我在我的测试环境中在 Docker 中运行 chromedriver + chrome。
一切正常,直到最新的 CoreOS 升级。
这些是似乎有效的版本:
VERSION=1185.5.0
VERSION_ID=1185.5.0
BUILD_ID=2016-12-07-0937
这是导致 chrome 进行核心转储的较新版本:
VERSION=1235.4.0
VERSION_ID=1235.4.0
BUILD_ID=2017-01-04-0450
查看更改,似乎 docker 从 1.11.x 升级到 1.12.x,这中断了setns()容器内的调用。setns()Chrome 使用它来创建命名空间。
这是示例输出:
jsosic-coreos-test-20161207 ~ # docker --version
Docker version 1.11.2, build bac3bae
从这个盒子上的一个容器里面:
[root@2939f21ecfaa /]# /opt/google/chrome/google-chrome
[57:57:0107/015130:ERROR:browser_main_loop.cc(261)] Gtk: cannot open display:
这是新版本打破它的方式:
jsosic-coreos-test-2017-01-04 ~ # docker --version
Docker version 1.12.3, build 34a2ead
[root@13ab34c36c82 /]# /opt/google/chrome/chrome
Failed to move to new namespace: PID namespaces supported,
Network namespace supported,
but failed: errno = …几周前,我遇到了一个问题,我在大约 300 个节点的大型网络中更改了 DNS 地址。之后,一些节点仍然继续询问旧的DNS服务器,尽管resolv.conf没问题,并且host/nslookup正在查询新的DNS服务器。
查看 tcpdump 并尝试使用 iptables 日志记录请求,我确认确实有些主机仍在向旧名称服务器发送查询。
我让其中一台主机退出生产并开始关闭服务/跟踪进程,试图找出罪魁祸首。
最后 - 它是 lldpd 守护进程,它显然在启动时缓存了名称服务器,甚至没有注意到 resolv.conf 中的变化。
所以,我的问题是 - 有没有更智能的方法来找出哪个 PId 正在生成特定类型的流量?我尝试使用 auditctl 但没有取得多大成功。CentOS 6 有问题,但如果有任何 Linux 发行版的解决方案,我将不胜感激。
我正在尝试使用以下subjectAltName生成证书:
hostname
*.hostname
hostname.mydomain.local
*.hostname.mydomain.local
我通过 OpenSSL 生成 CSR,然后从 Microsoft Active Directory 证书服务获取证书。证书适用于以下替代名称:
hostname
hostname.mydomain.local
*.hostname.mydomain.local
但是,*.hostname就是行不通。使用 Curl 进行测试,我得到以下输出:
% curl https://m.example/
curl: (51) SSL: certificate subject name '*.example' does not match target host name 'm.example'
另一方面,如果我将 'm.example' 添加为subjectAltName,则它可以工作。因此,具有缩短主机名的通配符只是拒绝工作。
auditd ×1
chrome ×1
docker ×1
linux ×1
namespaces ×1
networking ×1
openssl ×1
permissions ×1
ssl ×1
wildcards ×1