标签: debian-stretch

如果我尝试访问具有 certbot 颁发的 debian 9 证书的 HTTPS 服务器，则会收到以下错误：

 # curl -v https://hu.dbpedia.org/
 *   Trying 195.111.2.82...
 * TCP_NODELAY set
 * Connected to hu.dbpedia.org (195.111.2.82) port 443      (#0)
 * ALPN, offering h2
 * ALPN, offering http/1.1
 * Cipher selection:      ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
 * successfully set certificate verify locations:
 *   CAfile: /etc/ssl/certs/ca-certificates.crt
   CApath: /etc/ssl/certs
 * TLSv1.2 (OUT), TLS header, Certificate Status (22):
 * TLSv1.2 (OUT), TLS handshake, Client hello (1):
 * TLSv1.2 (IN), TLS handshake, Server hello (2):
 * TLSv1.2 (IN), TLS handshake, Certificate (11): …

最新版本的 Ubuntu 和 Debian (stretch) 带来了新的网络接口命名方案。

现在，当从使用旧样式名称（如“eth0”）的系统进行更新时，我想在启动之前知道新名称是什么。

我怎样才能做到这一点？是否有一个神奇的“systemd”调用，我可以用来在启动前编辑 /etc/network/interface（随后失去网络连接）？

我正在尝试按照Docker 网站上提供的 Debian 安装说明进行操作。不幸的是，添加 GPG 密钥对我来说失败了：

$ curl -fsSL https://download.docker.com/linux/debian/gpg | apt-key add -
gpg: WARNING: nothing exported
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

我试过从本地文件系统下载密钥并添加，但效果是一样的：

$ apt-key add docker.gpg 
gpg: WARNING: nothing exported
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

其他键也会发生同样的情况，例如 VirtualBox：

$ apt-key add oracle_vbox_2016.asc 
gpg: WARNING: nothing exported
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

钥匙看起来不错：

$ cat docker.gpg 

-----BEGIN PGP PUBLIC KEY …

我将 mongodb repo 添加到源列表：

deb http://repo.mongodb.org/apt/debian jessie/mongodb-org/3.4 main

然后 apt-get update。

当我尝试安装时，mongodb-org我得到了这个：

root@ns:~# aptitude install mongodb-org
The following NEW packages will be installed:
  mongodb-org mongodb-org-mongos{ab} mongodb-org-server{ab} mongodb-org-shell{ab} mongodb-org-tools{ab} 
0 packages upgraded, 5 newly installed, 0 to remove and 0 not upgraded.
Need to get 66.7 MB of archives. After unpacking 269 MB will be used.
The following packages have unmet dependencies:
 mongodb-org-mongos : Depends: libssl1.0.0 (>= 1.0.1) which is a virtual package and is not provided by …

在 Debian-Stretch 主机（连接到物理 LAN）上，我有一个新的 docker 安装（v18.09）和一个数据库容器（端口映射到主机），我运行 KVM/libvirt 和一些 Debian-Stretch VM。我可以从 LAN 访问 docker 容器和 VM（取决于通过 SSH 隧道或直接配置的配置），但我很难从 VM 访问 docker 容器。

# brctl show
bridge name         bridge id           STP enabled interfaces
br-f9f3ccd64037     8000.0242b3ebe3a0   no      
docker0             8000.024241f39b89   no      veth35454ac
virbr0              8000.525400566522   yes     virbr0-nic

在阅读了几天之后，我在这篇文章中找到了一个非常引人注目的解决方案Docker 和 KVM 带有一个我没有开始工作的桥（原始）。该解决方案建议使用一行配置 daemon.json 代码启动 docker 以使用 KVM“默认”网桥。那该有多好！有希望吗？

我在 KVM 虚拟机之间尝试了两种不同的网络配置。在这两种情况下，VM 与 LAN+路由器+云之间的通信都完美无缺，但我只是不知道如何越过围栏 - 到更绿的草地...... :)

Conf 1 - KVM 默认桥接与 NAT：我可以通过 ssh 连接到 Debian 主机并访问 docker 容器端口，但是否有直接路由的设置？

会议 2 - …

Debian Stretch 可能会在今年年中发布。

mysql-server-5.x 将不再可用并替换为 mariadb-server-10.1。我觉得我还没有准备好迈出一大步并转向 MariaDB，我更愿意继续使用 mysql 5.6 或 - 甚至更好 - 5.7。您会推荐什么 - 使用debian 的不稳定存储库中的5.7？使用oracle 提供的软件包？其他一些选择？

谢谢！

（注意，在这个问题中，前导#表示根提示符，而不是注释。此外，我已将实际主机名替换为<myhostname>。）

正如debconf (7)手册页所述，dpkg-reconfigure可以使用多个前端中的任何一个来调用，包括默认（“对话框”）交互式前端和“非交互式”前端。

我的想法正确吗？

# dpkg-reconfigure postfix

调用对话框前端，并按Enter回答每个问题，应该相当于运行以下命令？

# dpkg-reconfigure -f noninteractive postfix

如果是这样，那么我不明白以下差异。

差异

在从我的网络主机映像（已安装 postfix）中新填充 Debian 9“Stretch”的 VPS 上，我使用以下命令进行预置debconf-set-selections：

