我有一些使用的机架式服务器(戴尔R610,惠普DL180 G6,惠普DL360 G5),我打算用于点播环境中的点播videostream。 我想让他们在同一个操作系统上进行简单pipe理,让一台服务器(HP DL180)拥有大量的存储空间和超快速的查找/传输function,以支持多个边缘服务器,这些边缘服务器将在本地caching媒体,也有快速的寻求,但存储要求较less。 我原来一直在使用Ubuntu,但从以前的反馈中得知,Ubuntu将不会像CentOS那样对硬件RAID有相同级别的支持,所以一直试图在服务器上切换。 在以前的托pipe专用主机的经验,他们会有一个定制的服务器configuration的CentOS 5或6所有的小铃铛像nano (我知道这是超级简单的安装,这只是一个简单的事情, CentOS最小安装的一部分,与托pipe公司的默认安装相比)。 媒体stream的软件供应商build议进行一些内核级别的优化,我很好奇,如果我现在应该继续使用CentOS 6,还是使用CentOS 7呢? 看来版本7还是非常新的,所以不确定在论坛上能否获得相同的支持质量,而且由于服务器并不是那么新,所以我想没有任何硬件需要7。 从安全的angular度来看,我是不是从7号开始就开始了自己的脚步?
Fedora / RHEL / CentOS用于Debian / Ubuntu的“service servicename start”是什么等价物? 我刚刚在serverfoault上读到了一些关于使用/etc/init.d/service的问题,那么Debian上的正确方法是什么?
我们刚刚部署了一些Linux服务器。 每个系统pipe理员将在服务器上有他自己的帐户(即:jsmith),并将使用SSH连接证书,该证书将被放入主目录中的“authorized_keys”文件中。 一旦在服务器上连接,如果他们想发出一个提升的命令,他们会这样做: sudo ifconfig 然后他们将inputroot密码。 我现在想知道的是pipe理root密码的最佳实践。 我应该改变它吗? 我该如何与系统pipe理员分享新密码? **当然,我将禁用SSH根login。
下午好。 我已经仔细阅读了各种关于让Linux系统使用AD进行身份validation的文章,但是还没有看到什么东西逼近我打我的头。 这里有很多设置,请耐心等待。 首先,我们的目标是让我们所有的Linux和Unix系统对AD进行身份validation。 这在数百个系统中不是可选的; 用户账户pipe理早已成为一个问题。 我们有几个AD实例:一个是所有系统pipe理员帐户应该存在的“pipe理AD”(“MAD”)。 MAD不相信其他域名。 所有其他域(“CAD”,“FAD”,“坏”)都相信MAD。 大多数系统将与CAD,FAD或BAD相关联。 只有内部系统将与MAD相关联。 主要的平台是RHEL,我有5,6,7的混合物.5不会很快消失,尽pipe在不到一年的时间里它会退出RH的支持,但是我仍然得到人口5与AD集成在一起。 任何解决scheme都需要在5,6和7的工作,因为我们不想支持多种方式的做事。 我的主要select(至less是我正在工作的)是Winbind和SSSD。 鉴于两者之间的select,我宁愿SSSD Winbind是“相当古老”。 还有一个要求是“组”和“id”产生的AD信息,因为我们打算使用openssh的“AllowGroups”function来限制login到特定的AD组。 我遵循每一个手册,每一个指导,每一个指导,当它归结于它时,总有一件似乎没有被有效logging的东西阻挡了我。 一般来说,我对unix / linux相当强大,但是我对AD,Kerberos或LDAP不够强大。 出于实验目的,我将从全新安装的ISO(kickstart,一些基本的configuration)开始,在KS中没有设置validation位。 第1步:同步时间。 完成。 第2步:安装/激活oddjob。 完成。 步骤3:确保目标系统有正向和反向DNS条目。 完成。 手动到目前为止,我不能依靠后面的步骤来解决问题。 我会应付的。 步骤4:configurationKerberos。 /etc/krb5.conf的消毒版本: includedir /var/lib/sss/pubconf/krb5.include.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = CAD.LAB dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime […]
我有一个奇怪的问题。 每当我停止Tomcat,SSH变得非常缓慢,几乎完全没有响应。 SSH需要一分钟甚至更多时间才能接受任何命令。 当我终于使Tomcat重新开始时,一切都恢复正常。 这发生在一个非常繁忙的服务器上。 问题是我需要经常停止Tomcat,因为应用程序升级。 升级通常需要几秒钟的时间,但这需要将近10分钟,因此我们正在经历不必要的停机时间。 我看到的一件事是,当我停止Tomcat top显示了100%CPU的ksoftirqd/X进程。 这可能是问题吗? 内核版本是: 2.6.18-308.11.1.el5 红帽版本是: Red Hat Enterprise Linux Server release 5.9 (Tikanga) 任何想法为什么发生这种情况?
