小编Cra*_*son的帖子

我正在运行 ESXi Vsphere Client 版本 6.0.0，但由于所有不同的文档和更改，我无法理解我的限制。从官方文档中我看到我对物理 CPU 的限制应该是无限的，但我只能给一个虚拟机最多 8 个 vCPU。

从其他来源我读到免费版本中我有 2 个物理 CPU 的限制。我看到内存限制消失了，我很高兴。

是否有任何文件或任何东西给我带来了实际限制？似乎 VMware 有点隐藏它；)，至少我不能有效地使用 google 来收集正确的信息。

我只对硬件限制感兴趣，而不对创建故障转移等的限制感兴趣。

我运行的 MTA 由标准 Postfix、SpamAssassin、ClamAV、SPF/DKIM 检查等组成。此 MTA 仅用于入站电子邮件，不托管任何帐户并将通过所述检查的任何邮件转发到共享网络主机。

我知道一些电子邮件服务在尝试将邮件发送到我的服务器时开始尝试在纯文本之前尝试 TLS 连接。

我意识到并非所有服务都支持 TLS，但我想知道它的采用程度如何，这样我才能满足我大脑的 OCD 安全方面的需求（是的，我知道 SSL 并不像我们曾经认为的那样安全） ……）。

该后缀的文档的smtpd_tls_security_level规定，RFC 2487规定所有的公开引用（即MX）邮件服务器不强迫TLS：

根据 RFC 2487，这不得应用于公开引用的 SMTP 服务器。因此，默认情况下此选项处于关闭状态。

所以：文档（或与此相关的 15 年历史的 RFC）的适用性/相关性如何，我是否可以安全地在所有入站 SMTP 连接上强制使用 TLS，而不会锁定世界上一半的 ISP？

我正在尝试按照此处的说明来缓解 logjam 漏洞，但是我不断从 appache 收到以下错误：

Syntax error on line 18 of /etc/apache2/sites-enabled/000-default:
Invalid command 'SSLOpenSSLConfCmd', perhaps misspelled or defined by a module not included in the server configuration
Action 'configtest' failed.

当我将以下行添加到配置中时：

SSLOpenSSLConfCmd DHParameters /etc/ssl/certs/dhparams.pem

我的应用程序详细信息是：

Server version: Apache/2.2.16 (Debian)
Server built:   Oct 16 2014 10:27:58
Server's Module Magic Number: 20051115:24
Server loaded:  APR 1.4.2, APR-Util 1.3.9
Compiled using: APR 1.4.2, APR-Util 1.3.9
Architecture:   32-bit
Server MPM:     Prefork
  threaded:     no
    forked:     yes (variable process count)
Server compiled with.... …

我的 CentOS 7 上有一个 nginx/1.10.1 通过 nginx repo 安装。我只安装了 geoip 模块

[root@www nginx]# nginx -V
nginx version: nginx/1.10.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-4) (GCC)
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-http_auth_request_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic **--with-http_geoip_module=dynamic** --with-http_perl_module=dynamic --add-dynamic-module=njs-1c50334fbea6/nginx --with-threads --with-stream --with-stream_ssl_module --with-http_slice_module --with-mail --with-mail_ssl_module --with-file-aio …

TL;DR - CloudFormation 模板是否可以将特定 ELB 的子网特定内部 IP 地址插入到该子网内实例的 UserData 中？

我们在 Amazon VPC 中拥有一组 EC2 Web 服务器，其中有六个子网，一个私有的和一个公共的，跨越 EU-West-1 的三个可用区中的每一个。所有服务器都配置了 CloudFormation。

我们想配置 Apache 的 mod_rpaf 来记录X-Forwarded-For标题（我们可以更改 LogFormat，但这并不容易转换为 PHP 或 Apache 错误日志；RPAF 对我们来说是最好的解决方案）。

据我所知，ELB 的架构方式意味着它在每个配置的可用区中都有一个“脚”，如果 ELB 被拆除或重新创建，这可能会改变。

Ubuntu 12.04 存储库中的 mod_rpaf 版本似乎尚未更新以允许该ProxyIPS指令使用 CIDR 表示法，并且理论上 ELB 的 IP 地址可以是我们三个公共子网中的任何地址。

剩下的一个解决方案是通过 Puppet 配置模块，使用实例的 UserData 生成的 hieradata。我知道在某种程度上您可以在 CloudFormation 模板中插入引用和变量，但我不确定是否可以有效地说“给我这个子网中这个 ELB 的私有 IP 地址”。

我正在草拟一个新的网络拓扑，但不确定如何解决两个 VLAN 之间的 DHCP 问题。

• 10.50.2.0/23 将容纳我们的大多数用户、企业 wifi、打印机等。
• 10.250.3.0/24 将包含需要访问我们 AWS VPN 隧道的用户子集

我计划使用 L3 交换机在子网之间进行路由，使用 ACL 来控制哪个 VLAN 可以访问哪个以及在哪个方向（即 3/24 将能够访问 2/23，反之亦然）。

问题是 10.50.3.0/24 网络中的 DHCP。我可以通过交换机配置 DHCP 中继，或者我可以在该网络中为我们的 Windows 2008 R2 DHCP 服务器提供一个 NIC。

哪个（如果有的话）是“正确”的方式？

我的 Apache Web 服务器将以下消息记录到access.log：

46.22.173.131 - - [23/Dec/2014:15:34:54 +0100] "GET http://pl.wikipedia.org/wiki/Special:Search?search=&go=Go HTTP/1.1" 302 482 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
182.254.156.77 - - [23/Dec/2014:16:53:22 +0100] "GET http://www.ly.com/ HTTP/1.1" 302 433 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"`
182.254.208.62 - - [23/Dec/2014:17:57:49 +0100] "GET http://www.ly.com/ HTTP/1.1" 302 433 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:29.0) Gecko/20100101 Firefox/29.0"

我Virtualhost定义了两个s - 一个用于仅重定向到 443 的端口 80 ... 和Virtualhost用于登录到ssl_access.log.

我不明白这些日志是什么意思？是否有人试图通过我的 Web 服务器访问这些 URL？ …