779081, {1342114766, 309812186}, ffffffff) = -1 ETIMEDOUT (Connection timed out) futex(0x7f7ecf9053d0, FUTEX_WAKE_PRIVATE, 1) = 0 futex(0x7f7ecf9053a4, […]
在Linux上,临时文件存储在虚拟硬盘上: tmpfs 15G 4.0K 15G 1% /dev/shm 但是,如果/ tmp /中有多个大文件,我会假设文件溢出到磁盘上? 在这种情况下,如果机器的磁盘速度越来越快,则最好使用更快的磁盘。 这是如何工作的,如何在Linux上configuration溢出?
我使用Ubuntu 11.10&nginx。 我的服务器目前的速度大约为350 rps(这是负载进来)。 我使用iptables来确保某些端口上的连接仅限于我自己的盒子。 我注意到nf_conntrack_count不断增加。 不pipe我推nf_conntrack_max , nf_conntrack_count在一天内匹配。 此外,它不符合netstat -tn告诉我的。 这里是数字: $ sudo sysctl net.netfilter.nf_conntrack_count net.netfilter.nf_conntrack_max net.netfilter.nf_conntrack_count = 649715 net.netfilter.nf_conntrack_max = 650000 $ netstat -tn | awk '{n[$6]++} END { for(k in n) { print k, n[k]; }}' CLOSING 6 ESTABLISHED 2933 FIN_WAIT1 116 FIN_WAIT2 3447 LAST_ACK 35 SYN_RECV 79 TIME_WAIT 27141 $ sudo […]
我有多个源目录,比如/home/me/source1和/mnt/somedisk/source2 。 我想把它们分别推到/home/someoneelse/dest1和/home/someoneelse/dest 。 我想用一个rsync命令来做到这一点,这可能吗? 如何将N个目录转换为N个目录,每个目录都是uniqe?
看来SLES 11.2(和OpenSUSE)缺less在Ubuntu Server或CentOS等其他发行版中常见的许多开发(dev)软件包。 我知道packages / deps可能被封装在其他名为SLES的软件包中,但是很难追踪到,特别是如果你是从我的其他发行版发来的。 http://software.opensuse.org/developer/en在这方面没有太多的帮助。 有人可以推荐一个好的来源(或来源)的开发相关的软件包的SLES? 也许它是我忽略的一些简单的东西。 当然,在你周围search可以find许多(阴暗)网站与RPMs等,但当然更多的“官方”将是理想的。
我正在云提供商上运行Linux虚拟机。 如此有效地,磁盘是一个VHD文件。 该机器将在磁盘上有一些敏感的信息,如证书,密码…我想encryption一些部分(或全部)的磁盘,以防万一有人得到他们的手在VHD文件,他们不能收回私人信息。 当然,由于服务器可能随时由云提供商重新启动(安全更新,迁移到不同的物理主机等),因此在启动时询问密码不是一个选项。 如果可能的话,我怎么能做到呢?
如何将Apache服务器的SSL证书传输到NGINX服务器? 任何帮助深表感谢。
我想使用Foxboard一个简单的networking监视器为多个路由器(所有的路由器连接到互联网)。 Foxboard是一个带Debianembedded式版本的迷你电脑。 我的想法是使用像这样的多个虚拟networking设备: eth0 192.168.2.10 eth0:1 192.168.3.10 eth0:2 192.168.4.10 我发现了一个很好的Python脚本来ping外部主机(来自Ryan Cox的解决scheme): https : //stackoverflow.com/questions/316866/ping-a-site-in-python 当我ping通www.site-a.com和eth0:1时,是否可以configurationDebian来使用eth0?