我目前在Linux服务器上设置Apache,需要创build一个新的用户,可以login,只能编辑特定目录中的文件。 我目前有我的网站设置为 /数据/ htdocs中/ mywebsite / 这个权限是apache:apache 现在我需要做的是创build一个新的用户“joeblogs”,并限制此用户只能访问/ data / htdocs / mywebsite / store / 用户应该可以SSH和SFTP,但总是直接导向到这个文件夹,用户也应该能够完全访问/存储/文件夹,但无法看到任何其他文件夹或文件系统/ 任何帮助,将不胜感激,我一直在圈了几个小时。
免责声明 :我知道如何运行守护进程,通过使用privbind或某些iptables REDIRECT在端口<1024上侦听。 或者更一般地说,如何在通常不在那里运行的特权端口上提供守护进程。 这个问题本身就是一个元问题。 问题 :为什么地球上的端口<1024通常是为root用户保留的。 从实用的angular度来看,我希望能够告诉守护进程的守护进程,而不必关心root权限。 我越想越多地得出结论,特别是这种“安全”只是历史的膨胀。 sysctl -w net.ipv[46].conf.port.80=www-data (类似的东西,我希望这个想法是什么来的) sysctl -w net.ipv[46].conf.port.80=www-data将是我真正想要的。 这样就可以保持“当前的安全级别”,但仍然允许任意用户在较低的端口上收听。 Linuxfunction( CAP_NET_BIND_SERVICE )是朝着正确方向迈出的第一步 – 至less在我看来 – 但由于我已经习惯了端口<1024这个特殊的东西,所以我毫不犹豫地放弃了这个限制。 我看不出客观的原因。 有人请赐教:) 注意 :是的,我阅读了一些类似的标题,但是我对“你不应该这样做”并不满意。 不得不跳过箍来让apache监听端口80,它所做的一切都是以root启动,然后删除权限是不必要的(至less我认为)。 为什么我不能让它作为一个普通的用户运行,并做它的工作。 这样一个特权升级的bug甚至不允许root权限。 所有这些都是www-data特权(或任何发行版上的用户)
我需要编写一个脚本来从Linux服务器收集FusionIO驱动器的清单数据。 我唯一可以find的方法是fio-status实用程序,但它的目的是输出人类可读的文本,而不是机器可分析的文本。 我可以刮,但是很脏。 我检查了/proc/fusion但没有足够的信息可用。 我希望有一个更好的方法,无论是与libiodrivesdk.so或一个已经存在的实用程序接口来完成这项工作。 我最初使用v1.2.7.2。 在Shane的build议下,我升级到了2.2.3.66。 fio-status现在有一个-fk选项,输出: sles11-live:~ # fio-status -fk ; Retrieving Fusion-io product information… [driver] total_ioDimms=4 ioDrive_Duos=2 driver_version=unavailable sdk_api_version=unavailable [adapter 1] product_name=IBM 640GB High IOPS MD Class PCIe Adapter product_number=68Y7381 … 呃,我希望JSON,但乞丐不能select。
我试图在已经使用POSIX ACL的环境中使用NFS4 ACL。 我在网上find了一些网站,解释了有关NFS4 ACL的一些技术细节,以及它们是如何创build的,但是当我尝试执行它们时,这些工具似乎失败了。 有没有人有一个很好的资源/教程来解释如何设置NFS4的ACL? 当我尝试更改从服务器设置的ACL时: [root@ny-bar01 foo_server]# nfs4_setfacl -e /nfs/obfuscate/ Operation to request attribute not supported. Failed to instantiate ACL. 当我尝试从客户端更改ACL集时: [root@ny-baz02 foo_client]# nfs4_setfacl -R -e . Failed setxattr operation: Operation not permitted An error occurred during recursive file tree walk.
