我知道你为保护服务器所做的第一件事就是禁止远程login。 密码相当薄弱; 人们认为只有通过ssh密钥或其他无密码方法才能进行rootlogin。 哪种方法最好? 只是不要冒险呢? ssh与一个辅助帐户和使用su -真的添加任何安全性? serverfault.com上的用户如何访问远程服务器上的root用户?
我在我家运行一台小型的CentOS服务器,用于其他备份等。我镇上另一边的朋友也在他的家里为了类似的目的而运行一个小型的服务器。 我们一直玩弄使用eachothers服务器做远程/异地备份的想法。 基本上,我们每个人都会购买一个外部硬盘来存储在他们家里,连接到其他服务器上。 然后,我们将设置计划的rsync将相应的数据从一台服务器推送到另一台服务器上的外部硬盘。 大部分都很简单。 但是,有一点很重要(至less对我来说)是数据encryption。 我想将我的数据存储在我的朋友服务器上的外部硬盘上。 但我不希望我的朋友(或任何访问我朋友的服务器的人)能够读取外部硬盘上的内容。 什么是最好的办法呢? 你可以使用rsync发送数据到一个encryption的硬盘驱动器,并以某种方式传递一个密码,以及它用来写入数据,一旦它到达服务器?
我有问题,哪个用户应该拥有我的www目录 – ftp或apache? 当设置为FTP用户,用户可以添加,remoe和轻松修改文件,但PHP文件系统操作产生权限被拒绝的错误(当然,因为他们需要用户是Apache)。 但是,如果www目录是chown到apache,那么ftpuser将不能执行文件修改和删除等操作。 任何人遇到类似的问题? 什么是修复? 谢谢
目前在我的sshd_config我有它的设置,使密码不能使用,只有钥匙可以用来login。 我需要为一个用户启用密码。 此用户尚未创build,必须是严重locking的用户。 只能看到自己的主目录,只能执行其目录内的基本命令(cd,mkdir,nano等)。 所以我的问题是:我如何创build这个locking的用户,我怎么让'它'通过SSHlogin使用密码? 谢谢
我已经inheritance了一些LVM卷,并且我注意到fdisk将构成卷组的磁盘报告为分区types83(Linux)而不是8e(Linux LVM)。 这是一个问题,fdisk分区types有多重要? 他们是否影响任何东西,或只是为了方便标签? 谢谢你的帮助。
我读到某些types的ICMP数据包可能是有害的。 问题: 哪些和为什么? 我应该如何布局一个iptables规则集来处理每种types的ICMP数据包? 我应该对任何这些types的ICMP数据包进行速率限制吗? 如何? [1]我读到的types:redirect(5),时间戳(13)和地址掩码请求(17)。 请不要只考虑你的答案。 更多信息 这是一个与Ubuntu服务器VPS的Web服务器。 目标 我试图让系统更安全,减less一些D / DoS攻击和一般滥用的风险。 有关 我的Linux防火墙是否安全? 为什么不阻止ICMP?
尽pipe我的系统上有足够的可用内存,但是OOM杀手似乎正在杀死一些东西: (完整分辨率) (完整分辨率) 27分钟和408分钟后,系统再次开始响应。 大约一个小时后我重新启动了,不久之后,内存利用率恢复正常(对于本机)。 经过检查,我的箱子上运行了一些有趣的程序: USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND […snip…] root 1399 60702042 0.2 482288 1868 ? Sl Feb21 21114574:24 /sbin/rsyslogd -i /var/run/syslogd.pid -c 4 […snip…] mysql 2022 60730428 5.1 1606028 38760 ? Sl Feb21 21096396:49 /usr/libexec/mysqld –basedir=/usr –datadir=/var/lib/mysql –user=mysql –log-error=/var/log/mysqld.log –pid-file=/var/run/mysqld/mysqld.pid –socket=/var/lib/mysql/mysql.sock […snip…] 这个特定的服务器已经运行了大约。 8小时,这是唯一的两个过程,有这种奇怪的价值观。 我的怀疑是“其他”正在发生,可能与这些非感性价值有关。 […]
我有一个24核心机器,运行Ubuntu服务器10.04的94.6GiB RAM。 不同于另一台运行相同types和数量进程的服务器(4个内核),这个盒子的iowait值很高。 两台计算机都通过4个FC卡连接到VNX Raid文件服务器,24核计算机,另一台通过2个千兆以太网卡连接。 四核机器目前优于24核机器,具有较高的CPU使用率和较低的艾默生特性。 在9天的正常运行时间内,爱荷华州的平均值为16%,而且通常在30%以上。 大多数情况下,CPU使用率非常低,约为5%(由于iowait高)。 有足够的空闲内存。 我不明白的一件事是,为什么所有的数据似乎都是通过设备SDC进行的,而不是直接通过数据移动器: avg-cpu: %user %nice %system %iowait %steal %idle 6.11 0.39 0.75 16.01 0.00 76.74 Device: tps Blk_read/s Blk_wrtn/s Blk_read Blk_wrtn sda 0.00 0.00 0.00 1232 0 sdb 0.00 0.00 0.00 2960 0 sdc 1.53 43.71 44.54 36726612 37425026 dm-0 0.43 27.69 0.32 23269498 268696 dm-1 1.00 […]
我在/etc/init.d/中创build了一个脚本,它必须从其主目录中运行其他(非超级用户)用户的其他脚本,就好像他们启动了它们一样。 我使用以下sudo -b -u <username> <script_of_a_particular_user>启动这些脚本: sudo -b -u <username> <script_of_a_particular_user> 它工作。 但是,对于每个继续运行的用户脚本(例如一些看门狗),我都会看到一个相应的父级sudo进程,它仍然以root身份运行。 这在活动进程列表中创build一个混乱。 所以我的问题是: 如何从另一个用户启动(fork)另一个脚本作为另一个用户,并将其作为孤立的(独立)进程? 更详细的解释: 我基本上是试图提供给机器上的其他用户一个意思是在系统启动或系统closures时运行的东西,通过运行在其主目录中find的名为.startUp和.shutDown的各个子目录中find的可执行文件。 由于我没有find任何其他的方法来做到这一点,所以我写了我的bash脚本,完全是这样做的,我已经在/etc/init.d/中configuration它作为服务脚本(通过下面的框架示例)启动参数启动了.startUp目录中的所有内容,当它以stop参数运行时,它启动所有用户的.shutDown目录中的所有内容。 另外我也有兴趣,如果我可以使用一些现有的解决scheme来解决这个问题。 UPDATE 我查了一下,我发现这个问题: https : //unix.stackexchange.com/questions/22478/detach-a-daemon-using-sudo 接受的答案在那里,使用: sudo -u user sh -c "daemon & disown %1" ,适用于我。 但是,我也尝试不留%1 ,这是一样的。 所以这就是我所期待的对我的作用: sudo -u <username> bash -c "<script_of_a_particular_user> &" 我现在的另外一个问题是,为什么它没有被忽视呢? 无论如何,我是否还应该离开这个离别的电话呢? 更新2 显然这也可以工作: su <username> -c "<script_of_a_particular_user> &" […]
我正在考虑添加一个定期运行yum -qy update的cronjob在一些没有定期维护的机器上。 目标是保持机器最新的安全补丁,否则将适用于太晚。 我只使用CentOS基础知识库。 问题: 根据你的经验 – 这种方法将会如何“安全”? 我应该期待一次偶尔的更新吗? 大概多久这种方法需要重新启动? 利用这种方法的优点/缺点或其他陷阱? 你如何保持你的机器使用自动化的最新?