小编Joh*_*hir的帖子

我在一个盒子上运行 ntpd。我想看看盒子上的时间与从 ntp.ubuntu.com 检索到的时间相比如何。是否有捷径可寻？

我的理解是 SPF 规范指定电子邮件接收者不应进行 10 次以上的 DNS 查找，以便为发件人收集所有允许的 IP。因此，如果一个 SPF 记录有include:foo.com include:bar.com include:baz.com并且这三个域每个都有 SPF 记录并且也有 3include个条目，那么现在我们最多可以进行 3+3+3+3=12 个 DNS 查找。

1. 我上面的理解正确吗？

2. 我只为我的域使用 2 或 3 个服务，而且我已经超过了这个限制。主要/次要电子邮件提供商通常（或曾经）强制执行此限制吗？

我的服务器上运行着 ntpd。这是所有默认设置，除了我注释掉它作为其他机器的服务器的能力：

# restrict -4 default kod notrap nomodify nopeer noquery                                                                    
# restrict -6 default kod notrap nomodify nopeer noquery   
restrict default ignore

如果我运行ntpdate -q ntp.ubuntu.com，我会被告知我机器的时钟关闭了 7 秒。

这是怎么回事？我如何诊断正在发生的事情，是否有我可以打开的日志？

更多信息#1

# ntpq -np
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 91.189.94.4     193.79.237.14    2 u   30   64    7  108.518   -0.136   0.361

更多信息#2

这是我问这个问题时的样子：

# ntpdate -q ntp.ubuntu.com
server 91.189.94.4, stratum 2, offset 7.191308, delay 0.13310
10 Jan 20:38:09 ntpdate[31055]: step time server 91.189.94.4 offset 7.191308 …

我已经配置了 monit 测试和警报——但我想确保我的警报堆栈中的所有内容（外发电子邮件服务器、短信电子邮件网关……）都能正常运行。有没有一种方便的方法来触发虚拟测试警报？

我有一个小型服务器网络，我想提高总体安全性。我没有足够的时间/金钱/偏执来设置 VPN——我可以提高系统安全性的基本方法是什么？

一件事可能是要求用户发送他们的密钥并输入密码。这有点难用谷歌搜索，因为关于“ssh 密钥密码”的一切都是关于没有密码的 ssh。:-)

我一直想玩的一个方案是要求传入的连接仅来自 dyndns ip 地址的白名单。我知道一些安全负责人一想到这个想法就会呕吐，但事实是，利用一个盒子会增加非常显着的复杂性。

你怎么认为？外面还有什么？

我在 nginx 上遇到了看似常见的“文件描述符过多”错误。经过多次搜索，解决方案显然是增加 nginx 可用的文件描述符的数量。但是没有足够的信息让我觉得以有意义和安全的方式做这件事。以下是大多数论坛/电子邮件主题涵盖的要点：

• 操作系统有自己的总文件描述符限制（在我的系统上，cat /proc/sys/fs/file-max输出“100678”）
• 每个用户也可以有自己的限制（但在我的系统上，ulimit在任何用户输出“无限”时运行，请参阅底部更新的更多详细信息）
• 一些人说了一些与此人所说的类似的话：'指令 worker_rlimit_nofile 没有指定“多少”，而是操作系统限制。如果不够，指令 worker_rlimit_nofile 只允许一种快速而肮脏的方式来扩大这个限制。所以我想这意味着为 nginx OS 用户设置限制而不是在配置中设置限制“更好”？

我可以将 worker_rlimit_nofile 值放入大于每个工作器连接数的值，并称其为一天，但我觉得我真的不知道这里发生了什么。

• 为什么每个工人的限制会小于操作系统限制？
• 我如何知道我现在的极限是多少？

更新：对根和一个普通用户，输出的ulimit“无限制”，但ulimit -Hn和ulimit -Sn两个输出1024

我有一个在 nginx 上运行的流量非常低的站点，有 4 个工人，每个有 1024 个连接。

每隔几个小时，我就会在错误日志中看到“1024 个 worker_connections 不够”，我的网站速度变慢/变得不稳定。在接下来的几个小时内，nginx 重启完全解决了这个问题。

显然发生了一些奇怪的事情，我无法为我的应用程序的 4k 并发用户提供服务。

除了查看访问日志（看起来很正常）之外，有没有办法更详细地观察 nginx 正在做什么？

是否有一些臭名昭著的配置组合可能导致旧连接保持打开而不关闭？

谢谢。

编辑 这看起来不对

# lsof |grep nginx |grep CLOSE_WAIT |wc -l
1271

我读过 2.6.33+ 允许设置自定义 cwnd。

1. 如果 IW 默认为 10（对于所有发行版？只有一些？）
2. 如何查看当前 IW 在特定编译内核上的内容？

参考：

• http://monolight.cc/2010/12/increasing-tcp-initial-congestion-window/
• http://www.igvita.com/2011/10/20/faster-web-vs-tcp-slow-start/

我已经设置了 Dreamhost 的链式证书并适用于所有浏览器。我有 2 个站点，其中包含来自 Dreamhost、example.com 和 sub.example.com 的 2 个证书。

除了 IE6、7 和 8（在 XP 上，还没有尝试过其他操作系统）之外，所有浏览器都可以使用两个站点上的证书。IE 对 example.com 很好，但它认为 sub.example.com 正在尝试使用 example.com 证书。

查看 Firefox 3 中的指纹，Firefox 正在为每个域使用正确的证书。查看 IE 中的指纹，它使用的是 example.com 证书而不是 sub.example.com 证书。（这部分对我来说真的很奇怪——IE 正在竭尽全力提升域级别并获得错误的证书？）

我正在使用 nginx。

如果您需要更多信息，请告诉我。谢谢！

我想为我的 Amazon S3 域创建 CNAME 记录，以获得更好的 URL。

网络上对此没有太多讨论，亚马逊文档中也没有任何内容（除非我遗漏了它）。这是一个合理的做法吗？有什么缺点吗？