与其不断编写自己的模块来将系统转换为傀儡管理,我更愿意尽可能多地利用社区。到目前为止,我遇到了两个编译模块以进行分发的站点,Puppet Wiki和Puppet Managed。那里还有什么,和/或你发现什么有用?
我正在为VPS付费,并希望在接下来的几天内推出我的第一个网站。
我担心标准设置中可能存在一些明显的安全漏洞,所以我很想得到一些提示。我唯一知道的是关闭 PHP 中的错误报告并为 MySQL 创建用户/权限。还有更多类似的东西吗?
我正在使用:
我正在尝试了解如何保护 Linux 机器(我正在使用 Ubuntu)。建议使用 Auditd 来监控节点上的活动。我已经设法安装了它,但是我找不到有关正确设置以保护我的节点的太多信息。
我应该如何设置 auditd 以使我的节点更安全?我应该监控什么?为什么?我正在寻找经验丰富的管理员的设置示例和建议。
谢谢!
我正在使用以下 kickstart 安装后日志记录选项:
%post
exec < /dev/tty3 > /dev/tty3
chvt 3
echo
echo "################################"
echo "# Running Post Configuration #"
echo "################################"
(
echo 'Hello, World!'
cat > test_file <<EOF
Hello World
EOF
) 2>&1 | /usr/bin/tee /var/log/post_install.log
chvt 1
问题是我实际上并没有在我的日志文件中捕获用于创建 test_file(以 cat 开头并以 EOF 结尾的代码)的命令。echo 语句在那里,但仅此而已。
下面的代码解决了这个问题,但意味着我必须在我所有的安装后过程中附加一个 tee 语句,这并不令人满意。
echo -e "# Writing test_file and capturing to log_file" && /usr/bin/tee -ai log_file >> test_file << EOF
Hello World
EOF
创建的当前日志文件仅捕获还不够的 echo 语句。我想捕获执行的命令及其相关选项和参数。
我试图允许 ldap 用户在客户端机器上更改他们的密码。我也尝试了 pam 能想到的所有方式/etc/ldap.conf& /etc/pam_ldap.conf。在这一点上,我被困住了。
客户端:Ubuntu 11.04
服务器:Debian 6.0
目前的输出是这样的:
sobrien4@T-E700F-1:~$ passwd
passwd: Authentication service cannot retrieve authentication info
passwd: password unchanged
/var/log/auth.log 在命令期间给出这个:
May 9 10:49:06 T-E700F-1 passwd[18515]: pam_unix(passwd:chauthtok): user "sobrien4" does not exist in /etc/passwd
May 9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: ldap_simple_bind Can't contact LDAP server
May 9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: reconnecting to LDAP server...
May 9 10:49:06 T-E700F-1 passwd[18515]: pam_ldap: ldap_simple_bind Can't contact LDAP server
getent passwd |grep sobrien4 (注意在使用该帐户进行测试后保持简短,但它会输出所有 ldap 用户): …
给定在 Linux(最新内核)中运行的进程的 PID,我如何找出:
这是针对 x86-64 架构的。
我目前正在使用主从复制,在应用程序级别分离读取和写入。当前实现的唯一一种故障转移是主故障的应用程序级别检测,使从属成为新的主,因此应用程序可以不间断地运行。可以猜到,切换回、同步、整理等需要做很多工作。
我搜索了很多,阅读了几十篇文章,但是如果你主要有 MyISAM 表、Mysql 集群、Heartbeat/DRBD、Schooner,我没有遇到 HA MySQL 的解决方案,这些都适用于仅 InnoDB 的设置,但是不适合 MyISAM。
我将不胜感激有关 HA 设置的一些建议或实际经验。它不需要是开源的(免费阅读),它只需要工作。
我们有一个小型企业办公室,但由于 PCI 合规性,我们需要将其划分为两个互联网网络(一个“合规”,一个供任何其他设备使用)。
我们目前有一个 Draytek 调制解调器/WAN 负载平衡器,它也有防火墙,但这是非常基本的,不支持每个 vlan 上的单独安全策略。
因此,我刚刚购买了 ASA 5505 并希望获得一些设置指导:
VLAN:
我的问题:
目前一切都在一个子网 192.168.2.x 上。draytek 有一个静态 IP,其他一切都从我们的 Windows DHCP 服务器分配了一个 IP。由于此 Windows 服务器将位于“insidepci”网络内,因此我计划让此 vlan 继续使用该网络,以及使用来自 ASA 的 DHCP 的常规“内部”网络。那可能吗?
我是否需要将 draytek 放在它自己的子网中(所以只有 draytek 在 192.168.3.x 上),因为我似乎无法将同一范围内的 IP 分配给两个不同的 VLAN。
通过查看其中一个在线指南,我似乎需要一个内部路由器?我不知道这一点,我希望我可以将一个交换机分配给“内部”VLAN,将一个单独的交换机分配给“insidepci”VLAN?不需要在这些 VLAN 之间进行通信,但都需要能够访问“外部”(draytek 网关)
我目前正在开发一个 Xen 备份系统,但是我遇到了以下问题:
我有两种备份方法:
dd从LVM快照,并tar响它。,以及远程rsync的它现在第二个选项允许我使用, rdiff-backup这样我就可以保存增量备份并节省大量空间,而第一个选项确实是存储量很大。
现在,我有两个问题:
dd?假设我有一个 50GB 的 LVM 卷并且只使用了 3GB,使用dd它时将创建一个 50GB 的图像(因此浪费了 47GB)。tar可以解决这个问题,但需要很多额外的时间(我基本上没有)img文件可以dd以某种方式增量保存吗?我有一个应用程序生成报告文件/opt/reports,文件在 0600 拥有 root:root 。为了允许外部系统自动处理这些报告,我创建了一个新的服务帐户用户,组为“报告”,将组更改为/opt/reports报告并设置 SUIG 位,然后在/opt/reports目录上设置默认 ACL以包含 400 的报告组和 400 的掩码。
我注意到,当我手动创建文件时,权限都按预期设置,但是当应用程序创建文件时,不会继承默认值。
[root@reports1 ~]# getfacl /opt/reports
getfacl: Removing leading '/' from absolute path names
# file: opt/reports
# owner: root
# group: report
user::rwx
group::r-x
other::r-x
[root@reports1 ~]# setfacl -R -d -n -m g:report:r,m::r /opt/reports/
[root@reports1 ~]# getfacl /opt/reports
getfacl: Removing leading '/' from absolute path names
# file: opt/reports
# owner: root
# group: report
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x #effective:r--
default:group:report:r-- …