# debconf-set-selections <<< "postfix postfix/destinations string <myhostname>"
# debconf-set-selections <<< "postfix postfix/mailbox_limit string 51200000"              
# debconf-set-selections <<< "postfix postfix/mailname string <myhostname>"    
# debconf-set-selections <<< "postfix postfix/main_mailer_type select Internet Site"      
# debconf-set-selections <<< "postfix postfix/protocols select ipv4"                      
# debconf-set-selections <<< "postfix postfix/root_address …

我的服务器有一些奇怪的行为，我只是找不到原因。我到处找。

我将向任何能解决这个问题的人支付价值 200 美元的比特币。

问题：

当从 apache 请求任何资源（页面、图片、css、js）时，有时需要很长时间才能响应。大约一半的时间，连接被重置。（在 Chrome 上：net::ERR_CONNECTION_RESET）这种情况很少发生，随机发生并且绝对不可预测。更令人困惑的是，虽然一个请求似乎挂起，但我可以提出其他完美运行的请求。

关于服务器：

我在 debian 9 上使用 php7.0 运行 apache2.4 mpm-prefork。apache 模块使用 mod_rewrite 和来自 certbot 的 ssl 证书。在某些情况下，php 调用inkscape 将svgs 呈现为png。

服务器负载非常低 (0.02)，除了 apache 之外什么都没有运行。

检查的东西：

• 检查所有服务器日志。(syslog, apache 日志) - 什么都没有
• 增加了 apache mpm-prefork 限制 - 不
• 检查可能的 DNS 问题 - 没有
• 我什至搬到了一个全新的根服务器（在不同的提供者上）——还是一样

我继续使用 Wireshark 分析了 tcp 流量，发现了一些可疑的行为。当连接冻结时，会出现一些 TCP 乱序、重传和 ACK 看不见的分段数据包……但我没有必要的低级知识来判断发生了什么。

任何提示将大大appreaciated！

编辑：

这是 mpm_prefork 配置：

<IfModule mpm_prefork_module>
    StartServers            10
    MinSpareServers         10
    MaxSpareServers         50
    MaxRequestWorkers       300
    MaxConnectionsPerChild  0
</IfModule> …

我正在为我的公司运行一个 WEB 应用程序（PHP + MariaDB），在我的笔记本电脑上开发并在专用服务器上运行生产版本。

最近，我开始测量性能并注意到我的笔记本电脑的性能比服务器好。例如，其中一个页面在我的笔记本电脑上生成约 50 毫秒，而在服务器上生成约 130 毫秒。这个时间是在 PHP 代码中使用 microtime() 测量的，因此对服务器的网络请求延迟被忽略。

问题是，服务器在每一点上都应该比我的笔记本电脑表现得更好。130 毫秒对于这个应用程序是可以的，因此我从来没有注意到这个事实。但如果可能的话，我想了解导致这种情况的原因。

我想下一步是在代码的不同点测量时间，但差异是如此重要（> x2.5），我不禁认为我错过了一些东西。

这里有一些细节。

中央处理器

• 笔记本电脑：Intel(R) Core(TM) i5-5200U CPU @ 2.20GHz
• 服务器: Intel(R) Xeon(R) CPU E3-1270 v6 @ 3.80GHz

内存

• 笔记本电脑：16 GB DDR3 @ 1600MHz
• 服务器：32 GB DDR4 @ 2400MHz

操作系统

两者都运行 Debian 9，因此它们运行相同版本的 Apache2、PHP、MariaDB ......并且应该或多或少地以相同的方式进行配置。

玛丽亚数据库

在服务器上，它被配置为使用 24GB 的 RAM 将 InnoDB 池大小拆分为 12 个实例（所有表都使用 InnoDB）。目前，它仅使用 4.5GB 的 RAM，因此磁盘访问应该不是问题。

还有什么？

• 交换使用为空
• CPU 大部分时间处于空闲状态
• 特别是，测量是在没有其他人使用该应用程序的时候进行的
• 服务器正在运行其他不应对性能产生如此影响的服务（例如，git、其他 WEB 应用程序），尤其是在 CPU 使用率较低的情况下

我已经在 Debian Stretch (9) 上安装了 HAProxy 1.7.5-2，用于蓝/绿部署基础设施。

HAProxy 在 TCP 模式下设置并每 5 秒重新加载 DNS，但它没有。

global
    log 127.0.0.1 local0 warning
    stats socket /run/haproxy/admin.sock mode 660 level admin
    stats timeout 10m
    user haproxy
    group haproxy
    daemon

# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private

# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
#  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
# An alternative list with additional directives can be obtained from
#  https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=haproxy
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-options …