在CentOS或RHEL 6上升级内核包时,是否可以在不重新启动的情况下加载新的内核? 我的直觉告诉我这不是,但是如果是这样的话,这会很方便 – 特别是在编译需要内核模块(比如VirtualBox)的应用程序时,会抱怨当“错误的”内核源可用时(例如运行的内核是2.6.2-100,但升级版本是2.6.2-152)。
我们开发的应用程序目前只能在32位模式下工作。 它在RHEL 5中运行正常,但在RHEL 6中运行失败。原因是默认情况下,RHEL 6只与64位库一起安装。 而且,我们没有find在系统安装过程中或之后select安装32位运行环境的方法。 当然,我们确实find了一种方法来安装三个带有32位库的rpm包,以使我们的应用程序能够正常工作。 但是对于我们的客户来说,这看起来是不愉快的(我们必须在命令行中安装三个rpms的DVD)。 所以问题是: 有没有一种方便的方式让RHEL 6客户安装32位库到RHEL 6系统? 比方说,在菜单中的任何用户友好的项目,或者一个特殊的命令,安装在RHEL 5中存在的一组32位系统库? 在这种情况下最好的做法是什么?
我有一些在NFS挂载上运行的大文件传输。 挂载点所在的服务器被不小心重新启动,现在从这些大型转移服务器发起的服务器似乎陷入了困境。 如果我跑top ,我看到以下内容: 我尝试的第一件事是用-1 -2 -9和-15的标志运行kill ,并依次显示每个进程ID。 这让我继续,但没有杀死进程。 我尝试的下一件事是重启服务器,但是既不reboot也不shutdown -r now工作。 当我运行shutdown -r now ,标准广播消息已经发出,但服务器没有重新启动。 我通过查看25天的服务器正常运行时间来确认这一点。 所以现在我有点卡住了。 我以root身份运行这些命令。 编辑:这是另一个有趣的消息: 最重要的是,我没有看到任何其他进程正在使用超过百分之一的内存或超过5%的CPU。 编辑2: /var/log/messages输出
我使用pam_tally2来locking每个策略3次login失败后的帐户,但是,连接用户没有收到指示pam_tally2操作的错误。 (通过SSH。) 我期望看到第四次尝试: Account locked due to 3 failed logins 没有必要或必要的组合或在文件中的顺序似乎有所帮助。 这是在Red Hat 6下 ,我正在使用/etc/pam.d/password-auth 。 locking按预期工作,但用户不会收到上述错误。 这导致了很多困惑和挫折,因为他们没有办法知道为什么authentication失败,当他们确定他们正在使用正确的密码。 实施遵循NSA的红帽企业Linux 5安全组合指南 。 (第45页)我的理解是, PAM中唯一改变的是/etc/pam.d/sshd现在包含/etc/pam.d/password-auth而不是system-auth 。 如果您的安全策略需要多次错误的login尝试后locking帐户,请实施pam_tally2.so。 要强制密码locking,请将以下内容添加到/etc/pam.d/system-auth。 首先,添加到auth行的顶部: auth required pam_tally2.so deny=5 onerr=fail unlock_time=900 其次,添加到帐户行的顶部: account required pam_tally2.so 编辑: 在其中一次login尝试期间,通过重置pam_tally2来获取错误消息。 user@localhost's password: (bad password) Permission denied, please try again. user@localhost's password: (bad password) Permission denied, please […]
我的RHEL 5&6服务器设置为在更新后保留1个旧的内核,我这样做是为了因为任何原因需要恢复系统。 我的问题是与最新的内核运行时系统的安全性有关,但仍然安装了旧内核的副本。 当我用Retina对它们进行扫描时,我总是得到旧内核的命中,但系统运行的是最新的。 我猜Retina只是在系统上检查内核的存在,而不是确定它是否是当前正在运行的内核。 我的问题是系统中旧内核的存在是否构成安全问题? 有什么想法吗?
