通过IPSec(Debiantesting中的Strongswan)连接到存储守护进程(“B”)的我的一台服务器(“A”)的备份(通过Bacula)不能完成95%的运行时间。 显然发生的是: Bacula打开与存储守护程序的VPN IP的TCP连接。 (A→B) 由于默认设置了内核设置net.ipv4.ip_no_pmtu_disc=0 ,所以明文数据包中设置了IP Do not Fragment位。 将数据包路由到IPSec隧道时,有效载荷的DF位被复制到ESP数据包的IP报头。 经过一段时间(通常大约20分钟)以及高达数千兆字节的数据发送之后,发送稍大于ESP数据包的数据包。 (A→B) 由于存储守护程序接口的MTU比发送主机的MTU低,因此沿途的路由器向主机发送ICMPtypes3(代码为“需要分片且不分片”)ICMPtypes3。 (一些路由器→A) 连接暂停,由于某种原因,主机A将大量100个空的重复ACK发送给B(在〜20ms内)。 (ICMP数据包到达主机A,并且没有阻止ICMP的iptables规则。) 这种情况发生的可能原因,我可以想到: 内核bug(Debian 3.13.7-1) Linux的IPSec实现故意忽略PMTU消息作为安全措施,因为它不受保护,会影响现有的SA。 (根据RFC 4301 8.2.1似乎是有效的行为) 必须与PMTU老化( RFC 4301 8.2.2 ) 什么是解决这个问题的最好方法,而不是全局禁用PMTU发现或降低接口MTU? 也许像FreeBSD一样,清除DF位与ipsec.dfbit = 0 ?
当进程在Linux虚拟机上调用“connect”时,我看到错误消息“No buffer space available”。 我无法追查原因 – 希望有人可以帮忙! 我检查了以下内容: (1)文件句柄: cat /proc/sys/fs/file-nr 4672 0 810707 我读这(分配,未使用,可用),所以这看起来不错。 (2)套接字或TCP内存: cat /proc/sys/net/ipv4/tcp_mem 191889 255854 383778 cat /proc/net/sockstat sockets: used 579 TCP: inuse 169 orphan 0 tw 245 alloc 187 mem 5 UDP: inuse 31 mem 4 UDPLITE: inuse 0 RAW: inuse 0 FRAG: inuse 0 memory 0 阅读这个总共只有579套使用中,总页数低于最大值。 在Google上显示了很多随机的TCP调整 […]
今天早上我重新启动了服务器,但是有好几个进程似乎已经运行了600多天了? 有人可以摆脱一些光? 机器的date是正确的: [root@abc youdev]# hwclock Wed 23 Jul 2014 15:50:35 BST -0.828434 seconds [root@abc youdev]# date Wed Jul 23 15:50:35 BST 2014 [root@abc youdev]# 这是'最高'和'正常运行时间'的输出 [youdev@abc ~]$ top top – 15:13:40 up 6:52, 4 users, load average: 22.18, 21.86, 21.23 Tasks: 452 total, 11 running, 441 sleeping, 0 stopped, 0 zombie Cpu(s): 0.0%us, 0.0%sy, […]
问题: 在非docker解决scheme中,SSL证书可以位于/etc/pki/CA/ ….以及在/etc/httpd/conf.d/*.conf文件中对这些文件的引用。 在一个安全的apache httpd服务器的docker镜像中如何pipe理/放置/使用这些SSL证书,而不是作为docker镜像的一部分? 目标: 使用提供的SSL证书为安全的apache httpd服务器创build一个docker映像。 想法如何解决这个问题: Docker卷可以通过使用docker run -v /HOST/SSL/PATH:/CONTAINER/SSL/PATH将证书从主机挂载到映像来解决这个问题,然后可以在映像中引用它。 这是要走的路吗,还是可以用另一种方式来解决这个问题呢?