我有一个NFS3服务器与多个客户端。 每个客户端都依次读取不同的大文件,性能非常差。 以下是我在iostat服务器上观察文件所在磁盘的情况: 设备:rrqm / s wrqm / sr / sw / s rmb / s wmb / s avgrq-sz avgqu-sz await svctm%util sdX 24.33 0.00 712.67 0.00 18.41 0.00 52.91 11.95 16.91 1.40 100.00 正如你所看到的, %util是100%。 同时,I / O总吞吐量( rMB/s+wMB/s )约为18MB / s,比磁盘速度慢10-20倍。 这和rMB/s与r/s的比率,导致我得出这样的结论:不是一次读取每个文件的大块,NFS最终以小块读取文件,在不同文件之间大量交织块。 这反过来导致大量的磁盘查找,性能下降。 你会说证据certificate这个结论是正确的吗? 你会推荐什么来解决这个问题? 我可以更改阅读应用程序,并可以调整服务器和客户端上的NFS设置。 我使用内核2.6.18的RedHat 5.6, 我相信限制rsize到32KB(我很乐意在这方面被certificate是错误的)。 编辑:当只有一个客户端读取单个文件时,情况如何: 设备:rrqm / […]
我可以采取哪些措施来调查每两周冻结一次的KVM客人? 通过“冻结”,我的意思是当我尝试连接“ssh”或“virsh console”时没有响应。 主机是Ubuntu(natty,11.04),使用libvirt来pipe理客人,客人是Ubuntu(natty,11.04),这两个服务器版本都没有安装窗口pipe理器。 如果我强迫客人重置,它可以正常工作一个星期。 guest系统日志中没有最新的或相关的消息(表示内核恐慌等)。 就我所知,可能是虚拟networking和tty正在打破,阻止我和客人交谈。 主持人还有另外三位几乎一模一样的客人,他们一年都保持稳定。 如果guest虚拟机崩溃了,syslog中是不是应该有一些提示? 该磁盘是使用virtioconfiguration的lvm逻辑卷 % cat /etc/libvirt/qemu/vm-et.xml <domain type='kvm'> <name>vm-et</name> <uuid>8df572f1-e1dc-275a-4b9f-b7c322e2f5d3</uuid> <memory>2048576</memory> <currentMemory>2048576</currentMemory> <vcpu>1</vcpu> <os> <type arch='x86_64' machine='pc-0.12'>hvm</type> <boot dev='hd'/> </os> <features> <acpi/> </features> <clock offset='utc'/> <on_poweroff>destroy</on_poweroff> <on_reboot>restart</on_reboot> <on_crash>destroy</on_crash> <devices> <emulator>/usr/bin/kvm</emulator> <!–<disk type='file' device='disk'> <driver name='qemu' type='qcow2'/> <source file='/usr/scratch/appliances/vm-et/ubuntu-kvm/tmpzwV0x3.qcow2'/> <target dev='hda' bus='ide'/> <address type='drive' controller='0' bus='0' unit='0'/> </disk>–> <controller […]
我有一个奇怪的问题,我开始排除故障,并想知道是否有人会有任何有用的提示。 我有一个cronjob每分钟执行一个脚本,并将输出附加到文件pipe理器上的文件。 该作业将当前时间戳(date+%s)和当前正常运行时间(包括当前系统时间)打印到文件中。 脚本是: DATE=`date +%s` UPTIME=`uptime` echo "$DATE;$UPTIME" 我得到的是: 1325770921; 14:42:01 up 17 days 1325775379; 14:43:01 up 17 days 1325771041; 14:44:01 up 17 days 请注意,中间的时间戳约为1小时15分钟。对于原因有什么想法?
我正在终止我的DMZ中的SSL / TLS,我必须假设这台机器将被黑客入侵。 此时,我的证书被泄露。 以前我用nCipher硬件密钥库/加速器来解决这个问题。 这些卡甚至不会透露私钥。 该卡片在板上执行encryption和解密,并加强对物理攻击。 获取钥匙的唯一方法是将智能卡读卡器连接到卡本身。 我很难find有关某些东西的信息来重新创build这种方法。 这是专业交换机和防火墙这个领域吗? 这个旧页面引用了一些旧的硬件: http : //www.kegel.com/ssl/hw.html#cards
我有多个USB到以太网设备插入到同一台PC。 有没有一种方法来确定哪一个通过USB端口/ etc映射到哪个eth *networking接口? 我试过在lsusb和/ proc中查找,但还没有find任何有用的东西。
我无法find任何文章来回答这个问题,所以我最好的select是在这里发表: 情况我们有2个应用程序服务器在生产托pipe一个PHP网站,我想要一些文件夹之间的同步2,同样的设置为开发环境没有问题,我已经遵循所有来自URL“ http:/ / /www.cloudedify.com/synchronising-files-in-cloud-with-csync2/ “,我似乎仍然有相同的结果,防火墙已被禁用在两个盒子出于麻烦的目的: configuration文件:cysnc2.cfg nossl * *; group production { host server1; host server2; key /etc/csync-production-group.key; include /etc/httpd/sites-available; include /xxxxxx/public_html/files include /xxxxxxx/magento/media/catalog/product include /xxxxxxx/magento/media/brands exclude *.log; exclude /xxxx/public_html/file/cache; exclude /xxxxx/public_html/magento/var/cache; exclude /xxxx/public_html/logs; exclude /xxxxx/public_html/magento/var/log; backup-directory /data/sync-conflicts/; backup-generations 2; auto younger; } /etc/xinetd.d/csync2 csync2.cfg service csync2 { disable = no flags = REUSE […]