这又发生了! 我有4个定期崩溃的服务器,并且没有信息打印到系统日志或串行控制台。 此外,Linux kdump服务不会将核心转储写入/var/crash的默认位置。 你能帮我弄清楚为什么? 如果我的根文件系统是LVM卷,这有什么关系吗? 这是我试过的。 我的系统是具有最新内核的Scientific Linux 6.5。 [root@host1 ~]# uname -r 2.6.32-431.11.2.el6.x86_64 [root@host1 ~]# cat /etc/issue Scientific Linux release 6.5 (Carbon) 文件/etc/kdump.conf是包含默认设置的vanilla文件。 大多数行被注释掉, path和core_collector只有两条活动行。 #net my.server.com:/export/tmp #net [email protected] path /var/crash core_collector makedumpfile -c –message-level 1 -d 31 #core_collector scp 我确保kdump服务正在运行,并且kdump不需要重build我的initrd 。 [root@host1 ~]# chkconfig –list kdump kdump 0:off 1:off 2:off 3:on 4:on […]
我们在Solaris和RHEL服务器上使用LDAP服务器,并计划将更多服务器迁移到RHEL。 但是,我们在所有红帽服务器上都有LDAP问题。 当input“getent passwd”时,将显示整个LDAP服务器上的所有用户,而不仅仅是有权访问此服务器的用户。 正常情况下,大约有10到50人可以访问服务器,所以Solaris打印出这个用户列表,而红帽公司则打印出LDAP中存在的所有用户列表(大约650)。 我更喜欢Solaris上的行为,其中只有具有访问服务器权限的用户才列有“getent passwd”。 如何configurationRHEL以仅列出有权访问服务器的用户?
我们将在〜1000台服务器上推出调优(和numad),其中大部分是NetApp或3Par存储上的VMware服务器。 根据RedHats文档,我们应该selectvirtual-guestconfiguration文件。 它在做什么可以在这里看到: tuned.conf 我们正在将IO调度程序更改为NOOP,因为VMware和NetApp / 3Par都应该为我们做足够的调度。 然而,经过调查了一下,我不知道为什么他们增加了vm.dirty_ratio和kernel.sched_min_granularity_ns 。 据我了解越来越多的vm.dirty_ratio增加到40%将意味着对于一个20GB内存的服务器,除非vm.dirty_writeback_centisecs被命中,否则8GB在任何时候都可能是脏的。 而在刷新这些8GB的应用程序的所有IO将被阻塞,直到脏页被释放。 增加dirty_ratio可能意味着更高的写入性能达到峰值,因为我们现在有更大的caching,但是当caching填充IO时将会被阻塞相当长的时间(几秒)。 另一个是为什么他们增加了sched_min_granularity_ns 。 如果我理解正确,增加这个值会减less每个时期的时间片数量( sched_latency_ns ),这意味着运行的任务将会有更多的时间来完成他们的工作。 我可以理解这对于线程很less的应用程序来说是一件好事,但对于例如。 Apache或其他进程有很multithreading会不会适得其反?
我已经build立了一个使用用户帐户的LDAP服务器。 我已经成功地configuration了一个Rails应用程序来对这个LDAP服务器进行身份validation。 我正在尝试configurationSSSD以对LDAP进行身份validation,但不喜欢单个用户的密码。 错误: $ su – leopetr4 Password: su: incorrect password SSSD识别用户,但不是密码: $ id leopetr4 uid=9583(leopetr4) gid=9583(leopetr4) groups=9583(leopetr4) 以下是用户logging的样子: # ldapsearch -x -W -D "cn=admin,dc=my_domain,dc=com" -H ldaps://my_hostname.my_domain.com "(uid=leopetr4)" Enter LDAP Password: # extended LDIF # # LDAPv3 # base <dc=my_domain,dc=com> (default) with scope subtree # filter: (uid=leopetr4) # requesting: ALL # # leopetr4, People, […]
我想在我的SL6.4(RHEL 6.4重build)Web服务器上划分不同的PHP应用程序,以便它们不能访问彼此的数据。 SELinux似乎可以做到这一点,但我不确定细节。 我的问题有两个部分: SElinux如何使用mod_phppipe理在Apache进程中运行的PHP脚本? 当运行PHP脚本时,进程是否以某种方式进入脚本上下文,还是只有当脚本通过CGI或FastCGI运行在进程外时才能工作? 如果它转换到一个脚本上下文来运行PHP脚本,是什么让PHP的错误触发转换回主要的httpd上下文? 如果我需要一个备用的PHP部署方法,这将是很好的知道。 我怎样才能分离脚本/应用程序,例如TinyTinyRSS不能访问OpenCloud拥有的东西? 看起来我应该可以通过closureshttpd_unified并提供单独的httpd_ttrss_*和httpd_opencloud_*上下文来实现这一点,并行于httpd_user_foo和httpd_sys_foo 。 考虑到我可以使用的应用程序的数量,我甚至可以使用没有新上下文的sys / user区分。 但是我还没有find关于什么closureshttpd_unified的含义的文档,或者如何设置不同的HTTP上下文。 特别是用PHP脚本通过mod_php运行。 我很好地创build了新的SELinux策略模块,但希望一些文档指向我需要做的新策略,以及如何使它与SELinux目标策略很好地集成。 如果试图用SELinux来完成这种分离是一个失败的原因,我需要在不同的上下文中分别启动不同的httpd,甚至可能是LXC容器,这也是一个有用的答案。