我们有一个RHEL 5.6服务器,这里有4条到单个LUN的活动path。 我们怀疑它不能将足够的IO塞进到另一端的XIVpipe道中: mpath0 (XXXXXXXXXXXXXXX) dm-9 IBM,2810XIV [size=1.6T][features=1 queue_if_no_path][hwhandler=0][rw] \_ round-robin 0 [prio=4][active] \_ 2:0:1:2 sdaa 65:160 [active][ready] \_ 1:0:0:2 sdc 8:32 [active][ready] \_ 1:0:1:2 sdk 8:160 [active][ready] \_ 2:0:0:2 sds 65:32 [active][ready] Device: rrqm/s wrqm/sr/sw/s rkB/s wkB/s avgrq-sz avgqu-sz await svctm %util sdc 0.00 108.18 49.30 273.65 795.21 1527.35 14.38 0.49 1.51 1.16 37.50 […]
我在RHEL5盒子的/etc/pam.d/sshd文件中有下面的指令,我有点困惑。 这些指令在那里使LDAP + RADIUS + OTP工作。 我想要做的是告诉pam不要检查用户UID <499的LDAP + RADIUS + OTP,也排除UID = 30027被检查相同。 该指令按预期工作。 它检查UID> = 499,如果是,则跳过(auth足够的pam_unix.so nullok_secure)。 auth [success=1 default=ignore] pam_succeed_if.so uid >= 499 quiet 我很困惑 这应该做LDAP + RADIUS + OTP成功= 1,但不知何故,它仍然工作。 如果是真的,它不应该跳过下一个规则吗? auth [success=1 default=ignore] pam_succeed_if.so uid eq 30027 quiet auth sufficient pam_unix.so nullok_secure auth sufficient pam_radius_auth.so auth required /lib/security/pam_google_authenticator.so forward_pass 虽然我已经得到了想要的东西,但是我对它的逻辑背后感到困惑。 […]
我对此感到震惊,我不明白为什么它不起作用。 我希望有人能够阐明这一点,否则就给我一些调查途径的build议。 我有一个Red Hat 7.3系统(请不要问)在哪里可以增加wls81用户的打开文件限制。 我以为我只是无法控制它,但越来越像看到我只需要改变用户的问题。 我已经/etc/security/limits.conf添加到/etc/security/limits.conf : wls81 soft nofile 10100 wls81 hard nofile 10240 madhatta soft nofile 10100 madhatta hard nofile 10240 pam_limits.so被正确调用,据我所知: [madhatta@server madhatta]$ sudo grep limits /etc/pam.d/* /etc/pam.d/login:session required /lib/security/pam_limits.so /etc/pam.d/sshd:session required /lib/security/pam_limits.so /etc/pam.d/su:session required /lib/security/pam_limits.so /etc/pam.d/system-auth:session required /lib/security/pam_limits.so 当我和我一样ssh,我得到新的软限制,可以增加到硬限制: desktop> ssh server Last login: Thu May 10 13:20:13 2012 from […]
如果我需要从模板部署Red Hat 7,我想采取推荐的步骤,使我的“黄金形象”干净。 它应该引导到第一启动提示符,并引导用户通过典型的步骤。 在Red Hat 5/6中,我遵循了供应商提供的文档 。 但是,我无法findRed Hat 7的等价物。具体来说, touch /.unconfigured不会触发第一次启动设置。 9.3.1。 将Linux虚拟机作为模板进行部署 概要 在将其作为模板之前,将Linux虚拟机一般化(密封)。 这可以防止从模板部署的虚拟机之间发生冲突。 过程9.6。 密封Linux虚拟机 login到虚拟机。 通过以root身份运行以下命令来标记系统以进行重新configuration: # touch /.unconfigured 删除SSH主机密钥。 跑: # rm -rf /etc/ssh/ssh_host_* 在/etc/sysconfig/network设置HOSTNAME=localhost.localdomain 删除/etc/udev/rules.d/70-*。 跑: # rm -rf /etc/udev/rules.d/70-* 从/etc/sysconfig/network-scripts/ifcfg-eth*删除HWADDR =和UUID =行。 可以从/var/log删除所有日志,并从/root日志。 closures虚拟机。 跑: # poweroff 编辑:步骤1和7可以通过最后运行sys-unconfig进行组合。 或者,从libguestfs-tools-c看一看virt-sysprep ,它的function非常强大 。 [user@hostname ~]$ virt-sysprep –list-operations abrt-data […]
根据红帽文件, 'rpcbind'不再是必需的: 由于协议支持已被纳入v4协议,因此NFSv4与portmap,rpc.lockd和rpc.statd守护进程没有交互。 NFSv4监听众所周知的TCP端口2049,这消除了端口映射交互的需要。 安装和locking协议已被纳入V4协议中,无需与rpc.lockd和rpc.statd进行交互。 rpc.mountd守护程序在服务器上仍然是必需的,但不涉及任何over-the-wire操作。 但是当'rpcbind'服务没有运行时,我无法启动NFS恶魔: # service nfs start Starting NFS services: [ OK ] Starting NFS quotas: Cannot register service: RPC: Unable to receive; errno = Connection refused rpc.rquotad: unable to register (RQUOTAPROG, RQUOTAVERS, udp). [FAILED] Starting NFS mountd: [ OK ] Starting NFS daemon: rpc.nfsd: writing fd to kernel failed: errno […]