三个磁盘中的一个在我的LVM raid1逻辑卷中closures。 (实际上这是一个糟糕的实验)。 卷是一个纯粹的LVM raid1 (不,不是LVM mirror ),没有任何mdadm / fakeraid。 问题只在重启时才能实现,设备完全没有了。 由于我仍然有两个健康的磁盘,我想将该卷作为双向raid1使用一段时间,稍后再更换坏的磁盘。 但是,我无法从音量中删除丢失的设备。 以下是有关拓扑的基本信息。 卷组为vgQ3 ,逻辑卷为lvRAID1 : #lvm pvs | grep vgQ3 Couldn't find device with uuid vG3BbG-ap9H-iYGg-qfE2-R13Z-rLJI-AJcAv0. /dev/sdb2 vgQ3 lvm2 a– 79.31g 17.91g /dev/sdc2 vgQ3 lvm2 a– 79.31g 17.91g unknown device vgQ3 lvm2 am 79.31g 17.91g # lvm lvs -a -o +devices | grep […]
我已经设置了下面的configurationrsnapshot,它似乎工作正常。 但是,如果我理解了我正确读取的内容,则在rsnapshot文档和其他教程中,添加这些选项后操作会更加健壮: link_dest 1 sync_first 1 use_lazy_deletes 1 但是,当我启用这些,特别是sync_first,似乎并不正确。 没有错误,但似乎没有发生(见下面的最后一个代码块)。 configuration成功。 我怀疑我错过了一些关于如何使用sync_first的内容。 我想知道,如果这三个选项确实是有益的,如果一起使用(没有冲突),其次,是否有必要启用sync_first后,我必须调用rsnapshot的方式有所不同? 这是安装在Ubuntu 14.04与rsnapshot 1.3.1和rsync有link_dest选项。 感谢任何方向,官方文件有点干。 CONF config_version 1.2 snapshot_root /srv/rsnapshot/ no_create_root 0 cmd_cp /bin/cp cmd_rm /bin/rm cmd_rsync /usr/bin/rsync cmd_ssh /usr/bin/ssh cmd_logger /usr/bin/logger cmd_du /usr/bin/du cmd_rsnapshot_diff /usr/bin/rsnapshot-diff retain HoursAgo 6 retain DaysAgo 7 retain WeeksAgo 4 #retain monthly 3 verbose 5 loglevel 3 logfile […]
我有一个Windows集群共享卷(CSV)的SAN级快照\克隆,我想要在同一个集群上装载以检索文件,作为备份的forms。 如下所述 : 访问群集共享卷的存储端快照 …由于GUID冲突,在同一个群集上安装CSV克隆存在问题。 我已经制定了如何实现我想要的解决scheme,而不是真的..为我工作。 我可以在另一台Windows机器上安装CSV的这个snaphot \克隆,通过Powershell获取磁盘对象,如下所示: $disk = get-disk -Number *number* Powershell有一套磁盘方法,可以让我更改磁盘ID: Set-Disk -Guid {New GUID} 我现在可以将这个克隆装回同一个集群,现在没有GUID冲突,我可以像访问任何其他NTFS卷那样访问它。 我想要做的就是通过Linux机器更改这个磁盘标识符,这样我就可以自动合理地执行这个过程。 我看到一个例子,如果这是可能的,如果磁盘是MBR,但是如果机器是GPT是可行的? 任何帮助将不胜感激。
在Linux下, 共享的子树标志控制着如何使用父和子挂载命名空间共享一个挂载点。 这些标志包括MS_SHARED , MS_PRIVATE和MS_SLAVE 。 怎样才能看到哪些标志设置在特定的挂载点上? 这些标志不会显示在mount的输出或/proc/mounts 。
我们的后缀系统在晚上停止发送邮件。 每天凌晨2点,它停止收取邮件。 服务器是一个监视服务器,每天发送大量邮件。 / bin / mail将邮件放入postdrop队列中,postfix拾取邮件,postfix处理邮件。 它工作了一整天,但在凌晨2点它停止,没有什么会出现在日志中(即使启用了拾取和清理的详细日志logging)。 当我手动重新启动后缀服务时,它开始从postdrop队列传递邮件。 凌晨2点会发生什么,强迫postfix停止工作? cronjobs不影响后缀 所有的cronjobs: mi hdmw user command 01 * * * * root /etc/cron.hourly/mcelog.cron */10 * * * * apache /usr/share/nagiosbp/bin/nagios_bp_session_timeout 2>&1 | logger -t nagios_bp_session_timeout */5 * * * * apache /usr/bin/php -q /usr/share/centreon/cron/downtimeManager.php >> /var/log/centreon/downtimeManager.log 2>&1 */5 * * * * nagios /usr/share/centreon/bin/nagiosPerfTrace >> […]
我正在考虑在Yocto项目中开发一个embedded式Linux项目(一个工业应用程序),对于那些在embedded式Linux方面有经验的人来说,我有几个问题 – Yocto会遇到一些奖励。 只需要了解固件更新中常用的function。 我有一些要求,即身份validation,一个安全的通信协议,如果更新失败的某种types的回滚。 另外,如果有一种方法可以逐渐在整个设备上释放补丁,那么这也是一个有趣的现象,因为我想避免在现场使用设备。 如何将更新/修补程序部署到现场设备 – 开发它需要多长时间? 有什么其他的考虑我缺less?